MariaDB 클라언트-서버 TLS/SSL 암호화 연결(2)-2508업데이트
MariaDB 클라언트-서버 TLS/SSL 클라이언트 사용시 HeidiSQL 12 버전에서 SSL 접속에 대해서 수정을 반영
글 타래:
- MariaDB 클라언트-서버 TLS/SSL 암호화 연결(1)
- MariaDB 클라언트-서버 TLS/SSL 암호화 연결(2)-2508업데이트
- MariaDB 클라언트-서버 TLS/SSL 암호화 연결(3)
서버측에서 MariaDB/MySQL 의 TLS를 활성화한 다음 실제 다양한 클라이언트에서 접속을 시도해 보자. 서버에서 생성한 CA 파일 ca.pem, 클라이언트 인증서 client-ssl.pem, 클라이언트 키 client-key.pem 을 다운로드해서 사용한다.
글 진행 순서
- 클라이언트 인증서 다운로드
- DB API: python 에서 SSL 접속
- HeidiSQL 에서 SSL 접속 (2508업데이트)
- MySQL Workbench 에서 SSL 접속
1. 클라이언트 인증서 다운로드
앞서 MariaDB 클라언트-서버 TLS/SSL 암호화 연결(1) 만든 ca.pem, client-cert.pem, client-key.pem 을 외부접속할 클라이언트 PC로 다운받는다.
1 | mkdir .ssl/mysql/ |
SSH 에 다른 포트 번호를 사용하면
scp -P PORT
로 사용한다.
다운로드한 파일은 3종류로
1 | ls .ssl/mysql |
서버와 비슷하게 mysql client 설정에 인증키들을 설정해주면 그냥 접속해도 ssl로 접속된다. 아래 참고2 에서 mysql client 의 클라이언트 측 my.cnf/my.ini 파일에 ssl-ca, ssl-cert, ssl-key 를 설정하면 된다.
2. DB API: python 에서 SSL 접속
pymysql, sqlalchemy 등 mysql client API 에 ssl_ca, ssl_key, ssl_cert 인자에 클라이언트용 인증 파일을 연결한다.
pymysql
pymysql.connect 에 ssl_ca, ssl_key, ssl_cert 인자 클라이언트용 인증 파일의 경로가 SSL_CA, SSL_CERT, SSL_KEY 에 있다고 가정한다.
1 | conn = pymysql.connect(host='192.168.0.10', |
SQLAlchemy : engine
sqlalchemy의 create_engin에 connect_args
인자에 클라이언트 인증 파일의 경로가 SSL_CA, SSL_CERT, SSL_KEY 에 있다고 가정한다.
1 | ssl_args = {'ssl_ca': SSL_CA, |
C 라이브러리 사용 SSL 접속
참고2 를 보면 C API를 사용한 `libmariadb.dll`` 라이브러리에서 SSL 사용하는 C++ 콘솔 예제 가 있다.
3. HeidiSQL 에서 SSL 접속 (2508업데이트)
HeidiSQL 에서 SSL 을 이용해 접속할 수 있다. 아래 그림 같이 DB 정보를 입력한다.

그리고 SSL 탭에서 SSL에 서버측의 ssl 파일을 위치하고 CA 검증을 하지 않게 하면 사용이 가능하다.

4. MySQL Workbench 에서 SSL 접속
MySQL Workbench 에서도 SSL 연결로 데이터베이스에 접속할 수 있다. DB 접속 계정 정보를 입력한다.

SSL 탭에서 SSL 관련 옵션을 선택하는데 여기서는 if available 로 지정했다. 서버측이 SSL활성화가 되어 있으면 자동으로 SSL 통신을 진행한다.

Test 로 확인해 보면 SSL 접속이 잘 되고 있는 것을 알 수 있다.

5. 사용자 SSL 권한 부여
새 사용자를 생성할 때 아래 같이 접속시 REQUIRE
인자로 SSL 로만 접속하도록 할 수 있다.
사용자의 추가/권한 부여에 대해서 MySQL CLI/Admin: 권한부여 글을 참고.
1 | # SSL/TLS(가장 기본적인 암호화 접속) |
기존 사용자는 사용자 권한에서 SSL을 권한을 추가한다.
1 | mysql> GRANT ALL PRIVILEGES ON DB이름.* TO 'USERID'@'%' REQUIRE SSL; |
주어진 grant에 SSL/X509 등이 주어졌는지 확인한다.
1 | mysql> SHOW GRANTS FOR 'USERID'@'HOST'; |
내부 네트워크 외부 네트워크로 분리해 사용한다면 외부에서는 무조건 SSL 을 사용하도록 할 수 있을 것 같다.
—
MariaDB 클라언트-서버 TLS/SSL 암호화 연결(2)-2508업데이트
https://thinkbee.github.io/mariadb-enable_tls2-2508-9bc096984bf8/