Ich habe noch eine Frage zu einem Serverpaar, bei dem ich TLS 1.0/1.1 nicht deaktivieren kann, obwohl IISCrypto sie anzeigt und die richtigen Registrierungseinträge vorgenommen hat.
Auf den Servern läuft ein IIS10/PHP7.4/MySQL8-Stack. (Ich bin nicht die Person, die die Server-Builds eingerichtet hat – ich versuche nur, sie zu aktualisieren.)
Normalerweise würde ich für MySQL auf Apache Folgendes hinzufügen, um sicherzustellen, dass keine älteren TLS-Versionen verwendet werden:
MinProtocol = TLSv1.2
Wenn ich in den MySQL-Pfad gehe, sehe ich einen SSL-Ordner, aber darin befindet sich nichts, auch nicht die OpenSSL-Konfigurationsdatei, die ich aktualisieren muss. In der Eingabeaufforderung sehe ich, dass SSL funktioniert. Woher bekommt es also seine Konfiguration? Kann ich diese Konfigurationseinstellung in die Servereinstellungen einfügen?
Antwort1
Zu dieser Frage gibt es so viel zu enträtseln …
Ich kann TLS 1.0/1.1 nicht ausschalten. Obwohl IISCrypto sie anzeigt
Sprechen Sie von Windows Server, IIS-Webdiensten oder einem MySQL-Dienst? Alle diese können (lies: müssen) separat konfiguriert werden und teilen keine Konfigurationsoption für TLS-Versionen.
normalerweise für MySQL auf Apache
MySQLAnApache? Der erste ist ein Datenbankserver, der zweite ist ein Webserver, beide können (müssen) separat konfiguriert werden.
MinProtocol = TLSv1.2
Diese Zeile kann an vielen Stellen stehen:
- Die meisten Linux-Distributionen verwenden
system_default
heutzutage einen Abschnitt in ihrer nativen OpenSSL-Konfiguration. - Diese Zeile ist auch für eine OpenSSL (Linux) MySQL-Konfiguration gültig (sofern sie mit OpenSSL 1.0.1 oder höher kompiliert wurde).
- Apache hat auch eine
SSLProtocol
Direktive.
Aus der Frage entnehme ich, dass Sie eine Verbindung zu einem MySQL-Server unter Windows herstellen möchten. Wenn das der Fall ist, bearbeiten Sie Ihre my.ini
wie folgt:
require_secure_transport=true
tls_version=TLSv1,TLSv1.1,TLSv1.2
ssl-ca=[...]/certs/nfa-ca-cert.pem
ssl-cert=[...]/certs/nfa-console-cert.pem
ssl-key=[...]/certs/nfa-console-key.pem
Wenn dies nicht der Fall ist, definieren Sie bitte (genau), was Sie versuchen zu tun.