本节介绍如何安装或卸载密钥环功能，这些功能在也包含插件的插件库文件中实现keyring_udf。有关安装或卸载插件和可加载函数的一般信息，请参阅第 5.5.1 节，“安装和卸载插件”和第 5.6.1 节，“安装和卸载可加载函数”。

密钥环功能启用密钥环密钥管理操作，但keyring_udf还必须安装插件，因为没有它这些功能将无法正常工作。尝试在没有 keyring_udf插件的情况下使用这些功能会导致错误。

为了被服务器使用，插件库文件必须位于MySQL插件目录（由plugin_dir系统变量命名的目录）中。plugin_dir如有必要，通过在服务器启动时 设置值来配置插件目录位置 。

插件库文件的基本名称是 keyring_udf. 文件名后缀因平台而异（例如，.so对于 Unix 和类 Unix 系统，.dll对于 Windows）。

要安装keyring_udf插件和密钥环功能，请使用INSTALL PLUGINandCREATE FUNCTION语句， .so根据需要为您的平台调整后缀：

INSTALL PLUGIN keyring_udf SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_generate RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_fetch RETURNS STRING
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_length_fetch RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_type_fetch RETURNS STRING
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_store RETURNS INTEGER
  SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_remove RETURNS INTEGER
  SONAME 'keyring_udf.so';

如果插件和功能在源复制服务器上使用，请将它们安装在所有副本上以避免复制问题。

按照刚才的描述安装后，插件和功能将保持安装状态，直到卸载为止。要删除它们，请使用 UNINSTALL PLUGINand DROP FUNCTION语句：

UNINSTALL PLUGIN keyring_udf;
DROP FUNCTION keyring_key_generate;
DROP FUNCTION keyring_key_fetch;
DROP FUNCTION keyring_key_length_fetch;
DROP FUNCTION keyring_key_type_fetch;
DROP FUNCTION keyring_key_store;
DROP FUNCTION keyring_key_remove;

在使用密钥环通用功能之前，请根据 安装或卸载通用密钥环功能中提供的说明安装它们。

密钥环函数受以下约束：

要创建一个新的随机密钥并将其存储在密钥环中，请调用 keyring_key_generate()，将密钥的 ID 以及密钥类型（加密方法）及其长度（以字节为单位）传递给它。以下调用创建一个名为 的 2,048 位 DSA 加密密钥MyKey：

mysql> SELECT keyring_key_generate('MyKey', 'DSA', 256);
+-------------------------------------------+
| keyring_key_generate('MyKey', 'DSA', 256) |
+-------------------------------------------+
|                                         1 |
+-------------------------------------------+

返回值为 1 表示成功。如果无法创建密钥，则返回值为NULL并发生错误。原因之一可能是底层密钥环插件不支持指定的密钥类型和密钥长度组合；请参阅 第 6.4.4.6 节，“支持的密钥环密钥类型和长度”。

为了无论​​是否发生错误都能够检查返回类型，请使用并测试变量值： SELECT ... INTO @var_name

mysql> SELECT keyring_key_generate('', '', -1) INTO @x;
ERROR 3188 (HY000): Function 'keyring_key_generate' failed because
underlying keyring service returned an error. Please check if a
keyring plugin is installed and that provided arguments are valid
for the keyring you are using.
mysql> SELECT @x;
+------+
| @x   |
+------+
| NULL |
+------+
mysql> SELECT keyring_key_generate('x', 'AES', 16) INTO @x;
mysql> SELECT @x;
+------+
| @x   |
+------+
|    1 |
+------+

此技术还适用于其他密钥环函数，这些函数在失败时会返回一个值和一个错误。

传递给的 ID keyring_key_generate()提供了一种在后续函数调用中引用键的方法。例如，使用密钥 ID 将其类型检索为字符串或将其长度（以字节为单位）检索为整数：

mysql> SELECT keyring_key_type_fetch('MyKey');
+---------------------------------+
| keyring_key_type_fetch('MyKey') |
+---------------------------------+
| DSA                             |
+---------------------------------+
mysql> SELECT keyring_key_length_fetch('MyKey');
+-----------------------------------+
| keyring_key_length_fetch('MyKey') |
+-----------------------------------+
|                               256 |
+-----------------------------------+

要检索键值，请将键 ID 传递给 keyring_key_fetch()。以下示例用于HEX()显示键值，因为它可能包含不可打印的字符。为了简洁起见，该示例还使用了短密钥，但请注意，较长的密钥可提供更好的安全性：

mysql> SELECT keyring_key_generate('MyShortKey', 'DSA', 8);
+----------------------------------------------+
| keyring_key_generate('MyShortKey', 'DSA', 8) |
+----------------------------------------------+
|                                            1 |
+----------------------------------------------+
mysql> SELECT HEX(keyring_key_fetch('MyShortKey'));
+--------------------------------------+
| HEX(keyring_key_fetch('MyShortKey')) |
+--------------------------------------+
| 1DB3B0FC3328A24C                     |
+--------------------------------------+

密钥环函数将密钥 ID、类型和值视为二进制字符串，因此比较区分大小写。例如，IDMyKey和mykey引用不同的密钥。

要删除密钥，请将密钥 ID 传递给 keyring_key_remove()：

mysql> SELECT keyring_key_remove('MyKey');
+-----------------------------+
| keyring_key_remove('MyKey') |
+-----------------------------+
|                           1 |
+-----------------------------+

要混淆和存储您提供的密钥，请将密钥 ID、类型和值传递给 keyring_key_store()：

mysql> SELECT keyring_key_store('AES_key', 'AES', 'Secret string');
+------------------------------------------------------+
| keyring_key_store('AES_key', 'AES', 'Secret string') |
+------------------------------------------------------+
|                                                    1 |
+------------------------------------------------------+

如前所述，用户必须具有 EXECUTE调用密钥环函数的全局权限，并且最初将密钥存储在密钥环中的用户必须与稍后对密钥执行后续操作的用户相同，这取决于 CURRENT_USER()每个有效的值函数调用。要允许不具有全局EXECUTE 权限或可能不是密钥“所有者”的用户进行密钥操作，请使用以下技术：

这种技术使密钥能够在用户之间共享，并为 DBA 提供更细粒度的控制，以控制谁可以使用密钥做什么，而无需授予全局权限。

以下示例显示如何设置一个名为 SharedKeyDBA 拥有的共享密钥，以及一个 get_shared_key()提供对当前密钥值的访问的存储函数。具有该功能权限的任何用户都可以检索该值 EXECUTE，该功能是在 key_schema模式中创建的。

从 MySQL 管理帐户（'root'@'localhost'在此示例中）创建管理模式和存储函数以访问密钥：

mysql> CREATE SCHEMA key_schema;

mysql> CREATE DEFINER = 'root'@'localhost'
       FUNCTION key_schema.get_shared_key()
       RETURNS BLOB READS SQL DATA
       RETURN keyring_key_fetch('SharedKey');

在管理帐户中，确保共享密钥存在：

mysql> SELECT keyring_key_generate('SharedKey', 'DSA', 8);
+---------------------------------------------+
| keyring_key_generate('SharedKey', 'DSA', 8) |
+---------------------------------------------+
|                                           1 |
+---------------------------------------------+

在管理帐户中，创建一个要授予密钥访问权限的普通用户帐户：

mysql> CREATE USER 'key_user'@'localhost'
       IDENTIFIED BY 'key_user_pwd';

从key_user帐户中，验证在没有适当EXECUTE 权限的情况下，新帐户无法访问共享密钥：

mysql> SELECT HEX(key_schema.get_shared_key());
ERROR 1370 (42000): execute command denied to user 'key_user'@'localhost'
for routine 'key_schema.get_shared_key'

从管理帐户，授予 EXECUTE存储 key_user功能：

mysql> GRANT EXECUTE ON FUNCTION key_schema.get_shared_key
       TO 'key_user'@'localhost';

从key_user帐户中，验证密钥现在是否可以访问：

mysql> SELECT HEX(key_schema.get_shared_key());
+----------------------------------+
| HEX(key_schema.get_shared_key()) |
+----------------------------------+
| 9BAFB9E75CEEB013                 |
+----------------------------------+

对于每个通用密钥环函数，本节描述其用途、调用顺序和返回值。有关可以调用这些函数的条件的信息，请参阅使用通用密钥环函数。