Docker MySQL开启SSL加密传输方案_docker mysql ssl

Docker MySQL开启SSL加密传输方案

• 产品：Docker MySQL
• 版本： 5.6
• 环境： CentOS Linux 7

方案背景

根据等保要求，生产数据库需开启SSL加密传输功能，避免以明文方式在网络中传输敏感信息，防止信息泄露；

变更内容

变更范围

变更影响

风险评估

操作过程存在一定风险，针对主要风险作出以下应对。对于风险状态的判断由实施当天的实施小组进行讨论后判定，提请现场工作组总指挥确认是否启动应急措施。

实施方案

1、在Docker中检查数据库是否开启SSL：

docker exec -it ae86114514a8 bash

mysql -uroot -p
show variables like '%ssl%';

+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_crl       |          |
| ssl_crlpath   |          |
| ssl_key       |          |
+---------------+----------+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

have_openssl和have_ssl参数值为：DISABLE，表示当前未开启SSL；

2、在Docker中备份数据库参数文件

#确认mysql用户对参数文件有可读权限
ls -l /etc/mysql/mysql.conf.d/mysqld.cnf

#备份参数文件，使用-p参数连文件权限一起备份
cp -p /etc/mysql/mysql.conf.d/mysqld.cnf /etc/mysql/mysql.conf.d/mysqld.cnf.bak

#从docker中拷贝到宿主机，以防万一
docker cp mysql:/etc/mysql/mysql.conf.d /tmp

#记录参数信息，防止数据库重启后在线修改的参数值丢失
mysql -uroot -p -e"show global variables;" > /tmp/mysql_golbal_var.log
1
2
3
4
5
6
7
8
9
10
11

3、在宿主机创建SSL证书
由于生产环境使用的MySQL版本是5.6，没有5.7以上版本自带的mysql_ssl_rsa_setup工具自动生成SSL证书，故通过宿主机的OpenSSL创建证书；

• 生成一个 CA 私钥（参考官方文档：https://dev.mysql.com/doc/refman/5.6/en/creating-ssl-files-using-openssl.html）

mkdir newcerts && cd newcerts
openssl genrsa 2048 > ca-key.pem
1
2

• 通过 CA 证书私钥生成数字证书

根据官方文档提示，Common Name 不能和后面签发的服务器、客户端证书相同，否则后面使用 SSL 登录的时候会出现错误 ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)

openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
1

• 创建 MySQL 服务器私钥和请求证书

openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
1

• 将生成的私钥转换为 RSA 私钥文件格式

openssl rsa -in server-key.pem -out server-key.pem
1

• 使用前面生成的 CA 证书来生成一个服务器端的数字证书

openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
1

• 创建客户端的 RSA 私钥和数字证书

openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
1

• 将生成的私钥转换为 RSA 私钥文件格式

openssl rsa -in client-key.pem -out client-key.pem
1

• 使用前面生成的 CA 证书来生成一个客户端的数字证书

openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
1

• 验证证书信息

openssl verify -CAfile ca.pem server-cert.pem client-cert.pem

server-cert.pem: OK
client-cert.pem: OK
1
2
3
4

4、在宿主机修改数据库参数文件

vi mysqld.cnf

##增加SSL证书参数
[mysqld]
ssl_ca=ca.pem
ssl_cert=server-cert.pem
ssl_key=server-key.pem
1
2
3
4
5
6
7

将修改好的数据库参数文件从宿主机拷贝到docker中覆盖

docker cp /tmp/mysqld.cnf mysql:/etc/mysql/mysql.conf.d/
1

5、重启数据库

#在Docker中关闭数据库
docker exec -it ae86114514a8 bash
service mysql stop

#确认是否在存在MySQL相关进程
ps -ef|grep mysql

#在宿主机启动Docker
docker start ae86114514a8

#检查Docker运行状态
docker ps -a
1
2
3
4
5
6
7
8
9
10
11
12

6、在Docker中检查数据库SSL状态

docker exec -it ae86114514a8 bash

mysql -uroot -p
show variables like '%ssl%';

+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

have_openssl和have_ssl参数值为：YES，表示当前已开启SSL；

7、配置数据库账号SSL认证

• 开启数据库账号SSL认证

#检查MySQL账号当前认证方式
select user,host,ssl_type from mysql.user;

+----------+-----------+----------+
| user     | host      | ssl_type |
+----------+-----------+----------+
| xsyunwei | %         |          |
+----------+-----------+----------+

#开启数据库账号SSL认证（5.6版本语法）
GRANT USAGE ON *.* TO 'xsyunwei'@'%' REQUIRE SSL;
#开启数据库账号SSL认证（5.7以上版本语法）
ALTER USER 'xsyunwei'@'%' REQUIRE SSL;

FLUSH PRIVILEGES;
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

• 配置数据库账号认证方式

#配置认证方式为双向认证(必须使用SSL登录,并且验证证书)
update MySQL.user set ssl_type='X509' where user='xsyunwei';

FLUSH PRIVILEGES;
1
2
3
4

• 测试数据库账号证书登录

mysql -uxsyunwei -p --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem

#检查SSL信息
SHOW STATUS LIKE 'Ssl_version';
+---------------+---------+
| Variable_name | Value   |
+---------------+---------+
| Ssl_version   | TLSv1.2 |
+---------------+---------+

SHOW STATUS LIKE 'Ssl_cipher';
+---------------+-----------------------------+
| Variable_name | Value                       |
+---------------+-----------------------------+
| Ssl_cipher    | ECDHE-RSA-AES256-GCM-SHA384 |
+---------------+-----------------------------+
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

8、对比重启前后数据库参数值

mysql -uroot -p -e"show global variables;" > /tmp/mysql_golbal_var_2.log

diff /tmp/mysql_golbal_var.log /tmp/mysql_golbal_var_2.log
1
2
3

9、配置应用SSL连接串

应用由.NET开发，参考GitHub上的连接串配置说明文档：https://mysqlconnector.net/connection-options/，在连接串中加入以下参数，实现SSL连接：

SslMode=VerifyCA;Ssl-Ca=路径\ca.pem;Ssl-Cert=路径\client-cert.pem;Ssl-Key=路径\client-key.pem

（实际操作中，由于应用较老，连接器MySql.Data版本为5.2.3.0，不支持SslMode参数，经升级MySql.Data版本到6.7.4.0后配置成功。）

10、测试业务连接

通知用户登录应用。

变更检验

在宿主机上捕获的数据库传输包为加密包。

回退方案

1、取消数据库账号验证模式

update MySQL.user set ssl_type='' where user='xsyunwei';
flush privileges;
1
2

2、取消数据库账号SSL认证

#5.6
GRANT USAGE ON *.* TO 'xsyunwei'@'%' REQUIRE NONE;
#5.7
ALTER USER 'xsyunwei'@'%' REQUIRE NONE;

FLUSH PRIVILEGES;
1
2
3
4
5
6

3、恢复数据库参数文件

mv /etc/mysql/mysql.conf.d/mysqld.cnf /etc/mysql/mysql.conf.d/mysqld.cnf.bak2
mv /etc/mysql/mysql.conf.d/mysqld.cnf.bak /etc/mysql/mysql.conf.d/mysqld.cnf
1
2

4、重启数据库

#在Docker中关闭数据库
docker exec -it ae86114514a8 bash
service mysql stop

#在宿主机启动Docker
docker start ae86114514a8

#检查Docker运行状态
docker ps -a
1
2
3
4
5
6
7
8
9

5、恢复应用连接串

删除连接串中SSL相关参数：

SslMode=VerifyCA;Ssl-Ca=路径\ca.pem;Ssl-Cert=路径\client-cert.pem;Ssl-Key=路径\client-key.pem

关注公众号，学习更多运维实战案例！