シナリオ:MySQL サーバーの認証
MySQL サーバーの認証には TLS 証明書を使用することを推奨します。信頼できる証明機関(CA)の証明書または自己署名証明書を使用できます。自己署名証明書による保護は限られているため、信頼できる CA の証明書を使用します。
管理サーバーは、MySQL に対して一方向および双方向の SSL 認証の両方をサポートします。
一方向 SSL 認証の有効化
MySQL の一方向 SSL 認証を設定するには、次の手順に従います:
- 証明書の要件に従った、SQL Server 用の SSL または TLS 自己署名証明書の生成
ISQL Server 用の証明書が既にある場合は、このステップを省略してください。
SSL 証明書は、2016(13.x)より前のバージョンの SQL Server のみが対象です。SQL Server 2016(13.x)以降のバージョンには、TLS 証明書を使用します。
- サーバーフラグファイルの作成
ディレクトリ ServerFlags に移動し、KLSRV_MYSQL_OPT_SSL_CA サーバーフラグに対応するファイルを作成します:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/touch KLSRV_MYSQL_OPT_SSL_CA - サーバーフラグファイルの変更
ファイル KLSRV_MYSQL_OPT_SSL_CA で、証明書(ファイル ca-cert.pem)へのパスを指定します。
- 定義データベースの設定
ファイル my.cnf で証明書を指定します。テキストエディターでファイル my.cnf を開き、次の行を[mysqld]セクションに追加します:
[mysqld]ssl-ca="C:\mysqlCerts\ca-cert.pem"ssl-cert="C:\mysqlCerts\server-cert.pem"ssl-key="C:\mysqlCerts\server-key.pem"
双方向 SSL 認証の有効化
MySQL の双方向 SSL 認証を設定するには、次の手順に従います:
- サーバーフラグファイルの作成
ServerFlags ディレクトリに移動し、サーバーフラグに対応するファイルを作成します:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/touch KLSRV_MYSQL_OPT_SSL_CAtouch KLSRV_MYSQL_OPT_SSL_CERTtouch KLSRV_MYSQL_OPT_SSL_KEY - サーバーフラグファイルの変更
作成したファイルを次のように編集します:
KLSRV_MYSQL_OPT_SSL_CA:ファイル ca-cert.pem へのパスを指定します。
KLSRV_MYSQL_OPT_SSL_CERT:ファイル server-cert.pem へのパスを指定します。
KLSRV_MYSQL_OPT_SSL_KEY:ファイル server-key.pem へのパスを指定します。
server-key.pem にパスフレーズが必要な場合は、フォルダー ServerFlags にファイル KLSRV_MARIADB_OPT_TLS_PASPHRASE を作成し、そのファイルにパスフレーズを指定します。
- 定義データベースの設定
ファイル my.cnf で証明書を指定します。テキストエディターでファイル my.cnf を開き、次の行を[mysqld]セクションに追加します:
[mysqld]ssl-ca="C:\mysqlCerts\ca-cert.pem"ssl-cert="C:\mysqlCerts\server-cert.pem"ssl-key="C:\mysqlCerts\server-key.pem"