У меня есть еще один вопрос о паре серверов, на которых я не могу отключить TLS 1.0/1.1. Несмотря на то, что IISCrypto хвастается ими и делает правильные записи в реестре.
На серверах работает стек IIS10/PHP7.4/MySQL8. (Я не тот человек, который настраивал сборки сервера — просто пытаюсь его обновить)
В любом случае, обычно для mysql на apache я бы добавил следующее, чтобы убедиться, что он не использует более старые версии TLS:
MinProtocol = TLSv1.2
Что ж, когда я иду по пути MYSQL, я вижу папку SSL, но в ней нет ничего, включая файл конфигурации openssl, который мне нужно обновить. Из командной строки я вижу, что ssl работает. Так где же он берет конфигурацию? Могу ли я внедрить этот параметр конфигурации в настройки сервера?
1 ответ
В этом вопросе так много неясностей…
Я не могу отключить TLS 1.0/1.1. Несмотря на то, что IISCrypto демонстрирует их
Вы говорите о Windows Server, веб-службах IIS или службе MySQL? Все они могут (читай: должны) настраиваться отдельно и не использовать «опцию» конфигурации для версий TLS.
обычно для mysql на apache
MySQL на апач? Первый — сервер базы данных, второй — веб-сервер, оба могут (должны) настраиваться отдельно.
MinProtocol = TLSv1.2
Эта линия может проходить во многих местах:
- Большинство дистрибутивов Linux используют
system_defaultраздел в их родной конфигурации OpenSSL в настоящее время. - Эта строка также действительна для конфигурации OpenSSL (linux) MySQL (если она скомпилирована с OpenSSL 1.0.1 или выше).
- Apache также имеет
SSLProtocolдиректива.
Из вопроса я понимаю, что вы хотите подключиться к серверу MySQL в Windows. Если это так, отредактируйте my.ini как это:
require_secure_transport=true
tls_version=TLSv1,TLSv1.1,TLSv1.2
ssl-ca=[...]/certs/nfa-ca-cert.pem
ssl-cert=[...]/certs/nfa-console-cert.pem
ssl-key=[...]/certs/nfa-console-key.pem
Если это не так, пожалуйста, определите (точно), что вы пытаетесь сделать.
Бьостер