MySQL 構成 SSL マスタースレーブ レプリケーション

MySQL5.6 SSLファイルの作成方法

公式ドキュメント: https://dev.mysql.com/doc/refman/5.6/en/creating-ssl-files-using-openssl.html#creating-ssl-files-using-openssl-unix-command-line

クリーンな環境を作る

mkdir /home/mysql/mysqlcerts && cd /home/mysql/mysqlcerts

CA証明書を作成する

openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem

サーバー証明書を作成し、パスフレーズを削除して署名する

server-cert.pem = 公開鍵、server-key.pem = 秘密鍵
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in サーバーキー.pem -out サーバーキー.pem
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

クライアント証明書を作成し、パスフレーズを削除して署名する

client-cert.pem = 公開鍵、client-key.pem = 秘密鍵
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in クライアントキー.pem -out クライアントキー.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
openssl verify -CAfile ca.pem server-cert.pem client-cert.pem
server-cert.pem: OK
client-cert.pem: OK

MySQL5.7 SSLファイルの作成方法

公式ドキュメント: https://dev.mysql.com/doc/refman/5.7/en/creating-ssl-rsa-files-using-mysql.html

mkdir -p /home/mysql/mysqlcerts
/usr/local/mysql-5.7.21-linux-glibc2.12-x86_64/bin/mysql_ssl_rsa_setup --datadir=/home/mysql/mysqlcerts/

SSLを作成した後、メインライブラリを構成する

ライブラリ 192.168.1.222 から

mkdir -p /home/mysql/mysqlcerts

メインライブラリ

chown -R mysql.mysql /home/mysql/mysqlcerts/
scp ca.pem クライアント証明書.pem クライアントキー.pem [email protected]:/home/mysql/mysqlcerts/

マスターライブラリ認証

GRANT REPLICATION SLAVE ON *.* TO 'repl'@'192.168.1.222' identified by '' require ssl;

メインライブラリ my.cnf

#SSL
ssl-ca=/home/mysql/mysqlcerts/ca.pem
ssl-cert=/home/mysql/mysqlcerts/server-cert.pem
ssl-key=/home/mysql/mysqlcerts/server-key.pem

MySQLを再起動する

図書館から

chown -R mysql.mysql /home/mysql/mysqlcerts/

マイ.cnf

ssl-ca=/home/mysql/mysqlcerts/ca.pem
ssl-cert = /home/mysql/mysqlcerts/client-cert.pem
ssl-key= /home/mysql/mysqlcerts/クライアントキー.pem

レプリケーションを作成します。

マスターを、master_host='',master_user='',master_password='',master_log_file='mysql-bin.000001',master_log_pos=154, master_ssl=1, master_ssl_ca='/home/mysql/mysqlcerts/ca.pem', master_ssl_cert='/home/mysql/mysqlcerts/client-cert.pem', master_ssl_key='/home/mysql/mysqlcerts/client-key.pem' 、MASTER_CONNECT_RETRY=10 に変更します。

確認する：
メインデータベースがSSL認証で構成された後、クライアントはデフォルトでSSLを使用してログインします。

mysql -utest -h192.168.1.223 -ptest -P3307

(このアカウントは、SSL が設定されているかどうかに関係なくログインできます)

SSL なしでログインするコマンドは次のとおりです。

mysql -utest -h192.168.1.223 -ptest -P3307 --ssl-mode=DISABLED

（アカウントがSSLを必要とするように設定されている場合は、ログインできません）