保护JDBC连接时的证书和密钥库配置

时间:2017-01-30 13:12:10

标签: java mysql jdbc certificate keystore

我设法正确配置我的java应用程序以安全地连接到我的mysql,但我想知道:这是配置所需证书的正确方法吗?

我已经创建了自定义信任库和自定义密钥库:

1将服务器CA证书导入我的自定义信任库文件

 keytool -import -alias mysqlServerCACert -file server-ca.pem  -keystore truststore

2将客户端证书和客户端密钥捆绑到一个pkcs12文件中,并将其导入我的自定义密钥库文件

 openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out  client.p12 -name clientalias -CAfile server-ca.pem
 keytool -importkeystore -destkeystore keystore -srckeystore client.p12 -srcstoretype PKCS12  -alias clientalias

我已将jdbcUrl配置为使用安全连接:

mysql://[my_host]:3306/[my_db]?useUnicode=yes&characterEncoding=UTF-8&useSSL=true&requireSSL=true&verifyServerCertificate=true

我已使用以下JVM环境选项设置我的应用程序:

JAVA_OPTS="
    -Djavax.net.ssl.keyStore=/path_to_my_custom_keystore 
    -Djavax.net.ssl.keyStorePassword=mykeyStorePassword
    -Djavax.net.ssl.trustStore=/path_to_my_custom_truststore 
    -Djavax.net.ssl.trustStorePassword=mytrustStorePasswordPassword"

但是这样,我实际上改变了默认的密钥库/信任库,它通常位于:$JAVA_HOME/jre/lib/security/cacerts

通过这样做,一些客户端库在查找信任库中的ssl证书时开始抛出错误

所以, 我已将整个默认的ca-certs导出到我的自定义信任库文件中(显然不需要将其导入我的密钥库,只需导入我的信任库):

keytool -importkeystore -srckeystore /etc/ssl/certs/java/cacerts -destkeystore /path_to_my_custom_truststore

现在,一切似乎都在按预期工作,我主要担心的是我现在已从原始默认JVM证书存储分离(密钥库/信任库)/etc/ssl/certs/java/cacerts,因此容易受到此文件中未来更改的影响。

更准确地说,当JVM更新并添加新的证书别名时会发生什么?

1 个答案:

答案 0 :(得分:1)

最好定义自己的信任库,包括您接受的CA根证书,而不是使用JVM的默认受信任根CA集。

这样您就不依赖于JVM的最终更新,这可能会添加不需要的CA或删除所需的CA. Modifiyng /image/也会影响使用相同JVM的其他应用程序。

不需要将CA证书添加到密钥库。

相关问题
最新问题