的mysql_migrate_keyring实用程序在一个密匙环组件和另一个密匙环组件之间迁移密钥。它支持离线和在线迁移。
调用mysql_migrate_keyring像这样(在单行输入命令):
mysql_migrate_keyring——component-dir =dir_name——source-keyring =的名字——destination-keyring =的名字[其他选项]
有关关键迁移的信息和说明如何使用mysql_migrate_keyring还有其他方法,见第6.4.4.13节“在密钥环密钥存储库之间迁移密钥”.
mysql_migrate_keyring支持以下选项,这些选项可以在命令行或(mysql_migrate_keyring)
选项文件组。有关MySQL程序使用的选项文件的信息,请参见第4.2.2.2节“使用选项文件”.
表4.21 mysql_migrate_keyring选项
选项名称 | 描述 |
---|---|
——component-dir | 密匙环组件的目录 |
——defaults-extra-file | 除了通常的选项文件外,还读取指定的选项文件 |
——defaults-file | 只读命名选项文件 |
——defaults-group-suffix | 选项组后缀值 |
——destination-keyring | 目标密匙环组件名称 |
——destination-keyring-configuration-dir | 目标密匙环组件配置目录 |
——get-server-public-key | 从服务器请求RSA公钥 |
——帮助 | 显示帮助信息并退出 |
——主机 | MySQL服务器所在的主机 |
——登录路径 | 从.mylogin.cnf读取登录路径选项 |
——已 | 读取无选项文件 |
——在线迁移 | 迁移源是活动服务器 |
——密码 | 连接到服务器时使用的密码 |
——港口 | TCP/IP连接端口号 |
——print-defaults | 打印默认选项 |
——server-public-key-path | 包含RSA公钥文件的路径名称 |
——套接字 | Unix套接字文件或Windows命名管道使用 |
——source-keyring | 源密匙环组件名称 |
——source-keyring-configuration-dir | 源密匙环组件配置目录 |
——ssl-ca | 包含受信任的SSL证书颁发机构列表的文件 |
——ssl-capath | 包含受信任的SSL证书颁发机构证书文件的目录 |
——ssl-cert | 包含X.509证书的文件 |
——ssl cipher | 用于连接加密的允许密码 |
——ssl-crl | 包含证书撤销列表的文件 |
——ssl-crlpath | 包含证书撤销列表文件的目录 |
——ssl-fips-mode | 客户端是否开启FIPS模式 |
——ssl密钥 | 包含X.509密钥的文件 |
——ssl-mode | 到服务器的连接所需的安全状态 |
——tls-ciphersuites | 用于加密连接的允许TLSv1.3加密套件 |
——tls版本 | 加密连接允许的TLS协议 |
——用户 | 连接到服务器时使用的MySQL用户名 |
——详细 | 详细模式 |
——版本 | 显示版本信息并退出 |
——帮助
,- h
显示帮助消息并退出。
密匙环组件所在的目录。的值
plugin_dir
本地MySQL服务器的system变量。请注意——component-dir
,——source-keyring
,——destination-keyring
对执行的所有密匙环迁移操作都是强制的吗mysql_migrate_keyring.此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便mysql_migrate_keyring可以加载和使用它们。——defaults-extra-file =
file_name
读取该选项文件在全局选项文件之后,但(在Unix上)在用户选项文件之前。如果该文件不存在或无法访问,则会发生错误。如果
file_name
不是绝对路径名,它是相对于当前目录解释的。有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
只使用给定的选项文件。如果该文件不存在或无法访问,则会发生错误。如果
file_name
不是绝对路径名,它是相对于当前目录解释的。例外:即使
——defaults-file
,读取客户端程序.mylogin.cnf
.有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
不仅要读通常的选项组,还要读具有通常名称和后缀的组
str
.例如,mysql_migrate_keyring正常读取(mysql_migrate_keyring)
组。如果该选项为——defaults-group-suffix = _other
,mysql_migrate_keyring还读(mysql_migrate_keyring_other)
组。有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
用于密钥迁移的目标密匙环组件。选项值的格式和解释与为
——source-keyring
选择。请注意——component-dir
,——source-keyring
,——destination-keyring
对执行的所有密匙环迁移操作都是强制的吗mysql_migrate_keyring.此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便mysql_migrate_keyring可以加载和使用它们。——destination-keyring-configuration-dir =
dir_name
此选项仅适用于目标密匙环组件全局配置文件包含
“read_local_config”:真的
,表示组件配置包含在本地配置文件中。选项值指定包含该本地文件的目录。从服务器请求基于RSA密钥对的密码交换所需的公钥。该选项应用于使用
caching_sha2_password
身份验证插件。对于该插件,服务器不发送公钥,除非请求。对于不使用该插件进行身份验证的帐户,该选项将被忽略。如果不使用基于rsa的密码交换,它也会被忽略,就像客户机使用安全连接连接到服务器时的情况一样。如果
——server-public-key-path =
,并指定有效的公钥文件,它优先于file_name
——get-server-public-key
.有关
caching_sha2_password
插件,看到第6.4.1.2节,“缓存SHA-2可插入认证”.——主机=
,host_name
- h
host_name
当前正在使用密钥迁移密钥存储库之一的运行服务器的主机位置。迁移总是发生在本地主机上,因此该选项总是为连接到本地服务器指定一个值,例如
本地主机
,127.0.0.1
,:: 1
,或本机IP地址或主机名。控件中的命名登录路径中读取选项
.mylogin.cnf
登录路径文件。一个”登录路径”是一个选项组,其中包含指定要连接到哪个MySQL服务器以及要验证为哪个帐户的选项。创建或修改登录路径文件,请使用mysql_config_editor实用程序。看到章节4.6.7,“mysql_config_editor - MySQL配置工具”.有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
不要读取任何选项文件。如果从选项文件中读取未知选项导致程序启动失败,
——已
可用于防止它们被读取。例外的是
.mylogin.cnf
如果文件存在,则在所有情况下都读取它。这允许以比命令行更安全的方式指定密码,即使在某些情况下——已
使用。创建.mylogin.cnf
,可以使用mysql_config_editor实用程序。看到章节4.6.7,“mysql_config_editor - MySQL配置工具”.有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
当运行中的服务器正在使用密匙环时,此选项是必选的。它告诉mysql_migrate_keyring执行在线密钥迁移。该选项有以下影响:
mysql_migrate_keyring使用指定的任何连接选项连接到服务器;否则,这些选项将被忽略。
后mysql_migrate_keyring连接到服务器,它告诉服务器暂停密匙环操作。当密钥复制完成时,mysql_migrate_keyring告诉服务器可以在断开连接之前恢复密匙环操作。
——密码(=
,密码
]- p (
密码
]用于连接到当前使用其中一个密钥迁移密钥存储库的运行服务器的MySQL帐户的密码。“password”为可选参数。如果不是,mysql_migrate_keyring提示。如果已知,就一定存在没有空间之间的
——密码=
或- p
还有后面的密码。如果没有指定密码选项,默认是不发送密码。在命令行上指定密码应该被认为是不安全的。为了避免在命令行上给出密码,请使用选项文件。看到第6.1.2.1节“密码保安最终用户指引”.
显式指定没有密码,并且mysql_migrate_keyring不应提示一个,用
——skip-password
选择。——港口=
,port_num
- p
port_num
对于TCP/IP连接,连接到当前使用密钥迁移密钥存储库之一的运行服务器的端口号。
打印程序名称和它从选项文件中获得的所有选项。
有关此选项和其他选项文件选项的更多信息,请参见第4.2.2.3节,“影响选项文件处理的命令行选项”.
——server-public-key-path =
file_name
PEM格式文件的路径名,其中包含服务器用于基于RSA密钥对的密码交换所需的公钥的客户端副本。该选项应用于使用
sha256_password
或caching_sha2_password
身份验证插件。对于没有使用其中一个插件进行身份验证的帐户,该选项将被忽略。如果不使用基于rsa的密码交换,它也会被忽略,就像客户机使用安全连接连接到服务器时的情况一样。如果
——server-public-key-path =
,并指定有效的公钥文件,它优先于file_name
——get-server-public-key
.为
sha256_password
,此选项仅适用于使用OpenSSL构建的MySQL。有关
sha256_password
而且caching_sha2_password
插件,看到第6.4.1.3节“SHA-256可插式认证”,第6.4.1.2节,“缓存SHA-2可插入认证”.——套接字=
,路径
- s
路径
对于Unix套接字文件或Windows命名管道连接,用于连接到当前使用一个密钥迁移密钥存储库的运行服务器的套接字文件或命名管道。
在Windows上,此选项仅适用于服务器是用
named_pipe
系统变量已启用,支持命名管道连接。控件指定的Windows组的成员named_pipe_full_access_group
系统变量。用于密钥迁移的源密钥环组件。这是指定的组件库文件名,没有任何特定于平台的扩展名,例如
所以
或. dll
.例如,使用库文件所在的组件component_keyring_file.so
,将选项指定为——source-keyring = component_keyring_file
.请注意——component-dir
,——source-keyring
,——destination-keyring
对执行的所有密匙环迁移操作都是强制的吗mysql_migrate_keyring.此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便mysql_migrate_keyring可以加载和使用它们。——source-keyring-configuration-dir =
dir_name
此选项仅适用于源密匙环组件全局配置文件包含
“read_local_config”:真的
,表示组件配置包含在本地配置文件中。选项值指定包含该本地文件的目录。选项以
——ssl
指定是否使用加密连接到服务器,并指示在哪里查找SSL密钥和证书。看到加密连接的命令选项.控制是否在客户端启用FIPS模式。的
——ssl-fips-mode
选项与其他选项不同——ssl
选项,因为它不是用来建立加密连接,而是用来影响允许哪些加密操作。看到第6.8节,“FIPS支持”.xxx
这些
——ssl-fips-mode
值是允许的:从
:禁用FIPS模式。在
:启用FIPS模式。严格的
:使”严格的”FIPS模式。
请注意如果OpenSSL FIPS对象模块不可用,则仅允许的值
——ssl-fips-mode
是从
.在本例中,设置——ssl-fips-mode
来在
或严格的
导致客户端在启动时产生警告,并在非fips模式下运行。——tls-ciphersuites =
ciphersuite_list
使用TLSv1.3的加密连接所允许的密码套件。一个或多个以冒号分隔的密码套件名称的列表。可以以此选项命名的密码套件取决于用于编译MySQL的SSL库。有关详细信息,请参见第6.3.2节“加密连接TLS协议和密码”.
加密连接所允许的TLS协议。一个或多个以逗号分隔的协议名称的列表。可以以此选项命名的协议取决于用于编译MySQL的SSL库。有关详细信息,请参见第6.3.2节“加密连接TLS协议和密码”.
——用户=
,user_name
- u
user_name
用于连接到当前正在使用一个密钥迁移密钥存储库的运行服务器的MySQL帐户的用户名。
——详细
,- v
详细的模式。产生更多关于程序所做工作的输出。
——版本
,- v
显示版本信息并退出。