MySQL安装后默认不启用加密传输,必须同时满足服务端have_ssl=YES、用户权限含REQUIRE SSL、客户端真实完成TLS握手三条件,缺一即静默降级为明文;需验证证书路径、权限(私钥600)、格式(PEM),并强制配置require_secure_transport=ON。
MySQL安装后默认不启用加密传输,即使生成了证书,连接仍是明文——必须手动配置服务端强制策略、用户权限和客户端行为三者联动,缺一不可。
很多问题卡在第一步:你改了配置、放了证书、重启了服务,但SHOW VARIABLES LIKE 'have_ssl'返回DISABLED或空值。这不是配置没生效,而是mysqld启动时根本没加载OpenSSL模块。
SHOW VARIABLES LIKE 'ssl_ca'、ssl_cert、ssl_key,三者必须返回非空的绝对路径,且对应文件真实存在have_ssl = DISABLED常见于MariaDB精简版、Alpine镜像、或编译时未加-DWITH_SSL=system;重装官方二进制包比修编译更可靠SHOW VARIABLES LIKE 'tls_version',确认支持TLSv1.2或TLSv1.3;旧客户端连不上时可临时放宽,但别长期开TLSv1.0
MySQL对证书极其挑剔:只认绝对路径、只读PEM格式、私钥权限必须是600。相对路径、~/、权限>600的私钥都会导致启动失败或连接被拒。
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --uid=mysql,它自动处理subjectAltName,避免X509_V_ERR_IP_ADDRESS_MISMATCH
/var/lib/mysql/ca.pem,不能放/root/或/home/deploy/
chown mysql:mysql /var/lib/mysql/*.pem && chmod 600 /var/lib/mysql/server-key.pem;MySQL拒绝读取组/其他可读的私钥openssl rsa -in server-key.pem -out server-key.pem可去除密码(若存在)require_secure_transport = ON不是可选优化项,而是强制所有TCP连接走SSL的硬开关。只设ssl=ON或仅依赖用户权限,都可能被绕过。
/etc/my.cnf或/etc/mysql/mysql.conf.d/mysqld.cnf,只在[mysqld]段添加:ssl_ca = /var/lib/mysql/ca.pemssl_cert = /var/lib/mysql/server-cert.pemssl_key = /var/lib/mysql/server-key.pemrequire_secure_transport = ON
~/或相对路径;不要写在[client]段——那是客户端配置,对服务端无效systemctl restart mysqld(不是reload),SSL配置不支持热加载tail -n 50 /var/log/mysqld.log | grep -i ssl;出现Failed to set up SSL说明证书或权限有问题SHOW VARIABLES LIKE '%ssl%'只告诉你“配了什么”,STATUS或s才反映当前连接实际状态。最直接的是查Ssl_cipher。
SELECT Ssl_cipher FROM information_schema.PROCESSLIST WHERE ID=CONNECTION_ID();
NULL → 当前连接未使用SSLECDHE-ECDSA-AES256-SHA或TLS_AES_256_GCM_SHA384 → 已加密mysql -u app -p --ssl-mode=REQUIRED;mysql -u root -p默认不启用SSL&useSSL=true&requireSSL=true;PyMySQL需传ssl={'ca': '/path/to/ca.pem'},只设ssl=True会跳过校验,失去防中间人意义最容易被忽略的是:require_secure_transport=ON之后,所有未显式启用SSL的客户端连接会被直接拒绝,但错误提示仍是Access denied,不是SSL相关报错——这意味着你得从客户端日志或MySQL错误日志里翻SSL connection error才能定位真实原因。