Immer Mysql2::Error (SSL-Verbindung Fehler: ASN: schlecht weitere Signatur-Bestätigung) auf Heroku App mit AWS RDS

Mysql2::Error (SSL connection error: ASN: bad other signature confirmation):

Ich mache eine Website Verwaltung. Die Umgebung ist Rails 4.2 und Ruby 2.2, Anschluss AWS RDS mit Heroku-server.
Ich weiß nicht, warum immer diese Fehlermeldung. Es erschien plötzlich. Ich kann nicht finden Fehler, die andere als das. Obwohl ich an meinen codes vor zwei Tagen, bekam ich diese Fehlermeldung diesmal.(Ich habe noch nicht berührte diesen code während der zwei Tage.)
Sie kommen mit Ideen, um dieses problem zu lösen?

Dank!

  • Und dann ich dachte, dieser Fehler wurde dadurch verursacht, dass SSL-Zertifikat Rotation. Ich bestätigte ssl-Zertifikat aktualisiert, rds-ca-2015, und bereits neu gestartet, aber es ändert sich nichts. Ich bin immer noch gestapelt! Bitte helfen Sie mir!
InformationsquelleAutor Toshihiro Yokota | 2015-04-05
  1. 26

    Für mich, dies hatte zu tun mit der RDS-SSL-Zertifikat-Rotation-das geschah am 3. April 2015.

    Jedoch, in meinem Fall, nur mit dem root-Zertifikat hat nicht funktioniert, und ich musste ein intermediate Zertifikat für meine region. Details:

    1. Gehen in die AWS rds-Konsole und starten Sie Ihren RDS-instance.

    2. Laden Sie die neue root-Zertifikat https://s3.amazonaws.com/rds-downloads/rds-ca-2015-root.pem. Legen Sie Sie in das config-Verzeichnis der app.

    3. Laden Sie das Zwischenzertifikat für Ihre Datenbank region
      hier. Ich musste das US-east, aber Sie müssen wählen Sie die für Ihre region.

    4. Dies ist der entscheidende Schritt. Sie müssen kombinieren die Zwischenzertifikate und das root-Zertifikat in eine Datei, so dass die intermediate-Zertifikat ist über das root-Zertifikat, bilden eine Zertifikatkette. Öffnen Sie das intermediate-Zertifikat mit einem Texteditor, kopieren Sie den Inhalt, und fügen Sie Sie in config/rds-ca-2015-root.pem, an der Spitze, vor der Wurzel cetrtificate. So, nachdem Sie fertig sind, config/rds-ca-2015-root.pem sollte das intermediate-Zertifikat, gefolgt von dem root-Zertifikat, werden alle in dieser Datei.

    5. Holen Sie sich Ihre aktuelle Datenbank-url
      heroku config

      und dann schauen Sie für die DATABASE_URL Eigenschaft

    6. Aktualisieren Sie Ihre Datenbank-URL an, die das neue Zertifikat-Datei. Alle sollten Sie haben, ändern Sie den Namen des Zertifikats (seit der jetzt heißt
      rds-ca-2015-root.pem)

      heroku config:add DATABASE_URL="mysql2://DB_NAME:DB_PASSWORD@DB_URL/DB_NAME?sslca=config/rds-ca-2015-root.pem"

    7. Übernehmen Sie die änderungen und erneutes bereitstellen zu Heroku.
      Viel Glück!

    • Danke, @guidoprincess! Ich dieses Problem beheben könnte heimgesucht problem. Ich würde nie bewusst gewesen, dass das hinzufügen der intermediate-Zertifikat, wenn Sie gar nicht mich gemeldet. Darüber hinaus kennen Sie die Gründe, warum die codes, die ich nicht hinzufügen, intermediate-Zertifikat zu Zertifikat-Datei vergangen sind bis 3. April 2015?
    • Die kurze Antwort: Nein 🙂 . Die lange Antwort: die Zertifikate geändert am 3. April, und ich nehme an, mit dieser änderung kam eine Art neue höhere Sicherheitsstufe, die erforderlich ist ein intermediate Zertifikat! Außerdem, kannst du bitte akzeptieren Sie die Antwort als korrekt, wenn es dir geholfen! Danke.
    • Vielen Dank dafür, das sieht aus wie seine akzeptiert. Haben Sie ein großer Tag.
    • Große Vermutung! Ich weiß es zu schätzen.
    • Dito... Es funktioniert jetzt. Als guidoprincess schlägt, so stellen Sie sicher, dass die DB neu gestartet wurde, nach Apr. 3. Platz: mysql <<< "SHOW GLOBAL STATUS LIKE 'Uptime';"
    • Zusammenführen der Dateien hat es für mich. Vor der Lektüre Ihre Antwort, ich hatte keine Ahnung, dass ich brauchte zwei Dateien.
    • Nicht sicher, warum die cert-chain-Mechanismus nicht funktioniert, sondern dies auch fest für mich, brauche combo-Datei
    • Wenn Sie Knoten, vergessen Sie nicht, dass fs.readFileSync liest nur das erste Zertifikat und kann es nicht Lesen, Zertifikat Ketten. Ich habe Stunden damit verbracht, einfach nur, um herauszufinden, warum mysql liest nur die 1. Zertifikat. Zum Glück konnte ich Lesen das cert-Ketten durch die Verwendung von arrays zum Lesen der Datei ein, oder verwenden Sie ein Modul, wie split-ca.
    • Nur das root-cert fein gearbeitet in aws-eu-west-1 bis zu dieser Woche. Keine Ahnung, was sich geändert hat.
    • Funktioniert wie ein Weltmeister, Dank einer Tonne!

    InformationsquelleAutor gregkerzhner
  2. 0

    Vier Jahre später (2019) und AWS-drehen-CA-CERT wieder, wie erwartet.

    RDS-wird dem Benutzer empfohlen, die Umschaltung zwischen den 2015 cert zu der 2019 cert durch 2019-11-01, und "nicht später als" 2020-02-05. 2015 Zertifikate laufen auf 2020-03-05.

    Ich habe folgende Prozedur, basierend auf RDS' Drehen Sie Ihr SSL/TLS Zertifikat guide.

    1. Ausfallzeiten
    2. Download neue Zertifikate, speichern Sie in config
      • Nur der root-cert ist erforderlich: rds-ca-2019-root.pem
      • Die Anweisungen erwähnen 2015+2019 bundle, aber ich konnte ihn nicht finden. Diese Datei wird 2019 nur.
      • Region-specific intermediate certs sind nicht erforderlich
    3. Begehen, aber stellen Sie nicht noch
    4. heroku maintenance:on
    5. In RDS web-Konsole ändern server
      • Im Netzwerk & Sicherheit im Abschnitt wählen Sie rds-ca-2019
      • Die änderungen gelten sofort
    6. Skala dynos 0
    7. heorku config:set DATABASE_URL=mysql2://myuser:[email protected]/mydb?sslca=config/rds-ca-2019-root.pem
    8. Bereitstellen
    9. Skala dynos, nehmen Protokolle
    10. heroku maintenance:off

    Gibt es viele sinnvolle Varianten zu diesem Verfahren, das ist genau das, was für mich gearbeitet. Hoffe, es hilft.

    InformationsquelleAutor Jared Beck
Schreibe einen Kommentar