答案:MySQL通过TLS加密通信可防止数据窃听和篡改。首先使用OpenSSL生成CA证书、服务器证书及私钥;接着在my.cnf中配置ssl-ca、ssl-cert和ssl-key指向对应文件并重启MySQL服务;执行SHOW VARIABLES确认have_ssl为YES;然后通过REQUIRE SSL强制用户加密连接;客户端连接时应设置–ssl-mode=REQUIRED或更高安全级别;最后需妥善管理证书与私钥,定期检查加密状态。
MySQL 使用 TLS(传输层安全)可以有效防止数据在传输过程中被窃听或篡改,特别是在客户端与服务器跨网络通信时。启用 TLS 后,连接会被加密,提升整体安全性。
1. 生成或获取 TLS 证书和密钥
MySQL 支持使用 SSL/TLS 加密客户端与服务器之间的通信,前提是要有有效的证书文件:
- CA 证书(ca.pem):用于验证服务器身份
- 服务器证书(server-cert.pem):服务器的公钥证书
- 服务器私钥(server-key.pem):服务器的私钥,必须保密
你可以使用 OpenSSL 自签证书,例如:
# 生成私钥 openssl genrsa -out ca-key.pem 2048
生成 CA 证书
openssl req -new -x509 -key ca-key.pem -out ca.pem -days 3650
生成服务器私钥和证书请求
openssl req -newkey rsa:2048 –nodes -keyout server-key.pem -out server-req.pem
将请求转换为证书
openssl x509 -req -in server-req.pem -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem -days 3650
2. 配置 MySQL 启用 TLS
编辑 MySQL 配置文件(通常是 my.cnf 或 my.ini),在 [mysqld] 段中添加以下内容:
[mysqld] ssl-ca = /path/to/ca.pem ssl-cert = /path/to/server-cert.pem ssl-key = /path/to/server-key.pem
保存后重启 MySQL 服务:
sudo systemctl restart mysql
重启后进入 MySQL 执行以下命令确认 TLS 已启用:
SHOW VARIABLES LIKE ‘%ssl%’;
如果 have_ssl 的值为 YES,说明 TLS 已准备就绪。
3. 强制用户连接使用加密
为了提升安全性,可以强制特定用户只能通过加密连接访问:
CREATE USER ‘secure_user’@’%’ IDENTIFIED BY ‘password‘ REQUIRE SSL; — 或修改已有用户 ALTER USER ‘existing_user’@’%’ REQUIRE SSL;
使用 REQUIRE SSL 后,该用户无法建立未加密的连接。
你也可以使用更严格的策略,如 REQUIRE X509 或指定具体证书属性。
4. 客户端连接时启用加密
客户端连接时可显式启用 TLS:
mysql -u secure_user -h your.mysql.host –ssl-mode=REQUIRED -p
常用 ssl-mode 选项:
- PREFERRED:优先使用加密,但允许降级
- REQUIRED:必须加密,不验证证书
- VERIFY_CA:验证 CA 证书
- VERIFY_IDENTITY:验证 CA 和主机名
推荐生产环境使用 VERIFY_CA 或更高模式。
基本上就这些。启用 TLS 能显著提升 MySQL 通信安全性,尤其在公网或不可信网络中部署时必不可少。证书管理要规范,私钥需严格保护,避免泄露。配置完成后建议定期检查连接加密状态。