场景:验证 MySQL 服务器
我们建议您使用 TLS 证书对 MySQL 服务器进行身份验证。您可以使用来自可信证书颁发机构 (CA) 的证书或自签名证书。请使用来自可信 CA 的证书,因为自签名证书仅提供有限保护。
管理服务器支持 MySQL 的单向和双向 SSL 身份验证。
启用单向 SSL 身份验证
请按照以下步骤为 MySQL 配置单向 SSL 身份验证:
- 根据证书要求,为 SQL Server 生成自签名 SSL 或 TLS 证书
如果您已经有 SQL Server 证书,请跳过此步骤。
SSL 证书仅适用于 2016 (13.x) 之前的 SQL Server 版本。在 SQL Server 2016 (13.x) 及更高版本中,使用 TLS 证书。
- 创建服务器标志文件
导航到 ServerFlags 目录并创建与 KLSRV_MYSQL_OPT_SSL_CA 服务器标志对应的文件:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
- 修改服务器标志文件
在 KLSRV_MYSQL_OPT_SSL_CA 文件中,指定证书的路径(ca-cert.pem 文件)。
- 配置数据库
在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"
启用双向 SSL 身份验证
请按照以下步骤为 MySQL 配置双向 SSL 身份验证:
- 创建服务器标志文件
导航到 ServerFlags 目录并创建与服务器标志对应的文件:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
touch KLSRV_MYSQL_OPT_SSL_CERT
touch KLSRV_MYSQL_OPT_SSL_KEY
- 修改服务器标志文件
编辑创建的文件如下:
KLSRV_MYSQL_OPT_SSL_CA:指定 ca-cert.pem 文件的路径。
KLSRV_MYSQL_OPT_SSL_CERT:指定 server-cert.pem 文件的路径。
KLSRV_MYSQL_OPT_SSL_KEY:指定 server-key.pem 文件的路径。
如果 server-key.pem 需要密码,请在 ServerFlags 文件夹中创建 KLSRV_MARIADB_OPT_TLS_PASPHRASE 文件并在其中指定密码。
- 配置数据库
在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"