在MySQL离线环境中配置SSL加密连接,能够有效保障数据库与客户端之间的数据传输安全。虽然缺少网络源可能导致依赖包获取困难,但只要提前准备好所需文件并正确配置,完全可以实现SSL安全连接。以下是详细的配置步骤。
1. 确认MySQL是否支持SSL
在开始配置前,先确认当前MySQL版本是否具备SSL功能:
登录MySQL执行:SHOW VARIABLES LIKE 'have_ssl';,若返回值为YES,表示支持SSL。 同时检查have_openssl变量,也应为YES。 如果返回DISABLED或NO,说明未启用SSL,需确保使用的是带有SSL支持的MySQL发行版(如官方编译版本)。2. 生成SSL证书和密钥(离线环境自建CA)
在无网络环境下,需要手动创建私有CA并签发证书。可提前在有网络的机器上生成,再拷贝至目标服务器。
安装OpenSSL工具(离线安装包需提前准备)。 创建工作目录,例如:/etc/mysql/ssl。 生成CA私钥:openssl genrsa 2048 > ca-key.pem。 生成CA证书:openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca.pem。 生成服务器私钥和请求文件:openssl genrsa 2048 > server-key.pem
openssl req -new -key server-key.pem -out server-req.pem 将请求转换为证书:openssl x509 -req -in server-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem。 客户端同理生成client-cert.pem和client-key.pem。 所有文件复制到MySQL服务器的SSL目录,并设置权限:chmod 600 *.pem,归属mysql用户。
3. 配置MySQL启用SSL
编辑MySQL配置文件my.cnf(通常位于/etc/my.cnf或/etc/mysql/my.cnf),在[mysqld]段添加以下内容:
ssl-ca = /etc/mysql/ssl/ca.pem ssl-cert = /etc/mysql/ssl/server-cert.pem ssl-key = /etc/mysql/ssl/server-key.pem保存后重启MySQL服务:systemctl restart mysql 或对应启动脚本。
再次登录MySQL,执行SHOW VARIABLES LIKE '%ssl%';,确认各项路径正确且SSL处于ON状态。
4. 创建强制SSL连接的用户
为了强制使用加密连接,可以创建仅允许SSL的数据库用户:
执行SQL命令:CREATE USER 'secure_user'@'%' IDENTIFIED BY 'StrongPassword';
REQUIRE SSL;
或更严格的要求:REQUIRE X509;(需客户端提供有效证书) 授权访问:GRANT SELECT, INSERT ON db.* TO 'secure_user'@'%'; 刷新权限:FLUSH PRIVILEGES;
客户端连接时需指定证书(如使用MySQL命令行):
mysql -u secure_user -p --host=your_ip --ssl-ca=ca.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem
基本上就这些。整个过程在离线环境下关键是提前准备好OpenSSL工具和MySQL带SSL支持的版本。证书生成一次可长期使用,建议妥善保管私钥文件。配置完成后,数据库通信即受到加密保护,防止中间人攻击和数据窃听。
