SSL hoạt động như thế nào trong MySQL?
|
Trang này mô tả cách định cấu hình phiên bản để sử dụng SSL/TLS. Bạn cũng có thể tìm hiểu thêm về cách Cloud SQL sử dụng chứng chỉ SSL/TLS tự quản lý để kết nối an toàn với các phiên bản Cloud SQL Show
Tổng quanCloud SQL tự động tạo chứng chỉ máy chủ (_______09) khi bạn tạo phiên bản của mình. Chúng tôi khuyên bạn nên thực thi tất cả các kết nối để sử dụng SSL/TLS Để xác thực danh tính máy khách/máy chủ bằng chứng chỉ SSL/TLS, bạn cần tạo chứng chỉ ứng dụng khách và tải chứng chỉ xuống máy chủ máy khách MySQL của bạn. Ghi chú. Cloud SQL khuyến nghị xác thực lẫn nhau, bao gồm việc sử dụng chứng chỉ để xác thực cả máy khách và máy chủ. Việc thực thi mã hóa SSL/TLS như được mô tả bên dưới sẽ khiến TLS chung bắt buộc đối với tất cả khách hàng. Tuy nhiên, nếu SSL/TLS không được thực thi, vẫn có thể kết nối với TLS không tương hỗ bằng chứng chỉ máy chủĐể biết thêm thông tin, hãy tham khảo tài liệu dành cho công cụ cơ sở dữ liệu của bạn Bạn phải khởi động lại phiên bản sau khi thực thi SSL cho phiên bản. Tuy nhiên, bạn không cần khởi động lại phiên bản sau khi thay đổi chứng chỉ SSL/TLS. Nếu cần phải khởi động lại thì việc này sẽ được thực hiện tự động trong sự kiện cập nhật SSL Ghi chú. Nếu phiên bản Cloud SQL của bạn đang sử dụng địa chỉ IP công khai, bạn cần thêm địa chỉ IP của máy khách MySQL làm mạng được ủy quyền khi định cấu hình SSL/TLSThực thi mã hóa SSL/TLSThiết lập phiên bản Cloud SQL của bạn để chấp nhận các kết nối SSL/TLS sẽ bật các kết nối SSL/TLS cho phiên bản này, nhưng các kết nối không được mã hóa và không an toàn vẫn được chấp nhận. Nếu bạn không yêu cầu SSL/TLS cho tất cả các kết nối, các máy khách không có chứng chỉ hợp lệ sẽ được phép kết nối. Vì lý do này, nếu bạn đang truy cập phiên bản của mình bằng IP công cộng, bạn nên thực thi SSL cho tất cả các kết nốiKhi tùy chọn yêu cầu SSL/TLS được bật, bạn có thể sử dụng proxy Cloud SQL Auth hoặc chứng chỉ SSL/TLS để kết nối với phiên bản Cloud SQL của mình. Sử dụng proxy Cloud SQL Auth không yêu cầu Chứng chỉ SSL/TLS vì kết nối được mã hóa bất kể cài đặt Để bật yêu cầu SSL/TLS Trong bảng điều khiển Google Cloud, hãy truy cập trang Phiên bản Cloud SQL Chuyển đến Phiên bản đám mây SQL Để thực thi mã hóa SSL/TLS, hãy sử dụng tài nguyên Terraform sql_instance_ssl_cert/chính. tf Xem trên GitHub Phản hồi Áp dụng các thay đổiĐể áp dụng cấu hình Terraform của bạn trong dự án Google Cloud, hãy hoàn thành các bước sau
Xóa các thay đổiĐể xóa các thay đổi của bạn, hãy làm như sau
REST v1
REST v1beta4
Chứng chỉ máy chủCloud SQL tự động tạo chứng chỉ máy chủ khi bạn tạo phiên bản của mình. Miễn là chứng chỉ máy chủ hợp lệ, bạn không cần chủ động quản lý chứng chỉ máy chủ của mình. Tuy nhiên, chứng chỉ có thời hạn sử dụng là 10 năm; . Bạn được thông báo định kỳ rằng chứng chỉ máy chủ sắp hết hạn. Thông báo được gửi vào số ngày sau đây trước ngày hết hạn. 90, 30, 10, 2 và 1 Bạn có thể nhận thông tin về chứng chỉ máy chủ của mình, chẳng hạn như thời điểm chứng chỉ được tạo và thời điểm hết hạn hoặc tạo chứng chỉ mới theo cách thủ công Trong bảng điều khiển Google Cloud, hãy truy cập trang Phiên bản Cloud SQL Chuyển đến Phiên bản đám mây SQL Bạn có thể xem ngày hết hạn của chứng chỉ máy chủ trong bảng Để cung cấp thông tin chứng chỉ máy chủ dưới dạng đầu ra, hãy sử dụng nguồn dữ liệu Terraform Chứng chỉ ứng dụng kháchTạo chứng chỉ ứng dụng khách mớiBạn có thể tạo tối đa 10 chứng chỉ ứng dụng khách cho mỗi phiên bản. Để tạo chứng chỉ ứng dụng khách, bạn phải có vai trò IAM gcloud sql instances patch INSTANCE_NAME --require-ssl35 Dưới đây là một số điều quan trọng cần biết về chứng chỉ ứng dụng khách
Trong bảng điều khiển Google Cloud, hãy truy cập trang Phiên bản Cloud SQL Chuyển đến Phiên bản đám mây SQL Tạo chứng chỉ ứng dụng khách bằng lệnh export GOOGLE_CLOUD_PROJECT=PROJECT_ID5Quan trọng. Lưu trữ khóa riêng này một cách an toàn. Nếu bạn làm mất nó, bạn phải tạo chứng chỉ ứng dụng khách mới Truy xuất khóa công khai cho chứng chỉ bạn vừa tạo và sao chép nó vào tệp gcloud sql instances patch INSTANCE_NAME --require-ssl37 bằng lệnh export GOOGLE_CLOUD_PROJECT=PROJECT_ID6 Sao chép chứng chỉ máy chủ vào tệp terraform init9 bằng lệnh export GOOGLE_CLOUD_PROJECT=PROJECT_ID7 địa hìnhĐể tạo chứng chỉ ứng dụng khách, hãy sử dụng tài nguyên Terraform sql_instance_ssl_cert/chính. tf Xem trên GitHub Phản hồi export GOOGLE_CLOUD_PROJECT=PROJECT_ID8 REST v1
REST v1beta4
Tại thời điểm này, bạn có
Tùy thuộc vào công cụ bạn sử dụng để kết nối, ba mục này được chỉ định theo những cách khác nhau. Ví dụ: khi kết nối bằng máy khách MySQL, ba tệp này lần lượt là các giá trị cho các tùy chọn lệnh Làm cách nào để sử dụng SSL với MySQL?Định cấu hình kết nối SSL MySQL . Tạo thư mục để lưu trữ các khóa SSL. Để tạo thư mục chứa khóa SSL, hãy thực hiện các bước sau. . Tạo khóa SSL. Ghi chú. . Chỉnh sửa cấu hình MySQL. . Kiểm tra cấu hình SSL. . Tạo người dùng và cho phép truy cập từ xa. . Kiểm tra kết nối MySQL từ xa SSL cho MySQL là gì?Theo mặc định, MySQL được cấu hình để chỉ cho phép các kết nối từ hệ thống cục bộ. Nếu bạn muốn kết nối với máy chủ MySQL từ một hệ thống từ xa, bạn nên bảo mật nó bằng SSL/TLS. Kích hoạt SSL/TLS sẽ mã hóa dữ liệu được gửi đến và từ cơ sở dữ liệu .
MySQL có sử dụng SSL theo mặc định không?Cấu hình SSL mặc định trong MySQL
. Tuy nhiên, không bắt buộc khách hàng kết nối bằng SSL. Khách hàng có thể chọn kết nối có hoặc không có SSL vì máy chủ cho phép cả hai loại kết nối. By default, MySQL server always installs and enables SSL configuration. However, it is not enforced that clients connect using SSL. Clients can choose to connect with or without SSL as the server allows both types of connections.
Máy khách MySQL có sử dụng SSL không?Theo mặc định, các máy chủ MySQL được biên dịch bằng OpenSSL sẽ tạo các tệp này trong thư mục dữ liệu khi khởi động nếu chúng không có mặt. (MySQL Enterprise Edition được biên dịch bằng OpenSSL. ) Yêu cầu duy nhất là tùy chọn --ssl được bật theo mặc định và không có tùy chọn --ssl- * nào khác được chỉ định . |
