Amazon RDS で SSL 対応 MySQL をモニタする

SSL 接続を使用する MySQL インスタンスをモニタするには、SSL モードで MySQL を有効にし、展開に適したオンラインドキュメントを参照します。

この手順を完了するには、次に示すファイルをダウンロードします。

  • ca.pem
  • server-cert.pem
  • server-key.pem
  • client-cert.pem
  • client-cert.key

コマンドラインで、次のコマンドを実行します。例のプレースホルダについては、使用している環境の URL やその他の情報に置き換えます。

  1. ローカル SSL 接続をテストします。
    mysql -h ec2-11-111-111-11.us-west-2.compute.amazonaws.com -u Testssl --ssl-ca=/etc/certs/ca.pem --ssl-cert=/etc/certs/server-cert.pem --ssl-key=/etc/certs/server-key.pem -p
  2. リモート接続を確認します。
    mysql -h ec2-11-111-111-11.us-west-2.compute.amazonaws.com -u Testssl --ssl-ca=/home/appdynamics/cert/ca.pem --ssl-cert=/home/appdynamics/cert/client-cert.pem --ssl-key=/home/appdynamics/cert/client-key.pem -p
  3. デフォルトのトラストストアに ca.pem ファイルをインポートします。
    sudo keytool -importcert -alias MySQLCACert -file ca.pem -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
    要確認: 手順 7 で必要になるためパスワードを忘れないでください
  4. クライアントキーおよび証明書ファイルを PKCS #12 アーカイブに変換します。
    openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -name "mysqlclient" -passout pass:changeit -out client-keystore.p12
  5. クライアントキーおよび証明書を Java キーストアにインポートします。
    sudo keytool -importkeystore -srckeystore client-keystore.p12 -srcstoretype pkcs12 -srcstorepass changeit -destkeystore $JAVA_HOME/jre/lib/security/cacerts -deststoretype JKS -deststorepass changeit
  6. 証明書が追加されたことを確認します。
    keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass mypassword
  7. 次のプロパティが追加されたことを確認した後、db-agent を起動します。
    /<full path to application JRE>/bin/java -jar -Djavax.net.ssl.trustStore=$JAVA_HOME/jre/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ssl.keyStore=$JAVA_HOME/jre/lib/security/cacerts -Djavax.net.ssl.keyStorePassword=changeit db-agent.jar
  8. コントローラで、MySQL の新しいコレクタを作成します
    • [Create New Collector] パネルで、名前が useSSL、値が true の接続プロパティを追加します。
    • または、次のカスタム接続文字列を使用することもできます。 
      jdbc:mysql://<RDS-Hostname>:<RDS-Port>/database?useSSL=true