Activation du protocole TLS pour les connexions MYSQL
Activation du protocole TLS pour les connexions MYSQL
nfa1000
Cette section s'applique uniquement aux communications MYSQL sécurisées.
Transport Layer Security (TLS) est un protocole de chiffrement qui garantit la sécurité des communications sur un réseau.
MySQL effectue le chiffrement à chaque connexion. Avec MySQL 5.7.22, TLS 1.2 est pris en charge à la fois pour la base de données et pour les connexions à la base de données.
Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
A partir de la version 21.2.4, l'utilitaire
Password Obfuscation
(Obfuscation de mot de passe) vous permet d'obscurcir ou de chiffrer les mots de passe associés au protocole SSL/TLS dans les fichiers de configuration SSL/TLS qui sont actuellement en texte brut. Pour plus d'informations, reportez-vous à la section Utilitaire d'obfuscation de mot de passe.2
2
Prérequis
Avant d'activer TLS, créez les fichiers de certificat requis.
Activation de TLS sur un système autonome
Procédez comme suit :
- Modifiez le fichieret supprimez les commentaires des lignes suivantes :chemin_installation\MySql\my.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pemModifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers*.pemet limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
- Modifiez les paramètres du pool d'applications ReporterAnalyzerWebSite.
- Ouvrez leGestionnaire des services Internet (IIS), sélectionnezSites, puisSite Web par défaut.
- Dans le volet Actions, cliquez surParamètres de base.La fenêtre Modifier le site s'affiche.
- Cliquez surTester les paramètrespour vérifier la connexion au site.Une fois la connexion établie, quittez la fenêtre Connexion au site.En cas d'échec de la connexion, suivez les étapes ci-dessous(d à h).
- Cliquez surSe connecter en tant que...dans la fenêtreModifier le site.La fenêtre "Se connecter en tant que" s'affiche.
- Sélectionnez l'utilisateur spécifique, puis cliquez surDéfinirpour entrer le nom d'utilisateur et le mot de passe.
- Cliquez surOKet quittez la fenêtre de connexion au site.
- Cliquez surRedémarrer pour le site Web par défaut.
- Cliquez surOK.
- Modifiez le fichieret supprimez les commentaires des lignes suivantes :chemin_installation\Netflow\bin\netqosmy.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pem
- Modifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers*.pemet limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
- Modifiez le fichier:chemin_installation\DBUsers\ReporterAnalyzer.ini
- DéfinissezrequireSSLsur true partout où il est défini sur false.
- Assurez-vous que la propriétékeystorepointe vers le référentiel de clés créé dans :Génération ou configuration de certificats pour utilisation par CA Network Flow AnalysisUtilisez le même référentiel pkcs12 partout, par exemple :chemin_installation/certs/nfa-console-keystore.pfx
- Assurez-vous que la propriététruststorepointe vers le référentiel d'approbations créé dans :Génération ou configuration de certificats pour utilisation par CA Network Flow AnalysisUtilisez le même référentiel pkcs12 partout, par exemple :chemin_installation/certs/nfa-console-truststore.pfx
- Définissez les propriétés keystore/truststorepassword sur le mot de passe utilisé pour les générer.
- DéfinissezSslCasur le fichierchemin_installation/certs/nfa-ca-cert.pem.
- DéfinissezSslCertsur le fichier.chemin_installation/certs/nfa-console-cert.pem
- DéfinissezSslKeysur le fichier.chemin_installation/certs/nfa-console-key.pem
- Redémarrez les services suivants dans l'ordre indiqué.
- CA MySql
- NetQoS NQMySql
- Harvester CA NFA
- Services Web de collecte et d'interrogation de CA NFA
- Conservation de données CA NFA
- Proxys DNS/SNMP de CA NFA
- Serveur de fichiers CA NFA
- Interrogateur de CA NFA
- Reaper de CA NFA
Activation de TLS sur un système distribué
Procédez comme suit :
Sur la console
- Modifiez le fichieret supprimez les commentaires des lignes suivantes :chemin_installation\MySql\my.inirequire_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-console-cert.pem ssl-key=install_path/certs/nfa-console-key.pemModifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers*.pemet limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
- Modifiez les paramètres du pool d'applications ReporterAnalyzerWebSite.
- Ouvrez leGestionnaire des services Internet (IIS), sélectionnezSites, puisSite Web par défaut.
- Dans le volet Actions, cliquez surParamètres de base.La fenêtre Modifier le site s'affiche.
- Cliquez surTester les paramètrespour vérifier la connexion au site.Une fois la connexion établie, quittez la fenêtre Connexion au site.En cas d'échec de la connexion, suivez les étapes ci-dessous(d à h).
- Cliquez surSe connecter en tant que...dans la fenêtreModifier le site.La fenêtre "Se connecter en tant que" s'affiche.
- Sélectionnez l'utilisateur spécifique, puis cliquez surDéfinirpour entrer le nom d'utilisateur et le mot de passe.
- Cliquez surOKet quittez la fenêtre de connexion au site.
- Cliquez surRedémarrer pour le site Web par défaut.
- Cliquez surOK.
- Redémarrez le serveur pour redémarrer tous les services.
Sur le Harvester
- Modifiez le fichier(ouchemin_installation\MySql\my.inimy.cnfsous Linux) et supprimez les commentaires des lignes suivantes :require_secure_transport=truetls_version=TLSv1,TLSv1.1,TLSv1.2ssl-ca=install_path/certs/nfa-ca-cert.pemssl-cert=install_path/certs/nfa-harvester-cert.pemssl-key=install_path/certs/nfa-harvester-key.pemModifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers*.pemet limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
- Modifiez le fichier(ouchemin_installation\Netflow\bin\netqosmy.iniNetflow/my.cnfsous Linux) et supprimez les commentaires des lignes suivantes :require_secure_transport=true tls_version=TLSv1,TLSv1.1,TLSv1.2 ssl-ca=install_path/certs/nfa-ca-cert.pem ssl-cert=install_path/certs/nfa-harvester-cert.pem ssl-key=install_path/certs/nfa-harvester-key.pemModifiez toutes les occurrences de ces lignes. Utilisez les noms appropriés pour les fichiers*.pemet limitez les versions de TLS en supprimant celles que vous ne souhaitez pas autoriser.
- Modifiez le fichier:chemin_installation\DBUsers\ReporterAnalyzer.ini
- DéfinissezrequireSSLsur true partout où il est défini sur false.
- Assurez-vous que la propriétékeystorepointe vers le référentiel de clés créé dans :Génération ou configuration de certificats pour utilisation par CA Network Flow AnalysisUtilisez le même référentiel pkcs12 partout, par exemple :chemin_installation/certs/nfa-harvester-keystore.pfx
- Assurez-vous que la propriététruststorepointe vers le référentiel d'approbations créé dans :Génération ou configuration de certificats pour utilisation par CA Network Flow AnalysisUtilisez le même référentiel pkcs12 partout, par exemple :chemin_installation/certs/nfa-harvester-truststore.pfx
- Définissez les propriétés keystore/truststorepassword sur le mot de passe utilisé pour les générer.
- DéfinissezSslCasur le fichierchemin_installation/certs/nfa-ca-cert.pem.
- DéfinissezSslCertsur le fichier.chemin_installation/certs/nfa-harvester-cert.pem
- DéfinissezSslKeysur le fichier.chemin_installation/certs/nfa-harvester-key.pem
- Redémarrez les services suivants dans l'ordre indiqué.
- CA MySql
- NetQoS NQMySql
- Harvester CA NFA
- Services Web de collecte et d'interrogation de CA NFA
- Conservation de données CA NFA
- Proxys DNS/SNMP de CA NFA
- Serveur de fichiers CA NFA
- Interrogateur de CA NFA
- Reaper de CA NFA