Zertifikat für die Nutzung mit PyMySQL

leinad · Mar 8th 2020

Hallo,

ich möchte mich mittels der Python-Bibliothek PyMySQL verschlüsselt mit einer im Webhosting gehosteten Datenbank verbinden.

Folgendes klappt

Code

import pymysql.cursors

connection = pymysql.connect(
  host='91.204.xxx.xxx',
  user='xxxxxx',
  password='xxxxxx',
  db='xxxxxx',
  cursorclass=pymysql.cursors.DictCursor
  )

try:
  with connection.cursor() as cursor:
    cursor.execute(u"SELECT * FROM test WHERE k='好'")
    result = cursor.fetchall()
    for item in result:
      print item
finally:
  connection.close()

Display More

Dies ist aber unverschlüsselt. Bei https://stackoverflow.com/ques…e-pymysql-connect-for-ssl habe ich gesehen, dass ich eventuell einige pem-Dateien benötige, um eine verschlüsselte Verbindung hinzubekommen.

Mit DataGrip habe ich eine verschlüsselte Verbindung hinbekommen, ohne dass ich solche Daten angab (ich ließ die Felder einfach leer)

Kann mir jemand weiterhelfen und mir sagen, was zu tun ist?

H6G · Mar 8th 2020

Die Pem Dateien bekommst du entweder über OpenSSL openssl s_client -connect oder du nimmst die aus deiner MySQL Installation direkt.

Key und Cert benötigst du nur, wenn du dich darüber authentifizieren willst, anstelle von Username & Passwort.

CA benötigst du für die Verifizierung des Servers. Viele Clients bieten hier die Option, eine solche Verifizierung zu überspringen.

In dem Falle müsstest du nichts angeben.

Hast du dir bereits die Dokumentation von pymysql angesehen? Da müsste sowas stehen. Evtl. kannst du hier mit einem TLS Context arbeiten, dann müsstest du dir die TLS Bibliothek von Python näher ansehen.

leinad · Mar 9th 2020

Danke für deine Hinweise.

Bei der Nutzung vom Parameter ssl={'ca':None}im Aufruf pymysql.connect wird die Überprüfung des Zertifikat des Hosts übersprungen.

Beim Aufruf von openssl s_client bekomme ich folgendes:

Code

openssl s_client -connect mysqlxxx.netcup.net:3306
CONNECTED(00000003)
140477385201304:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1583744222
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Display More

Da sind also keine Informationen drin.

Quote

oder du nimmst die aus deiner MySQL Installation direkt

Wo finde ich diese Daten?

H6G · Mar 9th 2020

Quote from leinad

Wo finde ich diese Daten?

War wohl spät gestern Abend. Habe das Webhosting übersehen.

Klappt es denn mit ca:none?

leinad · Mar 9th 2020

Die Sache mit ssl={'ca':None} habe ich so eine halbe Stunde nach dem Posten der Frage gefunden, als ich mir den relevanten Quellcode von PyMySQL durchlas. Damit klappt es; laut Wireshark ist die Verbindung dann auch verschlüsselt.

Ich kann es vorerst so lassen, wäre aber schon gut, wenn ich die authentizität des Servers überprüfen könnte.

Tags