2.4. MySQL サーバーでの TLS 暗号化の設定

デフォルトでは、MySQL は暗号化されていない接続を使用します。安全な接続のために、MySQL サーバーで TLS サポートを有効にし、暗号化された接続を確立するようにクライアントを設定します。

2.4.1. MySQL サーバーに CA 証明書、サーバー証明書、および秘密鍵を配置する
リンクのコピー

MySQL サーバーで TLS 暗号化を有効にする前に、認証局 (CA) 証明書、サーバー証明書、および秘密鍵を MySQL サーバーに保存します。

前提条件

Privacy Enhanced Mail(PEM) 形式の以下のファイルがサーバーにコピーされています。
- サーバーの秘密鍵: server.example.com.key.pem
- サーバー証明書: server.example.com.crt.pem
- 認証局 (CA) 証明書: ca.crt.pem
秘密鍵および証明書署名要求 (CSR) の作成や、CA からの証明書要求に関する詳細は、CA のドキュメントを参照してください。

手順

CA およびサーバー証明書を /etc/pki/tls/certs/ ディレクトリーに保存します。

mv <path>/server.example.com.crt.pem /etc/pki/tls/certs/
mv <path>/ca.crt.pem /etc/pki/tls/certs/

# mv <path>/server.example.com.crt.pem /etc/pki/tls/certs/
# mv <path>/ca.crt.pem /etc/pki/tls/certs/

Copy to Clipboard

Toggle word wrap

MySQL サーバーがファイルを読み取れるように、CA とサーバー証明書のパーミッションを設定します。
```
chmod 644 /etc/pki/tls/certs/server.example.com.crt.pem /etc/pki/tls/certs/ca.crt.pem
```
```
# chmod 644 /etc/pki/tls/certs/server.example.com.crt.pem /etc/pki/tls/certs/ca.crt.pem
```
Copy to Clipboard Toggle word wrap
証明書は、セキュアな接続が確立される前は通信の一部であるため、任意のクライアントは認証なしで証明書を取得できます。そのため、CA およびサーバーの証明書ファイルに厳密なパーミッションを設定する必要はありません。
サーバーの秘密鍵を /etc/pki/tls/private/ ディレクトリーに保存します。
```
mv <path>/server.example.com.key.pem /etc/pki/tls/private/
```
```
# mv <path>/server.example.com.key.pem /etc/pki/tls/private/
```
Copy to Clipboard Toggle word wrap
サーバーの秘密鍵にセキュアなパーミッションを設定します。
```
chmod 640 /etc/pki/tls/private/server.example.com.key.pem
chgrp mysql /etc/pki/tls/private/server.example.com.key.pem
```
```
# chmod 640 /etc/pki/tls/private/server.example.com.key.pem
# chgrp mysql /etc/pki/tls/private/server.example.com.key.pem
```
Copy to Clipboard Toggle word wrap
承認されていないユーザーが秘密鍵にアクセスできる場合、MySQL サーバーへの接続は安全ではなくなります。
SELinux コンテキストを復元します。
```
restorecon -Rv /etc/pki/tls/
```
```
# restorecon -Rv /etc/pki/tls/
```
Copy to Clipboard Toggle word wrap

2.4.2. MySQL サーバーでの TLS 暗号化の設定
リンクのコピー

デフォルトでは、MySQL は暗号化されていない接続を使用します。よりセキュアな接続のために、MySQL サーバーで Transport Layer Security (TLS) サポートを有効にし、暗号化された接続を確立するようにクライアントを設定できます。

前提条件

MySQL サーバーがインストールされている。
mysqld サービスが実行されている。
Privacy Enhanced Mail(PEM) 形式の以下のファイルがサーバー上にあり、mysql ユーザーが読み取りできます。
- サーバーの秘密鍵: /etc/pki/tls/private/server.example.com.key.pem
- サーバー証明書: /etc/pki/tls/certs/server.example.com.crt.pem
- 認証局 (CA) 証明書 /etc/pki/tls/certs/ca.crt.pem
サーバー証明書のサブジェクト識別名 (DN) またはサブジェクトの別名 (SAN) フィールドは、サーバーのホスト名と一致します。

手順

/etc/my.cnf.d/mysql-server-tls.cnf ファイルを作成します。
1. 以下の内容を追加して、秘密鍵、サーバー、および CA 証明書へのパスを設定します。
  [mysqld] ssl_key = /etc/pki/tls/private/server.example.com.key.pem ssl_cert = /etc/pki/tls/certs/server.example.com.crt.pem ssl_ca = /etc/pki/tls/certs/ca.crt.pem
  Copy to Clipboard Toggle word wrap
2. 証明書失効リスト (CRL) がある場合は、それを使用するように MySQL サーバーを設定します。
  ssl_crl = /etc/pki/tls/certs/example.crl.pem
  Copy to Clipboard Toggle word wrap
3. オプション: 暗号化なしの接続試行を拒否します。この機能を有効にするには、以下を追加します。
  require_secure_transport = on
  Copy to Clipboard Toggle word wrap
4. オプション: サーバーがサポートする必要がある TLS バージョンを設定します。たとえば、TLS 1.3 のみをサポートするには、次を追加します。
  tls_version = TLSv1.3
  Copy to Clipboard Toggle word wrap
  デフォルトでは、サーバーは TLS 1.2 と TLS 1.3 をサポートします。
mysqld サービスを再起動します。
```
systemctl restart mysqld
```
```
# systemctl restart mysqld
```
Copy to Clipboard Toggle word wrap

検証

トラブルシューティングを簡素化するには、ローカルクライアントが TLS 暗号化を使用するように設定する前に、MySQL サーバーで以下の手順を実行します。

MySQL で TLS 暗号化が有効になっていることを確認します。

mysql -u root -p -h <MySQL_server_hostname> -e "SHOW session status LIKE 'Ssl_cipher';"

# mysql -u root -p -h <MySQL_server_hostname> -e "SHOW session status LIKE 'Ssl_cipher';"
+---------------+------------------------+
| Variable_name | Value                  |
+---------------+------------------------+
| Ssl_cipher    | TLS_AES_256_GCM_SHA384 |
+---------------+------------------------+

Copy to Clipboard

Toggle word wrap

MySQL サーバーが特定の TLS バージョンのみをサポートするように設定している場合は、tls_version 変数を表示します。

mysql -u root -p -e "SHOW GLOBAL VARIABLES LIKE 'tls_version';"

# mysql -u root -p -e "SHOW GLOBAL VARIABLES LIKE 'tls_version';"
+---------------+---------+
| Variable_name | Value   |
+---------------+---------+
| tls_version   | TLSv1.3 |
+---------------+---------+

Copy to Clipboard

Toggle word wrap

サーバーが正しい CA 証明書、サーバー証明書、および秘密鍵ファイルを使用していることを確認します。

mysql -u root -e "SHOW GLOBAL VARIABLES WHERE Variable_name REGEXP '{caret}ssl_ca|{caret}ssl_cert|{caret}ssl_key';"

# mysql -u root -e "SHOW GLOBAL VARIABLES WHERE Variable_name REGEXP '{caret}ssl_ca|{caret}ssl_cert|{caret}ssl_key';"
+-----------------+-------------------------------------------------+
| Variable_name   | Value                                           |
+-----------------+-------------------------------------------------+
| ssl_ca          | /etc/pki/tls/certs/ca.crt.pem                   |
| ssl_capath      |                                                 |
| ssl_cert        | /etc/pki/tls/certs/server.example.com.crt.pem   |
| ssl_key         | /etc/pki/tls/private/server.example.com.key.pem |
+-----------------+-------------------------------------------------+

Copy to Clipboard

Toggle word wrap

2.4.3. MySQL サーバー上の特定のユーザーアカウントに対して TLS 暗号化接続を必須とする
リンクのコピー

機密データの転送を保護するために、特定の MySQL ユーザーアカウントに対して TLS 暗号化接続を必須とするように設定できます。

サーバー側ですべての接続に対してセキュアな転送を必須とするように設定 (require_secure_transport = on) できない場合は、個々のユーザーアカウントに対して TLS 暗号化を必須とするように設定してください。

前提条件

MySQL サーバーで TLS サポートが有効になっている。
セキュアなトランスポートを必要とするように設定するユーザーが存在する。
CA 証明書がクライアントに保存されている。

手順

管理ユーザーとして MySQL サーバーに接続します。
```
mysql -u root -p -h server.example.com
```
```
# mysql -u root -p -h server.example.com
```
Copy to Clipboard Toggle word wrap
管理ユーザーがリモートでサーバーにアクセスするパーミッションを持たない場合は、MySQL サーバーでコマンドを実行し、localhost に接続します。
REQUIRE SSL 句を使用して、ユーザーが TLS 暗号化接続を使用して接続する必要があるよう強制します。
```
MySQL [(none)]> ALTER USER 'example'@'%' REQUIRE SSL;
```
```
MySQL [(none)]> ALTER USER 'example'@'%' REQUIRE SSL;
```
Copy to Clipboard Toggle word wrap

検証

TLS 暗号化を使用して、example ユーザーとしてサーバーに接続します。
```
mysql -u example -p -h server.example.com
```
```
# mysql -u example -p -h server.example.com
...
MySQL [(none)]>
```
Copy to Clipboard Toggle word wrap
エラーが表示されず、インタラクティブな MySQL コンソールにアクセスできる場合は、TLS による接続は成功しています。
デフォルトでは、サーバーが TLS 暗号化を提供している場合、クライアントは自動的にその TLS 暗号化を使用します。したがって、--ssl-ca=ca.crt.pem および --ssl-mode=VERIFY_IDENTITY オプションは必須ではありません。ただし、これらのオプションを使用するとクライアントはサーバーの ID を検証するため、セキュリティーが向上します。
TLS を無効にして、example ユーザーとして接続を試みます。
```
mysql -u example -p -h server.example.com --ssl-mode=DISABLED
```
```
# mysql -u example -p -h server.example.com --ssl-mode=DISABLED
ERROR 1045 (28000): Access denied for user 'example'@'server.example.com' (using password: YES)
```
Copy to Clipboard Toggle word wrap
このユーザーには TLS が必要なのにもかかわらず無効になっているため、サーバーはログインの試行を拒否しました (--ssl-mode=DISABLED)。

トップに戻る

2.4. MySQL サーバーでの TLS 暗号化の設定

2.4.1. MySQL サーバーに CA 証明書、サーバー証明書、および秘密鍵を配置する
リンクのコピー

2.4.2. MySQL サーバーでの TLS 暗号化の設定
リンクのコピー

2.4.3. MySQL サーバー上の特定のユーザーアカウントに対して TLS 暗号化接続を必須とする
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.4. MySQL サーバーでの TLS 暗号化の設定

2.4.1. MySQL サーバーに CA 証明書、サーバー証明書、および秘密鍵を配置するリンクのコピーリンクがクリップボードにコピーされました!

2.4.2. MySQL サーバーでの TLS 暗号化の設定リンクのコピーリンクがクリップボードにコピーされました!

2.4.3. MySQL サーバー上の特定のユーザーアカウントに対して TLS 暗号化接続を必須とするリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.4.1. MySQL サーバーに CA 証明書、サーバー証明書、および秘密鍵を配置する
リンクのコピー

2.4.2. MySQL サーバーでの TLS 暗号化の設定
リンクのコピー

2.4.3. MySQL サーバー上の特定のユーザーアカウントに対して TLS 暗号化接続を必須とする
リンクのコピー