У меня есть веб-приложение Java, работающее на AWS и подключающееся к базе данных MySQL, работающей на AWS RDS.
Мое приложение использует сертификаты клиентов SSL, подписанные нашим собственным центром сертификации, для подключения к различным веб-службам, поэтому я установил -Djavax.net.ssl.keyStore
и -Djavax.net.ssl.trustStore
свойства системы.
Я добавил https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem
сертификаты на мой trustStore
, и я могу нормально подключиться к MySQL, используя SSL через клиент командной строки.
Моя строка подключения к MySQL выглядит так:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true
Я использую mysql:mysql-connector-java:jar:5.1.38
для запуска соединения JBDC.
Я обнаружил, что мое приложение Java может нормально подключаться к MySQL, когда я устанавливаю trustStore
, но это не удается, когда я устанавливаю keyStore
и trustStore
:
! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted
Кажется, что Java представляет мой сертификат клиента, подписанный частным CA, MySQL, который его отклоняет. Я записал взаимодействие, используя tcpdump
, и DN моего клиентского сертификата отправляется в MySQL.
Как я могу использовать свой сертификат клиента для HTTPS-соединений, но не использовать его для MySQL-соединения?
Я попытался создать пустое хранилище ключей и настроить его в строке подключения:
jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit
Это дает мне следующую ошибку:
java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)
Вы можете заставить MySQL не использовать сертификат клиента, установив пустое хранилище ключей в URL-адресе подключения.
Проблема, с которой я столкнулся выше, была вариантом https://bugs.mysql.com/bug.php?id=36948 - если вы установите «clientCertificateKeyStoreUrl» в URL-адресе подключения, но не установите «trustCertificateKeyStoreUrl» (и 4 других параметра ниже), тогда MySQL выйдет из строя с сообщением «TrustManagerFactoryImpl не инициализирован» вместо более полезной ошибки.
Вы можете создать пустое хранилище ключей с помощью такой команды:
keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")
keytool -delete -alias foo -keystore empty.jks
Затем подключитесь к MySQL с URL-адресом, например:
jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit
Все 6 аргументов хранилища ключей являются обязательными, даже если вы хотите использовать значения по умолчанию, иначе вы увидите ошибку «TrustManagerFactoryImpl не инициализирован»