【发布时间】:2015-05-01 14:42:34
【问题描述】:
我的任务是对 MySQL 的所有本地和远程连接进行加密,并且所有客户端都必须通过客户端 SSL 证书进行验证。
但我什至无法从 shell 连接到 MySQL,并且总是得到“用户ssluser@localhost...的访问被拒绝”
平台:
- 带有 Amazon Linux AMI 的 Amazon EC2 micro(已安装所有更新)
- MySQL 5.7.7
我已经按照this instruction创建了自签名证书
# Create CA certificate
# -----------
# CN = localdomain.com
$ openssl genrsa 2048 > ca-key.pem
$ openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
# Create server certificate, remove passphrase, and sign it
# server-cert.pem = public key, server-key.pem = private key
# -----------
# CN = cn1.localdomain.com
$ openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
$ openssl rsa -in server-key.pem -out server-key.pem
$ openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
# Create client certificate, remove passphrase, and sign it
# client-cert.pem = public key, client-key.pem = private key
# -----------
# CN = cn2.localdomain.com
$ openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
$ openssl rsa -in client-key.pem -out client-key.pem
$ openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
我已经创建了 MySQL DB 用户用于测试
CREATE USER 'ssl-user'@'%' identified by '123';
GRANT USAGE ON *.* TO 'ssluser'@'%' identified by '123' REQUIRE X509;
FLUSH PRIVILEGES;
编辑了我的.cnf
[mysqld]
ssl-ca=/etc/pki/mysql_ssl/ca.pem
ssl-cert=/etc/pki/mysql_ssl/server-cert.pem
ssl-key=/etc/pki/mysql_ssl/server-key.pem
[client]
ssl-cert=/etc/pki/mysql_ssl/client-cert.pem
ssl-key=/etc/pki/mysql_ssl/client-key.pem
并重新启动 mysqld...
比我尝试从 shell 连接
mysql -ussluser -p123123123 --ssl-cert=/etc/pki/mysql_ssl/client-cert.pem --ssl-key=/etc/pki/mysql_ssl/client-key.pem
并且总是得到“ssluser@localhost 的访问被拒绝(使用密码:YES)。
我还尝试使用我们购买的 WildCard Comodo 证书仅加密连接(但不验证客户端),但没有成功。
我有点困惑,因为我知道很多人实际上都在使用 MySQL SSL,但我仍然无法让它工作。 任何帮助将不胜感激。
【问题讨论】:
标签: mysql ssl amazon-ec2