TLS 安全连接
概述
传输层安全性 (Transport Layer Security, TLS) 是一种广泛采用的安全性协议,目的是为互联网通信提供安全及数据完整性保障。
MatrixOne 默认采用非加密连接,也支持启用基于 TLS 协议的加密连接,支持的协议版本有 TLS 1.0, TLS 1.1, TLS 1.2。
- 不开启 TLS 加密连接(默认):直接使用用户名密码连接 MatrixOne 即可。
- 使用加密连接:需要在 MatrixOne 服务端开启加密连接支持,并在客户端指定使用加密连接。你可以参加下文指导,开启 TLS 安全连接。
本篇文档将指导你如何开启 TLS 安全连接。
TLS 安全连接配置主要步骤概述:
-
首先在 MatrixOne 中开启 TLS。
-
然后配置 MySQL 客户端安全连接参数。
完成这两个主要步骤的配置后,即可建立 TLS 安全连接,具体操作参见下文:
步骤一:开启 MatrixOne 的 TLS 支持
-
生成证书及密钥:MatrixOne 尚不支持加载有密码保护的私钥,因此必须提供一个没有密码的私钥文件。证书和密钥可以使用 OpenSSL 签发和生成,推荐使用 MySQL 自带的工具
mysql_ssl_rsa_setup
快捷生成:#检查你本地 MySQL 客户端的安装目录 ps -ef|grep mysql #进入到你本地 MySQL 客户端的安装目录 cd /usr/local/mysql/bin #生成证书和密钥 ./mysql_ssl_rsa_setup --datadir=<yourpath> #检查你生成的 pem 文件 ls <yourpath> ├── ca-key.pem ├── ca.pem ├── client-cert.pem ├── client-key.pem ├── private_key.pem ├── public_key.pem ├── server-cert.pem └── server-key.pem
Note: 上述代码中的
<yourpath>
是你需要存放生成的证书及密钥文件的本地目录路径。 -
进入到你本地的 MatrixOne 文件目录路径 matrixone/etc/launch-tae-CN-tae-DN/ 中的 cn.toml 配置文件:
你也可以使用 vim 命令直接在终端中打开 cn.toml 文件
vim $matrixone/etc/launch-tae-CN-tae-DN/cn.toml
将下面的代码段复制粘贴到配置文件中:
[cn.frontend] #default is false. With true. Server will support tls enableTls = true #default is ''. Path of file that contains X509 certificate in PEM format for client tlsCertFile = "<yourpath>/server-cert.pem" #default is ''. Path of file that contains X509 key in PEM format for client tlsKeyFile = "<yourpath>/server-key.pem" #default is ''. Path of file that contains list of trusted SSL CAs for client tlsCaFile = "<yourpath>/ca.pem"
Note: 上述代码中的
<yourpath>
是你需要存放生成的证书及密钥文件的本地目录路径上述代码中,配置参数解释如下:
参数 描述 enableTls 布尔类型,是否在 MatrixOne 服务端打开 TLS 的支持。 tlsCertFile 指定 SSL 证书文件路径 tlsKeyFile 指定证书文件对应的私钥 tlsCaFile 可选,指定受信任的 CA 证书文件路径 Note: 如果你是使用 Docker 安装部署的 MatrixOne,修改配置文件之前,你需要先挂载配置文件再进行修改,操作具体参见挂载目录到 Docker 容器。
-
验证 MatrixOne 的 SSL 是否启用。
① 使用 MySQL 客户端连接 MatrixOne:
mysql -h 127.0.0.1 -P 6001 -udump -p111 Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
② 使用
Status
命令查看 SSL 是否启用。成功启用,代码示例如下,可以看到 SSL 状态为
Cipher in use is TLS_AES_128_GCM_SHA256
:mysql> status mysql Ver 8.0.28 for macos11 on arm64 (MySQL Community Server - GPL) Connection id: 1001 Current database: Current user: dump@0.0.0.0 SSL: Cipher in use is TLS_AES_128_GCM_SHA256 Current pager: stdout Using outfile: '' Using delimiter: ; Server version: 8.0.30-MatrixOne-v0.7.0 MatrixOne Protocol version: 10 Connection: 127.0.0.1 via TCP/IP Server characterset: utf8mb4 DB characterset: utf8mb4 Client characterset: utf8mb4 Conn. characterset: utf8mb4 TCP port: 6001 Binary data as: Hexadecimal --------------
未启用成功,则返回结果如下,可以看到 SSL 状态为
Not in use
,你需要重新检查一下上述步骤中你所配置证书及密钥文件的本地目录路径(即)是否正确: mysql> status; /usr/local/mysql/bin/mysql Ver 8.0.30 for macos12 on arm64 (MySQL Community Server - GPL) Connection id: 1009 Current database: test Current user: root@0.0.0.0 SSL: Not in use Current pager: stdout Using outfile: '' Using delimiter: ; Server version: 8.0.30-MatrixOne-v0.7.0 MatrixOne Protocol version: 10 Connection: 127.0.0.1 via TCP/IP Server characterset: utf8mb4 Db characterset: utf8mb4 Client characterset: utf8mb4 Conn. characterset: utf8mb4 TCP port: 6001 Binary data as: Hexadecimal --------------
完成上述步骤后,即开启了 MatrixOne 的 TLS。
步骤二:配置 MySQL 客户端参数
MySQL 客户端连接 MatrixOne Server 时,需要通过 --ssl-mode
参数指定加密连接行为,如:
mysql -h 127.0.0.1 -P 6001 -udump -p111 --ssl-mode=PREFFERED
ssl mode 取值类型如下:
ssl-mode 取值 | 含义 |
---|---|
DISABLED | 不使用 SSL/TLS 建立加密连接,与 skip-ssl 同义。 |
PREFFERED | 默认行为,优先尝试使用 SSL/TLS 建立加密连接,如果无法建则尝试建立非 SSL/TLS 连接。 |
REQUIRED | 只会尝试使用 SSL/TLS 建立加密连接,如果无法建立连接,则会连接失败。 |
VERIFY_CA | 与 REQUIRED 行为一样,并且还会验证 Server 端的 CA 证书是否有效。 |
VERIFY_IDENTITY | 与 VERIFY_CA 行为一样,并且还验证 Server 端 CA 证书中的 host 是否与实际连接的 hostname 是否一致。 |
Note
客户端在指定了 --ssl-mode=VERIFY_CA
时,需要使用 --ssl-ca
来指定 CA 证书。
客户端在指定了 --ssl-mode=VERIFY_IDENTITY
时,需要指定 CA 证书,且需要使用 --ssl-key
指定客户端的私钥和使用 --ssl-cert
指定客户端的证书。