Wiki: ページの作成:「== 概要 == MySQLでは、サーバとクライアント間の通信を暗号化するためにSSL/TLS (Transport Layer Security) プロトコルを使用できる。
TLSはSSL (Secure Sockets Layer) の後継プロトコルであり、MySQLでは一般的に「SSL接続」と呼ばれるが、実際にはTLSプロトコルが使用されている。

SSL/TLS接続により、ネットワーク通信の盗聴・改ざんを防止し、データの機密…」

2026-02-16T10:55:21Z

ページの作成:「== 概要 == MySQLでは、サーバとクライアント間の通信を暗号化するためにSSL/TLS (Transport Layer Security) プロトコルを使用できる。 TLSはSSL (Secure Sockets Layer) の後継プロトコルであり、MySQLでは一般的に「SSL接続」と呼ばれるが、実際にはTLSプロトコルが使用されている。 SSL/TLS接続により、ネットワーク通信の盗聴・改ざんを防止し、データの機密…」

新規ページ

== 概要 ==
MySQLでは、サーバとクライアント間の通信を暗号化するためにSSL/TLS (Transport Layer Security) プロトコルを使用できる。 
TLSはSSL (Secure Sockets Layer) の後継プロトコルであり、MySQLでは一般的に「SSL接続」と呼ばれるが、実際にはTLSプロトコルが使用されている。 
 
SSL/TLS接続により、ネットワーク通信の盗聴・改ざんを防止し、データの機密性と完全性を保護できる。 
クライアント証明書を使用することで、接続元の認証も可能である。 
 
MySQL 8.0では、サーバ起動時に自動的にSSL証明書が生成され (<code>auto_generate_certs=ON</code>)、デフォルトでSSL/TLS接続がサポートされる。 
クライアントの <code>ssl-mode</code> オプションにより、暗号化接続の要求レベルを制御できる。 
 
MySQL 8.0.28以降では、TLS 1.0/1.1のサポートが削除され、TLS 1.2以上が必須となった。 
TLS 1.3は、MySQL 8.0.16以降でOpenSSL 1.1.1以上を使用する場合にサポートされる。 
 
認証プラグイン <code>caching_sha2_password</code> との関連については、[[MySQL - 認証プラグイン]] を参照すること。 
レプリケーション全般については、[[MySQL - レプリケーション]] を参照すること。 
 

== SSL/TLS の基本 ==
==== TLS プロトコルの概要 ====
TLS (Transport Layer Security) は、ネットワーク通信を暗号化するプロトコルであり、SSL (Secure Sockets Layer) の後継である。 
MySQLでは、サーバとクライアント間のTCP/IP接続を暗号化し、以下に示す機能を提供する。 
 
* データの暗号化
*: 通信内容の盗聴を防止
* データの完全性保護
*: 通信内容の改ざんを検出
* サーバ認証
*: サーバ証明書によるサーバの身元確認
* クライアント認証
*: クライアント証明書による接続元の認証
 
TLS接続では、接続確立時にTLSハンドシェイクが実行され、暗号化パラメータの交換と認証が行われる。 
 
==== MySQLにおけるTLSバージョンのサポート ====
MySQLのTLSバージョンサポートは、バージョンにより異なる。 
 
<center>
{| class="wikitable"
|+ MySQLバージョン別TLSサポート
! MySQLバージョン !! サポートTLSバージョン !! 備考
|-
| 8.0.0 - 8.0.15 || TLSv1 (非推奨), TLSv1.1 (非推奨), TLSv1.2 || TLS 1.0/1.1は非推奨
|-
| 8.0.16 - 8.0.27 || TLSv1 (非推奨), TLSv1.1 (非推奨), TLSv1.2, TLSv1.3 || TLS 1.3サポート追加 (OpenSSL 1.1.1以上)
|-
| 8.0.28以降 || TLSv1.2, TLSv1.3 || TLS 1.0/1.1削除
|-
| 8.4以降 || TLSv1.2, TLSv1.3 || TLS 1.2が最低バージョン
|}
</center>
 
TLS 1.3を使用するには、OpenSSL 1.1.1以上が必要である。 
TLS 1.3は、ハンドシェイク時間の短縮 (1-RTT) により、接続確立のパフォーマンスが向上する。 
 
==== デフォルトの暗号化動作 ====
MySQL 8.0では、<code>auto_generate_certs=ON</code> (デフォルト) により、サーバ起動時に自動的にSSL証明書が生成される。 
 
下表に、自動生成されるファイルを示す。 
 
<center>
{| class="wikitable"
|+ 証明書・鍵ファイル一覧
|-
! ファイル名 !! 説明
|-
| ca.pem || CA証明書 (自己署名、有効期限10年)
|-
| ca-key.pem || CA秘密鍵
|-
| server-cert.pem || サーバ公開鍵証明書
|-
| server-key.pem || サーバ秘密鍵
|-
| client-cert.pem || クライアント公開鍵証明書
|-
| client-key.pem || クライアント秘密鍵
|}
</center>
 
生成される証明書の鍵サイズは2048ビットであり、CA証明書は自己署名である。 
 
クライアントの <code>ssl-mode</code> デフォルト値は PREFERRED であり、サーバがSSL/TLSをサポートしている場合は暗号化接続、サポートしていない場合は非暗号化接続が確立される。 
 

== サーバ側の設定 ==
==== SSL/TLS関連のシステム変数 ====
MySQLサーバのSSL/TLS設定は、システム変数により制御される。 
 
下表に、主要なシステム変数を示す。 
 
<center>
{| class="wikitable"
|+ SSL/TLS関連のシステム変数
! 変数名 !! 説明
|-
| ssl_ca || CA証明書ファイルのパス
|-
| ssl_capath || CA証明書ディレクトリのパス
|-
| ssl_cert || サーバ公開鍵証明書のパス (必須)
|-
| ssl_key || サーバ秘密鍵のパス (必須)
|-
| ssl_cipher || TLS 1.2以下用の暗号スイート (コロン区切り)
|-
| ssl_crl || 証明書失効リスト (CRL) ファイルのパス
|-
| ssl_crlpath || 証明書失効リスト (CRL) ディレクトリのパス
|-
| tls_version || サポートするTLSバージョン (カンマ区切り、デフォルト: TLSv1.2,TLSv1.3)
|-
| tls_ciphersuites || TLS 1.3用暗号スイート (コロン区切り)
|-
| auto_generate_certs || サーバ起動時の自動証明書生成 (デフォルト: ON)
|}
</center>
 
管理インターフェース用の独立したSSL/TLS設定も可能である。 
 
* admin_ssl_ca, admin_ssl_cert, admin_ssl_key
*: 管理インターフェース用の証明書設定
* admin_tls_version, admin_tls_ciphersuites
*: 管理インターフェース用のTLSバージョンと暗号スイート
 
==== require_secure_transport ====
<code>require_secure_transport</code> システム変数をONに設定すると、暗号化接続またはUNIXソケット接続のみが許可される。 
非暗号化のTCP/IP接続は拒否される。 
 
設定例を以下に示す。 
 
<syntaxhighlight lang="mysql">
SET PERSIST require_secure_transport=ON;
</syntaxhighlight>
 
この設定により、全ての接続で暗号化が強制される。 
 
==== TLSバージョンの制限 ====
<code>tls_version</code> システム変数により、サポートするTLSバージョンを制限できる。 
 
my.cnfの <code>[mysqld]</code> セクション、または <code>SET GLOBAL</code> / <code>SET PERSIST</code> 文で設定する。 
 
<syntaxhighlight lang="ini">
[mysqld]
tls_version=TLSv1.2,TLSv1.3
</syntaxhighlight>
tls_version=TLSv1.2,TLSv1.3
 
TLS 1.0/1.1はMySQL 8.0.28で削除されたため、指定できない。 
 
TLS 1.3のみを許可する例を以下に示す。 
 
<syntaxhighlight lang="ini">
[mysqld]
tls_version=TLSv1.3
</syntaxhighlight>
 
==== 暗号スイートの設定 ====
暗号スイートは、TLS接続で使用される暗号化アルゴリズムの組み合わせである。 
 
TLS 1.2以下用の暗号スイートは <code>ssl_cipher</code> で設定する。 
TLS 1.3用の暗号スイートは <code>tls_ciphersuites</code> で設定する。 
 
これらもmy.cnfの <code>[mysqld]</code> セクション、または <code>SET GLOBAL</code> / <code>SET PERSIST</code> 文で設定する。 
 
<syntaxhighlight lang="ini">
[mysqld]
ssl_cipher=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
tls_ciphersuites=TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
</syntaxhighlight>
 
TLS 1.3のデフォルト暗号スイートを以下に示す。 
 
* TLS_AES_128_GCM_SHA256
* TLS_AES_256_GCM_SHA384
* TLS_CHACHA20_POLY1305_SHA256
 
暗号スイートは、セキュリティと互換性のバランスを考慮して選択する必要がある。 
 
==== 設定ファイルの例 ====
my.cnfファイル (または、my.iniファイル) での設定例を以下に示す。 
 
<syntaxhighlight lang="ini">
[mysqld]
ssl_ca=/path/to/ca.pem
ssl_cert=/path/to/server-cert.pem
ssl_key=/path/to/server-key.pem
ssl_cipher=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384
tls_version=TLSv1.2,TLSv1.3
tls_ciphersuites=TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
require_secure_transport=OFF
</syntaxhighlight>
 
証明書ファイルのパスは、絶対パスを推奨する。 
 

== 証明書の作成と管理 ==
==== mysql_ssl_rsa_setup ツール ====
<code>mysql_ssl_rsa_setup</code> ツールは、MySQL 8.0.34で非推奨となり、MySQL 8.4 / 9.0で削除された。 
 
非推奨となった理由を以下に示す。 
 
* MySQL Community EditionがyaSSLからOpenSSLに移行
* 自動証明書生成機能 (<code>auto_generate_certs=ON</code>) で代替可能
 
代替手段を以下に示す。 
 
* <code>auto_generate_certs=ON</code> (デフォルト)
*: サーバ起動時に自動的にSSL証明書を生成
* OpenSSLを使用した手動生成
*: 本格的な証明書管理が必要な場合
 
新規環境では、OpenSSLを使用した証明書生成を推奨する。 
 
==== OpenSSL を使用した証明書の作成 ====
OpenSSLコマンドにより、CA証明書、サーバ証明書、クライアント証明書を作成することができる。 
 
===== CA証明書の作成 =====
CA (認証局) 証明書と秘密鍵を作成する。 
 
openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
 
<code>openssl req</code> コマンドでは、下表に示す情報を入力する。 
 
<center>
{| class="wikitable"
|+ 証明書に必要な識別情報項目
! 項目名 (英語名称) !! 例 / 説明
|-
| Country Name (国コード) || JP
|-
| State or Province Name (都道府県) || Tokyo
|-
| Locality Name (市区町村) || Chiyoda-ku
|-
| Organization Name (組織名) || Example Company
|-
| Organizational Unit Name (部署名) || IT Department
|-
| Common Name (CN) || CA証明書のCN (サーバ・クライアント証明書とは異なる値を指定)
|}
</center>
 
CA証明書の有効期限は3600日 (約10年) である。 
 
===== サーバ証明書の作成 =====
サーバ証明書と秘密鍵を作成し、CA証明書で署名する。 
 
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
 
サーバ証明書のCommon Name (CN) は、サーバのホスト名またはFQDNを指定する。 
 
※注意 
* CA証明書のCNとサーバ証明書のCNは異なる値を指定
* クライアント証明書のCNも異なる値を指定
 
===== クライアント証明書の作成 =====
クライアント証明書と秘密鍵を作成し、CA証明書で署名する。 
 
クライアント証明書のCommon Name (CN) は、クライアントを識別する任意の名前を指定する。 
<code>-set_serial</code> オプションは、サーバ証明書とクライアント証明書で異なる値を指定する必要がある。 
 
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 02 -out client-cert.pem
 
==== 証明書の検証 ====
作成した証明書の検証を以下のコマンドで実行する。 
 
<syntaxhighlight lang="bash">
openssl verify -CAfile ca.pem server-cert.pem client-cert.pem
</syntaxhighlight>
 
正常な場合は、以下のようなメッセージが出力される。 
 
server-cert.pem: OK
client-cert.pem: OK
 
証明書の内容を確認するコマンドを以下に示す。 
有効期限、発行者、サブジェクト、公開鍵等の情報を確認することができる。 
 
openssl x509 -text -in server-cert.pem
openssl x509 -text -in client-cert.pem
 
==== 証明書のローテーション ====
MySQL 8.0.16以降では、<code>ALTER INSTANCE RELOAD TLS</code> 文により、サーバ再起動不要で証明書を更新できる。 
 
基本構文を以下に示す。 
 
<syntaxhighlight lang="mysql">
ALTER INSTANCE RELOAD TLS;
</syntaxhighlight>
 
インターフェース別のリロード (MySQL 8.4以降) を以下に示す。 
 
<syntaxhighlight lang="mysql">
ALTER INSTANCE RELOAD TLS FOR CHANNEL mysql_main;
</syntaxhighlight>
 
エラー時にロールバックしないオプションを以下に示す。 
 
<syntaxhighlight lang="mysql">
ALTER INSTANCE RELOAD TLS NO ROLLBACK ON ERROR;
</syntaxhighlight>
 
実行には <code>CONNECTION_ADMIN</code> 権限が必要である。 
 
証明書リロード後の確認方法を以下に示す。 
 
<syntaxhighlight lang="mysql">
SHOW STATUS LIKE 'Current_tls_%';
</syntaxhighlight>
 
※注意 
* 現在の接続には影響なし。(新規接続から適用)
* グループレプリケーションのTLSコンテキストは更新されない。
 

== クライアント側の設定 ==
==== ssl-mode オプション ====
クライアントの <code>ssl-mode</code> オプションにより、暗号化接続の要求レベルを制御する。 
 
<center>
{| class="wikitable"
|+ ssl-mode オプションの値
! ssl-mode !! 説明 !! 証明書検証 !! ホスト名検証
|-
| DISABLED || SSL/TLS接続を無効化 || なし || なし
|-
| PREFERRED || サーバがサポートしていれば暗号化、なければ非暗号化 (デフォルト) || なし || なし
|-
| REQUIRED || 暗号化接続を要求 (証明書検証なし、MITM攻撃に脆弱) || なし || なし
|-
| VERIFY_CA || 暗号化接続を要求 + CA証明書を検証 (ホスト名検証なし) || あり || なし
|-
| VERIFY_IDENTITY || 暗号化接続を要求 + CA証明書検証+ホスト名検証 (最も安全) || あり || あり
|}
</center>
 
セキュリティを重視する場合は、<code>VERIFY_IDENTITY</code> を推奨する。 
 
==== mysql コマンドラインクライアント ====
mysqlコマンドラインクライアントでのSSL/TLS接続例を以下に示す。 
 
基本的な接続 (<code>VERIFY_CA</code>) を以下に示す。 
 
mysql --ssl-mode=VERIFY_CA --ssl-ca=/path/to/ca.pem -h localhost -u user -p
 
ホスト名検証付き接続 (<code>VERIFY_IDENTITY</code>) を以下に示す。 
 
mysql --ssl-mode=VERIFY_IDENTITY --ssl-ca=/path/to/ca.pem \
--ssl-cert=/path/to/client-cert.pem \
--ssl-key=/path/to/client-key.pem \
-h server.example.com -u user -p
 
クライアント証明書を使用する場合は、<code>--ssl-cert</code> と <code>--ssl-key</code> オプションを指定する。 
 
SSL接続の確認方法を以下に示す。 
 
<syntaxhighlight lang="mysql">
SHOW SESSION STATUS LIKE 'Ssl_cipher';
SHOW SESSION STATUS LIKE 'Ssl_version';
</syntaxhighlight>
 
または、<code>\s</code> コマンドで接続情報を確認する。 
 
<syntaxhighlight lang="mysql">
\s
</syntaxhighlight>
 
SSL接続が確立されている場合、SSL: Cipher in use is ... のような情報が表示される。 
 
==== プログラミング言語からの接続 ====
===== MySQL Connector/Python =====
Python (MySQL Connector/Python) からのSSL/TLS接続例を以下に示す。 
 
<syntaxhighlight lang="python">
import mysql.connector

conn = mysql.connector.connect(
host='server.example.com',
user='user',
password='password',
database='mydb',
ssl_ca='/path/to/ca.pem',
ssl_cert='/path/to/client-cert.pem',
ssl_key='/path/to/client-key.pem',
ssl_verify_cert=True,
ssl_verify_identity=True
)
</syntaxhighlight>
 
<code>ssl_verify_cert=True</code> により、証明書検証が有効化される。 
<code>ssl_verify_identity=True</code> により、ホスト名検証が有効化される。 
 
===== MySQL Connector/Java (JDBC) =====
Java (JDBC) からのSSL/TLS接続例を以下に示す。 
 
<syntaxhighlight lang="java">
jdbc:mysql://server.example.com:3306/mydb?useSSL=true&requireSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file:/path/to/truststore.jks&clientCertificateKeyStoreUrl=file:/path/to/keystore.jks
</syntaxhighlight>
 
JDBCでは、JavaのKeyStore形式 (JKS) の証明書ファイルを使用する。 
 
===== PHP (PDO / mysqli) =====
PHP (PDO) からのSSL/TLS接続例を以下に示す。 
 
<syntaxhighlight lang="php">
<?php
$pdo = new PDO(
'mysql:host=server.example.com;dbname=mydb',
'user',
'password',
[
PDO::MYSQL_ATTR_SSL_CA => '/path/to/ca.pem',
PDO::MYSQL_ATTR_SSL_CERT => '/path/to/client-cert.pem',
PDO::MYSQL_ATTR_SSL_KEY => '/path/to/client-key.pem',
PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => true,
]
);
</syntaxhighlight>
 
PHP (mysqli) からのSSL/TLS接続例を以下に示す。 
 
<syntaxhighlight lang="php">
<?php
$mysqli = new mysqli();
$mysqli->ssl_set(
'/path/to/client-key.pem',
'/path/to/client-cert.pem',
'/path/to/ca.pem',
NULL,
NULL
);

$mysqli->real_connect(
'server.example.com',
'user',
'password',
'mydb',
3306,
NULL,
MYSQLI_CLIENT_SSL
);
</syntaxhighlight>
 
==== SSL接続の確認方法 ====
接続後にSSL/TLS接続が確立されているかを確認する方法を以下に示す。 
 
<syntaxhighlight lang="mysql">
SHOW SESSION STATUS LIKE 'Ssl_cipher';
</syntaxhighlight>
 
<code>Ssl_cipher</code> が空でない場合、SSL/TLS接続が確立されている。 
 
TLSバージョンの確認を以下に示す。 
 
<syntaxhighlight lang="mysql">
SHOW SESSION STATUS LIKE 'Ssl_version';
</syntaxhighlight>
 
<code>Ssl_version</code> の値 (例: TLSv1.3) により、使用中のTLSバージョンを確認できる。 
 

== ユーザごとのSSL/TLS要件 ==
MySQLでは、ユーザ作成時に <code>REQUIRE</code> 句を使用して、ユーザごとにSSL/TLS接続要件を設定できる。 
 
==== REQUIRE SSL ====
暗号化接続を必須とするが、証明書検証は行わない。 
 
<syntaxhighlight lang="mysql">
CREATE USER 'user1'@'%' REQUIRE SSL;
</syntaxhighlight>
 
==== REQUIRE X509 ====
有効なクライアント証明書を必須とする。(証明書の発行者・サブジェクトは問わない) 
 
<syntaxhighlight lang="mysql">
CREATE USER 'user2'@'%' REQUIRE X509;
</syntaxhighlight>
 
==== REQUIRE ISSUER / SUBJECT ====
特定の発行者 (ISSUER) またはサブジェクト (SUBJECT) のクライアント証明書を必須とする。 
 
<code>REQUIRE ISSUER</code> の例を以下に示す。 
 
<syntaxhighlight lang="mysql">
CREATE USER 'user3'@'%'
REQUIRE ISSUER '/C=US/ST=State/O=Organization/CN=CA';
</syntaxhighlight>
 
<code>REQUIRE SUBJECT</code> の例を以下に示す。 
 
<syntaxhighlight lang="mysql">
CREATE USER 'user4'@'%'
REQUIRE SUBJECT '/C=US/CN=client';
</syntaxhighlight>
 
<code>REQUIRE ISSUER</code> および <code>REQUIRE SUBJECT</code> は、REQUIRE X509 を暗示する。 
 
==== ユーザの作成例と変更例 ====
複数条件の組み合わせ例を以下に示す。 
 
<syntaxhighlight lang="mysql">
CREATE USER 'user5'@'%'
REQUIRE SUBJECT '/C=US/CN=client'
AND ISSUER '/C=US/CN=CA'
AND CIPHER 'ECDHE-RSA-AES256-GCM-SHA384';
</syntaxhighlight>
 
* 既存ユーザの変更例
*: <syntaxhighlight lang="mysql">
ALTER USER 'user1'@'%' REQUIRE X509;
</syntaxhighlight>
*: 
* SSL/TLS要件の削除例
*: <syntaxhighlight lang="mysql">
ALTER USER 'user1'@'%' REQUIRE NONE;
</syntaxhighlight>
*: 
* <code>REQUIRE CIPHER</code> により、特定の暗号スイートを要求できる。
*: <syntaxhighlight lang="mysql">
CREATE USER 'user6'@'%'
REQUIRE CIPHER 'ECDHE-RSA-AES128-GCM-SHA256';
</syntaxhighlight>
 

== レプリケーションのSSL/TLS設定 ==
==== ソース-レプリカ間の暗号化 ====
レプリケーション接続を暗号化するには、<code>CHANGE REPLICATION SOURCE TO</code> 文でSSL/TLSオプションを設定する。 
 
基本的な設定例を以下に示す。 
 
<syntaxhighlight lang="mysql">
CHANGE REPLICATION SOURCE TO
SOURCE_HOST='source.example.com',
SOURCE_USER='replication',
SOURCE_PASSWORD='password',
SOURCE_SSL=1,
SOURCE_SSL_CA='/path/to/ca.pem',
SOURCE_SSL_CERT='/path/to/client-cert.pem',
SOURCE_SSL_KEY='/path/to/client-key.pem',
SOURCE_TLS_VERSION='TLSv1.2,TLSv1.3',
SOURCE_SSL_VERIFY_SERVER_CERT=1;

START REPLICA;
</syntaxhighlight>
 
==== レプリケーション用証明書の設定 ====
下表に、<code>CHANGE REPLICATION SOURCE TO</code> のSSL/TLSオプションを示す。 
 
<center>
{| class="wikitable"
|+ レプリケーション用SSL/TLSオプション
! オプション !! 説明
|-
| SOURCE_SSL || SSL/TLS接続の有効化 (1: 有効、0: 無効)
|-
| SOURCE_SSL_CA || CA証明書ファイルのパス
|-
| SOURCE_SSL_CAPATH || CA証明書ディレクトリのパス
|-
| SOURCE_SSL_CERT || クライアント証明書ファイルのパス
|-
| SOURCE_SSL_KEY || クライアント秘密鍵ファイルのパス
|-
| SOURCE_SSL_CRL || 証明書失効リストファイルのパス
|-
| SOURCE_SSL_CRLPATH || 証明書失効リストディレクトリのパス
|-
| SOURCE_SSL_CIPHER || TLS 1.2以下用の暗号スイート
|-
| SOURCE_SSL_VERIFY_SERVER_CERT || サーバ証明書検証 (1: 有効、0: 無効)
|-
| SOURCE_TLS_VERSION || サポートするTLSバージョン (カンマ区切り)
|-
| SOURCE_TLS_CIPHERSUITES || TLS 1.3用暗号スイート
|}
</center>
 
<code>SOURCE_SSL_VERIFY_SERVER_CERT=1</code> により、ソースサーバ証明書の検証を有効化する。 
 
==== グループレプリケーションのSSL設定 ====
グループレプリケーションでのSSL/TLS設定は、専用のシステム変数を使用する。 
 
下表に、主要な設定変数を示す。 
 
<center>
{| class="wikitable"
|+ Group Replicationセキュリティ設定項目
! パラメータ名 !! 説明 / 設定値
|-
| group_replication_ssl_mode || DISABLED, REQUIRED, VERIFY_CA, VERIFY_IDENTITY
|-
| group_replication_recovery_use_ssl || リカバリ用の暗号化接続有効化
|-
| group_replication_recovery_ssl_ca || リカバリ用CA証明書
|-
| group_replication_recovery_ssl_cert || リカバリ用クライアント証明書
|-
| group_replication_recovery_ssl_key || リカバリ用クライアント秘密鍵
|}
</center>
 
設定例を以下に示す。 
 
<syntaxhighlight lang="mysql">
SET GLOBAL group_replication_ssl_mode='VERIFY_IDENTITY';
SET GLOBAL group_replication_recovery_use_ssl=ON;
SET GLOBAL group_replication_recovery_ssl_ca='/path/to/ca.pem';
SET GLOBAL group_replication_recovery_ssl_cert='/path/to/client-cert.pem';
SET GLOBAL group_replication_recovery_ssl_key='/path/to/client-key.pem';
</syntaxhighlight>
 
※注意 
* <code>ALTER INSTANCE RELOAD TLS</code> では、グループレプリケーションのTLSコンテキストは更新されない。
* グループレプリケーションのTLS設定を変更する場合は、グループの再起動が必要となる。
 

== SSL/TLS接続のパフォーマンス ==
==== 暗号化のオーバーヘッド ====
SSL/TLS接続により、以下のパフォーマンスオーバーヘッドが発生する。 
 
<center>
{| class="wikitable"
|+ SSL/TLSパフォーマンスへの影響
! 項目 !! 説明
|-
| CPU使用率の増加 || 一般的に2〜5[%]増加 (適切な設定で1%以下も可能)
|-
| TLSハンドシェイクのオーバーヘッド || 接続確立時にハンドシェイク処理が実行される
|-
| データ転送の暗号化/復号化コスト || データ送受信時に暗号化処理が実行される
|}
</center>
 
TLS 1.3では、ハンドシェイク時間が短縮 (1-RTT) され、接続確立のパフォーマンスが向上する。 
 
==== パフォーマンス最適化 ====
SSL/TLS接続のパフォーマンスを最適化する手法を以下に示す。 
 
<center>
{| class="wikitable"
|+ SSL/TLSパフォーマンス最適化対策
! 対策項目 !! 説明
|-
| 接続プーリングの活用 || ハンドシェイク回数を削減し、接続確立コストを低減
|-
| TLS 1.3の使用 || ハンドシェイク時間の短縮 (1-RTT)
|-
| 適切な暗号スイートの選択 || ECDHE (楕円曲線Diffie-Hellman鍵交換) を推奨 DHE (Diffie-Hellman鍵交換) は避ける (計算コストが高い)
|-
| セッション再利用/キャッシュ || TLSセッションの再利用により、ハンドシェイクを省略
|}
</center>
 
暗号スイートの選択例を以下に示す。 
 
<syntaxhighlight lang="ini">
[mysqld]
tls_ciphersuites=TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
</syntaxhighlight>
 
接続プーリングの推奨を以下に示す。 
 
* アプリケーション側で接続プールを実装
* 接続の再利用により、ハンドシェイク回数を削減
 

== トラブルシューティング ==
==== SSL接続エラーの診断 ====
SSL/TLS接続エラーの診断には、以下に示すステータス変数を確認する。 
 
<syntaxhighlight lang="mysql">
SHOW STATUS LIKE 'Ssl%';
</syntaxhighlight>
 
主要なステータス変数を以下に示す。 
 
<center>
{| class="wikitable"
|+ SSL/TLSステータス変数
! 変数名 !! 説明
|-
| Ssl_accepts || SSL接続受入回数
|-
| Ssl_accepts_failed || SSL接続失敗回数
|-
| Ssl_cipher || 現在の接続の暗号スイート
|-
| Ssl_version || 現在の接続のTLSバージョン
|}
</center>
 
<code>Ssl_accepts_failed</code> が増加している場合、SSL/TLS接続エラーが発生している。 
 
エラーログの確認を以下に示す。 
 
MySQLエラーログに、SSL/TLS関連のエラーメッセージが出力される。 
 
tail -f /var/log/mysql/error.log
 
==== 証明書関連のエラー ====
===== 証明書期限切れ =====
証明書の有効期限を確認する。 
 
openssl x509 -text -in server-cert.pem | grep -A2 Validity
 
期限切れの場合は、新しい証明書を作成する。 
 
===== CA証明書不一致 =====
証明書がCA証明書で署名されているかを確認する。 
 
openssl verify -CAfile ca.pem server-cert.pem
 
エラーが表示される場合、証明書とCA証明書が一致していない。 
 
===== 秘密鍵と証明書の不一致 =====
秘密鍵と証明書の対応を確認する。 
 
openssl x509 -noout -modulus -in server-cert.pem | openssl md5
# または
openssl rsa -noout -modulus -in server-key.pem | openssl md5
 
MD5ハッシュ値が一致しない場合、秘密鍵と証明書が対応していない。 
 
===== Common Name (CN) 重複 =====
CA証明書、サーバ証明書、クライアント証明書のCNは、それぞれ異なる値が必要である。 
 
証明書のCNを確認する。 
 
openssl x509 -noout -subject -in ca.pem
# または
openssl x509 -noout -subject -in server-cert.pem
# または
openssl x509 -noout -subject -in client-cert.pem
 
CNが重複している場合は、証明書を再作成する。 
 
==== クライアント互換性の問題 ====
MySQL 8.0.28以降では、TLS 1.0/1.1のサポートが削除されている。 
 
古いクライアントがTLS 1.2以上に対応していない場合は、以下の対処が必要である。 
 
* クライアントライブラリの更新
*: TLS 1.2以上に対応したバージョンに更新
* サーバ側でのTLSバージョン調整 (MySQL 8.0.27以前)
*: <code>tls_version</code> に古いバージョンを含める (非推奨)
 
TLS 1.2対応の確認を以下に示す。 
 
mysql --version
# または
openssl version
 
OpenSSL 1.0.1以上が必要である。 
 

== バージョン別の変更点 ==
==== MySQL 8.0の変更 ====
MySQL 8.0での主要な変更を以下に示す。 
 
* サーバ起動時の自動証明書生成 (<code>auto_generate_certs=ON</code>)
* クライアントのデフォルト <code>ssl-mode</code> が <code>PREFERRED</code>
* TLS 1.2サポート (デフォルト)
 
MySQL 8.0.16での変更を以下に示す。 
 
* TLS 1.3サポート (OpenSSL 1.1.1以上)
* <code>ALTER INSTANCE RELOAD TLS</code> 文の追加
 
==== MySQL 8.0.28の変更 ====
MySQL 8.0.28での主要な変更を以下に示す。 
 
* TLS 1.0 / 1.1サポート削除
* TLS 1.2が最低バージョン
 
影響を以下に示す。 
 
* TLS 1.2以上に対応していないクライアントは接続不可
* <code>tls_version</code> に TLSv1 または TLSv1.1を指定するとエラー
 
==== MySQL 8.0.34の変更 ====
MySQL 8.0.34での主要な変更を以下に示す。 
 
* <code>mysql_ssl_rsa_setup</code> ツールの非推奨化
 
代替手段を以下に示す。 
 
* <code>auto_generate_certs=ON</code> による自動生成
* OpenSSLによる手動生成
 
MySQL 8.4/9.0では、<code>mysql_ssl_rsa_setup</code> は削除される。 
 
MySQL 8.4での追加機能を以下に示す。 
 
* <code>tls-certificates-enforced-validation</code>
*: 証明書検証を強制し、無効な証明書でサーバ起動が失敗する
* <code>ALTER INSTANCE RELOAD TLS FOR CHANNEL</code> 句
*: インターフェース別の証明書リロード
 

== 参考リンク ==
* [https://dev.mysql.com/doc/refman/8.0/en/encrypted-connections.html MySQL 8.0 Reference Manual - Encrypted Connections]
* [https://dev.mysql.com/doc/refman/8.0/en/using-encrypted-connections.html MySQL 8.0 Reference Manual - Using Encrypted Connections]
* [https://dev.mysql.com/doc/refman/8.0/en/alter-instance.html MySQL 8.0 Reference Manual - ALTER INSTANCE Statement]
* [https://dev.mysql.com/doc/refman/8.0/en/replication-encrypted-connections.html MySQL 8.0 Reference Manual - Replication with Encrypted Connections]
 

{{#seo:
|title={{PAGENAME}} : Exploring Electronics and SUSE Linux | MochiuWiki
|keywords=MochiuWiki,Mochiu,Wiki,Mochiu Wiki,MySQL,Database,SQL,SSL,TLS,Encrypted Connection,Certificate,Security,SSL/TLS,暗号化接続,証明書,セキュリティ,データベース,電気回路,電子回路,基板,プリント基板
|description={{PAGENAME}} - MySQLのSSL/TLS接続設定と証明書管理に関する包括的なガイド | This page is {{PAGENAME}} in our wiki about electronic circuits and SUSE Linux
|image=/resources/assets/MochiuLogo_Single_Blue.png
}}

__FORCETOC__
[[カテゴリ:MySQL]]

MySQL - SSL TLS接続 - 版の履歴