Conexão a uma instância de banco de dados usando JDBC
Embora o certificado SSL seja opcional se você optar por se conectar a um banco de dados por meio de conectividade de banco de dados Java (JDBC), é aconselhável fazer o download do certificado SSL para criptografar as conexões para fins de segurança. Por padrão, a criptografia de dados SSL é ativada para instâncias de GaussDB(for MySQL) recém-criadas. A ativação do SSL aumentará o tempo de resposta da conexão de rede e o uso da CPU. Antes de ativar o SSL, avalie o impacto no desempenho do serviço. Para obter detalhes sobre como ativar ou desativar o SSL, consulte Configuração de SSL.
Pré-requisitos
Familiarize-se com:
- Noções básicas de computação
- Linguagem de programação Java
- Conhecimento de JDBC
Conexão com o certificado SSL
O certificado SSL precisa ser baixado e verificado para conexão com bancos de dados.
Se o valor ssl_type de um usuário de banco de dados for x509, esse método não estará disponível.
Para verificar o valor ssl_type do usuário atual, execute o seguinte comando:
select ssl_type from mysql.user where user = 'xxx';
- Baixe o certificado de AC ou o pacote de certificados.
- Na página Instances, clique no nome da instância para acessar a página Basic Information.
- Na área DB Instance Information, clique em
ao lado de SSL.
- Use keytool para gerar um arquivo truststore usando o certificado de AC.
<keytool installation path> ./keytool.exe -importcert -alias <MySQLCACert> -file <ca.pem> -keystore <truststore_file> -storepass <password>
Tabela 1 Descrição do parâmetro Parâmetro
Descrição
<keytool installation path>
Diretório bin no caminho de instalação de JDK ou JRE, por exemplo, C:\Program Files (x86)\Java\jdk11.0.7\bin.
<MySQLCACert>
Nome do arquivo truststore. Defina-o com um nome específico para o serviço para identificação futura.
<ca.pem>
Nome do certificado de AC baixado e descompactado em 1, por exemplo, ca.pem.
<truststore_file>
Caminho para armazenar o arquivo truststore.
<password>
Senha do arquivo truststore.
Exemplo de código (usando keytool no caminho de instalação do JDK para gerar o arquivo truststore):
Owner: CN=MySQL_Server_8.0.22_Auto_Generated_CA_Certificate Issuer: CN=MySQL_Server_8.0.22_Auto_Generated_CA_Certificate Serial number: 1 Valid from: Thu Feb 16 11:42:43 EST 2017 until: Sun Feb 14 11:42:43 EST 2027 Certificate fingerprints: MD5: 18:87:97:37:EA:CB:0B:5A:24:AB:27:76:45:A4:78:C1 SHA1: 2B:0D:D9:69:2C:99:BF:1E:2A:25:4E:8D:2D:38:B8:70:66:47:FA:ED SHA256:C3:29:67:1B:E5:37:06:F7:A9:93:DF:C7:B3:27:5E:09:C7:FD:EE:2D:18:86:F4:9C:40:D8:26:CB:DA:95: A0:24 Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 2048-bit RSA key Version: 1 Trust this certificate? [no]: y Certificate was added to keystore - Conecte-se à instância do GaussDB(for MySQL) por meio de JDBC.
jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? requireSSL=<value1>&useSSL=<value2>&verifyServerCertificate=<value3>&trustCertificateKeyStoreUrl=file: <truststore_file>&trustCertificateKeyStorePassword=<password>
Tabela 2 Descrição do parâmetro Parâmetro
Descrição
<instance_ip>
Endereço IP da instância de BD.
NOTA:- Se você estiver acessando a instância por meio do ECS, instance_ip será o endereço IP privado da instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
- Se você estiver acessando a instância por meio de uma rede pública, instance_ip indicará o EIP vinculado à instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
<instance_port>
Porta do banco de dados da instância. A porta padrão é 3306.
NOTA:Você pode exibir a porta do banco de dados na área Network Information em Basic Information.
<database_name>
Nome do banco de dados usado para conexão com a instância. O valor padrão é mysql.
<value1>
Valor de requireSSL, indicando se o servidor suporta SSL. Pode ser uma das seguintes opções:
- true: o servidor suporta SSL.
- false: o servidor não suporta SSL.
NOTA:Para obter detalhes sobre o relacionamento entre requireSSL e sslmode, consulte Tabela 3.
<value2>
Valor de useSSL, indicando se o cliente usa SSL para se conectar ao servidor. Pode ser uma das seguintes opções:
- true: o cliente usa SSL para se conectar ao servidor.
- false: o cliente não usa SSL para se conectar ao servidor.
NOTA:
Para obter detalhes sobre a relação entre useSSL e sslmode, consulte Tabela 3.
<value3>
Valor de verifyServerCertificate, indicando se o cliente verifica o certificado do servidor. Pode ser uma das seguintes opções:
- true: o cliente verifica o certificado do servidor.
- false: o cliente não verifica o certificado do servidor.
NOTA:
Para obter detalhes sobre a relação entre verifyServerCertificate e sslmode, consulte Tabela 3.
<truststore_file>
Caminho para armazenar o arquivo truststore configurado em 2.
<password>
Senha do arquivo truststore configurado em 2.
Tabela 3 Relação entre parâmetros de conexão e sslmode useSSL
requireSSL
verifyServerCertificate
sslMode
false
N/A
N/A
DISABLED
true
false
false
PREFERRED
true
true
false
REQUIRED
true
N/A
true
VERIFY_CA
Exemplo de código (código Java para conexão com uma instância do GaussDB(for MySQL)):
import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.sql.SQLException; public class JDBCTest { //There will be security risks if the username and password used for authentication are directly written into code. Store the username and password in ciphertext in the configuration file or environment variables. //In this example, the username and password are stored in the environment variables. Before running the code, set environment variables EXAMPLE_USERNAME_ENV and EXAMPLE_PASSWORD_ENV as needed. static final String USER = System.getenv("EXAMPLE_USERNAME_ENV"); static final String PASS = System.getenv("EXAMPLE_PASSWORD_ENV"); public static void main(String[] args) { Connection conn = null; Statement stmt = null; String url = "jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file: <truststore_file>&trustCertificateKeyStorePassword=<password>"; try { Class.forName("com.mysql.cj.jdbc.Driver"); conn = DriverManager.getConnection(url, USER, PASS); stmt = conn.createStatement(); String sql = "show status like 'ssl%'"; ResultSet rs = stmt.executeQuery(sql); int columns = rs.getMetaData().getColumnCount(); for (int i = 1; i <= columns; i++) { System.out.print(rs.getMetaData().getColumnName(i)); System.out.print("\t"); } while (rs.next()) { System.out.println(); for (int i = 1; i <= columns; i++) { System.out.print(rs.getObject(i)); System.out.print("\t"); } } rs.close(); stmt.close(); conn.close(); } catch (SQLException se) { se.printStackTrace(); } catch (Exception e) { e.printStackTrace(); } finally { // release resource .... } } }
Conexão sem o certificado SSL
Você não precisa baixar o certificado SSL porque a verificação do certificado no servidor não é necessária.
- Conecte-se à sua instância do GaussDB(for MySQL) por meio de JDBC.
jdbc:mysql://<instance_ip>:<instance_port>/<database_name>?useSSL=false
Tabela 4 Descrição do parâmetro Parâmetro
Descrição
<instance_ip>
Endereço IP da instância de BD.
NOTA:- Se você estiver acessando a instância por meio do ECS, instance_ip será o endereço IP privado da instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
- Se você estiver acessando a instância por meio de uma rede pública, instance_ip indicará o EIP vinculado à instância. Você pode visualizar o endereço IP privado na área Network Information em Basic Information.
<instance_port>
Porta do banco de dados da instância. A porta padrão é 3306.
NOTA:Você pode exibir a porta do banco de dados na área Network Information em Basic Information.
<database_name>
Nome do banco de dados usado para conexão com a instância. O valor padrão é mysql.
Exemplo de código (código Java para conexão com uma instância do GaussDB(for MySQL)):import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; public class MyConnTest { final public static void main(String[] args) { Connection conn = null; // set sslmode here. // no ssl certificate, so do not specify path. String url = "jdbc:mysql://192.168.0.225:3306/my_db_test?useSSL=false"; try { Class.forName("com.mysql.jdbc.Driver"); //There will be security risks if the username and password used for authentication are directly written into code. Store the username and password in ciphertext in the configuration file or environment variables. //In this example, the username and password are stored in the environment variables. Before running the code, set environment variables EXAMPLE_USERNAME_ENV and EXAMPLE_PASSWORD_ENV as needed. conn = DriverManager.getConnection(url, System.getenv("EXAMPLE_USERNAME_ENV"), System.getenv("EXAMPLE_PASSWORD_ENV")); System.out.println("Database connected"); Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM mytable WHERE columnfoo = 500"); while (rs.next()) { System.out.println(rs.getString(1)); } rs.close(); stmt.close(); conn.close(); } catch (Exception e) { e.printStackTrace(); System.out.println("Test failed"); } finally { // release resource .... } } }
Problemas relacionados
- Sintoma
Quando você usa o JDK 8.0 ou uma versão posterior para se conectar à sua instância com um certificado SSL baixado, um erro semelhante ao seguinte é relatado:
javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate) at sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:171) ~[na:1.8.0_292] at sun.security.ssl.ClientHandshakeContext.<init>(ClientHandshakeContext.java:98) ~ [na:1.8.0_292] at sun.security.ssl.TransportContext.kickstart(TransportContext.java:220) ~ [na:1.8.0_292] at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:428) ~ [na:1.8.0_292] at com.mysql.cj.protocol.ExportControlled.performTlsHandshake(ExportControlled.java:316) ~ [mysql-connector-java-8.0.17.jar:8.0.17] at com.mysql.cj.protocol.StandardSocketFactory.performTlsHandshake(StandardSocketFactory.java :188) ~[mysql-connector-java8.0.17.jar:8.0.17] at com.mysql.cj.protocol.a.NativeSocketConnection.performTlsHandshake(NativeSocketConnection. java:99) ~[mysql-connector-java8.0.17.jar:8.0.17] at com.mysql.cj.protocol.a.NativeProtocol.negotiateSSLConnection(NativeProtocol.java:331) ~ [mysql-connector-java8.0.17.jar:8.0.17] ... 68 common frames omitted - Solução
Especifique os valores de parâmetro correspondentes no link de código de 3 com base no pacote JAR usado pelo cliente. Exemplo:
- mysql-connector-java-5.1.xx.jar (Para versões 8.0.18 e anteriores, use o parâmetro enabledTLSProtocols. Para obter detalhes, consulte Conexão segura usando SSL.)
jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file: <truststore_file>&trustCertificateKeyStorePassword=<password>& enabledTLSProtocols=TLSv1.2
- mysql-connector-java-8.0. xx.jar (Para drivers de conexão posteriores à versão 8.0.18, use o parâmetro tlsVersions.)
jdbc:mysql://<instance_ip>:<instance_port>/<database_name>? requireSSL=true&useSSL=true&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file: <truststore_file>&trustCertificateKeyStorePassword=<password>& tlsVersions =TLSv1.2
- mysql-connector-java-5.1.xx.jar (Para versões 8.0.18 e anteriores, use o parâmetro enabledTLSProtocols. Para obter detalhes, consulte Conexão segura usando SSL.)
