Wie kann ich feststellen, welche TLS-Versionen MySQL (Windows) verwendet?

tag-icon tag-icon windows mysql openssl
Wie kann ich feststellen, welche TLS-Versionen MySQL (Windows) verwendet?

Ich habe noch eine Frage zu einem Serverpaar, bei dem ich TLS 1.0/1.1 nicht deaktivieren kann, obwohl IISCrypto sie anzeigt und die richtigen Registrierungseinträge vorgenommen hat.

Auf den Servern läuft ein IIS10/PHP7.4/MySQL8-Stack. (Ich bin nicht die Person, die die Server-Builds eingerichtet hat – ich versuche nur, sie zu aktualisieren.)

Normalerweise würde ich für MySQL auf Apache Folgendes hinzufügen, um sicherzustellen, dass keine älteren TLS-Versionen verwendet werden:

MinProtocol = TLSv1.2

Wenn ich in den MySQL-Pfad gehe, sehe ich einen SSL-Ordner, aber darin befindet sich nichts, auch nicht die OpenSSL-Konfigurationsdatei, die ich aktualisieren muss. In der Eingabeaufforderung sehe ich, dass SSL funktioniert. Woher bekommt es also seine Konfiguration? Kann ich diese Konfigurationseinstellung in die Servereinstellungen einfügen?

Antwort1

Zu dieser Frage gibt es so viel zu enträtseln …

Ich kann TLS 1.0/1.1 nicht ausschalten. Obwohl IISCrypto sie anzeigt

Sprechen Sie von Windows Server, IIS-Webdiensten oder einem MySQL-Dienst? Alle diese können (lies: müssen) separat konfiguriert werden und teilen keine Konfigurationsoption für TLS-Versionen.

normalerweise für MySQL auf Apache

MySQLAnApache? Der erste ist ein Datenbankserver, der zweite ist ein Webserver, beide können (müssen) separat konfiguriert werden.

MinProtocol = TLSv1.2

Diese Zeile kann an vielen Stellen stehen:

  • Die meisten Linux-Distributionen verwenden system_defaultheutzutage einen Abschnitt in ihrer nativen OpenSSL-Konfiguration.
  • Diese Zeile ist auch für eine OpenSSL (Linux) MySQL-Konfiguration gültig (sofern sie mit OpenSSL 1.0.1 oder höher kompiliert wurde).
  • Apache hat auch eine SSLProtocolDirektive.

Aus der Frage entnehme ich, dass Sie eine Verbindung zu einem MySQL-Server unter Windows herstellen möchten. Wenn das der Fall ist, bearbeiten Sie Ihre my.iniwie folgt:

require_secure_transport=true
tls_version=TLSv1,TLSv1.1,TLSv1.2
ssl-ca=[...]/certs/nfa-ca-cert.pem
ssl-cert=[...]/certs/nfa-console-cert.pem
ssl-key=[...]/certs/nfa-console-key.pem

  Wenn dies nicht der Fall ist, definieren Sie bitte (genau), was Sie versuchen zu tun.

verwandte Informationen