使用新的 TLS 证书更新应用程序,以连接到 Aurora MySQL 数据库集群 - Amazon Aurora
确定是否有任何应用程序正使用 TLS 连接到 Aurora MySQL 数据库集群确定客户端是否需要证书验证才能连接更新应用程序信任存储用于建立 TLS 连接的示例 Java 代码
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用新的 TLS 证书更新应用程序,以连接到 Aurora MySQL 数据库集群

自 2023 年 1 月 13 日起,Amazon RDS 发布了新的证书颁发机构(CA)证书,以便使用传输层安全性协议(TLS)连接到 Aurora 数据库集群。接下来,您可以找到有关更新应用程序以使用新证书的信息。

本主题可帮助您确定是否有任何客户端应用程序使用 TLS 连接到您的数据库集群。如果是这样,您可以进一步检查这些应用程序是否需要证书验证才能连接。

注意

某些应用程序被配置为仅在它们可以成功验证服务器上的证书时才连接到 Aurora MySQL 数据库集群。

对于此类应用程序,您必须更新客户端应用程序信任存储,以包括新的 CA 证书。

更新客户端应用程序信任存储中的 CA 证书后,可以在数据库集群上轮换这些证书。强烈建议在生产环境中实现这些过程之前,先在开发或测试环境中测试它们。

有关证书轮换的更多信息,请参阅轮换 SSL/TLS 证书。有关下载证书的更多信息,请参阅使用 SSL/TLS 加密与数据库集群的连接。有关将 TLS 用于 Aurora MySQL 数据库集群的信息,请参阅将 TLS 与 Aurora MySQL 数据库集群结合使用

确定是否有任何应用程序正使用 TLS 连接到 Aurora MySQL 数据库集群

如果您使用的是 Aurora MySQL 版本 2(与 MySQL 5.7 兼容)并且启用了性能架构,则运行以下查询以检查连接是否正在使用 TLS。有关启用性能架构的信息,请参阅 MySQL 文档中的性能架构快速入门

mysql> SELECT id, user, host, connection_type
       FROM performance_schema.threads pst
       INNER JOIN information_schema.processlist isp
       ON pst.processlist_id = isp.id;

在该示例输出中,您可以看到自己的会话(admin)以及作为 webapp1 登录的应用程序均在使用 TLS。

+----+-----------------+------------------+-----------------+
| id | user            | host             | connection_type |
+----+-----------------+------------------+-----------------+
|  8 | admin           | 10.0.4.249:42590 | SSL/TLS         |
|  4 | event_scheduler | localhost        | NULL            |
| 10 | webapp1         | 159.28.1.1:42189 | SSL/TLS         |
+----+-----------------+------------------+-----------------+
3 rows in set (0.00 sec)

确定客户端是否需要证书验证才能连接

您可以检查 JDBC 客户端和 MySQL 客户端是否需要证书验证才能连接。

JDBC

以下使用 MySQL Connector/J 8.0 的示例显示了一种方法,用于检查应用程序的 JDBC 连接属性以确定成功的连接是否需要有效证书。有关 MySQL 的所有 JDBC 连接选项的更多信息,请参阅 MySQL 文档中的配置属性

当使用 MySQL Connector/J 8.0 时,如果您的连接属性将 sslMode 设置为 VERIFY_CAVERIFY_IDENTITY,则 TLS 连接需要对服务器 CA 证书进行验证,如以下示例所示。

Properties properties = new Properties();
properties.setProperty("sslMode", "VERIFY_IDENTITY");
properties.put("user", DB_USER);
properties.put("password", DB_PASSWORD);
注意

如果您使用 MySQL Java Connector v5.1.38 或更高版本或者 MySQL Java Connector v8.0.9 或更高版本连接到数据库,即使您没有明确配置应用程序在连接到数据库时使用 TLS,这些客户端驱动程序仍默认为使用 TLS。此外,在使用 TLS 时,它们会执行部分证书验证,如果数据库服务器证书过期,则无法连接。

MySQL

以下使用 MySQL 客户端的示例显示了两种方法,用于检查脚本的 MySQL 连接以确定成功的连接是否需要有效证书。有关 MySQL 客户端的所有连接选项的更多信息,请参阅 MySQL 文档中的加密连接的客户端配置

当使用 MySQL 5.7 或 MySQL 8.0 客户端时,如果对于 --ssl-mode 选项,您指定 VERIFY_CAVERIFY_IDENTITY,则 TLS 连接需要对服务器 CA 证书进行验证,如以下示例所示。

mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-mode=VERIFY_CA

当使用 MySQL 5.6 客户端时,如果您指定 --ssl-verify-server-cert 选项,则 SSL 连接需要对服务器 CA 证书进行验证,如以下示例所示。

mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-verify-server-cert

更新应用程序信任存储

有关更新 MySQL 应用程序的信任存储的信息,请参阅 MySQL 文档中的安装 SSL 证书

注意

更新信任存储时,除了添加新证书外,还可以保留较旧证书。

更新 JDBC 应用程序信任存储

您可以更新使用 JDBC 的应用程序的信任存储以进行 TLS 连接。

有关下载根证书的信息,请参阅 使用 SSL/TLS 加密与数据库集群的连接

有关导入证书的示例脚本,请参阅 将证书导入信任存储的示例脚本

如果在应用程序中使用 mysql JDBC 驱动程序,请在该应用程序中设置以下属性。

System.setProperty("javax.net.ssl.trustStore", certs);
System.setProperty("javax.net.ssl.trustStorePassword", "password");
注意

作为安全最佳实践,请指定除此处所示提示以外的密码。

启动应用程序时,请设置以下属性。

java -Djavax.net.ssl.trustStore=/path_to_truststore/MyTruststore.jks -Djavax.net.ssl.trustStorePassword=my_truststore_password com.companyName.MyApplication

用于建立 TLS 连接的示例 Java 代码

以下代码示例展示了如何设置使用 JDBC 验证服务器证书的 SSL 连接。

public class MySQLSSLTest {

        private static final String DB_USER = "user name";
        private static final String DB_PASSWORD = "password";
        // This key store has only the prod root ca.
        private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore";
        private static final String KEY_STORE_PASS = "keystore-password";

    public static void test(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");


        System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH);
        System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS);

        Properties properties = new Properties();
        properties.setProperty("sslMode", "VERIFY_IDENTITY");
        properties.put("user", DB_USER);
        properties.put("password", DB_PASSWORD);

        Connection connection = DriverManager.getConnection("jdbc:mysql://jagdeeps-ssl-test.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306",properties);
        Statement stmt=connection.createStatement();

        ResultSet rs=stmt.executeQuery("SELECT 1 from dual");

        return;
    }
}
重要

在确定了数据库连接使用 TLS 并更新了应用程序信任存储之后,可以更新数据库以使用 rds-ca-rsa2048-g1 证书。有关说明,请参阅通过修改数据库实例来更新 CA 证书中的步骤 3。