证书准备:
CA证书:
第一步:创建CA私钥
[root@localhost CA]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
第二步:生成自签证书
[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
————————————————————————————–
mysql准备私钥及证书申请文件 :
第一步:创建mysql私钥:
[root@localhost ~]# (umask 066;openssl genrsa -out /var/lib/mysql/ssl/mysql.key 2048)
第二步:生成证书申请文件及发送给CA服务端
[root@localhost ~]# openssl req -new -key /var/lib/mysql/ssl/mysql.key -days 365 -out /var/lib/mysql/ssl/mysql.csr
注意:国家,省 ,公司名称必须和CA一致
将证书申请文件发送至CA服务器
————————————————————————————–
在CA服务器端颁发证书:
[root@localhost CA]# openssl ca -in /tmp/mysql.csr -out /tmp/mysql.crt -days 365
附上查看证书中的信息命令:
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates
————————————————————————————–
将证书发送至mysql服务器
以及将CA的自签证书发送至从服务器
证书准备动作到此结束
基于ssl功能实现主从复制,是主从双方都需要互相验证,即从服务器也要有自己的证书。
所以,按照上述流程,生成slave服务器的证书
================================================
配置mysql服务端:
在主服务器端查看关于ssl有关的参数 及 主从复制–主服务器 的配置项:
MariaDB [(none)]> show variables like ‘%ssl%';
由于ssl功能配置项为全局配置参数,所以 编辑 /etc/my.cnf 文件 :
由于是客户端验证服务端,所以只需要配置 ssl_cert(mysql服务器端的证书位置)、ssl_key(mysql私钥位置)与ssl_ca(CA证书位置)即可
开启服务,并检查:
————————————————————————————–
新闻热点
疑难解答
