| | 23 | |
| | 24 | == Beveiligde Verbinding == #verbinding |
| | 25 | |
| | 26 | Bij gebruik van MySQL ondersteunen we twee directe verbindingsoorten (vanaf OpenAC v1.212, juni 2009). Deze zijn vooral interessant voor kleinere (perifere) instellingen waar veel beheer op afstand plaatsvindt. Voor deze verbindingen hoeft geen VPN te worden opgezet maar moet wel in de firewall MySQL-poort 3306 worden opengezet voor verkeer van buitenaf. |
| | 27 | |
| | 28 | * De simpelste soort is gericht op efficiency en heet '''MySQL Compressed'''. Je selecteert deze optie in plaats van '''MySQL direct''' in het inlogscherm van OpenAC. Hierbij worden de gegevens die over de datalijn lopen gecomprimeerd. Dit kan flink schelen wanneer lange lijsten gegevens worden opgehaald, bijvoorbeeld wanneer bij een holding op afstand managementoverzichten worden opgevraagd uit de lokale databases van OpenAC. |
| | 29 | |
| | 30 | * De tweede soort is gericht op beveiliging van de getransporteerde (patiënt-)gegevens tegen toegang door derden bij een connectie over het open internet. Deze optie heet '''MySQL secure'''. Om van deze functie gebruik te maken zijn wat installatiestappen nodig, zie onder. Vooral het aanmaken van de certificaten kan een lastig klusje zijn, lukt dit echt niet, neem dan contact op met FENAC ICT voor assistentie. |
| | 31 | |
| | 32 | '''Installatie van SSL certificaten in de MySQL server en OpenAC clients'''. |
| | 33 | |
| | 34 | 1. Volg de instructie onder ''Example 3: Creating SSL files on Windows'' op de [http://dev.mysql.com/doc/refman/5.0/en/secure-create-certs.html MySQL website]. |
| | 35 | |
| | 36 | 2. Je hebt nu 8 bestanden gemaakt: |
| | 37 | {{{ |
| | 38 | ca-cert.pem |
| | 39 | ca-key.pem |
| | 40 | client-cert.pem |
| | 41 | client-key.pem |
| | 42 | client-req.pem |
| | 43 | server-cert.pem |
| | 44 | server-key.pem |
| | 45 | server-req.pem |
| | 46 | }}} |
| | 47 | |
| | 48 | 3. De CA-bestanden en de SERVER-bestanden kopieer je naar '''C:\\Program Files\\MySQL\\MySQL Server 5.0\\''', waar je ook het bestandje '''my.ini''' vindt. |
| | 49 | |
| | 50 | 4. De CA-bestanden en de CLIENT-bestanden kopieer je naar de configuratiemap ('''Application Data\OpenAC''' of '''.openac''') van de gebruikers die gebruik gaan maken van de beveiligde verbinding. |
| | 51 | |
| | 52 | * LET OP: de SERVER-bestanden moeten niet samen met de CLIENT-bestanden worden bewaard, want daarmee geef je het recept weg om de beveiligde verbinding af te luisteren. |
| | 53 | |
| | 54 | 5. Voeg in '''my.ini''' onder '''[mysqld]''' na de regel '''port=3306''' de volgende regels in: |
| | 55 | |
| | 56 | {{{ |
| | 57 | ssl-ca="C:/Program Files/MySQL/MySQL Server 5.0/ca-cert.pem" |
| | 58 | ssl-cert="C:/Program Files/MySQL/MySQL Server 5.0/server-cert.pem" |
| | 59 | ssl-key="C:/Program Files/MySQL/MySQL Server 5.0/server-key.pem" |
| | 60 | }}} |
| | 61 | |
| | 62 | 6. Herstart de MySQL server. |
| | 63 | |
| | 64 | 7. Gebruik een recente starter kit met Python 2.5. Start OpenAC, verander de '''gegevensbron''' van '''mysql direct''' in '''mysql secure''' en log in. |
| | 65 | |
| | 66 | 8. Je weet nu dat de beveiligde verbinding werkt. De volgende stap is om de toegang tot de database van buitenaf te regelen. Dit kan door de '''GRANT'''-regels die je normaal intypt, aan te passen zodat verbindingen binnen het AC niet hoeven te worden beveiligd, maar die van buitenaf wel (vervang ''mijn-ac.nl'' door de naam van het lokale netwerk). |
| | 67 | |
| | 68 | {{{ |
| | 69 | grant all on openac.* to 'fenac'@'localhost' identified by 'dbc'; |
| | 70 | grant all on openac.* to 'fenac'@'%.mijn-ac.nl' identified by 'dbc'; |
| | 71 | grant all on openac.* to 'fenac'@'%' identified by 'dbc' require SSL; |
| | 72 | exit |
| | 73 | }}} |
| | 74 | |
