Сценарий: Аутентификация MySQL Server
Рекомендуется использовать TLS-сертификат для аутентификации сервера MySQL. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат.
Сервер администрирования поддерживает как одностороннюю, так и двустороннюю SSL-аутентификацию для MySQL.
Включение односторонней SSL-аутентификации
Выполните следующие шаги, чтобы настроить одностороннюю SSL-аутентификацию для MySQL:
- Создание самоподписанного TLS-сертификата для сервера MySQL.
Выполните следующую команду:
openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem
openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem
openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
- Создайте файл флага сервера
С помощью утилиты klscflag создайте флаг сервера KLSRV_MYSQL_OPT_SSL_CA и укажите путь к сертификату в качестве его значения. Утилита klscflag находится в директории, в которой установлен Сервер администрирования. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
путь к
ca-cert.pem>-t d
- Настройте базу данных
Укажите сертификаты в файле my.cnf. Откройте файл my.cnf в текстовом редакторе и добавьте следующие строки в раздел [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"
Включение двусторонней SSL-аутентификации
Выполните следующие шаги, чтобы настроить двустороннюю SSL-аутентификацию для MySQL:
- Создайте файлы флага сервера
С помощью утилиты klscflag создайте флаги сервера и укажите путь к файлам сертификатов в качестве их значений:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
путь к
ca-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <
путь к
server-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <
путь к
server-key.pem> -t d
Утилита klscflag находится в директории, в которой установлен Сервер администрирования. По умолчанию задан путь /opt/kaspersky/ksc64/sbin.
- Укажите парольную фразу (необязательно)
Если server-key.pem требует кодовую фразу, создайте флаг KLSRV_MARIADB_OPT_TLS_PASPHRASE и укажите кодовую фразу в качестве его значения:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <
кодовая фраза
> -t d
- Настройте базу данных
Укажите сертификаты в файле my.cnf. Откройте файл my.cnf в текстовом редакторе и добавьте следующие строки в раздел [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"