mysql8.0 使用 x509设置加密连接

在 MySQL 8.0 中，可以使用 X509（SSL/TLS）来加密客户端与服务器之间的连接。以下是配置步骤：

### 1. 准备 SSL/TLS 证书和密钥

首先，你需要准备以下文件：

- **CA 证书**：`ca-cert.pem`
- **服务器证书**：`server-cert.pem`
- **服务器私钥**：`server-key.pem`
- **客户端证书**：`client-cert.pem`
- **客户端私钥**：`client-key.pem`

这些文件通常由 CA（证书颁发机构）生成。如果没有 CA，你可以使用 OpenSSL 自己生成这些文件。

#### 使用 OpenSSL 生成自签名证书和密钥

```bash
# 创建 CA 密钥
openssl genrsa -out ca-key.pem 2048

# 创建 CA 证书
openssl req -x509 -new -nodes -key ca-key.pem -days 3650 -out ca-cert.pem

# 创建服务器密钥
openssl genrsa -out server-key.pem 2048

# 创建服务器证书签署请求
openssl req -new -key server-key.pem -out server.csr

# 使用 CA 签署服务器证书
openssl x509 -req -in server.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -days 3650

# 创建客户端密钥
openssl genrsa -out client-key.pem 2048

# 创建客户端证书签署请求
openssl req -new -key client-key.pem -out client.csr

# 使用 CA 签署客户端证书
openssl x509 -req -in client.csr -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem -days 3650
```

### 2. 配置 MySQL 服务器

编辑 MySQL 的配置文件 `my.cnf` 或 `my.ini`，添加以下内容：

```ini
[mysqld]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem
```

确保替换 `/path/to/` 为实际的文件路径。

然后重启 MySQL 服务以应用更改。

```bash
sudo systemctl restart mysql
```

### 3. 配置 MySQL 用户支持 X509

在 MySQL 中创建一个用户，并指定该用户必须使用 X509 进行认证。

```sql
CREATE USER 'ssl_user'@'%' REQUIRE X509;
GRANT ALL PRIVILEGES ON *.* TO 'ssl_user'@'%';
FLUSH PRIVILEGES;
```

### 4. 客户端连接

使用 `mysql` 命令行工具连接时，需要提供客户端证书和密钥：

```bash
mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -u ssl_user -p
```

确保替换 `/path/to/` 为实际的文件路径。

### 5. 验证 SSL 连接

你可以通过查询 `information_schema.PROCESSLIST` 来验证是否使用了 SSL：

```sql
SHOW STATUS LIKE 'Ssl_cipher';
```

如果返回非空值，则表示连接已加密。

### 6. 可选：强制所有连接使用 SSL

如果你想强制所有客户端连接都必须使用 SSL，可以在 MySQL 配置中设置：

```ini
[mysqld]
ssl_mode=REQUIRED
```

然后重启 MySQL 服务。

```bash
sudo systemctl restart mysql
```

这样，所有客户端必须提供有效的 SSL 证书才能连接到数据库。

### 总结

通过上述步骤，你可以在 MySQL 8.0 中使用 X509 设置加密连接。这可以确保客户端和服务器之间的通信是安全的。