Google
 

星期五, 9月 19, 2008

Using SSL for Secure MySQL Connection

資訊安全的重要,在現代這個網路發達,更顯得重要。
為了不讓不相干的人,偷取到私密重要的資料,加密技術便成為目前最廣為普遍應用的。
Secure Sockets Layer (SSL) protocol 和 X.509 標準,是目前網路上,最常用的加密方式。
這一篇紀錄如何讓 MySQL 擁有 SSL 的功能,以及如何用 Java 使用 SSL 連結到 MySQL。

測試環境:
Ubuntu Linux 8.04
MyQL 5.0.51
JDK 1.6.0_03

首先檢查 MySQL 有沒有支援 SSL:

mysql> SHOW VARIABLES LIKE 'have_ssl';



have_ssl = DISABLED,表示 MySQL 有支援 SSL,但功能沒有打開。Ubuntu 的 MySQL 套件預設有支援 SSL,如果是自己 Compile 的 MySQL 而沒有支援 SSL 的話,要加上 SSL 的參數重新 Compile。

再來是建立 SSL 憑證:

建立 CA 憑證:
shell> openssl genrsa 2048 > ca-key.pem openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem

建立 MySQL Server 憑證
shell> openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem > server-req.pem
shell> openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

建立 MySQL Client 憑證
shell> openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem > client-req.pem
shell> openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

修改 MySQL 設定檔 my.cnf,加上:

ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

重新啟動 MySQL,再檢查一次是否已經打開 SSL 功能:



have_ssl = YES,MySQL 的設定就告一段落了。用 MySQL Client 測試一下:

shell> mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -u root -p



測試無誤後,接下來要寫個 Java 程式,用 SSL 的方式連 MySQL。撰寫程式前,要先用 Java 的 keytool 建立 truststore 和 keystore:

建立 truststore:

shell> keytool -import -alias mysqlServerCACert -file ca-cert.pem -keystore truststore

建立 keystore:
匯入之前建立的 MySQL Client 憑證,首先要先轉成 DER 格式:

shell> openssl x509 -outform DER -in client-cert.pem -out client.cert

產生 keystore:

shell> keytool -import -file client.cert -keystore keystore -alias mysqlClientCertificate



將建立好的 truststore 和 keystore,放到一個安全的地方,接下來是 Java 的 Code:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class MySQL_SSL_TEST {

static private String db_user = "username";
static private String db_password = "password";

public static void main(String[] args) {
try {
Class.forName("com.mysql.jdbc.Driver").newInstance();
System.setProperty("javax.net.ssl.keyStore","/your_path/keystore");
System.setProperty("javax.net.ssl.keyStorePassword","password");
System.setProperty("javax.net.ssl.trustStore","/your_path/truststore");
System.setProperty("javax.net.ssl.trustStorePassword","password");
Connection con = DriverManager.getConnection("jdbc:mysql://your_host:3306/DATABASE?user="+ db_user + "&password=" + db_password + "&useUnicode=true&characterEncoding=utf8&useSSL=true");
String query = "SELECT * FROM TABLE";
Statement stm = con.createStatement();
ResultSet res = stm.executeQuery(query);
while(res.next()){
System.out.println(res.getString(1));
}
res.close();
stm.close();
con.close();
} catch (Exception e) {
System.out.println("Caught Exception : " + e.toString());
}
}
}

如果可以順利 Query 出資料,就大功告成啦!

多一層防護,的確安全些,不過就跟防毒軟體一樣,即使常常 Update,也不能保證 100% 的安全,凡事多留意,真的無敵重要的資料,還是不要放在網路上,比較安全囉!




2 則留言:

Lin Kelly 提到...

板主您好
我想問一下
您的ca憑證 ca-cert.pem
網路上可以免費取得到嗎!?
我最近需要實作出以ssl加密傳輸(在tomcat server上跑)
但是目前我的盲點還蠻多的
實作這樣的功能需要取得ca憑證
我只是一個研究生
是否有免費的ca憑證可以讓我try呢
(當然也能夠應證我資料傳輸是有加密過的)

先這樣問您好了 ︿︿
我有問題的話再跑來發問

藍小熊 提到...

據我的理解,公正單位的 CA 沒有免費的,要免費的就自己用 openssl 產生吧!