Configuración de conexiones cifradas con SSL entre SQL Gateway y la base de datos MySQL

Procedimiento

Para cifrar la conexión entre SQL Gateway y la base de datos MySQL con SSL, siga estos pasos:

Paso	Acción
1	Crear certificados autofirmados para el cliente y el servidor
2	Configurar el servidor MySQL
3	Configurar la base de datos de MySQL para verificar los certificados de cliente (si es necesario)
4	Configure SQL Gateway.

Creación de certificados autofirmados para conexiones MySQL

La instalación de SQL Gateway contiene un archivo por lotes que crea certificados autofirmados para el servidor MySQL.

Para ejecutar el archivo por lotes, OpenSSL debe estar instalado en el PC. Para obtener OpenSSL, visite http://www.openssl.org.

Siga estas instrucciones:

Paso	Acción	Detalles
1	Abra el archivo por lotes.	En la ficha Configuración > Certificados de bases de datos, seleccione Abrir carpeta > MySQL.
2	Adapte la plantilla del archivo por lotes.	Reemplace el marcador de posición `"MYSQL_SERVER_TEST"` por el nombre que se le dará a su certificado raíz. Reemplace el marcador de posición `"Computer_Name"` por el nombre completo del ordenador o el nombre de host del PC servidor si se requiere la comprobación de nombres. Sirve para identificar el certificado de servidor. Reemplace el marcador de posición `"MYSQL_SERVER_TEST_CLIENT"` por el nombre que se le dará al certificado de cliente.
3	Ejecute el archivo por lotes.	Se crean tres certificados: Certificado raíz (ca.pem) Certificado de servidor (server-cert.pem y server-key.pem) Certificado de cliente (client-cert.pfx)
4	Copie el certificado raíz y el certificado de servidor en el directorio de datos del servidor de MySQL. Copie el certificado de cliente en el PC que ejecuta SQL Gateway.	–
5	Adapte el archivo my.ini del servidor de MySQL como se describe en la sección Configuración del servidor de MySQL.	–
6	Reinicie el servidor de MySQL.	–
7	Importe el certificado de cliente en el almacén de certificados como se describe en la sección Gestión de certificados en el almacén de certificados de este documento.	Resultado: se importan tanto el certificado de cliente como el certificado raíz.

Configuración del servidor de MySQL

Adapte el archivo my.ini del servidor de MySQL.

Para activar SSL y utilizar el certificado de servidor para las conexiones cifradas con SSL, establezca las opciones ssl, ssl-ca, ssl-cert y ssl-key como se indica en el siguiente ejemplo con la carpeta de datos MySQL predeterminada.

Inserte las siguientes líneas al final del archivo my.ini.

ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem

Configuración de la base de datos MySQL para verificar certificados de cliente (opcional)

Configure este paso opcional si la base de datos MySQL debe comprobar los certificados de cliente antes de que se establezca la conexión.

Para ello, configure las opciones de SSL de Cuentas de usuario de base de datos ejecutando el comando ALTER USER:

Comando	Descripción
`REQUIRE X509`	Solicita un certificado del cliente.
`REQUIRE ISSUER 'issuer'`	Permite el acceso a clientes proporcionando un certificado que cumpla con el `issuer` definido.
`REQUIRE SUBJECT 'subject'`	Permite el acceso a clientes proporcionando un certificado que cumpla con el `subject` definido.

Configuración de SQL Gateway

En la ficha Configuración de SQL Gateway, configure los parámetros SSL:

Paso	Acción
1	Seleccione la entrada adecuada en la lista de Servidores de base de datos.
2	En el lado derecho, establezca el parámetro Cifrado SSL en ON.
3	Seleccione la opción adecuada para validar el certificado de servidor con el parámetro Validación de servidor.
4	Seleccione la opción adecuada para validar el certificado de cliente con el parámetro Certificado de cliente.

Validación de certificados de servidor

Para conexiones de MySQL, la ficha Configuración de SQL Gateway le permite configurar cómo evaluar certificados de servidor.

Si el parámetro Cifrado SSL se establece en ON, el parámetro Validación de servidor proporciona las siguientes opciones:

Opción Validación de servidor	Descripción
Validar certificado	El ordenador de SQL Gateway valida el certificado de servidor.
Validar certificado + Verificar nombre	El ordenador de SQL Gateway valida el certificado de servidor y verifica el nombre. NOTA: Si se utiliza esta opción, el parámetro Dirección de servidor debe coincidir con el nombre de sujeto del certificado de servidor.
Ninguna validación	El ordenador de SQL Gateway no verifica el certificado de servidor.

ADVERTENCIA
	ACCESO NO AUTENTICADO Utilice Ninguna validación sólo para fines de pruebas. No utilice Ninguna validación durante el funcionamiento. Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

Certificados de cliente

Para las conexiones de MySQL, la ficha Configuración de SQL Gateway le permite seleccionar un certificado de cliente para utilizarlo para la conexión SSL con el servidor de MySQL.

Si el parámetro Cifrado SSL se establece en ON, el parámetro Certificado de cliente proporciona las siguientes opciones:

Opción Certificado de cliente	Descripción
Ninguno	Seleccione la opción Ninguno si no se proporciona ningún certificado de cliente.
Desde archivo	Seleccione la opción Desde archivo si se proporciona un certificado de cliente como archivo .pfx. Se muestran además los siguientes parámetros: Archivo de certificado le permite buscar el archivo .pfx o indicar la ruta del archivo .pfx. Contraseña de certificado le permite introducir la contraseña para el archivo .pfx.
Desde el almacén personal	Seleccione la opción Desde el almacén personal si el certificado de cliente se instala en un almacén de certificados. Se muestran además los siguientes parámetros: Almacén de certificados que proporciona las opciones Usuario actual y Ordenador local. NOTA: Si la opción Usuario actual está seleccionada, el servicio de SQL Gateway debe ejecutarse con esta cuenta de usuario. En este caso, utilice la opción Ordenador local. En la Huella digital de certificado, puede introducir la huella digital del certificado de cliente.

Opción Certificado de cliente

Descripción

Ninguno

Seleccione la opción Ninguno si no se proporciona ningún certificado de cliente.

Desde archivo

Seleccione la opción Desde archivo si se proporciona un certificado de cliente como archivo .pfx. Se muestran además los siguientes parámetros:

Archivo de certificado le permite buscar el archivo .pfx o indicar la ruta del archivo .pfx.
Contraseña de certificado le permite introducir la contraseña para el archivo .pfx.

Desde el almacén personal

Seleccione la opción Desde el almacén personal si el certificado de cliente se instala en un almacén de certificados. Se muestran además los siguientes parámetros:

Almacén de certificados que proporciona las opciones Usuario actual y Ordenador local.

NOTA: Si la opción Usuario actual está seleccionada, el servicio de SQL Gateway debe ejecutarse con esta cuenta de usuario. En este caso, utilice la opción Ordenador local.
En la Huella digital de certificado, puede introducir la huella digital del certificado de cliente.