Wie kann ich einen ERROR 2026 SSL-Verbindungsfehler beheben, wenn ich eine Verbindung zu einer Amazon RDS für MySQL- oder Aurora-DB-Instance herstelle?

Lesedauer: 4 Minute
0

Ich versuche, mithilfe von Secure Sockets Layer (SSL) eine Verbindung zu meiner Amazon Relational Database Service (Amazon RDS) -DB-Instance oder meinem Cluster herzustellen. Ich habe die folgende Fehlermeldung erhalten: „FEHLER 2026 (HY000): SSL-Verbindungsfehler“ Wie kann ich den FEHLER 2026 für Amazon RDS für MySQL, Amazon Aurora für MySQL oder Amazon Aurora Serverless beheben?

Kurzbeschreibung

Es gibt drei verschiedene Arten von Fehlermeldungen für ERROR 2026:

  • FEHLER 2026 (HY000): SSL-Verbindungsfehler: Fehler bei der Validierung des SSL-Zertifikats
  • FEHLER 2026 (HY000): SSL-Verbindungsfehler: Der Server unterstützt SSL nicht
  • FEHLER 2026 (HY000): SSL-Verbindungsfehler: ASN: schlechte Bestätigung anderer Signaturen

Sehen Sie zur Fehlerbehebung für jede Fehlermeldung die folgenden Schritte.

Behebung

FEHLER 2026 (HY000): SSL-Verbindungsfehler: Fehler bei der Validierung des SSL-Zertifikats

Um diesen Fehler zu beheben, überprüfen Sie zunächst, ob Sie den Cluster-Endpunkt oder den DB-Instance-Endpunkt verwenden. Informationen darüber, wie Amazon RDS SSL unterstützt, finden Sie unter Verwenden von SSL mit einer MySQL-DB-Instance oder Verwenden von SSL mit Aurora MySQL-DB-Clustern.

Wenn Sie einen Client verwenden, der Subject Alternative Names (SAN) unterstützt, können Sie nur den Cluster-Endpunkt verwenden. Wenn Ihr Client SAN nicht unterstützt, müssen Sie den Endpunkt der primären DB-Instance verwenden.

**Hinweis:**Der standardmäßige MySQL-Befehlszeilenclient unterstützt SAN nicht.

Wenn Sie diesen Fehler erhalten, wenn Sie versuchen, eine Verbindung zum Cluster-Endpunkt herzustellen, versuchen Sie, in der Verbindungszeichenfolge eine Verbindung zum Endpunkt der primären DB-Instance herzustellen. Sie können beispielsweise eine Verbindung zum Cluster-Endpunkt herstellen. Im folgenden Beispiel lautet der Cluster-Endpunkt abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com. Der DB-Instance-Endpunkt ist abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com.

Stellen Sie eine Verbindung über den Cluster-Endpunkt her

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL certificate validation failure

Stellen Sie eine Verbindung über den DB-Instance-Endpunkt her

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem
--ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 26

FEHLER 2026 (HY000): SSL-Verbindungsfehler: Der Server unterstützt SSL nicht

Sie können diesen Fehler erhalten, wenn die Server- oder Engine-Version, die Sie verwenden, SSL nicht unterstützt. Um diesen Fehler zu beheben, migrieren Sie zu einer Engine, die SSL-Verbindungen unterstützt.

FEHLER 2026 (HY000): SSL-Verbindungsfehler: SSL_CTX_set_default_verify_paths ist fehlgeschlagen oder FEHLER 2026 (HY000): SSL-Verbindungsfehler: ASN: schlechte Bestätigung anderer Signaturen

Sie können diesen Fehler erhalten, wenn die Zertifikats-ID (Name der Zertifikatsdatei) nicht korrekt ist. Sie können diesen Fehler auch erhalten, wenn die Zertifikats-ID vom MySQL-Client nicht unterstützt wird, z. B. mit Aurora Serverless. Wenn Sie Aurora Serverless-Cluster verwenden und den MySQL-Client verwenden, um eine Verbindung zu Aurora Serverless herzustellen, müssen Sie die MySQL 8.0-kompatiblen MySQL-Befehle verwenden.

Stellen Sie sicher, dass Sie den richtigen Namen für die Zertifikatskennung und den richtigen Pfad zum Zertifikat verwenden, um eine erfolgreiche Verbindung herzustellen. Vergewissern Sie sich vor dem Herstellen der Verbindung, dass Sie das richtige Zertifikat heruntergeladen haben. Weitere Informationen finden Sie unter Verwenden von SSL zum Verschlüsseln einer Verbindung zu einer DB-Instance.

Die Stammzertifikatsdatei befindet sich im Download-Verzeichnis in einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance. Im folgenden Beispiel geben Sie den falschen Pfad ein, was zu ERROR 2026 führt:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

**Hinweis:**In diesem Beispiel wird die Verbindungszeichenfolge im Home-Verzeichnis verwendet, das Stammzertifikat befindet sich jedoch im Downloads-Verzeichnis.

Im folgenden Beispiel verwenden Sie den Pfad zum Stammzertifikat, um eine erfolgreiche Verbindung herzustellen:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca /home/ec2-user/Downloads/rds-combined-ca-bundle.pem
--ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 26

Dieser Fehler kann auch angezeigt werden, wenn Sie keine Berechtigungen für das Verzeichnis haben, in dem das Zertifikat gespeichert ist. Vergewissern Sie sich, dass sich das Zertifikat in einem Verzeichnis befindet, für das Sie über Zugriffsberechtigungen verfügen. Sehen Sie sich die folgenden Beispiele an, um Verbindungen mit und ohne Berechtigungen herzustellen:

Verbindung mit unzureichenden Berechtigungen herstellen

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 700 rds-combined-ca-bundle.pem
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

Verbindung mit den richtigen Berechtigungen herstellen

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 755 rds-combined-ca-bundle.pem
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 810

Ähnliche Informationen

Verwendung von TLS/SSL mit Aurora Serverless

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren