MySQL SSL加密访问:从自建到CA签发的全面实践指南
本文深入解析了MySQL配置SSL加密访问的实现步骤,详细阐述了自建证书和CA签发证书两种方法,并提供了详细的示例代码和配置指导,旨在提升数据库连接的安全性。
支持通配符SSL证书、多域名证书、IP证书。适配ACME接口, 支持Zerossl、Let's Encrypt和Google等渠道。登录已有账号
北京时间2026年2月25日上午2:00 起及之后签发的所有公有SSL证书,最长有效期均不得超过新的199天。受影响的证书包括公有DV SSL证书、OV SSL证书、EV SSL证书等。
北京时间2026年2月25日上午2:00 起及之后签发的所有代码签名证书,最长有效期均不得超过新的459天。受影响的证书包括普通代码签名证书和EV代码签名证书。
调整依据:
* SSL证书调整:遵循 CA/B论坛SC-081v3提案(行业分阶段缩短计划:2026 年至 200 天、2027 年至 100 天、2029 年至 47 天);
* 代码签名证书调整:遵循 CA/B论坛CSC-31提案(2026 年 3 月 1 日之后统一缩短至 460 天);
* 注: DigiCert的证书最长有效期比CA/B论坛允许的最长有效期少一天,以避免超出允许的最大值。
1、对SSL证书的影响
目前,DigiCert颁发的公有SSL证书最长有效期为397天。自2026年2月25日起,DigiCert颁发的SSL证书最长有效期将为199天。199天的最大有效期是行业向47天SSL证书过渡的多阶段计划中的第一阶段。
新证书申请:2026年2月25日起,通过任何渠道提交的公有SSL证书申请,系统将自动调整证书最大有效期为199 天。
证书签发:2026年2月25日及之后,签发的SSL证书有效期均不超过199天。2026 年 2 月 25 日前提交但未完成签发的申请,将按新有效期签发。
现有证书:2026年2月25日截止日期前已签发的、有效期超过199天的证书不受影响,这些证书在到期前将继续保持可信状态;临近到期续期时,将按199天有效期签发新证书。
重签与续期:2026年2月25日截止日期前未签发的397天证书,订单本身仍保留397天有效期,但证书重签或续期时,新证书的最长有效期为199天。
2、对代码签名证书的影响
目前,DigiCert可以颁发最长有效期为39个月的公有代码签名证书。自2026年2月25日起,DigiCert将颁发最长有效期为459天的代码签名证书。
新证书申请:2026年2月25日起,停止接受2年和3年代码签名证书的申请,所有新申请的代码签名证书最长有效期不超过459天。
证书签发:2026年2月25日起,签发的公有代码签名证书最长有效期为459天。
现有证书:2026年2月25日截止日期之前颁发的有效代码签名证书,在到期前仍可继续使用。
证书续期:2026年2月25日及之后,续期的代码签名证书最长有效期不超过459天。
证书重签:对现有的2年、3年或39个月公有代码签名证书,2026年2月25日之前重签,新证书的有效期最长可达39个月(但不能超过订单有效期);25日及之后重签,如果原始证书的剩余有效期超过允许的459天最长有效期,我们将对您重新颁发的证书和订单进行截断处理,且不予退款。
为了避免此次调整对您的在线业务造成影响,保障业务连续性并平稳过渡,锐成信息建议企业采取以下措施:
1、全面盘点证书资产
立即梳理所有线上业务使用的SSL证书及软件代码签名证书,明确其类型、有效期及关联系统,判断是否需要赶在2026年2月25日前申请长有效期证书。
2、规划长有效期证书申请
对于核心业务系统或证书更换周期较长的关键场景,建议在2026年2月25日之前,适时申请397天长有效期的SSL证书,以及39个月长有效期的代码签名证书,为过渡预留充足时间。
3、准备长期管理方案
针对SSL证书:鉴于SSL证书最长有效期将于2029年进一步缩短至47天,手动管理将难以应对,建议采用锐安信SSL证书自动化运维系统(锐安信CLM),实现对SSL证书的自动续签、自动推送、自动部署、自动发现、自动监控和自动预警等,提高管理效率,降低安全风险。
l 多CA支持:支持CFCA、锐安信、Sectigo、Digicert、Globalsign、sheca、vTrus、Microsoft Ca等。
l 各种证书操作方式:集成证书申请、自动签发、证书品牌/类型替换、自动重签、自动续签等功能。
l 异构环境SSL证书自动部署:包括Apache、Nginx等Web服务器,Aliyun、腾讯云、Azure 等云平台,SSL网关、WAF、K8s 等设备与容器环境。
针对代码签名证书:为适应更短的周期并保障签名安全与效率,建议转向使用锐安信远程代码签名服务,通过将“本地UKey签名”转为“云端安全服务”,并与CI/CD无缝集成,实现安全、高效、合规的自动化签名流水线,满足分布式开发团队跨域协同签名需求。
l CI/CD无缝集成:与Jenkins、GitLab CI/CD、Azure DevOps以及GitHub Actions等CI/CD系统无缝集成,实现自动化签名流水线。
l 多种签名方式:支持命令行签名、客户端工具签名等多种签名方式,灵活适配不同研发场景。
l HSM私钥存储:私钥均生成并存储于获得FIPS 140-3高安全标准认证的云端HSM设备中,永不出库,确保高安全性。
l 跨域协同签名:支持不同区域、不同部门、不同人员同时远程使用代码签名证书对代码进行签名,无需频繁物理传递UKey。
上一篇: Let's Encrypt 2025年年底即将引来的调整
下一篇: 一文读懂根证书、中间证书与证书链
本文深入解析了MySQL配置SSL加密访问的实现步骤,详细阐述了自建证书和CA签发证书两种方法,并提供了详细的示例代码和配置指导,旨在提升数据库连接的安全性。
2025年8月18日收到Buypass官方邮件,支持ACME的免费180天的证书将正式关停。2025年10月15日正式关闭申请服务,已申请成功的证书可继续使用。不过没关系,lcjmSSL(又名“来此加密”)是一个提供免费SSL证书申请的一站式平台。它支持单域名、多域名以及泛域名证书申请,且单张证书最高可覆盖100个域名,让您轻松实现全
SSL证书能够有效提升网站数据传输的安全性,已成为各类企业网站提升数据安全的标配。而国密SSL证书由于加密算法不同,安全等级更高,逐渐受到越来越多用户的信赖和认可。国密SSL证书是国密合规的SSL证书产品,遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、红莲花浏览器等主要国密浏览器。采用自主可控密码
没学历不用愁,这些证书让你逆袭职场!在这个学历至上的时代,没有高学历似乎成了求职路上的绊脚石。然而,事实并非如此绝对,有些证书虽然与学历无关,但却能在职场上发挥出奇效,让你逆袭成为职场香饽饽。接下来,我们将从四个方面详细阐述这些没学历最实用的证书。一、没学历的敲门砖:职业资格证书职业资格证书是衡量一个人是否具备从事某一职业所必备的技能和标准。对于没有学历的人
“SSL证书”中的“SSL”代表“安全套接字层”。它是一种加密协议,意味着浏览器和服务器之间的连接具有更高的安全级别。大多数互联网用户在网上冲浪时的活动分为两类:请求(和接收)信息或发送信息。当他们执行其中任何一项操作时,他们的浏览器(GoogleChrome、Firefox等)和托管他们访问的网站的服务器之间会发生来回交互。SSL证书使这种交换更加安全。这