使用来自 Compute Engine 和/或外部网络的 SSL 的 Google Cloud SQL

【问题标题】:Google Cloud SQL with SSL from Compute Engine and/or External Network使用来自 Compute Engine 和/或外部网络的 SSL 的 Google Cloud SQL
【发布时间】:2015-06-25 16:17:31
【问题描述】:

我正在尝试使用 SSL 连接到 Google Cloud SQL (mysql) 实例。我启用了两个 IP 地址和一个具有这些 IP 地址远程访问权限的用户。我还从 Google 的开发者控制台生成了证书文件。

client-key.pem client-cert.pem server-ca.pem

从两个启用的 IP 地址中的每一个使用此命令,我都成功建立了连接。

mysql --ssl-ca=server-ca.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem --host=xxx.xxx.xxx.xxx --user=username --password

由于 mysql 客户端工作正常,我知道我的防火墙设置、用户、证书等设置正确。

现在我想在一个可执行的 jar 文件中与 java 建立类似的连接。

按照此处列出的步骤:http://dev.mysql.com/doc/connector-j/en/connector-j-reference-using-ssl.html

Step 1: keytool -import -alias mysqlServerCACert -file cacert.pem -keystore truststore

注意:我将 server-ca.pem 替换为说明中使用的 cacert.pem

Step 2: openssl x509 -outform DER -in client-cert.pem -out client.cert
Step 3: keytool -import -file client.cert -keystore keystore -alias mysqlClientCertificate

这些步骤创建了我的密钥库和信任库文件。我将不同的密码关联为 这两个文件中的每一个都是生成的。

这里是相关的Java代码:

public void testConnection() throws ClassNotFoundException, SQLException,
        IllegalAccessException, InstantiationException {

    String path = "/home/user/dir/"; // path to keystore and truststore file

    System.setProperty("javax.net.ssl.keyStore",path + "keystore");
    System.setProperty("javax.net.ssl.keyStorePassword",keyStorePassword);
    System.setProperty("javax.net.ssl.trustStore",path + "truststore");
    System.setProperty("javax.net.ssl.trustStorePassword",trustStorePassword);

    String user = "dbuser";
    String password = "dbUserPassword";

    Connection conn = null;
    int i = 0;
    try {
        String url = "jdbc:mysql://<databaseip>:3306/<databaseName>"
            + "?verifyServerCertificate=true"
            + "&useSSL=true"
            + "&requireSSL=true";

        Class dbDriver = Class.forName("com.mysql.jdbc.Driver");
        conn = DriverManager.getConnection(url, user, password);

        ResultSet rs = conn.createStatement().executeQuery(
                "SELECT 1 + 1 as val");

        while (rs.next()) {
            i = rs.getInt(1);
        }
    } catch (Exception ex) {
        ex.printStackTrace();
    } finally {
        if (conn != null) {
            try {
                conn.close();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }
    System.out.println("The MySQL value is: " + i);
}

再次,通过两个启用的 IP 地址,我能够使用 Java 代码中使用的相同用户和密码连接 MySQL 命令行客户端。

我收到以下 java 连接异常。鉴于 mysql 客户端使用相同的用户/密码凭据,我有点怀疑错误消息。任何见解都非常感谢。有其他人启动 SSL 并使用 Google SQL 吗?想法,建议,技巧和技巧表示赞赏。谢谢!

java.sql.SQLException: Access denied for user 'dbuser'@'xxx.xxx.xxx.xxx' (using password: YES)
at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:946)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:2985)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:885)
at com.mysql.jdbc.MysqlIO.secureAuth411(MysqlIO.java:3421)
at com.mysql.jdbc.MysqlIO.negotiateSSLConnection(MysqlIO.java:3988)
at com.mysql.jdbc.MysqlIO.doHandshake(MysqlIO.java:1293)
at com.mysql.jdbc.Connection.createNewIO(Connection.java:2775)
at com.mysql.jdbc.Connection.<init>(Connection.java:1555)
at com.mysql.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:285)
at java.sql.DriverManager.getConnection(DriverManager.java:571)
at java.sql.DriverManager.getConnection(DriverManager.java:215)
at com.test.UserData.getConnection(UserData.java:81)
at com.test.UserData.testConnection(UserData.java:52)

【问题讨论】:

标签: java mysql google-app-engine ssl


【解决方案1】:

mba12我也遇到了同样的问题,谢谢解答!

所以,解决方案就在这里(正如您所指出的): How to connect to MySQL with X509 using JDBC?

我还发现了这个: importing an existing x509 certificate and private key in Java keystore to use in ssl

只是为了澄清

javax.net.ssl.keyStore 必须是客户端证书 + 密钥的组合,而不仅仅是 MySQL 指南中描述的客户端证书。

总结

  1. 我们有:

server-ca.pem - MySQL CA证书,可从“SSL配置->查看服务器CA证书”下载

client-cert.pem - 客户端公钥,可从“客户端证书->新建证书”中下载

client-key.pem - 客户端私钥,只能从“新建 SSL 证书创建对话框”下载

此处描述:https://cloud.google.com/sql/docs/configure-ssl-instance

让我们将它们保存在 server-instance/ 文件夹中,并为步骤 2 中生成的文件创建 jks/ 文件夹。

  1. 创建truststore 文件

    2.1。复制原JAVA的cacertsjks/truststore.jks

    cp $JAVA_HOME/jre/lib/security/cacerts jks/truststore.jks

    2.2。将 MySQL 服务器 CA 证书/Google Cloud SQL Server CA server-ca.pem 添加到我们在步骤 2.1 中复制的 JAVA 默认信任库 cacerts。:

    keytool -importcert -noprompt -trustcacerts -keystore jks/truststore.jks -storepass changeit -alias googlecloudsqlservercacert -file server-instance/server-ca.pem

  2. 创建keystore 文件

    3.1。将 x509 证书和私钥转换为 pkcs12 文件:

    openssl pkcs12 -export -in server-instance/client-cert.pem -inkey server-instance/client-key.pem -out jks/client.p12

    (输入强制密码),例如:p4ssw0rd

    3.2。将 pkcs12 文件转换为 java 密钥库:

    keytool -importkeystore -srckeystore jks/client.p12 -srcstoretype PKCS12 -destkeystore jks/keystore.jks -deststoretype JKS

    (输入相同的密码),例如:p4ssw0rd

关于转换: http://blog.ejbca.org/2008/02/converting-keystores-between-jks-and.html

【讨论】:

    猜你喜欢
    • 2014-05-18
    • 1970-01-01
    • 2016-09-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-10-09
    • 2018-08-15
    • 2020-01-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode