使用 SSL 与远程数据库的 PDO 连接；验证服务器证书时出现 FastCGI 错误

Question

我有一个带有 MariaDB 数据库的远程服务器，它只接受特定用户的 SSL 连接，并使用以下方法生成了一些自签名 SSL 证书

# Create CA certificate
openssl genrsa 2048 > ca-key.pem
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem

# Create server certificate, remove passphrase, and sign it
# server-cert.pem = public key, server-key.pem = private key
openssl req -newkey rsa:2048 -days 3600 
        -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 3600 \
        -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

# Create client certificate, remove passphrase, and sign it
# client-cert.pem = public key, client-key.pem = private key
openssl req -newkey rsa:2048 -days 3600 \
        -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 \
        -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

（取自https://dev.mysql.com/doc/refman/5.6/en/creating-ssl-files-using-openssl.html）

我为每个证书填写了如下的详细信息

• 国家/地区名称：GB
• 地区名称：公司镇
• 组织名称：公司名称
• 通用名称：DEV CA、DEV Server、DEV Client（分别）

并将所有其他字段留空

---

远程服务器在my.cnf中有以下内容

[mariadb]
ssl-ca=/path/to/ca.pem
ssl-cert=/path/to/server-cert.pem
ssl-key=/path/to/server-key.pem

我可以通过在其my.cnf 中包含以下内容从本地计算机的命令行进行连接

[client]
ssl-ca=/path/to/ca.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem

我可以使用以下命令从本地计算机创建 PDO 连接

$pdo = new PDO(
    'mysql:host=xxx.xxx.xxx.xxx;dbname=database_1',
    'database_user',
    'database_password',
    [
       PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,
       PDO::MYSQL_ATTR_SSL_KEY => '/path/to/client-key.pem',
       PDO::MYSQL_ATTR_SSL_CERT => '/path/to/client-cert.pem',
       PDO::MYSQL_ATTR_SSL_CA => '/path/to/ca.pem',
    ]
);

---

很遗憾，如果我删除该行

PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,

我收到内部服务器错误，并且在我的 MAMP PRO apache 错误日志中显示以下内容

… FastCGI: incomplete headers (0 bytes) received from server …

我的 PHP 错误日志中没有任何错误

我只能假设证书验证出了问题，

• 我错过了什么吗？ 和/或
• 将PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT 设置为 false 是否安全？

Answer 1

将 PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT 设置为是否安全 假的？

在大多数情况下，如果对您的服务器的访问是安全的，那么这样做是安全的，尽管不推荐这样做。

失败的原因是 TLS(SSL) 证书被授予主机访问地址，其中主机访问地址是 IP 地址或主机名，而不是物理主机。因此，您的公用名应该是服务器的 IP 地址或主机名；使用哪个是连接服务器必须使用的。

因此，当您连接到主机 xxx.xxx.xxx.xxx（来自 'mysql:host=xxx.xxx.xxx.xxx;dbname=database_1'）时，您证书上的 Common Name 需要是 xxx.xxx.xxx.xxx

Answer 2

当客户端验证服务器证书时，将检查以下内容

• 签名
• 证书有效期包括当前时间
• 证书未被撤销（CRL 的一部分）
• 主机名与 CN 或备用名称匹配
• 根目录

带有 mysqlnd 的 PDO 使用 PHP 流，它只检查 CN 字段，而不是主题备用名称字段。根据您的代码，您指定要连接的 IP 地址，但不是名称。

不幸的是，PHP 也没有提供额外的方法来检查对等证书的 sha 指纹。

另见：

• RFC 5280

• PHP Bug 71845