MySQL 使用 TLS(传输层安全)可以有效防止数据在传输过程中被窃听或篡改,特别是在客户端与服务器跨网络通信时。启用 TLS 后,连接会被加密,提升整体安全性。
1. 生成或获取 TLS 证书和密钥
MySQL 支持使用 SSL/TLS 加密客户端与服务器之间的通信,前提是要有有效的证书文件:
CA 证书(ca.pem):用于验证服务器身份 服务器证书(server-cert.pem):服务器的公钥证书 服务器私钥(server-key.pem):服务器的私钥,必须保密你可以使用 OpenSSL 自签证书,例如:
# 生成私钥 openssl genrsa -out ca-key.pem 2048生成 CA 证书
openssl req -new -x509 -key ca-key.pem -out ca.pem -days 3650
生成服务器私钥和证书请求
openssl req -newkey rsa:2048 -nodes -keyout server-key.pem -out server-req.pem
将请求转换为证书
openssl x509 -req -in server-req.pem -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem -days 3650
2. 配置 MySQL 启用 TLS
编辑 MySQL 配置文件(通常是 my.cnf 或 my.ini),在 [mysqld] 段中添加以下内容:
[mysqld] ssl-ca = /path/to/ca.pem ssl-cert = /path/to/server-cert.pem ssl-key = /path/to/server-key.pem保存后重启 MySQL 服务:
sudo systemctl restart mysql重启后进入 MySQL 执行以下命令确认 TLS 已启用:
SHOW VARIABLES LIKE '%ssl%';如果 have_ssl 的值为 YES,说明 TLS 已准备就绪。
3. 强制用户连接使用加密
为了提升安全性,可以强制特定用户只能通过加密连接访问:
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL; -- 或修改已有用户 ALTER USER 'existing_user'@'%' REQUIRE SSL;使用 REQUIRE SSL 后,该用户无法建立未加密的连接。
你也可以使用更严格的策略,如 REQUIRE X509 或指定具体证书属性。
4. 客户端连接时启用加密
客户端连接时可显式启用 TLS:
mysql -u secure_user -h your.mysql.host --ssl-mode=REQUIRED -p常用 ssl-mode 选项:
PREFERRED:优先使用加密,但允许降级 REQUIRED:必须加密,不验证证书 VERIFY_CA:验证 CA 证书 VERIFY_IDENTITY:验证 CA 和主机名推荐生产环境使用 VERIFY_CA 或更高模式。
基本上就这些。启用 TLS 能显著提升 MySQL 通信安全性,尤其在公网或不可信网络中部署时必不可少。证书管理要规范,私钥需严格保护,避免泄露。配置完成后建议定期检查连接加密状态。
