mysql如何配置SSL加密连接_mysql数据加密设置

mysql 8.0+ 默认内置ssl但不强制启用，需服务端加载证书、用户强制ssl、客户端明确启用并验证三步才能真正加密通信。

MySQL 8.0+ 默认已内置 SSL 支持，且首次启动时会自动生成一套证书（位于 /var/lib/mysql/ 下），但**默认不强制使用**——这意味着客户端仍可走明文连接，SSL 形同虚设。真正启用加密通信，必须完成三件事：服务端正确加载证书、用户被强制要求 SSL、客户端明确启用并验证。

确认 MySQL 是否已具备 SSL 能力

别急着改配置，先看现状。登录 MySQL 执行：

SHOW VARIABLES LIKE '%ssl%';

重点检查：have_ssl 必须为 YES；ssl_ca、ssl_cert、ssl_key 应显示有效路径（若为空或 DISABLED，说明未启用）。

• 常见错误现象：have_ssl = DISABLED —— 多因配置文件路径写错、文件权限不对（MySQL 用户无读取权）、或证书格式损坏
• MySQL 8.0.43+ 若从未手动干预，通常已有 ca.pem、server-cert.pem、server-key.pem 在数据目录，可直接复用
• 生产环境强烈建议替换为 CA 签发证书，避免客户端报 X509 certificate has expired 或 self-signed certificate in certificate chain

服务端配置：指定证书路径并重启

编辑 MySQL 配置文件（如 /etc/my.cnf 或 /etc/mysql/mysql.conf.d/mysqld.cnf），在 [mysqld] 段落添加：

ssl-ca = /var/lib/mysql/ca.pem<br>ssl-cert = /var/lib/mysql/server-cert.pem<br>ssl-key = /var/lib/mysql/server-key.pem

• 路径必须绝对且真实存在；若挪到其他目录（如 /etc/mysql/ssl/），需 chown mysql:mysql 并确保 SELinux/AppArmor 不拦截
• MySQL 8.0+ 可用 mysql_ssl_rsa_setup --datadir=/var/lib/mysql --uid=mysql 一键重生成（覆盖旧证书），比手敲 OpenSSL 更少出错
• 重启后务必再执行 SHOW VARIABLES LIKE '%ssl%'; 验证，systemctl restart mysql 后若服务起不来，查 journalctl -u mysql -n 50 看是否报 SSL Error: Unable to get private key 类错误

强制用户走 SSL 连接（关键一步）

仅服务端配好证书，不等于连接就加密了。必须创建或修改用户，显式要求 SSL：

CREATE USER 'appuser'@'%' IDENTIFIED BY 'pwd123' require SSL;<br>-- 或对已有用户：<br>ALTER USER 'appuser'@'%' REQUIRE SSL;

• 若跳过这步，客户端用 mysql -u appuser -p 仍会走非加密连接，wireshark 抓包可见明文密码和 SQL
• 更严格可加 REQUIRE X509（要求客户端也提供证书）或 REQUIRE SUBJECT '/CN=client1' 做双向认证
• 注意：root 用户默认不限制 SSL，生产环境应单独约束，避免被绕过

客户端连接：指定 ssl-mode 和 CA 证书

命令行连接时，必须显式声明加密意图：

mysql -u appuser -p --ssl-mode=REQUIRED --ssl-ca=/path/to/ca.pem

• --ssl-mode 可选值：DISABLED（禁用）、PREFERRED（优先但不强制）、REQUIRED（必须加密，失败则拒连）、VERIFY_CA（校验 CA）、VERIFY_IDENTITY（校验域名/IP）——生产环境至少用 VERIFY_CA
• Java JDBC 连接串要加：&useSSL=true&requireSSL=true&trustCertificateKeyStoreUrl=file:/path/to/truststore.jks
• Python PyMySQL 示例：ssl={'ca': '/path/to/ca.pem'}；若漏掉 ssl 参数，即使服务端强制，客户端也会静默降级

最容易被忽略的点是：证书 CommonName（CN）必须与客户端连接时使用的地址一致（如用 mysql -h 192.168.1.10，则 server-cert.pem 的 CN 应为该 IP，而非 localhost）。否则 --ssl-mode=VERIFY_IDENTITY 会直接失败，而很多人只测了 REQUIRED 就以为万事大吉。