證書準備：

CA證書：

第一步：創建CA私鑰

[root@localhost CA]# (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

第二步：生成自簽證書

[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem  -days 7300 -out /etc/pki/CA/cacert.pem

————————————————————————————–

mysql準備私鑰及證書申請文件 ：

第一步：創建mysql私鑰：

[root@localhost ~]# (umask 066;openssl genrsa -out /var/lib/mysql/ssl/mysql.key 2048)

第二步：生成證書申請文件及發送給CA服務端

[root@localhost ~]# openssl req -new -key /var/lib/mysql/ssl/mysql.key -days 365 -out /var/lib/mysql/ssl/mysql.csr

注意：國家，省 ，公司名稱必須和CA一致

將證書申請文件發送至CA服務器

                ————————————————————————————–

在CA服務器端頒發證書：

[root@localhost CA]# openssl ca -in /tmp/mysql.csr -out /tmp/mysql.crt -days 365

附上查看證書中的信息命令：

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|subject|serial|dates

                ————————————————————————————–

將證書發送至mysql服務器

以及將CA的自簽證書發送至從服務器

證書準備動作到此結束

基于ssl功能實現主從復制，是主從雙方都需要互相驗證，即從服務器也要有自己的證書。

所以，按照上述流程，生成slave服務器的證書

           ================================================

        配置mysql服務端：

在主服務器端查看關于ssl有關的參數  及  主從復制–主服務器  的配置項：

MariaDB [(none)]> show variables like ‘%ssl%';

由于ssl功能配置項為全局配置參數，所以 編輯 /etc/my.cnf 文件 ：

由于是客戶端驗證服務端，所以只需要配置  ssl_cert（mysql服務器端的證書位置）、ssl_key（mysql私鑰位置）與ssl_ca（CA證書位置）即可

開啟服務，并檢查：

                ————————————————————————————–