mysql 8.0+ 默认内置ssl但不强制启用,需服务端加载证书、用户强制ssl、客户端明确启用并验证三步才能真正加密通信。
MySQL 8.0+ 默认已内置 SSL 支持,且首次启动时会自动生成一套证书(位于 /var/lib/mysql/ 下),但**默认不强制使用**——这意味着客户端仍可走明文连接,SSL 形同虚设。真正启用加密通信,必须完成三件事:服务端正确加载证书、用户被强制要求 SSL、客户端明确启用并验证。
确认 MySQL 是否已具备 SSL 能力
别急着改配置,先看现状。登录 MySQL 执行:
SHOW VARIABLES LIKE '%ssl%';
重点检查:have_ssl 必须为 YES;ssl_ca、ssl_cert、ssl_key 应显示有效路径(若为空或 DISABLED,说明未启用)。
- 常见错误现象:
have_ssl = DISABLED—— 多因配置文件路径写错、文件权限不对(MySQL 用户无读取权)、或证书格式损坏 - MySQL 8.0.43+ 若从未手动干预,通常已有
ca.pem、server-cert.pem、server-key.pem在数据目录,可直接复用 - 生产环境强烈建议替换为 CA 签发证书,避免客户端报
X509 certificate has expired或self-signed certificate in certificate chain
服务端配置:指定证书路径并重启
编辑 MySQL 配置文件(如 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf),在 [mysqld] 段落添加:
ssl-ca = /var/lib/mysql/ca.pem<br>ssl-cert = /var/lib/mysql/server-cert.pem<br>ssl-key = /var/lib/mysql/server-key.pem
- 路径必须绝对且真实存在;若挪到其他目录(如
/etc/mysql/ssl/),需chown mysql:mysql并确保 SELinux/AppArmor 不拦截 - MySQL 8.0+ 可用
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --uid=mysql一键重生成(覆盖旧证书),比手敲 OpenSSL 更少出错 - 重启后务必再执行
SHOW VARIABLES LIKE '%ssl%';验证,systemctl restart mysql后若服务起不来,查journalctl -u mysql -n 50看是否报SSL error: Unable to get private key类错误
强制用户走 SSL 连接(关键一步)
仅服务端配好证书,不等于连接就加密了。必须创建或修改用户,显式要求 SSL:
CREATE USER 'appuser'@'%' IDENTIFIED BY 'pwd123' REQUIRE SSL;<br>-- 或对已有用户:<br>ALTER USER 'appuser'@'%' REQUIRE SSL;
- 若跳过这步,客户端用
mysql -u appuser -p仍会走非加密连接,Wireshark 抓包可见明文密码和 SQL - 更严格可加
REQUIRE X509(要求客户端也提供证书)或REQUIRE SUBJECT '/CN=client1'做双向认证 - 注意:root 用户默认不限制 SSL,生产环境应单独约束,避免被绕过
客户端连接:指定 ssl-mode 和 CA 证书
命令行连接时,必须显式声明加密意图:
mysql -u appuser -p --ssl-mode=REQUIRED --ssl-ca=/path/to/ca.pem
-
--ssl-mode可选值:DISABLED(禁用)、PREFERRED(优先但不强制)、REQUIRED(必须加密,失败则拒连)、VERIFY_CA(校验 CA)、VERIFY_IDENTITY(校验域名/IP)——生产环境至少用VERIFY_CA - Java JDBC 连接串要加:
&useSSL=true&requireSSL=true&trustCertificateKeyStoreUrl=file:/path/to/truststore.jks - Python PyMySQL 示例:
ssl={'ca': '/path/to/ca.pem'};若漏掉ssl参数,即使服务端强制,客户端也会静默降级
最容易被忽略的点是:证书 CommonName(CN)必须与客户端连接时使用的地址一致(如用 mysql -h 192.168.1.10,则 server-cert.pem 的 CN 应为该 IP,而非 localhost)。否则 --ssl-mode=VERIFY_IDENTITY 会直接失败,而很多人只测了 REQUIRED 就以为万事大吉。
