Configuration des connexions chiffrées SSL entre la SQL Gateway et la base de données MySQL

Procédure

Pour chiffrer la connexion entre la SQL Gateway et la base de données MySQL avec SSL, procédez comme suit :

Étape	Action
1	Créez des certificats auto-signés pour le client et pour le serveur.
2	Configurez le serveur MySQL.
3	Configurez la base de données MySQL pour la vérification des certificats client (si nécessaire).
4	Configurez la SQL Gateway.

Création de certificats auto-signés pour les connexions MySQL

L'installation de la SQL Gateway contient un fichier batch qui crée des certificats auto-signés pour le serveur MySQL.

Pour exécuter le fichier batch, OpenSSL doit être installé sur l'ordinateur. Pour obtenir OpenSSL, visitez http://www.openssl.org.

Procédez comme suit :

Étape	Action	Détails
1	Ouvrez le fichier batch.	Dans l'onglet Paramètres > Certificats de base de données, sélectionnez Ouvrir dossier > MySQL.
2	Adaptez le modèle de fichier batch.	Remplacez l'espace réservé `"MYSQL_SERVER_TEST"` par le nom à donner à votre certificat racine. Remplacez l'espace réservé `"Computer_Name"` par le nom complet de l'ordinateur ou le nom d'hôte de l'ordinateur serveur si la vérification du nom est nécessaire. Il permet d'identifier le certificat serveur. Remplacez l'espace réservé `"MYSQL_SERVER_TEST_CLIENT"` par le nom à donner à votre certificat client.
3	Exécutez le fichier batch.	Trois certificats sont créés : Certificat racine (ca.pem) Certificat serveur (server-cert.pem et server-key.pem) Certificat client (client-cert.pfx)
4	Copiez le certificat racine et le certificat serveur dans le répertoire de données du serveur MySQL. Copiez le certificat client à l'ordinateur qui exécute la SQL Gateway.	–
5	Adaptez le fichier my.ini du serveur MySQL comme décrit dans la section Configuration du serveur MySQL.	–
6	Redémarrez le serveur MySQL.	–
7	Importez le certificat client dans le magasin de certificats comme décrit dans la section Gestion des certificats dans le magasin de certificats de ce document.	Résultat : Le certificat client et le certificat racine sont importés.

Configuration du serveur MySQL

Adaptez le fichier my.ini du serveur MySQL.

Pour activer SSL et utiliser le certificat serveur pour les connexions chiffrées SSL, définissez les options ssl, ssl-ca, ssl-cert, ssl-key comme indiqué dans l'exemple suivant en utilisant le dossier de données MySQL par défaut.

Insérez les lignes suivantes à la fin du fichier my.ini.

ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem

Configuration de la base de données MySQL pour la vérification des certificats client (facultatif)

Configurez cette étape facultative si les certificats client doivent être vérifiés par la base de données MySQL avant l'établissement de la connexion.

Pour obtenir cela, configurez les options SSL des comptes utilisateurs de base de données en exécutant la commande ALTER USER :

Commande	Description
`REQUIRE X509`	Demander un certificat auprès du client.
`REQUIRE ISSUER 'issuer'`	Autoriser l'accès aux clients qui fournissent un certificat conforme à la configuration `issuer`.
`REQUIRE SUBJECT 'subject'`	Autoriser l'accès aux clients qui fournissent un certificat conforme à la configuration `subject`.

Configuration de la SQL Gateway

Dans l'onglet Configuration de la SQL Gateway, configurez les paramètres SSL :

Étape	Action
1	Sélectionnez l'entrée appropriée dans la liste Serveurs de bases de données.
2	Dans la partie droite, réglez le paramètre Chiffrement SSL sur ON.
3	Sélectionnez l'option appropriée pour la validation du certificat serveur avec le paramètre Validation du serveur.
4	Sélectionnez l'option appropriée pour la validation du certificat client avec le paramètre Certificat du client.

Validation de certificats de serveur

Pour les connexions MySQL, l'onglet Configuration de SQL Gateway vous permet de configurer la façon d'évaluer les certificats serveur.

Si le paramètre Chiffrement SSL est défini sur ON, le paramètre Validation du serveur fournit les options suivantes :

Option Validation du serveur	Description
Valider le certificat	L'ordinateur SQL Gateway valide le certificat serveur.
Valider le certificat + Vérifier le nom	L'ordinateur SQL Gateway valide le certificat serveur et vérifie le nom. NOTE : Si cette option est utilisée, le paramètre Adresse du serveur doit correspondre au nom de l'objet dans le certificat serveur.
Aucune validation	Le certificat serveur n'est pas vérifié par l'ordinateur SQL Gateway.

AVERTISSEMENT
	ACCES NON AUTHENTIFIE Utilisez le paramètre Aucune validation uniquement à des fins de test. N'utilisez pas le paramètre Aucune validation durant le fonctionnement. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels.

Certificats client

Pour les connexions MySQL, l'onglet Configuration de la SQL Gateway vous permet de sélectionner un certificat client à utiliser pour la connexion SSL au serveur MySQL.

Si le paramètre Chiffrement SSL est défini sur ON, le paramètre Certificat du client fournit les options suivantes :

Option Certificat du client	Description
Aucun(e)	Sélectionnez l'option Aucun si aucun certificat client n'est fourni.
A partir du fichier	Sélectionnez l'option A partir du fichier si le certificat client est fourni sous forme de fichier .pfx. Les paramètres suivants sont également affichés : Fichier de certificat permet de rechercher le fichier .pfx ou de saisir le chemin d'accès au fichier .pfx. Mot de passe du certificat permet de saisir le mot de passe du fichier .pfx.
A partir du magasin personnel	Sélectionnez l'option A partir du magasin personnel si le certificat client est installé dans un magasin de certificats. Les paramètres suivants sont également affichés : Magasin de certificats qui fournit les options Utilisateur courant et Ordinateur local. NOTE : Si l'option Utilisateur courant est sélectionnée, le service SQL Gateway doit être exécuté sous ce compte utilisateur. Dans ce cas, utilisez l'option Ordinateur local. Dans Empreinte du certificat, vous pouvez entrer l'empreinte du certificat client.

Option Certificat du client

Description

Aucun(e)

Sélectionnez l'option Aucun si aucun certificat client n'est fourni.

A partir du fichier

Sélectionnez l'option A partir du fichier si le certificat client est fourni sous forme de fichier .pfx. Les paramètres suivants sont également affichés :

Fichier de certificat permet de rechercher le fichier .pfx ou de saisir le chemin d'accès au fichier .pfx.
Mot de passe du certificat permet de saisir le mot de passe du fichier .pfx.

A partir du magasin personnel

Sélectionnez l'option A partir du magasin personnel si le certificat client est installé dans un magasin de certificats. Les paramètres suivants sont également affichés :

Magasin de certificats qui fournit les options Utilisateur courant et Ordinateur local.

NOTE : Si l'option Utilisateur courant est sélectionnée, le service SQL Gateway doit être exécuté sous ce compte utilisateur. Dans ce cas, utilisez l'option Ordinateur local.
Dans Empreinte du certificat, vous pouvez entrer l'empreinte du certificat client.