Mimer SQL中OpenSSL1与OpenSSL2兼容性差异？

1. 问题背景与现象描述

在将Mimer SQL服务器环境从OpenSSL 1.1.1升级至OpenSSL 3.0时，部分用户报告出现TLS连接失败的问题。典型表现为客户端无法建立安全连接，服务端或客户端日志中频繁出现“SSL handshake failed”或“unsupported protocol”等错误信息。

这一问题的根本原因在于OpenSSL 3.0对加密策略进行了重大重构，引入了更严格的默认安全策略（security policies），并默认禁用了已被认为不安全的算法（如MD5、SHA-1）以及旧版TLS协议（TLS 1.0 和 TLS 1.1）。

Mimer SQL若未适配这些变更，其底层SSL/TLS握手过程将因加密套件不匹配而中断，导致连接失败。

2. OpenSSL 3.0 的核心变更分析

• 默认安全策略强化：OpenSSL 3.0引入了FIPS 140-2兼容的安全策略，默认仅允许使用强加密算法（如SHA-256及以上、AES-GCM等）。
• 废弃弱算法：MD5、SHA1在签名和密钥派生中的使用被默认禁用。
• TLS版本限制：TLS 1.0 和 TLS 1.1 默认不再启用，仅支持TLS 1.2及以上。
• API行为变化：BIO、EVP等核心接口在错误处理和参数校验上更加严格，可能导致原有调用逻辑异常。
• Provider机制引入：算法实现通过provider加载，若配置不当，可能导致算法不可用。

3. Mimer SQL 与 OpenSSL 兼容性检查

需确认当前使用的Mimer SQL版本是否明确支持OpenSSL 3.0。以下是常见版本支持情况参考表：

4. 故障诊断流程图

graph TD
    A[客户端连接失败] --> B{检查日志}
    B --> C["SSL handshake failed"]
    C --> D[确认OpenSSL版本]
    D --> E[Mimer SQL是否支持OpenSSL 3.0?]
    E -->|否| F[降级OpenSSL或升级Mimer SQL]
    E -->|是| G[检查openssl.cnf配置]
    G --> H[是否启用TLS 1.2+?]
    H -->|否| I[修改minprotocol = TLSv1.2]
    H -->|是| J[检查CipherList]
    J --> K[是否包含弱算法?]
    K -->|是| L[调整CipherString以排除弱算法]
    K -->|否| M[验证证书链与密钥格式]
    M --> N[测试连接]
    

5. 解决方案与配置调整

若确认Mimer SQL版本支持OpenSSL 3.0，但连接仍失败，可通过调整openssl.cnf文件来放宽策略限制，实现向后兼容。

示例配置片段如下：

说明：
- SECLEVEL=1 允许使用SHA-1等中等强度算法。
- MinProtocol = TLSv1.0 启用旧版协议（仅建议过渡期使用）。
- 生产环境应尽快迁移至SECLEVEL=2或更高。

6. 客户端加密套件更新建议

为确保长期兼容性与安全性，建议客户端应用升级加密套件配置，优先使用：

• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_128_GCM_SHA256

避免使用包含以下关键字的套件：
_WITH_MD5, _WITH_SHA, _WITH_DES, _WITH_3DES

7. 动态链接库与API兼容性处理

OpenSSL 3.0中EVP_DigestSignInit等函数的行为发生变化，可能影响Mimer SQL的内部签名逻辑。若存在段错误或初始化失败，需检查：

1. 是否正确加载了default provider；
2. 私钥对象是否符合新的key management API要求；
3. 是否在初始化前调用OPENSSL_init_crypto()；
4. 是否存在静态链接库冲突（如同时存在libssl.so.1.1与libssl.so.3）。

可通过ldd mimersql_server查看实际链接的OpenSSL库版本。