当前位置: 首页 > 图文教程 > 数据库 > MYSQL > MYSQL教程:建立加密连接

MYSQL
MySQL数据库在网络安全方面的功能
MySQL数据库中触发器应用深入研究
MySQL和SQL Server 我们到底选择谁?
把mysql中的乱码变成正常的编码
教你编写高质量 高性能的MySQL语法
教你编写高质量、高性能的MySQL语法
MySQL和PostgreSQLl两数据库的对决
MySQL入门学习指南
加速动态网站之MySQL索引分析和优化
SQL Server数据库导入MySQL数据库体验
将你的网站从MySQL改为PostgreSQL
教你自动恢复MySQL数据库的日志文件
MySQL数据库中用GRANT语句增添新用户
教你怎样配置MySQL数据库双机热备份
mysql5.0 绿色安装
Mysql 数据库字符集转换及版本升级/降级的详细教程
MySQL 的数据类型和建库策略
推荐:MySQL数据库中鲜为人知的技巧
mysql在linux下远程连接错误的问题
MySQL数据库中备份/恢复的两方法介绍

MYSQL教程:建立加密连接


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-30   浏览: 55 ::
收藏到网摘: n/a

加密连接可提高数据的安全性,但会降低性能。要进行加密连接,必须满足以下要求:

  • user权限表里要有相关的SSL数据列。如果安装的MySQL服务器是4.0.0版的,user权限表已包含相关的SSL数据列,否则,我们也可用mysql_fix_privilege_tables脚本升级权限表。

  • 服务器和客户程序都已经编译有OpenSSL支持。首先要安装openssl,在编译时MySQL服务器时加--with-vio和--with-openssl选项加上openssl支持。可用以下语句查询服务器是否支持SSL:

    mysql> show variables like 'have_openssl';
    
  • 在启动服务器时用有关选项指明证书文件和密钥文件的位置。在建立加密连接前,要准备三个文件,一个CA证书,是由可信赖第三方出具的证书,用来验证客户端和服务器端提供的证书。CA证书可向商业机构购买,也可自行生成。第二个文件是证书文件,用于在连接时向对方证明自已身份的文件。第三个文件是密钥文件,用来对在加密连接上传输数据的加密和解密。MySQL服务器端的证书文件和密钥文件必须首先安装,在sampdb发行版本的ssl目录里有几个供参考的样本文件:ca-cert.pem(CA证书),server-cert.pem(服务器证书),server-key.pem(服务器公共密钥)。把这几个文件拷贝到服务器的数据目录中,再在选项文件里加上以下内容:

    [mysqld]
    ssl-ca=/usr/local/mysql/data/ca-cert.pem
    ssl-cert=/usr/local/mysql/data/server-cert.pem
    ssl-key=/usr/local/mysql/data/server-key.pem
    

    重启服务器,使配置生效。

  • 要想让某个客户程序建立加密连接,必须在调用这个客户程序时用有关选项告诉它在哪里能找到其证书文件和密钥文件。在sampdb发行版的ssl目录中提供了client-cert.pem(客户证书文件),client-key.pem(客户密钥文件),CA证书与服务器使用同样的ca-cert.pem。把他们拷贝到个人目录下,并在.my.cnf选项文件中指出文件位置,如:

    [mysql]
    ssl-ca=/home/mysql/ca-cert.pem
    ssl-cert=/home/mysql/client-cert.pem
    ssl-key=/home/mysql/client-key.pem
    

    配置完成后,调用mysql程序运行\s或SHOW STATUS LIKE 'SSL%'命令,如果看到SSL:的信息行就说明是加密连接了。如果把SSL相关的配置写进选项文件,则默认是加密连接的。也可用mysql程序的--skip-ssl选项取消加密连接。如果用命令行方式启用加密连接可以这样写:

    % mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem
    

可用GRANT语句的REQUIRE SSL选项来强制用户使用加密连接。

本文由软晨学习网(http://www.ruanchen.com)整理发布!转载请注明出处,谢谢!

使用sampdb发行版的证书可以建立一个加密连接,但由于该文件已公开,所以安全性不好,我们可以在测试成功后自行建立证书或购买商业证书,以提高安全性。如何自行建立SSL证书的文档在sampdb发行版的ssl/README文件里有说明。