SSL连接的实例教程

零下一度

发布时间：2017-06-30 15:25:19

2075人浏览过

来源于php中文网

原创

mysql 5.7--------ssl连接最佳实战

1. 背景

* 在生产环境下，安全总是无法忽视的问题，数据库安全则是重中之重，因为所有的数据都存放在数据库中

* 当使用非加密方式连接MySQL数据库时，在网络中传输的所有信息都是明文的，可以被网络中所有人截取，敏感信息可能被泄露。在传送敏感信息（如密码）时，可以采用SSL连接的方式。

* 版本小于5.7.6时按照 MySQL 5.6 SSL配置的方式进行。

2. MySQL 连接方式

* socket连接

* TCP非SSL连接

* SSL安全连接

* SSL + 密码连接 [version > MySQL 5.7.5]

　　 * SSL + 密码 + 密钥连接

3. SSL 简介

* SSL指的是SSL/TLS，其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式，那么其在网络中以明文的方式进行传输，而这给别有用心的人带来了可乘之机。所以，现在很多网站其实默认已经开启了SSL功能，比如Facebook、Twtter、YouTube、淘宝等。

4. 环境 [ 关闭SeLinux ]

* system 环境

聚好用AI

可免费AI绘图、AI音乐、AI视频创作，聚集全球顶级AI，一站式创意平台

下载

[root@MySQL ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)

[root@MySQL ~]# uname -r
 
2.6.32-696.3.2.el6.x86_64
 

[root@MySQL ~]# getenforce 
Disabled

* MySQL 环境 [ MySQL 5.7安装前面篇章已做详细介绍 ]

have_openssl 与 have_ssl 值都为DISABLED表示ssl未开启

[root@MySQL ~]# mysql -p'123'

mysql: [Warning] Using a password on the command line interface can be insecure.
 
Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 6
Server version: 5.7.18 MySQL Community Server (GPL)
 

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.
 

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 

mysql> select version();
+-----------+
| version() |
+-----------+
| 5.7.18    |
+-----------+

1 row in set (0.00 sec)
 

mysql> show variables like 'have%ssl%';
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
+---------------+----------+

2 rows in set (0.02 sec)
 

mysql> show variables like 'port';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| port          | 3306  |
+---------------+-------+

1 row in set (0.01 sec)
 

mysql> show variables like 'datadir';
+---------------+-------------------+
| Variable_name | Value             |
+---------------+-------------------+

| datadir       | /data/mysql_data/ |
+---------------+-------------------+

1 row in set (0.01 sec)
5. SSL配置
   *  利用自带工具生成SSL相关文件 
 

[root@MySQL ~]# /usr/local/mysql/bin/mysql_ssl_rsa_setup --datadir=/data/mysql_data
Generating a 2048 bit RSA private key
..........................................................................+++
.....+++

writing new private key to 'ca-key.pem'
-----
Generating a 2048 bit RSA private key
.......................................................................................................................................................................+++
...+++

writing new private key to 'server-key.pem'
-----
Generating a 2048 bit RSA private key
.....................+++
...........................................+++

writing new private key to 'client-key.pem'
-----
 * 查看生成的SSL文件

[root@MySQL ~]# ls -l /data/mysql_data/*.pem

-rw------- 1 root root 1679 Jun 24 20:54 /data/mysql_data/ca-key.pem

-rw-r--r-- 1 root root 1074 Jun 24 20:54 /data/mysql_data/ca.pem

-rw-r--r-- 1 root root 1078 Jun 24 20:54 /data/mysql_data/client-cert.pem

-rw------- 1 root root 1675 Jun 24 20:54 /data/mysql_data/client-key.pem

-rw------- 1 root root 1675 Jun 24 20:54 /data/mysql_data/private_key.pem

-rw-r--r-- 1 root root  451 Jun 24 20:54 /data/mysql_data/public_key.pem

-rw-r--r-- 1 root root 1078 Jun 24 20:54 /data/mysql_data/server-cert.pem

-rw------- 1 root root 1675 Jun 24 20:54 /data/mysql_data/server-key.pem
* 重启 MySQL 服务

[root@MySQL ~]# /etc/init.d/mysqld restart
Shutting down MySQL.. SUCCESS! 
Starting MySQL. SUCCESS!
  * 连接MySQL 查看SSL开启状态     have_openssl 与 have_ssl 值都为YES表示ssl开启成功
 

mysql> show variables like 'have%ssl%';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_openssl  | YES   |
| have_ssl      | YES   |
+---------------+-------+

2 rows in set (0.03 sec)
6. SSL + 密码连接测试
    * 创建用户并指定 SSL 连接 [ MySQL 5.7后推荐使用create user 方式创建用户 ]
 

mysql> create user 'ssl_test'@'%' identified by '123' require SSL;
Query OK, 0 rows affected (0.00 sec)
 * 通过密码连接测试 [ 默认采用SSL连接，需要指定不使用SSL连接 ]

[root@MySQL ~]# mysql -h 192.168.60.129 -ussl_test -p'123' --ssl=0

mysql: [Warning] Using a password on the command line interface can be insecure.

ERROR 1045 (28000): Access denied for user 'ssl_test'@'192.168.60.129' (using password: YES)
  * 通过 SSL + 密码 连接测试       SSL: Cipher in use is DHE-RSA-AES256-SHA 表示通过SSL连接
 

[root@MySQL ~]# mysql -h 192.168.60.129 -ussl_test -p'123'  --ssl

mysql: [Warning] Using a password on the command line interface can be insecure.

WARNING: --ssl is deprecated and will be removed in a future version. Use --ssl-mode instead.
Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 12
Server version: 5.7.18 MySQL Community Server (GPL)
 

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.
 

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 
mysql> \s
--------------

mysql  Ver 14.14 Distrib 5.7.18, for linux-glibc2.5 (x86_64) using  EditLine wrapper
 

Connection id:     12
Current database:  
Current user:      ssl_test@192.168.60.129

SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:     stdout

Using outfile:     ''
Using delimiter:   ;
Server version:        5.7.18 MySQL Community Server (GPL)
Protocol version:  10

Connection:     192.168.60.129 via TCP/IP
Server characterset:   latin1
Db     characterset:   latin1
Client characterset:   utf8
Conn.  characterset:  utf8
TCP port:      3306
Uptime:         7 min 34 sec
 
Threads: 1  Questions: 29  Slow queries: 0  Opens: 112  Flush tables: 1  Open tables: 105  Queries per second avg: 0.063
--------------
 
7. SSL + 密码 + 密钥连接
 
    * 创建用户并指定 X509 [ SSL+密钥 ] 连接 [ MySQL 5.7后推荐使用create user 方式创建用户 ]
 

mysql> create user 'X509_test'@'%' identified by '123' require X509;
Query OK, 0 rows affected (0.00 sec)
* 通过密码连接测试

[root@MySQL ~]# mysql -h 192.168.60.129 -uX509_test -p'123' --ssl=0

mysql: [Warning] Using a password on the command line interface can be insecure.

ERROR 1045 (28000): Access denied for user 'X509_test'@'192.168.60.129' (using password: YES)
* 通过 SSL +密码 连接测试

[root@MySQL ~]# mysql -h 192.168.60.129 -uX509_test -p'123' --ssl

mysql: [Warning] Using a password on the command line interface can be insecure.

ERROR 1045 (28000): Access denied for user 'X509_test'@'192.168.60.129' (using password: YES)
   * 通过 SSL + 密码＋密钥连接测试　   SSL: Cipher in use is DHE-RSA-AES256-SHA 表示通过SSL连接
 

[root@MySQL ~]# mysql -h 192.168.60.129 -uX509_test -p'123' --ssl-cert=/data/mysql_data/client-cert.pem --ssl-key=/data/mysql_data/client-key.pem 

mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 21
Server version: 5.7.18 MySQL Community Server (GPL)
 

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.
 

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
 

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
 
mysql> \s
--------------

mysql  Ver 14.14 Distrib 5.7.18, for linux-glibc2.5 (x86_64) using  EditLine wrapper
 

Connection id:     21
Current database:  
Current user:      X509_test@192.168.60.129

SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:     stdout

Using outfile:     ''
Using delimiter:   ;
Server version:        5.7.18 MySQL Community Server (GPL)
Protocol version:  10

Connection:     192.168.60.129 via TCP/IP
Server characterset:   latin1
Db     characterset:   latin1
Client characterset:   utf8
Conn.  characterset:  utf8
TCP port:      3306
Uptime:         18 min 27 sec
 
Threads: 1  Questions: 40  Slow queries: 0  Opens: 118  Flush tables: 1  Open tables: 111  Queries per second avg: 0.036
--------------

mysql如何从底层源码理解SQL执行全过程_mysql内核入门导引

mysql主从复制中的并发控制与事务一致性

mysql如何优化IS NULL与IS NOT NULL索引_mysql空值处理

mysql索引不生效的原因有哪些_mysql优化排查方案

mysql触发器在MyISAM和InnoDB中的区别_mysql引擎差异

相关专题

TypeScript类型系统进阶与大型前端项目实践

本专题围绕 TypeScript 在大型前端项目中的应用展开，深入讲解类型系统设计与工程化开发方法。内容包括泛型与高级类型、类型推断机制、声明文件编写、模块化结构设计以及代码规范管理。通过真实项目案例分析，帮助开发者构建类型安全、结构清晰、易维护的前端工程体系，提高团队协作效率与代码质量。

2026.03.13

Python异步编程与Asyncio高并发应用实践

本专题围绕 Python 异步编程模型展开，深入讲解 Asyncio 框架的核心原理与应用实践。内容包括事件循环机制、协程任务调度、异步 IO 处理以及并发任务管理策略。通过构建高并发网络请求与异步数据处理案例，帮助开发者掌握 Python 在高并发场景中的高效开发方法，并提升系统资源利用率与整体运行性能。

2026.03.12

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

276

2026.03.11

Go高并发任务调度与Goroutine池化实践

本专题围绕 Go 语言在高并发任务处理场景中的实践展开，系统讲解 Goroutine 调度模型、Channel 通信机制以及并发控制策略。内容包括任务队列设计、Goroutine 池化管理、资源限制控制以及并发任务的性能优化方法。通过实际案例演示，帮助开发者构建稳定高效的 Go 并发任务处理系统，提高系统在高负载环境下的处理能力与稳定性。

2026.03.10

Kotlin Android模块化架构与组件化开发实践

本专题围绕 Kotlin 在 Android 应用开发中的架构实践展开，重点讲解模块化设计与组件化开发的实现思路。内容包括项目模块拆分策略、公共组件封装、依赖管理优化、路由通信机制以及大型项目的工程化管理方法。通过真实项目案例分析，帮助开发者构建结构清晰、易扩展且维护成本低的 Android 应用架构体系，提升团队协作效率与项目迭代速度。

2026.03.09

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

105

2026.03.06

Rust内存安全机制与所有权模型深度实践

本专题围绕 Rust 语言核心特性展开，深入讲解所有权机制、借用规则、生命周期管理以及智能指针等关键概念。通过系统级开发案例，分析内存安全保障原理与零成本抽象优势，并结合并发场景讲解 Send 与 Sync 特性实现机制。帮助开发者真正理解 Rust 的设计哲学，掌握在高性能与安全性并重场景中的工程实践能力。

230

2026.03.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

619

2026.03.04