Debian MariaDB如何配置SSL加密通信

在Debian上配置MariaDB以使用SSL加密通信涉及几个步骤。以下是一个基本的指南，帮助你设置SSL加密通信：

1. 安装MariaDB

如果你还没有安装MariaDB，可以使用以下命令进行安装：

sudo apt update
sudo apt install mariadb-server mariadb-client

2. 生成SSL证书和密钥

你需要生成自签名证书或从受信任的证书颁发机构获取证书。以下是生成自签名证书的步骤：

生成CA证书

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/mysql/ssl/ca-key.pem -out /etc/mysql/ssl/ca-cert.pem

生成服务器证书和密钥

sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/mysql/ssl/server-key.pem -out /etc/mysql/ssl/server-req.pem
sudo openssl x509 -req -in /etc/mysql/ssl/server-req.pem -days 365 -CA /etc/mysql/ssl/ca-cert.pem -CAkey /etc/mysql/ssl/ca-key.pem -set_serial 01 -out /etc/mysql/ssl/server-cert.pem

生成客户端证书和密钥（可选）

如果你需要客户端证书进行双向认证，可以生成客户端证书和密钥：

sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/mysql/ssl/client-key.pem -out /etc/mysql/ssl/client-req.pem
sudo openssl x509 -req -in /etc/mysql/ssl/client-req.pem -days 365 -CA /etc/mysql/ssl/ca-cert.pem -CAkey /etc/mysql/ssl/ca-key.pem -set_serial 02 -out /etc/mysql/ssl/client-cert.pem

3. 配置MariaDB使用SSL

编辑MariaDB配置文件 /etc/mysql/mariadb.conf.d/50-server.cnf（或 /etc/mysql/my.cnf），添加或修改以下内容：

[mysqld]
ssl-ca=/etc/mysql/ssl/ca-cert.pem
ssl-cert=/etc/mysql/ssl/server-cert.pem
ssl-key=/etc/mysql/ssl/server-key.pem

# 如果需要客户端证书验证
ssl-verify-server-cert=1
require_secure_transport=1

4. 重启MariaDB服务

保存配置文件并重启MariaDB服务以应用更改：

sudo systemctl restart mariadb

5. 配置防火墙

确保防火墙允许MySQL/MariaDB的默认端口（3306）上的流量：

sudo ufw allow 3306/tcp

6. 验证SSL连接

你可以使用 mysql 客户端工具来验证SSL连接是否正常工作：

mysql -u root -p --ssl-ca=/etc/mysql/ssl/ca-cert.pem --ssl-cert=/etc/mysql/ssl/client-cert.pem --ssl-key=/etc/mysql/ssl/client-key.pem

如果一切配置正确，你应该能够成功连接到MariaDB服务器，并且连接将是加密的。

注意事项

确保所有证书和密钥文件的权限设置正确，以防止未经授权的访问。
在生产环境中，建议使用受信任的证书颁发机构（CA）签发的证书，而不是自签名证书。
定期更新证书以避免过期。

通过以上步骤，你应该能够在Debian上成功配置MariaDB以使用SSL加密通信。