要在 MySQL 中启用加密连接(即使用 SSL/TLS 加密客户端与服务器之间的通信),需要完成几个关键步骤:检查 SSL 支持、配置 MySQL 服务端启用 SSL、确保有有效的证书和密钥文件,并在客户端连接时启用加密。以下是具体操作方法。
检查 MySQL 是否支持 SSL
登录到 MySQL 服务器后,执行以下命令查看是否支持 SSL:
SHOW VARIABLES LIKE 'have_ssl';
如果返回值为 YES,说明 MySQL 编译时支持 SSL。再检查 SSL 是否已启用:
SHOW VARIABLES LIKE 'ssl_mode';
若值为 DISABLED 或 EMPTY,则需要配置启用。
配置 MySQL 服务端启用 SSL
MySQL 在 5.7 及以上版本默认会自动生成 SSL 证书和密钥文件,通常位于数据目录下(如 ca.pem、server-cert.pem、server-key.pem)。可通过以下命令查看文件位置:
SHOW VARIABLES LIKE '%ssl%';
确保以下关键文件存在:
ca.pem:CA 证书 server-cert.pem:服务器公钥证书 server-key.pem:服务器私钥如果没有,可以手动创建或让 MySQL 自动生成。编辑 MySQL 配置文件(通常是 my.cnf 或 my.ini),在 [mysqld] 段中添加:
ssl-ca=ca.pem ssl-cert=server-cert.pem ssl-key=server-key.pem
保存后重启 MySQL 服务。
强制客户端使用加密连接
可以通过设置用户账户的连接要求来强制使用 SSL。例如,创建或修改用户:
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL;
或修改现有用户:
ALTER USER 'existing_user'@'%' REQUIRE SSL;
这样该用户连接时必须使用加密通道,否则将被拒绝。
客户端连接时可显式指定使用 SSL。例如使用命令行客户端:
mysql -u secure_user -h your_host -p --ssl-mode=REQUIRED
其他客户端(如应用程序)也应配置连接字符串启用 SSL,例如在 JDBC 中添加:
?useSSL=true&requireSSL=true
验证加密连接是否生效
连接成功后,执行以下语句确认当前连接是否加密:
STATUS;
查看输出中的 SSL: 行,如果显示 Cipher in use is TLS_AES_256_GCM_SHA384 或类似内容,表示已加密。
也可以查询:
SHOW STATUS LIKE 'Ssl_cipher';
如果有非空值返回,说明当前连接使用了 SSL 加密。
基本上就这些。只要证书正确、配置无误,MySQL 的加密连接就能有效防止数据在传输过程中被窃听。建议定期更新证书并监控连接安全性。
