2.4. MySQL サーバーでの TLS 暗号化の設定

デフォルトでは、MySQL は暗号化されていない接続を使用します。安全な接続のために、MySQL サーバーで TLS サポートを有効にし、暗号化された接続を確立するようにクライアントを設定します。

MySQL サーバーで TLS 暗号化を有効にする前に、認証局 (CA) 証明書、サーバー証明書、および秘密鍵を MySQL サーバーに保存します。

前提条件

Privacy Enhanced Mail(PEM) 形式の以下のファイルがサーバーにコピーされています。
- サーバーの秘密鍵: server.example.com.key.pem
- サーバー証明書: server.example.com.crt.pem
- 認証局 (CA) 証明書: ca.crt.pem
秘密鍵および証明書署名要求 (CSR) の作成や、CA からの証明書要求に関する詳細は、CA のドキュメントを参照してください。

手順

CA およびサーバー証明書を /etc/pki/tls/certs/ ディレクトリーに保存します。

# mv <path>/server.example.com.crt.pem /etc/pki/tls/certs/
# mv <path>/ca.crt.pem /etc/pki/tls/certs/

MySQL サーバーがファイルを読み取れるように、CA とサーバー証明書のパーミッションを設定します。
```
# chmod 644 /etc/pki/tls/certs/server.example.com.crt.pem /etc/pki/tls/certs/ca.crt.pem
```
証明書は、セキュアな接続が確立される前は通信の一部であるため、任意のクライアントは認証なしで証明書を取得できます。そのため、CA およびサーバーの証明書ファイルに厳密なパーミッションを設定する必要はありません。
サーバーの秘密鍵を /etc/pki/tls/private/ ディレクトリーに保存します。
```
# mv <path>/server.example.com.key.pem /etc/pki/tls/private/
```
サーバーの秘密鍵にセキュアなパーミッションを設定します。
```
# chmod 640 /etc/pki/tls/private/server.example.com.key.pem
# chgrp mysql /etc/pki/tls/private/server.example.com.key.pem
```
承認されていないユーザーが秘密鍵にアクセスできる場合、MySQL サーバーへの接続は安全ではなくなります。
SELinux コンテキストを復元します。
```
# restorecon -Rv /etc/pki/tls/
```