« MySQL » : différence entre les versions
(→SSL) |
|||
| Ligne 27 : | Ligne 27 : | ||
If you enter '.', the field will be left blank.<br /> | If you enter '.', the field will be left blank.<br /> | ||
- - - --<br /></font> | - - - --<br /></font> | ||
Country Name (2 letter code) [AU]:FR<br /> | Country Name (2 letter code) [AU]:<span style="font-family:sans-serif;color:blue">FR</span><br /> | ||
State or Province Name (full name) [Some-State]:Paris<br /> | State or Province Name (full name) [Some-State]:<span style="font-family:sans-serif;color:blue">Paris</span><br /> | ||
Locality Name (eg, city) []:Paris<br /> | Locality Name (eg, city) []:<span style="font-family:sans-serif;color:blue">Paris</span><br /> | ||
Organization Name (eg, company) [Internet Widgits Pty Ltd]:NCad Network<br /> | Organization Name (eg, company) [Internet Widgits Pty Ltd]:<span style="font-family:sans-serif;color:blue">NCad Network</span><br /> | ||
Organizational Unit Name (eg, section) []:Autorité de certification<br /> | Organizational Unit Name (eg, section) []:<span style="font-family:sans-serif;color:blue">Autorité de certification</span><br /> | ||
Common Name (e.g. server FQDN or YOUR name) []:Murdoc Certificats pour GLX<br /> | Common Name (e.g. server FQDN or YOUR name) []:<span style="font-family:sans-serif;color:blue">Murdoc Certificats pour GLX</span><br /> | ||
Email Address []:tech@ncad.fr }} | Email Address []:<span style="font-family:sans-serif;color:blue">tech@ncad.fr</span> }} | ||
=== Certificat serveur === | === Certificat serveur === | ||
Version du 5 février 2014 à 13:39
SSL
Autorité de certification
Création de la clé privée
- On se place dans le dossier /etc/ssl/private qui contient les clés et certificats privées :
|
|
|
- On génère la clé privée :
|
|
|
Cette clé va nous permettre de signer nos propres certificats.
Création du certificat auto-signé
- On lance la création de certificat auto-signé :
|
|
|
Certificat serveur
- On génère la clé privée :
|
|
|
- On génère un fichier de demande de signature de certificat :
|
|
|
- On signe notre certificat à l'aide du certificat auto-signé de notre autorité de certification (précédemment créée) :
|
|
|
COnfiguration du serveur MySQL
- On déplace les certificats crées dans /etc/ssl/private vers /etc/mysql/ssl
|
|
|
- On applique les permissions et droits mysql sur les certificats :
|
|
|
- On édite le fichier /etc/apparmor.d/usr.sbin.mysqld et on y insère les éléments suivants :
- On édite le fichier de configuration /etc/mysql/my.cf et on y insère dans la section [] :
- Dans le même fichier, on insère les éléments suivants dans la section [] :
Validation
mysql> show variables like "%ssl%"; +---------------+--------------------------+ | Variable_name | Value | +---------------+--------------------------+ | have_openssl | YES | | have_ssl | YES | | ssl_ca | /etc/mysq/ssl/ca.crt | | ssl_capath | | | ssl_cert | /etc/mysql/ssl/mysql.crt | | ssl_cipher | | | ssl_key | /etc/mysql/ssl/mysql.key | +---------------+--------------------------+ 7 rows in set (0.02 sec)
mysql> show status like 'Ssl_cipher'; +---------------+--------------------+ | Variable_name | Value | +---------------+--------------------+ | Ssl_cipher | DHE-RSA-AES256-SHA | +---------------+--------------------+ 1 row in set (0.01 sec)