Eu tive o mesmo problema recentemente. Não consegui encontrar suporte para SSL nas ferramentas MySQLgui. Eu também não consegui encontrar um proxy MySQL com suporte SSL que eu poderia instalar na minha rede da seguinte forma, ou seja,
Me/Anyone else in my net---------->MySQL Proxy host in my network------->MySQL over TLS-------->MySQL remote endpoint.
Minha solução final foi usar stunnel e ter:
Me/Anyone else in my net----------->Stunnel host in my net:3306-------->MYSQL in a TLS tunnel----->Stunnel in remote net:3307----->MySQL remote endpoint
A extremidade stunnel remota também pode ser o servidor mysql. Você pode usar diferentes portas para se difundir em diferentes servidores MySQL remotos.
Atualização:
Isto é o que tenho trabalhado para mim:
Fim do cliente
local-stunnel# cat /etc/stunnel/stunnel.conf |grep -v ';'
sslVersion = SSLv3
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4
pid = /stunnel4.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 2
output = /var/log/stunnel4/stunnel.log
client = yes
[mysqlc]
accept = 13306
connect = remote.example.net:3307
Remoto / final do servidor:
remote-stunnel# cat /etc/stunnel/stunnel.conf |grep -v ';'
cert = /etc/pki/tls/certs/stunnel.pem
chroot = /var/run/stunnel/
setuid = nobody
setgid = nobody
pid = /stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 3
output = /var/log/stunnel/stunnel.log
[mysqls]
accept = 3307
connect = 3306
Um certificado e uma chave devem ser gerados e associados a um arquivo (stunnel.pem). O meu parece com isso
# cat /etc/pki/tls/certs/stunnel.pem
-----BEGIN RSA PRIVATE KEY-----
MII.....
....
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIID....
....
-----END CERTIFICATE-----
Então meu túnel parece:
ME------Plaintext MySQL----->local-stunnel:13306-----TLS--->remote-stunnel:3307---Plaintext MySQL--->127.0.0.1:3306
Claro que você pode mudar o connect = 3306 no ponto final remoto para outro host: 3306
