问题 PHP上的MySQL MySQL。同行证书不匹配

我正在尝试使用来自GCE（Google Compute Engine）实例的基于SSL的Google Cloud SQL。我的问题是我无法通过SSL连接到Cloud SQL实例。

mysql命令正常工作。我可以使用认证文件连接到Cloud SQL实例。

mysql -uroot -p -h [IP Address] --ssl-ca=/home/user/.cert/server-ca.pem --ssl-cert=/home/user/.cert/client-cert.pem  --ssl-key=/home/user/.cert/client-key.pem

但是，当我从PHP程序访问时，我得到了警告和致命错误。

<?php
$pdo = new PDO('mysql:host=[IP Address];dbname=testdb', 'root', 'test', array(
    PDO::MYSQL_ATTR_SSL_KEY    =>'/home/user/.cert/client-key.pem',
    PDO::MYSQL_ATTR_SSL_CERT=>'/home/user/.cert/client-cert.pem',
    PDO::MYSQL_ATTR_SSL_CA    =>'/home/user/.cert/server-ca.pem'
    )
);
$stmt = $pdo->query("SHOW TABLES;");
$row = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($row);
?>

PHP Warning:  PDO::__construct(): Peer certificate CN=`[GCP project name]:[Cloud SQL instance name]' did not match expected CN=`[IP Address]' in /tmp/mysql.php on line 7
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[HY000] [2002] ' in /tmp/mysql.php on line 7

当我使用mysqli时，我得到了同样的错误。

$mysqli = mysqli_init();
mysqli_options($mysqli, MYSQLI_OPT_SSL_VERIFY_SERVER_CERT, true);

$mysqli->ssl_set('/home/user/.cert/client-key.pem',
                 '/home/user/.cert/client-cert.pem',
                 '/home/user/.cert/server-ca.pem',
                  NULL,NULL);

$mysqli->real_connect('[IP Address]', 'root', 'test', 'testdb', 3306, NULL, MYSQLI_CLIENT_SSL);

PHP Warning:  mysqli::real_connect(): Peer certificate CN=`[GCP project name]:[Cloud SQL instance name]' did not match expected CN=`[IP Address]' in /tmp/mysql3.php on line 30
Warning: mysqli::real_connect(): (HY000/2002):  in /tmp/mysql3.php on line 30

这个问题看起来与我的案例有关，但还没有答案。使用PHP连接Mysql的SSL自签名认证

有谁知道解决方案？

更新1

报告了该错误。 https://bugs.php.net/bug.php?id=71003

这里的问题很相似。 Google Cloud SQL SSL无法验证对等证书

我的PHP版本是5.6.14。我将更新到5.6.16以使用MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT。

更新2

当我使用mysqli时修复它

我做了如下：

1我将PHP更新为5.6.20

sudo apt-get install php5

2我把 MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT 像这样的选项。

$mysqli->real_connect('[IP Address]', 'root', 'test', 'testdb', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

我的应用程序出于某些原因使用mysqli和PDO。我现在正在寻找PDO的解决方案。

更新3

此错误报告显示了PDO的情况。听起来还没有修好。

https://bugs.php.net/bug.php?id=71845

据我了解，没有办法解决PDO。

更新4

有些人责怪谷歌的CN名称设计（我实际上同意他们......）

最糟糕的是你们使用不可能的CN名称（:)。如果CN没有冒号，我可以在我的hosts文件中映射ip和CN，这样当对等验证完成时它可以通过。使用冒号，php认为是主机并且是端口

和谷歌的员工？了解问题。

我了解通过IP连接时的当前情况并不理想。

但它似乎提供了一种称为“代理”的解决方案。

https://groups.google.com/forum/#!topic/google-cloud-sql-discuss/gAzsuCzPlaU

我正在使用Cloud SQL第二代，我的应用程序是托管GCE。所以我认为我可以使用代理方式。我现在就试试吧。

更新5

设置代理访问权限。解决了PDO和mysqli访问问题。

在Ubuntu上安装代理

$ wget https://dl.google.com/cloudsql/cloud_sql_proxy.linux.amd64
$ mv cloud_sql_proxy.linux.amd64 cloud_sql_proxy
$ chmod +x cloud_sql_proxy
$ sudo mkdir /cloudsql; sudo chmod 777 /cloudsql
$ ./cloud_sql_proxy -dir=/cloudsql -instances=<project name>:us-central1:mydb

PDO

<?php
$pdo = new pdo('mysql:unix_socket=/cloudsql/<project name>:us-central1:mydb;dbname=testdb','root','test');
$stmt = $pdo->query("SHOW TABLES;");
$row = $stmt->fetch(PDO::FETCH_ASSOC);
print_r($row);
?>

mysqli的

$mysqli = mysqli_connect('localhost', 'root', 'test', 'testdb', 3306, '/cloudsql/<project name>:us-central1');
$sql = "SELECT id FROM users";
if ($result = $mysqli->query($sql)) {
    while ($row = $result->fetch_assoc()) {
        echo $row["id"] . "\n";
    }
    $result->close();
}
$mysqli->close();

refs（日文）

http://blog.hrendoh.com/connecting-to-google-cloud-sql-using-mysql-client/ http://blog.hrendoh.com/google-appengine-php-using-cloud-sql/

12088

2018-04-08 06:34

起源

你很棒更新＃5完全适合我。谢谢！！！ - ingernet

我敲了几个小时。也许这会帮助别人。第5步第1部分是我的问题 - 我以root身份登录。作为普通用户重新运行，全部按预期工作！ - webaholik

答案:

对于不使用Google云或无法从代理解决方案中受益的PDO连接，他们已经修复了该错误并且现在已合并。现在有一个常数（从2017年4月开始）：

PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false,

http://git.php.net/?p=php-src.git;a=commit;h=247ce052cd0fc7d0d8ea1a0e7ea2075e9601766a

希望这可以帮助。

2018-05-19 10:14

这是否意味着连接是安全的？ - Stephan Hofmann

嗯，是的，它是一个加密的连接，但考虑到你没有验证证书本身。 - Javi

我知道，但如果不使用上面的代码，我找不到任何解决方案。使用终端或续集等应用程序时，证书可以正常工作。但就php而言，我找不到任何解决方案 - Stephan Hofmann

这仅适用于使用PHP 7.1.x的情况。如果使用azure，为ubuntu部署的一个好方法是确保使用Ubuntu 18LTS。这为具有PDO :: MYSQL_ATTR_SSL_VERIFY_SERVER_CERT的正确版本的PHP提供了默认值 - CarComp

@javi：你知道PHP 5.6中有什么办法吗？ - Max

简而言之，如果您需要从PDO和mysqli访问，请使用Cloud SQL Proxy。你没有选择。

https://cloud.google.com/sql/docs/sql-proxy

2018-04-08 17:33

GCP员工注意事项：PR不是编辑答案的正当理由。 - Sammitch

CakePHP 3.5.x + PHP 7.1.x + SQL Google Cloud + SSL中的示例

更改文件：config / app.php

    ...
    ...

    /**
     * The test connection is used during the test suite.
     */
    'default' => [
        'className' => 'Cake\Database\Connection',
        'driver' => 'Cake\Database\Driver\Mysql',
        'persistent' => false,
        'host' => 'xx.xxx.xxx.xxx',
        //'port' => 'non_standard_port_number',
        'username' => 'user_name_x',
        'password' => 'pass_x',
        'database' => 'bd_name_x',
        'encoding' => 'utf8',
        'timezone' => 'UTC',
        'cacheMetadata' => true,
        'quoteIdentifiers' => false,
        'log' => false,

        'flags' => [
           PDO::MYSQL_ATTR_SSL_KEY  => CONFIG.'client-key.pem',
           PDO::MYSQL_ATTR_SSL_CERT => CONFIG.'client-cert.pem',
           PDO::MYSQL_ATTR_SSL_CA   => CONFIG.'server-ca.pem',
           PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false
        ],

        //'ssl_key' => CONFIG.'client-key.pem',
        //'ssl_cert' => CONFIG.'client-cert.pem',
        //'ssl_ca' => CONFIG.'server-ca.pem',

        //'init' => ['SET GLOBAL innodb_stats_on_metadata = 0'],
    ],
 ],
 ...
 ...

示例PHP Pure + PDO + SSL：

$ssl_key = CONFIG.'client-key.pem';
$ssl_cert = CONFIG.'client-cert.pem';
$ssl_ca = CONFIG.'server-ca.pem';

$pdo = new PDO('mysql:host=xxx.xxx.xxx.xxx;dbname=db_name_x', 'user_name_x', 'pass_x', array(
    PDO::MYSQL_ATTR_SSL_KEY   => '/path/full/client-key.pem',
    PDO::MYSQL_ATTR_SSL_CERT  => '/path/full/client-cert.pem',
    PDO::MYSQL_ATTR_SSL_CA    => '/path/full/server-ca.pem',
    PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT => false
    )
);
$statement = $pdo->query("SHOW TABLES;");
var_dump($statement);
$row = $statement->fetch(PDO::FETCH_ASSOC);
echo json_encode($row);
exit();

2018-01-25 04:00

对于mysqli，添加：

MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT

至 real_connect（） 解决了我这个问题的实例。

示例（根据需要替换主机，用户，密码和数据库）：

$db_connection->real_connect('ip address or host', 'user', 'password', 'database', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

完整的php mysqli SSL连接脚本：

// check if openssl is enabled on server
if(!extension_loaded('openssl')) {
    throw new Exception('This app needs the Open SSL PHP extension and it is missing.');
}

// start connection
$db_connection = mysqli_init(); 

// set ssl config (update with your certs location)
$db_connection->ssl_set('/etc/my.cnf.d/certs/client-key.pem','/etc/my.cnf.d/certs/client-cert.pem', '/etc/my.cnf.d/certs/ca-cert.pem', NULL, NULL); 

// connect (update with your host, db and credentials)
$db_connection->real_connect('ip address or host', 'user', 'password', 'database', 3306, NULL, MYSQLI_CLIENT_SSL_DONT_VERIFY_SERVER_CERT);

2018-04-23 23:35

问题 PHP上的MySQL MySQL。同行证书不匹配

答案:

热门问题