{"id":586,"date":"2016-02-24T10:42:24","date_gmt":"2016-02-24T10:42:24","guid":{"rendered":"http:\/\/www.intelli.ch\/?p=586"},"modified":"2023-10-31T19:29:58","modified_gmt":"2023-10-31T19:29:58","slug":"mysql-verbindungen-mit-ssl-verschluesseln-ubuntu-14-04","status":"publish","type":"post","link":"https:\/\/www.dev-metal.ch\/?p=586","title":{"rendered":"MySQL Verbindungen mit SSL verschl\u00fcsseln – Ubuntu 14.04 \/ 18.04 \/ Mysql 5.6.28"},"content":{"rendered":"

Hier wird erkl\u00e4rt, wie ein MySQL Client eine verschl\u00fcsselte Verbindung zu einem MySQL Server, der mit Ubuntu 14.04 und Mysql-Server 5.6.28 betrieben wird, aufgebaut werden kann.<\/p>\n

SSL Zertifikate erstellen<\/span><\/h2>\n

Es werden Zertifikate mit 2048 Bits und einer G\u00fcltigkeit von 3650 Tagen erstellt. Nach diesem Zeitraum m\u00fcssen die Zertifikate verl\u00e4ngert oder neu erstellt werden.<\/p>\n

Bitte nicht vergessen, dass der Common Name (CN) vom Client und Server Zertifikat unterschiedlich ist. z.B.\u00a0servername.intelli.ch\u00a0und\u00a0client.intelli.ch<\/p>\n

cd \/etc\/mysql\/<\/pre>\n
# Generate a CA key and certificate with SHA1 digest \nopenssl genrsa 2048 > ca-key.pem \nopenssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem \n\n# Create server key and certficate with SHA1 digest, sign it and convert \n# the RSA key from PKCS #8 (OpenSSL 1.0 and newer) to the old PKCS #1 format \nopenssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem \nopenssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem \nopenssl rsa -in server-key.pem -out server-key.pem \n\n# Create client key and certificate with SHA digest, sign it and convert \n# the RSA key from PKCS #8 (OpenSSL 1.0 and newer) to the old PKCS #1 format \nopenssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem \nopenssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem \nopenssl rsa -in client-key.pem -out client-key.pem<\/pre>\n
chmod 400 \/etc\/mysql\/*.pem\nchown mysql \/etc\/mysql\/*.pem\n<\/pre>\n
SSL Konfiguration aktivieren<\/span><\/h2>\n
In der MySQL Konfiguration (\/etc\/mysql\/my.cnf<\/code>) muss SSL mit den zugeh\u00f6rigen Zertifikaten aktiviert werden.<\/p>\n
ssl-ca=\/etc\/mysql\/ca-cert.pem\nssl-cert=\/etc\/mysql\/server-cert.pem\nssl-key=\/etc\/mysql\/server-key.pem<\/pre>\n
Nun MySql-Server neu starten<\/p>\n
sudo service mysql restart<\/pre>\n
Es kann auf der DB \u00fcberpr\u00fcft werden, ob die Konfiguration richtig \u00fcbernommen wurde:<\/p>\n
mysql > show variables like '%ssl%';\n\n+---------------+----------------------------------+\n| Variable_name | Value                            |\n+---------------+----------------------------------+\n| have_openssl  | YES                              |\n| have_ssl      | YES                              |\n| ssl_ca        | \/etc\/mysql\/ca-cert.pem           |\n| ssl_capath    |                                  |\n| ssl_cert      | \/etc\/mysql\/server-cert.pem       |\n| ssl_cipher    |                                  |\n| ssl_key       | \/etc\/mysql\/server-key.pem        |\n+---------------+----------------------------------+<\/pre>\n
SSL Verschl\u00fcsselung f\u00fcr MySQL User aktivieren<\/span><\/h2>\n
Es gibt folgende M\u00f6glichkeiten bei der Rechtevergabe f\u00fcr Benutzer in Bezug auf SSL:<\/p>\n