ProxySQL中自定义证书链配置的最佳实践

前言

在使用ProxySQL作为数据库代理时，SSL/TLS加密是保障数据传输安全的重要手段。本文将深入探讨如何在ProxySQL中正确配置自定义证书链，特别是当使用中间CA证书时的配置方法。

证书链的基本概念

在PKI体系中，证书链通常由三个部分组成：

1. 根CA证书(Root CA Certificate)
2. 中间CA证书(Intermediate CA Certificate)
3. 终端实体证书(End-entity Certificate)

这种层级结构既保证了安全性，又提供了灵活性。在配置ProxySQL时，理解这三者的关系至关重要。

常见配置误区

许多管理员在配置ProxySQL的SSL证书时，容易犯以下错误：

1. 将完整的证书链(包含终端证书和中间CA证书)全部放入proxysql-cert.pem文件
2. 将根CA证书放入proxysql-ca.pem文件
3. 期望ProxySQL能自动识别并处理证书链中的所有证书

这些做法会导致SSL验证失败，特别是在客户端使用VERIFY_CA模式连接时。

正确的配置方法

经过实践验证，ProxySQL 2.6.3版本中证书的正确配置方式应为：

1. proxysql-ca.pem文件：仅包含中间CA证书
2. proxysql-cert.pem文件：仅包含终端实体证书
3. proxysql-key.pem文件：包含与终端证书配对的私钥

这种配置方式能够确保：

• ProxySQL正常启动并加载证书
• 客户端可以使用VERIFY_CA模式成功连接
• SSL握手过程顺利完成

技术原理分析

ProxySQL底层使用OpenSSL库处理SSL/TLS连接。在证书加载过程中，PEM_read_bio_X509函数每次只能读取一个证书。当证书文件中包含多个证书时，需要多次调用该函数才能完整读取证书链。

当前ProxySQL的实现中，proxysql-cert.pem文件仅支持包含单个证书。如果将证书链放入该文件，ProxySQL只会读取第一个证书(终端实体证书)，而忽略后续的中间CA证书。这会导致证书验证链不完整，最终导致VERIFY_CA模式验证失败。

实际配置示例

以下是一个经过验证的有效配置示例：

/var/lib/proxysql/
├── proxysql-ca.pem    # 仅包含中间CA证书
├── proxysql-cert.pem  # 仅包含终端实体证书
└── proxysql-key.pem   # 终端证书的私钥

客户端连接时，应使用根CA证书进行验证：

mysql -h<proxysql_host> -P7000 -u<user> -p<pass> \
  --ssl-mode=VERIFY_CA \
  --ssl-ca /path/to/root-ca.pem

总结

正确配置ProxySQL的SSL证书链需要注意以下几点：

1. 区分不同类型的证书文件用途
2. 不要将证书链合并到单个文件中
3. 中间CA证书应单独放在proxysql-ca.pem文件中
4. 客户端验证应使用根CA证书而非中间CA证书

通过遵循这些最佳实践，可以确保ProxySQL的SSL/TLS连接既安全又可靠。