Kamailio项目中MySQL连接器TLS支持问题分析与解决方案

问题背景

在Kamailio项目中使用db_mysql模块连接MySQL/MariaDB数据库时，当该模块基于mariadb-connector-c构建时，会出现无法使用TLS加密连接的问题。这个问题在RHEL系统提供的RPM包中尤为常见，因为这些包默认使用mariadb-connector-c作为连接器实现。

问题表现

该问题在不同配置下有两种表现形式：

1. 服务器可选TLS模式：MySQL/MariaDB服务器配置为支持但不强制要求TLS时，db_mysql模块会始终选择非加密的明文连接方式，即使服务器已经通告支持SSL/TLS。

2. 服务器强制TLS模式：当MySQL/MariaDB服务器配置为必须使用TLS时，连接会直接失败，因为客户端无法建立加密连接。

技术分析

通过深入分析，我们发现问题的根源在于mariadb-connector-c库的TLS支持实现方式与Kamailio的预期行为存在差异。具体表现为：

1. 连接协商机制：mariadb-connector-c默认不使用TLS，即使在服务器支持的情况下。

2. 功能缺失：当前Kamailio的db_mysql模块没有正确映射和配置mariadb-connector-c的TLS相关选项。

3. 不一致性：有趣的是，通过db_unixodbc模块配合mariadb-connector-odbc驱动时，TLS可以正常工作，这表明问题特定于原生驱动实现。

解决方案

针对这一问题，Kamailio社区已经提出了解决方案并在代码中实现。解决方案的核心是通过正确映射Kamailio现有的opt_ssl_mode参数到mariadb-connector-c的相应选项：

1. 禁用模式(0/SSL_MODE_DISABLED)：使用mariadb-connector-c的默认行为，即不启用TLS。

2. 首选/必需模式(2/SSL_MODE_PREFERRED, 3/SSL_MODE_REQUIRED, 4/SSL_MODE_VERIFY_CA)：设置MYSQL_OPT_SSL_ENFORCE选项，强制使用TLS连接。

3. 身份验证模式(5/SSL_MODE_VERIFY_IDENTITY)：设置MYSQL_OTP_SSL_VERIFY_SERVER_CERT选项，在加密基础上增加服务器证书验证。

实施验证

开发团队通过以下方法验证了问题的存在和解决方案的有效性：

1. 网络抓包分析：使用Wireshark捕获3306端口的流量，检查是否存在TLS握手过程中的ClientHello消息。

2. 调试分析：通过gdb调试Kamailio主进程，在SSL_new函数设置断点，观察TLS初始化过程。

3. 功能测试：在不同TLS配置模式下(可选、强制)测试连接行为，确认解决方案覆盖所有使用场景。

安全建议

对于生产环境部署，我们建议：

1. 尽可能使用TLS加密数据库连接，特别是在跨网络或不可信环境中。

2. 对于高安全要求场景，应采用SSL_MODE_VERIFY_IDENTITY模式，确保不仅加密通信，还能验证服务器身份。

3. 定期检查数据库服务器的TLS配置，确保使用强加密算法和有效证书。

总结

这一改进使得Kamailio在使用mariadb-connector-c时能够提供完整的TLS支持，与使用其他连接方式(如ODBC)时的行为保持一致。用户现在可以根据安全需求灵活选择适当的加密级别，从完全禁用到强制加密并验证服务器身份。这一变化特别有利于需要符合严格安全合规要求的部署场景。