【发布时间】:2019-02-28 17:51:51
【问题描述】:
我已经设法正确配置我的 java 应用程序以安全地连接到我的 mysql,但我想知道:这是配置所需证书的正确方法吗?
我创建了一个自定义信任库和一个自定义密钥库:
1 将服务器 CA 证书导入到我的自定义信任库文件中
keytool -import -alias mysqlServerCACert -file server-ca.pem -keystore truststore
2 将客户端证书和客户端密钥捆绑到一个 pkcs12 文件中,并将其导入到我的自定义密钥库文件中
openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -out client.p12 -name clientalias -CAfile server-ca.pem
keytool -importkeystore -destkeystore keystore -srckeystore client.p12 -srcstoretype PKCS12 -alias clientalias
我已将 jdbcUrl 配置为使用安全连接:
mysql://[my_host]:3306/[my_db]?useUnicode=yes&characterEncoding=UTF-8&useSSL=true&requireSSL=true&verifyServerCertificate=true
我已使用以下 JVM 环境选项设置我的应用程序:
JAVA_OPTS="
-Djavax.net.ssl.keyStore=/path_to_my_custom_keystore
-Djavax.net.ssl.keyStorePassword=mykeyStorePassword
-Djavax.net.ssl.trustStore=/path_to_my_custom_truststore
-Djavax.net.ssl.trustStorePassword=mytrustStorePasswordPassword"
但是那样,我实际上改变了默认的密钥库/信任库,它通常位于:$JAVA_HOME/jre/lib/security/cacerts
通过这样做,一些客户端库在信任库中查找其 ssl 证书时开始抛出错误
所以, 我已将整个默认 ca-certs 导出到我的自定义信任库文件(显然不需要将其导入我的密钥库,只需导入我的信任库):
keytool -importkeystore -srckeystore /etc/ssl/certs/java/cacerts -destkeystore /path_to_my_custom_truststore
现在,一切似乎都按预期工作,我主要担心的是我现在已脱离原始默认 JVM 证书存储(密钥库/信任库) /etc/ssl/certs/java/cacerts,因此容易受到此文件未来更改的影响。
更准确地说,当 JVM 更新并添加新的证书别名时会发生什么?
【问题讨论】:
标签: java mysql jdbc certificate keystore