MySQL SSL 설정 :: 2cpu, 지름이 시작되는 곳!

네트웍 more

쓰기

MySQL SSL 설정

리오

2016-09

2016-09-06 20:45:41

조회 10873 추천 0

안녕하세요.

Centos 7

MariaDB 10.1.7 을 사용중입니다.

http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-files-using-openssl.html

위 링크의 Example 1 부분을 참조해서

ca-cert.pem

server-cert.pem

server-key.pem

위 3개 파일을 만들고..

my.cnf 파일의 [mysqld] 단락안에

ssl-ca=ca-cert.pem

ssl-cert=server-cert.pem

ssl-key=server-key.pem

위와 같이 설정하고

mysql을 다시 시작해서

mysql 콘솔에 접속해서

아래와 같이 조회를 해보았더니..

show variables like '%ssl%';

MariaDB [(none)]> show variables like '%ssl%';

+---------------------+------------------------------------+

| Variable_name | Value |

+---------------------+------------------------------------+

| have_openssl | YES |

| have_ssl | DISABLED |

| ssl_ca | ca-cert.pem |

| ssl_capath | |

| ssl_cert | server-cert.pem |

| ssl_cipher | |

| ssl_crl | |

| ssl_crlpath | |

| ssl_key | server-key.pem |

| version_ssl_library | OpenSSL 1.0.1e-fips 11 Feb 2013 |

+---------------------+------------------------------------+

위와 같이 have_ssl 속성이 DISABLED가 나오는데 뭐가 문제일까요;;

P.S :

저랑 똑같은 환경에서 똑같은 질문이 있네요;;

http://stackoverflow.com/questions/38552804/having-problems-enabling-have-ssl-mariadb

https://mariadb.com/kb/en/mariadb/secure-connections-overview/

무언가 여기에 힌트가 있을거 같아서 보고는 있는데.. 잘모르겠네요;

짧은글 일수록 신중하게.



stone92김경민 2016-09 만드신 인증서파일들의 절대경로 설정을 해주시면 되실 겁니다. mysql 유저가 엑세스가 가능한 경로로 복사하시고 절대경로를 적어주세요. 또한 만드신 인증서가 정상적인지 openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem 해서 verify해보시기 바랍니다. 위의 두가지가 정확하다면 정상적으로 동작하실 겁니다. 만드신 인증서파일들의 절대경로 설정을 해주시면 되실 겁니다. mysql 유저가 엑세스가 가능한 경로로 복사하시고 절대경로를 적어주세요. 또한 만드신 인증서가 정상적인지 openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem 해서 verify해보시기 바랍니다. 위의 두가지가 정확하다면 정상적으로 동작하실 겁니다.



리오 2016-09 아... 위의 경로부분은 제가 일부로 생략을 해둔겁니다 ^^; verify 결과는 전부 OK로 나오구요.. 근데 신기한건.. yum으로 MariaDB를 처음 설치하자마자 SSL 관련 설정을 아예 안하고 하면.. have_ssl DISABLED 인건 이해하겠는데.. have_openssl 가 기본으로 YES 로 되있는점도 이해가 안되네요;; 아... 위의 경로부분은 제가 일부로 생략을 해둔겁니다 ^^; verify 결과는 전부 OK로 나오구요.. 근데 신기한건.. yum으로 MariaDB를 처음 설치하자마자 SSL 관련 설정을 아예 안하고 하면.. have_ssl DISABLED 인건 이해하겠는데.. have_openssl 가 기본으로 YES 로 되있는점도 이해가 안되네요;;



리오 2016-09 제가 MariaDB 10.1.7 버전을 사용중인데.. 아래 링크의 https://mariadb.com/kb/en/mariadb/ssltls-system-variables/ have_openssl 의 변수 설명에.. 아래와 같이 되어있어서 버전이 바뀌면서 뭔가 변경이 된게 아닌가 하고 추측만 하고 있습니다..;; Description: Before MariaDB 10.0.1, have_openssl was an alias for have_ssl. Since MariaDB 10.0.1, comparing have_openssl with have_ssl will indicate whether YaSSL or openssl was used. If YaSSL, have_ssl will be ON, but have_openssl will be OFF. 제가 MariaDB 10.1.7 버전을 사용중인데.. 아래 링크의 https://mariadb.com/kb/en/mariadb/ssltls-system-variables/ have_openssl 의 변수 설명에.. 아래와 같이 되어있어서 버전이 바뀌면서 뭔가 변경이 된게 아닌가 하고 추측만 하고 있습니다..;; Description: Before MariaDB 10.0.1, have_openssl was an alias for have_ssl. Since MariaDB 10.0.1, comparing have_openssl with have_ssl will indicate whether YaSSL or openssl was used. If YaSSL, have_ssl will be ON, but have_openssl will be OFF.



stone92김경민 2016-09 Maridb 10.0.26 버전으로 테스트 한 결과입니다. 위의 설명은 have_ssl은 YaSSL 또는 openssl을 지원하는지(정확이는 위의 라이브러리와 빌드가 되었는지) 여부에 대한 것이고 만약에 YaSSL을 지원하는 경우에는 have_openssl이 OFF된다는 이야기 입니다. 보통의 경우 대부분 openssl 을 지원하도록 설치가 되었을테니 아래처럼 나오는게 맞을 겁니다. MariaDB [(none)]> show variables like '%ssl%'; +---------------+----------------------------+ \| Variable_name \| Value \| +---------------+----------------------------+ \| have_openssl \| YES \| \| have_ssl \| YES \| \| ssl_ca \| /etc/mysql/ca.pem \| \| ssl_capath \| \| \| ssl_cert \| /etc/mysql/server-cert.pem \| \| ssl_cipher \| \| \| ssl_crl \| \| \| ssl_crlpath \| \| \| ssl_key \| /etc/mysql/server-key.pem \| +---------------+----------------------------+ 9 rows in set (0.00 sec) Maridb 10.0.26 버전으로 테스트 한 결과입니다. 위의 설명은 have_ssl은 YaSSL 또는 openssl을 지원하는지(정확이는 위의 라이브러리와 빌드가 되었는지) 여부에 대한 것이고 만약에 YaSSL을 지원하는 경우에는 have_openssl이 OFF된다는 이야기 입니다. 보통의 경우 대부분 openssl 을 지원하도록 설치가 되었을테니 아래처럼 나오는게 맞을 겁니다. MariaDB [(none)]> show variables like '%ssl%'; +---------------+----------------------------+ \| Variable_name \| Value \| +---------------+----------------------------+ \| have_openssl \| YES \| \| have_ssl \| YES \| \| ssl_ca \| /etc/mysql/ca.pem \| \| ssl_capath \| \| \| ssl_cert \| /etc/mysql/server-cert.pem \| \| ssl_cipher \| \| \| ssl_crl \| \| \| ssl_crlpath \| \| \| ssl_key \| /etc/mysql/server-key.pem \| +---------------+----------------------------+ 9 rows in set (0.00 sec)



리오 2016-09 허억!...ㅠ.ㅠ 그럼 전 도대체.. 왜.. 뭔짓을 해봐도.. have_ssl \| DISABLED 일까요..ㅠ.ㅠ 허억!...ㅠ.ㅠ 그럼 전 도대체.. 왜.. 뭔짓을 해봐도.. have_ssl \| DISABLED 일까요..ㅠ.ㅠ



stone92김경민 2016-09 mysql 로그 한번 확인해보세요 ssl관련 에러가 있어도 mysql데몬은 동작합니다. mysql 로그 한번 확인해보세요 ssl관련 에러가 있어도 mysql데몬은 동작합니다.



리오 2016-09 아.. 해결했습니다.. 원인은.. ca.pem 파일 이었습니다..;; 복사 붙여 넣기 신공으로.. http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-files-using-openssl.html https://www.percona.com/blog/2013/06/22/setting-up-mysql-ssl-and-secure-connections/ 위 링크들의 설명에 있는 명령어를 고대로 붙여 넣어서 실행을 했는데.. 1번째 링크에는.. ca.pem 파일명으로 되어있고.. 2번째 링크의 파일명은.. ca-cert.pem 되어있었네요;; 제대로 확인을 안한 제 잘못입니다..ㅠ.ㅠ 김경민님 끝까지 답변 주셔서 정말 감사합니다! 그리고 너무 죄송합니다~!! ㅠ.ㅠ 아.. 해결했습니다.. 원인은.. ca.pem 파일 이었습니다..;; 복사 붙여 넣기 신공으로.. http://dev.mysql.com/doc/refman/5.5/en/creating-ssl-files-using-openssl.html https://www.percona.com/blog/2013/06/22/setting-up-mysql-ssl-and-secure-connections/ 위 링크들의 설명에 있는 명령어를 고대로 붙여 넣어서 실행을 했는데.. 1번째 링크에는.. ca.pem 파일명으로 되어있고.. 2번째 링크의 파일명은.. ca-cert.pem 되어있었네요;; 제대로 확인을 안한 제 잘못입니다..ㅠ.ㅠ 김경민님 끝까지 답변 주셔서 정말 감사합니다! 그리고 너무 죄송합니다~!! ㅠ.ㅠ



stone92김경민 2016-09 저한테 죄송할일이 뭐가 있습니까?^^; 해결되었으면 잘 된것이죠..ㅎㅎ 저한테 죄송할일이 뭐가 있습니까?^^; 해결되었으면 잘 된것이죠..ㅎㅎ

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

457/5594

번호	제목Page 457/5594	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (716)	정은준1	2014-05	4493776	0
[필독] 처음 오시는 분을 위한 안내 (716) 2014-05 4493776 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1046197	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1046197 1 백메가
102751	듀얼 추천 좀 드리겠습니다. (5)	박경서	2003-01	10871	11
듀얼 추천 좀 드리겠습니다. (5) 2003-01 10871 1 박경서
102750	"삼성"의 PC2-5300 혹은 PC2-6400 "메모리"가, PC2-4200 혹은 P… (6)	영원한혁신	2011-10	10871	0
"삼성"의 PC2-5300 혹은 PC2-64… (6) 2011-10 10871 1 영원한혁신
102749	scsi 카드 하드에대해서 질문드리겠습니다.	윤영선	2003-06	10871	4
scsi 카드 하드에대해서 질문드리겠습니다. 2003-06 10871 1 윤영선
102748	[질문] 타이안 s2466n-4m 버전에서 메모리... (7)	김광회	2002-10	10870	19
[질문] 타이안 s2466n-4m 버전에서 메모리… (7) 2002-10 10870 1 김광회
102747	레이드카드 인식불가 문제 질문 (7)	blackra1n	2013-10	10870	0
레이드카드 인식불가 문제 질문 (7) 2013-10 10870 1 blackra1n
102746	바이오스 부팅 순서 관련 문의 (4)	박창신	2009-06	10870	0
바이오스 부팅 순서 관련 문의 (4) 2009-06 10870 1 박창신
102745	전동드라이버 비교 좀 부탁드려요. (9)	참세상맹글기	2013-03	10870	0
전동드라이버 비교 좀 부탁드려요. (9) 2013-03 10870 1 참세상맹글기
102744	R-Studio를 이용한 RAID 복구관련 질문 (1)	iwill	2011-10	10870	0
R-Studio를 이용한 RAID 복구관련 질문 (1) 2011-10 10870 1 iwill
102743	저기 또 다른 질문입니다. 핫스왑과 관련 (4)	윤석진	2003-05	10870	73
저기 또 다른 질문입니다. 핫스왑과 관련 (4) 2003-05 10870 1 윤석진
102742	기가비트 이더넷 카드를 어떻게 활용해야 하나요?	김을상	2003-03	10870	57
기가비트 이더넷 카드를 어떻게 활용해야 … 2003-03 10870 1 김을상
102741	레이드관련 두번째 질문	진동현	2002-11	10868	62
레이드관련 두번째 질문 2002-11 10868 1 진동현
102740	OR840 VS S1837 듀얼보드 비교를.., (1)	김경락	2002-10	10868	3
OR840 VS S1837 듀얼보드 비교를.., (1) 2002-10 10868 1 김경락
102739	건식 난방 혹시 아시는분 계신가요? (4)	지나가던개	2017-08	10867	0
건식 난방 혹시 아시는분 계신가요? (4) 2017-08 10867 1 지나가던개
102738	[질문] 기가비트 이더넷??? (4)	고대준	2003-05	10867	5
[질문] 기가비트 이더넷??? (4) 2003-05 10867 1 고대준
102737	좀 황당한 질문입니다. CPU가 쿨러에 붙었어요...;; (11)	최모씨	2009-04	10866	0
좀 황당한 질문입니다. CPU가 쿨러에 붙었… (11) 2009-04 10866 1 최모씨
102736	teac 시디롬 관련 문의 드립니다. (6)	홍순형	2004-01	10865	44
teac 시디롬 관련 문의 드립니다. (6) 2004-01 10865 1 홍순형
102735	컴이 Down이 잘됩니다. 도와주세요. (8)	김수찬	2003-05	10864	8
컴이 Down이 잘됩니다. 도와주세요. (8) 2003-05 10864 1 김수찬
102734	서버파워의 용량계산 (4)	근성가이	2013-07	10863	0
서버파워의 용량계산 (4) 2013-07 10863 1 근성가이
102733	[re] 보드 24Pin ATX규격인데 PowerSupply는 20Pin 짜리인데 어찌할까요? (1)	한창수	2003-01	10863	12
[re] 보드 24Pin ATX규격인데 PowerSupply… (1) 2003-01 10863 1 한창수
102732	Adaptec 7세대 HDD 호환성 문의 드립니다. (11)	HEUo김용민	2014-02	10863	0
Adaptec 7세대 HDD 호환성 문의 드립니다. (11) 2014-02 10863 1 HEUo김용민