一聚教程网:一个值得你收藏的教程网站

最新下载

热门教程

MySQL安装后怎么配置加密连接传输?

时间:2026-07-08 10:45:51 编辑:袖梨 来源:一聚教程网

MySQL安装后默认不启用加密传输,必须同时满足服务端have_ssl=YES、用户权限含REQUIRE SSL、客户端真实完成TLS握手三条件,缺一即静默降级为明文;需验证证书路径、权限(私钥600)、格式(PEM),并强制配置require_secure_transport=ON。

MySQL安装后默认不启用加密传输,即使生成了证书,连接仍是明文——必须手动配置服务端强制策略、用户权限和客户端行为三者联动,缺一不可。

确认have_ssl是否真为YES,而不是DISABLED

很多问题卡在第一步:你改了配置、放了证书、重启了服务,但SHOW VARIABLES LIKE 'have_ssl'返回DISABLED或空值。这不是配置没生效,而是mysqld启动时根本没加载OpenSSL模块。

  • 执行SHOW VARIABLES LIKE 'ssl_ca'ssl_certssl_key,三者必须返回非空的绝对路径,且对应文件真实存在
  • have_ssl = DISABLED常见于MariaDB精简版、Alpine镜像、或编译时未加-DWITH_SSL=system;重装官方二进制包比修编译更可靠
  • 顺带查SHOW VARIABLES LIKE 'tls_version',确认支持TLSv1.2TLSv1.3;旧客户端连不上时可临时放宽,但别长期开TLSv1.0

证书路径、格式、权限三者必须同时合规

MySQL对证书极其挑剔:只认绝对路径、只读PEM格式、私钥权限必须是600。相对路径、~/、权限>600的私钥都会导致启动失败或连接被拒。

  • 优先用内置工具生成(MySQL 5.7.6+):mysql_ssl_rsa_setup --datadir=/var/lib/mysql --uid=mysql,它自动处理subjectAltName,避免X509_V_ERR_IP_ADDRESS_MISMATCH
  • 证书必须放在MySQL进程有读权限的目录,如/var/lib/mysql/ca.pem,不能放/root//home/deploy/
  • 立刻修正权限:chown mysql:mysql /var/lib/mysql/*.pem && chmod 600 /var/lib/mysql/server-key.pem;MySQL拒绝读取组/其他可读的私钥
  • 私钥不能带密码——openssl rsa -in server-key.pem -out server-key.pem可去除密码(若存在)

require_secure_transport = ON才是生产底线

require_secure_transport = ON不是可选优化项,而是强制所有TCP连接走SSL的硬开关。只设ssl=ON或仅依赖用户权限,都可能被绕过。

  • 编辑/etc/my.cnf/etc/mysql/mysql.conf.d/mysqld.cnf,只在[mysqld]段添加:
    ssl_ca = /var/lib/mysql/ca.pemssl_cert = /var/lib/mysql/server-cert.pemssl_key = /var/lib/mysql/server-key.pemrequire_secure_transport = ON
  • 路径必须是绝对路径,不能用~/或相对路径;不要写在[client]段——那是客户端配置,对服务端无效
  • 改完必须systemctl restart mysqld(不是reload),SSL配置不支持热加载
  • 重启后立刻检查错误日志:tail -n 50 /var/log/mysqld.log | grep -i ssl;出现Failed to set up SSL说明证书或权限有问题

验证当前连接是否真走SSL,别信status只信Ssl_cipher

SHOW VARIABLES LIKE '%ssl%'只告诉你“配了什么”,STATUSs才反映当前连接实际状态。最直接的是查Ssl_cipher

  • 连上MySQL后执行:SELECT Ssl_cipher FROM information_schema.PROCESSLIST WHERE ID=CONNECTION_ID();
  • 返回为空字符串或NULL → 当前连接未使用SSL
  • 返回类似ECDHE-ECDSA-AES256-SHATLS_AES_256_GCM_SHA384 → 已加密
  • 客户端必须显式启用:mysql -u app -p --ssl-mode=REQUIREDmysql -u root -p默认不启用SSL
  • JDBC需加&useSSL=true&requireSSL=true;PyMySQL需传ssl={'ca': '/path/to/ca.pem'},只设ssl=True会跳过校验,失去防中间人意义

最容易被忽略的是:require_secure_transport=ON之后,所有未显式启用SSL的客户端连接会被直接拒绝,但错误提示仍是Access denied,不是SSL相关报错——这意味着你得从客户端日志或MySQL错误日志里翻SSL connection error才能定位真实原因。

热门栏目