实现SSL加密的主从复制-创新互联
实验环境
站在用户的角度思考问题,与客户深入沟通,找到平鲁网站设计与平鲁网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:网站制作、网站建设、企业官网、英文网站、手机端网站、网站推广、域名注册、雅安服务器托管、企业邮箱。业务覆盖平鲁地区。centos7.6最小化安装
关闭防火墙、selinux
一、建立CA并生成证书
1、生成CA的私钥
mkdir /etc/my.cnf.d/ssl
cd /etc/my.cnf.d/ssl
openssl genrsa 2048 > cakey.pem
2、CA自签名证书
openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650
3、生成主节点私钥和证书申请文件
openssl req -newkey rsa:1024 -days 365 -nodes -keyout master.key > master.csr
生成证书
openssl x509 -req -in master.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 > master.crt
4、生成从节点私钥和证书申请文件
openssl req -newkey rsa:1024 -days 365 -nodes -keyout slave.key > slave.csr
生成证书
openssl x509 -req -in slave.csr -CA cacert.pem -CAkey cakey.pem -set_serial 02 > slave.crt
[root@localhost ssl]#scp -r /etc/my.cnf.d/ssl/ 192.168.12.27:/etc/my.cnf.d/ #将证书复制到从服务器
二、配置SSL主从
MariaDB [(none)]> status #查看客户端登录时是否使用ssl
MariaDB [(none)]> show variables like '%ssl%'; #查看是否启用加密
1、配置主服务器
vi /etc/my.cnf #修改配置文件
[mysqld] datadir=/var/lib/mysql log-bin server-id=57 ssl-ca=/etc/my.cnf.d/ssl/cacert.pem ssl-cert=/etc/my.cnf.d/ssl/master.crt ssl-key=/etc/my.cnf.d/ssl/master.keysystemctl restart mariadb
MariaDB [(none)]> show variables like '%ssl%'; #可以看到加密功能启用
mysql --ssl-ca=cacert.pem --ssl-cert=master.crt --ssl-key=master.key #客户端连接加密,证书如果不在当前路径需要,如果证书有问题会报错的创建只允许ssl登录账号
MariaDB [(none)]> grant replication slave on *.* to repluser@'192.168.12.%' identified by '123456' require ssl;
[root@localhost ssl]#mysqldump -A -F --single-transaction --master-data=1 >all.sql #备份数据库
[root@localhost ssl]#scp all.sql 192.168.12.27:/
2、配置从服务器
vi /etc/my.cnf #修改配置文件
[mysqld] datadir=/var/lib/mysql server-id=27 read-only ssl-ca=/etc/my.cnf.d/ssl/cacert.pem ssl-cert=/etc/my.cnf.d/ssl/slave.crt ssl-key=/etc/my.cnf.d/ssl/slave.key测试是否可以用ssl连接主服务器
mysql -urepluser -p123456 -h292.168.12.57 --ssl-ca=cacert.pem --ssl-cert=slave.crt --ssl-key=slave.key
vi /all.sql #在原有的基础上修改
CHANGE MASTER TO MASTER_HOST='192.168.12.57', MASTER_USER='repluser', MASTER_PASSWORD='123456', MASTER_SSL=1, MASTER_LOG_FILE='mariadb-bin.000009', MASTER_LOG_POS=245;[root@localhost ssl]#mysql < /all.sql
MariaDB [(none)]> start slave;
MariaDB [(none)]> show slave status\G #在配置文件中配置的话此处不显示证书路径
如果是在CHANGE MASTER TO中指定证书路径 show slave status\G 是可以看到证书路径的,其他没有区别
MariaDB [(none)]> show slave status\G
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
本文名称:实现SSL加密的主从复制-创新互联
URL分享:http://pwwzsj.com/article/ghdoh.html