Comment se connecter à une base de données MySQL distante via SSL à l'aide de Play Framework?

En supposant que vous ayez déjà configuré le certificat de l'autorité de certification pour le serveur MySQL (ce qui est le cas lorsque vous utilisez Amazon RDS), quelques étapes sont nécessaires pour que cela fonctionne.

Tout d'abord, le certificat de l'autorité de certification doit être importé dans un fichier Java KeyStore à l'aide de keytool , fourni avec le JDK. Dans ce cas, le magasin de clés contiendra tous les certificats d’autorité de certification auxquels nous voulons faire confiance. Pour Amazon RDS, le certificat CA peut être trouvé ici . Avec mysql-ssl-ca-cert.pem dans votre répertoire de travail, vous pouvez exécuter la commande suivante:

keytool -import -alias mysqlServerCACert -file mysql-ssl-ca-cert.pem -keystore truststore.jks

Ce qui créera un nouveau fichier Java KeyStore appelé truststore.jks après vous avoir invité à entrer un mot de passe KeyStore et à vous demander si vous souhaitez faire confiance au certificat (oui, c'est le cas). Si vous avez déjà un fichier de magasin de clés de confiance, vous pouvez exécuter la même commande en remplaçant truststore.jks par le chemin d'accès à votre magasin de clés existant (vous serez alors invité à saisir le mot de passe du magasin de clés existant). Je place généralement truststore.jks dans mon répertoire conf.

Deuxièmement, dans application.conf, vous devez ajouter quelques paramètres d'URL JDBC à l'URL de la base de données:

verifyServerCertificate=true - Refuse de se connecter si le certificat d'hôte ne peut pas être vérifié.

useSSL=true - Connectez-vous à l'aide de SSL.

requireSSL=true - Refuse de se connecter si le serveur MySQL ne supporte pas SSL.

Par exemple, si votre URL de base de données actuelle est:

db.default.url="jdbc:mysql://url.to.database/test_db"

Alors il devrait maintenant être:

db.default.url="jdbc:mysql://url.to.database/test_db?verifyServerCertificate=true&useSSL=true&requireSSL=true"

Enfin, quelques options de ligne de commande doivent être passées lors du démarrage du serveur Play pour configurer le magasin de clés de confiance utilisé par MySQL-Connector/J. En supposant que mon fichier truststore.jks se trouve dans le répertoire conf et que le mot de passe est password, je voudrais démarrer mon serveur (en mode dev) comme ceci:

activator run -Djavax.net.ssl.trustStore="conf/truststore.jks" -Djavax.net.ssl.trustStorePassword="password"

En plus de cela, j'aime également m'assurer qu'il est impossible de se connecter à la base de données sans utiliser SSL, juste au cas où les options seraient gâchées au niveau de l'application. Par exemple, si db.default.user=root, exécutez les requêtes suivantes lorsque vous êtes connecté en tant que root sur le serveur MySQL:

GRANT USAGE ON *.* TO 'root'@'%' REQUIRE SSL;
FLUSH PRIVILEGES;