2.5. 将 MySQL 客户端配置为默认使用 TLS 加密

先决条件

• MySQL 服务器启用了 TLS 支持。
• CA 证书存储在客户端上的 /etc/pki/tls/certs/ca.crt.pem 文件中。

流程

• 使用以下内容创建 /etc/my.cnf.d/mysql-client-tls.cnf 文件：

  [client]
  ssl-mode=VERIFY_IDENTITY
  ssl-ca=/etc/pki/tls/certs/ca.crt.pem

  Copy to Clipboard Toggle word wrap

  这些设置定义 MySQL 客户端使用 TLS 加密，并且客户端将主机名与服务器证书中的 CN (ssl-mode=VERIFY_IDENTITY)进行比较。另外，它还指定到 CA 证书的路径(ssl-ca)。

验证

• 使用主机名连接到服务器，并显示服务器的状态：

  # mysql -u root -p -h server.example.com -e status
  ...
  SSL:        Cipher in use is TLS_AES_256_GCM_SHA384

  Copy to Clipboard Toggle word wrap

  如果 SSL 条目包含 Cipher in use is…​，则连接加密了。

  请注意，您在这个命令中使用的用户具有远程身份验证的权限。

  如果您连接的主机名与服务器的 TLS 证书中的主机名不匹配，则 ssl-mode=VERIFY_IDENTITY 参数导致连接失败。例如，如果您连接到 localhost ：

  # mysql -u root -p -h localhost -e status
  ERROR 2026 (HY000): SSL connection error: error:0A000086:SSL routines::certificate verify failed

  Copy to Clipboard Toggle word wrap