MySQL Public Key Retrieval is not allowed 解析与应对策略

在现代数据库安全体系中，公钥加密和身份验证扮演着至关重要的角色，尤其是在涉及网络通信和敏感数据处理的场景下。然而，在 MySQL 数据库环境中，你可能会遇到一个名为“Public Key Retrieval is not allowed”的错误信息。本文将深入探讨这一问题的根源，提供详细的解决步骤，并分享一些实用的开发技巧，帮助你更好地理解并应对这一挑战。

基本概念与作用

在 MySQL 中，公钥加密通常与 SSL/TLS 加密机制结合使用，用于保护客户端与服务器之间的通信数据不被窃听。此外，自 MySQL 8.0 版本起，引入了基于公钥的身份验证机制，使得数据库管理员能够更安全地管理用户账户。但是，出于安全考虑，MySQL 默认禁止了公钥检索功能，即不允许从远程位置检索用户的公钥。这可能导致在尝试建立 SSL 加密连接时遇到“Public Key Retrieval is not allowed”错误。

错误分析

当你在配置了 SSL 加密的环境中尝试连接 MySQL 服务器时，如果 MySQL 服务器配置文件（my.cnf 或 my.ini）中的 ssl_require_public_key_retrieval 设置为 ON，而你的客户端没有正确配置公钥或无法访问远程公钥，就可能会收到此错误信息。

解决方案

示例一：禁用公钥检索

最直接的解决方案是在 MySQL 服务器配置文件中禁用公钥检索功能：

[mysqld]
ssl_require_public_key_retrieval=OFF

重启 MySQL 服务器后，即使客户端没有公钥，也能成功建立 SSL 连接。

示例二：在客户端配置公钥

另一种方法是在客户端配置公钥，以满足服务器的安全要求。这通常涉及到将公钥证书（如 .crt 文件）加载到客户端的 SSL 配置中：

mysql -u root -p --ssl-mode=REQUIRED --ssl-ca=/path/to/cert.pem

示例三：服务器端配置公钥

确保服务器端的 SSL 配置正确无误，包括公钥证书和私钥文件的路径：

[mysqld]
ssl-ca=/path/to/ca-cert.p