MySQL 8.0+ 默认已内置 SSL 支持,且首次启动时会自动生成一套证书(位于
/var/lib/mysql/下),但**默认不强制使用**——这意味着客户端仍可走明文连接,SSL 形同虚设。真正启用加密通信,必须完成三件事:服务端正确加载证书、用户被强制要求 SSL、客户端明确启用并验证。
确认 MySQL 是否已具备 SSL 能力
别急着改配置,先看现状。登录 MySQL 执行:
SHOW VARIABLES LIKE '%ssl%';
重点检查:
have_ssl必须为
YES;
ssl_ca、
ssl_cert、
ssl_key应显示有效路径(若为空或
DISABLED,说明未启用)。 常见错误现象:
have_ssl = DISABLED—— 多因配置文件路径写错、文件权限不对(MySQL 用户无读取权)、或证书格式损坏 MySQL 8.0.43+ 若从未手动干预,通常已有
ca.pem、
server-cert.pem、
server-key.pem在数据目录,可直接复用 生产环境强烈建议替换为 CA 签发证书,避免客户端报
X509 certificate has expired或
self-signed certificate in certificate chain
服务端配置:指定证书路径并重启
编辑 MySQL 配置文件(如
/etc/my.cnf或
/etc/mysql/mysql.conf.d/mysqld.cnf),在
[mysqld]段落添加:
ssl-ca = /var/lib/mysql/ca.pem<br>ssl-cert = /var/lib/mysql/server-cert.pem<br>ssl-key = /var/lib/mysql/server-key.pem路径必须绝对且真实存在;若挪到其他目录(如
/etc/mysql/ssl/),需
chown mysql:mysql并确保 SELinux/AppArmor 不拦截 MySQL 8.0+ 可用
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --uid=mysql一键重生成(覆盖旧证书),比手敲 OpenSSL 更少出错 重启后务必再执行
SHOW VARIABLES LIKE '%ssl%';验证,
systemctl restart mysql后若服务起不来,查
journalctl -u mysql -n 50看是否报
SSL error: Unable to get private key类错误
强制用户走 SSL 连接(关键一步)
仅服务端配好证书,不等于连接就加密了。必须创建或修改用户,显式要求 SSL:
CREATE USER 'appuser'@'%' IDENTIFIED BY 'pwd123' REQUIRE SSL;<br>-- 或对已有用户:<br>ALTER USER 'appuser'@'%' REQUIRE SSL;若跳过这步,客户端用
mysql -u appuser -p仍会走非加密连接,Wireshark 抓包可见明文密码和 SQL 更严格可加
REQUIRE X509(要求客户端也提供证书)或
REQUIRE SUBJECT '/CN=client1'做双向认证 注意:root 用户默认不限制 SSL,生产环境应单独约束,避免被绕过
客户端连接:指定 ssl-mode 和 CA 证书
命令行连接时,必须显式声明加密意图:
mysql -u appuser -p --ssl-mode=REQUIRED --ssl-ca=/path/to/ca.pem
--ssl-mode可选值:
DISABLED(禁用)、
PREFERRED(优先但不强制)、
REQUIRED(必须加密,失败则拒连)、
VERIFY_CA(校验 CA)、
VERIFY_IDENTITY(校验域名/IP)——生产环境至少用
VERIFY_CAJava JDBC 连接串要加:
&useSSL=true&requireSSL=true&trustCertificateKeyStoreUrl=file:/path/to/truststore.jksPython PyMySQL 示例:
ssl={'ca': '/path/to/ca.pem'};若漏掉 ssl参数,即使服务端强制,客户端也会静默降级
最容易被忽略的点是:证书 CommonName(CN)必须与客户端连接时使用的地址一致(如用
mysql -h 192.168.1.10,则 server-cert.pem 的 CN 应为该 IP,而非
localhost)。否则
--ssl-mode=VERIFY_IDENTITY会直接失败,而很多人只测了
REQUIRED就以为万事大吉。
