Applies ToSystem Center 2012 R2

Oversigt

I denne artikel beskrives det, hvordan du aktiverer TLS-protokolversion 1.2 (Transport Layer Security) i et Microsoft System Center 2012 R2-miljø.

Flere oplysninger

Hvis du vil aktivere TLS-protokolversion 1.2 i System Center-miljøet, skal du følge disse trin:

  1. Installér opdateringer fra udgivelsen.Noter

    • Installér den seneste opdateringspakke for alle System Center-komponenter, før du anvender opdateringspakke 14.

  2. Sørg for, at konfigurationen er lige så funktionel, som den var, før du anvendte opdateringerne. Kontrollér f.eks., om du kan starte konsollen.

  3. Skift konfigurationsindstillingerne for at aktivere TLS 1.2.

  4. Sørg for, at alle nødvendige SQL Server tjenester kører.

Installér opdateringer

Opdater aktivitet

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Sørg for, at alle aktuelle sikkerhedsopdateringer er installeret til Windows Server 2012 R2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Sørg for, at .NET Framework 4.6 er installeret på alle System Center-komponenter

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Installér den nødvendige SQL Server opdatering, der understøtter TLS 1.2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Installér de nødvendige System Center 2012 R2-opdateringer

Ja

Nej

Ja

Ja

Nej

Nej

Ja

Sørg for, at certifikater, der er signeret med nøglecenter, enten er SHA1 eller SHA2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

1 SCOM (System Center Operations Manager)2 System Center Virtual Machine Manager (SCVMM)3 SCDPM (System Center Data Protection Manager)4 System Center Orchestrator (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)

Skift konfigurationsindstillinger

Konfigurationsopdatering

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Indstilling på Windows til kun at bruge TLS 1.2 Protocol

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Indstilling på System Center til kun at bruge TLS 1.2 Protocol

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Yderligere indstillinger

Ja

Nej

Ja

Ja

Nej

Nej

Nej

.NET Framework 

Sørg for, at .NET Framework 4.6 er installeret på alle System Center-komponenter. Følgdisse instruktioner for at gøre dette.

TLS 1.2-support

Installér den nødvendige SQL Server opdatering, der understøtter TLS 1.2. Det kan du gøre ved at se følgende artikel i Microsoft Knowledge Base:

3135244 TLS 1.2-understøttelse til Microsoft SQL Server

Påkrævede System Center 2012 R2-opdateringer

SQL Server 2012 Native Client 11.0 skal være installeret på alle følgende System Center-komponenter.

Komponent

Rolle

Operations Manager

Administrationsserver og webkonsoller

Virtual Machine Manager

(Ikke påkrævet)

Orchestrator

Administrationsserver

Data Protection Manager

Administrationsserver

Service Manager

Administrationsserver

Hvis du vil downloade og installere Microsoft SQL Server 2012 Native Client 11.0, skal du se websiden Microsoft Download Center.

For System Center Operations Manager og Service Manager skal du have ODBC 11.0 eller ODBC 13.0 installeret på alle administrationsservere.

Installér de nødvendige System Center 2012 R2-opdateringer fra følgende Knowledge Base-artikel:

4043306 Beskrivelse af opdateringspakke 14 til Microsoft System Center 2012 R2  

Komponent

2012 R2

Operations Manager

Opdateringspakke 14 til System Center 2012 R2 Operations Manager

Service Manager

Opdateringspakke 14 til System Center 2012 R2 Service Manager

Orchestrator

Opdateringspakke 14 til System Center 2012 R2 Orchestrator

Data Protection Manager

Opdateringspakke 14 til System Center 2012 R2 Data Protection Manager

Bemærk Sørg for at udvide filindholdet og installere MSP-filen på den tilsvarende rolle, undtagen Data Protection Manager. I Data Protection Manager skal du installere .exe-filen.

SHA1- og SHA2-certifikater

System Center-komponenter genererer nu både SHA1- og SHA2-selvsignerede certifikater. Dette er påkrævet for at aktivere TLS 1.2. Hvis der bruges nøglecentersignerede certifikater, skal du kontrollere, at certifikaterne er enten SHA1 eller SHA2.

Indstil Windows til kun at bruge TLS 1.2

Brug en af følgende metoder til at konfigurere Windows til kun at bruge TLS 1.2-protokollen.

Metode 1: Rediger registreringsdatabasen manuelt

Vigtigt!: Følg trinnene i dette afsnit nøje. Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Før du redigerer den, skal du sikkerhedskopiere registreringsdatabasen for gendannelse, hvis der opstår problemer.

Brug følgende trin til at aktivere/deaktivere alle SCHANNEL-protokoller for hele systemet. Vi anbefaler, at du aktiverer TLS 1.2-protokollen for indgående kommunikation og aktiverer protokollerne TLS 1.2, TLS 1.1 og TLS 1.0 for al udgående kommunikation.

Bemærk Disse ændringer i registreringsdatabasen påvirker ikke brugen af Kerberos- eller NTLM-protokoller.

  1. Start registreringseditoren. Det gør du ved at højreklikke på Start, skrive regedit i feltet Kør og derefter vælge OK.

  2. Find følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Højreklik på protokolnøglen , peg på Ny, og klik derefter på Tast.Registreringsdatabasen

  4. Skriv SSL 3, og tryk derefter på Enter.

  5. Gentag trin 3 og 4 for at oprette nøgler til TLS 0, TLS 1.1 og TLS 1.2. Disse taster ligner mapper.

  6. Opret en klientnøgle og en Server-nøgle under hver af SSL 3-, TLS 1.0-, TLS 1.1- og TLS 1.2-tasterne .

  7. Hvis du vil aktivere en protokol, skal du oprette DWORD-værdien under hver Klient- og Server-nøgle på følgende måde:

    DisabledByDefault [Value = 0] Enabled [Value = 1] Hvis du vil deaktivere en protokol, skal du ændre DWORD-værdien under hver klient- og servernøgle på følgende måde:

    DisabledByDefault [Value = 1] Enabled [Value = 0]

  8. Vælg Afslut i menuen Filer.

Metode 2: Automatisk ændring af registreringsdatabasen

Kør følgende Windows PowerShell script i administratortilstand for automatisk at konfigurere Windows til kun at bruge TLS 1.2-protokollen:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Indstil System Center til kun at bruge TLS 1.2

Indstil System Center til kun at bruge TLS 1.2-protokollen. For at gøre dette skal du først sørge for, at alle forudsætninger er opfyldt. Konfigurer derefter følgende indstillinger for System Center-komponenter og alle andre servere, som agenter er installeret på.

Brug en af følgende metoder.

Metode 1: Rediger registreringsdatabasen manuelt

Vigtigt!: Følg trinnene i dette afsnit nøje. Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Før du redigerer den, skal du sikkerhedskopiere registreringsdatabasen for gendannelse, hvis der opstår problemer.

Følg disse trin for at aktivere installationen til at understøtte TLS 1.2-protokollen:

  1. Start registreringseditoren. Det gør du ved at højreklikke på Start, skrive regedit i feltet Kør og derefter vælge OK.

  2. Find følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Opret følgende DWORD-værdi under denne nøgle:

    SchUseStrongCrypto [Værdi = 1]

  4. Find følgende undernøgle i registreringsdatabasen:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Opret følgende DWORD-værdi under denne nøgle:

    SchUseStrongCrypto [Værdi = 1]

  6. Genstart systemet.

Metode 2: Automatisk ændring af registreringsdatabasen

Kør følgende Windows PowerShell script i administratortilstand for automatisk at konfigurere System Center til kun at bruge TLS 1.2-protokollen:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Yderligere indstillinger

Operations Manager

Administrationspakker

Importér administrationspakkerne til System Center 2012 R2 Operations Manager. Disse findes i følgende mappe, når du har installeret serveropdateringen:

\Programmer\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs til opdateringspakker

ACS-indstillinger

For Audit Collection Services (ACS) skal du foretage yderligere ændringer i registreringsdatabasen. ACS bruger DSN til at oprette forbindelser til databasen. Du skal opdatere DSN-indstillingerne for at få dem til at fungere i TLS 1.2.

  1. Find følgende undernøgle til ODBC i registreringsdatabasen.Bemærk Standardnavnet på DSN er OpsMgrAC.ODBC.INI undernøgle

  2. I undernøglen ODBC-datakilder skal du vælge posten for DSN-navnet, OpsMgrAC. Den indeholder navnet på DEN ODBC-driver, der skal bruges til databaseforbindelsen. Hvis du har ODBC 11.0 installeret, skal du ændre dette navn til ODBC Driver 11 for SQL Server. Hvis du har ODBC 13.0 installeret, kan du ændre dette navn til ODBC Driver 13 for SQL Server.Undernøglen ODBC-datakilder

  3. I undernøglen OpsMgrAC skal du opdatere driverposten for den ODBS-version, der er installeret.Undernøglen OpsMgrAC

    • Hvis ODBC 11.0 er installeret, skal du ændre driverposten til %WINDIR%\system32\msodbcsql11.dll.

    • Hvis ODBC 13.0 er installeret, skal du ændre driverposten til %WINDIR%\system32\msodbcsql13.dll.

    • Du kan også oprette og gemme følgende .reg-fil i Notesblok eller en anden teksteditor. Dobbeltklik på filen for at køre den gemte .reg-fil.Opret følgende ODBC 11.0.reg-fil til ODBC 11.0.reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-datakilder] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" For ODBC 13.0 skal du oprette følgende ODBC 13.0.reg-fil: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Datakilder] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-hærdning i Linux

Følg vejledningen på det relevante websted for at konfigurere TLS 1.2 i dit Red Hat - eller Apache-miljø .

Data Protection Manager

Hvis du vil gøre det muligt for Data Protection Manager at arbejde sammen med TLS 1.2 om at sikkerhedskopiere til skyen, skal du aktivere disse trin på Data Protection Manager-serveren. 

Orchestrator

Når Orchestrator-opdateringerne er installeret, skal du omkonfigurere Orchestrator-databasen ved hjælp af den eksisterende database i henhold til disse retningslinjer.

Service Manager

Før Service Manager-opdateringerne installeres, skal du installere de nødvendige pakker og omkonfigurere nøgleværdierne i registreringsdatabasen som beskrevet i afsnittet "Før installationen" i KB 4024037.

Hvis du overvåger System Center Service Manager ved hjælp af System Center Operations Manager, skal du også opdatere til den nyeste version (v 7.5.7487.89) af Monitoring Management Pack til TLS 1.2-support.

SMA (Service Management Automation)

Hvis du overvåger SMA (Service Management Automation) ved hjælp af System Center Operations Manager, skal du opdatere til den nyeste version af Monitoring Management Pack til TLS 1.2-understøttelse:

System Center Management Pack til System Center 2012 R2 Orchestrator – automatisering af tjenesteadministration

Ansvarsfraskrivelse for kontakter fra tredjepart

Microsoft leverer kontaktoplysninger fra tredjepart for at hjælpe dig med at finde flere oplysninger om dette emne. Disse kontaktoplysninger kan ændres uden varsel. Microsoft garanterer ikke for nøjagtigheden af tredjeparts kontaktoplysninger.

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.