1.4. MariaDB サーバーでの TLS 暗号化の設定

デフォルトでは、MariaDB は暗号化されていない接続を使用します。セキュアな接続では、MariaDB サーバーで TLS サポートを有効にし、クライアントが暗号化された接続を確立するように設定します。

MariaDB サーバーで TLS 暗号化を有効にする前に、認証局 (CA) 証明書、サーバー証明書、および秘密鍵を MariaDB サーバーに保存します。

前提条件

Privacy Enhanced Mail(PEM) 形式の以下のファイルがサーバーにコピーされています。
- サーバーの秘密鍵: server.example.com.key.pem
- サーバー証明書: server.example.com.crt.pem
- 認証局 (CA) 証明書: ca.crt.pem
秘密鍵および証明書署名要求 (CSR) の作成や、CA からの証明書要求に関する詳細は、CA のドキュメントを参照してください。

手順

CA およびサーバー証明書を /etc/pki/tls/certs/ ディレクトリーに保存します。

# mv <path>/server.example.com.crt.pem /etc/pki/tls/certs/
# mv <path>/ca.crt.pem /etc/pki/tls/certs/

MariaDB サーバーがファイルを読み込めるように、CA およびサーバー証明書にパーミッションを設定します。
```
# chmod 644 /etc/pki/tls/certs/server.example.com.crt.pem /etc/pki/tls/certs/ca.crt.pem
```
証明書は、セキュアな接続が確立される前は通信の一部であるため、任意のクライアントは認証なしで証明書を取得できます。そのため、CA およびサーバーの証明書ファイルに厳密なパーミッションを設定する必要はありません。
サーバーの秘密鍵を /etc/pki/tls/private/ ディレクトリーに保存します。
```
# mv <path>/server.example.com.key.pem /etc/pki/tls/private/
```
サーバーの秘密鍵にセキュアなパーミッションを設定します。
```
# chmod 640 /etc/pki/tls/private/server.example.com.key.pem
# chgrp mysql /etc/pki/tls/private/server.example.com.key.pem
```
承認されていないユーザーが秘密鍵にアクセスできる場合は、MariaDB サーバーへの接続は安全ではなくなります。
SELinux コンテキストを復元します。
```
#  restorecon -Rv /etc/pki/tls/
```