Dayakan TLS untuk pelanggan MySQL

TLS juga dikenali sebagai SSL (Secure Sockets Layer). Ia merujuk kepada keselamatan lapisan pengangkutan.

Apabila terdapat sambungan tidak disulitkan antara klien dan pelayan MySQL, seseorang yang mempunyai akses rangkaian boleh memerhati semua trafik dan memeriksa data yang dihantar atau diterima antara klien dan pelayan. Apabila pengguna ingin menghantar maklumat melalui rangkaian dengan cara yang selamat, sambungan yang tidak disulitkan tidak diterima.

Untuk membuat sebarang jenis data tidak boleh dibaca, penyulitan mesti digunakan. Algoritma penyulitan selalunya mengandungi elemen keselamatan yang membantu menahan banyak serangan yang diketahui, beberapa daripadanya termasuk menukar susunan mesej yang disulitkan atau memainkan semula data dua kali. MySQL menyokong sambungan yang disulitkan yang berlaku antara klien dan pelayan, yang kedua-duanya menggunakan protokol TLS. Tetapi MySQL tidak menggunakan protokol SSL untuk sambungan yang disulitkan kerana penyulitannya lemah.

TLS menggunakan algoritma penyulitan untuk memastikan data yang diterima pada rangkaian awam adalah data yang boleh dipercayai. Ia mempunyai banyak kaedah untuk mengesan perubahan, kehilangan atau main semula data. TLS juga menggunakan algoritma pengesahan dengan standard X.509.

Langkah untuk mendayakan penyulitan TLS

MySQL setiap sambungan. Penyulitan untuk pengguna tertentu boleh menjadi pilihan atau wajib. Ini membolehkan pengguna memilih sambungan yang disulitkan atau tidak disulitkan bergantung pada keperluan aplikasi.

Mari kita fahami cara mendayakan TLS untuk klien MySQL:

• Semasa memulakan pelayan, parameter ssl-cert dan ssl-key mesti dinyatakan dalam fail konfigurasi.
• Sijil atau kunci ditandatangani dan dijana menggunakan OpenSSL.
• Kunci ini juga boleh dijana menggunakan alat mysql_ssl_rsa_setup dalam MySQL:

mysql_ssl_rsa_setup --datadir=./certs

Jika parameter adalah betul, sambungan selamat akan dihantar sebagai output, yang didayakan pada permulaan.
• Muat semula sijil, kunci dan CA - Laksanakan kenyataan ALTER INSTANCE RELOAD TLS pada contoh pelayan. Ini memastikan bahawa contoh pelayan tidak perlu dimuat semula.
• Selepas berjaya melaksanakan sambungan yang telah ditetapkan, sijil, kunci dan CA yang baru dimuatkan berkuat kuasa.
• Konfigurasikan klien MySQL untuk menggunakan sambungan yang disulitkan - cuba untuk mewujudkan sambungan yang disulitkan secara lalai. Jika pelayan tidak menyokong sambungan yang disulitkan, sambungan yang tidak disulitkan dikembalikan secara automatik.
• Tingkah laku sambungan pelanggan boleh diubah menggunakan parameter --ssl-mode:

  --ssl-mode=REQUIRED- Tells that en encrypted connection is needed.

Memerlukan pengesahan untuk didayakan: Jika parameter ssl-ca tidak ditentukan, klien atau pelayan tidak mengesahkan secara lalai.

• Parameter ssl-cert dan ssl-key mesti dinyatakan dalam pelayan.
• Nyatakan parameter --ssl-ca dalam klien MySQL.
• Nyatakan --ssl-mode sebagai VERIFY_CA dalam klien MySQL.
• Sijil konfigurasi pelayan (ssl-cert) ditandatangani oleh CA yang ditentukan oleh parameter --ssl-ca pelanggan.
• Jika tidak, pengesahan gagal.

Untuk mengesahkan klien MySQL daripada pelayan:

• Nyatakan parameter ssl-cert, ssl-key dan ssl-ca dalam pelayan.
• Nyatakan parameter --ssl-cert dan --ssl-key dalam klien.
• Sijil yang dikonfigurasikan oleh pelayan dan sijil yang dikonfigurasikan oleh pelanggan ditandatangani oleh ssl-ca yang ditentukan oleh pelayan.
• Pengesahan pelayan kepada pelanggan adalah pilihan. Jika pelanggan tidak mengemukakan sijil pengesahannya semasa jabat tangan TLS, sambungan TLS akan tetap diwujudkan.
• Semak sama ada sambungan semasa menggunakan sebarang penyulitan.

Atas ialah kandungan terperinci Dayakan TLS untuk pelanggan MySQL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!