MySQL 8.3 Release Notes
该 mysql_migrate_keyring 实用程序在一个密钥环组件和另一个之间迁移密钥。它支持离线和在线迁移。
像这样调用 mysql_migrate_keyring(在一行中输入命令):
mysql_migrate_keyring
--component-dir=dir_name
--source-keyring=name
--destination-keyring=name
[other options]有关密钥迁移的信息和使用 mysql_migrate_keyring 和其他方法进行密钥迁移的说明,请参阅 第 8.4.4.14 节,“在密钥环密钥存储之间迁移密钥”。
mysql_migrate_keyring 支持以下选项,可以在命令行或在选项文件的 [mysql_migrate_keyring] 组中指定。有关 MySQL 程序使用的选项文件的信息,请参阅 第 6.2.2.2 节,“使用选项文件”。
表 6.21 mysql_migrate_keyring 选项
| Option Name | Description |
|---|---|
| --component-dir | 密钥环组件目录 |
| --defaults-extra-file | 读取命名的选项文件,除了通常的选项文件 |
| --defaults-file | 仅读取命名的选项文件 |
| --defaults-group-suffix | 选项组后缀值 |
| --destination-keyring | 目标密钥环组件名称 |
| --destination-keyring-configuration-dir | 目标密钥环组件配置目录 |
| --get-server-public-key | 从服务器请求 RSA 公钥 |
| --help | 显示帮助信息并退出 |
| --host | MySQL 服务器所在的主机 |
| --login-path | 从 .mylogin.cnf 读取登录路径选项 |
| --no-defaults | 不读取选项文件 |
| --no-login-paths | 不从登录路径文件中读取登录路径 |
| --online-migration | 迁移源是一个活动服务器 |
| --password | 连接服务器时使用的密码 |
| --port | TCP/IP 端口号 |
| --print-defaults | 打印默认选项 |
| --server-public-key-path | 包含 RSA 公钥的文件路径名 |
| --socket | Unix 套接字文件或 Windows 命名管道 |
| --source-keyring | 源密钥环组件名称 |
| --source-keyring-configuration-dir | 源密钥环组件配置目录 |
| --ssl-ca | 包含受信任的 SSL 证书颁发机构的文件 |
| --ssl-capath | 包含受信任的 SSL 证书颁发机构证书文件的目录 |
| --ssl-cert | 包含 X.509 证书的文件 |
| --ssl-cipher | 连接加密的可接受密码 |
| --ssl-crl | 包含证书撤销列表的文件 |
| --ssl-crlpath | 包含证书撤销列表文件的目录 |
| --ssl-fips-mode | 是否在客户端启用 FIPS 模式 |
| --ssl-key | 包含 X.509 密钥的文件 |
| --ssl-mode | 到服务器的连接的所需安全状态 |
| --ssl-session-data | 包含 SSL 会话数据的文件 |
| --ssl-session-data-continue-on-failed-reuse | 如果会话重用失败,是否建立连接 |
| --tls-ciphersuites | 加密连接的可接受 TLSv1.3 密码套件 |
| --tls-sni-servername | 客户端提供的服务器名称 |
| --tls-version | 加密连接的可接受 TLS 协议 |
| --user | 连接到服务器时使用的 MySQL 用户名 |
| --verbose | 详细模式 |
| --version | 显示版本信息并退出 |
-
--help,-hCommand-Line Format --help显示帮助信息并退出。
-
Command-Line Format --component-dir=dir_nameType 目录名称 keyring 组件所在的目录。这通常是本地 MySQL 服务器的
plugin_dir系统变量的值。Note--component-dir,--source-keyring和--destination-keyring是所有 keyring 迁移操作的必需参数,使用 mysql_migrate_keyring。此外,源组件和目标组件必须不同,并且两个组件都必须正确配置,以便 mysql_migrate_keyring 可以加载和使用它们。 -
--defaults-extra-file=file_nameCommand-Line Format --defaults-extra-file=file_nameType 文件名称 在全局选项文件之后(在 Unix 上)但在用户选项文件之前读取该选项文件。如果文件不存在或不可访问,将发生错误。如果
file_name不是绝对路径名,则相对于当前目录进行解释。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“命令行选项影响选项文件处理”。
-
Command-Line Format --defaults-file=文件名Type 文件名 仅使用给定的选项文件。如果文件不存在或不可访问,将发生错误。如果
文件名不是绝对路径名,则相对于当前目录进行解释。例外:即使使用
--defaults-file,客户端程序也会读取.mylogin.cnf。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“命令行选项影响选项文件处理”。
-
Command-Line Format --defaults-group-suffix=strType 字符串 不仅读取通常的选项组,还读取具有通常名称和
str后缀的组。例如,mysql_migrate_keyring 通常读取[mysql_migrate_keyring]组。如果给出这个选项为--defaults-group-suffix=_other,mysql_migrate_keyring 也读取[mysql_migrate_keyring_other]组。有关此选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“命令行选项影响选项文件处理”。
-
Command-Line Format --destination-keyring=名称Type 字符串 密钥迁移的目标密钥环组件。选项值的格式和解释与
--source-keyring选项相同。Note--component-dir,--source-keyring和--destination-keyring是 mysql_migrate_keyring 所有密钥迁移操作的必需项。此外,源和目标组件必须不同,并且两个组件都必须正确配置,以便 mysql_migrate_keyring 可以加载和使用它们。 -
--destination-keyring-configuration-dir=目录名Command-Line Format --destination-keyring-configuration-dir=目录名Type 目录名 如果目标密钥环组件的全局配置文件包含
"read_local_config": true,指示组件配置包含在本地配置文件中,则该选项适用。选项值指定了包含该本地文件的目录。 -
Command-Line Format --get-server-public-keyType 布尔值 从服务器请求公钥,用于RSA密钥对基于的密码交换。该选项适用于使用
身份验证插件的客户端。对于该插件,服务器不会发送公钥,除非被请求。该选项将被忽略,如果RSA基于密码交换不被使用,如客户端使用安全连接连接到服务器时。 如果
--server-public-key-path=被指定并指定了有效的公钥文件,它将优先于file_name--get-server-public-key。有关
插件的信息,请参阅 第 8.4.1.2 节,“Caching SHA-2 Pluggable Authentication”。 -
--host=,host_name-hhost_nameCommand-Line Format --host=host_nameType 字符串 Default Value localhost当前使用一个密钥迁移密钥库的服务器的主机位置。迁移始终发生在本地主机上,因此该选项始终指定一个值,以连接到本地服务器,例如
localhost、127.0.0.1、::1或本地主机 IP 地址或主机名。 -
Command-Line Format --login-path=nameType 字符串 从命名的登录路径中读取选项
.mylogin.cnf登录路径文件。一个 “登录路径” 是一个选项组,包含指定要连接的 MySQL 服务器和要身份验证的帐户的选项。要创建或修改登录路径文件,请使用 mysql_config_editor 实用程序。请参阅 第 6.6.7 节,“mysql_config_editor — MySQL Configuration Utility”。有关该选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“Command-Line Options that Affect Option-File Handling”。
-
Command-Line Format --no-login-paths跳过从登录路径文件中读取选项。
请参阅
--login-path有关相关信息。有关该选项和其他选项文件选项的更多信息,请参阅 第 6.2.2.3 节,“Command-Line Options that Affect Option-File Handling”。
-
Command-Line Format --no-defaults不读取任何选项文件。如果程序启动失败,因为从选项文件中读取未知选项,
--no-defaults可以用于防止它们被读取。唯一的例外是
.mylogin.cnf文件始终被读取,如果它存在。这允许密码以一种比命令行更安全的方式指定,即使使用--no-defaults。要创建.mylogin.cnf,请使用 mysql_config_editor 实用程序。请参阅 第 6.6.7 节,“mysql_config_editor — MySQL Configuration Utility”。关于此选项和其他选项文件选项的更多信息,请参见第 6.2.2.3 节,“命令行选项影响选项文件处理”。
-
Command-Line Format --online-migrationType 布尔值 Default Value FALSE当服务器正在使用密钥环时,此选项是必需的。它告诉 mysql_migrate_keyring 执行在线密钥迁移。该选项具有以下效果:
-
mysql_migrate_keyring 使用任何指定的连接选项连接到服务器;这些选项否则将被忽略。
-
在 mysql_migrate_keyring 连接到服务器后,它告诉服务器暂停密钥环操作。当密钥复制完成后,mysql_migrate_keyring 告诉服务器可以恢复密钥环操作,然后断开连接。
-
-
--password[=,password]-p[password]Command-Line Format --password[=password]Type 字符串 用于连接到当前使用密钥环的运行服务器的 MySQL 帐户的密码。密码值是可选的。如果不提供,mysql_migrate_keyring 将提示输入。如果提供,必须在
--password=或-p和其后的密码之间没有空格。如果没有指定密码选项,默认情况下不发送密码。在命令行上指定密码被认为是不安全的。要避免在命令行上指定密码,请使用选项文件。请参见第 8.1.2.1 节,“用户指南:密码安全”。
要明确指定没有密码并且 mysql_migrate_keyring 不应该提示输入,请使用
--skip-password选项。 -
--port=,port_num-Pport_numCommand-Line Format --port=port_numType 数字 Default Value 0对于 TCP/IP 连接,连接到当前使用密钥环的运行服务器的端口号。
-
Command-Line Format --print-defaults打印程序名称和从选项文件获取的所有选项。
关于此选项和其他选项文件选项的更多信息,请参见第 6.2.2.3 节,“命令行选项影响选项文件处理”。
-
--server-public-key-path=file_nameCommand-Line Format --server-public-key-path=file_nameType 文件名 文件名在PEM格式中包含客户端副本的公钥,服务器需要RSA密钥对基于密码交换。这选项适用于使用
sha256_password或caching_sha2_password身份验证插件的客户端。这选项将被忽略,如果RSA基于密码交换不被使用,例如客户端使用安全连接连接到服务器。如果
--server-public-key-path=被指定并指定了有效的公钥文件,它将优先于file_name--get-server-public-key。对于
sha256_password,这选项仅适用于使用OpenSSL构建的MySQL。有关
sha256_password和caching_sha2_password插件的信息,请参阅第8.4.1.3节,“SHA-256 Pluggable Authentication”和第8.4.1.2节,“Caching SHA-2 Pluggable Authentication”。 -
--socket=,path-SpathCommand-Line Format --socket={file_name|pipe_name}Type 字符串 用于Unix套接字文件或Windows命名管道连接的套接字文件或命名管道,用于连接当前使用一个密钥迁移密钥库的运行服务器。
在Windows上,这选项仅适用于服务器启动时启用了
named_pipe系统变量以支持命名管道连接。此外,进行连接的用户必须是Windows组指定的named_pipe_full_access_group系统变量的成员。 -
Command-Line Format --source-keyring=nameType 字符串 密钥迁移的源密钥环组件。这是组件库文件名,不包括平台特定的扩展名,例如
.so或.dll。例如,要使用组件库文件为component_keyring_file.so的组件,指定选项为--source-keyring=component_keyring_file。Note--component-dir,--source-keyring, 和--destination-keyring是mysql_migrate_keyring执行所有密钥迁移操作所需的强制选项。此外,源和目标组件必须不同,并且两个组件都必须正确配置,以便mysql_migrate_keyring可以加载和使用它们。 -
--source-keyring-configuration-dir=dir_nameCommand-Line Format --source-keyring-configuration-dir=dir_nameType 目录名 这选项仅适用于源密钥环组件的全局配置文件包含
"read_local_config": true,指示组件配置包含在本地配置文件中。该选项值指定包含该本地文件的目录。 -
选项以
--ssl开头,指定是否使用加密连接到服务器,并指示 SSL 密钥和证书的位置。请参阅 命令选项 для加密连接。 -
--ssl-fips-mode={OFF|ON|STRICT}Command-Line Format --ssl-fips-mode={OFF|ON|STRICT}Deprecated 是 Type 枚举 Default Value OFFValid Values OFFONSTRICT控制客户端是否启用 FIPS 模式。该
--ssl-fips-mode选项不同于其他--ssl-选项,因为它不是用于建立加密连接,而是影响允许哪些加密操作。请参阅 第 8.8 节,“FIPS 支持”。xxx这些
--ssl-fips-mode值是允许的:-
OFF:禁用 FIPS 模式。 -
ON:启用 FIPS 模式。 -
STRICT:启用“严格”FIPS 模式。
Note如果 OpenSSL FIPS 对象模块不可用,则唯一允许的
--ssl-fips-mode值是OFF。在这种情况下,将--ssl-fips-mode设置为ON或STRICT将导致客户端在启动时产生警告,并在非 FIPS 模式下操作。该选项已弃用。预计在未来版本的 MySQL 中删除。
-
-
--tls-ciphersuites=ciphersuite_listCommand-Line Format --tls-ciphersuites=ciphersuite_listType 字符串 使用 TLSv1.3 加密连接的允许密码套件列表。该值是一个或多个冒号分隔的密码套件名称。可以命名的密码套件取决于编译 MySQL 的 SSL 库。详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”。
-
--tls-sni-servername=server_nameCommand-Line Format --tls-sni-servername=server_nameType 字符串 当指定时,该名称将传递给
libmysqlclientC API 库使用MYSQL_OPT_TLS_SNI_SERVERNAME选项的mysql_options()。服务器名称不区分大小写。要显示客户端当前会话中指定的服务器名称(如果有),请检查Tls_sni_server_name状态变量。服务器名称指示(SNI)是 TLS 协议的扩展(OpenSSL 必须使用 TLS 扩展编译以使该选项生效)。MySQL 实现的 SNI 仅表示客户端。
-
Command-Line Format --tls-version=protocol_listType 字符串 Default Value TLSv1,TLSv1.1,TLSv1.2,TLSv1.3(OpenSSL 1.1.1 或更高版本)TLSv1,TLSv1.1,TLSv1.2(否则)加密连接的允许 TLS 协议列表。该值是一个或多个逗号分隔的协议名称。可以命名的协议取决于编译 MySQL 的 SSL 库。详细信息,请参阅 第 8.3.2 节,“加密连接 TLS 协议和密码”。
-
--用户=,用户名-u用户名Command-Line Format --用户=用户名Type 字符串 用于连接当前使用某个密钥迁移密钥库的 MySQL 帐户的用户名。
-
--详细,-vCommand-Line Format --详细详细模式。产生关于程序执行的更多输出。
-
--版本,-VCommand-Line Format --版本显示版本信息并退出。