在MySQL中启用加密连接可以确保客户端与服务器之间的数据传输安全,防止敏感信息被窃听。要实现加密连接,需要配置SSL(Secure Sockets Layer)或TLS(Transport Layer Security)。以下是具体配置步骤。
检查MySQL是否支持SSL
首先确认你的MySQL服务器是否编译并启用了SSL支持。
登录MySQL执行:SHOW VARIABLES LIKE 'have_ssl'; 如果返回值为 YES,说明支持SSL;若为 DISABLED 或 NO,则需重新编译或安装支持SSL的版本。生成SSL证书和密钥
MySQL可以使用自带的脚本自动生成SSL证书文件,也可以使用OpenSSL手动创建。
进入MySQL的bin目录,运行:mysql_ssl_rsa_setup --datadir=/path/to/ssl_dir 该命令会生成如 ca.pem、server-cert.pem、server-key.pem、client-cert.pem、client-key.pem 等必要文件。 确保证书文件权限安全(如600),避免其他用户读取。配置MySQL启用SSL
编辑MySQL配置文件 my.cnf(Linux下通常位于 /etc/my.cnf 或 /etc/mysql/my.cnf)。
在 [mysqld] 段添加以下内容:[mysqld] ssl-ca = /path/to/ssl_dir/ca.pem ssl-cert = /path/to/ssl_dir/server-cert.pem ssl-key = /path/to/ssl_dir/server-key.pem重启MySQL服务使配置生效:systemctl restart mysql 再次执行 SHOW VARIABLES LIKE 'have_ssl'; 应显示 YES。
强制用户使用SSL连接
你可以为特定用户设置连接必须使用SSL。
创建或修改用户时指定REQUIRE SSL:CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL; -- 或 ALTER USER 'existing_user'@'%' REQUIRE SSL;用户连接时将自动启用加密,否则拒绝访问。
客户端连接测试SSL
使用MySQL客户端测试是否通过SSL连接成功。
连接时添加 --ssl-mode=REQUIRED 参数:mysql -u secure_user -h your_host -p --ssl-mode=REQUIRED登录后执行:STATUS; 查看输出中的 "SSL" 行,显示加密协议表示连接已加密。 也可执行:SHOW SESSION STATUS LIKE 'Ssl_cipher'; 若有返回值,说明正在使用SSL。
基本上就这些。只要证书配置正确,MySQL能自动处理加密握手。生产环境中建议定期更新证书,并结合防火墙策略进一步提升安全性。不复杂但容易忽略细节,比如路径权限或配置段落写错位置。
