サーバー証明書の作成
ルーターおよびデータベース・ノードの構成を開始する前に、SSLサーバー証明書を作成する必要があります。SSLを使用してデータベース・ノードおよびルーターを接続するには、セキュアな通信のために適切なSSLキーおよび証明書が必要です。すべての証明書が、共通認証局(CA)によって認識される必要があります。データベース/ルーターのインストール中にキーおよび証明書が自動生成された場合(または自己署名された場合)、接続が失敗する可能性があります。続行できるのは、CAによって承認された証明書のみです。
認可されたサーバー・キーおよび証明書がすでに使用可能な場合は、証明書に正しい権限があり、ルーター/データベース・ノードの正しいパスに配置されていることを確認します。
サーバーのSSL証明書を生成するステップは、次を参照してください:
SSL証明書を構成するためのタスク
-
データベース・ノードごとに個別の証明書とキーを生成します。
-
すべてのデータベース・ノードおよびルーターに共通する同じ
ca.pem
を使用します。 -
データベース・ノードのサーバー証明書で、ドメイン名なしで共通名を指定します。詳細は、「Group Replicationのデータベース・クラスタSSL構成の概要」の表6-1の共通名を参照してください。
-
サーバーの証明書名およびキー・ファイル名が、対応するデータベース・ノードおよびルーターの値と一致していることを確認します。
-
生成された各サーバー証明書のCN値を検証するには、次のコマンドを使用してopenSSLを起動します:
openssl x509 -text -in ca.pem openssl x509 -text -in server-cert.pem openssl x509 -text -in client-cert.pem
発行者CNは、すべて同じである必要があります。サブジェクトCNには、ドメイン名のないホスト名のみを含める必要があります。
-
証明書を生成したら、それらをCAファイルと照合して検証します。
-
生成された証明書およびキー・ファイルを、データベース・ノードおよびルーターごとにMySQLデータ・ディレクトリにコピーします。すべてのユーザーに読取り権限を指定し、ファイル所有者のみに書込み権限を保持していることを確認してください。
-
共通
ca.pem
をすべてのノードおよびルーターにコピーし、すべてのユーザーに読取り権限を付与します。
親トピック: Group ReplicationクラスタでのSSL構成