MySQL JDBC 強制忽略 AWS RDS 上的客戶端證書
我有一個在 AWS 上執行的 Java Web 應用程序並連接到在 AWS RDS 上執行的 MySQL 數據庫。
我的應用程序使用我們自己的 CA 簽名的 SSL 客戶端證書來連接各種 Web 服務,因此我設置了
-Djavax.net.ssl.keyStore
和-Djavax.net.ssl.trustStore
系統屬性。我已將
https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem
證書添加到我的trustStore
.,我可以通過命令行客戶端使用 SSL 很好地連接到 MySQL。我的 MySQL 連接字元串如下所示:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true
我正在使用
mysql:mysql-connector-java:jar:5.1.38
執行 JBDC 連接。我發現我的 Java 應用程序在設置 時可以正常連接到 MySQL ,但是當我設置和
trustStore
時它會失敗:keyStore``trustStore
! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0 ! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91] ! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91] ! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91] ! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91] ! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1] ! ... 40 common frames omitted
似乎 Java 正在向 MySQL 提供我的私有 CA 簽名客戶端證書,而 MySQL 拒絕了它。我已經使用 擷取了互動
tcpdump
,並且我的客戶端證書的 DN 正在發送到 MySQL。如何將我的客戶端證書用於 HTTPS 連接,但不能用於 MySQL 連接?
我嘗試創建一個空的密鑰庫並設置我的連接字元串以使用它:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit
這給了我以下錯誤:
java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100) at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285) at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323) at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)
您可以通過在連接 URL 中設置一個空的密鑰庫來強制 MySQL 不使用客戶端證書。
我上面遇到的問題是https://bugs.mysql.com/bug.php?id=36948的變體——如果您在連接 URL 中設置了“clientCertificateKeyStoreUrl”,但沒有設置“trustCertificateKeyStoreUrl”(以及其他 4 個參數)下面),那麼 MySQL 將崩潰並出現“TrustManagerFactoryImpl 未初始化”而不是更有用的錯誤。
您可以使用以下命令創建一個空密鑰庫:
keytool -genkey -alias foo -keystore empty.jks # (set password "changeit") keytool -delete -alias foo -keystore empty.jks
然後使用如下 URL 連接到 MySQL:
jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit
所有 6 個密鑰庫參數都是必需的,即使您想要預設值,否則您將看到“TrustManagerFactoryImpl 未初始化”錯誤