MySQL JDBC强制忽略AWS RDS上的客户端证书

我有一个在AWS上运行的 Java Web应用程序,并连接到在AWS RDS上运行的 MySQL数据库.

我的应用程序使用由我们自己的CA签名的SSL客户端证书连接到各种Web服务,因此我设置了-Djavax.net.ssl.keyStore和-Djavax.net.ssl.trustStore系统属性.

我已将https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem证书添加到我的trustStore,我可以通过命令行客户端使用SSL连接到MySQL.

我的MySQL连接字符串如下所示：

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true

我使用mysql：mysql-connector-java：jar：5.1.38来运行JBDC连接.

我发现当我设置trustStore时,我的Java应用程序可以连接到MySQL,但是当我设置keyStore和trustStore时它会失败：

! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]! ... 40 common frames omitted

似乎Java正在向MySQL发布我的私有CA签名客户端证书,而这正拒绝它.我使用tcpdump捕获了交互,并且我的客户端证书的DN被发送到MySQL.

如何将我的客户端证书用于HTTPS连接,但不能将其用于MySQL连接？

我已经尝试创建一个空的密钥库并设置我的连接字符串来使用它：

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit

这给了我以下错误：

java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized    at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)    at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)    at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)    at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)

您可以通过在连接URL中设置空密钥库来强制MySQL不使用客户端证书.

我上面遇到的问题是https://bugs.mysql.com/bug.php?id=36948的变种 – 如果你在连接URL中设置“clientCertificateKeyStoreUrl”而不是“trustCertificateKeyStoreUrl”(以及下面的其他4个参数),那么MySQL将崩溃“TrustManagerFactoryImpl未初始化”而不是一个更有帮助的错误.

您可以使用以下命令创建一个空密钥库：

keytool -genkey -alias foo -keystore empty.jks # (set password "changeit")keytool -delete -alias foo -keystore empty.jks

然后使用以下URL连接到MySQL：

jdbc:mysql://my-server-id.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:empty.jks&clientCertificateKeyStorePassword=changeit&clientCertificateKeyStoreType=JKS&trustCertificateKeyStoreUrl=file:/etc/pki/cosmos/current/client.jks&trustCertificateKeyStoreType=JKS&trustCertificateKeyStorePassword=changeit

即使您需要默认值,也需要所有6个密钥库args,否则您将看到“TrustManagerFactoryImpl未初始化”错误