Průvodce nasazením podpory protokolu TLS 1,2 pro System Center 2016

Shrnutí

Tento článek popisuje, jak povolit protokol TLS (Transport Layer Security) verze 1,2 v prostředí Microsoft System Center 2016.

Další informace

Pokud chcete v prostředí System Center povolit protokol TLS verze 1,2, postupujte takto:

  1. Instalace aktualizací z verze. Poznámky:

  2. Ujistěte se, že nastavení je stejně funkční, jako když jste použili aktualizace. Zkontrolujte například, jestli můžete spustit konzolu.

  3. Změňte nastavení konfigurace a povolte TLS 1,2.

  4. Ujistěte se, že jsou spouštěny všechny požadované služby SQL Server.

Instalace aktualizací

Aktualizovat aktivitu

SCOM0,1

SCVMMdvojrozměrné

SCDPM3000

SCOčtyř

SMA0,5

SPFšest

SM7

Zkontrolujte, že jsou nainstalované všechny aktuální aktualizace zabezpečení pro Windows Server 2012 R2 nebo windows Server 2016 

Ano

Ano

Ano

Ano

Ano

Ano

Ano

Zkontrolujte, že je na všechny součásti System Center nainstalovaný .NET Framework 4,6

Ano

 

Ano

 

Ano

Ano

Ano

Ano

Ano

Instalace požadované aktualizace SQL serveru podporující protokol TLS 1,2

Ano

Ano

Ano

Ano

Ano

Ano

Ano

Instalace požadovaných aktualizací System Center 2016

Ano

Ne

Ano

Ano

Ne

Ne

Ano

Ujistěte se, že certifikáty podepsané certifikačním úřadem jsou SHA1 nebo SHA2

Ano

Ano

Ano

Ano

Ano

Ano

Ano

0,1 System Center Operations Manager (SCOM) dvojrozměrné SCVMM (System Center Virtual Machine Manager) 3000 System Center Data Protection Manager (SCDPM) čtyř System Center Orchestrator (SCO) 0,5 Automatizační Správa služeb (SMA) šest Služba SPF (Service Provider Foundation) 7 Správce služeb (SM)

Změna nastavení konfigurace

Aktualizace konfigurace

SCOM0,1

SCVMMdvojrozměrné

SCDPM3000

SCOčtyř

SMA0,5

SPFšest

SM7

Nastavení ve Windows pro použití pouze protokolu TLS 1,2

Ano

Ano

Ano

Ano

Ano

Ano

Ano

Nastavení pro použití pouze protokolu TLS 1,2

Ano

Ano

Ano

Ano

Ano

Ano

Ano

Další nastavení

Ano

Ne

Ano

Ano

Ne

Ne

Ne

.NET Framework 

Ujistěte se, že je na všech součástech System Center nainstalovaný .NET Framework 4,6. Postupujte podletěchto pokynů.

Podpora TLS 1,2

Nainstalujte požadovanou aktualizaci SQL serveru podporující protokol TLS 1,2. V následujícím článku znalostní báze Microsoft Knowledge Base:

3135244 Podpora TLS 1,2 pro Microsoft SQL Server

Vyžadované aktualizace System Center 2016

Nativní 11,0 klient systému SQL Server 2012 by měl být nainstalovaný na všech následujících součástech System Center.

Složk

Modelátor

Povinný ovladač SQL

Operations Manager

Server pro správu a webové konzoly

SQL Server 2012 Native Client 11,0 nebo Microsoft OLE DB Driver 18 for SQL Server (doporučeno)

Poznámka Ovladač Microsoft OLE DB 18 pro SQL Server je podporován v Operations Manager 2016 UR9 a novějších verzích.

Virtual Machine Manager

(Není povinné)

(Není povinné)

Zjistí

Server pro správu

SQL Server 2012 Native Client 11,0 nebo Microsoft OLE DB Driver 18 for SQL Server (doporučeno)

Poznámka Microsoft OLE DB Driver 18 for SQL Server je podporován s Orchestrator 2016 UR8 a novějším.

Data Protection Manager

Server pro správu

Nativní 11,0 klient systému SQL Server 2012

Správce služeb

Server pro správu

SQL Server 2012 Native Client 11,0 nebo Microsoft OLE DB Driver 18 for SQL Server (doporučeno)

Poznámka Ovladač Microsoft OLE DB 18 pro SQL Server je podporován s produktem Service Manager 2016 UR9 a novějším.

Pokud si chcete stáhnout a nainstalovat Microsoft SQL Server 2012 Native Client 11,0, podívejte se na tuto webovou stránku služby Stažení softwaru.

Pokud chcete stáhnout a nainstalovat ovladač Microsoft OLE DB 18, přečtěte si téma stránka služby Stažení softwaru.

Pro System Center Operations Manager a Service Manager musíte mít na všech serverech pro správu nainstalovanou odbc 11,0 nebo ODBC 13,0 .

Nainstalujte aktualizace požadovaných aktualizací System Center 2016 z následujícího článku znalostní báze Knowledge Base:

4043305 Popis kumulativní aktualizace 4 pro Microsoft System Center 2016  

Složk

2016

Operations Manager

Kumulativní aktualizace 4 pro System Center 2016 Operations Manager

Správce služeb

Kumulativní aktualizace 4 pro System Center 2016 Service Manager

Zjistí

Kumulativní aktualizace 4 pro System Center 2016 Orchestrator

Data Protection Manager

Kumulativní aktualizace 4 pro System Center 2016 data Protection Manager

Poznámka Zkontrolujte, že jste rozbalili obsah souboru a nainstalujte soubor MSP do odpovídající role.

Certifikáty SHA1 a SHA2

Komponenty System Center teď generují certifikáty SHA1 i SHA2 podepsané samy sebou. Je to nutné k povolení TLS 1,2. Pokud se používají certifikáty s podpisem CA, ujistěte se, že certifikáty jsou buď SHA1, nebo SHA2.

Nastavení systému Windows na používání pouze TLS 1,2

Pomocí jedné z následujících metod nakonfigurujte systém Windows tak, aby používal pouze protokol TLS 1,2.

Metoda 1: Ruční změna registru

Důležité Dodržujte prosím pečlivě postup uvedený v této části. V případě nesprávné úpravy registru by mohly nastat závažné problémy. Než ho upravíte, zálohujte registr pro obnovení v případě, že dojde k problémům.

Pomocí následujících kroků povolte nebo zakažte všechny systémy v celém systému. Doporučujeme povolit protokol TLS 1,2 pro příchozí komunikaci. a povolte protokoly TLS 1,2, TLS 1,1 a TLS 1,0 pro veškerou odchozí komunikaci.

Poznámka Provedení změn v registru nemá vliv na používání protokolů Kerberos a NTLM.

  1. Spusťte Editor registru. To provedete tak, že kliknete pravým tlačítkem na Start, do pole Spustit zadejte Regedit a pak kliknete na OK.

  2. Vyhledejte následující podklíč registru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Klikněte pravým tlačítkem na klíč protokolu , přejděte na Novýa potom klikněte na klíč. Registr

  4. Zadejte SSL 3a stiskněte ENTER.

  5. Pokud chcete vytvořit klíče pro TLS 0, TLS 1,1 a TLS 1,2, opakujte kroky 3 a 4. Tyto klíče připomínají adresáře.

  6. Vytvořte klientský klíč a klíč serveru pod každým z klíčů SSL 3, tls 1,0, TLS 1,1a TLS 1,2 .

  7. Pokud chcete povolit protokol, vytvořte hodnotu DWORD pod každým klientem a klíčem serveru následujícím způsobem:

    DisabledByDefault [hodnota = 0] Enabled [hodnota = 1] Chcete-li zakázat protokol, změňte hodnotu DWORD pod každým klientem a serverem následujícím způsobem:

    DisabledByDefault [hodnota = 1] Enabled [hodnota = 0]

  8. V nabídce soubor klikněte na konec.

Metoda 2: Automatická změna registru

Spusťte následující skript Windows PowerShellu v režimu správce a nakonfigurujte Windows tak, aby používal jenom protokol TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Nastavení System Center na používání jenom TLS 1,2

Nastavte System Center tak, aby používal jenom protokol TLS 1,2. Abyste to mohli udělat, nejdřív zkontrolujte, jestli jsou splněné všechny předpoklady. Pak proveďte následující nastavení součástí systému System Center a všech dalších serverů, na kterých jsou agenti nainstalováni.

Použijte některou z následujících metod.

Metoda 1: Ruční změna registru

Důležité Dodržujte prosím pečlivě postup uvedený v této části. V případě nesprávné úpravy registru by mohly nastat závažné problémy. Než ho upravíte, zálohujte registr pro obnovení v případě, že dojde k problémům.

Pokud chcete povolit instalaci podpory protokolu TLS 1,2, postupujte takto:

  1. Spusťte Editor registru. To provedete tak, že kliknete pravým tlačítkem na Start, do pole Spustit zadejte Regedit a pak kliknete na OK.

  2. Vyhledejte následující podklíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. V tomto klíči vytvořte následující hodnotu DWORD:

    SchUseStrongCrypto [hodnota = 1]

  4. Vyhledejte následující podklíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. V tomto klíči vytvořte následující hodnotu DWORD:

    SchUseStrongCrypto [hodnota = 1]

  6. Restartujte systém.

Metoda 2: Automatická změna registru

Pokud chcete System Center automaticky nakonfigurovat tak, aby používal jenom protokol TLS 1,2, spusťte v režimu správce následující skript Windows PowerShellu:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Další nastavení

Operations Manager

Sady Management Pack

Importujte sady Management Pack pro System Center 2016 Operations Manager. Tyto služby jsou po instalaci aktualizace serveru umístěny v následujícím adresáři:

\Program Files\Microsoft System Center 2016 Manager\Server\Management balíčky aktualizací pro kumulativní aktualizace

Nastavení ACS

Pro služby Audit Collection Services (ACS) musíte v registru udělat další změny. Služba ACS používá název DSN pro připojení k databázi. Pokud chcete, aby byly funkční pro TLS 1,2, musíte aktualizovat nastavení DSN.

  1. Vyhledejte v registru následující podklíč pro rozhraní ODBC. Poznámka Výchozí název DSN je OpsMgrAC. ROZHRANÍ ODBC. INI podklíč

  2. V podklíči zdroje dat ODBC vyberte položku pro název DSN OpsMgrAC. Obsahuje název ovladače ODBC, který se má použít pro připojení databáze. Pokud máte nainstalovaný ODBC 11,0, změňte tento název na ovladač ODBC Driver 11 pro SQL Server. Pokud máte nainstalovanou verzi ODBC 13,0, změňte tento název na ovladač ODBC 13 pro SQL Server. Podklíč zdroje dat ODBC

  3. V podklíči OpsMgrAC aktualizujte položku ovladače pro verzi ODBS, která je nainstalovaná. OpsMgrAC podklíč

    • Pokud je nainstalovaný ODBC 11,0, změňte položku ovladače na %windir%\system32\msodbcsql11.dll.

    • Pokud je nainstalovaný ODBC 13,0, změňte položku ovladače na %windir%\system32\msodbcsql13.dll.

    • Případně můžete v poznámkovém bloku nebo jiném textovém editoru vytvořit a uložit následující soubor REG. Pokud chcete uložit soubor. reg, poklikejte na něj. Pro ODBC 11,0vytvořte následující ODBC 11.0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" V případě odbc 13,0vytvořte následující soubor 13.0. reg pro ODBC:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Zabezpečení TLS v systému Linux

Podle pokynů na příslušném webu nakonfigurujte TLS 1,2 v prostředí Red Hat nebo Apache .

Data Protection Manager

Pokud chcete povolit aplikaci Data Protection Manager spolu s protokolem TLS 1,2 a zálohovat do cloudu, povolte tyto kroky na serveru nástroje Data Protection Manager.

Zjistí

Po instalaci aktualizací Orchestrator nakonfigurujte databázi Orchestrator pomocí stávající databáze podle těchto pravidel.

 

Zřeknutí se kontaktů třetích stran

Společnost Microsoft vám poskytne kontaktní informace třetích stran, které vám pomůžou najít další informace o tomto tématu. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost informací o kontaktech třetích stran.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×