- A+
所属分类:教程文章
MySQL 镜像配置 SSL 加密是为了在客户端与数据库服务器之间建立安全连接,防止数据在传输过程中被窃听或篡改。尤其是在使用 Docker 部署 MySQL 时,正确配置 SSL 是保障数据通信安全的重要步骤。下面介绍如何为 MySQL 镜像配置 SSL 安全连接。
生成 SSL 证书和密钥
MySQL 使用 OpenSSL 来实现 SSL 加密连接。你需要为服务器生成自签名证书和私钥,也可以使用 CA 签发的证书。
在主机上执行以下命令生成所需的文件:
# 创建存放证书的目录 mkdir -p ./mysql-ssl cd ./mysql-ssl <h1>生成 CA 私钥和证书</h1><p>openssl genrsa 2048 > ca-key.pem openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca.pem -subj "/CN=MySQL CA"</p><h1>生成服务器私钥和证书请求</h1><p>openssl req -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem -out server-req.pem -subj "/CN=mysql-server" openssl rsa -in server-key.pem -out server-key.pem openssl x509 -req -in server-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem</p><h1>生成客户端证书(可选,用于双向认证)</h1><p>openssl req -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem -out client-req.pem -subj "/CN=mysql-client" openssl rsa -in client-key.pem -out client-key.pem openssl x509 -req -in client-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 02 -out client-cert.pem</p>
生成后你会得到以下几个关键文件:
- ca.pem:CA 根证书
- server-cert.pem:服务器证书
- server-key.pem:服务器私钥
- client-cert.pem 和 client-key.pem:客户端证书和私钥(如需双向验证)
配置 MySQL 镜像启用 SSL
使用官方 MySQL 镜像时,可以通过挂载证书文件并配置 my.cnf 来启用 SSL。
创建配置文件 my.cnf:
[mysqld] ssl-ca=/var/lib/mysql/ca.pem ssl-cert=/var/lib/mysql/server-cert.pem ssl-key=/var/lib/mysql/server-key.pem require_secure_transport=ON
说明:
- ssl-ca、ssl-cert、ssl-key 指定证书路径
- require_secure_transport=ON 强制所有连接必须使用 SSL
编写 docker-compose.yml 文件示例:
version: '3.8'
services:
mysql:
image: mysql:8.0
environment:
MYSQL_ROOT_PASSWORD: your_root_password
ports:
- "3306:3306"
volumes:
- ./mysql-ssl:/var/lib/mysql
- ./my.cnf:/etc/mysql/conf.d/ssl.cnf
command: ['--default-authentication-plugin=mysql_native_password']
启动容器:
docker-compose up -d
验证 SSL 是否生效
进入 MySQL 容器并登录:
豆绘AI
485
豆绘AI是国内领先的AI绘图与设计平台,支持照片、设计、绘画的一键生成。
485
查看详情
docker exec -it mysql-container mysql -u root -p
执行以下 SQL 查看 SSL 状态:
SHOW VARIABLES LIKE '%ssl%';
输出中应看到:
- have_ssl 的值为 YES
- ssl_ca、ssl_cert、ssl_key 显示正确路径
查看当前连接是否使用 SSL:
STATUS;
在输出中查找 “SSL” 字段,若显示 Cipher 则表示连接已加密。
客户端连接配置(例如使用 MySQL Workbench 或命令行)
连接时需要指定 CA 证书以验证服务器身份。
- 在 MySQL Workbench 中新建连接,选择“SSL”标签页
- 设置“SSL CA File”为本地的 ca.pem
- 可选:上传客户端证书用于双向认证
命令行连接示例:
mysql -h 127.0.0.1 -u root -p \ --ssl-mode=VERIFY_CA \ --ssl-ca=./mysql-ssl/ca.pem \ --ssl-cert=./mysql-ssl/client-cert.pem \ --ssl-key=./mysql-ssl/client-key.pem
ssl-mode 可选值:
- PREFERRED:优先使用 SSL
- REQUIRED:必须使用 SSL(不验证证书)
- VERIFY_CA:验证服务器证书是否由可信 CA 签发
- VERIFY_IDENTITY:额外验证主机名
基本上就这些。只要证书生成正确、文件挂载无误、配置项写对,MySQL 镜像就能成功启用 SSL 加密连接。生产环境建议使用正式 CA 签发的证书,并开启双向认证增强安全性。
