Ric*_*ich 5 mysql ssl java amazon-web-services
我有一个在 AWS 上运行并连接到在 AWS RDS 上运行的 MySQL 数据库的 Java Web 应用程序。
我凭自己的CA签名的应用程序使用SSL客户端证书连接到各种网络服务,所以我设置-Djavax.net.ssl.keyStore和-Djavax.net.ssl.trustStore系统属性。
我已将https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem证书添加到我的 .NET 中trustStore,并且可以通过命令行客户端使用 SSL 连接到 MySQL。
我的 MySQL 连接字符串如下所示:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true
我正在使用mysql:mysql-connector-java:jar:5.1.38运行 JBDC 连接。
我发现我的 Java 应用程序在设置 时可以正常连接到 MySQL trustStore,但是当我设置keyStore和trustStore:
! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted
似乎 Java 正在将我的私有 CA 签名客户端证书提交给 MySQL,而 MySQL 拒绝了它。我已经使用 捕获了交互tcpdump,并且我的客户端证书的 DN 正在发送到 MySQL。
如何将我的客户端证书用于 HTTPS 连接,但不能用于 MySQL 连接?
我尝试创建一个空的密钥库并设置我的连接字符串以使用它:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit
这给了我以下错误:
java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)
您可以通过在连接 URL 中设置空密钥库来强制 MySQL 不使用客户端证书。
我上面遇到的问题是https://bugs.mysql.com/bug.php?id=36948的变体——如果你在连接 URL 中设置了“clientCertificateKeyStoreUrl”,但没有设置“trustCertificateKeyStoreUrl”(以及其他 4 个参数)下面),那么 MySQL 将崩溃,并显示“TrustManagerFactoryImpl 未初始化”而不是更有用的错误。
您可以使用以下命令创建一个空的密钥库:
keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks
然后使用如下 URL 连接到 MySQL:
jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit
即使您想要默认值,也需要所有 6 个密钥库参数,否则您将看到“TrustManagerFactoryImpl 未初始化”错误
| 归档时间: |
|
| 查看次数: |
2657 次 |
| 最近记录: |