本节是一个草案,可能发生变化。
8.0.23之前,有两个TCP连接和一个TLS连接:
客户< - >路由器/ / TCP路由器< - >服务器/ / TCP客户机< - - - - - - - - - - - - >服务器/ / TLS
路由器转发数据包的TLS,这种行为可以配置这些路由器配置设置:
client_ssl_mode =透传server_ssl_mode = AS_CLIENT
PASSTHOUGH意味着“所有转发到服务器”,让客户端和服务器决定如果他们想切换到TLS。
8.0.23,默认行为是:
client_ssl_mode =首选server_ssl_mode = AS_CLIENT
这建立TLS连接客户端和路由器之间如果客户欲望转向TLS和服务器支持TLS。这也与现有的行为没有路由器之间的客户端和服务器。
TLS端点配置
路由器8.0.23,路由器可以接受TLS会话并打开一个新的TLS会话服务器。例如:
客户< - >路由器/ / TCP路由器< - >服务器/ / TCP客户机< - >路由器/ / TLS路由器< - >服务器/ / TLS
接受TLS会话从客户机,路由器必须提出一个TLS客户机证书使用client_ssl_cert
和client_ssl_key
。
TLS会话连接到一个服务器,路由器使用验证服务器的证书server_ssl_verify
server_ssl_verify
server_ssl_ca
server_ssl_capath
server_ssl_crl
,server_ssl_crlpath
。
TLSv1和TLSv1.1连接MySQL协议弃用的路由器8.0.26和支持他们在将来的版本必须去除。
SSL模式
因为有两个TLS会话(客户端和路由器之间;路由器和服务器),也可以连接的两个独立的国家。
这两个client_ssl_mode
和server_ssl_mode
接受残疾人,优先考虑,或要求。此外,server_ssl_mode
接受AS_CLIENT,client_ssl_mode
接受透传。
禁用
:路由器不提供加密客户端,客户端不能开关client-router TLS连接。客户端可能中止连接如果它必须切换到TLS。首选
(默认):从客户端路由器接受TLS连接,但还好,如果客户不切换到加密。要求
:从客户端路由器接受TLS连接,将会失败如果连接没有转向TLS认证之前完成。透传
:意味着一切都转发给服务器,允许客户端和服务器决定如果他们想切换到TLS。路由器8.0.23之前这是默认行为,只是接受client_ssl_mode
。AS_CLIENT
(默认):如果client-router连接加密加密router-server连接,否则不会。这个选项只有接受server_ssl_mode
。
额外的相关选项
的server_ssl_verify
选择分裂“VERIFY_CA”和“VERIFY_IDENTITY”从“ssl_mode”,就是从MySQL客户端和MySQL服务器。在MySQL客户端为例,VERIFY_CA意味着ssl_mode =要求和验证CA |身份。在路由器的情况下,独立的路由器举例验证证书server_ssl_mode
;相反,它是完全基于连接是否加密和如果server_ssl_verify不是残疾,在这种情况下,它被证实。
其他选项包括server_ssl_dh_params
,client_ssl_dh_params
,server_ssl_dh_params
,client_ssl_dh_params
,server_ssl_curves
,client_ssl_curves
。
所有的路由选择和额外的信息是可用的路由选择。