MySQLクライアントのTLSを有効にする

TLSはSSL（Secure Sockets Layer）とも呼ばれます。トランスポート層セキュリティを指します。

MySQLクライアントとサーバーの間に暗号化されていない接続がある場合、ネットワークにアクセスできる人は、すべてのトラフィックを監視し、クライアントとサーバーの間で送受信されているデータを検査できます。ユーザーが安全な方法でネットワークを介して情報を移動したい場合、暗号化されていない接続は受け入れられません。

あらゆる種類のデータを読み取り不能にするには、暗号化を使用する必要があります。暗号化アルゴリズムには通常、多くの種類の既知の攻撃に抵抗するのに役立つセキュリティ要素が含まれています。その中には、暗号化されたメッセージの順序を変更したり、データを2回再生したりするものもあります。 MySQLは、クライアントとサーバーの両方がTLSプロトコルを使用する場合に発生する暗号化された接続をサポートします。ただし、暗号化が弱いため、MySQLは暗号化された接続にSSLプロトコルを使用しません。

TLSは暗号化アルゴリズムを使用して、パブリックネットワークを介して受信されるデータが信頼できるデータであることを確認します。データの変更、損失、または再生を検出する方法は多数あります。TLSは、X.509標準を使用したID検証に付属するアルゴリズムも使用します。

TLSを有効にする手順

MySQLは、接続ごとに暗号化を実行します。特定のユーザーの暗号化は、オプションまたは必須のいずれかになります。これにより、ユーザーはアプリケーションの要件に応じて、暗号化された接続または暗号化されていない接続を選択できます。

MySQLクライアントでTLSを有効にする方法を理解しましょう：

• サーバーの起動時に、構成ファイルのssl-certパラメーターとssl-keyパラメーターを指定する必要があります。
• 証明書またはキーは、OpenSSLを使用して署名および生成されます。
• このキーは、MySQLのmysql_ssl_rsa_setupツールを使用して生成することもできます：

  mysql_ssl_rsa_setup --datadir=./certs

• パラメータが正しい場合、安全な接続が出力として渡され、起動時に有効になります。
• 証明書、キー、およびCAが再ロードされます-ALTER INSTANCERELOADTLSステートメントがサーバーインスタンスで実行されます。これにより、サーバーインスタンスをリロードする必要がなくなります。
• 新しくロードされた証明書、キー、およびCAは、確立された接続が正常に実行された後に効果を示します。
• MySQLクライアントは暗号化された接続を使用するように構成されています-暗号化された接続は、デフォルトでセットアップが試行されます。サーバーが暗号化された接続をサポートしていない場合、暗号化されていない接続が自動的に返されます。
• クライアントの接続動作は、-ssl-modeパラメータを使用して変更できます。

  --ssl-mode=REQUIRED- Tells that en encrypted connection is needed.

認証を有効にする必要があります：ssl-caパラメータが指定されていない場合、クライアントまたはサーバーはデフォルトで認証を行いません。

• ssl-certおよびssl-keyパラメーターはサーバーで指定する必要があります。
• --ssl-caパラメータはMySQLクライアントで指定されています。
• --ssl-modeは、MySQLクライアントのVERIFY_CAに指定されています。
• サーバーで構成された証明書（ssl-cert）は、クライアントの--ssl-caパラメーターで指定されたCAによって署名されています。
• そうでない場合、認証は失敗します。

サーバーからMySQLクライアントを認証するには：

• ssl-cert、ssl-key、およびssl-caパラメーターは指定されたサーバーです。
• --ssl-certおよび--ssl-keyパラメーターはクライアントで指定されます。
• サーバー構成の証明書とクライアント構成の証明書は、サーバーによって指定されたssl-caによって署名されています。
• サーバーからクライアントへの認証はオプションです。 TLSハンドシェイク中にクライアントがIDの証明書を表示しない場合でも、TLS接続は確立されたままです。
• 現在の接続で暗号化が使用されているかどうかを確認します。