MySQL JDBC принудительно игнорирует сертификат клиента на AWS RDS

У меня есть веб-приложение Java, работающее на AWS и подключающееся к базе данных MySQL, работающей на AWS RDS.

Мое приложение использует сертификаты клиентов SSL, подписанные нашим собственным центром сертификации, для подключения к различным веб-службам, поэтому я установил -Djavax.net.ssl.keyStore и -Djavax.net.ssl.trustStore системные свойства.

Я добавил https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle. pem сертификаты к моему trustStore , и я могу нормально подключиться к MySQL, используя SSL через клиент командной строки.

Моя строка подключения MySQL выглядит так:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true

Я использую mysql: mysql-connector-java: jar: 5.1.38 для запуска соединения JBDC.

Я обнаружил, что мое приложение Java может подключаться к MySQL нормально, когда я устанавливаю trustStore , но он терпит неудачу, когда я устанавливаю хранилище ключей и trustStore :

! javax.net.ssl.SSLException: Unsupported record version Unknown-0.0
! at sun.security.ssl.InputRecord.checkRecordVersion(InputRecord.java:552) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.readV3Record(InputRecord.java:565) ~[na:1.8.0_91]
! at sun.security.ssl.InputRecord.read(InputRecord.java:532) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:973) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403) ~[na:1.8.0_91]
! at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387) ~[na:1.8.0_91]
! at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149) ~[user-portal-web-0.0.1.jar:0.0.1]
! ... 40 common frames omitted

Кажется, что Java представляет мой сертификат клиента, подписанного частным CA, в MySQL, который отклоняет его. Я зафиксировал взаимодействие с помощью tcpdump , и DN моего клиентского сертификата отправляется в MySQL.

Как я могу использовать свой клиентский сертификат для HTTPS-соединений, но не использовать его для подключения к MySQL?

Я попытался создать пустое хранилище ключей и настроить его для использования в строке подключения:

jdbc:mysql://my-server-id.eu-west-1.rds.amazonaws.com/my-database?verifyServerCertificate=true&useSSL=true&requireSSL=true&clientCertificateKeyStoreUrl=file:nokeys.jks&clientCertificateKeyStorePassword=changeit

Это дает мне следующую ошибку:

java.lang.IllegalStateException: TrustManagerFactoryImpl is not initialized
    at sun.security.ssl.TrustManagerFactoryImpl.engineGetTrustManagers(TrustManagerFactoryImpl.java:100)
    at javax.net.ssl.TrustManagerFactory.getTrustManagers(TrustManagerFactory.java:285)
    at com.mysql.jdbc.ExportControlled.getSSLSocketFactoryDefaultOrConfigured(ExportControlled.java:323)
    at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:85)