Configurazione delle connessioni crittografate SSL tra il SQL Gateway e il database MySQL
|
Passo |
Azione |
|---|---|
|
1 |
Creare i certificati autofirmati sia per il client che per il server. |
|
2 |
|
|
3 |
Configurare il database MySQL per la verifica dei certificati client (se necessario). |
|
4 |
Creazione di certificati autofirmati per le connessioni MySQL
L'installazione di SQL Gateway contiene un file batch che crea i certificati autofirmati per il server MySQL.
Per poter eseguire il file batch, OpenSSL deve essere installato sul PC. Per ottenere OpenSSL, visitare il sito http://www.openssl.org.
|
Passo |
Azione |
Dettagli |
|---|---|---|
|
1 |
Aprire il file batch. |
Nella scheda Impostazioni > Certificati, selezionare Apri cartella > MySQL. |
|
2 |
Adattare il modello per il file batch. |
1.Sostituire il contrassegno "MYSQL_SERVER_TEST" con il nome che verrà assegnato al certificato radice. 2.Sostituire il contrassegno "Computer_Name" con il nome completo del computer o il nome dell'host del PC server se è necessaria la verifica del nome. Viene utilizzato per identificare il certificato del server. 3.Sostituire il contrassegno "MYSQL_SERVER_TEST_CLIENT" con il nome che verrà assegnato al certificato client. |
|
3 |
Eseguire il file batch. |
Vengono creati 3 certificati: oCertificato radice (ca.pem) oCertificato del server (server-cert.pem e server-key.pem) oCertificato client (client-cert.pfx) |
|
4 |
Copiare il certificato radice e il certificato del server nella directory dati del server MySQL. Copiare il certificato client nel PC che esegue il SQL Gateway. |
– |
|
5 |
Adattare il file my.ini del server MySQL come descritto nella sezione Configurazione del server MySQL. |
– |
|
6 |
Riavviare il server MySQL. |
– |
|
7 |
Importare il certificato client nell'Archivio certificati , come descritto nella sezione Gestione certificati nell'archivio certificati di questo di documento. |
Risultato: sia il certificato client che il certificato radice vengono importati. |
Configurazione del server MySQL
Adattare il file my.ini del server MySQL.
Per attivare SSL e utilizzare il certificato server per le connessioni crittografate SSL, impostare le opzioni ssl, ssl-ca, ssl-cert, ssl-key come indicato nel seguente esempio utilizzando la cartella dati predefinita MySQL.
Inserire le seguenti righe alla fine del file my.ini.
ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
Configurazione del database MySQL per la verifica dei certificati client (opzionale)
Configurare questo passo opzionale se i certificati client devono essere verificati dal database MySQL prima che venga stabilita la connessione.
A questo scopo, impostare le opzioni SSL dei account utente di database eseguendo il comando ALTER USER:
|
Comando |
Descrizione |
|---|---|
|
REQUIRE X509 |
Richiede un certificato dal client. |
|
REQUIRE ISSUER 'issuer' |
Consente l'accesso ai client che forniscono un certificato conforme alla definizione issuer. |
|
REQUIRE SUBJECT 'subject' |
Consente l'accesso ai client che forniscono un certificato conforme alla definizione subject. |
Configurazione del SQL Gateway
|
Passo |
Azione |
|---|---|
|
1 |
Selezionare la voce appropriata dalla lista dei Server di database. |
|
2 |
A destra, impostare il parametro Crittografia SSL a ON. |
|
3 |
Selezionare l'opzione appropriata per convalidare il certificato server appropriato con il parametro Convalida server. |
|
4 |
Selezionare l'opzione appropriata per convalidare il certificato client appropriato con il parametro Certificato client. |
Convalida dei certificati server
Per le connessioni MySQL, la scheda Configurazione del SQL Gateway permette di configurare come valutare i certificati server.
Se il parametro Crittografia SSL è impostato a ON, il parametro Convalida server fornisce le seguenti opzioni:
|
Opzione Convalida server |
Descrizione |
|---|---|
|
Nessuna convalida |
Il certificato del server non è verificato dal computer SQL Gateway. |
|
|
|
ACCESSO NON AUTENTICATO |
|
oUtilizzare le impostazioni Nessuna convalida solo a scopo di prova. oNon utilizzare le impostazioni di Nessuna convalida durante il funzionamento. |
|
Il mancato rispetto di queste istruzioni può provocare morte, gravi infortuni o danni alle apparecchiature. |
|
Opzione Convalida server |
Descrizione |
|---|---|
|
Convalida certificato |
Il computer SQL Gateway convalida il certificato server. |
|
Convalida certificato + Verifica nome |
Il computer SQL Gateway convalida il Certificato del server e verifica il nome. NOTA: Se viene utilizzata questa opzione, il parametro Indirizzo server deve corrispondere al nome del soggetto nel certificato server. |
Per le connessioni MySQL, la scheda Configurazione del SQL Gateway permette di selezionare un certificato client da utilizzare per la connessione SSL al server MySQL.
Se il parametro Crittografia SSL è impostato a ON, il parametro Certificato Client fornisce le seguenti opzioni:
|
Opzione Certificato Client |
Descrizione |
|---|---|
|
Nessuno |
Selezionare l'opzione Nessuno se non viene fornito alcun certificato client. |
|
Dal file |
Selezionare l'opzione Da file se un certificato client è fornito come file .pfx. Vengono visualizzati questi ulteriori parametri oFile certificato permette di cercare il file .pfx o di immettere il percorso al file .pfx. oPassword certificato permette di immettere la password per il file .pfx. |
|
Da archivio personale |
Selezionare l'opzione Da archivio personale se il certificato client è installato in un Archivio certificati. Vengono visualizzati anche i seguenti parametri: oArchivio certificato, che offre le opzioni Utente corrente e Computer locale. NOTA: Se l'opzione Utente corrente è selezionata, il servizio SQL Gateway deve essere eseguito con questo account utente. In questo caso, usare l'opzione Computer locale. oIn Impronta certificato, è possibile immettere l'identificazione personale del certificato client. |
