本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
更新應用程式,以使用新的 SSL/TLS 憑證連線至 MariaDB 執行個體
自 2023 年 1 月 13 日起,Amazon RDS 已發佈新的憑證認證機構 (CA) 憑證,使用 Secure Socket Layer 或 Transport Layer Security (SSL/TLS) 來連線至 RDS 資料庫執行個體。接下來,您可以找到更新應用程式使用新憑證的相關資訊。
本主題可協助您決定應用程式是否需要驗證憑證,才能連線至您的資料庫執行個體。
注意
有些應用程式設定為只有在成功驗證伺服器上的憑證時,才能連線至 MariaDB。對於這些應用程式,您必須更新用戶端應用程式信任存放區來包含新的 CA 憑證。
您可以指定下列 SSL 模式:disabled
、preferred
及 required
。當您使用 preferred
SSL 模式且 CA 憑證不存在或不是最新版本時,連線會回復為未使用 SSL,並且仍然成功連線。
我們建議您避免使用 preferred
模式。在 preferred
模式中,如果連線遇到無效憑證,則會停止使用加密並繼續使用未加密連線。
更新用戶端應用程式信任存放區中的 CA 憑證之後,您就可以在資料庫執行個體輪換憑證。強烈建議先在開發或預備環境中測試這些步驟,再於生產環境中實作。
如需憑證輪換的詳細資訊,請參閱旋轉您的SSL/TLS證書。如需下載憑證的詳細資訊,請參閱使用SSL/TLS來加密資料庫執行個體或叢集集的連線。如需對 MariaDB 資料庫執行個體使用 SSL/TLS 的資訊,請參閱將 SSL/TLS 與 MariaDB 資料庫執行個體搭配使用。
判斷用戶端是否需要驗證憑證才能連線
您可以檢查 JDBC 用戶端和 MySQL 用戶端是否需要驗證憑證才能連線。
JDBC
以下 MySQL Connector/J 8.0 範例指出一種方式來檢查應用程式的 JDBC 連線屬性,以判斷是否需要有效憑證才能成功連線。如需 MySQL 的所有 JDBC 連線選項的詳細資訊,請參閱 MySQL 文件中的組態屬性
使用 MySQL Connector/J 8.0 時,如果連線屬性的 sslMode
設為 VERIFY_CA
或 VERIFY_IDENTITY
,則需要以伺服器 CA 憑證來驗證 SSL 連線,如下列範例所示。
Properties properties = new Properties(); properties.setProperty("sslMode", "VERIFY_IDENTITY"); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD);
注意
如果您使用 MySQL Java Connector v5.1.38 或更高版本,或 MySQL Java Connector v8.0.9 或更高版本來連線至您的資料庫,即使您尚未明確設定應用程式在連線到資料庫時使用 SSL/TLS,這些用戶端驅動程式會預設為使用 SSL/TLS。此外,使用 SSL/TLS 時,它們會執行部分憑證驗證,如果資料庫伺服器憑證已過期,則無法連線。
指定此處所顯示提示以外的密碼,作為安全最佳實務。
MySQL
以下 MySQL 用戶端範例指出兩種方式來檢查指令碼的 MySQL 連線,以判斷是否需要有效憑證才能成功連線。如需 MySQL 用戶端所有連線選項的詳細資訊,請參閱 MySQL 文件中的加密連線的用戶端組態
使用 MySQL 5.7 或 MySQL 8.0 用戶端時,如果您將 --ssl-mode
選項指定為 VERIFY_CA
或 VERIFY_IDENTITY
,則需要以伺服器 CA 憑證來驗證 SSL 連線,如下列範例所示。
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/
ssl-cert.pem
--ssl-mode=VERIFY_CA
使用 MySQL 5.6 用戶端時,如果您指定 --ssl-verify-server-cert
選項,則需要以伺服器 CA 憑證來驗證 SSL 連線,如下列範例所示。
mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/
ssl-cert.pem
--ssl-verify-server-cert
更新應用程式信任存放區
如需為 MySQL 應用程式更新信任存放區的資訊,請參閱 MariaDB 文件中的搭配 MariaDB Connector/J 使用 TLS/SSL
如需下載根憑證的資訊,請參閱 使用SSL/TLS來加密資料庫執行個體或叢集集的連線。
如需匯入憑證的範例指令碼,請參閱 將憑證匯入信任存放區的範例指令碼。
注意
更新信任存放區時,除了新增憑證,您還可以保留舊憑證。
如果您在應用程式中使用 MariaDB Connector/J JDBC 驅動程式,請在應用程式中設定下列屬性。
System.setProperty("javax.net.ssl.trustStore",
certs
); System.setProperty("javax.net.ssl.trustStorePassword", "password
");
啟動應用程式時,設定下列屬性。
java -Djavax.net.ssl.trustStore=
/path_to_truststore/MyTruststore.jks
-Djavax.net.ssl.trustStorePassword=my_truststore_password
com.companyName.MyApplication
注意
指定此處所顯示提示以外的密碼,作為安全最佳實務。
建立 SSL 連線的 Java 程式碼範例
下列程式碼範例示範如何使用 JDBC 來設定 SSL 連線。
private static final String DB_USER = "admin"; private static final String DB_USER = "
user name
"; private static final String DB_PASSWORD = "password
"; // This key store has only the prod root ca. private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore
"; private static final String KEY_STORE_PASS = "keystore-password
"; public static void main(String[] args) throws Exception { Class.forName("org.mariadb.jdbc.Driver"); System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH); System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS); Properties properties = new Properties(); properties.put("user", DB_USER); properties.put("password", DB_PASSWORD); Connection connection = DriverManager.getConnection("jdbc:mysql://ssl-mariadb-public.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306?useSSL=true",properties); Statement stmt=connection.createStatement(); ResultSet rs=stmt.executeQuery("SELECT 1 from dual"); return; }
重要
判斷資料庫連線使用 SSL/TLS 並更新應用程式信任存放區之後,您可以更新資料庫以使用 rds-ca-rsa 2048-g1 憑證。如需說明,請參閱修改資料庫執行個體或叢集以更新 CA 憑證中的步驟 3。
指定此處所顯示提示以外的密碼,作為安全最佳實務。