Oracle JDBC驱动不支持mTLS,仅能实现SSL加密通道+Wallet凭据认证;其不发送客户端证书,也不响应CertificateRequest,真正的双向认证需绕过JDBC改用UCP或原生socket。
oracle jdbc驱动本身不支持客户端证书双向认证(mtls),所谓“oracle数据库双向tls”是常见误解——实际能做的只有服务端ssl/tls加密 + wallet凭据认证,而wallet里的cwallet.sso和ewallet.p12不参与tls握手阶段的客户端证书验证。
Oracle官方文档和ojdbc源码均未暴露任何配置项用于指定客户端密钥库(javax.net.ssl.keyStore)、密钥密码或启用SSLContext.init(KeyManager[], ...)。驱动在建立TCPS连接时仅作为TLS客户端单向验证服务器证书,不会向Oracle服务器发送自己的证书。
javax.net.ssl.keyStore和javax.net.ssl.keyStorePassword,JDBC驱动完全忽略——既不报错也不生效oracle.net.ssl_server_dn_match=true只控制服务端证书CN/SAN校验,和客户端证书无关sqlnet.ora里配了SSL_CLIENT_AUTHENTICATION = TRUE,ojdbc也无法响应CertificateRequest消息业务上常说的“Oracle双向认证”,实际是:用SSL/TLS加密通道传输、再用Wallet中预置的用户凭证(如ewallet.p12里的数据库用户名/密码或签名密钥)完成身份认证。这不是TLS层的mTLS,而是应用层凭据交换。
TCPS协议,否则Wallet凭据不加载(触发ORA-28374或ORA-28365)-Doracle.net.wallet_location=/path/to/wallet,不能写在JDBC URL里cwallet.sso(权限≤600)和ewallet.p12(Java进程可读)jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=...)(PORT=...))(CONNECT_DATA=(SERVICE_NAME=...)))
极少数场景(如合规强要求)需要真正的mTLS,只能放弃ojdbc,改用Oracle提供的Oracle Universal Connection Pool (UCP)配合自定义SSLSocketFactory,或直接用Netty/Vert.x等框架封装原生TCPS socket并手动注入KeyManager。但这意味着放弃所有JDBC标准接口和事务管理能力。
setConnectionPoolDataSource()方法可注入自定义DataSource,但需自行处理SSLContext初始化和证书链校验逻辑listener.ora)必须配置SSL_CLIENT_AUTHENTICATION = TRUE且信任你的CA根证书trustStore(注意不是keyStore)才能被服务端识别spring.datasource.*自动配置,必须手写连接池初始化Bean最常被忽略的一点:即便你成功让Oracle监听器接受了客户端证书,ojdbc驱动也拿不到该证书的任何上下文信息——它不提供API让你读取已协商的客户端证书Subject或SAN。所有“基于客户端证书的授权逻辑”必须放在数据库侧(如PL/SQL中调用sys_context('USERENV', 'SSL_CLIENT_DN'))。
立即学习“Java免费学习笔记(深入)”;