Trước khi cài đặt chứng chỉ SSL trên cơ sở dữ liệu MySQL của bạn, hãy sao lưu và xóa các tệp chứng chỉ mặc định. Bạn có thể chọn tên thư mục của riêng bạn cho bước này. Ví dụ này sử dụng thư mục mysql-backup-certs. Để thực hiện các bước sau, hãy chuyển sang người dùng root
Tạo một thư mục sao lưu mới
mkdir -p ~/mysql-backup-certs/
Chuyển đến thư mục /var/lib/mysql và di chuyển mọi chứng chỉ mặc định vào thư mục sao lưu mới tạo của bạn
cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
Khởi động lại MySQL bằng cách chạy một trong các lệnh sau
hoặc
Sử dụng một trong các lệnh sau để kiểm tra trạng thái
3cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
hoặc
Kiểm tra trạng thái SSL từ bên trong vỏ MySQL. Để thực hiện việc này, hãy đăng nhập vào MySQL với tư cách là người dùng root
mysql -u root -p [Enter MySQL root password]
Chạy truy vấn sau để kiểm tra trạng thái SSL trong MySQL
SHOW GLOBAL VARIABLES LIKE '%ssl%'; STATUS;
Ghi chú. Bạn không cần phải sử dụng chữ in hoa. Ví dụ sử dụng chúng để phân biệt cú pháp lệnh với những gì bạn đang truy vấn
Trong lệnh trước, bạn muốn xem trạng thái SSL là bị vô hiệu hóa và người dùng root được kết nối mà không có SSL
Để kích hoạt kết nối SSL với chứng chỉ riêng của chúng tôi bằng cách chỉnh sửa tệp my. cnf, hãy chạy một trong các lệnh sau
hoặc
Tìm phần [mysqld] và thêm các cài đặt cấu hình sau
# You will use your own SSL certificates directory for these. The following are examples only. ssl-ca=/etc/pki/tls/certs/ca.pem ssl-cert=/etc/pki/tls/certs/server-cert.pem ssl-key=/etc/pki/tls/private/server-key.pem
Lưu và thoát tệp. Sau đó, khởi động lại MySQL bằng cách chạy một trong các lệnh sau
hoặc
Sau khi MySQL được sao lưu, hãy đăng nhập lại vào MySQL shell
mysql -u root -p [Enter MySQL root password]
Chạy lại truy vấn SSL
SHOW VARIABLES LIKE '%ssl%'; STATUS;
Nếu giá trị phần SSL hiển thị có, SSL được bật cho MySQL. Tuy nhiên, bạn vẫn thấy rằng người dùng root không được kết nối bằng cách sử dụng SSL. điều này là bình thường. Nếu bạn muốn thay đổi điều này, bạn có thể buộc tất cả các kết nối người dùng localhost sử dụng SSL. Bạn cần chỉnh sửa my. cnf bằng cách chạy một trong các lệnh sau
hoặc
Nhập cấu hình sau vào cuối
________số 8
Khởi động lại MySQL. Sau khi MySQL được sao lưu, hãy đăng nhập lại vào MySQL shell
mysql -u root -p [Enter MySQL root password]
Chạy lại truy vấn sau
SHOW VARIABLES LIKE '%ssl%'; STATUS;
Nếu bạn chỉ muốn kích hoạt kết nối SSL từ kết nối localhost thì bạn đã hoàn tất. Tuy nhiên, nếu bạn cũng muốn bật đăng nhập từ xa cho MySQL, hãy đọc tiếp
Kích hoạt kết nối từ xa cho MySQL
Hướng dẫn sau kích hoạt kết nối từ xa cho MySQL. Ngoài ra, những người dùng từ xa này cần phải có các tệp chứng chỉ được ký bởi cơ quan cấp chứng chỉ [CA] của bạn để kết nối
Ví dụ này biểu thị [bằng cách sử dụng ba dấu sao.
cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
4] cài đặt để buộc chữ ký CA nếu bạn muốn cho phép kết nối từ xa mà không cần CASử dụng trình soạn thảo văn bản dòng lệnh ưa thích của bạn để chỉnh sửa /etc/my. tập tin cnf một lần nữa
hoặc
Bao gồm phần sau ở cuối phần [mysqld]
0cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
Lưu và thoát tệp bằng cách sử dụng
5cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
Khởi động lại MySQL. Xác nhận MySQL đang chạy lại. Bạn cần đăng nhập lại vào MySQL shell
Sau khi bạn đăng nhập, hãy tạo người dùng bằng cách chạy một trong các lệnh sau
1cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
hoặc
2cd /var/lib/mysql mv ca.pem ca-key.pem ~/mysql-backup-certs/ mv server-key.pem server-cert.pem ~/mysql-backup-certs/ mv client-key.pem client-cert.pem ~/mysql-backup-certs/ mv private_key.pem public_key.pem ~/mysql-backup-certs/
Sau khi bạn cấp cho người dùng này các quyền đối với cơ sở dữ liệu mà bạn muốn họ có quyền, hãy xóa các đặc quyền để cập nhật các quyền của MySQL từ bên trong trình bao
Bạn có thể nhận thấy rằng
cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
6 nằm sau ký hiệu cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
7 trong lệnh cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
8 trước đó là thứ thực sự biểu thị người dùng là người dùng từ xaNhư một phần thưởng, nếu bạn có người dùng truy cập MySQL chỉ từ một địa chỉ IP tĩnh, bạn có thể nhập địa chỉ IP đó thay cho
cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
6 để cho phép người dùng đó truy cập MySQL từ địa chỉ IP cụ thể của họ. Tuy nhiên, lưu ý rằng người dùng chỉ có thể truy cập cơ sở dữ liệu từ địa chỉ IP đó. Nếu địa chỉ IP của họ thay đổi, họ không còn quyền truy cập. Đó là lý do tại sao hầu hết các quản trị viên sử dụng cài đặt từ xa chung của cd /var/lib/mysql
mv ca.pem ca-key.pem ~/mysql-backup-certs/
mv server-key.pem server-cert.pem ~/mysql-backup-certs/
mv client-key.pem client-cert.pem ~/mysql-backup-certs/
mv private_key.pem public_key.pem ~/mysql-backup-certs/
6 để thay thếBây giờ bạn đã kích hoạt kết nối SSL cũng như quyền truy cập từ xa vào cơ sở dữ liệu MySQL của mình
©2020 Rackspace US, Inc
Trừ khi có ghi chú khác, nội dung trên trang này được cấp phép theo Creative Commons Attribution-NonCommercial-NoDerivs 3. 0 Giấy phép chưa chuyển đổi