自签名证书由MySQL Enterprise Monitor安装或升级过程生成,有效期为365天。在使用默认证书运行MySQL Enterprise Service Manager版本超过一年的情况下,您必须生成新的证书。如果不生成新的证书,MySQL Enterprise Service Manager与存储库之间的SSL连接将失败。介绍如何生成证书。
这些说明指导您完成为MySQL Enterprise Monitor安装SSL证书的过程。
所有证书和密钥都存储在Tomcat密钥存储库中。使用实例查看存储在keystore中的证书信息。
keytool keystoreINSTALL_ROOT美元/apache-tomcat/conf/keystore -list -v .使用实例
对于所有与证书相关的活动,建议使用MySQL Enterprise Monitor Configuration Utility。看到第十章,配置实用程序获取更多信息。
要生成证书并将其添加到默认的密钥库中,使用MySQL Enterprise Monitor Configuration Utility程序运行以下命令:
配置,更新
这将重新生成自签名证书。如果证书不是自签名的,则返回错误。
要为MySQL企业服务管理器安装SSL证书,请使用MySQL企业监控配置实用程序将证书导入到keystore中。
使用实例导入证书。
配置——import-certificate = /路径/ / client.crt
使用实例导入已存在的证书和密钥。
配置——import-certificate = /路径/ / client.crt--import-key=/path/to/client.key
重新启动服务管理器。有关停止和启动服务管理器的详细信息,请参见Unix/Mac OS X而且微软视窗系统.
有关SSL和MySQL服务器的信息,请参见创建SSL和RSA证书和密钥.
要为Agent配置ssl相关选项,可以在中放置以下值
:INSTALL_ROOT美元
/etc/bootstrap.properties
表7.1 Agent SSL配置选项
参数 | 描述 |
---|---|
|
值: True或False(默认值)。 验证代理所连接的服务管理器的主机名是否与SSL证书中的主机名匹配。 |
|
值:True(默认值)或False。 如果设置为 |
|
值:字符串 带有CA证书的密钥存储库路径,如果
|
|
值:字符串 CA密钥库的密码,如果 |
一个例子bootstrap.properties
SSL认证部分:
ssl-verify-hostname=false ssl-allow-self-signed-certs=true ssl-ca-keystore-path=file:///Applications/mysql/enterprise/agent/etc/mykeystore ssl-ca-keystore-password=password123
将PEM格式的CA证书导入到Agent上新的keystore中,执行如下操作。
$INSTALL_ROOT/java/bin/keytool -import -file /path/to/ca/ca.使用实例-keystore $INSTALL_ROOT/etc/cacerts . pem -alias CA_ALIAS -keystore $INSTALL_ROOT/etc/cacerts . pem
该工具使用证书详细信息进行响应。例如:
输入密钥存储库密码:(密钥存储库需要至少6个字符的密码)重新输入新密码:老板:CN = serverName.com, O = MySQL AB,圣=乌普萨拉,C = SE发行人:O = MySQL AB, L =乌普萨拉,圣=乌普萨拉,C = SE序列号:100002有效起始日期:2010年1月29日12:56:49 CET(中央东部东京),直到星期五:2015年1月28日12:56:49 CET(中央东部东京)结婚证书指纹:MD5: E5: FB: 56:76:78: B1:0C: D7: B0:80:9F: 65:06:3E: 48:3E SHA1: 87:59:80:28: CE: 15: EF: 7 e: F1:75:4B: 76:77:5E: 64: EA: B7:1D: D1:18 SHA256:F4:0B:79:52:CF:F3:A1:A4:7F:B2:D7:C1:65:60:F0:80:93:87:D2:68:9A:A1: 84:F4:06:6E:8E:CF:C1:F6:1B:52签名算法名称:MD5withRSA版本:1信任此证书?[no]: (type yes + enter)证书已添加到keystore
您必须编辑ssl-ca - *
中的配置值bootstrap.properties
因此,要使用keystore和密码的路径。
LDAP的SSL配置是在MySQL Enterprise Service Manager Java VM级别配置的。也就是说,它是在与MySQL Enterprise Monitor安装捆绑的Java VM的密钥存储库中配置的。
MySQL企业服务管理器附带的JVM不支持AES256密码。这可以防止您使用实现该密码的LDAP服务器。
要连接到实现AES256密码的LDAP服务器,必须下载并安装Java加密扩展(JCE)无限强度管辖策略文件包中。此软件包可从以下网站获得:Java密码扩展.
本节中描述的步骤假设您的LDAP服务器已经正确配置,并且您有一个根CA证书,该证书用于生成LDAP服务器的证书。
要启用LDAP和MySQL企业服务管理器的SSL,您必须执行以下操作:
如果需要,请将LDAP服务器的根CA证书从PEM格式转换为DER格式。如果CA证书已经为DER格式,继续执行下一步。
Openssl x509 - cacert。. pem -inform pem -out ~/cacert.der -outform
导入DER格式的CA证书到MySQL Enterprise Service Manager Java密钥存储库中。运行以下命令
箱子
MySQL企业服务管理器的Java安装目录:Keytool -import -trustcacerts -alias ldapssl -file ~/cacert.der -keystore lib/security/cacerts .der
使用以下命令重新启动MySQL企业服务管理器:
mysql /企业/监控/ mysqlmonitorctl.sh重启