Ръководство за разполагане на поддръжка на протокол TLS 1.2 за System Center 2012 R2

Обобщена информация

Тази статия описва как да разрешите протокол за защита на транспортния слой (TLS), версия 1.2, в среда на Microsoft System Center 2012 R2.

Повече информация

За да разрешите TLS протокол версия 1.2 във вашата среда на System Center, изпълнете следните стъпки:

Инсталирайте актуализации от изданието.

Бележки
- Инсталирайте най-новия сборен пакет за актуализация за всички компоненти на System Center, преди да приложите сборен пакет за актуализация 14.
  - За диспечера за защита на данни и диспечера на виртуална машина инсталирайте Сборен пакет за актуализация 13.
  - За автоматизация на управлението на услугите инсталирайте сборен пакет за актуализация 7.
  - За System Center Orchestrator инсталирайте сборен пакет за актуализация 8.
  - За Service Provider Foundation инсталирайте сборен пакет за актуализация 12.
  - За service Manager инсталирайте сборен пакет за актуализация 9.
Уверете се, че настройката работи както преди да приложите актуализациите. Например проверете дали можете да стартирате конзолата.
Променете настройките на конфигурацията , за да разрешите TLS 1.2.
Уверете се, че се изпълняват всички необходими SQL Server услуги.

Инсталиране на актуализации

Актуализиране на дейността	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Уверете се, че всички текущи актуализации на защитата са инсталирани за Windows Server 2012 R2	Да	Да	Да	Да	Да	Да	Да
Уверете се, че .NET Framework (платформа) 4.6 е инсталиран на всички компоненти на System Center	Да	Да	Да	Да	Да	Да	Да
Инсталирайте необходимата актуализация на SQL Server, която поддържа TLS 1.2	Да	Да	Да	Да	Да	Да	Да
Инсталиране на необходимите актуализации за System Center 2012 R2	Да	Не	Да	Да	Не	Не	Да
Уверете се, че подписани от CA сертификати са SHA1 или SHA2	Да	Да	Да	Да	Да	Да	Да

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Промяна на настройките за конфигуриране

Актуализиране на конфигурацията	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Настройка на Windows да използва само протокол TLS 1.2	Да	Да	Да	Да	Да	Да	Да
Настройка на System Center, за да използвате само TLS 1.2 Protocol	Да	Да	Да	Да	Да	Да	Да
"Допълнителни настройки"	Да	Не	Да	Да	Не	Не	Не

.NET Framework (платформа)

Уверете се, че .NET Framework (платформа) 4.6 е инсталиран на всички компоненти на System Center. За да направите това, следвайтетези инструкции.

Поддръжка на TLS 1.2

Инсталирайте необходимата актуализация на SQL Server, която поддържа TLS 1.2. За да направите това, вижте следната статия в базата знания на Microsoft:

3135244 Поддръжка на TLS 1.2 за Microsoft SQL Server

Задължителни актуализации за System Center 2012 R2

SQL Server 2012 Native client 11.0 трябва да бъде инсталиран на всички следващи компоненти на System Center.

Компонент	Роля
Operations Manager	Сървър за управление и уеб конзоли
Диспечер на виртуални машини	(Не се изисква)
Orchestrator	Сървър за управление
Диспечер за защита на данни	Сървър за управление
Диспечер на услуги	Сървър за управление

За да изтеглите и инсталирате Microsoft SQL Server 2012 Native Client 11.0, вижте тази уеб страница на центъра на Microsoft за изтегляния.

За System Center Operations Manager и Service Manager трябва да имате ODBC 11.0 или ODBC 13.0, инсталирани на всички сървъри за управление.

Инсталирайте необходимите актуализации за System Center 2012 R2 от следната статия от базата знания:

4043306 Описание на сборен пакет за актуализация 14 за Microsoft System Center 2012 R2

Компонент	2012 R2 (2012 г.)
Operations Manager	Сборен пакет за актуализация 14 за System Center 2012 R2 Operations Manager
Диспечер на услуги	Сборен пакет за актуализация 14 за System Center 2012 R2 Service Manager
Orchestrator	Сборен пакет за актуализация 14 за System Center 2012 R2 Orchestrator
Диспечер за защита на данни	Сборен пакет за актуализация 14 за System Center 2012 R2 Data Protection Manager

Забележка Уверете се, че разгъвате съдържанието на файла и инсталирате MSP файла на съответната роля, с изключение на диспечера за защита на данни. За Диспечер за защита на данни инсталирайте .exe файл.

SHA1 и SHA2 сертификати

Компонентите на System Center сега генерират както SHA1, така и SHA2 самоподписани сертификати. Това е необходимо, за да разрешите TLS 1.2. Ако се използват подписани от CA сертификати, уверете се, че сертификатите са SHA1 или SHA2.

Настройване на Windows да използва само TLS 1.2

Използвайте един от следните методи, за да конфигурирате Windows да използва само протокол TLS 1.2.

Метод 1: Ръчно модифициране на системния регистър

Важно: Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да го промените, архивирайте системния регистър за възстановяване, в случай че възникнат проблеми.

Използвайте следните стъпки, за да разрешите/забраните всички протоколи SCHANNEL за цялата система. Препоръчваме ви да разрешите протокола TLS 1.2 за входящи комуникации и да разрешите протоколите TLS 1.2, TLS 1.1 и TLS 1.0 за всички изходящи комуникации.

Забележка Извършването на тези промени в системния регистър не засяга използването на Kerberos или NTLM протоколи.

Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето Изпълнение и след това изберете OK.
Намерете следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Щракнете с десния бутон върху протокола , посочете Създай и след това щракнете върху Ключ.
Въведете SSL 3 и след това натиснете Enter.
Повторете стъпки 3 и 4, за да създадете ключове за TLS 0, TLS 1.1 и TLS 1.2. Тези клавиши приличат на директории.
Създайте клиентски ключ и ключ за сървър под всеки от ключовете SSL 3, TLS 1.0, TLS 1.1 и TLS 1.2 .
За да разрешите протокол, създайте DWORD стойност под всеки клиент и сървър ключ както следва:

DisabledByDefault [Стойност = 0]
Разрешено [Стойност = 1]
За да забраните протокол, променете DWORD стойността под всеки клиент и сървър ключ както следва:

DisabledByDefault [Стойност = 1]
Разрешено [Стойност = 0]
В менюто Файл изберете Изход.

Метод 2: Автоматична промяна на системния регистър

Изпълнете следния скрипт на Windows PowerShell в режим на администратор, за да конфигурирате автоматично Windows да използва само протокола TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Задаване на System Center да използва само TLS 1.2

Настройте System Center да използва само протокол TLS 1.2. За да направите това, първо се уверете, че всички предварителни условия са изпълнени. След това конфигурирайте следните настройки на компонентите на System Center и всички други сървъри, на които се инсталират агенти.

Използвайте един от следните методи.

Метод 1: Ръчно модифициране на системния регистър

Важно: Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да го промените, архивирайте системния регистър за възстановяване, в случай че възникнат проблеми.

За да разрешите инсталирането да поддържа протокол TLS 1.2, изпълнете следните стъпки:

Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето Изпълнение и след това изберете OK.
Намерете следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Създайте следната DWORD стойност под този ключ:

SchUseStrongCrypto [Стойност = 1]
Намерете следния подключ от системния регистър:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Създайте следната DWORD стойност под този ключ:

SchUseStrongCrypto [Стойност = 1]
Рестартирайте системата.

Метод 2: Автоматична промяна на системния регистър

Изпълнете следния скрипт на Windows PowerShell в режим на администратор, за да конфигурирате автоматично System Center да използва само протокола TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

"Допълнителни настройки"

Operations Manager

Пакети за управление

Импортиране на пакетите за управление за System Center 2012 R2 Operations Manager. Те се намират в следната директория, след като инсталирате актуализацията на сървъра:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

НАСТРОЙКИ НА ACS

За услуги за събиране на проверка (ACS) трябва да направите допълнителни промени в системния регистър. ACS използва DSN за осъществяване на връзки към базата данни. Трябва да актуализирате DSN настройките, за да ги направите функционални за TLS 1.2.

Намерете следния подключ за ODBC в системния регистър.

Забележка Името по подразбиране на DSN е OpsMgrAC.
В подключа ODBC Data Sources изберете записа за името на DSN OpsMgrAC. Това съдържа името на ODBC драйвера, който да се използва за връзката с базата данни. Ако имате инсталиран ODBC 11.0, променете това име на ODBC драйвер 11 за SQL Server. Или, ако имате инсталиран ODBC 13.0, променете това име на ODBC драйвер 13 за SQL Server.
В подключа OpsMgrAC актуализирайте запис драйвер за ODBS версия, която е инсталирана.
- Ако е инсталиран ODBC 11.0, променете записа за драйвера на %WINDIR%\system32\msodbcsql11.dll.
- Ако е инсталиран ODBC 13.0, променете записа за драйвера на %WINDIR%\system32\msodbcsql13.dll.
- Като алтернатива можете да създадете и запишете следния .reg файл в Notepad или друг текстов редактор. За да изпълните записания .reg файл, щракнете двукратно върху файла.
  
  За ODBC 11.0 създайте следния ODBC 11.0.reg файл:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC източници на данни] "OpsMgrAC"="ODBC драйвер 11 за SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  За ODBC 13.0 създайте следния ODBC 13.0.reg файл: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Източници на данни] "OpsMgrAC"="ODBC драйвер 13 за SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Подсилване на TLS в Linux

Следвайте инструкциите на съответния уеб сайт, за да конфигурирате TLS 1.2 във вашата среда на Red Hat или Apache .

Диспечер за защита на данни

За да разрешите на диспечера за защита на данните да работи заедно с TLS 1.2 за архивиране в облака, разрешете тези стъпки на сървъра на диспечера за защита на данни.

Orchestrator

След като актуализациите на Orchestrator са инсталирани, преконфигурирайте базата данни на Orchestrator, като използвате съществуващата база данни съгласно тези указания.

Диспечер на услуги

Преди да се инсталират актуализациите на диспечера на услуги, инсталирайте необходимите пакети и преконфигурирате стойностите на ключа на системния регистър, както е описано в раздела "Преди инсталирането" на KB 4024037.

Освен това, ако наблюдавате System Center Service Manager с помощта на System Center Operations Manager, актуализирайте до най-новата версия (v 7.5.7487.89) на наблюдението на пакета за управление за TLS 1.2 поддръжка.

Автоматизация на управлението на услуги (SMA)

Ако наблюдавате автоматизацията на управлението на услугите (SMA) с помощта на System Center Operations Manager, актуализирайте до най-новата версия на пакета за управление на мониторинга за поддръжка на TLS 1.2:

System Center Management Pack за System Center 2012 R2 Orchestrator – Автоматизация на управлението на услуги

Правна забележка за връзка с трети лица

Microsoft предоставя информация за връзка на трети лица, за да ви помогне да намерите допълнителна информация по тази тема. Тази информация за връзка може да се променя без предизвестие. Microsoft не гарантира точността на информацията за връзка на трети лица.