我开始使用 AWS RDS,我正在尝试使用 AWS 生成的证书(在实例启动期间)将我的 python 客户端(本地主机 - python 2.7,ubuntu 14.04)连接到 AWS RDS Postgres 实例。
conn = psycopg2.connect(database='db', user='db_user', password="pw",
host='xxxxx.rds.amazonaws.com', port='5432', sslmode='verify-full',
connect_timeout=10, sslrootcert = 'rds-combined-ca-bundle.pem')
但是每次我尝试连接时,我都会得到
Error SSL error: certificate verify failed
我不确定我在这里缺少什么,也许与安全组有关?我使用了错误的证书吗?如果是这样,我如何创建正确的?
这不是一个答案,而是一个建议:尝试调整您的安全组的入站规则。首先确保您为您的 IP 地址的 postgres 打开了一个端口。如果失败,请简要测试对所有内容的开放,如果失败是否成功,请再次取消规则。但是,如果它成功了,您至少会知道原因与您的通信协议有关,而不是您的凭据。这就是今天对我有用的方法。--现在我自己试图弄清楚为什么我可以在接受所有连接时进行连接,但不能通过我的客户端 IP 地址。HTH。
就我而言,我使用 SQLAlchemy ORM 并使用 psycopg2 (2.7.1) 连接到 postgres。
所以我不需要psycopg2.connect()直接调用,而是设置SQLALCHEMY_DATABASE_URI变量:
SQLALCHEMY_DATABASE_URI='postgres://dbuser:dbpwd@mypostgres.eu-central-1.rds.amazonaws.com:5432/msdb?sslmode=verify-full&sslrootcert=/etc/pki/pem/rds-combined-ca-bundle.pem'.
SQLAlchemypsycopg2.connect()代表我打电话。这对我有用。
查看您的代码,它的行为方式应该相同。
根据AWS 文档,如果您的应用程序不接受证书链,它可能不起作用。因此,您可以尝试使用特定于您所在地区的中间证书或 PKCS7 证书包而不是 PKCS7 证书包来解决问题rds-combined-ca-bundle.pem,看看它是否适合您。