mysql镜像配置如何设置SSL加密_mysql镜像配置SSL安全连接配置教程-mysql教程-PHP中文网

mysql镜像配置如何设置SSL加密_mysql镜像配置SSL安全连接配置教程

看不見的法師

发布： 2025-11-21 12:17:32

原创

780人浏览过

配置MySQL镜像SSL加密需生成证书并挂载至容器，通过my.cnf启用SSL，设置require_secure_transport=ON强制加密连接，启动后验证have_ssl=YES及连接加密状态，客户端连接时指定CA证书以确保安全通信。

mysql镜像配置如何设置ssl加密_mysql镜像配置ssl安全连接配置教程

MySQL 镜像配置 SSL 加密是为了在客户端与数据库服务器之间建立安全连接，防止数据在传输过程中被窃听或篡改。尤其是在使用 Docker 部署 MySQL 时，正确配置 SSL 是保障数据通信安全的重要步骤。下面介绍如何为 MySQL 镜像配置 SSL 安全连接。

生成 SSL 证书和密钥

MySQL 使用 OpenSSL 来实现 SSL 加密连接。你需要为服务器生成自签名证书和私钥，也可以使用 CA 签发的证书。

在主机上执行以下命令生成所需的文件：

# 创建存放证书的目录
mkdir -p ./mysql-ssl
cd ./mysql-ssl
<h1>生成 CA 私钥和证书</h1><p>openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca.pem -subj "/CN=MySQL CA"</p><h1>生成服务器私钥和证书请求</h1><p>openssl req -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem -out server-req.pem -subj "/CN=mysql-server"
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem</p><h1>生成客户端证书（可选，用于双向认证）</h1><p>openssl req -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem -out client-req.pem -subj "/CN=mysql-client"
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 02 -out client-cert.pem</p>

登录后复制

生成后你会得到以下几个关键文件：

ca.pem：CA 根证书
server-cert.pem：服务器证书
server-key.pem：服务器私钥
client-cert.pem 和 client-key.pem：客户端证书和私钥（如需双向验证）

配置 MySQL 镜像启用 SSL

使用官方 MySQL 镜像时，可以通过挂载证书文件并配置 my.cnf 来启用 SSL。

创建配置文件 my.cnf：

[mysqld]
ssl-ca=/var/lib/mysql/ca.pem
ssl-cert=/var/lib/mysql/server-cert.pem
ssl-key=/var/lib/mysql/server-key.pem
require_secure_transport=ON

登录后复制

说明：

ssl-ca、ssl-cert、ssl-key 指定证书路径
require_secure_transport=ON 强制所有连接必须使用 SSL

编写 docker-compose.yml 文件示例：

version: '3.8'
services:
  mysql:
    image: mysql:8.0
    environment:
      MYSQL_ROOT_PASSWORD: your_root_password
    ports:
      - "3306:3306"
    volumes:
      - ./mysql-ssl:/var/lib/mysql
      - ./my.cnf:/etc/mysql/conf.d/ssl.cnf
    command: ['--default-authentication-plugin=mysql_native_password']

登录后复制

启动容器：

docker-compose up -d

登录后复制

验证 SSL 是否生效

进入 MySQL 容器并登录：

豆绘AI

豆绘AI是国内领先的AI绘图与设计平台，支持照片、设计、绘画的一键生成。

485

查看详情

docker exec -it mysql-container mysql -u root -p

登录后复制

执行以下 SQL 查看 SSL 状态：

SHOW VARIABLES LIKE '%ssl%';

登录后复制

输出中应看到：

have_ssl 的值为 YES
ssl_ca、ssl_cert、ssl_key 显示正确路径

查看当前连接是否使用 SSL：

STATUS;

登录后复制

在输出中查找 “SSL” 字段，若显示 Cipher 则表示连接已加密。

客户端连接配置（例如使用 MySQL Workbench 或命令行）

连接时需要指定 CA 证书以验证服务器身份。

在 MySQL Workbench 中新建连接，选择“SSL”标签页
设置“SSL CA File”为本地的 ca.pem
可选：上传客户端证书用于双向认证

命令行连接示例：

mysql -h 127.0.0.1 -u root -p \
  --ssl-mode=VERIFY_CA \
  --ssl-ca=./mysql-ssl/ca.pem \
  --ssl-cert=./mysql-ssl/client-cert.pem \
  --ssl-key=./mysql-ssl/client-key.pem

登录后复制

ssl-mode 可选值：