在Debian上配置MariaDB以使用SSL加密通信涉及幾個步驟�����。以下是一個基本的指南�,幫助你設置SSL加密通信:
1. 安裝MariaDB
如果你還沒有安裝MariaDB��,可以使用以下命令進行安裝:
sudo apt update
sudo apt install mariadb-server mariadb-client
2. 生成SSL證書和密鑰
你需要生成自簽名證書或從受信任的證書頒發機構獲取證書�。以下是生成自簽名證書的步驟:
生成CA證書
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/mysql/ssl/ca-key.pem -out /etc/mysql/ssl/ca-cert.pem
生成服務器證書和密鑰
sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/server-req.pem
sudo openssl x509 -req -in /etc/mysql/ssl/server-req.pem -days 365 -CA /etc/mysql/ssl/ca-cert.pem -CAkey /etc/mysql/ssl/ca-key.pem -set_serial 01 -out /etc/mysql/ssl/server-cert.pem
生成客戶端證書和密鑰(可選)
如果你需要客戶端證書進行雙向認證����,可以生成客戶端證書和密鑰:
sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/mysql/ssl/client-key.pem -out /etc/mysql/ssl/client-req.pem
sudo openssl x509 -req -in /etc/mysql/ssl/client-req.pem -days 365 -CA /etc/mysql/ssl/ca-cert.pem -CAkey /etc/mysql/ssl/ca-key.pem -set_serial 02 -out /etc/mysql/ssl/client-cert.pem
3. 配置MariaDB使用SSL
編輯MariaDB配置文件 /etc/mysql/mariadb.conf.d/50-server.cnf(或 /etc/mysql/my.cnf)��,添加或修改以下內容:
[mysqld]
ssl-ca=/etc/mysql/ssl/ca-cert.pem
ssl-cert=/etc/mysql/ssl/server-cert.pem
ssl-key=/etc/mysql/ssl/server-key.pem
ssl-verify-server-cert=1
require_secure_transport=1
4. 重啟MariaDB服務
保存配置文件并重啟MariaDB服務以應用更改:
sudo systemctl restart mariadb
5. 配置防火墻
確保防火墻允許MySQL/MariaDB的默認端口(3306)上的流量:
sudo ufw allow 3306/tcp
6. 驗證SSL連接
你可以使用 mysql 客戶端工具來驗證SSL連接是否正常工作:
mysql -u root -p --ssl-ca=/etc/mysql/ssl/ca-cert.pem --ssl-cert=/etc/mysql/ssl/client-cert.pem --ssl-key=/etc/mysql/ssl/client-key.pem
如果一切配置正確�����,你應該能夠成功連接到MariaDB服務器��,并且連接將是加密的����。
注意事項
- 確保所有證書和密鑰文件的權限設置正確���,以防止未經授權的訪問�����。
- 在生產環境中�����,建議使用受信任的證書頒發機構(CA)簽發的證書�����,而不是自簽名證書����。
- 定期更新證書以避免過期�。
通過以上步驟����,你應該能夠在Debian上成功配置MariaDB以使用SSL加密通信���。
