MySQL 9.0 发行说明
mysql_migrate_keyring 实用程序可以在一个密钥环组件和另一个密钥环组件之间迁移密钥。它支持离线和在线迁移。
如下调用 mysql_migrate_keyring(在一行中输入命令)
mysql_migrate_keyring
--component-dir=dir_name
--source-keyring=name
--destination-keyring=name
[other options]有关密钥迁移的信息以及描述如何使用 mysql_migrate_keyring 和其他方法执行密钥迁移的说明,请参阅 第 8.4.4.11 节,“在密钥环密钥存储之间迁移密钥”。
mysql_migrate_keyring 支持以下选项,这些选项可以在命令行或选项文件的 [mysql_migrate_keyring] 组中指定。有关 MySQL 程序使用的选项文件的信息,请参阅 第 6.2.2.2 节,“使用选项文件”。
表 6.19 mysql_migrate_keyring 选项
| 选项名称 | 描述 |
|---|---|
| --component-dir | 密钥环组件的目录 |
| --defaults-extra-file | 除了常用的选项文件之外,还要读取指定的选项文件 |
| --defaults-file | 只读取指定的选项文件 |
| --defaults-group-suffix | 选项组后缀值 |
| --destination-keyring | 目标密钥环组件名称 |
| --destination-keyring-configuration-dir | 目标密钥环组件配置目录 |
| --get-server-public-key | 从服务器请求 RSA 公钥 |
| --help | 显示帮助消息并退出 |
| --host | MySQL 服务器所在的主机 |
| --login-path | 从 .mylogin.cnf 读取登录路径选项 |
| --no-defaults | 不读取任何选项文件 |
| --no-login-paths | 不从登录路径文件读取登录路径 |
| --online-migration | 迁移源是一个活动服务器 |
| --password | 连接服务器时使用的密码 |
| --port | 用于连接的 TCP/IP 端口号 |
| --print-defaults | 打印默认选项 |
| --server-public-key-path | 包含 RSA 公钥的文件的路径名 |
| --socket | 要使用的 Unix 套接字文件或 Windows 命名管道 |
| --source-keyring | 源密钥环组件名称 |
| --source-keyring-configuration-dir | 源密钥环组件配置目录 |
| --ssl-ca | 包含受信任的 SSL 证书颁发机构列表的文件 |
| --ssl-capath | 包含受信任的 SSL 证书颁发机构证书文件的目录 |
| --ssl-cert | 包含 X.509 证书的文件 |
| --ssl-cipher | 允许用于连接加密的密码 |
| --ssl-crl | 包含证书吊销列表的文件 |
| --ssl-crlpath | 包含证书吊销列表文件的目录 |
| --ssl-fips-mode | 是否在客户端启用 FIPS 模式 |
| --ssl-key | 包含 X.509 密钥的文件 |
| --ssl-mode | 与服务器连接的所需安全状态 |
| --ssl-session-data | 包含 SSL 会话数据的文件 |
| --ssl-session-data-continue-on-failed-reuse | 如果会话重用失败,是否建立连接 |
| --tls-ciphersuites | 允许用于加密连接的 TLSv1.3 密码套件 |
| --tls-sni-servername | 客户端提供的服务器名称 |
| --tls-version | 允许用于加密连接的 TLS 协议 |
| --user | 连接服务器时使用的 MySQL 用户名 |
| --verbose | 详细模式 |
| --version | 显示版本信息并退出 |
--help,-h命令行格式 --help显示帮助消息并退出。
-
命令行格式 --component-dir=目录名类型 目录名称 密钥环组件所在的目录。这通常是本地 MySQL 服务器的
plugin_dir系统变量的值。注意--component-dir、--source-keyring和--destination-keyring是 mysql_migrate_keyring 执行的所有密钥环迁移操作所必需的。此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便 mysql_migrate_keyring 可以加载和使用它们。 -
命令行格式 --defaults-extra-file=文件名类型 文件名 在全局选项文件之后但(在 Unix 上)在用户选项文件之前读取此选项文件。如果文件不存在或无法访问,则会发生错误。如果
文件名不是绝对路径名,则相对于当前目录解释它。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --defaults-file=文件名类型 文件名 仅使用给定的选项文件。如果文件不存在或无法访问,则会发生错误。如果
文件名不是绝对路径名,则相对于当前目录解释它。例外:即使使用
--defaults-file,客户端程序也会读取.mylogin.cnf。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --defaults-group-suffix=str类型 字符串 不仅读取常用的选项组,还读取名称与常用名称相同且后缀为
str的组。例如,mysql_migrate_keyring 通常读取[mysql_migrate_keyring]组。如果此选项指定为--defaults-group-suffix=_other,则 mysql_migrate_keyring 还会读取[mysql_migrate_keyring_other]组。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --destination-keyring=name类型 字符串 用于密钥迁移的目标钥匙串组件。选项值的格式和解释与
--source-keyring选项的描述相同。注意--component-dir、--source-keyring和--destination-keyring是 mysql_migrate_keyring 执行的所有密钥环迁移操作所必需的。此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便 mysql_migrate_keyring 可以加载和使用它们。 --destination-keyring-configuration-dir=dir_name命令行格式 --destination-keyring-configuration-dir=dir_name类型 目录名称 仅当目标钥匙串组件全局配置文件包含
"read_local_config": true(指示组件配置包含在本地配置文件中)时,此选项才适用。选项值指定包含该本地文件的目录。-
命令行格式 --get-server-public-key类型 布尔值 从服务器请求基于 RSA 密钥对的密码交换所需的公钥。此选项适用于使用
caching_sha2_password身份验证插件进行身份验证的客户端。对于该插件,除非请求,否则服务器不会发送公钥。对于未使用该插件进行身份验证的帐户,将忽略此选项。如果未使用基于 RSA 的密码交换(例如客户端使用安全连接连接到服务器时),也会忽略此选项。如果给定
--server-public-key-path=并指定了有效的公钥文件,则它优先于file_name--get-server-public-key。有关
caching_sha2_password插件的信息,请参阅 第 8.4.1.1 节“缓存 SHA-2 可插拔身份验证”。 --host=,host_name-hhost_name命令行格式 --host=host_name类型 字符串 默认值 localhost当前正在使用其中一个密钥迁移密钥存储的正在运行的服务器的主机位置。迁移始终发生在本地主机上,因此该选项始终指定用于连接到本地服务器的值,例如
localhost、127.0.0.1、::1,或本地主机 IP 地址或主机名。-
命令行格式 --login-path=name类型 字符串 从
.mylogin.cnf登录路径文件中的命名登录路径读取选项。“登录路径”是一个选项组,其中包含指定要连接到的 MySQL 服务器以及要作为哪个帐户进行身份验证的选项。要创建或修改登录路径文件,请使用 mysql_config_editor 实用程序。请参阅 第 6.6.7 节“mysql_config_editor — MySQL 配置实用程序”。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --no-login-paths跳过从登录路径文件读取选项。
有关相关信息,请参阅
--login-path。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --no-defaults不要读取任何选项文件。如果由于从选项文件读取未知选项而导致程序启动失败,可以使用
--no-defaults来防止读取它们。例外情况是,如果
.mylogin.cnf文件存在,则在所有情况下都会读取它。这允许以比在命令行上更安全的方式指定密码,即使使用--no-defaults也是如此。要创建.mylogin.cnf,请使用 mysql_config_editor 实用程序。请参阅 第 6.6.7 节“mysql_config_editor — MySQL 配置实用程序”。有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
-
命令行格式 --online-migration类型 布尔值 默认值 FALSE当正在运行的服务器正在使用钥匙串时,此选项是必需的。它告诉 mysql_migrate_keyring 执行在线密钥迁移。该选项具有以下效果:
mysql_migrate_keyring 使用指定的任何连接选项连接到服务器;否则将忽略这些选项。
在 mysql_migrate_keyring 连接到服务器后,它会告诉服务器暂停钥匙串操作。密钥复制完成后,mysql_migrate_keyring 会在断开连接之前告诉服务器它可以恢复钥匙串操作。
--password[=,password]-p[password]命令行格式 --password[=password]类型 字符串 用于连接到当前正在使用其中一个密钥迁移密钥存储的正在运行的服务器的 MySQL 帐户的密码。密码值是可选的。如果未给出,mysql_migrate_keyring 会提示输入一个。如果给出,则
--password=或-p与其后的密码之间必须*没有空格*。如果没有指定密码选项,则默认情况下不发送密码。在命令行上指定密码应该被认为是不安全的。为避免在命令行上提供密码,请使用选项文件。请参阅 第 8.1.2.1 节“最终用户密码安全指南”。
要显式指定没有密码并且 mysql_migrate_keyring 不应提示输入密码,请使用
--skip-password选项。--port=,port_num-Pport_num命令行格式 --port=port_num类型 数字 默认值 0对于 TCP/IP 连接,用于连接到当前正在使用其中一个密钥迁移密钥存储的正在运行的服务器的端口号。
-
命令行格式 --print-defaults打印程序名称及其从选项文件获取的所有选项。
有关此选项文件选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“影响选项文件处理的命令行选项”。
--server-public-key-path=file_name命令行格式 --server-public-key-path=file_name类型 文件名 包含服务器所需的用于基于 RSA 密钥对的密码交换的公钥的客户端副本的 PEM 格式文件的路径名。此选项适用于使用
sha256_password或caching_sha2_password身份验证插件进行身份验证的客户端。对于未使用其中一种插件进行身份验证的帐户,将忽略此选项。如果未使用基于 RSA 的密码交换(例如客户端使用安全连接连接到服务器时),也会忽略此选项。如果给定
--server-public-key-path=并指定了有效的公钥文件,则它优先于file_name--get-server-public-key。对于
sha256_password,此选项仅在使用 OpenSSL 构建 MySQL 时适用。有关
sha256_password和caching_sha2_password插件的信息,请参阅 第 8.4.1.2 节“SHA-256 可插拔身份验证” 和 第 8.4.1.1 节“缓存 SHA-2 可插拔身份验证”。--socket=,path-Spath命令行格式 --socket={file_name|pipe_name}类型 字符串 对于 Unix 套接字文件或 Windows 命名管道连接,用于连接到当前正在使用其中一个密钥迁移密钥存储的正在运行的服务器的套接字文件或命名管道。
在 Windows 上,仅当使用启用了
named_pipe系统变量的服务器启动服务器以支持命名管道连接时,此选项才适用。此外,进行连接的用户必须是named_pipe_full_access_group系统变量指定的 Windows 组的成员。-
命令行格式 --source-keyring=name类型 字符串 用于密钥迁移的源钥匙串组件。这是指定的组件库文件名,不带任何特定于平台的扩展名,例如
.so或.dll。例如,要使用库文件为component_keyring_file.so的组件,请将选项指定为--source-keyring=component_keyring_file。注意--component-dir、--source-keyring和--destination-keyring是 mysql_migrate_keyring 执行的所有密钥环迁移操作所必需的。此外,源组件和目标组件必须不同,并且必须正确配置这两个组件,以便 mysql_migrate_keyring 可以加载和使用它们。 --source-keyring-configuration-dir=dir_name命令行格式 --source-keyring-configuration-dir=dir_name类型 目录名称 仅当源钥匙串组件全局配置文件包含
"read_local_config": true(指示组件配置包含在本地配置文件中)时,此选项才适用。选项值指定包含该本地文件的目录。以
--ssl开头的选项指定是否使用加密连接到服务器,并指示在何处找到 SSL 密钥和证书。请参阅 加密连接的命令选项。--ssl-fips-mode={OFF|ON|STRICT}命令行格式 --ssl-fips-mode={OFF|ON|STRICT}已弃用 是 类型 枚举 默认值 OFF有效值 OFFONSTRICT控制是否在客户端启用 FIPS 模式。
--ssl-fips-mode选项不同于其他--ssl-选项,因为它不用于建立加密连接,而是用于影响允许哪些加密操作。参见 第 8.8 节,“FIPS 支持”。xxx允许使用以下
--ssl-fips-mode值OFF:禁用 FIPS 模式。ON:启用 FIPS 模式。STRICT:启用“严格”FIPS 模式。
注意如果 OpenSSL FIPS 对象模块不可用,则
--ssl-fips-mode唯一允许的值为OFF。在这种情况下,将--ssl-fips-mode设置为ON或STRICT会导致客户端在启动时发出警告,并在非 FIPS 模式下运行。此选项已弃用。预计在未来版本的 MySQL 中将删除它。
--tls-ciphersuites=ciphersuite_list命令行格式 --tls-ciphersuites=ciphersuite_list类型 字符串 使用 TLSv1.3 的加密连接允许的密码套件。该值是一个或多个以冒号分隔的密码套件名称列表。此选项可以命名的密码套件取决于用于编译 MySQL 的 SSL 库。有关详细信息,请参见 第 8.3.2 节,“加密连接 TLS 协议和密码”。
--tls-sni-servername=server_name命令行格式 --tls-sni-servername=server_name类型 字符串 指定后,该名称将使用
mysql_options()的MYSQL_OPT_TLS_SNI_SERVERNAME选项传递给libmysqlclientC API 库。服务器名称不区分大小写。要显示客户端为当前会话指定的服务器名称(如果有),请检查Tls_sni_server_name状态变量。服务器名称指示 (SNI) 是 TLS 协议的扩展(必须使用 TLS 扩展编译 OpenSSL,此选项才能起作用)。MySQL 对 SNI 的实现仅代表客户端。
-
命令行格式 --tls-version=protocol_list类型 字符串 默认值 TLSv1,TLSv1.1,TLSv1.2,TLSv1.3(OpenSSL 1.1.1 或更高版本)TLSv1,TLSv1.1,TLSv1.2(否则)加密连接允许的 TLS 协议。该值是一个或多个以逗号分隔的协议名称列表。此选项可以命名的协议取决于用于编译 MySQL 的 SSL 库。有关详细信息,请参见 第 8.3.2 节,“加密连接 TLS 协议和密码”。
--user=,user_name-uuser_name命令行格式 --user=user_name类型 字符串 用于连接到当前正在使用其中一个密钥迁移密钥库的正在运行的服务器的 MySQL 帐户的用户名。
--verbose,-v命令行格式 --verbose详细模式。生成有关程序功能的更多输出。
--version,-V命令行格式 --version显示版本信息并退出。