Wie behebe ich den Fehler „ERROR 2026 SSL connection“, wenn ich eine Verbindung zu einem Amazon RDS für eine MySQL- oder Aurora-DB-Instance herstelle?

Lösung

Gehe wie folgt vor, um den Fehler zu beheben, der dir angezeigt wird.

Hinweis: In den folgenden Beispielbefehlen lautet der Cluster-Endpunkt abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com. Der DB-Instance-Endpunkt ist abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com.

Fehler bei der Validierung des SSL-Zertifikats

Um diesen Fehler zu beheben, überprüfe zunächst, ob du den Cluster-Endpunkt oder den DB-Instance-Endpunkt verwendest. Weitere Informationen findest du unter Amazon RDS für MySQL oder SSL/TLS verwenden, um eine Verbindung zu einem DB-Cluster zu verschlüsseln

Wenn du einen Client verwendest, der Subject Alternative Names (SAN) unterstützt, kannst du nur den Cluster-Endpunkt verwenden. Wenn dein Client SAN nicht unterstützt, musst du den Endpunkt der primären DB-Instance verwenden.

Hinweis: Der standardmäßige MySQL-Befehlszeilenclient unterstützt SAN nicht.

Wenn du beim Versuch, eine Verbindung zum Cluster-Endpunkt herzustellen, eine Fehlermeldung zur SSL-Zertifikatsvalidierung erhältst, stelle eine Verbindung zum Endpunkt der primären DB-Instance her.

Beispielbefehl, der den Cluster-Endpunkt für die Verbindung verwendet:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca global-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL certificate validation failure

Beispielbefehl, der den DB-Instance-Endpunkt für die Verbindung verwendet:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rglobal-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 26

Der Server unterstützt SSL nicht

Du erhältst diesen Fehler, wenn die von dir verwendete Server- oder Engine-Version SSL/TLS nicht unterstützt. Um diesen Fehler zu beheben, migriere zu einer Engine, die SSL/TLS-Verbindungen unterstützt.

SSL_CTX_set_default_verify_paths ist fehlgeschlagen

Du erhältst diesen Fehler, wenn die Zertifikatsdatei nicht existiert, dein Dateipfad falsch ist oder du nicht berechtigt bist, die Datei zu lesen. Du kannst diesen Fehler auch erhalten, wenn du keine Berechtigungen für das Verzeichnis hast, in dem die Zertifikatsdatei gespeichert ist. Stelle sicher, dass sich die Zertifikatsdatei in einem Verzeichnis befindet, für das du Zugriffsberechtigungen hast.

Bevor du eine Verbindung herstellst, vergewissere dich, dass du das richtige Zertifikat heruntergeladen hast. Wenn du eine Verbindung herstellst, stelle sicher, dass du den richtigen Zertifikats-Identifikationsnamen und den richtigen Pfad zum Zertifikat verwendest.

Die globale Paketzertifikatsdatei befindet sich im Verzeichnis „Downloads“ in einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance.

Beispielbefehl, der den falschen Pfad zum globalen Bundle-Zertifikat verwendet, um eine Verbindung herzustellen:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxxx.us-east-1.rds.amazonaws.com --ssl-ca global-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

Hinweis: Im vorherigen Befehl wird die Verbindungszeichenfolge im Home-Verzeichnis verwendet, das globale Bundle-Zertifikat befindet sich jedoch im Verzeichnis Downloads.

Beispielbefehl, der den richtigen Pfad zum globalen Bundle-Zertifikat verwendet, um eine Verbindung herzustellen:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-clust.cluster-xxxx.us-east-1.rds.amazonaws.com --ssl-ca /home/ec2-user/Downloads/global-bundle.pem   
--ssl-mode=VERIFY_IDENTITY -u test -p test  
Enter password:  
Welcome to the MySQL monitor. Commands end with ; or \g.   
Your MySQL connection id is 26

Beispielbefehl mit unzureichenden Berechtigungen, der versucht, eine Verbindung zur DB-Instance herzustellen:

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 700 global-bundle.pem
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca global-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

Beispielbefehl mit den richtigen Berechtigungen, der erfolgreich eine Verbindung zur DB-Instance herstellt:

[ec2-user@ip-192-0-2-0 ~]$ sudo chmod 755 global-bundle.pem
[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca global-bundle.pem --ssl-mode=VERIFY_IDENTITY -u test -p test
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 810

SSL-Verbindungsfehler: error:00000001:lib(0)::reason(1)

Dieser Verbindungsfehler tritt in den folgenden Szenarien auf:

• Du verwendest die falsche Zertifikatsdatei.
• Die Zertifikatsdatei entspricht nicht dem Zertifikat, das die RDS-Instance benötigt.
• Der MySQL-Client unterstützt die Zertifikats-ID nicht.

Hinweis: Für MySQL-Compatible Aurora Serverless DB-Cluster musst du MySQL 8.0-Compatible-Befehle verwenden.

Bevor du eine Verbindung herstellst, vergewissere dich, dass du das richtige Zertifikat heruntergeladen hast. Wenn du eine Verbindung herstellst, stelle sicher, dass du den richtigen Zertifikats-Identifikationsnamen und den richtigen Pfad zum Zertifikat verwendest.

Beispielbefehl mit falschem Zertifikat, der versucht, eine Verbindung zum DB-Instance-Endpunkt herzustellen:

[ec2-user@ip-192-0-2-0 ~]$ mysql -habcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca rds-ca-2019-root.pem --ssl-mode=VERIFY_IDENTITY -u test -p  
Enter password:   
ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0)::reason(1)

Beispielbefehl mit dem richtigen Zertifikat, der erfolgreich eine Verbindung zur DB-Instance herstellt:

[ec2-user@ip-192-0-2-0 ~]$ mysql -h abcdefg-inst.xxxx.us-east-1.rds.amazonaws.com --ssl-ca  global-bundle.pem --ssl-mode=VERIFY_IDENTITY -u admin -p  
Enter password:   
Welcome to the MySQL monitor.  Commands end with ; or \g.

Ähnliche Informationen

TLS/SSL mit Aurora Serverless v1 verwenden