Activation du protocole TLS pour les connexions MYSQL

Activation du protocole TLS pour les connexions MYSQL
nfa1000
Cette section s'applique uniquement aux communications MYSQL sécurisées.
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
MySQL effectue le chiffrement à chaque connexion. Avec MySQL 5.7.22, TLS 1.2 est pris en charge à la fois pour la base de données et pour les connexions à la base de données.
Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.
2
2
Prérequis
Avant d'activer TLS, créez les fichiers de certificat requis.
Activation de TLS sur un système autonome
Procédez comme suit :
  1. Modifiez le fichier
    chemin_installation
    \MySql\my.ini
    et supprimez les commentaires des lignes suivantes :
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
    Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers
    *.pem
    et limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
  2. Modifiez les paramètres du pool d'applications ReporterAnalyzerWebSite.
    1. Ouvrez le
      Gestionnaire des services Internet (IIS)
      , sélectionnez
      Sites
      , puis
      Site Web par défaut
      .
    2. Dans le volet Actions, cliquez sur
      Paramètres de base
      .
      La fenêtre Modifier le site s'affiche.
    3. Cliquez sur
      Tester les paramètres
      pour vérifier la connexion au site.
      Une fois la connexion établie, quittez la fenêtre Connexion au site.
      En cas d'échec de la connexion, suivez les étapes ci-dessous
      (d à h)
      .
    4. Cliquez sur
      Se connecter en tant que...
      dans la fenêtre
      Modifier le site
      .
      La fenêtre "Se connecter en tant que" s'affiche.
    5. Sélectionnez l'
      utilisateur spécifique
      , puis cliquez sur
      Définir
      pour entrer le nom d'utilisateur et le mot de passe.
    6. Cliquez sur
      OK
      et quittez la fenêtre de connexion au site.
    7. Cliquez sur
      Redémarrer pour le site Web par défaut
      .
    8. Cliquez sur
      OK
      .
  3. Modifiez le fichier
    chemin_installation
    \Netflow\bin\netqosmy.ini
    et supprimez les commentaires des lignes suivantes :
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
  4. Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers
    *.pem
    et limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
  5. Modifiez le fichier
    chemin_installation
    \DBUsers\ReporterAnalyzer.ini
    :
    1. Définissez
      requireSSL
      sur true partout où il est défini sur false.
    2. Assurez-vous que la propriété
      keystore
      pointe vers le référentiel de clés créé dans :
      Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
      Utilisez le même référentiel pkcs12 partout, par exemple :
      chemin_installation
      /certs/nfa-console-keystore.pfx
    3. Assurez-vous que la propriété
      truststore
      pointe vers le référentiel d'approbations créé dans :
      Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
      Utilisez le même référentiel pkcs12 partout, par exemple :
      chemin_installation
      /certs/nfa-console-truststore.pfx
    4. Définissez les propriétés keystore/truststorepassword sur le mot de passe utilisé pour les générer.
    5. Définissez
      SslCa
      sur le fichier
      chemin_installation
      /certs/
      nfa-ca-cert.pem
      .
    6. Définissez
      SslCert
      sur le fichier
      chemin_installation
      /certs/nfa-console-cert.pem
      .
    7. Définissez
      SslKey
      sur le fichier
      chemin_installation
      /certs/nfa-console-key.pem
      .
  6. Redémarrez les services suivants dans l'ordre indiqué.
    • CA MySql
    • NetQoS NQMySql
    • Harvester CA NFA
    • Services Web de collecte et d'interrogation de CA NFA
    • Conservation de données CA NFA
    • Proxys DNS/SNMP de CA NFA
    • Serveur de fichiers CA NFA
    • Interrogateur de CA NFA
    • Reaper de CA NFA
Activation de TLS sur un système distribué
Procédez comme suit :
Sur la console
  1. Modifiez le fichier
    chemin_installation
    \MySql\my.ini
    et supprimez les commentaires des lignes suivantes :
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-console-cert.pem ssl-key=
    install_path
    /certs/nfa-console-key.pem
    Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers
    *.pem
    et limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
  2. Modifiez les paramètres du pool d'applications ReporterAnalyzerWebSite.
    1. Ouvrez le
      Gestionnaire des services Internet (IIS)
      , sélectionnez
      Sites
      , puis
      Site Web par défaut
      .
    2. Dans le volet Actions, cliquez sur
      Paramètres de base
      .
      La fenêtre Modifier le site s'affiche.
    3. Cliquez sur
      Tester les paramètres
      pour vérifier la connexion au site.
      Une fois la connexion établie, quittez la fenêtre Connexion au site.
      En cas d'échec de la connexion, suivez les étapes ci-dessous
      (d à h)
      .
    4. Cliquez sur
      Se connecter en tant que...
      dans la fenêtre
      Modifier le site
      .
      La fenêtre "Se connecter en tant que" s'affiche.
    5. Sélectionnez l'
      utilisateur spécifique
      , puis cliquez sur
      Définir
      pour entrer le nom d'utilisateur et le mot de passe.
    6. Cliquez sur
      OK
      et quittez la fenêtre de connexion au site.
    7. Cliquez sur
      Redémarrer pour le site Web par défaut
      .
    8. Cliquez sur
      OK
      .
  3. Redémarrez le serveur pour redémarrer tous les services.
Sur le Harvester
  1. Modifiez le fichier
    chemin_installation
    \MySql\my.ini
    (ou
    my.cnf
    sous Linux) et supprimez les commentaires des lignes suivantes :
    require_secure_transport=true
    tls_version=TLSv1,TLSv1.1,TLSv1.2
    ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem
    ssl-cert=
    install_path
    /certs/nfa-harvester-cert.pem
    ssl-key=
    install_path
    /certs/nfa-harvester-key.pem
    Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers
    *.pem
    et limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
  2. Modifiez le fichier
    chemin_installation
    \Netflow\bin\netqosmy.ini
    (ou
    Netflow/my.cnf
    sous Linux) et supprimez les commentaires des lignes suivantes :
    require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=
    install_path
    /certs/nfa-ca-cert.pem ssl-cert=
    install_path
    /certs/nfa-harvester-cert.pem ssl-key=
    install_path
    /certs/nfa-harvester-key.pem
    Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers
    *.pem
    et limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
  3. Modifiez le fichier
    chemin_installation
    \DBUsers\ReporterAnalyzer.ini
    :
    1. Définissez
      requireSSL
      sur true partout où il est défini sur false.
    2. Assurez-vous que la propriété
      keystore
      pointe vers le référentiel de clés créé dans :
      Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
      Utilisez le même référentiel pkcs12 partout, par exemple :
      chemin_installation
      /certs/nfa-harvester-keystore.pfx
    3. Assurez-vous que la propriété
      truststore
      pointe vers le référentiel d'approbations créé dans :
      Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
      Utilisez le même référentiel pkcs12 partout, par exemple :
      chemin_installation
      /certs/nfa-harvester-truststore.pfx
    4. Définissez les propriétés keystore/truststorepassword sur le mot de passe utilisé pour les générer.
    5. Définissez
      SslCa
      sur le fichier
      chemin_installation
      /certs/
      nfa-ca-cert.pem
      .
    6. Définissez
      SslCert
      sur le fichier
      chemin_installation
      /certs/nfa-harvester-cert.pem
      .
    7. Définissez
      SslKey
      sur le fichier
      chemin_installation
      /certs/nfa-harvester-key.pem
      .
  4. Redémarrez les services suivants dans l'ordre indiqué.
    • CA MySql
    • NetQoS NQMySql
    • Harvester CA NFA
    • Services Web de collecte et d'interrogation de CA NFA
    • Conservation de données CA NFA
    • Proxys DNS/SNMP de CA NFA
    • Serveur de fichiers CA NFA
    • Interrogateur de CA NFA
    • Reaper de CA NFA