MySQL SSL连接失败常见原因有哪些？

1. MySQL SSL连接失败的常见现象与初步排查

在使用MySQL客户端尝试通过SSL加密方式连接远程数据库时，最常见的报错是：SSL connection error: unknown error number。该错误通常出现在执行如下命令时：

mysql -h your-host.com -u user -p --ssl-mode=REQUIRED

此时，首先应确认服务器端是否支持SSL。可通过以下SQL语句检查：

若have_ssl为DISABLED，说明MySQL实例未启用SSL模块或证书未正确加载。

2. 深层原因分析：服务端SSL配置缺失

MySQL服务端必须在启动时加载有效的SSL证书和私钥文件，并在配置文件中指定路径。典型的my.cnf配置段如下：

[mysqld]
ssl-ca = /etc/mysql/certs/ca-cert.pem
ssl-cert = /etc/mysql/certs/server-cert.pem
ssl-key = /etc/mysql/certs/server-key.pem

若这些路径不存在、文件损坏或权限设置不当（如其他用户可写），MySQL将拒绝加载SSL模块。此外，在某些Linux发行版中，OpenSSL库可能未安装或版本不兼容，也会导致have_openssl=DISABLED。

3. 客户端配置错误与证书验证问题

• 客户端使用--ssl-mode=VERIFY_CA或VERIFY_IDENTITY时，必须提供正确的CA证书路径（--ssl-ca）。
• 若提供的CA证书与服务端签发机构不符，则握手失败。
• 常见误区：误将服务端证书当作CA证书传入客户端。
• DNS名称不匹配（如证书CN为db.internal但连接192.168.1.10）会导致身份验证失败。

建议使用openssl x509 -in server-cert.pem -text -noout查看证书详细信息以比对。

4. 权限与文件系统层面的问题

即使配置路径正确，若MySQL进程无法读取证书文件，仍会禁用SSL。需确保：

chmod 644 /etc/mysql/certs/*.pem
chown mysql:mysql /etc/mysql/certs/*.pem

特别注意SELinux或AppArmor等安全模块可能阻止文件访问。可通过auditd日志或dmesg | grep denied排查。

5. 容器化部署中的特殊挑战

在Docker或Kubernetes环境中，常因挂载卷路径错误或构建镜像时未包含证书而引发问题。示例Docker运行命令：

docker run -v /host/certs:/certs \
-e MYSQL_SSL_CERT=/certs/server-cert.pem \
mysql:8.0 --ssl-cert=/certs/server-cert.pem

务必验证容器内路径是否存在且内容完整。可进入容器执行mysql_ssl_rsa_setup工具自动生成证书作为调试手段。

6. 连接流程图：SSL握手全过程与故障点定位

此流程揭示了从TCP连接到SSL协商的关键节点，帮助精准定位失败阶段。

7. 自动化检测脚本建议

为提升运维效率，可编写Shell脚本定期检测SSL状态：

#!/bin/bash
STATUS=$(mysql -e "SHOW VARIABLES LIKE 'have_ssl';" | tail -1 | awk '{print $2}')
if [ "$STATUS" != "YES" ]; then
    echo "ERROR: SSL not enabled on MySQL server"
    exit 1
fi
echo "SSL is properly enabled"

结合Prometheus+Node Exporter实现监控告警，提前发现配置漂移。