Configuración de conexiones cifradas con SSL entre SQL Gateway y la base de datos MySQL
|
Paso |
Acción |
|---|---|
|
1 |
Crear certificados autofirmados para el cliente y el servidor |
|
2 |
|
|
3 |
Configurar la base de datos de MySQL para verificar los certificados de cliente (si es necesario) |
|
4 |
Creación de certificados autofirmados para conexiones MySQL
La instalación de SQL Gateway contiene un archivo por lotes que crea certificados autofirmados para el servidor MySQL.
Para ejecutar el archivo por lotes, OpenSSL debe estar instalado en el PC. Para obtener OpenSSL, visite http://www.openssl.org.
|
Paso |
Acción |
Detalles |
|---|---|---|
|
1 |
Abra el archivo por lotes. |
En la ficha Configuración > Certificados, seleccione Abrir carpeta > MySQL. |
|
2 |
Adapte la plantilla del archivo por lotes. |
1.Reemplace el marcador de posición "MYSQL_SERVER_TEST" por el nombre que se le dará a su certificado raíz. 2.Reemplace el marcador de posición "Computer_Name" por el nombre completo del ordenador o el nombre de host del PC servidor si se requiere la comprobación de nombres. Sirve para identificar el certificado de servidor. 3.Reemplace el marcador de posición "MYSQL_SERVER_TEST_CLIENT" por el nombre que se le dará al certificado de cliente. |
|
3 |
Ejecute el archivo por lotes. |
Se crean tres certificados: oCertificado raíz (ca.pem) oCertificado de servidor (server-cert.pem y server-key.pem) oCertificado de cliente (client-cert.pfx) |
|
4 |
Copie el certificado raíz y el certificado de servidor en el directorio de datos del servidor de MySQL. Copie el certificado de cliente en el PC que ejecuta SQL Gateway. |
– |
|
5 |
Adapte el archivo my.ini del servidor de MySQL como se describe en la sección Configuración del servidor de MySQL. |
– |
|
6 |
Reinicie el servidor de MySQL. |
– |
|
7 |
Importe el certificado de cliente en el almacén de certificados como se describe en la sección Gestión de certificados en el almacén de certificados de este documento. |
Resultado: Se importan tanto el certificado de cliente como el certificado raíz. |
Configuración del servidor de MySQL
Adapte el archivo my.ini del servidor de MySQL.
Para activar SSL y utilizar el certificado de servidor para las conexiones cifradas con SSL, establezca las opciones ssl, ssl-ca, ssl-cert y ssl-key como se indica en el siguiente ejemplo con la carpeta de datos MySQL predeterminada.
Inserte las siguientes líneas al final del archivo my.ini.
ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
Configuración de la base de datos MySQL para verificar certificados de cliente (opcional)
Configure este paso opcional si la base de datos MySQL debe comprobar los certificados de cliente antes de que se establezca la conexión.
Para ello, configure las opciones de SSL de Cuentas de usuario de base de datos ejecutando el comando ALTER USER:
|
Comando |
Descripción |
|---|---|
|
REQUIRE X509 |
Solicita un certificado del cliente. |
|
REQUIRE ISSUER 'issuer' |
Permite el acceso a clientes proporcionando un certificado que cumpla con el issuer definido. |
|
REQUIRE SUBJECT 'subject' |
Permite el acceso a clientes proporcionando un certificado que cumpla con el subject definido. |
Validación de certificados de servidor
Para conexiones de MySQL, la ficha Configuración de SQL Gateway le permite configurar cómo evaluar certificados de servidor.
Si el parámetro Cifrado SSL se establece en ON, el parámetro Validación de servidor proporciona las siguientes opciones:
|
Opción Validación de servidor |
Descripción |
|---|---|
|
Ninguna validación |
El ordenador de SQL Gateway no verifica el certificado de servidor. |
|
|
|
ACCESO NO AUTENTICADO |
|
oUtilice Ninguna validación sólo para fines de pruebas. oNo utilice Ninguna validación durante el funcionamiento. |
|
El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo. |
|
Opción Validación de servidor |
Descripción |
|---|---|
|
Validar certificado |
El ordenador de SQL Gateway valida el certificado de servidor. |
|
Validar certificado + Verificar nombre |
El ordenador de SQL Gateway valida el certificado de servidor y verifica el nombre. NOTA: Si se utiliza esta opción, el parámetro Dirección de servidor debe coincidir con el nombre de asunto del certificado de servidor. |
Para las conexiones de MySQL, la ficha Configuración de SQL Gateway le permite seleccionar un certificado de cliente para utilizarlo para la conexión de SSL con el servidor de MySQL.
Si el parámetro Cifrado SSL se establece en ON, el parámetro Certificado de cliente proporciona las siguientes opciones:
|
Opción Certificado de cliente |
Descripción |
|---|---|
|
Ninguno |
Seleccione la opción Ninguno si no se proporciona ningún certificado de cliente. |
|
Desde archivo |
Seleccione la opción Desde archivo si se proporciona un certificado de cliente como archivo .pfx. Se muestran además los siguientes parámetros: oArchivo de certificado le permite buscar el archivo .pfx o indicar la ruta del archivo .pfx. oContraseña de certificado le permite introducir la contraseña para el archivo .pfx. |
|
Desde el almacén personal |
Seleccione la opción Desde el almacén personal si el certificado de cliente se instala en un almacén de certificados. Se muestran además los siguientes parámetros: oAlmacén de certificados que proporciona las opciones Usuario actual y Ordenador local. NOTA: Si la opción Usuario actual está seleccionada, el servicio de SQL Gateway debe ejecutarse con esta cuenta de usuario. En este caso, utilice la opción Ordenador local. oEn la Huella digital de certificado, puede introducir la huella digital del certificado de cliente. |
