У меня есть еще один вопрос по паре серверов, на которых я не могу отключить TLS 1.0/1.1. Хотя IISCrypto их показывает и делает правильные записи в регистре.
На серверах работает стек IIS10/PHP7.4/MySQL8. (Я не тот человек, который настраивал сборки сервера — я просто пытаюсь обновить его)
В любом случае, обычно для MySQL на Apache я бы добавил следующее, чтобы убедиться, что он не использует старые версии TLS:
MinProtocol = TLSv1.2
Ну, когда я захожу в путь MYSQL, я вижу папку SSL, но в ней ничего нет, включая файл конфигурации openssl, который мне нужно обновить. Из командной строки я вижу, что ssl работает. Так где же он берет свою конфигурацию? Могу ли я внедрить эту настройку конфигурации в настройки сервера?
решение1
В этом вопросе так много всего предстоит разгадать...
Я не могу отключить TLS 1.0/1.1. Хотя IISCrypto их и показывает
Вы говорите о Windows Server, IIS Webservices или MySQL service? Все они могут (читай: должны) быть настроены отдельно и не имеют общей "опции" конфигурации для версий TLS.
обычно для mysql на apache
MySQLнаApache? Первый — сервер базы данных, второй — веб-сервер, оба можно (нужно) настраивать отдельно.
MinProtocol = TLSv1.2
Эта линия может проходить во многих местах:
- В настоящее время большинство дистрибутивов Linux используют
system_default
раздел в своей собственной конфигурации OpenSSL. - Эта строка также действительна для конфигурации OpenSSL (linux) MySQL (при условии, что она скомпилирована с OpenSSL 1.0.1 или выше).
- У Apache тоже есть
SSLProtocol
директива.
Из вопроса я понял, что вы хотите подключиться к серверу MySQL на Windows. Если это так, отредактируйте свой my.ini
так:
require_secure_transport=true
tls_version=TLSv1,TLSv1.1,TLSv1.2
ssl-ca=[...]/certs/nfa-ca-cert.pem
ssl-cert=[...]/certs/nfa-console-cert.pem
ssl-key=[...]/certs/nfa-console-key.pem
Если это не так, пожалуйста, уточните, что именно вы пытаетесь сделать.