3.6.1 支持加密连接

本节介绍 C 应用程序如何使用 C API 功能进行加密连接。默认情况下,如果服务器支持加密连接,MySQL 程序会尝试使用加密连接,如果无法建立加密连接,则回退到未加密连接(请参阅 配置 MySQL 以使用加密连接)。对于需要控制加密连接建立方式的默认行为之外的应用程序,C API 提供了以下功能:

加密连接选项

mysql_options()提供以下选项来控制加密连接的使用。有关选项的详细信息,请参阅 第 5.4.54 节,“mysql_options()”

  • MYSQL_OPT_SSL_CA:证书颁发机构 (CA) 证书文件的路径名。如果使用此选项,则必须指定服务器使用的相同证书。

  • MYSQL_OPT_SSL_CAPATH:包含受信任的 SSL CA 证书文件的目录的路径名。

  • MYSQL_OPT_SSL_CERT:客户端公钥证书文件的路径名。

  • MYSQL_OPT_SSL_CIPHER:客户端允许通过 TLSv1.2 使用 TLS 协议的连接的加密密码列表。

  • MYSQL_OPT_SSL_CRL:包含证书吊销列表的文件的路径名。

  • MYSQL_OPT_SSL_CRLPATH:包含证书吊销列表文件的目录的路径名。

  • MYSQL_OPT_SSL_KEY: 客户端私钥文件的路径名。

  • MYSQL_OPT_SSL_MODE:连接安全状态。

  • MYSQL_OPT_SSL_SESSION_DATA:来自加密连接的序列化会话数据, mysql_get_ssl_session_data() 在连接处于活动状态时调用函数返回。

  • MYSQL_OPT_TLS_CIPHERSUITES:客户端允许使用 TLSv1.3 的连接的加密密码套件列表。

  • MYSQL_OPT_TLS_VERSION:客户端允许的加密协议。

mysql_ssl_set()可以用作一个方便的例程,它等效于一组 mysql_options()指定证书和密钥文件、加密密码等的调用。参见第 5.4.82 节,“mysql_ssl_set()”

强制加密连接

mysql_options()SSL 证书和密钥文件等信息的选项用于建立加密连接(如果此类连接可用),但不强制要求对获得的连接进行加密。要要求加密连接,请使用以下技术:

  1. 必要时调用mysql_options()提供适当的 SSL 参数(证书和密钥文件、加密密码等)。

  2. 调用mysql_options()以传递MYSQL_OPT_SSL_MODE值为SSL_MODE_REQUIRED或更严格的选项值之一的选项。

  3. 调用mysql_real_connect() 以连接到服务器。如果无法获得加密连接,则调用失败;错误退出。

提高加密连接的安全性

为了相对于默认加密提供的额外安全性,客户端可以提供与服务器使用的证书相匹配的 CA 证书并启用主机名身份验证。通过这种方式,服务器和客户端信任同一个 CA 证书,并且客户端验证它连接到的主机是预期的主机:

  • 要指定 CA 证书,请调用 mysql_options()以传递MYSQL_OPT_SSL_CA(or MYSQL_OPT_SSL_CAPATH) 选项,然后调用 mysql_options()以传递MYSQL_OPT_SSL_MODE值为 的选项SSL_MODE_VERIFY_CA

  • 要同时启用主机名身份验证,请调用 mysql_options()以传递MYSQL_OPT_SSL_MODE值为SSL_MODE_VERIFY_IDENTITY 而不是的选项SSL_MODE_VERIFY_CA

笔记

主机名身份验证 SSL_MODE_VERIFY_IDENTITY不适用于服务器自动创建的自签名证书,或使用 mysql_ssl_rsa_setup手动创建(请参阅 使用 MySQL 创建 SSL 和 RSA 证书和密钥)。此类自签名证书不包含服务器名称作为 Common Name 值。

主机名身份验证也不适用于使用通配符指定通用名称的证书,因为该名称会逐字与服务器名称进行比较。