我有一个在 AWS 上运行的 Java Web 应用程序,并连接到在 AWS RDS 上运行的 MySQL 数据库。
我的应用程序使用由我们自己的 CA 签名的 SSL 客户端证书连接到各种 Web 服务,因此我设置了-Djavax.net.ssl.keyStore和-Djavax.net.ssl.trustStore系统属性。
我已将https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem证书添加到我的trustStore,并且我可以通过命令行客户端使用 SSL 连接到 MySQL。
我的 MySQL 连接字符串如下:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true
我正在使用mysql:mysql-connector-java:jar:5.1.38运行 JBDC 连接。
我发现,当我设置时,我的 Java 应用程序可以正常连接到 MySQL trustStore,但是当我设置keyStore和时,它会失败trustStore:
! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted
看来 Java 正在向 MySQL 提供我的私有 CA 签名的客户端证书,但 MySQL 拒绝了它。我已使用 捕获了交互tcpdump,并且我的客户端证书的 DN 正在发送到 MySQL。
如何将我的客户端证书用于 HTTPS 连接,但不将其用于 MySQL 连接?
我尝试创建一个空的密钥库并设置我的连接字符串来使用它:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit
这给了我以下错误:
java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)
答案1
您可以通过在连接 URL 中设置一个空的密钥库来强制 MySQL 不使用客户端证书。
我上面遇到的问题是https://bugs.mysql.com/bug.php?id=36948-- 如果您在连接 URL 中设置了“clientCertificateKeyStoreUrl”但没有设置“trustCertificateKeyStoreUrl”(以及下面的其他 4 个参数),那么 MySQL 将崩溃并出现“TrustManagerFactoryImpl 未初始化”而不是更有用的错误。
您可以使用以下命令创建一个空的密钥库:
keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks
然后使用如下 URL 连接到 MySQL:
jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit
所有 6 个密钥库参数都是必需的,即使您想要默认值,否则您将看到“TrustManagerFactoryImpl 未初始化”错误