10bet网址
MySQL Enterprise Monitor 8.0手册
相关的文档10bet官方网站 下载本手册

7.2安装SSL证书

重要的

自签名证书由MySQL Enterprise Monitor安装或升级过程生成,有效期为365天。在使用默认证书运行MySQL Enterprise Service Manager版本超过一年的情况下,您必须生成新的证书。如果不生成新的证书,MySQL Enterprise Service Manager与存储库之间的SSL连接将失败。介绍如何生成证书。

这些说明指导您完成为MySQL Enterprise Monitor安装SSL证书的过程。

检查密钥库

所有证书和密钥都存储在Tomcat密钥存储库中。使用实例查看存储在keystore中的证书信息。

keytool keystoreINSTALL_ROOT美元/apache-tomcat/conf/keystore -list -v .使用实例

生成密钥库、密钥和证书

对于所有与证书相关的活动,建议使用MySQL Enterprise Monitor Configuration Utility。看到第十章,配置实用程序获取更多信息。

要生成证书并将其添加到默认的密钥库中,使用MySQL Enterprise Monitor Configuration Utility程序运行以下命令:

配置,更新

这将重新生成自签名证书。如果证书不是自签名的,则返回错误。

MySQL企业服务管理器SSL导入

要为MySQL企业服务管理器安装SSL证书,请使用MySQL企业监控配置实用程序将证书导入到keystore中。

使用实例导入证书。

配置——import-certificate = /路径/ / client.crt

使用实例导入已存在的证书和密钥。

配置——import-certificate = /路径/ / client.crt--import-key=/path/to/client.key

重新启动服务管理器。有关停止和启动服务管理器的详细信息,请参见Unix/Mac OS X而且微软视窗系统

用于存储库的SSL

有关SSL和MySQL服务器的信息,请参见创建SSL和RSA证书和密钥

MySQL企业监控代理

要为Agent配置ssl相关选项,可以在中放置以下值INSTALL_ROOT美元/etc/bootstrap.properties

表7.1 Agent SSL配置选项

参数 描述

ssl-verify-hostnames

: True或False(默认值)。

验证代理所连接的服务管理器的主机名是否与SSL证书中的主机名匹配。

ssl-allow-self-signed-certs

:True(默认值)或False。

如果设置为真正的允许使用自签名证书。如果设置为,不允许使用自签名证书。

ssl-ca-keystore-path

:字符串

带有CA证书的密钥存储库路径,如果ssl-allow-self-signed-certs是真的。此路径必须定义为URL。例如:

file:///Applications/mysql/enterprise/agent/etc/mykeystore

ssl-ca-keystore-password

:字符串

CA密钥库的密码,如果ssl-allow-self-signed-certs是真的。


一个例子bootstrap.propertiesSSL认证部分:

ssl-verify-hostname=false ssl-allow-self-signed-certs=true ssl-ca-keystore-path=file:///Applications/mysql/enterprise/agent/etc/mykeystore ssl-ca-keystore-password=password123

将PEM格式的CA证书导入到Agent上新的keystore中,执行如下操作。

$INSTALL_ROOT/java/bin/keytool -import -file /path/to/ca/ca.使用实例-keystore $INSTALL_ROOT/etc/cacerts . pem -alias CA_ALIAS -keystore $INSTALL_ROOT/etc/cacerts . pem

该工具使用证书详细信息进行响应。例如:

输入密钥存储库密码:(密钥存储库需要至少6个字符的密码)重新输入新密码:老板:CN = serverName.com, O = MySQL AB,圣=乌普萨拉,C = SE发行人:O = MySQL AB, L =乌普萨拉,圣=乌普萨拉,C = SE序列号:100002有效起始日期:2010年1月29日12:56:49 CET(中央东部东京),直到星期五:2015年1月28日12:56:49 CET(中央东部东京)结婚证书指纹:MD5: E5: FB: 56:76:78: B1:0C: D7: B0:80:9F: 65:06:3E: 48:3E SHA1: 87:59:80:28: CE: 15: EF: 7 e: F1:75:4B: 76:77:5E: 64: EA: B7:1D: D1:18 SHA256:F4:0B:79:52:CF:F3:A1:A4:7F:B2:D7:C1:65:60:F0:80:93:87:D2:68:9A:A1: 84:F4:06:6E:8E:CF:C1:F6:1B:52签名算法名称:MD5withRSA版本:1信任此证书?[no]: (type yes + enter)证书已添加到keystore

您必须编辑ssl-ca - *中的配置值bootstrap.properties因此,要使用keystore和密码的路径。

LDAP SSL配置

LDAP的SSL配置是在MySQL Enterprise Service Manager Java VM级别配置的。也就是说,它是在与MySQL Enterprise Monitor安装捆绑的Java VM的密钥存储库中配置的。

重要的

MySQL企业服务管理器附带的JVM不支持AES256密码。这可以防止您使用实现该密码的LDAP服务器。

要连接到实现AES256密码的LDAP服务器,必须下载并安装Java加密扩展(JCE)无限强度管辖策略文件包中。此软件包可从以下网站获得:Java密码扩展

本节中描述的步骤假设您的LDAP服务器已经正确配置,并且您有一个根CA证书,该证书用于生成LDAP服务器的证书。

要启用LDAP和MySQL企业服务管理器的SSL,您必须执行以下操作:

  1. 如果需要,请将LDAP服务器的根CA证书从PEM格式转换为DER格式。如果CA证书已经为DER格式,继续执行下一步。

    Openssl x509 - cacert。. pem -inform pem -out ~/cacert.der -outform
  2. 导入DER格式的CA证书到MySQL Enterprise Service Manager Java密钥存储库中。运行以下命令箱子MySQL企业服务管理器的Java安装目录:

    Keytool -import -trustcacerts -alias ldapssl -file ~/cacert.der -keystore lib/security/cacerts .der
  3. 使用以下命令重新启动MySQL企业服务管理器:

    mysql /企业/监控/ mysqlmonitorctl.sh重启