基于 SSL 的 PHP MySQL。对等证书不匹配

Posted 2023-02-16

【中文标题】基于 SSL 的 PHP MySQL。对等证书不匹配

【英文标题】：PHP MySQL over SSL. Peer certificate did not match

【发布时间】：2016-07-29 07:57:04

【问题描述】：

我正在尝试通过 GCE（Google Compute Engine）实例通过 SSL 使用 Google Cloud SQL。我的问题是我无法通过 SSL 连接到 Cloud SQL 实例。

mysql 命令正常工作。我可以使用认证文件连接到 Cloud SQL 实例。

mysql -uroot -p -h [IP Address] --ssl-ca=/home/user/.cert/server-ca.pem --ssl-cert=/home/user/.cert/client-cert.pem  --ssl-key=/home/user/.cert/client-key.pem

但是，当我从 php 程序访问时，我收到如下警告和致命错误。

<?php
$pdo = new PDO('mysql:host=[IP Address];dbname=testdb', 'root', 'test', array(
    PDO::MYSQL_ATTR_SSL_KEY    =>'/home/user/.cert/client-key.pem',
    PDO::MYSQL_ATTR_SSL_CERT=>'/home/user/.cert/client-cert.pem',
    PDO::MYSQL_ATTR_SSL_CA    =>'/home/user/.cert/server-ca.pem'
    )
);
$stmt = $pdo->query("SHOW TABLES;");
$row = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($row);
?>　

　

PHP Warning:  PDO::__construct(): Peer certificate CN=`[GCP project name]:[Cloud SQL instance name]' did not match expected CN=`[IP Address]' in /tmp/mysql.php on line 7
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[HY000] [2002] ' in /tmp/mysql.php on line 7

我在使用 mysqli 时遇到了同样的错误。

$mysqli = mysqli_init();
mysqli_options($mysqli, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);

$mysqli->ssl_set('/home/user/.cert/client-key.pem',
                 '/home/user/.cert/client-cert.pem',
                 '/home/user/.cert/server-ca.pem',
                  NULL,NULL);

$mysqli->real_connect('[IP Address]', 'root', 'test', 'testdb', 3306, NULL, MYSQLI_CLIENT_SSL);

　

PHP Warning:  mysqli::real_connect(): Peer certificate CN=`[GCP project name]:[Cloud SQL instance name]' did not match expected CN=`[IP Address]' in /tmp/mysql3.php on line 30
Warning: mysqli::real_connect(): (HY000/2002):  in /tmp/mysql3.php on line 30

这个问题看起来与我的情况有关，但还没有答案。 SSL self-signed certifications to connect with Mysql with PHP

有人知道解决方案吗？

---

更新 1

该错误已报告。 https://bugs.php.net/bug.php?id=71003

这里有非常相似的问题。 Google Cloud SQL SSL fails peer certificate validation

我的 PHP 版本是 5.6.14。我将更新到 5.6.16 以使用 MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT。

---

更新 2

当我使用 mysqli 时修复它

我所做的如下：

1 我将我的 PHP 更新到 5.6.20

sudo apt-get install php5

2 我把 MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT 选项像这样。

$mysqli->real_connect('[IP Address]', 'root', 'test', 'testdb', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

出于某些原因，我的应用程序同时使用了 mysqli 和 PDO。我现在正在寻找 PDO 的解决方案。

---

更新 3

此错误报告显示了 PDO 的案例。听起来还没有修复。

https://bugs.php.net/bug.php?id=71845

这也是相关的。 https://groups.google.com/forum/?utm_medium=email&utm_source=footer#!msg/google-cloud-sql-discuss/4HNvmq7MpU4/kuSjhkS2AwAJ

据我了解，没有办法解决 PDO。

---

更新 4

有些人指责谷歌对 CN 名称的设计（我实际上同意他们的观点..）

最糟糕的是你们使用不可能的 CN 名称 (:) 。如果 CN 没有冒号，也许我可以在我的 hosts 文件中映射 ip 和 CN，以便在完成对等验证时它可以通过。带冒号，php认为是主机，是端口

还有 Google 的员工？理解问题。

我了解目前IP连接不理想的情况。

但他们似乎提供了一个名为“代理”的解决方案。

https://groups.google.com/forum/#!topic/google-cloud-sql-discuss/gAzsuCzPlaU

我使用的是 Cloud SQL 第二代，我的应用程序托管在 GCE 上。所以我想我可以使用代理方式。我现在就试试。

---

更新 5

设置代理访问。解决了 PDO 和 mysqli 访问。

在 Ubuntu 上安装代理

$ wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64
$ mv cloud_sql_proxy.linux.amd64 cloud_sql_proxy
$ chmod +x cloud_sql_proxy
$ sudo mkdir /cloudsql; sudo chmod 777 /cloudsql
$ ./cloud_sql_proxy -dir=/cloudsql -instances=<project name>:us-central1:mydb 

PDO

<?php
$pdo = new pdo('mysql:unix_socket=/cloudsql/<project name>:us-central1:mydb;dbname=testdb','root','test');
$stmt = $pdo->query("SHOW TABLES;");
$row = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($row);
?>

mysqli

$mysqli = mysqli_connect('localhost', 'root', 'test', 'testdb', 3306, '/cloudsql/<project name>:us-central1');
$sql = "SELECT id FROM users";
if ($result = $mysqli->query($sql)) 
    while ($row = $result->fetch_assoc()) 
        echo $row["id"] . "\n";
    
    $result->close();

$mysqli->close();

参考文献（日语）

http://blog.hrendoh.com/connecting-to-google-cloud-sql-using-mysql-client/ http://blog.hrendoh.com/google-appengine-php-using-cloud-sql/

【问题讨论】：

你太棒了。更新#5 完全为我工作。谢谢！！！

我头疼了好几个小时。也许这会帮助别人。第 5 步第 1 部分是我的问题 - 我以 root 身份登录。以普通用户身份重新运行，一切正常！

【参考方案1】：

对于不使用 Google 云或无法从代理解决方案中受益的 PDO 连接，他们已经修复了该错误并现在将其合并。 现在有一个常数（从 2017 年 4 月开始）：

PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,

http://git.php.net/?p=php-src.git;a=commit;h=247ce052cd0fc7d0d8ea1a0e7ea2075e9601766a

【讨论】：

这是否意味着连接是安全的？

嗯，是的，这是一个加密连接，但请注意您没有验证证书本身。

我知道，但如果不使用上面的代码，我找不到任何解决方案。使用终端或类似续集的应用程序时，证书可以正常工作。但是在php方面我找不到任何解决方案

这仅在您使用 PHP 7.1.x 时有效。如果使用 azure，为 ubuntu 部署的一个好方法是确保使用 Ubuntu 18LTS。这为具有 PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT 的正确 PHP 版本提供了默认值

@javi: 你知道在 PHP 5.6 中有什么方法吗？

【参考方案2】：

简而言之，如果您需要同时从 PDO 和 mysqli 访问，请使用 Cloud SQL Proxy。你别无选择。

https://cloud.google.com/sql/docs/sql-proxy

【讨论】：

GCP 员工注意事项：PR 不是编辑答案的正当理由。

【参考方案3】：

对于mysqli，添加：

MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT

到 real_connect() 解决了我的这个问题。

示例（根据需要替换主机、用户、密码和数据库）：

$db_connection->real_connect('ip address or host', 'user', 'password', 'database', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

完整的 php mysqli SSL 连接脚本：

// check if openssl is enabled on server
if(!extension_loaded('openssl')) 
    throw new Exception('This app needs the Open SSL PHP extension and it is missing.');


// start connection
$db_connection = mysqli_init(); 

// set ssl config (update with your certs location)
$db_connection->ssl_set('/etc/my.cnf.d/certs/client-key.pem','/etc/my.cnf.d/certs/client-cert.pem', '/etc/my.cnf.d/certs/ca-cert.pem', NULL, NULL); 

// connect (update with your host, db and credentials)
$db_connection->real_connect('ip address or host', 'user', 'password', 'database', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

【参考方案4】：

CakePHP 3.5.x + PHP 7.1.x + SQL Google Cloud + SSL 中的示例

更改文件：config/app.php

    ...
    ...

    /**
     * The test connection is used during the test suite.
     */
    'default' => [
        'className' => 'Cake\Database\Connection',
        'driver' => 'Cake\Database\Driver\Mysql',
        'persistent' => false,
        'host' => 'xx.xxx.xxx.xxx',
        //'port' => 'non_standard_port_number',
        'username' => 'user_name_x',
        'password' => 'pass_x',
        'database' => 'bd_name_x',
        'encoding' => 'utf8',
        'timezone' => 'UTC',
        'cacheMetadata' => true,
        'quoteIdentifiers' => false,
        'log' => false,

        'flags' => [
           PDO::MYSQL_ATTR_SSL_KEY  => CONFIG.'client-key.pem',
           PDO::MYSQL_ATTR_SSL_CERT => CONFIG.'client-cert.pem',
           PDO::MYSQL_ATTR_SSL_CA   => CONFIG.'server-ca.pem',
           PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false
        ],

        //'ssl_key' => CONFIG.'client-key.pem',
        //'ssl_cert' => CONFIG.'client-cert.pem',
        //'ssl_ca' => CONFIG.'server-ca.pem',

        //'init' => ['SET GLOBAL innodb_stats_on_metadata = 0'],
    ],
 ],
 ...
 ...

---

PHP Pure + PDO + SSL 示例：

$ssl_key = CONFIG.'client-key.pem';
$ssl_cert = CONFIG.'client-cert.pem';
$ssl_ca = CONFIG.'server-ca.pem';

$pdo = new PDO('mysql:host=xxx.xxx.xxx.xxx;dbname=db_name_x', 'user_name_x', 'pass_x', array(
    PDO::MYSQL_ATTR_SSL_KEY   => '/path/full/client-key.pem',
    PDO::MYSQL_ATTR_SSL_CERT  => '/path/full/client-cert.pem',
    PDO::MYSQL_ATTR_SSL_CA    => '/path/full/server-ca.pem',
    PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false
    )
);
$statement = $pdo->query("SHOW TABLES;");
var_dump($statement);
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo json_encode($row);
exit();

【参考方案5】：

我在 compose 集群上托管的 MySQL 数据库也遇到了同样的问题。

经过几个小时的搜索和测试，我发现最好的解决方案是使用 MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT 标志禁用测试服务器提供的证书。

我没有用 PDO 测试过它，但是用 mysqli 接口它对我有用。 通常，在集群服务器上托管的数据库会出现此问题。