دليل نشر دعم بروتوكول TLS 1.2 لمركز النظام 2012 R2

الملخص

تصف هذه المقالة كيفية تمكين بروتوكول بروتوكول أمان طبقة النقل (TLS) الإصدار 1.2 في بيئة Microsoft System Center 2012 R2.

مزيد من المعلومات

لتمكين إصدار بروتوكول TLS 1.2 في بيئة مركز النظام، اتبع الخطوات التالية:

تثبيت التحديثات من الإصدار.

تلاحظ
- قم بتثبيت مجموعة التحديثات الأخيرة لكافة مكونات System Center قبل تطبيق Update Rollup 14.
  - بالنسبة إلى Data Protection Manager و Virtual Machine Manager، قم بتثبيت Update Rollup 13.
  - بالنسبة إلى أتمتة إدارة الخدمة، قم بتثبيت Update Rollup 7.
  - بالنسبة إلى System Center Orchestrator، قم بتثبيت Update Rollup 8.
  - بالنسبة إلى Service Provider Foundation، قم بتثبيت Update Rollup 12.
  - بالنسبة إلى Service Manager، قم بتثبيت Update Rollup 9.
تأكد من أن الإعداد يعمل كما كان قبل تطبيق التحديثات. على سبيل المثال، تحقق مما إذا كان يمكنك بدء تشغيل وحدة التحكم.
تغيير إعدادات التكوين لتمكين TLS 1.2.
تأكد من تشغيل جميع خدمات SQL Server المطلوبة.

تثبيت التحديثات

تحديث النشاط	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
تأكد من تثبيت كافة تحديثات الأمان الحالية ل Windows Server 2012 R2	نعم	نعم	نعم	نعم	نعم	نعم	نعم
تأكد من تثبيت .NET Framework 4.6 على كافة مكونات System Center	نعم	نعم	نعم	نعم	نعم	نعم	نعم
تثبيت تحديث SQL Server المطلوب الذي يدعم TLS 1.2	نعم	نعم	نعم	نعم	نعم	نعم	نعم
تثبيت تحديثات System Center 2012 R2 المطلوبة	نعم	لا	نعم	نعم	لا	لا	نعم
تأكد من أن الشهادات الموقعة من CA إما SHA1 أو SHA2	نعم	نعم	نعم	نعم	نعم	نعم	نعم

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

تغيير إعدادات التكوين

تحديث التكوين	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
الإعداد على Windows لاستخدام بروتوكول TLS 1.2 فقط	نعم	نعم	نعم	نعم	نعم	نعم	نعم
الإعداد في System Center لاستخدام بروتوكول TLS 1.2 فقط	نعم	نعم	نعم	نعم	نعم	نعم	نعم
إعدادات إضافية	نعم	لا	نعم	نعم	لا	لا	لا

.NET Framework

تأكد من تثبيت .NET Framework 4.6 على كافة مكونات System Center. للقيام بذلك، اتبعهذه الإرشادات.

دعم TLS 1.2

تثبيت تحديث SQL Server المطلوب الذي يدعم TLS 1.2. للقيام بذلك، راجع المقالة التالية في قاعدة معارف Microsoft:

3135244 دعم TLS 1.2 ل Microsoft SQL Server

تحديثات مركز النظام المطلوب 2012 R2

يجب تثبيت SQL Server 2012 Native client 11.0 على كافة مكونات System Center التالية.

مكون	الدور
Operations Manager	Management Server وWeb Consoles
Virtual Machine Manager	(غير مطلوب)
منسق	خادم الإدارة
إدارة حماية البيانات	خادم الإدارة
Service Manager	خادم الإدارة

لتنزيل Microsoft SQL Server 2012 Native Client 11.0 وتثبيته، راجع صفحة ويب Microsoft Download Center هذه.

بالنسبة إلى System Center Operations Manager و Service Manager، يجب أن يكون ODBC 11.0 أو ODBC 13.0 مثبتين على كافة خوادم الإدارة.

تثبيت تحديثات System Center 2012 R2 المطلوبة من مقالة قاعدة المعارف التالية:

4043306 وصف تحديث مجموعة التحديثات 14 ل Microsoft System Center 2012 R2

مكون	2012 R2
Operations Manager	تحديث مجموعة 14 ل System Center 2012 R2 Operations Manager
Service Manager	تحديث مجموعة التحديثات 14 ل System Center 2012 R2 Service Manager
منسق	تحديث مجموعة التحديثات 14 ل System Center 2012 R2 Orchestrator
إدارة حماية البيانات	تحديث مجموعة 14 ل System Center 2012 R2 Data Protection Manager

ملاحظه تأكد من توسيع محتويات الملف وتثبيت ملف MSP على الدور المقابل، باستثناء إدارة حماية البيانات. بالنسبة إلى Data Protection Manager، قم بتثبيت ملف .exe.

شهادات SHA1 و SHA2

تقوم مكونات System Center الآن بإنشاء كل من شهادات SHA1 و SHA2 الموقعة ذاتيا. هذا مطلوب لتمكين TLS 1.2. إذا تم استخدام الشهادات الموقعة من CA، فتأكد من أن الشهادات إما SHA1 أو SHA2.

تعيين Windows لاستخدام TLS 1.2 فقط

استخدم أحد الأساليب التالية لتكوين Windows لاستخدام بروتوكول TLS 1.2 فقط.

الأسلوب 1: تعديل السجل يدويا

هام: اتبع الخطوات الواردة في هذا القسم بعناية. قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. قبل تعديله، قم بإجراء نسخ احتياطي للسجل لاستعادته في حالة حدوث مشاكل.

استخدم الخطوات التالية لتمكين/تعطيل كافة بروتوكولات SCHANNEL على مستوى النظام. نوصي بتمكين بروتوكول TLS 1.2 للاتصالات الواردة وتمكين بروتوكولات TLS 1.2 وTLS 1.1 وTLS 1.0 لجميع الاتصالات الصادرة.

ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. لا يؤثر إجراء تغييرات السجل هذه على استخدام بروتوكولات Kerberos أو NTLM.

ابدأ تشغيل "محرر السجل". للقيام بذلك، انقر بزر الماوس الأيمن فوق "ابدأ"، واكتب regedit في المربع "تشغيل"، ثم حدد "موافق".
حدد موقع مفتاح السجل الفرعي التالي:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
انقر بزر الماوس الأيمن فوق المفتاح Protocol ، وأشر إلى جديد، ثم انقر فوق المفتاح.
اكتب SSL 3، ثم اضغط على مفتاح الإدخال Enter.
كرر الخطوين 3 و4 لإنشاء مفاتيح TLS 0 وTLS 1.1 وTLS 1.2. تشبه هذه المفاتيح الدلائل.
إنشاء مفتاح عميل ومفتاح خادم ضمن كل من مفاتيح SSL 3وTLS 1.0وTLS 1.1وTLS 1.2 .
لتمكين بروتوكول، قم بإنشاء قيمة DWORD ضمن كل مفتاح عميل وخادم كما يلي:

DisabledByDefault [Value = 0]
ممكن [القيمة = 1]
لتعطيل بروتوكول، قم بتغيير قيمة DWORD ضمن كل مفتاح عميل وخادم كما يلي:

DisabledByDefault [Value = 1]
ممكن [القيمة = 0]
في القائمة "ملف "، حدد "إنهاء".

الأسلوب 2: تعديل السجل تلقائيا

قم بتشغيل البرنامج النصي Windows PowerShell التالي في وضع المسؤول لتكوين Windows تلقائيا لاستخدام بروتوكول TLS 1.2 فقط:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

تعيين System Center لاستخدام TLS 1.2 فقط

تعيين System Center لاستخدام بروتوكول TLS 1.2 فقط. للقيام بذلك، تأكد أولا من استيفاء جميع المتطلبات الأساسية. ثم قم بتكوين الإعدادات التالية على مكونات System Center وكافة الخوادم الأخرى التي يتم تثبيت العوامل عليها.

استخدم أحد الأساليب التالية.

الأسلوب 1: تعديل السجل يدويا

هام: اتبع الخطوات الواردة في هذا القسم بعناية. قد تحدث مشاكل خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. قبل تعديله، قم بإجراء نسخ احتياطي للسجل لاستعادته في حالة حدوث مشاكل.

لتمكين التثبيت لدعم بروتوكول TLS 1.2، اتبع الخطوات التالية:

ابدأ تشغيل "محرر السجل". للقيام بذلك، انقر بزر الماوس الأيمن فوق "ابدأ"، واكتب regedit في المربع "تشغيل"، ثم حدد "موافق".
حدد موقع مفتاح السجل الفرعي التالي:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
إنشاء قيمة DWORD التالية ضمن هذا المفتاح:

SchUseStrongCrypto [Value = 1]
حدد موقع مفتاح السجل الفرعي التالي:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
إنشاء قيمة DWORD التالية ضمن هذا المفتاح:

SchUseStrongCrypto [Value = 1]
أعد تشغيل النظام.

الأسلوب 2: تعديل السجل تلقائيا

قم بتشغيل البرنامج النصي Windows PowerShell التالي في وضع المسؤول لتكوين System Center تلقائيا لاستخدام بروتوكول TLS 1.2 فقط:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

إعدادات إضافية

Operations Manager

حزم الإدارة

استيراد حزم الإدارة ل System Center 2012 R2 Operations Manager. توجد هذه في الدليل التالي بعد تثبيت تحديث الخادم:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

إعدادات ACS

بالنسبة لخدمات مجموعة التدقيق (ACS)، يجب إجراء تغييرات إضافية في السجل. يستخدم ACS DSN لإجراء اتصالات بقاعدة البيانات. يجب تحديث إعدادات DSN لجعلها وظيفية ل TLS 1.2.

حدد موقع المفتاح الفرعي التالي ل ODBC في السجل.

ملاحظه الاسم الافتراضي ل DSN هو OpsMgrAC.
في المفتاح الفرعي "مصادر بيانات ODBC "، حدد إدخال اسم DSN، OpsMgrAC. يحتوي هذا على اسم برنامج تشغيل ODBC لاستخدامه لاتصال قاعدة البيانات. إذا كان ODBC 11.0 مثبتا لديك، فقم بتغيير هذا الاسم إلى برنامج تشغيل ODBC 11 ل SQL Server. أو، إذا كان لديك ODBC 13.0 مثبتا، فقم بتغيير هذا الاسم إلى برنامج تشغيل ODBC 13 SQL Server.
في مفتاح OpsMgrAC الفرعي، قم بتحديث إدخال برنامج التشغيل لإصدار ODBS المثبت.
- إذا تم تثبيت ODBC 11.0، فقم بتغيير إدخال برنامج التشغيل إلى ٪WINDIR٪\system32\msodbcsql11.dll.
- إذا تم تثبيت ODBC 13.0، فقم بتغيير إدخال برنامج التشغيل إلى ٪WINDIR٪\system32\msodbcsql13.dll.
- بدلا من ذلك، قم بإنشاء ملف .reg التالي وحفظه في المفكرة أو محرر نص آخر. لتشغيل ملف .reg المحفوظ، انقر نقرا مزدوجا فوق الملف.
  
  بالنسبة إلى ODBC 11.0، قم بإنشاء ملف ODBC 11.0.reg التالي:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="برنامج تشغيل ODBC 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="٪WINDIR٪\\system32\\msodbcsql11.dll"
  
  بالنسبة إلى ODBC 13.0، قم بإنشاء ملف ODBC 13.0.reg التالي: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="برنامج تشغيل ODBC 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="٪WINDIR٪\\system32\\msodbcsql13.dll"

تصلب TLS في Linux

اتبع الإرشادات الموجودة على موقع الويب المناسب لتكوين TLS 1.2 في بيئة Red Hat أو Apache .

إدارة حماية البيانات

لتمكين Data Protection Manager من العمل مع TLS 1.2 للنسخ الاحتياطي إلى السحابة، قم بتمكين هذه الخطوات على خادم إدارة حماية البيانات.

منسق

بعد تثبيت تحديثات المنسق، أعد تكوين قاعدة بيانات المنسق باستخدام قاعدة البيانات الموجودة وفقا لهذه الإرشادات.

Service Manager

قبل تثبيت تحديثات Service Manager، قم بتثبيت الحزم المطلوبة وأعد تكوين قيم مفتاح التسجيل، كما هو موضح في قسم الإرشادات "قبل التثبيت" 4024037 KB.

أيضا، إذا كنت تراقب System Center Service Manager باستخدام System Center Operations Manager، فحدث إلى الإصدار الأخير (v 7.5.7487.89) من حزمة إدارة المراقبة لدعم TLS 1.2.

أتمتة إدارة الخدمة (SMA)

إذا كنت تراقب أتمتة إدارة الخدمة (SMA) باستخدام System Center Operations Manager، فحدث إلى أحدث إصدار من حزمة إدارة المراقبة لدعم TLS 1.2:

حزمة إدارة مركز النظام لمركز النظام 2012 R2 Orchestrator - أتمتة إدارة الخدمة

إخلاء مسؤولية جهة اتصال تابعة لجهة خارجية

توفر Microsoft معلومات جهة اتصال تابعة لجهة خارجية لمساعدتك في العثور على معلومات إضافية حول هذا الموضوع. قد تتغير معلومات الاتصال هذه بدون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال التابعة لجهة خارجية.