MySQL SSL证书验证和连接设置

在MySQL中启用SSL连接需要完成以下步骤：

1. 获取SSL证书：首先，您需要获取有效的SSL证书。您可以从受信任的证书颁发机构（CA）购买证书，或者使用自签名证书进行测试。如果您使用自签名证书，请确保将其安装在客户端和服务器上。
2. 配置MySQL服务器：打开MySQL配置文件（通常是my.cnf或my.ini），并添加以下行：

   [mysqld]
   ssl-ca=/path/to/ca.pem
   ssl-cert=/path/to/server-cert.pem
   ssl-key=/path/to/server-key.pem

   确保将“/path/to/”替换为实际文件路径。
3. 重启MySQL服务器：保存配置文件后，重启MySQL服务器以使更改生效。具体命令取决于您的操作系统和MySQL安装方式。常见的重启命令包括：

   sudo service mysql restart

   或

   sudo systemctl restart mysqld

4. 创建SSL信任存储：在MySQL服务器上创建一个信任存储，用于存储客户端证书。登录到MySQL控制台，并执行以下命令：

   CREATE CERTIFICATE 'client_cert';

5. 导出客户端证书：在客户端机器上，导出您的SSL证书为PEM格式。通常，您可以使用以下命令之一：

   openssl x509 -in cert.pem -out client-cert.pem -outform PEM

   或

   openssl pkcs12 -export -in cert.pem -out client-cert.pfx -caname root -name 'Your Certificate Name' -passout pass:your_password

   确保将“cert.pem”替换为您的实际证书文件名，并将“your_password”替换为您设置的密码。
6. 将客户端证书导入到MySQL服务器：将客户端证书上传到MySQL服务器上，并将其导入到之前创建的信任存储中。在MySQL控制台中执行以下命令：

   LOAD CERTIFICATE FROM '/path/to/client-cert.pem';
   SET @my_cert = SELECT LENGTH(@my_cert);
   INSERT INTO mysql.ssl_certs (Host, User, Certificate, Certificate_hash) VALUES ('%', 'root', @my_cert, SHA1(CERTIFICATE('client_cert')));

   确保将“/path/to/”替换为实际文件路径。此命令将导入客户端证书并为其生成哈希值。
7. 配置客户端连接：在客户端机器上，编辑MySQL配置文件（通常为my.cnf或my.ini），并添加以下行：

   [client]
   ssl-ca=/path/to/ca.pem
   ssl-cert=/path/to/client-cert.pem
   ssl-key=/path/to/client-key.pem

   确保将“/path/to/”替换为实际文件路径。此配置将启用SSL连接并使用您提供的证书和密钥。保存配置文件后，重新启动MySQL客户端。
8. 测试SSL连接：尝试使用客户端连接到MySQL服务器，并验证SSL连接是否正常工作。您可以使用以下命令之一：

   mysql -h your_server_ip -u your_username -p --ssl-mode=REQUIRED --ssl-ca=/path/to/ca.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem your_database_name