Обобщена информация
Тази статия описва как да разрешите протокол за защита на транспортния слой (TLS), версия 1.2, в среда на Microsoft System Center 2012 R2.
Повече информация
За да разрешите TLS протокол версия 1.2 във вашата среда на System Center, изпълнете следните стъпки:
-
Инсталирайте актуализации от изданието.
Бележки-
Инсталирайте най-новия сборен пакет за актуализация за всички компоненти на System Center, преди да приложите сборен пакет за актуализация 14.
-
За диспечера за защита на данни и диспечера на виртуална машина инсталирайте Сборен пакет за актуализация 13.
-
За автоматизация на управлението на услугите инсталирайте сборен пакет за актуализация 7.
-
За System Center Orchestrator инсталирайте сборен пакет за актуализация 8.
-
За Service Provider Foundation инсталирайте сборен пакет за актуализация 12.
-
За service Manager инсталирайте сборен пакет за актуализация 9.
-
-
-
Уверете се, че настройката работи както преди да приложите актуализациите. Например проверете дали можете да стартирате конзолата.
-
Променете настройките на конфигурацията , за да разрешите TLS 1.2.
-
Уверете се, че се изпълняват всички необходими SQL Server услуги.
Инсталиране на актуализации
Актуализиране на дейността |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Уверете се, че всички текущи актуализации на защитата са инсталирани за Windows Server 2012 R2 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Уверете се, че .NET Framework (платформа) 4.6 е инсталиран на всички компоненти на System Center |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Инсталирайте необходимата актуализация на SQL Server, която поддържа TLS 1.2 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Инсталиране на необходимите актуализации за System Center 2012 R2 |
Да |
Не |
Да |
Да |
Не |
Не |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Промяна на настройките за конфигуриране
Актуализиране на конфигурацията |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
|
Настройка на System Center, за да използвате само TLS 1.2 Protocol |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Не |
Да |
Да |
Не |
Не |
Не |
.NET Framework (платформа)
Уверете се, че .NET Framework (платформа) 4.6 е инсталиран на всички компоненти на System Center. За да направите това, следвайтетези инструкции.
Поддръжка на TLS 1.2
Инсталирайте необходимата актуализация на SQL Server, която поддържа TLS 1.2. За да направите това, вижте следната статия в базата знания на Microsoft:
3135244 Поддръжка на TLS 1.2 за Microsoft SQL Server
Задължителни актуализации за System Center 2012 R2
SQL Server 2012 Native client 11.0 трябва да бъде инсталиран на всички следващи компоненти на System Center.
Компонент |
Роля |
Operations Manager |
Сървър за управление и уеб конзоли |
Диспечер на виртуални машини |
(Не се изисква) |
Orchestrator |
Сървър за управление |
Диспечер за защита на данни |
Сървър за управление |
Диспечер на услуги |
Сървър за управление |
За да изтеглите и инсталирате Microsoft SQL Server 2012 Native Client 11.0, вижте тази уеб страница на центъра на Microsoft за изтегляния.
За System Center Operations Manager и Service Manager трябва да имате ODBC 11.0 или ODBC 13.0, инсталирани на всички сървъри за управление.
Инсталирайте необходимите актуализации за System Center 2012 R2 от следната статия от базата знания:
4043306 Описание на сборен пакет за актуализация 14 за Microsoft System Center 2012 R2
Компонент |
2012 R2 (2012 г.) |
Operations Manager |
Сборен пакет за актуализация 14 за System Center 2012 R2 Operations Manager |
Диспечер на услуги |
Сборен пакет за актуализация 14 за System Center 2012 R2 Service Manager |
Orchestrator |
Сборен пакет за актуализация 14 за System Center 2012 R2 Orchestrator |
Диспечер за защита на данни |
Сборен пакет за актуализация 14 за System Center 2012 R2 Data Protection Manager |
Забележка Уверете се, че разгъвате съдържанието на файла и инсталирате MSP файла на съответната роля, с изключение на диспечера за защита на данни. За Диспечер за защита на данни инсталирайте .exe файл.
SHA1 и SHA2 сертификати
Компонентите на System Center сега генерират както SHA1, така и SHA2 самоподписани сертификати. Това е необходимо, за да разрешите TLS 1.2. Ако се използват подписани от CA сертификати, уверете се, че сертификатите са SHA1 или SHA2.
Настройване на Windows да използва само TLS 1.2
Използвайте един от следните методи, за да конфигурирате Windows да използва само протокол TLS 1.2.
Метод 1: Ръчно модифициране на системния регистър
Важно: Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да го промените, архивирайте системния регистър за възстановяване, в случай че възникнат проблеми.
Използвайте следните стъпки, за да разрешите/забраните всички протоколи SCHANNEL за цялата система. Препоръчваме ви да разрешите протокола TLS 1.2 за входящи комуникации и да разрешите протоколите TLS 1.2, TLS 1.1 и TLS 1.0 за всички изходящи комуникации.
Забележка Извършването на тези промени в системния регистър не засяга използването на Kerberos или NTLM протоколи.
-
Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето Изпълнение и след това изберете OK.
-
Намерете следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Щракнете с десния бутон върху протокола , посочете Създай и след това щракнете върху Ключ.
-
Въведете SSL 3 и след това натиснете Enter.
-
Повторете стъпки 3 и 4, за да създадете ключове за TLS 0, TLS 1.1 и TLS 1.2. Тези клавиши приличат на директории.
-
Създайте клиентски ключ и ключ за сървър под всеки от ключовете SSL 3, TLS 1.0, TLS 1.1 и TLS 1.2 .
-
За да разрешите протокол, създайте DWORD стойност под всеки клиент и сървър ключ както следва:
DisabledByDefault [Стойност = 0]
Разрешено [Стойност = 1]
За да забраните протокол, променете DWORD стойността под всеки клиент и сървър ключ както следва:DisabledByDefault [Стойност = 1]
Разрешено [Стойност = 0] -
В менюто Файл изберете Изход.
Метод 2: Автоматична промяна на системния регистър
Изпълнете следния скрипт на Windows PowerShell в режим на администратор, за да конфигурирате автоматично Windows да използва само протокола TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Задаване на System Center да използва само TLS 1.2
Настройте System Center да използва само протокол TLS 1.2. За да направите това, първо се уверете, че всички предварителни условия са изпълнени. След това конфигурирайте следните настройки на компонентите на System Center и всички други сървъри, на които се инсталират агенти.
Използвайте един от следните методи.
Метод 1: Ръчно модифициране на системния регистър
Важно: Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да го промените, архивирайте системния регистър за възстановяване, в случай че възникнат проблеми.
За да разрешите инсталирането да поддържа протокол TLS 1.2, изпълнете следните стъпки:
-
Стартирайте редактора на системния регистър. За да направите това, щракнете с десния бутон върху Старт, въведете regedit в полето Изпълнение и след това изберете OK.
-
Намерете следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Създайте следната DWORD стойност под този ключ:
SchUseStrongCrypto [Стойност = 1]
-
Намерете следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Създайте следната DWORD стойност под този ключ:
SchUseStrongCrypto [Стойност = 1]
-
Рестартирайте системата.
Метод 2: Автоматична промяна на системния регистър
Изпълнете следния скрипт на Windows PowerShell в режим на администратор, за да конфигурирате автоматично System Center да използва само протокола TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
"Допълнителни настройки"
Operations Manager
Пакети за управление
Импортиране на пакетите за управление за System Center 2012 R2 Operations Manager. Те се намират в следната директория, след като инсталирате актуализацията на сървъра:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
НАСТРОЙКИ НА ACS
За услуги за събиране на проверка (ACS) трябва да направите допълнителни промени в системния регистър. ACS използва DSN за осъществяване на връзки към базата данни. Трябва да актуализирате DSN настройките, за да ги направите функционални за TLS 1.2.
-
Намерете следния подключ за ODBC в системния регистър.
Забележка Името по подразбиране на DSN е OpsMgrAC. -
В подключа ODBC Data Sources изберете записа за името на DSN OpsMgrAC. Това съдържа името на ODBC драйвера, който да се използва за връзката с базата данни. Ако имате инсталиран ODBC 11.0, променете това име на ODBC драйвер 11 за SQL Server. Или, ако имате инсталиран ODBC 13.0, променете това име на ODBC драйвер 13 за SQL Server.
-
В подключа OpsMgrAC актуализирайте запис драйвер за ODBS версия, която е инсталирана.
-
Ако е инсталиран ODBC 11.0, променете записа за драйвера на %WINDIR%\system32\msodbcsql11.dll.
-
Ако е инсталиран ODBC 13.0, променете записа за драйвера на %WINDIR%\system32\msodbcsql13.dll.
-
Като алтернатива можете да създадете и запишете следния .reg файл в Notepad или друг текстов редактор. За да изпълните записания .reg файл, щракнете двукратно върху файла.
За ODBC 11.0 създайте следния ODBC 11.0.reg файл:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC източници на данни] "OpsMgrAC"="ODBC драйвер 11 за SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
За ODBC 13.0 създайте следния ODBC 13.0.reg файл: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Източници на данни] "OpsMgrAC"="ODBC драйвер 13 за SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Подсилване на TLS в Linux
Следвайте инструкциите на съответния уеб сайт, за да конфигурирате TLS 1.2 във вашата среда на Red Hat или Apache .
Диспечер за защита на данни
За да разрешите на диспечера за защита на данните да работи заедно с TLS 1.2 за архивиране в облака, разрешете тези стъпки на сървъра на диспечера за защита на данни.
Orchestrator
След като актуализациите на Orchestrator са инсталирани, преконфигурирайте базата данни на Orchestrator, като използвате съществуващата база данни съгласно тези указания.
Диспечер на услуги
Преди да се инсталират актуализациите на диспечера на услуги, инсталирайте необходимите пакети и преконфигурирате стойностите на ключа на системния регистър, както е описано в раздела "Преди инсталирането" на KB 4024037.
Освен това, ако наблюдавате System Center Service Manager с помощта на System Center Operations Manager, актуализирайте до най-новата версия (v 7.5.7487.89) на наблюдението на пакета за управление за TLS 1.2 поддръжка.
Автоматизация на управлението на услуги (SMA)
Ако наблюдавате автоматизацията на управлението на услугите (SMA) с помощта на System Center Operations Manager, актуализирайте до най-новата версия на пакета за управление на мониторинга за поддръжка на TLS 1.2:
Правна забележка за връзка с трети лица
Microsoft предоставя информация за връзка на трети лица, за да ви помогне да намерите допълнителна информация по тази тема. Тази информация за връзка може да се променя без предизвестие. Microsoft не гарантира точността на информацията за връзка на трети лица.