设置 sslmode=verify-ca 后无法验证主机名

【问题标题】:Hostname Could not be verified after making sslmode=verify-ca设置 sslmode=verify-ca 后无法验证主机名
【发布时间】:2019-11-21 05:59:26
【问题描述】:

我尝试连接我的 RDS 实例,但我不希望 SSL 证书检查主机名。 到目前为止,我知道制作 sslmode=verify-ca 不会检查主机名,但无论出于何种原因,它都会这样做。以下是更多详细信息的堆栈跟踪

2019 年 11 月 20 日下午 6:06:11 org.postgresql.Driver 连接 严重:连接错误: org.postgresql.util.PSQLException:无法验证主机名。 在 org.postgresql.ssl.MakeSSL.convert(MakeSSL.java:93) 在 org.postgresql.core.v3.ConnectionFactoryImpl.enableSSL(ConnectionFactoryImpl.java:391) 在 org.postgresql.core.v3.ConnectionFactoryImpl.openConnectionImpl(ConnectionFactoryImpl.java:162) 在 org.postgresql.core.ConnectionFactory.openConnection(ConnectionFactory.java:49) 在 org.postgresql.jdbc.PgConnection.(PgConnection.java:195) 在 org.postgresql.Driver.makeConnection(Driver.java:452) 在 org.postgresql.Driver.connect(Driver.java:254) 在 amazon.jdbc.driver.spi.PostgresqlConnectionProvider.getConnection(PostgresqlConnectionProvider.java:85) 在 amazon.cj.dbaccess.FallbackWorker.iteratePasswordStore(FallbackWorker.java:101) 在 amazon.cj.dbaccess.FallbackWorker.getConnection(FallbackWorker.java:59) 在 amazon.cj.dbaccess.CacheController.getConnection(CacheController.java:153) 在 amazon.jdbc.driver.SecureDriver.connect(SecureDriver.java:174) 在 org.apache.tomcat.jdbc.pool.PooledConnection.connectUsingDriver(PooledConnection.java:307) 在 org.apache.tomcat.jdbc.pool.PooledConnection.connect(PooledConnection.java:200) 在 org.apache.tomcat.jdbc.pool.ConnectionPool.createConnection(ConnectionPool.java:728) 在 org.apache.tomcat.jdbc.pool.ConnectionPool.borrowConnection(ConnectionPool.java:662) 在 org.apache.tomcat.jdbc.pool.ConnectionPool.init(ConnectionPool.java:480) 在 org.apache.tomcat.jdbc.pool.ConnectionPool.(ConnectionPool.java:154) 在 org.apache.tomcat.jdbc.pool.DataSourceProxy.pCreatePool(DataSourceProxy.java:115) 在 org.apache.tomcat.jdbc.pool.DataSourceProxy.createPool(DataSourceProxy.java:102) 在 org.apache.tomcat.jdbc.pool.DataSourceFactory.createDataSource(DataSourceFactory.java:559) 在 org.apache.tomcat.jdbc.pool.DataSourceFactory.getObjectInstance(DataSourceFactory.java:244) 在 org.apache.naming.factory.FactoryBase.getObjectInstance(FactoryBase.java:94) 在 javax.naming.spi.NamingManager.getObjectInstance(NamingManager.java:321) 在 org.apache.naming.NamingContext.lookup(NamingContext.java:848) 在 org.apache.naming.NamingContext.lookup(NamingContext.java:158) 在 org.apache.naming.NamingContext.lookup(NamingContext.java:835) 在 org.apache.naming.NamingContext.lookup(NamingContext.java:172) 在 org.apache.catalina.core.NamingContextListener.addResource(NamingContextListener.java:1091) 在 org.apache.catalina.core.NamingContextListener.createNamingContext(NamingContextListener.java:670) 在 org.apache.catalina.core.NamingContextListener.lifecycleEvent(NamingContextListener.java:258) 在 org.apache.catalina.util.LifecycleSupport.fireLifecycleEvent(LifecycleSupport.java:95) 在 org.apache.catalina.util.LifecycleBase.fireLifecycleEvent(LifecycleBase.java:90) 在 org.apache.catalina.core.StandardContext.startInternal(StandardContext.java:5213) 在 org.apache.catalina.util.LifecycleBase.start(LifecycleBase.java:145) 在 org.apache.catalina.core.ContainerBase.addChildInternal(ContainerBase.java:753) 在 org.apache.catalina.core.ContainerBase.addChild(ContainerBase.java:729) 在 org.apache.catalina.core.StandardHost.addChild(StandardHost.java:717) 在 org.apache.catalina.startup.HostConfig.deployWAR(HostConfig.java:976) 在 org.apache.catalina.startup.HostConfig$DeployWar.run(HostConfig.java:1853) 在 java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:511) 在 java.util.concurrent.FutureTask.run(FutureTask.java:266) 在 java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149) 在 java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624) 在 java.lang.Thread.run(Thread.java:748)

数据库登录失败 url:jdbc:postgresql://:8194/fa_rhythm_db_dev?ssl=true;sslmode=verify-ca;sslrootcert=/apollo/env/RhythmTomcatBase/certs/rds-combined-ca-bundle.pem moduleName :null 属性:{sslrootcert=/apollo/env/RhythmTomcatBase/certs/rds-combined-ca-bundle.pem} @ driver:class amazon.jdbc.driver.SecureDriver url:jdbc:amazon:postgresql://hostname:8194 /fa_rhythm_db_dev?ssl=true;sslmode=verify-ca;sslrootcert=/apollo/env/RhythmTomcatBase/certs/rds-combined-ca-bundle.pem 数据库:fa_rhythm 用户:pega 模块:空属性:{}

【问题讨论】:

    标签: ssl ssl-certificate postgresql-9.5


    【解决方案1】:

    如果参数 sslmode 设置为 verify-ca,libpq 将通过检查证书链到受信任的证书颁发机构 (CA) 来验证服务器是否可信。如果 sslmode 设置为 verify-full,libpq 还将验证服务器主机名是否与其证书匹配。如果无法验证服务器证书,SSL 连接将失败。在大多数安全敏感的环境中建议使用 verify-full。

    来自documentation

    sslmode=require 如果您明确知道您正在连接到正确的主机并信任该主机,则可以使用该主机

    【讨论】:

    • 当我将sslmode=require 添加到数据库连接 URL 时,错误 -> HikariPool-1 - 池初始化期间的异常.org.postgresql.util.PSQLException:主机名 **** 无法由 hostnameverifier PgjdbcHostnameVerifier 验证。
    猜你喜欢
    • 2015-09-30
    • 2014-12-30
    • 1970-01-01
    • 1970-01-01
    • 2016-03-25
    • 2019-08-27
    • 1970-01-01
    • 1970-01-01
    • 2019-03-17
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode