Debian MariaDB如何启用SSL加密 - 问答

在Debian上为MariaDB启用SSL加密，可以按照以下步骤进行操作：

1. 安装必要的软件包

首先，确保你已经安装了MariaDB和相关的SSL工具。

sudo apt update
sudo apt install mariadb-server mariadb-client

2. 生成SSL证书和密钥

你需要生成自签名的SSL证书和密钥，或者从受信任的证书颁发机构（CA）获取证书。

生成自签名证书和密钥

sudo mkdir /etc/mysql/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/mysql/ssl/mysql-key.pem -out /etc/mysql/ssl/mysql-cert.pem

在生成证书时，你需要填写一些信息，如国家、州、城市、组织名称等。

3. 配置MariaDB使用SSL

编辑MariaDB的配置文件 /etc/mysql/mariadb.conf.d/50-server.cnf（或 /etc/mysql/my.cnf），添加或修改以下配置：

[mysqld]
ssl-ca=/etc/mysql/ssl/mysql-cert.pem
ssl-cert=/etc/mysql/ssl/mysql-cert.pem
ssl-key=/etc/mysql/ssl/mysql-key.pem

[mysqld_safe]
ssl-ca=/etc/mysql/ssl/mysql-cert.pem
ssl-cert=/etc/mysql/ssl/mysql-cert.pem
ssl-key=/etc/mysql/ssl/mysql-key.pem

4. 重启MariaDB服务

保存配置文件后，重启MariaDB服务以应用更改。

sudo systemctl restart mariadb

5. 验证SSL连接

你可以使用 mysql 客户端工具来验证SSL连接是否成功。

mysql -u root -p --ssl-ca=/etc/mysql/ssl/mysql-cert.pem --ssl-cert=/etc/mysql/ssl/mysql-cert.pem --ssl-key=/etc/mysql/ssl/mysql-key.pem

如果连接成功，你应该会看到一个提示，说明SSL连接已启用。

6. 配置客户端连接

确保所有客户端在连接到MariaDB时都使用SSL。你可以在客户端的连接字符串中添加SSL选项，例如：

mysql -u root -p --ssl-ca=/etc/mysql/ssl/mysql-cert.pem --ssl-cert=/etc/mysql/ssl/mysql-cert.pem --ssl-key=/etc/mysql/ssl/mysql-key.pem -h your_host

7. 强制SSL连接（可选）

如果你希望所有连接都强制使用SSL，可以在MariaDB配置文件中添加以下配置：

[mysqld]
require_secure_transport=ON

然后重启MariaDB服务：

sudo systemctl restart mariadb

注意事项

自签名证书在生产环境中不推荐使用，因为它不被客户端信任。建议使用受信任的CA签发的证书。
确保防火墙允许MySQL端口（默认是3306）的流量。
定期更新和轮换SSL证书以确保安全性。

通过以上步骤，你应该能够在Debian上成功为MariaDB启用SSL加密。

0 赞

0 踩