从 PHP 使用 SSL 连接到远程 MySQL 服务器

Question

我正在尝试使用 mysql_connect 从 PHP 通过 SSL 连接到远程 MySQL 服务器：

$link = mysql_connect(
    "ip",
    "user",
    "pass",
    true,
    MYSQL_CLIENT_SSL
)

得到最严重的错误：

SSL connection error

我在 my.cnf 中添加了以下参数：

[client]
ssl-ca      =/etc/mysql/ssl/ca-cert.pm
ssl-cert    =/etc/mysql/ssl/client-cert.pem
ssl-key     =/etc/mysql/ssl/client-key.pem

所以我可以使用终端成功连接到远程mysql

#mysql -h ip -u user -p

所以与 mysql 服务器的连接确实有效，据我了解，问题在于 php/mysql 合作。可能我错过了一些参数。

不幸的是，我不能使用 mysqli lib，因为 pdo_mysql 的工作适配器太多。

我的 PHP 版本是 5.3.6-13ubuntu3.6 MySQL 版本是 5.1.61

我也加了

mssql.secure_connection = On

到我的 php.ini

我们将不胜感激！

Answer 1

如果您使用 PHP 7.3 和 AWS PEM 文件，请使用以下代码将数据库与 ssl 连接

UR AWS PEM FILE PATH =/home/cert/rds2019.pem
$mysqli = mysqli_init();
$mysqli->ssl_set(NULL,NULL,'UR AWS PEM FILE PATH',NULL,'DHE-RSA-AES256-SHA');
$mysqli->options(MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);
$mysqli->real_connect($dbHostName, $dbUserName, $dbPassword, $dataBaseName,PORT,NULL, MYSQLI_CLIENT_SSL);

返回 $mysqli;

用于 PDO 连接

$pdo = new PDO('mysql:host='.$dbHostName.';dbname='.$dataBaseName.'', $dbUserName, $dbPassword, array(
            //PDO::MYSQL_ATTR_SSL_KEY    =>NULL,

            //PDO::MYSQL_ATTR_SSL_CERT=>NULL,

            PDO::MYSQL_ATTR_SSL_CA    =>'UR AWS PEM FILE PATH',
            PDO::MYSQL_ATTR_SSL_CAPATH    =>NULL,
            PDO::MYSQL_ATTR_SSL_CIPHER    =>'DHE-RSA-AES256-SHA',
            PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false
            )
        );
return $pdo;

Answer 2

将[client] 标头更改为[mysqld]。您需要在那里设置服务器端证书，而不是客户端。

从 MySQL 文档中查看完整的 example。

另外，请参阅这个类似的问题：PHP to MySQL SSL Connections

服务器证书允许服务器响应 SSL 请求，它们不需要客户端拥有证书。每当您通过 HTTPS 连接到网站时，您都在使用服务器的证书来验证您是否连接到正确的服务器，并且您正在使用证书的公钥进行加密。

客户端证书允许服务器对客户端进行身份验证。

在您的情况下，您需要服务器证书。您想在服务器 (MySQL) 上安装证书，客户端 (PHP) 将能够验证服务器并使用证书的公钥设置加密。客户端证书相当少见。

如果您确实希望使用客户端证书，则必须使用 mysqli 或 PDO。

Answer 3

“很遗憾，我不能使用 mysqli lib，因为 pdo_mysql 的工作适配器太多。”

您正在使用旧的 MySQL 扩展 ("mysql_connect")，它不再处于开发阶段 (maintenance only)。由于您使用的是 PHP 5，您可能想要使用MySQLi，这是 MySQL 改进的 扩展。除其他外，它具有面向对象的接口、对准备好的/多条语句的支持以及增强的调试功能。您可以阅读有关转换为 MySQLi 的更多信息here；更多关于 mysqli 类本身的信息here。

这里有一些示例代码可以帮助您入门：

<?php
ini_set ('error_reporting', E_ALL);
ini_set ('display_errors', '1');
error_reporting (E_ALL|E_STRICT);

$db = mysqli_init();
mysqli_options ($db, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);

$db->ssl_set('/etc/mysql/ssl/client-key.pem', '/etc/mysql/ssl/client-cert.pem', '/etc/mysql/ssl/ca-cert.pem', NULL, NULL);
$link = mysqli_real_connect ($db, 'ip', 'user', 'pass', 'db', 3306, NULL, MYSQLI_CLIENT_SSL);
if (!$link)
{
    die ('Connect error (' . mysqli_connect_errno() . '): ' . mysqli_connect_error() . "\n");
} else {
    $res = $db->query('SHOW TABLES;');
    print_r ($res);
    $db->close();
}
?>

如果PDO_MYSQL 真的是你想要的，那么你需要做这样的事情：

<?php
$pdo = new PDO('mysql:host=ip;dbname=db', 'user', 'pass', array(
    PDO::MYSQL_ATTR_SSL_KEY    =>'/etc/mysql/ssl/client-key.pem',
    PDO::MYSQL_ATTR_SSL_CERT=>'/etc/mysql/ssl/client-cert.pem',
    PDO::MYSQL_ATTR_SSL_CA    =>'/etc/mysql/ssl/ca-cert.pem'
    )
);
$statement = $pdo->query("SHOW TABLES;");
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo htmlentities($row['_message']);
?>

但是，只有最新版本的 PHP 支持 PDO 的 SSL，并且 SSL 选项在（至少）版本 5.3.8 中被忽略：请参阅bug report。

祝你好运！