多种不同的 MySQL 的 SSL 配置

在这篇博客的帖子里，我将会描述不同的使用MySQL数据库的SSL配置方法。

SSL给了你什么?

你可以通过互联网使用 MySQL 复制特性（replication） 或者通过互联网连接到MySQL。
还有可能是你通过企业网去连接，这样会有很多人访问。如果你使用一个自带设备（BYOD）网络，这就更是一个问题了。
SSL在这里通过加密网络防止有针对性的监听。在与正确的服务器进行交互时，可以有效应对中间人攻击（man-in-the-middle attacks）。
你还可以使用SSL客户端证书，让它同密码一起作为身份识别的二要素。
SSL不是唯一的选择， 你可以使用SSH和许多MySQL GUI客户端，类似MySQL Workbench提供的那个产品。 但是SSH的python脚本，或者mysqldump，不是那么易用。

需要注意的事情：

使用SSL在绝大多数情况下要比不使用SSL要好，所以没有太多可能出现问题的地方。
但是以下几点需要注意：
对安全性的错误估计

你认为你在SSL的保护之下，但是你可能忘记设置一些选项从而导致程序可以接受非SSL的连接，所以要确保设置必须使用SSL作为连接方式。可以使用Wireshark或者其它类似的工具来检测你的流量是否都真的被加密处理。
没有及时更新证书

你应该通过一些方法在证书即将过期的时候通知自己。可以是nagios检查，可以是日历里面的小贴士，可以来自于证书签发机构的email。如果证书过期，将会导致你的客户端无法正常获得响应。

性能

如果性能很重要，就应该做基准测试，来看看没有SSL的情况下有什么影响。在 OpenSSL 和 YaSSL 下尝试不同的密码，并看哪个的执行效果最佳。
使用流量监测的工具