Обобщена информация

Тази статия описва как да разрешите версия на Протокола за защита на транспортния слой (TLS) в център за администриране на 1,2 в Microsoft System Center 2016.

Повече информация

За да разрешите TLS протокол версия 1,2 във вашата среда на системен център, изпълнете следните стъпки:

  1. Инсталирайте актуализациите от изданието. Забележки

    • Автоматизацията на управлението на услуги (SMA) и Фондацията на доставчика на услуги трябва да бъдат надстроени до най-скорошния сбор на актуализациите, тъй като UR4 не съдържа никакви актуализации за тези компоненти.

    • За автоматизация на управлението на услуги (SMA), надстройка до Update сбор 1, а също и фpdate на пакета за управление на SMA (MP) от тази уеб страница на центъра за изтегляния на Microsoft.

    • За Фондацията за доставчици на услуги (SPF) преминете към актуализация на сбор 2.

    • Диспечерът на виртуални машини на System Center (SCVMM) трябва да бъде надстроен до поне Сборен пакет за актуализация 3.

  2. Уверете се, че настройката е функционална като преди да приложите актуализациите. Например Проверете дали можете да стартирате конзолата.

  3. Променете настройките за конфигуриране , за да разрешите TLS 1,2.

  4. Уверете се, че се изпълняват всички необходими услуги на SQL Server.

Инсталиране на актуализации

Актуализиране на дейността

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Уверете се, че са инсталирани всички текущи актуализации на защитата за windows Server 2012 R2 или windows Server 2016 

Да

Да

Да

Да

Да

Да

Да

Уверете се, че .NET Framework 4,6 е инсталиран на всички компоненти на System Center

Да

 

Да

 

Да

Да

Да

Да

Да

Инсталиране на изискваната актуализация на SQL Server, която поддържа TLS 1,2

Да

Да

Да

Да

Да

Да

Да

Инсталиране на необходимите актуализации на System Center 2016

Да

Не

Да

Да

Не

Не

Да

Уверете се, че сертификатите за CA подписано са или SHA1, или SHA2

Да

Да

Да

Да

Да

Да

Да

1 Диспечер на Operations System Center (SCOM) 2 Диспечер за виртуална машина на System Center (SCVMM) 3 Диспечер за защита на данните в System Center (SCDPM) 4 Оркестрация на System Center (SCO) 5 Автоматизация на управлението на услуги (SMA) 6 Фондацията на доставчика на услуги (SPF) 7 Диспечер на услуги (см)

Промяна на настройките за конфигуриране

Актуализиране на конфигурацията

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Настройка на Windows, за да използвате само протокола TLS 1,2

Да

Да

Да

Да

Да

Да

Да

Настройка на системен център за използване само на протокол TLS 1,2

Да

Да

Да

Да

Да

Да

Да

Допълнителни настройки

Да

Не

Да

Да

Не

Не

Не

.NET Framework 

Уверете се, че .NET Framework 4,6 е инсталиран на всички компоненти на System Center. За да направите това, следвайтетези инструкции.

Поддръжка на TLS 1,2

Инсталирайте изискваната актуализация на SQL Server, която поддържа TLS 1,2. За да направите това, вижте следната статия в базата знания на Microsoft:

3135244 TLS 1,2 поддръжка за Microsoft SQL Server

Задължително актуализиране на системния център 2016

SQL Server 2012 Native client 11,0 трябва да бъде инсталиран на всички следващи компоненти на System Center.

Компонент

Роля

Задължително SQL драйвер

Диспечер на операциите

Сървър за управление и уеб конзоли

SQL Server 2012 Native client 11,0 или Microsoft OLE DB Driver 18 за SQL Server (препоръчва се).

Забележка Microsoft OLE DB Driver 18 за SQL Server се поддържа с Operations Manager 2016 UR9 и по-нова версия.

Диспечер за виртуална машина

(Не е задължително)

(Не е задължително)

Orchestrator

Сървър за управление

SQL Server 2012 Native client 11,0 или Microsoft OLE DB Driver 18 за SQL Server (препоръчва се).

Забележка Microsoft OLE DB Driver 18 за SQL Server се поддържа с помощта на оркестрация 2016 UR8 и по-нова версия.

Диспечер за защита на данни

Сървър за управление

SQL Server 2012 Native client 11,0

Диспечер на услуги

Сървър за управление

SQL Server 2012 Native client 11,0 или Microsoft OLE DB Driver 18 за SQL Server (препоръчва се).

Забележка Microsoft OLE DB Driver 18 за SQL Server се поддържа със Service Manager 2016 UR9 и по-нова версия.

За да изтеглите и инсталирате Microsoft SQL Server 2012 Native client 11,0, вижте тази уеб страница на центъра на Microsoft за изтегляния.

За да изтеглите и инсталирате Microsoft OLE DB Driver 18, вижте тази уеб страница на центъра на Microsoft за изтегляния.

За Operations Manager на System Center и Диспечер на услуги трябва да имате odbc 11,0 или ODBC 13,0 , инсталирани на всички сървъри за управление.

Инсталирайте необходимите актуализации на System Center 2016 от следната статия в базата знания:

4043305 Описание на сборния пакет за актуализация 4 за Microsoft System Center 2016  

Компонент

2016

Диспечер на операциите

Сборна актуализация 4 за системен център 2016 Operations Manager

Диспечер на услуги

Сборна актуализация 4 за системен център 2016 Service Manager

Orchestrator

Сборна актуализация 4 за системен център 2016 за оркестрация

Диспечер за защита на данни

Сборен пакет за актуализация 4 за системен център 2016 Manager за защита на данни

Забележка Уверете се, че разгънете съдържанието на файла и инсталирайте MSP файла за съответната роля.

SHA1 и SHA2 сертификати

Компонентите на System Center сега генерират едновременно SHA1 и SHA2 самостоятелно подписани сертификати. Това е необходимо, за да се разреши TLS 1,2. Ако се използват CA-подписани сертификати, уверете се, че сертификатите са SHA1 или SHA2.

Задаване на Windows да използва само TLS 1,2

Използвайте един от следните методи, за да конфигурирате Windows да използва само протокола TLS 1,2.

Метод 1: ръчна промяна на системния регистър

Важно Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да я промените, архивирайте системния регистър за възстановяване , в случай че възникнат проблеми.

Използвайте следните стъпки, за да разрешите/забраните всички SCHANNEL протоколи на системата. Препоръчваме ви да активирате протокола TLS 1,2 за входящи съобщения; и разрешете на 1,2 за всички изходящи съобщения да се активират и да са в протоколите TLS, TLS 1,1 и TLS 1,0.

Забележка Извършването на тези промени в системния регистър не влияе на използването на Kerberos или NTLM протоколи.

  1. Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето изпълнение и след това щракнете върху OK.

  2. Намерете следния подключ от системния регистър:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Щракнете с десния бутон върху ключа за протокола , посочете Създайи след това щракнете върху ключ. Registry

  4. Въведете SSL 3и след това натиснете клавиша ENTER.

  5. Повторете стъпки 3 и 4, за да създадете ключове за TLS 0, TLS 1,1 и TLS 1,2. Тези ключове наподобяват указатели.

  6. Създайте клиентски ключ и ключ на сървъра под всеки от клавишите SSL 3, tls 1,0, TLS 1,1и TLS 1,2 .

  7. За да разрешите протокол, създайте DWORD стойността под всеки клиент и ключ на сървъра по следния начин:

    DisabledByDefault [Value = 0] Активиран [Value = 1] За да забраните протокол, променете DWORD стойността под всеки клиент и ключ на сървъра по следния начин:

    DisabledByDefault [Value = 1] Активиран [Value = 0]

  8. В менюто файл щракнете върху изход.

Метод 2: автоматично модифициране на системния регистър

Изпълнете следните скриптове на Windows PowerShell в режим на администратор, за да конфигурирате автоматично Windows да използва само протокола TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Задаване на системен център за използване само на TLS 1,2

Настройте System Center да използва само протокола TLS 1,2. За да направите това, най-напред се уверете, че са изпълнени всички предварителни изисквания. След това направете следните настройки в компоненти на System Center и всички други сървъри, на които са инсталирани агенти.

Използвайте един от методите по-долу.

Метод 1: ръчна промяна на системния регистър

Важно Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да я промените, архивирайте системния регистър за възстановяване , в случай че възникнат проблеми.

За да разрешите инсталирането да поддържа протокола TLS 1,2, изпълнете следните стъпки:

  1. Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето изпълнение и след това щракнете върху OK.

  2. Намерете следния подключ от системния регистър:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Създайте следната стойност на ДВ под този ключ:

    SchUseStrongCrypto [Value = 1]

  4. Намерете следния подключ от системния регистър:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Създайте следната стойност на ДВ под този ключ:

    SchUseStrongCrypto [Value = 1]

  6. Рестартирайте системата.

Метод 2: автоматично модифициране на системния регистър

Изпълнете следните скриптове на Windows PowerShell в режим на администратор, за да конфигурирате автоматично System Center да използва само протокола TLS 1,2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Допълнителни настройки

Диспечер на операциите

Пакети за управление

Импортирайте пакета за управление за Operations Manager на System Center 2016. Те се намират в следната директория, след като инсталирате актуализацията на сървъра:

Се намира файлове \ Microsoft System Center 2016 \ Operations Manager\Server\Management пакети за сборни актуализации

Настройки за ACS

За услуги за събиране на одити (ACS) трябва да направите допълнителни промени в системния регистър. ACS използва DSN, за да осъществи връзки към базата данни. За да ги направите функционални за TLS 1,2, трябва да актуализирате DSN настройки.

  1. Намерете следния подключ за ODBC в системния регистър. Забележка Име по подразбиране на DSN е OpsMgrAC. ODBC. INI подключ

  2. В подключа за ODBC източници на данни изберете записа за име на DSN, OpsMgrAC. Това съдържа името на ODBC драйвера, който трябва да се използва за връзката към базата данни. Ако имате инсталиран ODBC 11,0, променете това име на ODBC Driver 11 за SQL Server. Ако имате инсталиран ODBC 13,0, променете това име на ODBC Driver 13 за SQL Server. Подключ ODBC източници на данни

  3. В OpsMgrAC subkey актуализирайте записа на драйвера за версията на ODBS, която е инсталирана. OpsMgrAC подключ

    • Ако ODBC 11,0 е инсталиран, променете записа на драйвера на %WINDIR%\system32\msodbcsql11.dll.

    • Ако ODBC 13,0 е инсталиран, променете записа на драйвера на %WINDIR%\system32\msodbcsql13.dll.

    • Можете също да създадете и запишете следния. reg файл в Notepad или друг текстов редактор. За да изпълните записания. reg файл, щракнете двукратно върху файла. За ODBC 11,0Създайте следния файл на ODBC 11.0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" За odbc 13,0Създайте СЛЕДНИЯ файл ODBC 13.0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Втвърдяване на TLS в Линукс

Следвайте инструкциите в подходящия уеб сайт, за да конфигурирате TLS 1,2 на своята червена шапка или Apache среда.

Диспечер за защита на данни

За да разрешите на диспечера за защита на данни да работи съвместно с TLS 1,2, за да архивирате в облака, разрешете тези стъпки на сървъра за управление на данни.

Orchestrator

След като инсталирате актуализациите на оркестрация, преконфигурирайте базата данни на оркестрация, като използвате съществуващата база данни в съответствие с тези указания.

 

Отказ от отговорност за контакт на друг доставчик

Microsoft предоставя информация за контакт с други разработчици, за да ви помогне да намерите допълнителна информация за тази тема. Тази информация за контакт може да се промени без предупреждение. Microsoft не гарантира точността на информацията за контакт с други разработчици.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Доколко сте доволни от качеството на превода?
Какво е повлияло на вашия потребителски опит?

Благодарим ви за обратната връзка!

×