Сценарий: Аутентификация MySQL Server

05 июня 2024

ID 261227

Рекомендуется использовать TLS-сертификат для аутентификации сервера MySQL. Вы можете использовать сертификат доверенного центра сертификации (CA) или самоподписанный сертификат. Рекомендуется использовать сертификат доверенного центра сертификации (CA), так как самоподписанный сертификат обеспечивает лишь ограниченную защиту.

Сервер администрирования поддерживает как одностороннюю, так и двустороннюю SSL-аутентификацию для MySQL.

Включение односторонней SSL-аутентификации

Выполните следующие шаги, чтобы настроить одностороннюю SSL-аутентификацию для MySQL:

  1. Создайте самоподписанный сертификат SSL или TLS для SQL Server в соответствии с требованиями сертификата

    Если у вас уже есть сертификат для SQL Server, пропустите этот шаг.

    SSL-сертификат можно применять только к версиям SQL Server ранее 2016 года (13.x). В версиях SQL Server 2016 (13.x) и выше используйте TLS-сертификат.

  2. Создайте файл флага сервера

    Перейдите в директорию ServerFlags и создайте файл, соответствующий флагу сервера KLSRV_MYSQL_OPT_SSL_CA:

    cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

    touch KLSRV_MYSQL_OPT_SSL_CA

  3. Измените файл флага сервера

    В поле KLSRV_MYSQL_OPT_SSL_CA укажите путь к сертификату (файл ca-cert.pem).

  4. Настройте базу данных

    Укажите сертификаты в файле my.cnf. Откройте файл my.cnf в текстовом редакторе и добавьте следующие строки в раздел [mysqld]:

    [mysqld]

    ssl-ca="C:\mysqlCerts\ca-cert.pem"

    ssl-cert="C:\mysqlCerts\server-cert.pem"

    ssl-key="C:\mysqlCerts\server-key.pem"

Включение двусторонней SSL-аутентификации

Выполните следующие шаги, чтобы настроить двустороннюю SSL-аутентификацию для MySQL:

  1. Создайте файлы флага сервера

    Перейдите в директорию ServerFlags и создайте файлы, соответствующие флагам сервера:

    cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/

    touch KLSRV_MYSQL_OPT_SSL_CA

    touch KLSRV_MYSQL_OPT_SSL_CERT

    touch KLSRV_MYSQL_OPT_SSL_KEY

  2. Измените файлы флага сервера

    Изменить созданные файлы следующим образом:

    KLSRV_MYSQL_OPT_SSL_CA: укажите путь к файлу ca-cert.pem.

    KLSRV_MYSQL_OPT_SSL_CERT: укажите путь к файлу server-cert.pem.

    KLSRV_MYSQL_OPT_SSL_KEY: укажите путь к файлу server-key.pem.

    Если для server-key.pem требуется кодовая фраза, создайте файл KLSRV_MARIADB_OPT_TLS_PASPHRASE в папке ServerFlags и укажите в нем кодовую фразу.

  3. Настройте базу данных

    Укажите сертификаты в файле my.cnf. Откройте файл my.cnf в текстовом редакторе и добавьте следующие строки в раздел [mysqld]:

    [mysqld]

    ssl-ca="C:\mysqlCerts\ca-cert.pem"

    ssl-cert="C:\mysqlCerts\server-cert.pem"

    ssl-key="C:\mysqlCerts\server-key.pem"

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!