Oversigt
I denne artikel beskrives det, hvordan du aktiverer TLS-protokolversion 1.2 (Transport Layer Security) i et Microsoft System Center 2012 R2-miljø.
Flere oplysninger
Hvis du vil aktivere TLS-protokolversion 1.2 i System Center-miljøet, skal du følge disse trin:
-
Installér opdateringer fra udgivelsen. Noter
-
Installér den seneste opdateringspakke for alle System Center-komponenter, før du anvender opdateringspakke 14.
-
I Data Protection Manager og Virtual Machine Manager skal du installere opdateringspakke 13.
-
For Service Management Automation skal du installere opdateringspakke 7.
-
For System Center Orchestrator skal du installere opdateringspakke 8.
-
For Service Provider Foundation skal du installere opdateringspakke 12.
-
For Service Manager skal du installere opdateringspakke 9.
-
-
-
Sørg for, at konfigurationen er lige så funktionel, som den var, før du anvendte opdateringerne. Kontrollér f.eks., om du kan starte konsollen.
-
Skift konfigurationsindstillingerne for at aktivere TLS 1.2.
-
Sørg for, at alle nødvendige SQL Server tjenester kører.
Installér opdateringer
Opdater aktivitet |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Sørg for, at alle aktuelle sikkerhedsopdateringer er installeret til Windows Server 2012 R2 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Sørg for, at .NET Framework 4.6 er installeret på alle System Center-komponenter |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Installér den nødvendige SQL Server opdatering, der understøtter TLS 1.2 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nej |
Ja |
Ja |
Nej |
Nej |
Ja |
|
Sørg for, at certifikater, der er signeret med nøglecenter, enten er SHA1 eller SHA2 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
1 SCOM (System Center Operations Manager) 2 System Center Virtual Machine Manager (SCVMM) 3 SCDPM (System Center Data Protection Manager) 4 System Center Orchestrator (SCO) 5 Service Management Automation (SMA) 6 Service Provider Foundation (SPF) 7 Service Manager (SM)
Skift konfigurationsindstillinger
Konfigurationsopdatering |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
|
Indstilling på System Center til kun at bruge TLS 1.2 Protocol |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nej |
Ja |
Ja |
Nej |
Nej |
Nej |
.NET Framework
Sørg for, at .NET Framework 4.6 er installeret på alle System Center-komponenter. Følgdisse instruktioner for at gøre dette.
TLS 1.2-support
Installér den nødvendige SQL Server opdatering, der understøtter TLS 1.2. Det kan du gøre ved at se følgende artikel i Microsoft Knowledge Base:
3135244 TLS 1.2-understøttelse til Microsoft SQL Server
Påkrævede System Center 2012 R2-opdateringer
SQL Server 2012 Native Client 11.0 skal være installeret på alle følgende System Center-komponenter.
Komponent |
Rolle |
Operations Manager |
Administrationsserver og webkonsoller |
Virtual Machine Manager |
(Ikke påkrævet) |
Orchestrator |
Administrationsserver |
Data Protection Manager |
Administrationsserver |
Service Manager |
Administrationsserver |
websiden Microsoft Download Center.
Hvis du vil downloade og installere Microsoft SQL Server 2012 Native Client 11.0, skal du seFor System Center Operations Manager og Service Manager skal du have ODBC 11.0 eller ODBC 13.0 installeret på alle administrationsservere.
Installér de nødvendige System Center 2012 R2-opdateringer fra følgende Knowledge Base-artikel:
4043306 Beskrivelse af opdateringspakke 14 til Microsoft System Center 2012 R2
Komponent |
2012 R2 |
Operations Manager |
Opdateringspakke 14 til System Center 2012 R2 Operations Manager |
Service Manager |
Opdateringspakke 14 til System Center 2012 R2 Service Manager |
Orchestrator |
Opdateringspakke 14 til System Center 2012 R2 Orchestrator |
Data Protection Manager |
Opdateringspakke 14 til System Center 2012 R2 Data Protection Manager |
Bemærk Sørg for at udvide filindholdet og installere MSP-filen på den tilsvarende rolle, undtagen Data Protection Manager. I Data Protection Manager skal du installere .exe-filen.
SHA1- og SHA2-certifikater
System Center-komponenter genererer nu både SHA1- og SHA2-selvsignerede certifikater. Dette er påkrævet for at aktivere TLS 1.2. Hvis der bruges nøglecentersignerede certifikater, skal du kontrollere, at certifikaterne er enten SHA1 eller SHA2.
Indstil Windows til kun at bruge TLS 1.2
Brug en af følgende metoder til at konfigurere Windows til kun at bruge TLS 1.2-protokollen.
Metode 1: Rediger registreringsdatabasen manuelt
Vigtigt!: Følg trinnene i dette afsnit nøje. Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Før du redigerer den, skal du sikkerhedskopiere registreringsdatabasen for gendannelse, hvis der opstår problemer.
Brug følgende trin til at aktivere/deaktivere alle SCHANNEL-protokoller for hele systemet. Vi anbefaler, at du aktiverer TLS 1.2-protokollen for indgående kommunikation og aktiverer protokollerne TLS 1.2, TLS 1.1 og TLS 1.0 for al udgående kommunikation.
Bemærk Disse ændringer i registreringsdatabasen påvirker ikke brugen af Kerberos- eller NTLM-protokoller.
-
Start registreringseditoren. Det gør du ved at højreklikke på Start, skrive regedit i feltet Kør og derefter vælge OK.
-
Find følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Højreklik på protokolnøglen , peg på Ny, og klik derefter på Tast.
-
Skriv SSL 3, og tryk derefter på Enter.
-
Gentag trin 3 og 4 for at oprette nøgler til TLS 0, TLS 1.1 og TLS 1.2. Disse taster ligner mapper.
-
Opret en klientnøgle og en Server-nøgle under hver af SSL 3-, TLS 1.0-, TLS 1.1- og TLS 1.2-tasterne .
-
Hvis du vil aktivere en protokol, skal du oprette DWORD-værdien under hver Klient- og Server-nøgle på følgende måde:
DisabledByDefault [Value = 0]
Enabled [Value = 1] Hvis du vil deaktivere en protokol, skal du ændre DWORD-værdien under hver klient- og servernøgle på følgende måde:DisabledByDefault [Value = 1]
Enabled [Value = 0] -
Vælg Afslut i menuen Filer.
Metode 2: Automatisk ændring af registreringsdatabasen
Kør følgende Windows PowerShell script i administratortilstand for automatisk at konfigurere Windows til kun at bruge TLS 1.2-protokollen:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Indstil System Center til kun at bruge TLS 1.2
Indstil System Center til kun at bruge TLS 1.2-protokollen. For at gøre dette skal du først sørge for, at alle forudsætninger er opfyldt. Konfigurer derefter følgende indstillinger for System Center-komponenter og alle andre servere, som agenter er installeret på.
Brug en af følgende metoder.
Metode 1: Rediger registreringsdatabasen manuelt
Vigtigt!: Følg trinnene i dette afsnit nøje. Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Før du redigerer den, skal du sikkerhedskopiere registreringsdatabasen for gendannelse, hvis der opstår problemer.
Følg disse trin for at aktivere installationen til at understøtte TLS 1.2-protokollen:
-
Start registreringseditoren. Det gør du ved at højreklikke på Start, skrive regedit i feltet Kør og derefter vælge OK.
-
Find følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Opret følgende DWORD-værdi under denne nøgle:
SchUseStrongCrypto [Værdi = 1]
-
Find følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Opret følgende DWORD-værdi under denne nøgle:
SchUseStrongCrypto [Værdi = 1]
-
Genstart systemet.
Metode 2: Automatisk ændring af registreringsdatabasen
Kør følgende Windows PowerShell script i administratortilstand for automatisk at konfigurere System Center til kun at bruge TLS 1.2-protokollen:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Yderligere indstillinger
Operations Manager
Administrationspakker
Importér administrationspakkerne til System Center 2012 R2 Operations Manager. Disse findes i følgende mappe, når du har installeret serveropdateringen:
\Programmer\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs til opdateringspakker
ACS-indstillinger
For Audit Collection Services (ACS) skal du foretage yderligere ændringer i registreringsdatabasen. ACS bruger DSN til at oprette forbindelser til databasen. Du skal opdatere DSN-indstillingerne for at få dem til at fungere i TLS 1.2.
-
Find følgende undernøgle til ODBC i registreringsdatabasen.
Bemærk Standardnavnet på DSN er OpsMgrAC. -
I undernøglen ODBC-datakilder skal du vælge posten for DSN-navnet, OpsMgrAC. Den indeholder navnet på DEN ODBC-driver, der skal bruges til databaseforbindelsen. Hvis du har ODBC 11.0 installeret, skal du ændre dette navn til ODBC Driver 11 for SQL Server. Hvis du har ODBC 13.0 installeret, kan du ændre dette navn til ODBC Driver 13 for SQL Server.
-
I undernøglen OpsMgrAC skal du opdatere driverposten for den ODBS-version, der er installeret.
-
Hvis ODBC 11.0 er installeret, skal du ændre driverposten til %WINDIR%\system32\msodbcsql11.dll.
-
Hvis ODBC 13.0 er installeret, skal du ændre driverposten til %WINDIR%\system32\msodbcsql13.dll.
-
Du kan også oprette og gemme følgende .reg-fil i Notesblok eller en anden teksteditor. Dobbeltklik på filen for at køre den gemte .reg-fil.
Opret følgende ODBC 11.0.reg-fil til ODBC 11.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-datakilder] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" For ODBC 13.0 skal du oprette følgende ODBC 13.0.reg-fil: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Datakilder] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-hærdning i Linux
Følg vejledningen på det relevante websted for at konfigurere TLS 1.2 i dit Red Hat - eller Apache-miljø .
Data Protection Manager
Hvis du vil gøre det muligt for Data Protection Manager at arbejde sammen med TLS 1.2 om at sikkerhedskopiere til skyen, skal du aktivere disse trin på Data Protection Manager-serveren.
Orchestrator
Når Orchestrator-opdateringerne er installeret, skal du omkonfigurere Orchestrator-databasen ved hjælp af den eksisterende database i henhold til disse retningslinjer.
Service Manager
Før Service Manager-opdateringerne installeres, skal du installere de nødvendige pakker og omkonfigurere nøgleværdierne i registreringsdatabasen som beskrevet i afsnittet "Før installationen" i KB 4024037.
Hvis du overvåger System Center Service Manager ved hjælp af System Center Operations Manager, skal du også opdatere til den nyeste version (v 7.5.7487.89) af Monitoring Management Pack til TLS 1.2-support.
SMA (Service Management Automation)
Hvis du overvåger SMA (Service Management Automation) ved hjælp af System Center Operations Manager, skal du opdatere til den nyeste version af Monitoring Management Pack til TLS 1.2-understøttelse:
Ansvarsfraskrivelse for kontakter fra tredjepart
Microsoft leverer kontaktoplysninger fra tredjepart for at hjælpe dig med at finde flere oplysninger om dette emne. Disse kontaktoplysninger kan ændres uden varsel. Microsoft garanterer ikke for nøjagtigheden af tredjeparts kontaktoplysninger.