MySQL 设置 SSL 安全连接可以提升数据库通信的安全性,防止数据在传输过程中被窃听或篡改。要实现 SSL 连接,需要在服务器端配置 SSL 证书和密钥,并在客户端连接时启用 SSL。以下是具体操作步骤。
1. 检查 MySQL 是否支持 SSL
登录 MySQL 执行以下命令:
SELECT ssl_cipher FROM performance_schema.session_status WHERE variable_name = 'Ssl_cipher';或者使用:
SHOW VARIABLES LIKE '%ssl%';如果 have_ssl 的值为 YES,说明 MySQL 支持 SSL。若为 DISABLED,则可能缺少证书文件。
2. 生成 SSL 证书和密钥
MySQL 提供了自带的脚本自动创建测试用的证书,位于安装目录下的 mysql_ssl_rsa_setup。
运行命令(以 Linux 为例):
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql该命令会生成如下文件:
ca.pem:CA 证书 server-cert.pem、server-key.pem:服务器证书和私钥 client-cert.pem、client-key.pem:客户端证书和私钥确保这些文件权限安全,仅 MySQL 用户可读。
3. 配置 MySQL 启用 SSL
编辑 MySQL 配置文件(通常为 my.cnf 或 mysqld.cnf),在 [mysqld] 段添加:
[mysqld]ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
保存后重启 MySQL 服务:
sudo systemctl restart mysql再次执行 SHOW VARIABLES LIKE '%ssl%';,确认 SSL 已启用且证书路径正确。
4. 创建强制 SSL 的用户
建议为远程访问的用户启用 SSL 要求:
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL;GRANT SELECT, INSERT ON mydb.* TO 'secure_user'@'%';
FLUSH PRIVILEGES;
REQUIRE SSL 表示该用户必须通过 SSL 连接。
5. 客户端连接使用 SSL
使用 MySQL 客户端连接时指定 SSL 参数:
mysql -u secure_user -p --host=your.mysql.host \ --ssl-ca=ca.pem \ --ssl-cert=client-cert.pem \ --ssl-key=client-key.pem如果服务器证书可信,连接将通过加密通道进行。
对于应用程序(如 PHP、Python),在连接字符串中启用 SSL 并传入相应证书路径。
基本上就这些。只要证书配置正确,MySQL 的 SSL 连接就能有效保护数据传输安全。生产环境建议使用由可信 CA 签发的证书,而非自签名。配置完成后定期检查连接状态和日志,确保无异常。不复杂但容易忽略的是文件权限和路径正确性。
