mysql启用ssl数据加密

SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯，防止数据中途被窃取。

[TOC]

启用ssl加密步骤

• 第1步，mysql 5.7.6及以上版本可利用 mysql_ssl_rsa_setup 生成用于加密和解密mysql连接的私钥证书（mysql8.0亦如此）

[root@localhost ~]# mysql_ssl_rsa_setup --user=mysql --datadir=/data/mysql_3306/var

[root@localhost ~]# ls -l /data/mysql_3306/var/*.pem
-rw-------. 1 mysql mysql 1676 Nov 30 22:32 /data/mysql_3306/var/ca-key.pem             #CA私钥
-rw-r--r--. 1 mysql mysql 1120 Nov 30 22:32 /data/mysql_3306/var/ca.pem                 #自签的CA证书，客户端连接也需要提供
-rw-r--r--. 1 mysql mysql 1120 Nov 30 22:32 /data/mysql_3306/var/client-cert.pem        #客户端连接服务器端需要提供的证书文件
-rw-------. 1 mysql mysql 1680 Nov 30 22:32 /data/mysql_3306/var/client-key.pem         #客户端连接服务器端需要提供的私钥文件
-rw-------. 1 mysql mysql 1676 Nov 30 22:32 /data/mysql_3306/var/private_key.pem        #私钥/公钥对的私有成员
-rw-r--r--. 1 mysql mysql  452 Nov 30 22:32 /data/mysql_3306/var/public_key.pem         #私钥/公钥对的共有成员
-rw-r--r--. 1 mysql mysql 1120 Nov 30 22:32 /data/mysql_3306/var/server-cert.pem        #服务器端证书文件
-rw-------. 1 mysql mysql 1680 Nov 30 22:32 /data/mysql_3306/var/server-key.pem         #服务器端私钥文件

• 第2步，修改 my.cnf 配置ssl证书

[mysqld]
ssl=1
ssl-ca=/data/mysql_3306/var/ca.pem
ssl-cert=/data/mysql_3306/var/server-cert.pem
ssl-key=/data/mysql_3306/var/server-key.pem

• 第3步，开启或关闭SSL加密，需要重启mysql服务以生效

ps -ef | grep mysql | grep -v grep | awk '{print $2}' | xargs kill -9 2>/dev/null
mysqld_safe --defaults-file=/data/mysql_3306/my_3306.cnf &

• 第4步，使用ssl连接mysql，并确认ssl已启用

[root@localhost ~]# cd /data/mysql_3306/var/
[root@localhost ~]# mysql -h 127.0.0.1 -udba_admin -p --ssl-ca=ca.pem --ssl-cert=server-cert.pem --ssl-key=server-key.pem

mysql> show variables where variable_name in ('have_ssl','ssl_ca','ssl_cert','ssl_key');
+---------------+--------------------------------------+
| Variable_name | Value                                |
+---------------+--------------------------------------+
| have_ssl      | YES                                  |
| ssl_ca        | /data/mysql_3306/var/ca.pem          |
| ssl_cert      | /data/mysql_3306/var/server-cert.pem |
| ssl_key       | /data/mysql_3306/var/server-key.pem  |
+---------------+--------------------------------------+

mysql> show status like 'Ssl_cipher';
+---------------+-----------------------------+
| Variable_name | Value                       |
+---------------+-----------------------------+
| Ssl_cipher    | ECDHE-RSA-AES128-GCM-SHA256 |  #.加密套件
+---------------+-----------------------------+

mysql> show global variables like 'tls_version';
+---------------+-----------------------+
| Variable_name | Value                 |
+---------------+-----------------------+
| tls_version   | TLSv1,TLSv1.1,TLSv1.2 |  #.从mysql 5.7.35开始,不推荐使用TLSv1和TLSv1.1协议,而mysql8.0则默认只启用TLSv1.2协议
+---------------+-----------------------+

mysql> \s
Current user:           dba_admin@127.0.0.1
SSL:                    Cipher in use is ECDHE-RSA-AES128-GCM-SHA256     #.表示该用户采用SSL连接，如果不是ssl则显示 Not in use

应用程序配置ssl连接

• 第1步，新建用户强制使用ssl连接

#.mysql5.7支持在create user及grant中require ssl,但mysql8.0只支持在create user的时候require ssl
create user if not exists 'ssltest'@'%' identified by 'Admin_147' require ssl;
grant select on *.* to 'ssltest'@'%';
flush privileges;

• 第2步，开启强制SSL后，用户连接mysql使用TCP方式连接默认会使用SSL，无需加其他选项

[root@localhost ~]# cd /data/mysql_3306/var/
[root@localhost ~]# mysql -ussltest -pAdmin_147 -h127.0.0.1
mysql> \s
Current user:           ssltest@127.0.0.1
SSL:                    Cipher in use is ECDHE-RSA-AES128-GCM-SHA256

• 第3步，开启强制SSL后，用户连接mysql如果通过--ssl-mode=disabled手动关闭SSL，则无法连接上数据库

[root@localhost ~]# cd /data/mysql_3306/var/
[root@localhost ~]# mysql -ussltest -pAdmin_147 -h127.0.0.1 --ssl-mode=disabled
ERROR 1045 (28000): Access denied for user 'ssltest'@'127.0.0.1' (using password: YES)

• 第4步，修改代码中的连接字符串，通过 useSSL=true 启用ssl，示例如下：

jdbc:mysql://127.0.0.1:3306/testdb?allowPublicKeyRetrieval=true&useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=Asia/Shanghai\
&useSSL=true&requireSSL=true&verifyServerCertificate=true&trustCertificate=<path_to_cert>

指定用户强制使用ssl连接

• 指定用户是否强制使用SSL连接

#.设置已存在用户是否使用ssl连接
alter user 'ssltest'@'%' require none;      #.非强制,也是默认选项
alter user 'ssltest'@'%' require ssl;       #.强制用户使用SSL连接
alter user 'ssltest'@'%' require x509;      #.使用X509方式的SSL,客户端必须提供ca文件才可以登录

#.确认用户是否强制使用ssl连接
select user,host,ssl_type from mysql.user;

附录

启用ssl的安全性对比

• 场景1：在app服务器（比如10.30.3.231）上，利用mysql客户端登录数据库并执行insert操作，使用 --ssl-mode=disabled 关闭SSL

[root@localhost ~]# mysql -h 127.0.0.1 -udba_admin -p --ssl-mode=disabled
mysql> create table testdb.tb01(id int, name varchar(10));
mysql> insert into testdb.tb01 values(1,'aaa')

• 结论1：在未使用SSL情况下，在mysql服务器（比如10.30.3.231）上，利用tshark进行抓包可以获取数据，安全性不高。
• 场景2：在app服务器（比如10.30.3.231）上，利用mysql客户端登录数据库并执行insert操作，使用 --ssl-mode=required 指定SSL

[root@localhost ~]# mysql -h 127.0.0.1 -udba_admin -p --ssl-mode=required
mysql> create table testdb.tb01(id int, name varchar(10));
mysql> insert into testdb.tb01 values(2,'bbb')

• 结论2：采用SSL加密后，在mysql服务器（比如10.30.3.231）上，利用tshark抓不到数据，安全性高。

启用ssl的性能对比

• 开启SSL会增加网络连接响应时间和CPU消耗，开启前请评估对业务的性能影响
• 开启SSL后，建立连接时需要进行握手、加密、解密等操作。根据经验，数据库QPS平均降低了23%左右，相对还是比较影响性能的。
• 一般耗时基本都在建立连接阶段，这对于使用短链接的应用程序（比如php）可能产生更大的性能损耗，不过如果使用连接池或者长连接可能会好许多。