主页 / server / 问题 / 787778
Accepted
Rich
Asked: 2016-07-05 02:28:54 +0800 CST

MySQL JDBC 强制忽略 AWS RDS 上的客户端证书

  • 772

我有一个在 AWS 上运行的 Java Web 应用程序并连接到在 AWS RDS 上运行的 MySQL 数据库。

我的应用程序使用我们自己的 CA 签名的 SSL 客户端证书来连接各种 Web 服务,因此我设置了-Djavax.net.ssl.keyStore-Djavax.net.ssl.trustStore系统属性。

我已将https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem证书添加到我的trustStore.,我可以通过命令行客户端使用 SSL 很好地连接到 MySQL。

我的 MySQL 连接字符串如下所示:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true

我正在使用mysql:mysql-connector-java:jar:5.1.38运行 JBDC 连接。

我发现我的 Java 应用程序在设置 时可以正常连接到 MySQL ,但是当我设置和trustStore时它会失败:keyStoretrustStore

! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted

似乎 Java 正在向 MySQL 提供我的私有 CA 签名客户端证书,而 MySQL 拒绝了它。我已经使用 捕获了交互tcpdump,并且我的客户端证书的 DN 正在发送到 MySQL。

如何将我的客户端证书用于 HTTPS 连接,但不能用于 MySQL 连接?

我尝试创建一个空的密钥库并设置我的连接字符串以使用它:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit

这给了我以下错误:

java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
    at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
    at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
    at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
    at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)
java mysql ssl amazon-web-services

1 个回答

  1. Best Answer

    您可以通过在连接 URL 中设置一个空的密钥库来强制 MySQL 不使用客户端证书。

    我上面遇到的问题是https://bugs.mysql.com/bug.php?id=36948的变体——如果您在连接 URL 中设置了“clientCertificateKeyStoreUrl”,但没有设置“trustCertificateKeyStoreUrl”(以及其他 4 个参数)下面),那么 MySQL 将崩溃并出现“TrustManagerFactoryImpl 未初始化”而不是更有用的错误。

    您可以使用以下命令创建一个空密钥库:

    keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks

    然后使用如下 URL 连接到 MySQL:

    jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit

    所有 6 个密钥库参数都是必需的,即使您想要默认值,否则您将看到“TrustManagerFactoryImpl 未初始化”错误

    • 5

相关问题