欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

MySQL基于SSL協(xié)議進行主從復制的詳細操作教程

 更新時間:2015年12月23日 11:33:15   作者:zdz  
這篇文章主要介紹了MySQL基于SSL協(xié)議進行主從復制的詳細操作教程,示例環(huán)境基于Linux系統(tǒng)以及OpenSSL客戶端,需要的朋友可以參考下

當mysql跨越互聯(lián)網(wǎng)進行復制時別人可以竊取到mysql的復制信息,這些信息是明文的,因此存在不安全性,這里通過ssl對復制的信息進行加密。當在客戶沒有固定ip而要訪問服務器時,mysql要允許任意地址的訪問,服務端和客戶端通過證書驗證可以防止暴力破解。

開始之前讓我們先來回顧一下SSL協(xié)議客戶端OpenSSL的安裝過程:
安裝openssl

mkdir /test/setup
cd /test/setup
tar zxvf openssl-0.9.8b.tar.gz
cd openssl-0.9.8b
./config
make && make install

開啟mysql中ssl功能
登錄Mysql查看

mysql> show variables like '%ssl%'; 

+---------------+----------+ 
| Variable_name | Value  | 
+---------------+----------+ 
| have_openssl | DISABLED | 
| have_ssl   | DISABLED | 
| ssl_ca    |     | 
| ssl_capath  |     | 
| ssl_cert   |     | 
| ssl_cipher  |     | 
| ssl_key    |     | 
+---------------+----------+

如果mysql輸出如上所述,那么繼續(xù)操作開啟ssl;如果不是,重新編譯安裝mysql,注意生成makefile時填寫參數(shù)正確。
退出mysql,編輯/etc/my.cnf
在[mysqld]和[mysqldump]之間,加入下列配置信息:

ssl

保存后重新啟動mysql,再次登錄mysql

mysql -uroot -p
mysql> show variables like '%ssl%'; 

+---------------+-------+ 
| Variable_name | Value | 
+---------------+-------+ 
| have_openssl | YES  | 
| have_ssl   | YES  | 
| ssl_ca    |    | 
| ssl_capath  |    | 
| ssl_cert   |    | 
| ssl_cipher  |    | 
| ssl_key    |    | 
+---------------+-------+

好了,下面進入正題:
mysql基于ssl復制
1、創(chuàng)建證書中心
在主服務器上創(chuàng)建證書中心

cd /etc/pki/CA

生成私鑰

(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

生成自簽證書,由于需要輸入大量用戶信息,因此編輯證書的配置文件,在私有的CA上創(chuàng)建證書要注意所有的用戶信息要和CA中的一致,從國家到部門都要相同,否則會造成證書無法使用

vim /etc/pki/tls/openssh.cnf

 [ req_distinguished_name ]
 countryName     = Country Name (2 letter code)
 countryName_default = CN
 countryName_min   = 2
 countryName_max   = 2
 stateOrProvinceName = State or Province Name (full name)
 stateOrpovinceName_default = FJ
 localityName    = Locality Name (eg,city)
 localityName    = FZ
 O.organizationName = Organization Name (eg,company)
 O.organizationName_default = zdz
 organizationalUnitName   = Organizational Unit Name (eg,section)
 organizationalUnitName_default = zdz

生成自簽證書

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650

-x509是創(chuàng)建自簽證書是需要的參數(shù),在創(chuàng)建其他證書時不能加該參數(shù)

由于是自簽證書因此要修改證書路徑

vim /etc/pki/tls/openssl.cnf

 [ CA_defalut ]
 dir = /etc/pki/CA
 certs = $dir/certs   #存放生成證書的目錄
 crl_dir = $dir/crl   #存放吊銷證書的目錄
 database = $dir/index.txt  #證書的索引文件
 new_certs_dir = $dir_newcerts  #新簽的證書目錄
 serial = $dir/serial  #序列號
 crl = $dir/crl.pem
 private_key = $dir/private/cakey.pem  #證書中心私鑰文件

創(chuàng)建證書編號

mkdir certs crl newcerts
 touch index.txt
 echo 00 > serial

2、為主服務器創(chuàng)建證書
服務器的名稱必須固定,在申請證書時要輸入服務器名稱,證書和服務器名稱對應

創(chuàng)建私鑰

mkdir /usr/local/mysql/ssl
 cd /usr/local/mysql/ssl
 (umask 077;openssl genrsa -out /usr/local/mysql/ssl/master.key 2048)

生成證書申請

openssl req -new -key master.key -out master.csr

在證書服務器上對master的證書進行簽發(fā)

openssl ca -in master.csr -out master.crt -days 365

3、創(chuàng)建從服務器證書

(umask 077;openssl genrsa -out /usr/local/mysql/ssl/slave.key 2048)
 openssl req -new -key slave.key -out slave.csr

將從服務器的證書申請文件復制到證書服務器上進行簽發(fā)

opessl ca -in slave.csr -out slave.crt -days 356

4、修改證書權(quán)限和mysql配置文件
將證書的公鑰cacert.pem復制到主從服務器的目錄下

cd /usr/local/mysql/ssl
 cp /etc/pki/CA/cacert.pem ./
 chown -R mysql:mysql master.crt master.key cacert.pem
 chmod 600 master.crt master.key cacert.pem
 vim /usr/local/mysql/my.cnf
 ssl
 ssl_ca         = /usr/local/mysql/ssl/cacrt.pem
 ssl_cert        = /usr/local/mysql/ssl/master.crt
 ssl_key         = /usr/local/mysql/ssl/master.key

修改從服務器配置

cd /usr/local/mysql/ssl
 cp /etc/pki/CA/cacert.pem ./
 chown -R mysql:mysql slave.crt slave.key cacert.pem
 chmod 600 slave.crt slave.key cacert.pem
 vim /usr/local/mysql/my.cnf
 ssl
 ssl_ca         = /usr/local/mysql/ssl/cacrt.pem
 ssl_cert        = /usr/local/mysql/ssl/slave.crt
 ssl_key         = /usr/local/mysql/ssl/slave.key

5、在主服務器上創(chuàng)建復制用戶

grant replication slave on *.* to slave@'192.168.216.133' identified by 'slave' requere ssl;
 flush privileges;

查看主服務器當前二進制位置

mysql> show master status ;

 +-------------------------+------------+---------------------+--------------------------+--------------------------+
 | File              | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set |
 +-------------------------+------------+---------------------+--------------------------+--------------------------+
 | mysql-bin.000007 |   1015  |               |                  |                  |
 +-------------------------+------------+---------------------+--------------------------+---------------------------+
 1 row in set (0.00 sec)

6、在從服務器上開始復制

change master to
 master_host='192.168.216.132',
 master_user='slave',
 master_password='slave',
 master_log_file='mysql-bin.000007',
 master_log_pos=1015,
 master_ssl=1,
 master_ssl_ca=' /usr/local/mysql/ssl/cacrt.pem',
 master_ssl_cert='/usr/local/mysql/ssl/slave.crt',
 master_ssl_key='/usr/local/mysql/ssl/slave.key';
 start slave;

查看狀態(tài)

20151223113001802.png (515×581)

錯誤1:

如果要確保證書沒有問題可以通過建立測試的用戶同ssl進行連接在主服務器上開一個權(quán)限很大的用戶,進行ssl的登錄測試

grant all privileges on *.* to root@'192.168.216.133′ identified by ‘root' require ssl;

[root@slave ssl]# mysql -uroot -proot -h192.168.216.133 –ssl-ca=cacrt.pem –ssl-cert=slave.crt –ssl-key=slave.key


Warning: Using a password on the command line interface can be insecure.

ERROR 2026 (HY000): SSL connection error: ASN: before date in the future

這是由于虛擬的時間不正確導致
如果這時候不使用ssl方式進行連接則會報出錯誤

[root@slave ssl]# mysql -uroot -proot -h192.168.216.133;


Warning: Using a password on the command line interface can be insecure.

ERROR 1045 (28000): Access denied for user ‘root'@'192.168.216.132′ (using password: YES)

錯誤2:

在配置文件中添加證書配置后執(zhí)行 show variables like ‘%ssl%'顯示

20151223113020248.png (426×277)

這是由于沒有將證書的屬主改為mysql,可以從日志中得知是無權(quán)限獲取私鑰

20151223113037083.png (695×95)

相關文章

  • 淺談為什么MySQL不建議delete刪除數(shù)據(jù)

    淺談為什么MySQL不建議delete刪除數(shù)據(jù)

    這篇文章主要介紹了淺談為什么MySQL不建議delete刪除數(shù)據(jù),文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2021-01-01
  • mysql between實現(xiàn)選取介于兩個值之間的數(shù)據(jù)范圍

    mysql between實現(xiàn)選取介于兩個值之間的數(shù)據(jù)范圍

    這篇文章主要介紹了mysql between實現(xiàn)選取介于兩個值之間的數(shù)據(jù)范圍,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-07-07
  • 解決mysql報錯:1264-Out of range value for column ‘字段‘ at row 1

    解決mysql報錯:1264-Out of range value for&nb

    這篇文章主要介紹了解決mysql報錯:1264-Out of range value for column ‘字段‘ at row 1問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • mysqlsla慢查詢分析工具使用筆記

    mysqlsla慢查詢分析工具使用筆記

    mysqlsla是一款幫助語句分析、過濾、和排序的功能,能夠處理MySQL慢查詢?nèi)罩?、二進制日志等。整體來說, 功能非常強大. 能制作SQL查詢數(shù)據(jù)報表,分析包括執(zhí)行頻率, 數(shù)據(jù)量, 查詢消耗等
    2014-05-05
  • Mysql select in 按id排序?qū)崿F(xiàn)方法

    Mysql select in 按id排序?qū)崿F(xiàn)方法

    有時候我們在后臺選擇了一系列的id,我們想安裝填寫id的順序進行排序,那么就需要下面的order by方法,測試通過
    2013-03-03
  • MySQL 優(yōu)化設置步驟

    MySQL 優(yōu)化設置步驟

    mysql的一些運行效率等優(yōu)化設置,建議擁有服務器的朋友,可以測試。
    2009-03-03
  • MySQL 時間類型的選擇

    MySQL 時間類型的選擇

    MySQL 有多種類型存儲日期和時間,例如 YEAR 和 DATE。MySQL 的時間類型存儲的精確度能到秒(MariaDB 可以到毫秒級)。但是,也可以通過時間計算達到毫秒級。時間類型的選擇沒有最佳,而是取決于業(yè)務需要如何處理時間的存儲。
    2021-06-06
  • 在Docker中使用MySQL的教程

    在Docker中使用MySQL的教程

    這篇文章主要介紹了在Docker中使用MySQL的教程,介紹了簡單的內(nèi)部搭建步驟,需要的朋友可以參考下
    2015-04-04
  • 使用Python的Django框架中的壓縮組件Django Compressor

    使用Python的Django框架中的壓縮組件Django Compressor

    這篇文章主要介紹了使用Python的Django框架中的壓縮組件Django Compressor,這個工具主要用于實現(xiàn)js/css的壓縮,需要的朋友可以參考下
    2015-05-05
  • mysql如何導出服務器內(nèi)所有的數(shù)據(jù)庫

    mysql如何導出服務器內(nèi)所有的數(shù)據(jù)庫

    這篇文章主要介紹了mysql如何導出服務器內(nèi)所有的數(shù)據(jù)庫問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-10-10

最新評論