多种不同的 MySQL 的 SSL 配置

在这篇博客的帖子里，我将会描述不同的使用MySQL数据库的SSL配置方法。

SSL给了你什么?

你可以通过互联网使用 MySQL 复制特性（replication） 或者通过互联网连接到MySQL。

还有可能是你通过企业网去连接，这样会有很多人访问。如果你使用一个自带设备（BYOD）网络，这就更是一个问题了。

SSL在这里通过加密网络防止有针对性的监听。在与正确的服务器进行交互时，可以有效应对中间人攻击（man-in-the-middle attacks）。

你还可以使用SSL客户端证书，让它同密码一起作为身份识别的二要素。

SSL不是唯一的选择， 你可以使用SSH和许多MySQL GUI客户端，类似MySQL Workbench提供的那个产品。 但是SSH的python脚本，或者mysqldump，不是那么易用。

需要注意的事情：

使用SSL在绝大多数情况下要比不使用SSL要好，所以没有太多可能出现问题的地方。

但是以下几点需要注意：

对安全性的错误估计

你认为你在SSL的保护之下，但是你可能忘记设置一些选项从而导致程序可以接受非SSL的连接，所以要确保设置必须使用SSL作为连接方式。可以使用Wireshark或者其它类似的工具来检测你的流量是否都真的被加密处理。

没有及时更新证书

你应该通过一些方法在证书即将过期的时候通知自己。可以是nagios检查，可以是日历里面的小贴士，可以来自于证书签发机构的email。如果证书过期，将会导致你的客户端无法正常获得响应。

性能

如果性能很重要，就应该做基准测试，来看看没有SSL的情况下有什么影响。在 OpenSSL 和 YaSSL 下尝试不同的密码，并看哪个的执行效果最佳。

使用流量监测的工具

如果你在使用像 VividCortex，pt-query-digest 基于 pcap 的工具，那么你应该确保在部署完SSL后，这些工具还能用，可以提供密钥来实现。然后使用一个非 Diffie-Hellman (DH)的密码，或者使用其他的源，如 performance_schema、slow query log，这还要看你的应用程序支持哪种，也可能会包含一些负载均衡的设置。

MySQL 中的 SSL 和浏览器中的 SSL 有什么不同

浏览器默认有一个 CA 的信任列表，但 MySQL 默认是没有的。这就是他们最大的不同。MySQL 和OpenVPN 使用SSL非常相似。

MySQL server 和 Web server 都开启了 SSL，同时也都需要有客户端证书，这是他们相同的地方。

有一些细微的协议支持差别，比如：MySQL 只支持 TLS v1.0，默认不支持主机名验证，所以你的证书可能是给db1.example.com的，也可能是给db2.example的，浏览器则可能会用OCSP、CRL's 或 CRLsets 来验证证书是否有效。 MySQL 5.6以后就只支持CRL验证。

配置 1: Server/Client 的内部 CA

最基本的安装和我创建mysslgen的位置。