16.3.7. Установка Репликации Используя SSL

Чтобы использовать SSL для того, чтобы зашифровать передачу двоичного журнала, требуемого во время репликации, и ведущее устройство и ведомое устройство должны поддерживать соединения сети SSL. Если или узел не поддерживает соединения SSL (потому что он не был скомпилирован или сконфигурирован для SSL), репликация через соединение SSL не возможна.

Установка репликации, используя соединение SSL подобна установке сервера и клиента, использующего SSL. Следует получить (или создать), подходящий сертификат безопасности, который можно использовать на ведущем устройстве, и подобном сертификате (от того же самого центра сертификации) на каждом ведомом устройстве.

Для получения дополнительной информации по установке сервера и клиента для связи SSL, см. Раздел 6.3.9.2, "Конфигурируя MySQL для SSL".

Чтобы включить SSL на ведущем устройстве, следует создать или получить подходящие сертификаты, и затем добавить следующие параметры конфигурации к конфигурации ведущего устройства в пределах [mysqld] раздел ведущего устройства my.cnf файл:

[mysqld]ssl-ca=cacert.pemssl-cert=server-cert.pemssl-key=server-key.pem

Пути к сертификатам могут быть относительными или абсолютными; мы рекомендуем, чтобы Вы всегда использовали полные пути с этой целью.

Опции следующие:

ssl-ca идентифицирует Центр сертификации (CA) сертификат.
ssl-cert идентифицирует открытый ключ сервера. Это может быть отправлено клиенту и аутентифицироваться против сертификата CA, который это имеет.
ssl-key идентифицирует закрытый ключ сервера.

На ведомом устройстве Вы имеете две опции в наличии для того, чтобы установить информацию о SSL. Можно или добавить ведомые сертификаты [client] раздел ведомого устройства my.cnf файл, или можно явно определить информацию о SSL, используя CHANGE MASTER TO оператор:

Чтобы добавить ведомые сертификаты, используя файл опции, добавьте следующие строки к [client] раздел ведомого устройства my.cnf файл:
```
[client]ssl-ca=cacert.pemssl-cert=client-cert.pemssl-key=client-key.pem
```
Перезапустите ведомый сервер, используя --skip-slave-start опция, чтобы препятствовать тому, чтобы ведомое устройство соединилось с ведущим устройством. Использовать CHANGE MASTER TO определить основную конфигурацию, используя MASTER_SSL опция, чтобы включить связи SSL:
```
mysql> CHANGE MASTER TO    -> MASTER_HOST='master_hostname',    -> MASTER_USER='replicate',    -> MASTER_PASSWORD='password',    -> MASTER_SSL=1;
```

Определить опции сертификата SSL, используя CHANGE MASTER TO оператор, добавьте опции SSL:

mysql> CHANGE MASTER TO    -> MASTER_HOST='master_hostname',    -> MASTER_USER='replicate',    -> MASTER_PASSWORD='password',    -> MASTER_SSL=1,    -> MASTER_SSL_CA
                    = 'ca_file_name',    -> MASTER_SSL_CAPATH =
                    'ca_directory_name',    -> MASTER_SSL_CERT =
                    'cert_file_name',    -> MASTER_SSL_KEY =
                    'key_file_name';

После того, как основная информация была обновлена, запустите ведомый процесс репликации:

mysql> START SLAVE;

Можно использовать SHOW SLAVE STATUS оператор, чтобы подтвердить, что соединение SSL было установлено успешно.

Для получения дополнительной информации по CHANGE MASTER TO оператор, см. Раздел 13.4.2.1,"CHANGE MASTER TO Синтаксис".

Если Вы хотите осуществить использование соединений SSL во время репликации, то создайте пользователя с REPLICATION SLAVE полномочие и использование REQUIRE SSL опция для того пользователя. Например:

mysql> CREATE USER 'repl'@'%.mydomain.com' IDENTIFIED
        BY 'slavepass';mysql> GRANT REPLICATION SLAVE ON
        *.*    -> TO 'repl'@'%.mydomain.com' REQUIRE
        SSL;

Если учетная запись уже существует, можно добавить REQUIRE SSL к этому с этим оператором:

mysql> GRANT USAGE ON
        *.*    -> TO 'repl'@'%.mydomain.com' REQUIRE
        SSL;