Scenario: autenticazione di MySQL Server
Si consiglia di utilizzare un certificato TLS per autenticare MySQL Server. È possibile utilizzare un certificato di un'autorità di certificazione attendibile o un certificato autofirmato. Utilizzare un certificato di un'autorità di certificazione attendibile perché un certificato autofirmato fornisce solo una protezione limitata.
Administration Server supporta l'autenticazione SSL unidirezionale e bidirezionale per MySQL.
Abilitazione dell'autenticazione SSL unidirezionale
Seguire questi passaggi per configurare l'autenticazione SSL unidirezionale per MySQL:
- Generare un certificato SSL o TLS autofirmato per SQL Server in base ai requisiti del certificato
Se si dispone già di un certificato per SQL Server, saltare questo passaggio.
Un certificato SSL è applicabile solo alle versioni di SQL Server precedenti al 2016 (13.x). In SQL Server 2016 (13.x) e versioni successive, utilizzare un certificato TLS.
- Creare un file flag del server
Passare alla directory ServerFlags e creare un file che corrisponda al flag del server KLSRV_MYSQL_OPT_SSL_CA:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
- Modificare il file flag del server
Nel file KLSRV_MYSQL_OPT_SSL_CA, specificare il percorso del certificato (il file ca-cert.pem).
- Configurare il database
Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"
Abilitazione dell'autenticazione SSL bidirezionale
Seguire questi passaggi per configurare l'autenticazione SSL bidirezionale per MySQL:
- Creare file flag del server
Passare alla directory ServerFlags e creare i file che corrispondono ai flag del server:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
touch KLSRV_MYSQL_OPT_SSL_CERT
touch KLSRV_MYSQL_OPT_SSL_KEY
- Modificare i file flag del server
Modificare i file creati come segue:
KLSRV_MYSQL_OPT_SSL_CA: specificare il percorso del file ca-cert.pem.
KLSRV_MYSQL_OPT_SSL_CERT: specificare il percorso del file server-cert.pem.
KLSRV_MYSQL_OPT_SSL_KEY: specificare il percorso del file server-key.pem.
Se server-key.pem richiede una passphrase, creare un file KLSRV_MARIADB_OPT_TLS_PASPHRASE nella cartella ServerFlags e specificare la relativa passphrase.
- Configurare il database
Specificare i certificati nel file my.cnf. Aprire il file my.cnf in un editor di testo e aggiungere le seguenti righe nella sezione [mysqld]:
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"