MySQL MySQL показывает, что have_ssl отключен при установке сертификатов
Пытаюсь включить SSL на моем mariadb-сервере. Я следил за официальными документами mariadb, чтобы сгенерировать CA-key ca-cert server-key server-cert. Моя машина - debian 9 kvm vps с mariadb 10.1.37
Когда я запускаю SHOW VARIABLES LIKE '% ssl'; как root, я получаю следующий результат:
+---------------------+--------------------------------+
| Variable_name | Value |
+---------------------+--------------------------------+
| have_openssl | NO |
| have_ssl | DISABLED |
| ssl_ca | /etc/mysql/ssl/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /etc/mysql/ssl/server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /etc/mysql/ssl/server-key.pem |
| version_ssl_library | YaSSL 2.4.4 |
+---------------------+--------------------------------+
Я пробовал повторно -многократное создание сертификатов, в том числе с разными общими именами. Сертификаты устанавливаются в папке / etc / mysql / ssl /
. Я также пробовал запустить mysqld с параметром - ssl и добавить ssl = на в конфиге. Я не могу найти больше информации, связанной с этим, так как у меня YASSL вместо openssl, поскольку mariadb теперь компилируется с YASSL по умолчанию, если я чего-то не упускаю, а YASSL не работает с моими ключами?
Как я создал сертификаты и ключи:
openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 365000 \
-key ca-key.pem -out ca-cert.pem
openssl req -newkey rsa:2048 -days 365000 \
-nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 365000 \
-CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 \
-out server-cert.pem
Мой файл 50-server.cnf:
#
# These groups are read by MariaDB server.
# Use it for options that only the server (but not clients) should see
#
# See the examples of server my.cnf files in /usr/share/mysql/
#
# this is read by the standalone daemon and embedded servers
[server]
# this is only for the mysqld standalone daemon
[mysqld]
#
# * Basic Settings
#
user = mysql
pid-file = /var/run/mysqld/mysqld.pid
socket = /var/run/mysqld/mysqld.sock
port = 3306
basedir = /usr
datadir = /var/lib/mysql
tmpdir = /tmp
lc-messages-dir = /usr/share/mysql
skip-external-locking
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address = 0.0.0.0
#
# * Fine Tuning
#
key_buffer_size = 16M
max_allowed_packet = 16M
thread_stack = 192K
thread_cache_size = 8
# This replaces the startup script and checks MyISAM tables if needed
# the first time they are touched
myisam_recover_options = BACKUP
#max_connections = 100
#table_cache = 64
#thread_concurrency = 10
#
# * Query Cache Configuration
#
query_cache_limit = 1M
query_cache_size = 16M
#
# * Logging and Replication
#
# Both location gets rotated by the cronjob.
# Be aware that this log type is a performance killer.
# As of 5.1 you can enable the log at runtime!
#general_log_file = /var/log/mysql/mysql.log
#general_log = 1
#
# Error log - should be very few entries.
#
log_error = /var/log/mysql/error.log
#
# Enable the slow query log to see queries with especially long duration
#slow_query_log_file = /var/log/mysql/mariadb-slow.log
#long_query_time = 10
#log_slow_rate_limit = 1000
#log_slow_verbosity = query_plan
#log-queries-not-using-indexes
#
# The following can be used as easy to replay backup logs or for replication.
# note: if you are setting up a replication slave, see README.Debian about
# other settings you may need to change.
#server-id = 1
#log_bin = /var/log/mysql/mysql-bin.log
expire_logs_days = 10
max_binlog_size = 100M
#binlog_do_db = include_database_name
#binlog_ignore_db = exclude_database_name
#
# * InnoDB
#
# InnoDB is enabled by default with a 10MB datafile in /var/lib/mysql/.
# Read the manual for more InnoDB related options. There are many!
#
# * Security Features
#
# Read the manual, too, if you want chroot!
# chroot = /var/lib/mysql/
#
# For generating SSL certificates you can use for example the GUI tool "tinyca".
#
# ssl-ca=/etc/mysql/cacert.pem
# ssl-cert=/etc/mysql/server-cert.pem
# ssl-key=/etc/mysql/server-key.pem
#
ssl-ca = /etc/mysql/ssl/ca-cert.pem
ssl-key = /etc/mysql/ssl/server-key.pem
ssl-cert = /etc/mysql/ssl/server-cert.pem
#
# Accept only connections using the latest and most secure TLS protocol version.
# ..when MariaDB is compiled with OpenSSL:
#ssl-cipher=TLSv1.2
# ..when MariaDB is compiled with YaSSL (default in Debian):
ssl=on
#
# * Character sets
#
# MySQL/MariaDB default is Latin1, but in Debian we rather default to the full
# utf8 4-byte character set. See also client.cnf
#
character-set-server = utf8mb4
collation-server = utf8mb4_general_ci
#
# * Unix socket authentication plugin is built-in since 10.0.22-6
#
# Needed so the root database user can authenticate without a password but
# only when running as the unix root user.
#
# Also available for other users if required.
# See https://mariadb.com/kb/en/unix_socket-authentication-plugin/
# this is only for embedded server
[embedded]
# This group is only read by MariaDB servers, not by MySQL.
# If you use the same .cnf file for MySQL and MariaDB,
# you can put MariaDB-only options here
[mariadb]
# This group is only read by MariaDB-10.1 servers.
# If you use the same .cnf file for MariaDB of different versions,
# use this group for options that older servers don't understand
[mariadb-10.1]
После нескольких часов возни я понял, что mysql не может прочитать ключевой файл. Я установил группу файлов на mysql.
chown -R mysql:mysql /etc/mysql/ssl/
Похожее поведение в семье RedHat.
Выяснилось, что SELinux заблокировал have_ssl, потому что сертификаты находятся не в доме mysql/mariadb.
Вам просто нужно переместить файлы в дом пользователя mysql, который вы можете найти с помощью следующей команды:
grep mysql /etc/passwd | awk -F ':' '{ print $6}'
У меня была другая проблема. Я использовал OpenSSL для генерации своего ключа, и он создал файл PKCS#8, который выглядит следующим образом:
-----BEGIN PRIVATE KEY-----
[base64 key material]
-----END PRIVATE KEY-----
Похоже, что сервер ожидает файл PKCS#1, который выглядит так:
-----BEGIN RSA PRIVATE KEY-----
[base64 key material]
----END RSA PRIVATE KEY-----
Для формы на другую, вы можете использовать openssl:
$ openssl rsa -in /path/to/pkcs8 > /path/to/pkcs1
Как только я это сделал, я смог запустить свой сервер с включенным SSL.
В новых версиях OpenSSL по умолчанию используется PKCS#8, а в более старых версиях по умолчанию использовались файлы PKCS#1 (для ключей RSA). Это объясняет, почему руководства, написанные (и работающие!) несколько лет назад, могут вызвать проблемы сейчас.
MariaDB действительно необходимо поддерживать ключевые файлы PKCS#8. Я уверен, что это не было бы проблемой, если бы моя MariaDB была создана для OpenSSL, но она использует YaSSL, как и оригинальный постер.