%20%E3%81%8C%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%20TLS%20%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%97%E3%82%87%E3%81%86%E3%81%8B%3F.png)
TLS 1.0/1.1 をオフにできないサーバーのペアについて、別の質問があります。IISCrypto がそれらを表示し、正しいレジストリ エントリを作成したにもかかわらずです。
サーバーは IIS10/PHP7.4/MySQL8 スタックを実行します。(私はサーバー ビルドをセットアップした人ではなく、単に更新しようとしているだけです)
とにかく、通常、Apache 上の mysql の場合は、古い TLS バージョンが使用されていないことを確認するために以下を追加します。
MinProtocol = TLSv1.2
MYSQL パスに入ると、SSL フォルダが表示されますが、その中には更新する必要のある openssl 構成ファイルなど何も入っていません。コマンド プロンプトからは、SSL が動作していることがわかります。では、その構成はどこから取得されるのでしょうか? その構成設定をサーバー設定に挿入できますか?
答え1
この質問には解明すべきことがたくさんあります...
TLS 1.0/1.1をオフにすることができません。IISCryptoがそれらを誇示していますが
Windows Server、IIS Web サービス、または MySQL サービスについて話しているのですか? これらはすべて個別に構成でき (つまり、個別に構成する必要があります)、TLS バージョンの構成「オプション」を共有しません。
通常はApache上のMySQL用
マイグレーションの上apache? 最初のものはデータベース サーバー、2 番目は Web サーバーです。両方とも別々に構成できます (構成する必要があります)。
MinProtocol = TLSv1.2
この行はさまざまな場所に配置できます。
- 最近では、ほとんどの Linux ディストリビューションが
system_defaultネイティブの OpenSSL 設定のセクションを使用しています。 - この行は、OpenSSL (Linux) MySQL 構成にも有効です (OpenSSL 1.0.1 以上でコンパイルされている場合)。
- Apache にもディレクティブがあります
SSLProtocol。
質問から、Windows 上の MySQL サーバーに接続したいと理解しました。その場合は、my.ini次のように編集します。
require_secure_transport=true
tls_version=TLSv1,TLSv1.1,TLSv1.2
ssl-ca=[...]/certs/nfa-ca-cert.pem
ssl-cert=[...]/certs/nfa-console-cert.pem
ssl-key=[...]/certs/nfa-console-key.pem
そうでない場合は、何をしようとしているのかを(正確に)定義してください。