Mysql ssl 설정 & JDBC 로 SSL 통신




그냥 쌩으로 쿼리 날리고 데이터 받으면 되지 왜 귀찮게시리 SSL 로 통신을 해야 되느냐..?


바로 요 이유 때문이다.


TCP 패킷 캡쳐프로그램으로 보면 select * from user where user='root' 라는 쿼리문장이 고대로 노출이 된다. 

요렇게 되면 로그인할때 비밀번호가 들어간 쿼리도 노출이 된다는 뜻이다.


윈도우용 TCP 패킷 캡쳐 프로그램 : SmartSniff

32bit용 다운로드


64bit용 다운로드





자~~ 요것을 해결해 보자!


먼저 mysql 서버쪽에서 ssl 접속을 허용하도록 설정을 해주야 된다.


그러기 위해선 인증서를 맹글어야 된다. 인증서에 대해선 자세히 나도 잘 모르기 때문에 대충~~ 개인키랑 공개키를 맨들어야 한다쯤으로 이해하고 넘어갔다.



아무튼 인증서를 맹글기 위해서는 openssl 이라는 프로그램을 설치해야 한다.


다 설치가 됬으면 커맨드 창을 열어 명령어를 입력해 인증서를 맹글면 된다.


개인키 맹글기

openssl genrsa -out key.pem 2048


공개키 맹글기

openssl req -new -x509 -key key.pem -out cert.pem -days 0


요렇게 하면 개인키 파일(key.pem)이랑 공개키 파일(cert.pem) 두개가 생성된다.


요 파일을 리눅스 서버일 경우 my.cnf 파일을, 윈도우서버에 깔린 mysql 일 경우 my.ini 파일을 편집해 설정을 추가해 주면 된다.


※ 우분투일 경우 일반적인 경로는 /etc/mysql/my.cnf

※ 윈도우일 경우 일반적인 경로는 C:\Program Files\MySQL\MySQL Server\my.ini


설정파일을 보면 [mysqld] 요런 섹션이 있을껀데 요 섹션 안에다 위에서 만든 인증서 파일을에 대해 아래와 같이 설정을 추가해 준다.


※ 위에서 생성한 key.pem 파일과 cert.pem 파일은 C 드라이브 cert 폴더에 있다고 가정.

ssl-ca=C:\\cert\\cert.pem
ssl-cert=C:\\cert\\cert.pem
ssl-key=C:\\cert\\key.pem


요런 설정을 해주고 mysql 서버를 리스탓트 하면 mysql을 SSL 로 접속할 수 있게 된다.


확실하게 적용이 쪽바로 됐나 확인 할려면 아무툴이나 mysql 로 접속해서 요런 쿼리를 날려보면 간단하게 확인할 수 있다.

show variables like '%ssl%';



죠 두항목이 YES 이면 설정이 쪽바로 적용된 것이다.





※ 인증서를 가지고 SSL 로 접속할려면 요런 옵션으로 접속하면 된다.

mysql -u root -p --ssl --ssl-ca=c:\cert\cert.pem



※ Toad for MySQL 에서 SSL 로 접속하기



커넥션 타입중에 보면 SSL 이라고 있는데 고걸 선택하고 계정정보를 입력하면된다, 인증서 파일을 선택하라고 하는데 굳이 선택하지 않아도 접속이 잘된다.





자~~~ 이제 마지막으로 JDBC로 SSL 접속을 하는 방법을 알아보자.


검색을 해 보니 이것저것 나오던데 방법이 쓸데없이 쫌 복잡해서~~~ 


간단 of 간단한 방법을 재수좋게 검색을 해서 찾아냈다. 아래와 같은 코드를 쓰면 된다.




키뽀인트는 JDBC URL 에 verifyServerCertificate=false 를 추가해 주는것이다. 


저 옵션을 추가해주지 않으면 keytool 로 자바용 keystore 도 맹글어야 하고, 맹글어진 keystore를 시스템 프로퍼티에 추가해 줘야 되는 귀찮은걸 해야 한다.


저 옵션은 말그대로 서버 인증서를 verify 하지 않겠다는 옵션이다.


그리고 당연히 useSSL=true 옵션을 줘야 SSL 로 접속을 한다.

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class Test {
	public static void main(String[] args) throws SQLException {
		Connection con = null;
		try {
			String url = "jdbc:mysql://127.0.0.1:3306/mysql?useSSL=true&verifyServerCertificate=false";

			Class.forName("com.mysql.jdbc.Driver");
			con = DriverManager.getConnection(url, "user_name", "user_password");

			Statement st = con.createStatement();
			ResultSet rs = st.executeQuery("select * from user where user='root'");

			while (rs.next()) {
				System.out.println(String.format("%-20s %-20s", rs.getString(1), rs.getString(2)));
			}
		} catch (Exception ex) {
			ex.printStackTrace();
		} finally {
			if (con != null)
				con.close();
		}
	}
}


요걸 실행시키고 TCP 패킷 캡쳐 프로그램으로 보면 요렇게 암호화가 잘되 있다~~



결론 : 

MySQL 서버에 SSL 설정만 해주고, 기존 프로젝트 JDBC URL 에 useSSL=true&verifyServerCertificate=false 요것만 추가해 주면 간단하게 SSL 로 암호화 할 수 있다.

MySQL 서버에 접속하던 다른 서비스가 있어도 다른 서비스에는 영향이 없다.


Trackback 0 Comment 4
  1. L 2013.05.29 18:18 address edit & del reply

    이 글 보고 겁나 흠칫했습니다. 잘보고 갑니다. 감사합니다.

  2. 우키러브 2013.05.30 09:30 address edit & del reply

    아침 출근 길..너무나도 중요한 걸 알아가네요. 감사합니다.

  3. seyeon 2013.06.02 08:32 address edit & del reply

    그래서 DBMS와 실제 어플리케이션 서버는 따로 분리하되 같은 전용선으로 묶어야 합니다.

    SSL로 통신이 가능하지만 문제는 속도 입니다. 전용선으로 구성이 불가능할때 쓰면 좋겠네요.

  4. ㅇㅇ 2018.07.13 03:40 address edit & del reply

    글 보고 울부짖으며 오열했습니다. 감사합니다

prev 1 ··· 67 68 69 70 71 72 73 74 75 ··· 223 next