注:本人是SSLSocket新手...
我在本地主机上运行的 mysql 数据库(版本 5.7.9)和 java 应用程序(Java 1.8.0_U73)之间建立了安全连接。数据库连接是使用 SpringFramework 4.2.4 API 创建的。我试图在数据库和 Java 应用程序通过 SpringFramework API 进行通信的同一套接字上打开 Java SSLSocket,但没有成功。我在启动 ssl 套接字 startHandshake() 方法时遇到的 printstack 错误是(注意 path to 替换了我运行的实际安装文件夹):
[*path to*\db\mysql\bin\mysqld, "--basedir=*path to*\db\mysql", "--datadir=*path to*\db\mysql\data", "--secure-file-priv=*path to*\db\mysql\data", --port=3355, "--ssl-ca=*path to*\db\mysql\data\cacert.pem", "--ssl-cert=*path to*\db\mysql\data\server-cert.pem", "--ssl-key=*path to*\db\mysql\data\server-key.pem"]
javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?
at sun.security.ssl.InputRecord.handleUnknownRecord(Unknown Source)
at sun.security.ssl.InputRecord.read(Unknown Source)
at sun.security.ssl.SSLSocketImpl.readRecord(Unknown Source)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(Unknown Source)
at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
at sun.security.ssl.SSLSocketImpl.startHandshake(Unknown Source)
at TestSSL.testSocket(TestSSL.java:209)
at TestSSL.main(TestSSL.java:253)
mysql 数据库以示例 cacert.pem、server-cert.pem 和 server-key.pem 文件启动,这些文件可以在我从下载的 mysql-5.7.11-winx64-debug-test.zip 中找到使用 --ssl-ca、--ssl-cert 和 --ssl-key 启动选项的 mysql 网站。
Mysql 日志文件显示以下 mysqld 启动:
2016-02-24T19:37:06.710628Z 0 [注意] InnoDB:从路径加载缓冲池到\db\mysql\data\ib_buffer_pool
2016-02-24T19:37:06.808638Z 0 [警告] CA 证书 路径\db\mysql\data\cacert.pem 是自签名的。
2016-02-24T19:37:06.819639Z 0 [注意] 服务器主机名(绑定(bind)地址):'*';端口:3355
2016-02-24T19:37:06.821639Z 0 [注意] IPv6 可用。
2016-02-24T19:37:06.822639Z 0 [注意] - '::' 解析为 '::';
2016-02-24T19:37:06.823639Z 0 [注意] 在 IP 上创建的服务器套接字:'::'。
2016-02-24T19:37:06.977655Z 0 [注意] InnoDB:缓冲池加载在 160224 12:37:06 完成
2016-02-24T19:37:07.107668Z 0 [注意] 事件调度程序:已加载 0 个事件
2016-02-24T19:37:07.108668Z 0 [注意] 路径\db\mysql\bin\mysqld:准备连接。
版本:'5.7.9' 套接字:'' 端口:3355 MySQL 社区服务器 (GPL)
此外,使用 MySQL Workbench 快速连接到 mysql 数据库显示:
连接:
名称:MyConnection64
主机:本地主机
端口:3355
服务器:MySQL 社区服务器 (GPL)
版本:5.7.9
登录用户:root
当前用户:root@localhost
SSL:使用 DHE-RSA-AES256-SHA
创建 Java SpringFramework 数据库连接的 URL 是(来 self 的 SpringFramework dbaccess.xml 文件):
输入键=“db.jdbcurl”
value="jdbc:mysql://localhost:3355/imom?useServerPrepStmts=false&rewriteBatchedStatements=true&server.basedir=路径\db\mysql&server.datadir=路径\db\mysql\data&createDatabaseIfNotExist=true&autoReconnect=true&useSSL=true"
我用来启动我的 Java 应用程序的 VM 参数是:
-Djavax.net.ssl.keyStore="path to\db\mysql\data\keystore"-Djavax .net.ssl.keyStorePassword="changeme"-Djavax.net.ssl.trustStore="路径\db\mysql\data\truststore"-Djavax.net.ssl.trustStorePassword="changeme"
我使用(成功)创建 SpringFramework 连接的代码是:
private static void testSpring() {
try {
Connection conn = DataSourceUtils.getConnection(m_dataSource);
conn.close();
} catch (Exception ex) {
System.out.println(ex.getMessage());
ex.printStackTrace();
}
}
我用来创建 SSLSocket(未成功)的代码是:
private static void testSocket() {
// System.setProperty("jsse.enableSNIExtension", "false");
// System.setProperty("jsse.enabledSSLCipherSuites", "TLS_DHE_RSA_WITH_AES_256_CBC_SHA");
try {
Socket socket = new Socket(m_hostnameString, Integer.parseInt(m_portString));
InputStream keyStoreResource = new FileInputStream(m_baseDir
+ File.separator + "data" + File.separator + "keystore");
char[] keyStorePassphrase = "changeme".toCharArray();
KeyStore ksKeys = KeyStore.getInstance("JKS");
ksKeys.load(keyStoreResource, keyStorePassphrase);
// KeyManager decides which key material to use.
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
kmf.init(ksKeys, keyStorePassphrase);
InputStream trustStoreIS = new FileInputStream(m_baseDir
+ File.separator + "data" + File.separator + "truststore");
char[] trustStorePassphrase = "changeme".toCharArray();
KeyStore ksTrust = KeyStore.getInstance("JKS");
ksTrust.load(trustStoreIS, trustStorePassphrase);
// TrustManager decides which certificate authorities to use.
TrustManagerFactory tmf = TrustManagerFactory
.getInstance("SunX509");
tmf.init(ksTrust);
// SSLSocketFactoryEx factory = new SSLSocketFactoryEx(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory.getDefault();
SSLSocket sslSocket = (SSLSocket) factory.createSocket(socket, m_hostnameString, Integer.parseInt(m_portString),true);
// and go!
sslSocket.startHandshake();
}
catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (FileNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (KeyStoreException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (CertificateException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (UnrecoverableKeyException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
最佳答案
我对您为什么要使用自己的 SSL 套接字直接连接到 MySQL 实例感到有点困惑。通常,您仍然希望通过任何机制(Spring、JPA 等)使用 JDBC 库并告诉它使用 SSL。正如您不想使用“普通”套接字直接连接到 MySQL 服务器一样,您也不想使用 SSL。参见 this page了解更多信息。
关于java - 无法与安全的 mysql 打开套接字建立 Java SSLSocket 连接,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35612332/