使用新的 TLS 证书更新应用程序，以连接到 Aurora MySQL 数据库集群

自 2023 年 1 月 13 日起，Amazon RDS 发布了新的证书颁发机构（CA）证书，以便使用传输层安全性协议（TLS）连接到 Aurora 数据库集群。接下来，您可以找到有关更新应用程序以使用新证书的信息。

本主题可帮助您确定是否有任何客户端应用程序使用 TLS 连接到您的数据库集群。如果是这样，您可以进一步检查这些应用程序是否需要证书验证才能连接。

更新客户端应用程序信任存储中的 CA 证书后，可以在数据库集群上轮换这些证书。强烈建议在生产环境中实现这些过程之前，先在开发或测试环境中测试它们。

有关证书轮换的更多信息，请参阅轮换 SSL/TLS 证书。有关下载证书的更多信息，请参阅使用 SSL/TLS 加密与数据库集群的连接。有关将 TLS 用于 Aurora MySQL 数据库集群的信息，请参阅与 Aurora MySQL 数据库集群的 TLS 连接。

确定是否有任何应用程序正使用 TLS 连接到 Aurora MySQL 数据库集群

如果您使用的是 Aurora MySQL 版本 2（与 MySQL 5.7 兼容）并且启用了性能架构，则运行以下查询以检查连接是否正在使用 TLS。有关启用性能架构的信息，请参阅 MySQL 文档中的性能架构快速入门。

mysql> SELECT id, user, host, connection_type
       FROM performance_schema.threads pst
       INNER JOIN information_schema.processlist isp
       ON pst.processlist_id = isp.id;

在该示例输出中，您可以看到自己的会话（admin）以及作为 webapp1 登录的应用程序均在使用 TLS。

+----+-----------------+------------------+-----------------+
| id | user            | host             | connection_type |
+----+-----------------+------------------+-----------------+
|  8 | admin           | 10.0.4.249:42590 | SSL/TLS         |
|  4 | event_scheduler | localhost        | NULL            |
| 10 | webapp1         | 159.28.1.1:42189 | SSL/TLS         |
+----+-----------------+------------------+-----------------+
3 rows in set (0.00 sec)

确定客户端是否需要证书验证才能连接

您可以检查 JDBC 客户端和 MySQL 客户端是否需要证书验证才能连接。

JDBC

以下使用 MySQL Connector/J 8.0 的示例显示了一种方法，用于检查应用程序的 JDBC 连接属性以确定成功的连接是否需要有效证书。有关 MySQL 的所有 JDBC 连接选项的更多信息，请参阅 MySQL 文档中的配置属性。

当使用 MySQL Connector/J 8.0 时，如果您的连接属性将 sslMode 设置为 VERIFY_CA 或 VERIFY_IDENTITY，则 TLS 连接需要对服务器 CA 证书进行验证，如以下示例所示。

Properties properties = new Properties();
properties.setProperty("sslMode", "VERIFY_IDENTITY");
properties.put("user", DB_USER);
properties.put("password", DB_PASSWORD);

MySQL

以下使用 MySQL 客户端的示例显示了两种方法，用于检查脚本的 MySQL 连接以确定成功的连接是否需要有效证书。有关 MySQL 客户端的所有连接选项的更多信息，请参阅 MySQL 文档中的加密连接的客户端配置。

当使用 MySQL 5.7 或 MySQL 8.0 客户端时，如果对于 --ssl-mode 选项，您指定 VERIFY_CA 或 VERIFY_IDENTITY，则 TLS 连接需要对服务器 CA 证书进行验证，如以下示例所示。

mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-mode=VERIFY_CA

当使用 MySQL 5.6 客户端时，如果您指定 --ssl-verify-server-cert 选项，则 SSL 连接需要对服务器 CA 证书进行验证，如以下示例所示。

mysql -h mysql-database.rds.amazonaws.com -uadmin -ppassword --ssl-ca=/tmp/ssl-cert.pem --ssl-verify-server-cert

更新应用程序信任存储

有关更新 MySQL 应用程序的信任存储的信息，请参阅 MySQL 文档中的安装 SSL 证书。

更新 JDBC 应用程序信任存储

您可以更新使用 JDBC 的应用程序的信任存储以进行 TLS 连接。

有关下载根证书的信息，请参阅 使用 SSL/TLS 加密与数据库集群的连接。

有关导入证书的示例脚本，请参阅 将证书导入信任存储的示例脚本。

如果在应用程序中使用 mysql JDBC 驱动程序，请在该应用程序中设置以下属性。

System.setProperty("javax.net.ssl.trustStore", certs);
System.setProperty("javax.net.ssl.trustStorePassword", "password");

启动应用程序时，请设置以下属性。

java -Djavax.net.ssl.trustStore=/path_to_truststore/MyTruststore.jks -Djavax.net.ssl.trustStorePassword=my_truststore_password com.companyName.MyApplication

用于建立 TLS 连接的示例 Java 代码

以下代码示例展示了如何设置使用 JDBC 验证服务器证书的 SSL 连接。

public class MySQLSSLTest {

        private static final String DB_USER = "user name";
        private static final String DB_PASSWORD = "password";
        // This key store has only the prod root ca.
        private static final String KEY_STORE_FILE_PATH = "file-path-to-keystore";
        private static final String KEY_STORE_PASS = "keystore-password";

    public static void test(String[] args) throws Exception {
        Class.forName("com.mysql.jdbc.Driver");


        System.setProperty("javax.net.ssl.trustStore", KEY_STORE_FILE_PATH);
        System.setProperty("javax.net.ssl.trustStorePassword", KEY_STORE_PASS);

        Properties properties = new Properties();
        properties.setProperty("sslMode", "VERIFY_IDENTITY");
        properties.put("user", DB_USER);
        properties.put("password", DB_PASSWORD);

        Connection connection = DriverManager.getConnection("jdbc:mysql://jagdeeps-ssl-test.cni62e2e7kwh.us-east-1.rds.amazonaws.com:3306",properties);
        Statement stmt=connection.createStatement();

        ResultSet rs=stmt.executeQuery("SELECT 1 from dual");

        return;
    }
}