场景:验证 MySQL 服务器
我们建议您使用 TLS 证书对 MySQL 服务器进行身份验证。您可以使用来自可信证书颁发机构 (CA) 的证书或自签名证书。请使用来自可信 CA 的证书,因为自签名证书仅提供有限保护。
管理服务器支持 MySQL 的单向和双向 SSL 身份验证。
启用单向 SSL 身份验证
请按照以下步骤为 MySQL 配置单向 SSL 身份验证:
- 导航到 ServerFlags 目录并创建与 KLSRV_MYSQL_OPT_SSL_CA 服务器标志对应的文件:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
mkfile KLSRV_MYSQL_OPT_SSL_CA
- 在 KLSRV_MYSQL_OPT_SSL_CA 文件中,指定证书的路径(ca-cert.pem 文件)。
- 在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca="C:/mysqlCerts/ca-cert.pem"
ssl-cert="C:/mysqlCerts/server-cert.pem"
ssl-key="C:/mysqlCerts/server-key.pem"
启用双向 SSL 身份验证
请按照以下步骤为 MySQL 配置双向 SSL 身份验证:
- 导航到 ServerFlags 目录并创建与服务器标志对应的文件:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
mkfile KLSRV_MYSQL_OPT_SSL_CA
mkfile KLSRV_MYSQL_OPT_SSL_CERT
mkfile KLSRV_MYSQL_OPT_SSL_KEY
- 编辑创建的文件如下:
KLSRV_MYSQL_OPT_SSL_CA:指定 ca-cert.pem 文件的路径。
KLSRV_MYSQL_OPT_SSL_CERT:指定 server-cert.pem 文件的路径。
KLSRV_MYSQL_OPT_SSL_KEY:指定 server-key.pem 文件的路径。
如果 server-key.pem 需要密码,请在 ServerFlags 文件夹中创建 KLSRV_MARIADB_OPT_TLS_PASPHRASE 文件并在其中指定密码。
- 在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca="C:/mysqlCerts/ca-cert.pem"
ssl-cert="C:/mysqlCerts/server-cert.pem"
ssl-key="C:/mysqlCerts/server-key.pem"