Conexão a uma instância de banco de dados usando JDBC

Pré-requisitos

Familiarize-se com:

• Noções básicas de computação
• Linguagem de programação Java
• Conhecimento de JDBC

Conexão com o certificado SSL

O certificado SSL precisa ser baixado e verificado para conexão com bancos de dados.

Se o valor ssl_type de um usuário de banco de dados for x509, esse método não estará disponível.

Para verificar o valor ssl_type do usuário atual, execute o seguinte comando:

select ssl_type from mysql.user where user = 'xxx';

1. Baixe o certificado de AC ou o pacote de certificados.
   1. Na página Instances, clique no nome da instância para acessar a página Basic Information.
   2. Na área DB Instance Information, clique em ao lado de SSL.

2. Use keytool para gerar um arquivo truststore usando o certificado de AC.

   <keytool installation path> ./keytool.exe -importcert -alias <MySQLCACert> -­file <ca.pem> -keystore <truststore_file> -storepass <password>

   Tabela 1 Descrição do parâmetro

   Parâmetro	Descrição
   <keytool installation path>	Diretório bin no caminho de instalação de JDK ou JRE, por exemplo, C:\Program Files (x86)\Java\jdk­11.0.7\bin.
   <MySQLCACert>	Nome do arquivo truststore. Defina-o com um nome específico para o serviço para identificação futura.
   <ca.pem>	Nome do certificado de AC baixado e descompactado em 1, por exemplo, ca.pem.
   <truststore_file>	Caminho para armazenar o arquivo truststore.
   <password>	Senha do arquivo truststore.

   Exemplo de código (usando keytool no caminho de instalação do JDK para gerar o arquivo truststore):

   Owner:  CN=MySQL_Server_8.0.22_Auto_Generated_CA_Certificate
   Issuer: CN=MySQL_Server_8.0.22_Auto_Generated_CA_Certificate 
   Serial number: 1
   Valid from: Thu Feb 16 11:42:43 EST 2017 until: Sun Feb 14 11:42:43 EST 2027 
   Certificate fingerprints:
        MD5: 18:87:97:37:EA:CB:0B:5A:24:AB:27:76:45:A4:78:C1
        SHA1: 2B:0D:D9:69:2C:99:BF:1E:2A:25:4E:8D:2D:38:B8:70:66:47:FA:ED 
        SHA256:C3:29:67:1B:E5:37:06:F7:A9:93:DF:C7:B3:27:5E:09:C7:FD:EE:2D:18:86:F4:9C:40:D8:26:CB:DA:95: A0:24
        Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048-bit RSA key 
        Version: 1
        Trust this certificate? [no]: y
        Certificate was added to keystore

3. Conecte-se à instância do TaurusDB por meio de JDBC.

   jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? 
   requireSSL=<value1>&useSSL=<value2>&verifyServerCertificate=<value3>&trustCertificateKeyStoreUrl=file: 
   <truststore_file>&trustCertificateKeyStorePassword=<password>

   Tabela 2 Descrição do parâmetro

   Parâmetro	Descrição
   <instance_ip>	Endereço IP da instância de BD. NOTA: Se você estiver acessando a instância por meio do ECS, instance_ip será o endereço IP privado da instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information. Se você estiver acessando a instância por meio de uma rede pública, instance_ip indicará o EIP vinculado à instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
   <instance_port>	Porta do banco de dados da instância. A porta padrão é 3306. NOTA: Você pode exibir a porta do banco de dados na área Network Information em Basic Information.
   <database_name>	Nome do banco de dados usado para conexão com a instância. O valor padrão é mysql.
   <value1>	Valor de requireSSL, indicando se o servidor suporta SSL. Pode ser uma das seguintes opções: true: o servidor suporta SSL. false: o servidor não suporta SSL. NOTA: Para obter detalhes sobre o relacionamento entre requireSSL e sslmode, consulte Tabela 3.
   <value2>	Valor de useSSL, indicando se o cliente usa SSL para se conectar ao servidor. Pode ser uma das seguintes opções: true: o cliente usa SSL para se conectar ao servidor. false: o cliente não usa SSL para se conectar ao servidor. NOTA: Para obter detalhes sobre a relação entre useSSL e sslmode, consulte Tabela 3.
   <value3>	Valor de verifyServerCertificate, indicando se o cliente verifica o certificado do servidor. Pode ser uma das seguintes opções: true: o cliente verifica o certificado do servidor. false: o cliente não verifica o certificado do servidor. NOTA: Para obter detalhes sobre a relação entre verifyServerCertificate e sslmode, consulte Tabela 3.
   <truststore_file>	Caminho para armazenar o arquivo truststore configurado em 2.
   <password>	Senha do arquivo truststore configurado em 2.

   Tabela 3 Relação entre parâmetros de conexão e sslmode

   useSSL	requireSSL	verifyServerCertificate	sslMode
   false	N/A	N/A	DISABLED
   true	false	false	PREFERRED
   true	true	false	REQUIRED
   true	N/A	true	VERIFY_CA

   Exemplo de código (código Java para conexão com uma instância do TaurusDB):

   import java.sql.Connection; 
   import java.sql.DriverManager; 
   import java.sql.ResultSet; 
   import java.sql.Statement;
   import java.sql.SQLException; 
    
   public class JDBCTest { 
       
     //There will be security risks if the username and password used for authentication are directly written into code. Store the username and password in ciphertext in the configuration file or environment variables.
     //In this example, the username and password are stored in the environment variables. Before running the code, set environment variables EXAMPLE_USERNAME_ENV and EXAMPLE_PASSWORD_ENV as needed.
       static final String USER = System.getenv("EXAMPLE_USERNAME_ENV"); 
       static final String PASS = System.getenv("EXAMPLE_PASSWORD_ENV");
   
       public static void main(String[] args) {
           Connection conn = null; 
           Statement stmt = null;
   
           String url = "jdbc:mysql://<instance_ip>:<instance_port>/<database_name>?
   requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file:
   <truststore_file>&trustCertificateKeyStorePassword=<password>";
    
           try { 
               Class.forName("com.mysql.cj.jdbc.Driver");
               conn = DriverManager.getConnection(url, USER, PASS);
    
               stmt = conn.createStatement(); 
               String sql = "show status like 'ssl%'";
               ResultSet rs = stmt.executeQuery(sql); 
   
               int columns = rs.getMetaData().getColumnCount();
               for (int i = 1; i <= columns; i++) {
                   System.out.print(rs.getMetaData().getColumnName(i));
                   System.out.print("\t");
               }
   
               while (rs.next()) { 
                   System.out.println(); 
                   for (int i = 1; i <= columns; i++) {
                       System.out.print(rs.getObject(i));
                       System.out.print("\t");
                   } 
               }
               rs.close(); 
               stmt.close(); 
               conn.close(); 
           } catch (SQLException se) { 
               se.printStackTrace(); 
           } catch (Exception e) { 
               e.printStackTrace(); 
           } finally { 
               // release resource .... 
           } 
       } 
   }

Conexão sem o certificado SSL

Você não precisa baixar o certificado SSL porque a verificação do certificado no servidor não é necessária.

1. Conecte-se à sua instância do TaurusDB por meio de JDBC.

   jdbc:mysql://<instance_ip>:<instance_port>/<database_name>?useSSL=false

   Tabela 4 Descrição do parâmetro

   Parâmetro	Descrição
   <instance_ip>	Endereço IP da instância de BD. NOTA: Se você estiver acessando a instância por meio do ECS, instance_ip será o endereço IP privado da instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information. Se você estiver acessando a instância por meio de uma rede pública, instance_ip indicará o EIP vinculado à instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
   <instance_port>	Porta do banco de dados da instância. A porta padrão é 3306. NOTA: Você pode exibir a porta do banco de dados na área Network Information em Basic Information.
   <database_name>	Nome do banco de dados usado para conexão com a instância. O valor padrão é mysql.

   Exemplo de código (código Java para conexão com uma instância do TaurusDB):

   import java.sql.Connection;
   import java.sql.DriverManager;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   public class MyConnTest {
   	final public static void main(String[] args) {
   		Connection conn = null;
   		// set sslmode here.
   		// no ssl certificate, so do not specify path.
   		String url = "jdbc:mysql://192.168.0.225:3306/my_db_test?useSSL=false";
   		try {
   			Class.forName("com.mysql.jdbc.Driver");
                           //There will be security risks if the username and password used for authentication are directly written into code. Store the username and password in ciphertext in the configuration file or environment variables.
                           //In this example, the username and password are stored in the environment variables. Before running the code, set environment variables EXAMPLE_USERNAME_ENV and EXAMPLE_PASSWORD_ENV as needed.
                           conn = DriverManager.getConnection(url, System.getenv("EXAMPLE_USERNAME_ENV"), System.getenv("EXAMPLE_PASSWORD_ENV"));
   			System.out.println("Database connected");
   
   			Statement stmt = conn.createStatement();
   			ResultSet rs = stmt.executeQuery("SELECT * FROM mytable WHERE columnfoo = 500");
   			while (rs.next()) {
   				System.out.println(rs.getString(1));
   			}
   			rs.close();
   			stmt.close();
   			conn.close();
   		} catch (Exception e) {
   			e.printStackTrace();
   			System.out.println("Test failed");
   		} finally {
   			// release resource ....
   		}
   	}
   }

Problemas relacionados

• Sintoma

  Quando você usa o JDK 8.0 ou uma versão posterior para se conectar à sua instância com um certificado SSL baixado, um erro semelhante ao seguinte é relatado:

  javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or
  cipher suites are inappropriate)
      at sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:171) ~[na:1.8.0_292]
      at sun.security.ssl.ClientHandshakeContext.<init>(ClientHandshakeContext.java:98) ~
  [na:1.8.0_292]
      at sun.security.ssl.TransportContext.kickstart(TransportContext.java:220) ~
  [na:1.8.0_292]
      at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:428) ~
  [na:1.8.0_292]
      at
  com.mysql.cj.protocol.ExportControlled.performTlsHandshake(ExportControlled.java:316) ~
  [mysql-connector-java-8.0.17.jar:8.0.17]
      at
  com.mysql.cj.protocol.StandardSocketFactory.performTlsHandshake(StandardSocketFactory.java
  :188) ~[mysql-connector-java8.0.17.jar:8.0.17]
      at
  com.mysql.cj.protocol.a.NativeSocketConnection.performTlsHandshake(NativeSocketConnection.
  java:99) ~[mysql-connector-java8.0.17.jar:8.0.17]
      at
  com.mysql.cj.protocol.a.NativeProtocol.negotiateSSLConnection(NativeProtocol.java:331) ~
  [mysql-connector-java8.0.17.jar:8.0.17]
  ... 68 common frames omitted
• Solução

  Especifique os valores de parâmetro correspondentes no link de código de 3 com base no pacote JAR usado pelo cliente. Exemplo:

  • mysql-connector-java-5.1.xx.jar (Para versões 8.0.18 e anteriores, use o parâmetro enabledTLSProtocols. Para obter detalhes, consulte Conexão segura usando SSL.)

    jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? 
     requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file: 
     <truststore_file>&trustCertificateKeyStorePassword=<password>& enabledTLSProtocols=TLSv1.2
  • mysql-connector-java-8.0. xx.jar (Para drivers de conexão posteriores à versão 8.0.18, use o parâmetro tlsVersions.)

    jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? 
     requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file: 
     <truststore_file>&trustCertificateKeyStorePassword=<password>& tlsVersions =TLSv1.2