Mysql ssl 설정 & JDBC 로 SSL 통신

그냥 쌩으로 쿼리 날리고 데이터 받으면 되지 왜 귀찮게시리 SSL 로 통신을 해야 되느냐..?

바로 요 이유 때문이다.

TCP 패킷 캡쳐프로그램으로 보면 select * from user where user='root' 라는 쿼리문장이 고대로 노출이 된다. 

요렇게 되면 로그인할때 비밀번호가 들어간 쿼리도 노출이 된다는 뜻이다.

윈도우용 TCP 패킷 캡쳐 프로그램 : SmartSniff

32bit용 다운로드

64bit용 다운로드

자~~ 요것을 해결해 보자!

먼저 mysql 서버쪽에서 ssl 접속을 허용하도록 설정을 해주야 된다.

그러기 위해선 인증서를 맹글어야 된다. 인증서에 대해선 자세히 나도 잘 모르기 때문에 대충~~ 개인키랑 공개키를 맨들어야 한다쯤으로 이해하고 넘어갔다.

아무튼 인증서를 맹글기 위해서는 openssl 이라는 프로그램을 설치해야 한다.

다 설치가 됬으면 커맨드 창을 열어 명령어를 입력해 인증서를 맹글면 된다.

개인키 맹글기

openssl genrsa -out key.pem 2048

공개키 맹글기

openssl req -new -x509 -key key.pem -out cert.pem -days 0

요렇게 하면 개인키 파일(key.pem)이랑 공개키 파일(cert.pem) 두개가 생성된다.

요 파일을 리눅스 서버일 경우 my.cnf 파일을, 윈도우서버에 깔린 mysql 일 경우 my.ini 파일을 편집해 설정을 추가해 주면 된다.

※ 우분투일 경우 일반적인 경로는 /etc/mysql/my.cnf

※ 윈도우일 경우 일반적인 경로는 C:\Program Files\MySQL\MySQL Server\my.ini

설정파일을 보면 [mysqld] 요런 섹션이 있을껀데 요 섹션 안에다 위에서 만든 인증서 파일을에 대해 아래와 같이 설정을 추가해 준다.

※ 위에서 생성한 key.pem 파일과 cert.pem 파일은 C 드라이브 cert 폴더에 있다고 가정.

ssl-ca=C:\\cert\\cert.pem
ssl-cert=C:\\cert\\cert.pem
ssl-key=C:\\cert\\key.pem

요런 설정을 해주고 mysql 서버를 리스탓트 하면 mysql을 SSL 로 접속할 수 있게 된다.

확실하게 적용이 쪽바로 됐나 확인 할려면 아무툴이나 mysql 로 접속해서 요런 쿼리를 날려보면 간단하게 확인할 수 있다.

show variables like '%ssl%';

죠 두항목이 YES 이면 설정이 쪽바로 적용된 것이다.

※ 인증서를 가지고 SSL 로 접속할려면 요런 옵션으로 접속하면 된다.

mysql -u root -p --ssl --ssl-ca=c:\cert\cert.pem

※ Toad for MySQL 에서 SSL 로 접속하기

커넥션 타입중에 보면 SSL 이라고 있는데 고걸 선택하고 계정정보를 입력하면된다, 인증서 파일을 선택하라고 하는데 굳이 선택하지 않아도 접속이 잘된다.

자~~~ 이제 마지막으로 JDBC로 SSL 접속을 하는 방법을 알아보자.

검색을 해 보니 이것저것 나오던데 방법이 쓸데없이 쫌 복잡해서~~~ 

간단 of 간단한 방법을 재수좋게 검색을 해서 찾아냈다. 아래와 같은 코드를 쓰면 된다.

키뽀인트는 JDBC URL 에 verifyServerCertificate=false 를 추가해 주는것이다. 

저 옵션을 추가해주지 않으면 keytool 로 자바용 keystore 도 맹글어야 하고, 맹글어진 keystore를 시스템 프로퍼티에 추가해 줘야 되는 귀찮은걸 해야 한다.

저 옵션은 말그대로 서버 인증서를 verify 하지 않겠다는 옵션이다.

그리고 당연히 useSSL=true 옵션을 줘야 SSL 로 접속을 한다.

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class Test {
	public static void main(String[] args) throws SQLException {
		Connection con = null;
		try {
			String url = "jdbc:mysql://127.0.0.1:3306/mysql?useSSL=true&verifyServerCertificate=false";

			Class.forName("com.mysql.jdbc.Driver");
			con = DriverManager.getConnection(url, "user_name", "user_password");

			Statement st = con.createStatement();
			ResultSet rs = st.executeQuery("select * from user where user='root'");

			while (rs.next()) {
				System.out.println(String.format("%-20s %-20s", rs.getString(1), rs.getString(2)));
			}
		} catch (Exception ex) {
			ex.printStackTrace();
		} finally {
			if (con != null)
				con.close();
		}
	}
}

요걸 실행시키고 TCP 패킷 캡쳐 프로그램으로 보면 요렇게 암호화가 잘되 있다~~

결론 : 

MySQL 서버에 SSL 설정만 해주고, 기존 프로젝트 JDBC URL 에 useSSL=true&verifyServerCertificate=false 요것만 추가해 주면 간단하게 SSL 로 암호화 할 수 있다.

MySQL 서버에 접속하던 다른 서비스가 있어도 다른 서비스에는 영향이 없다.