我有一个Spring Boot应用程序,我试图连接到AWS RDS上的MySQL。但是我遇到以下错误的问题:
localhost-startStop-1, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: unknown_ca
在为ssl握手启用调试之后,我看到对于CertificateRequest
步骤,Cert Authorities:
是空的。根据我的理解,这是客户端(spring boot app)需要向服务器(mysql db)提供证书的部分。
Certificate Request
步骤 - 服务器将从客户端发出证书请求。*** Certificate chain
,它是客户端发送到服务器的证书。在这种情况下,我发送keyStore_cert.jks
的内容。我认为到目前为止的问题:服务器(mySQL db)不知道客户端(我的应用程序)正在发送的此证书(我的keyStore_cert.jks)。但是,我的印象是除非您为用户设置REQUIRE X509
,否则不需要客户端证书。
问题:
keyStore_cert.jks
/ trustStore_cert.jks
上添加任何内容吗?这些是我的设置和我尝试过的。
jdbc:mysql://<host>:<port>/<db_name>?useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true
ALTER USER '<my_db_user>'@'%' require SSL;
GRANT USAGE ON <db_name>.* TO '<my_db_user>'@'%' REQUIRE SSL;
keytool -import -keystore trustStore_cert.jks -storepass <trustStore_password> -alias "awsrds-us-east1" -file rds-ca-2015-us-east-1.pem
-Djavax.net.ssl.keyStore=path/keyStore_cert.jks
-Djavax.net.ssl.keyStorePassword=<keyStore_password>
-Djavax.net.ssl.trustStore=path/trustStore_cert.jks
-Djavax.net.ssl.trustStorePassword=<trustStore_password>
Host: <host>
Port: <port>
User: <user>
SSL: enabled with DHE-RSA-AES128-SHA
SSL connection error: CA certificate is required if ssl-mode is VERIFY_CA or VERIFY_IDENTITY
。这是有道理的,因为我没有为CA文件指定任何内容。握手的步骤(将省略一些日志。):
*** ClientHello, TLSv1.1 (seems okay)
***
*** ServerHello, TLSv1.1 (seems okay)
***
*** Certificate chain (has the root key)
chain [0] = [
[
Version: V3
Subject: C=US, ST=Washington, L=Seattle, O=Amazon.com, OU=RDS, CN=**<my_rds_name>abcd.us-east-1.rds.amazonaws.com**
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
chain [1] = [ (has the us-east-1 key)
[
Version: V3
Subject: CN=Amazon RDS us-east-1 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", L=Seattle, ST=Washington, C=US
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
***
Found trusted certificate:
[
[
Version: V3
Subject: CN=Amazon RDS us-east-1 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", L=Seattle, ST=Washington, C=US
Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
*** CertificateRequest (the Authorities are empty)
Cert Types: RSA, DSS, ECDSA
Cert Authorities:
<Empty>
*** ServerHelloDone
matching alias: <my keyStoreAlias>
*** Certificate chain (seems entries from my own key Store)
chain [0] = [
[
Version: V3
Subject: CN=<the CN on my keyStore>, OU=Web Servers, O=Company , C=US
Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
***
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1.1 (seems okay)
*** CertificateVerify (seem okay)
*** Finished
verify_data: { 50, 89, 33, 202, 193, 158, 226, 114, 128, 50, 198, 250 }
***
使用AWS RDS支持后,我得到了解释问题的原因以及解决方法。
只是为了澄清,只有当您将自己的密钥库作为JVM参数的一部分传递时,才会出现此问题。像这样的东西:
-Djavax.net.ssl.keyStore=path/keyStore_cert.jks
-Djavax.net.ssl.keyStorePassword=<keyStore_password>
RDS是一种托管服务,他们没有办法(当前)将特定客户端证书加载到服务器中。这意味着他们无法在DB配置级别传递特定证书。通常,如果你站起来自己的MY SQL服务器,这是可能的。在该服务器的配置文件中,您可以指定客户端/服务器证书。因此,RDS无法验证客户端提供的证书。
如果要在SSL握手期间传递具有密钥对条目(作为JVM参数或其他方式)的密钥库,则客户端身份验证步骤将失败。这是数据库中的预期行为。在初始连接期间,RDS无法限制自身验证(或不验证)客户端字段中加载的文件。因此,如果传递密钥库,服务器将尝试将证书密钥与现有CA文件匹配,如果不匹配,则不允许连接。
解决方案是要么根本不传递密钥库,要么传递一个空白密钥库(一个没有密钥对的密钥对只有一个可信证书条目或一个空白密钥库)。
-Djavax.net.ssl.keyStore= & -Djavax.net.ssl.keyStorePassword=
。并像这样构建数据库连接URL:
-Ddb_jdbc_url=jdbc:mysql://<host>:<port>/<db_name>?useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true
。您仍然需要提供信任库。请参阅底部了解更多信息。 -Ddb_jdbc_url=jdbc:mysql://<host>:<port>/<db_name>?
useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true
&clientCertificateKeyStoreUrl=file:/user/documents/projects/trust-store-rds.jks
&clientCertificateKeyStorePassword=<password>
&clientCertificateKeyStoreType=JKS
&trustCertificateKeyStoreUrl=file:/user/documents/projects/trust-store-rds.jks
&trustCertificateKeyStorePassword=<password>
&trustCertificateKeyStoreType=JKS
请注意,对于trustCertificateKeyStoreUrl
和clientCertificateKeyStoreUrl
,我传递的是同一个文件。
注意,您还需要配置以前的所有步骤:
CREATE USER 'my_user'@'%' IDENTIFIED BY 'my_password';
ALTER USER 'my_user'@'%' REQUIRE SSL;
GRANT USAGE ON *.* TO 'my_user'@'%' REQUIRE SSL ;
keytool -import -keystore trust-store-rds.jks -storepass changeit -noprompt alias "aws-rds-root" -file rds-ca-2015-root.pem
keytool -import -keystore trust-store-rds.jks -storepass changeit -noprompt -alias "aws-rds-us-east-1" -file rds-ca-2015-us-east-1.pem