cake..."/>
溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

實(shí)現(xiàn)SSL加密的主從復(fù)制

發(fā)布時間:2020-08-11 17:14:32 來源:網(wǎng)絡(luò) 閱讀:455 作者:流年灬似水 欄目:MySQL數(shù)據(jù)庫

實(shí)驗(yàn)環(huán)境

centos7.6最小化安裝

關(guān)閉防火墻、selinux

一、建立CA并生成證書

1、生成CA的私鑰

mkdir /etc/my.cnf.d/ssl

cd /etc/my.cnf.d/ssl

openssl genrsa 2048 > cakey.pem

2、CA自簽名證書

openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650

實(shí)現(xiàn)SSL加密的主從復(fù)制

3、生成主節(jié)點(diǎn)私鑰和證書申請文件

openssl req -newkey rsa:1024? -days 365 -nodes -keyout master.key > master.csr

生成證書

實(shí)現(xiàn)SSL加密的主從復(fù)制

openssl x509 -req -in master.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 > master.crt

4、生成從節(jié)點(diǎn)私鑰和證書申請文件

openssl req -newkey rsa:1024? -days 365 -nodes -keyout slave.key > slave.csr

生成證書

實(shí)現(xiàn)SSL加密的主從復(fù)制

openssl x509 -req -in slave.csr -CA cacert.pem -CAkey cakey.pem -set_serial 02 > slave.crt

實(shí)現(xiàn)SSL加密的主從復(fù)制

[root@localhost ssl]#scp -r /etc/my.cnf.d/ssl/? 192.168.12.27:/etc/my.cnf.d/? ? #將證書復(fù)制到從服務(wù)器

二、配置SSL主從

MariaDB [(none)]> status? ?#查看客戶端登錄時是否使用ssl

MariaDB [(none)]> show variables like '%ssl%';? ?#查看是否啟用加密

1、配置主服務(wù)器

vi /etc/my.cnf? ? ? #修改配置文件

[mysqld]
datadir=/var/lib/mysql
log-bin
server-id=57?????????????????????????????????????????????????????????????????????????
ssl-ca=/etc/my.cnf.d/ssl/cacert.pem
ssl-cert=/etc/my.cnf.d/ssl/master.crt
ssl-key=/etc/my.cnf.d/ssl/master.key

systemctl restart mariadb? ? ?

MariaDB [(none)]> show variables like '%ssl%';? ??#可以看到加密功能啟用

實(shí)現(xiàn)SSL加密的主從復(fù)制

mysql?--ssl-ca=cacert.pem?--ssl-cert=master.crt?--ssl-key=master.key???#客戶端連接加密,證書如果不在當(dāng)前路徑需要,如果證書有問題會報錯的

實(shí)現(xiàn)SSL加密的主從復(fù)制

創(chuàng)建只允許ssl登錄賬號

MariaDB [(none)]> grant replication slave on *.* to repluser@'192.168.12.%' identified by '123456' require ssl;

[root@localhost ssl]#mysqldump -A -F --single-transaction --master-data=1 >all.sql? ?#備份數(shù)據(jù)庫

[root@localhost ssl]#scp all.sql 192.168.12.27:/

2、配置從服務(wù)器

vi /etc/my.cnf? ? #修改配置文件

[mysqld]
datadir=/var/lib/mysql
server-id=27
read-only
ssl-ca=/etc/my.cnf.d/ssl/cacert.pem
ssl-cert=/etc/my.cnf.d/ssl/slave.crt???????????????????????????????????????????????????????????
ssl-key=/etc/my.cnf.d/ssl/slave.key

測試是否可以用ssl連接主服務(wù)器

mysql -urepluser -p123456 -h292.168.12.57 --ssl-ca=cacert.pem --ssl-cert=slave.crt --ssl-key=slave.key? ?

實(shí)現(xiàn)SSL加密的主從復(fù)制

vi /all.sql? ? #在原有的基礎(chǔ)上修改

CHANGE?MASTER?TO
MASTER_HOST='192.168.12.57',
MASTER_USER='repluser',
MASTER_PASSWORD='123456',
MASTER_SSL=1,??????????????????????????????????????????????????????????????????????????????????
MASTER_LOG_FILE='mariadb-bin.000009',?MASTER_LOG_POS=245;

[root@localhost ssl]#mysql < /all.sql?

MariaDB [(none)]> start slave;

MariaDB [(none)]> show slave status\G? #在配置文件中配置的話此處不顯示證書路徑

實(shí)現(xiàn)SSL加密的主從復(fù)制

如果是在CHANGE MASTER TO中指定證書路徑 show slave status\G 是可以看到證書路徑的,其他沒有區(qū)別

實(shí)現(xiàn)SSL加密的主從復(fù)制

MariaDB [(none)]>?show slave status\G

實(shí)現(xiàn)SSL加密的主從復(fù)制

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI