Configuration des connexions chiffrées SSL entre SQL Gateway et la base de données MySQL
|
Étape |
Action |
|---|---|
|
1 |
Créez des certificats auto-signés pour le client et pour le serveur. |
|
2 |
|
|
3 |
Configurez la base de données MySQL pour la vérification des certificats client (si nécessaire). |
|
4 |
Création de certificats auto-signés pour les connexions MySQL
L'installation de la SQL Gateway contient un fichier batch qui crée des certificats auto-signés pour le serveur MySQL.
Pour exécuter le fichier batch, OpenSSL doit être installé sur l'ordinateur. Pour obtenir OpenSSL, visitez http://www.openssl.org.
|
Étape |
Action |
Détails |
|---|---|---|
|
1 |
Ouvrez le fichier batch. |
Dans l'onglet Paramètres > Certificats, sélectionnez Ouvrir dossier > MySQL. |
|
2 |
Adaptez le modèle de fichier batch. |
1.Remplacez l'espace réservé "MYSQL_SERVER_TEST" par le nom à donner à votre certificat racine. 2.Remplacez l'espace réservé "Computer_Name" par le nom complet de l'ordinateur ou le nom d'hôte de l'ordinateur serveur si la vérification du nom est nécessaire. Il permet d'identifier le certificat serveur. 3.Remplacez l'espace réservé "MYSQL_SERVER_TEST_CLIENT" par le nom à donner à votre certificat client. |
|
3 |
Exécutez le fichier batch. |
Trois certificats sont créés : oCertificat racine (ca.pem) oCertificat serveur (server-cert.pem et server-key.pem) oCertificat client (client-cert.pfx) |
|
4 |
Copiez le certificat racine et le certificat serveur dans le répertoire de données du serveur MySQL. Copiez le certificat client à l'ordinateur qui exécute la SQL Gateway. |
– |
|
5 |
Adaptez le fichier my.ini du serveur MySQL comme décrit dans la section Configuration du serveur MySQL. |
– |
|
6 |
Redémarrez le serveur MySQL. |
– |
|
7 |
Importez le certificat client dans le magasin de certificats comme décrit dans la section Gestion des certificats dans le magasin de certificats de ce document. |
Résultat : les deux certificats (client et racine) sont importés. |
Configuration du serveur MySQL
Adaptez le fichier my.ini du serveur MySQL.
Pour activer SSL et utiliser le certificat serveur pour les connexions chiffrées SSL, définissez les options ssl, ssl-ca, ssl-cert, ssl-key comme indiqué dans l'exemple suivant en utilisant le dossier de données MySQL par défaut.
Insérez les lignes suivantes à la fin du fichier my.ini.
ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
Configurez la base de données MySQL pour la vérification des certificats client (facultatif).
Configurez cette étape facultative si les certificats client doivent être vérifiés par la base de données MySQL avant l'établissement de la connexion.
Pour obtenir cela, configurez les options des SSLcomptes utilisateurs de base de données en exécutant la commande ALTER USER:
|
Commande |
Description |
|---|---|
|
REQUIRE X509 |
Demander un certificat auprès du client. |
|
REQUIRE ISSUER 'issuer' |
Autoriser l'accès aux clients qui fournissent un certificat conforme à la configuration issuer. |
|
REQUIRE SUBJECT 'subject' |
Autoriser l'accès aux clients qui fournissent un certificat conforme à la configuration subject. |
Configuration de la SQL Gateway
|
Étape |
Action |
|---|---|
|
1 |
Sélectionnez l'entrée appropriée dans la liste Serveurs de bases de données. |
|
2 |
A droite, définissez le paramètre Chiffrement SSL sur ON. |
|
3 |
Sélectionnez l'option appropriée pour la validation du certificat serveur avec le paramètre Validation du serveur. |
|
4 |
Sélectionnez l'option appropriée pour la validation du certificat client avec le paramètre Certificat du client. |
Validation de certificats de serveur
Pour les connexions MySQL, l'onglet Configuration de SQL Gateway vous permet de configurer la façon d'évaluer les certificats serveur.
Si le paramètre Chiffrement SSL est défini sur ON, le paramètre Validation du serveur fournit les options suivantes :
|
Option Validation du serveur |
Description |
|---|---|
|
Aucune validation |
Le certificat serveur n'est pas vérifié par l'ordinateur SQL Gateway. |
|
|
|
ACCES NON AUTHENTIFIE |
|
oUtilisez le paramètre Aucune validation uniquement à des fins de test. oN'utilisez pas le paramètre Aucune validation durant le fonctionnement. |
|
Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. |
|
Option Validation du serveur |
Description |
|---|---|
|
Valider le certificat |
L'ordinateur SQL Gateway valide le Certificat serveur. |
|
Valider le certificat + Vérifier le nom |
L'ordinateur SQL Gateway valide le Certificat serveur et vérifie le nom. NOTE : Si cette option est utilisée, le paramètre Adresse du serveur doit correspondre au nom de l'objet dans le certificat serveur. |
Pour les connexions MySQL, l'onglet Configuration de SQL Gateway vous permet de sélectionner un certificat client à utiliser pour la connexion SSL au serveur MySQL.
Si le paramètre Chiffrement SSL est défini sur ON, le paramètre Certificat du client fournit les options suivantes :
|
Option Certificat du client |
Description |
|---|---|
|
Aucun |
Sélectionnez l'option Aucun si aucun certificat client n'est fourni. |
|
A partir du fichier |
Sélectionnez l'option A partir du fichier si le certificat client est fourni sous forme de fichier .pfx. Les paramètres suivants sont également affichés oFichier de certificat permet de rechercher le fichier .pfx ou de saisir le chemin d'accès au fichier .pfx. oMot de passe du certificat permet de saisir le mot de passe du fichier .pfx. |
|
A partir du magasin personnel |
Sélectionnez l'option A partir du magasin personnel si le certificat client est installé dans un magasin de certificats. Les paramètres suivants sont également affichés : oMagasin de certificats qui fournit les options Utilisateur courant et Ordinateur local. NOTE : Si l'option Utilisateur courant est sélectionnée, le service SQL Gateway doit être exécuté sous ce compte utilisateur. Dans ce cas, utilisez l'option Ordinateur local. oDans Empreinte du certificat, vous pouvez entrer l'empreinte du certificat client. |
