Назад | Перейти на главную страницу

MySQL JDBC принудительно игнорирует сертификат клиента на AWS RDS

У меня есть веб-приложение Java, работающее на AWS и подключающееся к базе данных MySQL, работающей на AWS RDS.

Мое приложение использует сертификаты клиентов SSL, подписанные нашим собственным центром сертификации, для подключения к различным веб-службам, поэтому я установил -Djavax.net.ssl.keyStore и -Djavax.net.ssl.trustStore свойства системы.

Я добавил https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem сертификаты на мой trustStore, и я могу нормально подключиться к MySQL, используя SSL через клиент командной строки.

Моя строка подключения к MySQL выглядит так:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true

Я использую mysql:mysql-connector-java:jar:5.1.38 для запуска соединения JBDC.

Я обнаружил, что мое приложение Java может нормально подключаться к MySQL, когда я устанавливаю trustStore, но это не удается, когда я устанавливаю keyStore и trustStore:

! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted

Кажется, что Java представляет мой сертификат клиента, подписанный частным CA, MySQL, который его отклоняет. Я записал взаимодействие, используя tcpdump, и DN моего клиентского сертификата отправляется в MySQL.

Как я могу использовать свой сертификат клиента для HTTPS-соединений, но не использовать его для MySQL-соединения?

Я попытался создать пустое хранилище ключей и настроить его в строке подключения:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit

Это дает мне следующую ошибку:

java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
    at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
    at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
    at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
    at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)

Вы можете заставить MySQL не использовать сертификат клиента, установив пустое хранилище ключей в URL-адресе подключения.

Проблема, с которой я столкнулся выше, была вариантом https://bugs.mysql.com/bug.php?id=36948 - если вы установите «clientCertificateKeyStoreUrl» в URL-адресе подключения, но не установите «trustCertificateKeyStoreUrl» (и 4 других параметра ниже), тогда MySQL выйдет из строя с сообщением «TrustManagerFactoryImpl не инициализирован» вместо более полезной ошибки.

Вы можете создать пустое хранилище ключей с помощью такой команды:

keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks

Затем подключитесь к MySQL с URL-адресом, например:

jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit

Все 6 аргументов хранилища ключей являются обязательными, даже если вы хотите использовать значения по умолчанию, иначе вы увидите ошибку «TrustManagerFactoryImpl не инициализирован»