Mysql

MySQL JDBC 強制忽略 AWS RDS 上的客戶端證書

  • December 7, 2018

我有一個在 AWS 上執行的 Java Web 應用程序並連接到在 AWS RDS 上執行的 MySQL 數據庫。

我的應用程序使用我們自己的 CA 簽名的 SSL 客戶端證書來連接各種 Web 服務,因此我設置了-Djavax.net.ssl.keyStore-Djavax.net.ssl.trustStore系統屬性。

我已將https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem證書添加到我的trustStore.,我可以通過命令行客戶端使用 SSL 很好地連接到 MySQL。

我的 MySQL 連接字元串如下所示:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true

我正在使用mysql:mysql-connector-java:jar:5.1.38執行 JBDC 連接。

我發現我的 Java 應用程序在設置 時可以正常連接到 MySQL ,但是當我設置和trustStore時它會失敗:keyStore``trustStore

! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted

似乎 Java 正在向 MySQL 提供我的私有 CA 簽名客戶端證書,而 MySQL 拒絕了它。我已經使用 擷取了互動tcpdump,並且我的客戶端證書的 DN 正在發送到 MySQL。

如何將我的客戶端證書用於 HTTPS 連接,但不能用於 MySQL 連接?

我嘗試創建一個空的密鑰庫並設置我的連接字元串以使用它:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit

這給了我以下錯誤:

java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
   at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
   at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
   at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
   at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)

您可以通過在連接 URL 中設置一個空的密鑰庫來強制 MySQL 不使用客戶端證書。

我上面遇到的問題是https://bugs.mysql.com/bug.php?id=36948的變體——如果您在連接 URL 中設置了“clientCertificateKeyStoreUrl”,但沒有設置“trustCertificateKeyStoreUrl”(以及其他 4 個參數)下面),那麼 MySQL 將崩潰並出現“TrustManagerFactoryImpl 未初始化”而不是更有用的錯誤。

您可以使用以下命令創建一個空密鑰庫:

keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks

然後使用如下 URL 連接到 MySQL:

jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit

所有 6 個密鑰庫參數都是必需的,即使您想要預設值,否則您將看到“TrustManagerFactoryImpl 未初始化”錯誤

引用自:https://serverfault.com/questions/787778