Comment résoudre l'erreur de connexion SSL ERROR 2026 lorsque je me connecte à une instance Amazon RDS for MySQL ou de base de données Aurora ?

Lecture de 5 minute(s)

J'essaie de connecter mon cluster ou instance de base de données Amazon Relational Database Service (Amazon RDS) à l'aide de Secure Sockets Layer (SSL). J'ai reçu l'erreur suivante : « ERROR 2026 (HY000): SSL connection error ». Comment résoudre l'erreur ERROR 2026 pour Amazon RDS for MySQL, Amazon Aurora for MySQL ou Amazon Aurora sans serveur ?

Brève description

Il existe trois différents types de messages d'erreur pour ERROR 2026 :

ERROR 2026 (HY000): SSL connection error: SSL certificate validation failure
ERROR 2026 (HY000): SSL connection error: Server doesn't support SSL
ERROR 2026 (HY000): SSL connection error: ASN: bad other signature confirmation

Consultez les étapes de dépannage suivantes pour chaque message d'erreur.

Résolution

ERROR 2026 (HY000): SSL connection error: SSL certificate validation failure

Pour résoudre cette erreur, commencez par vérifier si vous utilisez le point de terminaison du cluster ou de l'instance de base de données. Pour savoir comment Amazon RDS prend en charge le protocole SSL, consultez les sections Utilisation de SSL avec une instance de base de données MySQL ou Utilisation de SSL avec des clusters de base de données MySQL.

Si vous utilisez un client qui prend en charge l'extension SAN (Subject Alternative Names), vous ne pouvez alors utiliser que le point de terminaison du cluster. Si votre client ne prend pas en charge l'extension SAN, vous devez utiliser le point de terminaison de l'instance principale de base de données.

Remarque : Le client de la ligne de commande MySQL par défaut ne prend pas en charge l'extension SAN.

Si vous recevez cette erreur lorsque vous tentez de vous connecter au point de terminaison du cluster, essayez de vous connecter au point de terminaison de l'instance principale de base de données dans la chaîne de connexion. Par exemple, vous pouvez vous connecter au point de terminaison du cluster. Dans l'exemple suivant, le point de terminaison du cluster est abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com. Le point de terminaison de l'instance de base de données est abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com.

Connexion à l'aide du point de terminaison du cluster

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL certificate validation failure

Connexion à l'aide du point de terminaison de l'instance de base de données

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem 
--ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password: 
Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 26

ERROR 2026 (HY000): SSL connection error: Server doesn't support SSL

Vous pouvez recevoir cette erreur si le serveur ou la version du moteur que vous utilisez ne prend pas en charge le protocole SSL. Pour résoudre cette erreur, migrez vers un moteur qui prend en charge les connexions SSL.

ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed or ERROR 2026 (HY000): SSL connection error: ASN: bad other signature confirmation

Vous pouvez recevoir cette erreur si l'identificateur de certificat (nom de fichier de certificat) est incorrect. Vous pouvez également recevoir cette erreur si l'identificateur de certificat n'est pas pris en charge par le client MySQL, par exemple, avec Aurora sans serveur. Si vous utilisez des clusters Aurora sans serveur et que vous utilisez le client MySQL pour vous connecter à Aurora sans serveur, vous devez alors utiliser les commandes MySQL compatibles avec la version MySQL 8.0.

Assurez-vous d'utiliser le nom d'identifiant de certificat et le chemin vers le certificat appropriés pour vous connecter avec succès. Avant de connecter, vérifiez que vous avez téléchargé le certificat approprié. Pour plus d'informations, consultez la section Utilisation de SSL pour chiffrer une connexion à une instance de base de données.

Le fichier de certificat racine se trouve dans le répertoire Téléchargements dans une instance Amazon Elastic Compute Cloud (Amazon EC2). Dans l'exemple suivant, vous saisissez un chemin incorrect, ce qui génère une erreur ERROR 2026 :

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

Remarque : Cet exemple utilise la chaîne de connexion du répertoire de base, mais le certificat racine se trouve dans le répertoire Téléchargements.

Dans l'exemple suivant, vous utilisez le chemin d'accès au certificat racine pour vous connecter avec succès :

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca /home/ec2-user/Downloads/rds-combined-ca-bundle.pem 
--ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password: 
Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 26

Vous pouvez également recevoir cette erreur si vous ne disposez pas des autorisations nécessaires pour accéder au répertoire dans lequel est stocké le certificat. Assurez-vous que le certificat se trouve dans un répertoire pour lequel vous disposez des autorisations d'accès nécessaires. Consultez les exemples de connexion avec et sans autorisations suivants :

Connexion avec des autorisations insuffisantes

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 700 rds-combined-ca-bundle.pem 
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password: 
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

Connexion avec les autorisations appropriées

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 755 rds-combined-ca-bundle.pem
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 810

Informations connexes

Utilisation du protocole TLS/SSL avec Aurora sans serveur

Sujets

Base de données

Balises

Aurora MySQL

Langue

Français

AWS OFFICIELA mis à jour il y a 3 ans

Aucun commentaire

Contenus pertinents

Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 3 mois
error 403 / cloud front
nico-HPF
demandé il y a un mois
Échec création de base de données Neptune sur AWS
jjso
demandé il y a 8 mois
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a un an
Comment utiliser le proxy Amazon RDS pour me connecter à mon instance de base de données Amazon RDS ou à mon cluster de base de données Aurora compatible MySQL ?
AWS OFFICIELA mis à jour il y a 8 mois
Pourquoi le message d'erreur Accès refusé s'affiche-t-il lorsque j'essaie de me connecter à mon cluster de base de données Amazon Aurora ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre l'erreur « Got an error reading communication packets » (Une erreur s'est produite lors de la lecture des paquets de communication) dans Amazon RDS for MySQL ou Aurora MySQL-Compatible ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment résoudre les erreurs « Impossible d'envoyer les données au client » ou « Impossible de recevoir les données du client » lorsque je me connecte à une instance de base de données Amazon RDS for PostgreSQL ou Aurora PostgreSQL ?
AWS OFFICIELA mis à jour il y a 10 mois