linux系统中使用openssl实现mysql主从复制

在MySQL的主从复制中，数据传输一直是一个核心议题。由于其默认的明文传输方式存在安全隐患，确保数据的安全性显得尤为重要。今天，我们将深入在Linux系统中如何使用OpenSSL来实现MySQL主从复制的加密传输。对于对此感兴趣的朋友，以下内容或许能为您提供一些参考。

一、证书准备阶段

CA证书部分:

1. 创建CA私钥: 在Linux系统中，首先需要创建一个CA私钥。通过以下命令实现：

```bash

[root@localhost CA] (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

```

2. 生成自签证书: 使用之前创建的私钥生成自签证书：

```bash

[root@localhost CA] openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

```

MySQL证书及申请文件准备:

1. 创建MySQL私钥: 为MySQL生成一个私钥：

```bash

[root@localhost ~] (umask 066; openssl genrsa -out /var/lib/mysql/ssl/mysql.key 2048)

```

2. 生成证书申请文件: 使用MySQL私钥生成证书申请文件，并发送到CA服务器：

```bash

[root@localhost ~] openssl req -new -key /var/lib/mysql/ssl/mysql.key -days 365 -out /var/lib/mysql/ssl/mysql.csr

```

在生成此文件时，请确保国家、省和公司名称与CA服务器端的设置一致。

在CA服务器端颁发证书:

接收到来自MySQL服务器的证书申请文件后，CA服务器使用以下命令颁发证书：

```bash

[root@localhost CA] openssl ca -in /tmp/mysql.csr -out /tmp/mysql.crt -days 365

```

查看证书信息: 使用以下命令查看证书中的信息：

```bash

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates

```

二、证书的传输与应用

配置MySQL主从复制并启用SSL证书

一、配置MySQL主服务器

在主服务器上查看与SSL相关的参数以及主从复制的配置项。在MariaDB的命令行界面中，使用如下命令：

```sql

MariaDB [(none)]> show variables like '%ssl%';

```

由于SSL功能配置项是全局配置参数，因此需要编辑/etc/myf文件。由于是采用客户端验证服务端的方式，只需配置ssl_cert（MySQL服务器端的证书位置）、ssl_key（MySQL私钥位置）以及ssl_ca（CA证书位置）即可。

接下来，开启服务并检查配置是否生效。

二、创建从服务器复制账号

为了从服务器能够复制主服务器的数据库，需要创建一个具有最小权限的账号。使用以下命令进行创建：

```sql

MariaDB [(none)]> GRANT REPLICATION SLAVE,REPLICATION CLIENT ON . TO 'slave1'@'10.1.35.25' IDENTIFIED BY 'passwd' REQUIRE ssl;

```

然后，查看binlog位置并记录下来，这将用于从服务器的配置。

三、配置从服务器

编辑/etc/myf文件，由于是从服务器，因此需要开启中继日志（relay_log），并且server_id不应与同一层面的MySQL服务器相同。启动MySQL服务并检查配置情况。

四、配置从服务器指向主服务器

在从服务器上，使用以下命令配置指向主服务器：

```sql

MariaDB [(none)]> CHANGE MASTER TO MASTER_HOST='10.1.35.1',MASTER_USER='slave1',MASTER_PASSWORD='passwd',MASTER_LOG_FILE='master-log.000025',MASTER_LOG_POS=245, MASTER_SSL=1, MASTER_SSL_CA='/var/lib/mysql/ssl/cacert.pem', MASTER_SSL_CERT='/var/lib/mysql/ssl/slave.crt', MASTER_SSL_KEY='/var/lib/mysql/ssl/slave.key';

```

然后启动复制线程：

```sql

MariaDB [(none)]> START SLAVE;

```

五、验证主从效果及注意事项

在主服务器上创建一个数据库，然后从服务器上查看是否成功复制。在复制过程中，需要注意以下几点：

1. 从服务器设定为“只读”；

2. 尽量确保复制时的事务安全；

3. 避免自动启动复制线程；

4. 设置从节点的相关参数以确保数据安全。

以上就是关于MySQL主从复制并启用SSL证书的详细步骤和注意事项，希望对大家在熟悉MySQL主从复制方面能有所帮助。