JDBC通过SSL方式连接MySQL

环境说明

MySQL 版本

MySQL 5.7.26

pom.xml

<dependency>
   <groupId>mysql</groupId>
   <artifactId>mysql-connector-java</artifactId>
   <version>8.0.18</version>
</dependency>

JDK版本

JDK 1.8

MySQL配置SSL

查看MySQL是否支持SSL连接

• 查看MySQL是否支持SSL

SHOW VARIABLES LIKE 'have_ssl'

如果hava_ssl对应的值为YES则支持SSL

• 查询ssl证书地址

show variables like '%ssl%';

ssl_ca对应的就是ssl证书名

创建SSL连接用户

• 创建用户

CREATE USER 'ssler'@'%' IDENTIFIED BY '123456';
GRANT ALL ON *.* TO 'ssler'@'%'

• 查看用户是否使用ssl

SELECT ssl_type From mysql.user Where user="ssler"

截图中ssl_type为空字符串，表示该用户不强制要求使用ssl连接。

• 配置用户必须使用ssl连接

ALTER USER 'ssler'@'%' REQUIRE SSL;
FLUSH PRIVILEGES

此时再执行SELECT ssl_type From mysql.user Where user="ssler"

ANY表示必须使用ssl连接。

JDBC配置

导入证书

• 使用jdk自带的keytool导入mysql的客户端证书到**仓库，并生成**文件。
  根据上文查到的ca.pem，将其复制到目标主机上，然后执行下述指令

$ keytool -import -trustcacerts -v -alias Mysql -file ca.pem -keystore "mysql.ks"
输入**库口令:
再次输入新口令:
所有者: CN=MySQL_Server_5.7.26_Auto_Generated_CA_Certificate
发布者: CN=MySQL_Server_5.7.26_Auto_Generated_CA_Certificate
***: 1
有效期为 Wed Apr 29 16:32:45 CST 2020 至 Sat Apr 27 16:32:45 CST 2030
证书指纹:
         MD5:  09:E7:41:84:08:B0:70:5F:AC:D6:03:61:CE:F4:50:DE
         SHA1: 6B:EE:FE:B4:74:89:A3:88:6C:49:22:44:6D:FB:88:DE:18:6A:7A:F6
         SHA256: 83:DD:8F:83:71:08:1D:36:D6:C0:2B:23:D2:E9:DC:84:0E:D6:ED:9A:E5:85:DF:7C:7C:52:33:9A:D7:83:0F:29
签名算法名称: SHA256withRSA
主体公共**算法: 2048 位 RSA **
版本: 3

扩展:

#1: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

是否信任此证书? [否]:  y
证书已添加到**库中
[正在存储mysql.ks]

通过指令验证证书是否导入：

$ keytool -list -keystore mysql.ks
输入**库口令:
**库类型: jks
**库提供方: SUN

您的**库包含 1 个条目

mysql, 2020-6-9, trustedCertEntry,
证书指纹 (SHA1): 6B:EE:FE:B4:74:89:A3:88:6C:49:22:44:6D:FB:88:DE:18:6A:7A:F6

将证书放在目标服务器上

在**仓库文件生成的文件夹下，配置http服务器。此处使用go写一个http文件服务器:

package main

import "net/http"

func main()  {
	http.Handle("/", http.FileServer(http.Dir(".")))
	http.ListenAndServe(":9999", nil)
}

将编译后的go程序放在与mysql.ks同一目录下，并启动即可

编写JDBC代码

public class JDBCMySQL {

    public static void main(String[] args) {
        Connection connection = null;
        String urlWithCe = "jdbc:mysql://192.168.254.82:13306/cloud?" +
                "useSSL=true&trustCertificateKeyStorePassword=123456&" +
                "trustCertificateKeyStoreUrl=http://localhost:9999/mysql.ks&" +
                "allowMultiQueries=true&" +
                "useUnicode&characterEncoding=UTF-8&" +
                "verifyServerCertificate=false&requireSSL=true";
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection(urlWithCe,
                    "ssler", "123456");
            PreparedStatement preparedStatement = connection.prepareStatement("select * from " +
                    "cm_user");
            System.out.println(preparedStatement.executeQuery().first());
        } catch (Exception exception) {
            exception.printStackTrace();
        }
    }
}

trustCertificateKeyStorePassword=123456为**仓库的密码，在生成**仓库文件时配置；
trustCertificateKeyStoreUrl=http://localhost:9999/mysql.ks为证书放置在http服务器后的地址