更新应用程序以使用新的 SSL/TLS 证书连接到 MariaDB 实例
自 2023 年 1 月 13 日起,Amazon RDS 发布了新的证书颁发机构(CA)证书,以便使用安全套接字层或传输层安全性协议(SSL/TLS)连接到 RDS 数据库实例。接下来,您可以找到有关更新应用程序以使用新证书的信息。
本主题可以帮助您确定应用程序是否需要证书验证才能连接到数据库实例。
注意
某些应用程序配置为仅在它们可以成功验证服务器上的证书时才连接到 MariaDB。对于此类应用程序,您必须更新客户端应用程序信任存储,以包括新的 CA 证书。
您可以指定以下 SSL 模式:disabled
、preferred
和 required
。当您使用 preferred
SSL 模式且 CA 证书不存在或不是最新时,连接会恢复为不使用 SSL,且仍能成功连接。
不建议使用 preferred
模式。在 preferred
模式下,如果连接遇到无效证书,则会停止使用加密并在未加密的状态下继续。
更新客户端应用程序信任存储中的 CA 证书后,可以在数据库实例上轮换这些证书。强烈建议在生产环境中实现这些过程之前,先在开发或测试环境中测试它们。
有关证书轮换的更多信息,请参阅轮换 SSL/TLS 证书。有关下载证书的更多信息,请参阅使用 SSL/TLS 加密与数据库实例或集群的连接。有关对 MariaDB 数据库实例使用 SSL/TLS 的信息,请参阅Amazon RDS 上 MariaDB 数据库实例的 SSL/TLS 支持。
确定客户端是否需要证书验证才能连接
您可以检查 JDBC 客户端和 MySQL 客户端是否需要证书验证才能连接。
JDBC
以下使用 MySQL Connector/J 8.0 的示例显示了一种方法,用于检查应用程序的 JDBC 连接属性以确定成功的连接是否需要有效证书。有关 MySQL 的所有 JDBC 连接选项的更多信息,请参阅 MySQL 文档中的配置属性
当使用 MySQL Connector/J 8.0 时,如果您的连接属性将 sslMode
设置为 VERIFY_CA
或 VERIFY_IDENTITY
,则 SSL 连接需要对服务器 CA 证书进行验证,如以下示例所示。
Properties properties = new Properties(); properties.setProperty("sslMode", "VERIFY_IDENTITY"); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD);
注意
如果您使用 MySQL Java Connector v5.1.38 或更高版本或者 MySQL Java Connector v8.0.9 或更高版本连接到数据库,即使您没有明确配置应用程序在连接到数据库时使用 SSL/TLS,这些客户端驱动程序仍默认为使用 SSL/TLS。此外,在使用 SSL/TLS 时,它们会执行部分证书验证,如果数据库服务器证书过期,则无法连接。
作为安全最佳实践,请指定除此处所示提示以外的密码。
MySQL
以下使用 MySQL 客户端的示例显示了两种方法,用于检查脚本的 MySQL 连接以确定成功的连接是否需要有效证书。有关 MySQL 客户端的所有连接选项的更多信息,请参阅 MySQL 文档中的加密连接的客户端配置
当使用 MySQL 5.7 或 MySQL 8.0 客户端时,如果对于 --ssl-mode
选项,您指定 VERIFY_CA
或 VERIFY_IDENTITY
,则 SSL 连接需要对服务器 CA 证书进行验证,如以下示例所示。
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/
ssl-cert.pem
--ssl-mode=VERIFY_CA
当使用 MySQL 5.6 客户端时,如果您指定 --ssl-verify-server-cert
选项,则 SSL 连接需要对服务器 CA 证书进行验证,如以下示例所示。
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/
ssl-cert.pem
--ssl-verify-server-cert
更新应用程序信任存储
有关更新 MySQL 应用程序的信任存储的信息,请参阅 MariaDB 文档中的将 TLS/SSL 与 MariaDB Connector/J 结合使用
有关下载根证书的信息,请参阅 使用 SSL/TLS 加密与数据库实例或集群的连接。
有关导入证书的示例脚本,请参阅 将证书导入信任存储的示例脚本。
注意
更新信任存储时,除了添加新证书外,还可以保留较旧证书。
如果在应用程序中使用 MariaDB Connector/J JDBC 驱动程序,请在该应用程序中设置以下属性。
System.setProperty("javax.net.ssl.trustStore",
certs
); System.setProperty("javax.net.ssl.trustStorePassword", "password
");
启动应用程序时,请设置以下属性。
java -Djavax.net.ssl.trustStore=
/path_to_truststore/MyTruststore.jks
-Djavax.net.ssl.trustStorePassword=my_truststore_password
com.companyName.MyApplication
注意
作为安全最佳实践,请指定除此处所示提示以外的密码。
用于建立 SSL 连接的示例 Java 代码
以下代码说明如何设置使用 JDBC 的 SSL 连接。
private static final String DB_USER = "admin"; private static final String DB_USER = "
user name
"; private static final String DB_PASSWORD = "password
"; // This key store has only the prod root ca. private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore
"; private static final String KEY_STORE_PASS = "keystore-password
"; public static void main(String[] args) throws Exception { Class.forName("org.mariadb.jdbc.Driver"); System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH); System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS); Properties properties = new Properties(); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD); Connection connection = DriverManager.getConnection("jdbc:mysql://ssl-mariadb-public.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306?useSSL=true",properties); Statement stmt=connection.createStatement(); ResultSet rs=stmt.executeQuery("SELECT 1 from dual"); return; }
重要
在确定了数据库连接使用 SSL/TLS 并更新了应用程序信任存储之后,可以更新数据库以使用 rds-ca-rsa2048-g1 证书。有关说明,请参阅 通过修改数据库实例或集群来更新 CA 证书 中的步骤 3。
作为安全最佳实践,请指定除此处所示提示以外的密码。