基于ssl功能实现mysql主从复制

        证书准备：

CA证书：

第一步：创建CA私钥

[root@localhost CA]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

第二步：生成自签证书

[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem

————————————————————————————–

mysql准备私钥及证书申请文件 ：

第一步：创建mysql私钥：

[root@localhost ~]# (umask 066;openssl genrsa -out /var/lib/mysql/ssl/mysql.key 2048)

第二步：生成证书申请文件及发送给CA服务端

[root@localhost ~]# openssl req -new -key /var/lib/mysql/ssl/mysql.key -days 365 -out /var/lib/mysql/ssl/mysql.csr

注意：国家，省 ，公司名称必须和CA一致

将证书申请文件发送至CA服务器

                ————————————————————————————–

在CA服务器端颁发证书：

[root@localhost CA]# openssl ca -in /tmp/mysql.csr -out /tmp/mysql.crt -days 365

附上查看证书中的信息命令：

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates

                ————————————————————————————–

将证书发送至mysql服务器

以及将CA的自签证书发送至从服务器

证书准备动作到此结束

基于ssl功能实现主从复制，是主从双方都需要互相验证，即从服务器也要有自己的证书。

所以，按照上述流程，生成slave服务器的证书

                ================================================

                ================================================ 

        配置mysql服务端：

在主服务器端查看关于ssl有关的参数  及  主从复制–主服务器  的配置项：

MariaDB [(none)]> show variables like ‘%ssl%’;

由于ssl功能配置项为全局配置参数，所以 编辑 /etc/my.cnf 文件 ：

由于是客户端验证服务端，所以只需要配置  ssl_cert（mysql服务器端的证书位置）、ssl_key（mysql私钥位置）与ssl_ca（CA证书位置）即可

开启服务，并检查：

                ————————————————————————————–

创建一个基于ssl功能，从服务器用于复制mysql主服务器数据库的最小权限账号：

MariaDB [(none)]> GRANT REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO ‘slave1’@’10.1.35.25’ IDENTIFIED BY ‘passwd’ REQUIRE ssl ;    

查看binlog位置，并记录，用于从服务器配置：

MariaDB [(none)]> SHOW MASTER LOGS;

                ================================================

                ================================================

从服务器配置：

编辑 /etc/my.cnf ，由于是从服务器，所以需要开启中继日志（relay_log），且server_id不应与同一层面的mysql服务器相同

启动mysql服务，并检查：

————————————————————————————–

配置从服务器，指向主服务器（这是是全局配置参数，但是不建议写在配置文件/etc/my.cnf 中，因为如果slave因意外宕机，在为了检查数据完整性的情况下，再启动mysql的时候，也会自动启动复制功能，不利于排查错误）

MariaDB [(none)]> CHANGE MASTER TO MASTER_HOST=’10.1.35.1′,MASTER_USER=’slave1′,MASTER_PASSWORD=’passwd’,MASTER_LOG_FILE=’ master-log.000025 ‘,MASTER_LOG_POS= 245 , MASTER_SSL =1, MASTER_SSL_CA =’/var/lib/mysql/ssl/cacert.pem’, MASTER_SSL_CERT =’/var/lib/mysql/ssl/slave.crt’, MASTER_SSL_KEY =’/var/lib/mysql/ssl/slave.key’;

MariaDB [(none)]> START SLAVE;