一尘不染

如何使用Play Framework通过SSL连接到远程MySQL数据库?

mysql

我在由远程MySQL数据库支持的分布式环境中部署Play应用程序。具体来说,应用程序托管在heroku上,数据库位于Amazon
RDS上(尽管这实际上适用于任何远程数据库连接)。由于数据库不仅位于本地主机上,为了安全起见,我更希望通过SSL建立远程MySQL连接。

给定要信任的CA证书,只有可以验证主机证书的情况下,如何配置Play应用程序以通过SSL连接到MySQL服务器?

假定这是当前数据库配置:

db.default.driver=com.mysql.jdbc.Driver
db.default.url="jdbc:mysql://url.to.database/test_db"
db.default.user=root 
db.default.password="...."

阅读 264

收藏
2020-05-17

共1个答案

一尘不染

假设您已经为MySQL服务器设置了CA证书(使用Amazon RDS时就是这种情况),那么需要执行一些步骤来完成这项工作。

首先,应使用JDK随附的keytool将CA证书导入到Java
KeyStore文件中。在这种情况下,密钥库将包含我们要信任的所有CA证书。对于Amazon
RDS,可以在此处找到CA证书。随着mysql-ssl-ca-cert.pem在你的工作目录,可以运行下面的命令:

keytool -import -alias mysqlServerCACert -file mysql-ssl-ca-cert.pem -keystore truststore.jks

truststore.jks提示您输入KeyStore密码并询问您是否要信任证书后,它将创建一个新的Java
KeyStore文件(是,您愿意)。如果您已经有一个信任库文件,则可以运行相同的命令,替换truststore.jks为现有密钥库的路径(然后,系统将提示您输入现有密钥库的密码)。我通常将truststore.jks我的conf目录。

其次,application.conf您需要在数据库URL中添加一些JDBC URL参数:

verifyServerCertificate=true -如果无法验证主机证书,则拒绝连接。

useSSL=true -使用SSL连接。

requireSSL=true -如果MySQL服务器不支持SSL,则拒绝连接。

例如,如果您当前的数据库URL为:

db.default.url="jdbc:mysql://url.to.database/test_db"

那么现在应该是:

db.default.url="jdbc:mysql://url.to.database/test_db?verifyServerCertificate=true&useSSL=true&requireSSL=true"

最后,启动Play服务器以配置MySQL-Connector /
J将使用的信任库时,需要传递一些命令行选项。假设我的truststore.jks文件位于conf目录中,密码为password,我将以如下方式启动服务器(以开发人员模式):

activator run -Djavax.net.ssl.trustStore="conf/truststore.jks" -Djavax.net.ssl.trustStorePassword="password"

除此之外,我还想确保不使用SSL就无法连接到数据库,以防万一这些选项在应用程序级别被弄乱了。例如,如果使用db.default.user=root,则root在MySQL服务器中登录时,运行以下查询:

GRANT USAGE ON *.* TO 'root'@'%' REQUIRE SSL;
FLUSH PRIVILEGES;
2020-05-17