검색

2.4. MariaDB 클라이언트에서 전역적으로 TLS 암호화 활성화

download PDF

MariaDB 서버가 TLS 암호화를 지원하는 경우 보안 연결만 설정하고 서버 인증서를 확인하도록 클라이언트를 구성합니다. 다음 절차에서는 서버에 있는 모든 사용자에 대해 TLS 지원을 활성화하는 방법을 설명합니다.

2.4.1. 기본적으로 TLS 암호화를 사용하도록 MariaDB 클라이언트 구성

RHEL에서는 MariaDB 클라이언트가 TLS 암호화를 사용하도록 구성하고 서버 인증서의 CN(Common Name)이 사용자가 연결하는 호스트 이름과 일치하는지 확인할 수 있습니다. 따라서 메시지 가로채기(man-in-the-middle) 공격을 방지합니다.

사전 요구 사항

  • MariaDB 서버에는 TLS 지원이 활성화되어 있습니다.
  • 서버의 인증서를 발급한 CA(인증 기관)가 RHEL에서 신뢰할 수 없는 경우 CA 인증서가 클라이언트에 복사됩니다.
  • MariaDB 서버가 RHEL 9.2 이상을 실행하고 FIPS 모드가 활성화된 경우 이 클라이언트는 확장 마스터 시크릿(Extended Master Secret) 확장을 지원하거나 TLS 1.3을 사용합니다. TLS 1.2 연결이 없는 경우 실패합니다. 자세한 내용은 RHEL 9.2 이상에 적용된 Red Hat Knowledgebase 솔루션 TLS 확장 "확장 마스터 시크릿"을 참조하십시오.

절차

  1. RHEL이 서버의 인증서를 발급한 CA를 신뢰하지 않는 경우:

    1. CA 인증서를 /etc/pki/ca-trust/source/anchors/ 디렉터리에 복사합니다.

      # cp <path>/ca.crt.pem /etc/pki/ca-trust/source/anchors/
    2. 모든 사용자가 CA 인증서 파일을 읽을 수 있도록 권한을 설정합니다.

      # chmod 644 /etc/pki/ca-trust/source/anchors/ca.crt.pem
    3. CA 신뢰 데이터베이스를 다시 빌드합니다.

      # update-ca-trust
  2. 다음 콘텐츠를 사용하여 /etc/my.cnf.d/mariadb-client-tls.cnf 파일을 생성합니다.

    [client-mariadb]
    ssl
    ssl-verify-server-cert

    이러한 설정은 MariaDB 클라이언트가 TLS 암호화(ssl)를 사용하고 클라이언트가 서버 인증서의 CN과 호스트 이름을 비교하는 것을 정의합니다(ssl-verify-server-cert).

검증

  • 호스트 이름을 사용하여 서버에 연결하고 서버 상태를 표시합니다.

    # mysql -u root -p -h server.example.com -e status
    ...
    SSL:        Cipher in use is TLS_AES_256_GCM_SHA384

    SSL 항목에 사용 중 암호화가 있는 경우..., 연결이 암호화됩니다.

    이 명령에서 사용하는 사용자에게는 원격으로 인증할 수 있는 권한이 있습니다.

    연결하는 호스트 이름이 서버의 TLS 인증서의 호스트 이름과 일치하지 않으면 ssl-verify-server-cert 매개변수로 인해 연결이 실패합니다. 예를 들어 localhost 에 연결하는 경우 :

    # mysql -u root -p -h localhost -e status
    ERROR 2026 (HY000): SSL connection error: Validation of SSL server certificate failed

추가 리소스

  • mysql(1) 도움말 페이지의 --ssl* 매개 변수 설명.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.