与AWS RDS MySQL的Spring Boot连接-SSLHandshakeException:收到致命警报:unknown_ca

时间:2019-02-13 05:01:27

标签: java mysql spring-boot ssl amazon-rds

我有一个Spring Boot应用程序,试图从该应用程序连接到AWS RDS上的MySQL。 但是我遇到以下错误:

localhost-startStop-1, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: unknown_ca

在为ssl握手启用调试之后,我发现对于CertificateRequest步骤,Cert Authorities:为空。 根据我的理解,这是客户端(春季启动应用)需要向服务器(mysql数据库)提交证书的部分。

  • Certificate Request步骤-服务器将从客户端发出证书请求。
  • 下一步将是*** Certificate chain,这是客户端向服务器发送的证书。在这种情况下,它正在发送keyStore_cert.jks的内容。

到目前为止我认为的问题: 服务器(mySQL db)不了解客户端(我的应用程序)正在发送的该证书(mykeyStore_cert.jks)。 但是,我的印象是,除非您为用户设置REQUIRE X509,否则不需要客户端证书。

问题:

  • 还有什么我可以找的,以便找到确切的问题吗?
  • 如果以上是问题,我该如何解决?如何禁用客户端验证?
  • 或者我该如何保留客户验证但可以进行验证?
  • 我是否需要向keyStore_cert.jks / trustStore_cert.jks添加任何内容?


这些是我的设置和尝试的设置。

  • RDS引擎版本:5.7.22
  • mysql-connector-java v8.0.13
  • 连接网址:jdbc:mysql://<host>:<port>/<db_name>?useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true
  • 对于我正在使用的用户,我在数据库上执行了以下操作:
ALTER USER '<my_db_user>'@'%' require SSL;
GRANT USAGE ON <db_name>.* TO '<my_db_user>'@'%' REQUIRE SSL;
  • 基于AWS documentation:我将这些证书(根证书和中间证书)导入了trustStore。正在做的事情:keytool -import -keystore trustStore_cert.jks -storepass <trustStore_password> -alias "awsrds-us-east1" -file rds-ca-2015-us-east-1.pem
  • 我使用我们自己的keyStore。目前没有对keyStore进行任何操作。
  • 应用程序trustStore和keyStore作为JVM参数传递,如下所示:
-Djavax.net.ssl.keyStore=path/keyStore_cert.jks
-Djavax.net.ssl.keyStorePassword=<keyStore_password>
-Djavax.net.ssl.trustStore=path/trustStore_cert.jks
-Djavax.net.ssl.trustStorePassword=<trustStore_password>
  • 对于特定用户,当我使用MySQL Workbench并在使用SSL 的连接设置中,我指定:如果可用要求。它与以下消息连接:
Host: <host>
Port: <port>
User: <user>
SSL: enabled with DHE-RSA-AES128-SHA
  • 但是,如果我指定要求并验证CA 要求并验证身份,则会显示以下消息:SSL connection error: CA certificate is required if ssl-mode is VERIFY_CA or VERIFY_IDENTITY。这是有道理的,因为我没有为CA文件指定任何内容。


握手步骤(将省略一些日志。)

*** ClientHello, TLSv1.1 (seems okay)
***
*** ServerHello, TLSv1.1 (seems okay)
***
*** Certificate chain (has the root key)
chain [0] = [
[
  Version: V3
  Subject: C=US, ST=Washington, L=Seattle, O=Amazon.com, OU=RDS, CN=**<my_rds_name>abcd.us-east-1.rds.amazonaws.com**
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
chain [1] = [ (has the us-east-1 key)
[
  Version: V3
  Subject: CN=Amazon RDS us-east-1 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", L=Seattle, ST=Washington, C=US
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
***
Found trusted certificate:
[
[
  Version: V3
  Subject: CN=Amazon RDS us-east-1 CA, OU=Amazon RDS, O="Amazon Web Services, Inc.", L=Seattle, ST=Washington, C=US
  Signature Algorithm: SHA1withRSA, OID = 1.2.840.113549.1.1.5
...
...
*** CertificateRequest (the Authorities are empty)
Cert Types: RSA, DSS, ECDSA
Cert Authorities:
<Empty>
*** ServerHelloDone
matching alias: <my keyStoreAlias>
*** Certificate chain (seems entries from my own key Store)
chain [0] = [
[
  Version: V3
  Subject: CN=<the CN on my keyStore>, OU=Web Servers, O=Company , C=US
  Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11

***
*** ClientKeyExchange, RSA PreMasterSecret, TLSv1.1 (seems okay)

*** CertificateVerify (seem okay)
*** Finished
verify_data:  { 50, 89, 33, 202, 193, 158, 226, 114, 128, 50, 198, 250 }
***

3 个答案:

答案 0 :(得分:1)

使用AWS RDS支持后,我得到了解释该问题的原因以及解决方法的说明。

仅需澄清一下,仅当您将自己的密钥库作为JVM参数的一部分传递时,才会出现此问题。 像这样:

 -Djavax.net.ssl.keyStore=path/keyStore_cert.jks
 -Djavax.net.ssl.keyStorePassword=<keyStore_password>

RDS是一项托管服务,它们(目前)无法将特定的客户端证书加载到服务器中。 这意味着他们无法通过数据库配置级别的特定证书。通常,如果您要站立自己的MY SQL服务器,则可以这样做。在该服务器的配置文件中,您可以指定客户端/服务器证书。 因此,RDS无法验证客户端提供的证书。

如果要在SSL握手过程中传递包含密钥对条目(作为JVM参数或其他参数)的密钥库,则客户端身份验证步骤将失败。这是数据库中的预期行为。在初始连接期间,RDS不能限制自己为客户端验证(或不验证)客户端字段中加载的文件。因此,如果传递了密钥库,则服务器将尝试将证书密钥与现有的CA文件进行匹配,如果不匹配,它将不允许连接。

解决方案是要么根本不传递密钥库,要么不传递空白密钥库(一个不具有仅具有“受信任证书条目”的密钥对的密钥库,或者一个仅具有空白的密钥对)。

  1. 如果选择不传递密钥库,则不要指定这些属性 -Djavax.net.ssl.keyStore= & -Djavax.net.ssl.keyStorePassword=。然后像这样构造数据库连接URL:
    -Ddb_jdbc_url=jdbc:mysql://<host>:<port>/<db_name>?useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true。您仍然需要提供信任库。有关更多信息,请参见底部。

  2. 传递黑色密钥库或(或通过密钥库字段中的信任库) 您可以根据需要传递密钥库和Trustore JVM参数。 对于URL,您可以这样构造它:

    -Ddb_jdbc_url=jdbc:mysql://<host>:<port>/<db_name>?
    useLegacyDatetimeCode=false&verifyServerCertificate=true&useSSL=true&requireSSL=true
    &clientCertificateKeyStoreUrl=file:/user/documents/projects/trust-store-rds.jks
    &clientCertificateKeyStorePassword=<password>
    &clientCertificateKeyStoreType=JKS
    &trustCertificateKeyStoreUrl=file:/user/documents/projects/trust-store-rds.jks
    &trustCertificateKeyStorePassword=<password>
    &trustCertificateKeyStoreType=JKS

请注意,对于trustCertificateKeyStoreUrlclientCertificateKeyStoreUrl我都传递相同的文件。

注意,您还需要配置所有前面的步骤:

  1. 为数据库上的用户启用SSL。
CREATE USER 'my_user'@'%' IDENTIFIED BY 'my_password';
ALTER USER 'my_user'@'%' REQUIRE SSL;
GRANT USAGE ON *.* TO 'my_user'@'%' REQUIRE SSL ;

  1. 您需要将AWS Root和区域证书导入到您的信任库中; 像这样:
     keytool -import -keystore trust-store-rds.jks -storepass changeit -noprompt alias "aws-rds-root" -file rds-ca-2015-root.pem

     keytool -import -keystore trust-store-rds.jks -storepass changeit -noprompt -alias "aws-rds-us-east-1" -file rds-ca-2015-us-east-1.pem
  1. 如上构建URL。

答案 1 :(得分:0)

我们在与AWS RDS 8.X建立连接时遇到了此问题-“原因:javax.net.ssl.SSLHandshakeException:收到致命警报:unknown_ca”

仅当在JVM级别上设置了密钥库时,才会出现此错误。如果仅在JVM级别而不是在密钥库上设置了trustore,则不会弹出此问题,因为truststore已信任RDS证书 -Djavax.net.ssl.keyStore = /路径/到/您的/keystore.jks -Djavax.net.ssl.keyStorePassword = keystore_password

由于RDS是共享服务,因此RDS中没​​有选项可以信任单个客户端的证书。如果传递了密钥库,则RDS认为该请求是针对2路SSL的,因此失败。另一方面,我们无法在JVM级别摆脱密钥库,因为在其他后端(例如API网关)启用了2种方式的SSL

解决方案:我们向jdbc提供了伪密钥库(trustore本身,因为它不包含任何私钥),以覆盖在JVM级别上提供的密钥库,它的工作原理就像一个魅力!

公共类MySQLSSLTest {

    private static final String DB_USER = "username";
    private static final String DB_PASSWORD = "password";
    // This key store has only the prod root ca.
    private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore";
    private static final String KEY_STORE_PASS = "keystore-password";
        
    public static void test(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
                
        System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH);
        System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS);
        
        Properties properties = new Properties();
        properties.put("user", DB_USER);
        properties.put("password", DB_PASSWORD);
        properties.put("sslMode", "DISABLED");
        properties.put("useSSL", "false");
        properties.put("clientCertificateKeyStoreUrl", "file:/path/to/your/trust/store");
        properties.put("clientCertificateKeyStorePassword", "truststore_password");
        properties.put("clientCertificateKeyStoreType", "jks");
        
 
        Connection connection = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            connection = DriverManager.getConnection("jdbc:mysql://mydatabase.123456789012.us-east-1.rds.amazonaws.com:3306",properties);
            stmt = connection.createStatement();
            rs=stmt.executeQuery("SELECT 1 from dual");
        } finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                }
            }
            if (stmt != null) {
               try {
                    stmt.close();
                } catch (SQLException e) {
               }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return;
    }
}

Hopefully this will help you!!!

答案 2 :(得分:0)

从 MySQL Connector/J 驱动程序的 8.0.22 版开始,您现在可以使用 fallbackToSystemKeyStore 属性设置为 false 来忽略任何系统级密钥库,而不必创建一个虚拟密钥库。

我已经成功地针对 RDS MySQL 5.7 实例使用了这种方法,并且我最初看到相同的“unknown_ca”错误,但现在可以完美连接。

https://dev.mysql.com/doc/connector-j/8.0/en/connector-j-connp-props-security.html