DBeaver连接阿里云RDS时SSL握手失败如何解决？

一、现象层：典型错误日志与复现场景

• MySQL连接报错：PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
• PostgreSQL连接报错：Received fatal alert: handshake_failure
• 高频复现场景：Windows/macOS本地DBeaver 23.3+ + JDK 17/21 + 阿里云RDS MySQL 5.7/8.0 或 PostgreSQL 12/14
• 网络可达性验证通过（telnet rds-host 3306 或 nc -zv rds-host 5432 成功），排除白名单与VPC策略干扰

二、协议层：TLS握手失败的深层技术动因

阿里云RDS自2021年起强制启用SSL/TLS加密，但其证书链依赖专属CA体系：

三、配置层：DBeaver连接参数的精确语义解析

关键参数非布尔开关，而是具有严格TLS协商语义：

• useSSL=true（MySQL）≠ 启用SSL，而是触发“SSL握手+证书验证”全流程
• sslmode=require（PostgreSQL）不跳过证书校验，必须完成CA链验证
• allowPublicKeyRetrieval=true是危险降级选项，仅适用于MySQL 8.0早期认证插件缺陷，与RDS证书问题无因果关系
• 正确做法：关闭该参数，转而导入可信CA证书

四、证书层：阿里云CA证书演进与适配策略

阿里云已发布两代CA证书包，需按RDS创建时间精准选用：

五、实施层：双路径解决方案（推荐生产环境使用）

1. 路径一（推荐）：配置DBeaver独立SSL信任库
   在连接编辑器 → SSL 标签页 → 勾选 Use custom SSL configuration → 指定 rds-combined-ca-bundle.pem 路径
2. 路径二（全局生效）：扩展JVM信任库
   keytool -import -alias aliyun-rds -file rds-combined-ca-bundle.pem -keystore $JAVA_HOME/lib/security/cacerts
3. 验证命令：keytool -list -v -keystore $JAVA_HOME/lib/security/cacerts | grep aliyun
4. 重启DBeaver使JVM信任库变更生效

六、验证层：端到端连通性诊断清单

• ✅ 检查DBeaver所用JDK版本：Help → About → Installation Details → JVM
• ✅ 确认RDS实例SSL设置：控制台 → RDS实例 → 参数设置 → require_secure_transport = ON
• ✅ 抓包验证TLS协商：tshark -i any -f "host rds-host and port 3306" -Y ssl.handshake
• ✅ 日志增强：在DBeaver启动脚本中添加 -vmargs -Djavax.net.debug=ssl:handshake