MySQL JDBC over SSL 问题

Question

如何使 MySQL JDBC 在 SSL 上工作（使用 X509 证书验证）？

我有 MySQL 手册中所述的自行创建的证书，在 Using SSL for Secure Connections 中，具体来说：

# Create CA certificate
shell> openssl genrsa 2048 > ca-key.pem
shell> openssl req -new -x509 -nodes -days 1000 \
         -key ca-key.pem > ca-cert.pem

# Create server certificate
shell> openssl req -newkey rsa:2048 -days 1000 \
         -nodes -keyout server-key.pem > server-req.pem
shell> openssl x509 -req -in server-req.pem -days 1000 \
         -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

# Create client certificate
shell> openssl req -newkey rsa:2048 -days 1000 \
         -nodes -keyout client-key.pem > client-req.pem
shell> openssl x509 -req -in client-req.pem -days 1000 \
         -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

发出GRANT ALL ON *.* TO vic@localhost IDENTIFIED BY '12345' REQUIRE X509; 后，我可以通过命令行连接到 MySQL：

mysql -u vic -p --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem mysql
...

mysql>  SHOW STATUS LIKE 'Ssl_cipher';
+---------------+--------------------+
| Variable_name | Value              |
+---------------+--------------------+
| Ssl_cipher    | DHE-RSA-AES256-SHA |
+---------------+--------------------+

但是，当我尝试运行 Java 测试时，我得到验证失败：Access denied for user 'vic'@'localhost' (using password: YES)。代码如下：

public class Launcher {
    public static void main(String[] args) throws DbException, SQLException, ClassNotFoundException {
        StringBuffer sb = new StringBuffer("jdbc:mysql://localhost/bt?useSSL=true&");
        sb.append("user=vic&password=12345&");
        sb.append("clientCertificateKeyStorePassword=123456&");
        sb.append("clientCertificateKeyStoreType=JKS&");
        sb.append("clientCertificateKeyStoreUrl=file:///home/vic/tmp/client-keystore&");
        sb.append("trustCertificateKeyStorePassword=123456&");
        sb.append("trustCertificateKeyStoreType=JKS&");
        sb.append("trustCertificateKeyStoreUrl=file:///home/vic/tmp/ca-keystore");

        Class.forName("com.mysql.jdbc.Driver");
        Connection c = DriverManager.getConnection(sb.toString());

        Statement st = c.createStatement();
        ResultSet rs = st.executeQuery("SELECT * FROM test_table");
        while (rs.next()) {
            System.out.println(rs.getInt("id"));
        }
        rs.close(); st.close(); c.close();
    }
}

以下是我准备 Java 密钥库文件的方法：

keytool -import -alias mysqlServerCACert -file ca-cert.pem -keystore ca-keystore
keytool -import -file client-cert.pem -keystore client-keystore -alias client-key

更新如果我使用“root”用户而不是“vic”，我可以通过 JDBC 通过 SSL 进行连接。然后下面的代码

    Statement st = c.createStatement();
    ResultSet rs = st.executeQuery("SHOW STATUS LIKE 'Ssl_cipher';");
    while (rs.next()) {
        System.out.println(rs.getString(1));
        System.out.println(rs.getString(2));
    }

打印

Ssl_cipher
DHE-RSA-AES128-SHA

但是我不能在生产中使用 root，我想知道为什么 JDBC 使用 AES128，而命令行 mysql 客户端使用 AES256。

UPDATE2 在我将user 表中root@localhost 的ssl_type 更改为X509 后，请求客户端的完整身份验证，我得到的root 行为与vic 相同——可以'不通过 JDBC 登录。

UPDATE3 如果我在GRANT 语句中使用REQUIRE SSL 而不是REQUIRE X509，则代码有效。是否可以让 X509 工作？

Answer 1

最近向 MariaDB JDBC 驱动程序（也适用于连接 MySQL）添加了对自签名证书的支持。最新版本（撰写本文时为 1.1.3）还允许您在运行时直接指定服务器证书，这样您就无需提前配置密钥存储或导入证书。

要设置的两个属性是useSSL 和serverSslCert。后者可以是证书本身（字符串值）或包含证书的文件的路径（完整路径或类路径相对）：

String url = "jdbc:mysql://" + host + ":" + port + "/" + database;
Properties info = new Properties();
info.setProperty("user", username);
info.setProperty("password", password);
info.setProperty("useSSL", "true");
info.setProperty("serverSslCert", "classpath:server.crt");
Connection conn = DriverManager.getConnection(url, info);

有关如何连接的完整工作示例，请参见此处：https://github.com/properssl/java-jdbc-mariadb

Answer 2

我已决定使用REQUIRE SSL。如果有人知道如何使 X509 与 JDBC 一起工作，我们将不胜感激。

Answer 3

当用户仅配置了 REQUIRES SSL 时，我什至无需指定客户端证书属性即可连接。

Answer 4

似乎 MariaDB 驱动程序人员有一个测试类，可以遍历所有场景，包括“REQUIRES X509”。

https://github.com/MariaDB/mariadb-connector-j/blob/master/src/test/java/org/mariadb/jdbc/SslTest.java