Cenário: Autenticação do MySQL Server
Recomendamos usar um certificado TLS para autenticar o servidor MySQL. É possível usar um certificado de uma autoridade de certificação (AC) confiável ou um certificado autoassinado.
O Servidor de Administração é compatível com a autenticação SSL unidirecional e bidirecional para o MySQL.
Ativar a autenticação SSL unidirecional
Siga estas etapas para configurar a autenticação SSL para o MySQL:
- Gere um certificado TLS autoassinado para o servidor MySQL
Execute o seguinte comando:
openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem
openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem
openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
- Crie um arquivo de sinalização do servidor
Use o utilitário klscflag para criar o sinalizador do servidor KLSRV_MYSQL_OPT_SSL_CA e especifique o caminho para o certificado como seu valor. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
caminho para
ca-cert.pem>-t d
- Configure o banco de dados
Especifique os certificados no arquivo my.cnf. Abra o arquivo my.cnf em um editor de texto e adicione as seguintes linhas na seção [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"
Ativar a autenticação SSL bidirecional
Siga estas etapas para configurar a autenticação bidirecional SSL para o MySQL:
- Crie arquivos de sinalização do servidor
Use o utilitário klscflag para criar os sinalizadores do servidor e especifique o caminho para os arquivos do certificado como seus valores:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
caminho para
ca-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <
caminho para
server-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <
caminho para
server-key.pem> -t d
O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
- (Opcional) Especifique a senha
Caso o server-key.pem exija uma senha, crie um sinalizador KLSRV_MARIADB_OPT_TLS_PASPHRASE e especifique a senha como seu valor:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <
senha
> -t d
- Configure o banco de dados
Especifique os certificados no arquivo my.cnf. Abra o arquivo my.cnf em um editor de texto e adicione as seguintes linhas na seção [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"