TLS 1.2-Protokollunterstützung – Bereitstellungshandbuch für System Center 2012 R2

Zusammenfassung

In diesem Artikel wird beschrieben, wie Transport Layer Security (TLS)-Protokoll Version 1.2 in einer Microsoft System Center 2012 R2-Umgebung aktiviert wird.

Weitere Informationen

Führen Sie die folgenden Schritte aus, um TLS-Protokoll Version 1.2 in Ihrer System Center-Umgebung zu aktivieren:

Installieren Sie Updates aus der Version.

Hinweise
- Installieren Sie das neueste Updaterollup für alle System Center-Komponenten, bevor Sie updaterollup 14 anwenden.
  - Installieren Sie für Data Protection Manager und Virtual Machine Manager das Updaterollup 13.
  - Installieren Sie für die Dienstverwaltungsautomatisierung das Updaterollup 7.
  - Installieren Sie für System Center Orchestrator das Updaterollup 8.
  - Installieren Sie für Service Provider Foundation das Updaterollup 12.
  - Installieren Sie für Service Manager das Updaterollup 9.
Stellen Sie sicher, dass das Setup so funktionsfähig ist, wie es war, bevor Sie die Updates angewendet haben. Überprüfen Sie beispielsweise, ob Sie die Konsole starten können.
Ändern Sie die Konfigurationseinstellungen , um TLS 1.2 zu aktivieren.
Stellen Sie sicher, dass alle erforderlichen SQL Server Dienste ausgeführt werden.

Installieren von Updates

Aktivität aktualisieren	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Stellen Sie sicher, dass alle aktuellen Sicherheitsupdates für Windows Server 2012 R2 installiert sind.	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Stellen Sie sicher, dass die .NET Framework 4.6 auf allen System Center-Komponenten installiert ist.	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Installieren des erforderlichen SQL Server Updates, das TLS 1.2 unterstützt	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Installieren der erforderlichen System Center 2012 R2-Updates	Ja	Nein	Ja	Ja	Nein	Nein	Ja
Stellen Sie sicher, dass zertifizierungsstellensignierte Zertifikate entweder SHA1 oder SHA2 sind	Ja	Ja	Ja	Ja	Ja	Ja	Ja

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Ändern der Konfigurationseinstellungen

Konfigurationsupdate	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Festlegen, dass unter Windows nur das TLS 1.2-Protokoll verwendet wird	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Einstellung für System Center, um nur das TLS 1.2-Protokoll zu verwenden	Ja	Ja	Ja	Ja	Ja	Ja	Ja
Zusätzliche Einstellungen	Ja	Nein	Ja	Ja	Nein	Nein	Nein

.NET Framework

Stellen Sie sicher, dass die .NET Framework 4.6 auf allen System Center-Komponenten installiert ist. Befolgen Sie dazudie folgenden Anweisungen.

TLS 1.2-Unterstützung

Installieren Sie das erforderliche SQL Server Update, das TLS 1.2 unterstützt. Informationen hierzu finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

3135244 TLS 1.2-Unterstützung für Microsoft SQL Server

Erforderliche System Center 2012 R2-Updates

SQL Server 2012 Native Client 11.0 sollte auf allen folgenden System Center-Komponenten installiert werden.

Komponente	Rolle
Operations Manager	Verwaltungsserver und Webkonsolen
Virtual Machine Manager	(Nicht erforderlich)
Orchestrator	Verwaltungsserver
Datenschutz-Manager	Verwaltungsserver
Service Manager	Verwaltungsserver

Informationen zum Herunterladen und Installieren von Microsoft SQL Server 2012 Native Client 11.0 finden Sie auf dieser Microsoft Download Center-Webseite.

Für System Center Operations Manager und Service Manager müssen ODBC 11.0 oder ODBC 13.0 auf allen Verwaltungsservern installiert sein.

Installieren Sie die erforderlichen System Center 2012 R2-Updates aus dem folgenden Knowledge Base-Artikel:

4043306 Beschreibung des Updaterollups 14 für Microsoft System Center 2012 R2

Komponente	2012 R2
Operations Manager	Updaterollup 14 für System Center 2012 R2 Operations Manager
Service Manager	Updaterollup 14 für System Center 2012 R2 Service Manager
Orchestrator	Updaterollup 14 für System Center 2012 R2 Orchestrator
Datenschutz-Manager	Updaterollup 14 für System Center 2012 R2 Data Protection Manager

Hinweis Stellen Sie sicher, dass Sie den Dateiinhalt erweitern und die MSP-Datei auf der entsprechenden Rolle installieren, mit Ausnahme von Data Protection Manager. Installieren Sie für Data Protection Manager die .exe Datei.

SHA1- und SHA2-Zertifikate

System Center-Komponenten generieren jetzt selbstsignierte SHA1- und SHA2-Zertifikate. Dies ist erforderlich, um TLS 1.2 zu aktivieren. Wenn zertifikatsignierte Zertifikate verwendet werden, stellen Sie sicher, dass es sich bei den Zertifikaten entweder um SHA1 oder SHA2 handelt.

Festlegen, dass Windows nur TLS 1.2 verwendet

Verwenden Sie eine der folgenden Methoden, um Windows so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird.

Methode 1: Manuelles Ändern der Registrierung

Wichtig: Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.

Führen Sie die folgenden Schritte aus, um alle SCHANNEL-Protokolle systemweit zu aktivieren/deaktivieren. Es wird empfohlen, das TLS 1.2-Protokoll für die eingehende Kommunikation zu aktivieren und die Protokolle TLS 1.2, TLS 1.1 und TLS 1.0 für alle ausgehenden Kommunikationen zu aktivieren.

Hinweis Das Vornehmen dieser Registrierungsänderungen wirkt sich nicht auf die Verwendung von Kerberos- oder NTLM-Protokollen aus.

Starten Sie den Registrierungs-Editor. Klicken Sie dazu mit der rechten Maustaste auf "Start", geben Sie " regedit" in das Feld "Ausführen " ein, und wählen Sie dann "OK" aus.
Suchen Sie den folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Klicken Sie mit der rechten Maustaste auf den Protokollschlüssel , zeigen Sie auf "Neu", und klicken Sie dann auf "Taste".
Geben Sie SSL 3 ein, und drücken Sie dann die EINGABETASTE.
Wiederholen Sie die Schritte 3 und 4, um Schlüssel für TLS 0, TLS 1.1 und TLS 1.2 zu erstellen. Diese Schlüssel ähneln Verzeichnissen.
Erstellen Sie einen Clientschlüssel und einen Serverschlüssel unter jedem der SSL 3-, TLS 1.0-, TLS 1.1- und TLS 1.2-Schlüssel .
Um ein Protokoll zu aktivieren, erstellen Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:

DisabledByDefault [Wert = 0]
Aktiviert [Wert = 1]
Um ein Protokoll zu deaktivieren, ändern Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:

DisabledByDefault [Wert = 1]
Aktiviert [Wert = 0]
Wählen Sie im Menü "Datei " die Option "Beenden" aus.

Methode 2: Automatisches Ändern der Registrierung

Führen Sie das folgende Windows PowerShell Skript im Administratormodus aus, um Windows automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

System Center so festlegen, dass nur TLS 1.2 verwendet wird

Legen Sie System Center so fest, dass nur das TLS 1.2-Protokoll verwendet wird. Stellen Sie hierzu zunächst sicher, dass alle Voraussetzungen erfüllt sind. Konfigurieren Sie dann die folgenden Einstellungen für System Center-Komponenten und alle anderen Server, auf denen Agents installiert sind.

Verwenden Sie eine der folgenden Methoden.

Methode 1: Manuelles Ändern der Registrierung

Wichtig: Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.

Führen Sie die folgenden Schritte aus, um die Installation zur Unterstützung des TLS 1.2-Protokolls zu aktivieren:

Starten Sie den Registrierungs-Editor. Klicken Sie dazu mit der rechten Maustaste auf "Start", geben Sie "regedit" in das Feld "Ausführen" ein, und wählen Sie dann "OK" aus.
Suchen Sie den folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Erstellen Sie den folgenden DWORD-Wert unter diesem Schlüssel:

SchUseStrongCrypto [Wert = 1]
Suchen Sie den folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Erstellen Sie den folgenden DWORD-Wert unter diesem Schlüssel:

SchUseStrongCrypto [Wert = 1]
Starten Sie das System neu.

Methode 2: Automatisches Ändern der Registrierung

Führen Sie das folgende Windows PowerShell Skript im Administratormodus aus, um System Center automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Zusätzliche Einstellungen

Operations Manager

Management Packs

Importieren Sie die Management Packs für System Center 2012 R2 Operations Manager. Diese befinden sich im folgenden Verzeichnis, nachdem Sie das Serverupdate installiert haben:

\Programme\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs für Updaterollups

ACS-Einstellungen

Für Überwachungssammlungsdienste (ACS) müssen Sie zusätzliche Änderungen in der Registrierung vornehmen. ACS verwendet den DSN, um Verbindungen mit der Datenbank herzustellen. Sie müssen DSN-Einstellungen aktualisieren, damit sie für TLS 1.2 funktionieren.

Suchen Sie den folgenden Unterschlüssel für ODBC in der Registrierung.

Hinweis Der Standardname von DSN ist OpsMgrAC.
Wählen Sie im Unterschlüssel "ODBC-Datenquellen " den Eintrag für den DSN-Namen OpsMgrAC aus. Dies enthält den Namen des ODBC-Treibers, der für die Datenbankverbindung verwendet werden soll. Wenn ODBC 11.0 installiert ist, ändern Sie diesen Namen für SQL Server in ODBC-Treiber 11. Wenn ODBC 13.0 installiert ist, ändern Sie diesen Namen in ODBC-Treiber 13 für SQL Server.
Aktualisieren Sie im Unterschlüssel "OpsMgrAC " den Treibereintrag für die installierte ODBS-Version.
- Wenn ODBC 11.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql11.dll.
- Wenn ODBC 13.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql13.dll.
- Alternativ können Sie die folgende REG-Datei in Editor oder einem anderen Text-Editor erstellen und speichern. Doppelklicken Sie auf die Datei, um die gespeicherte REG-Datei auszuführen.
  
  Erstellen Sie für ODBC 11.0 die folgende ODBC 11.0.reg-Datei:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-Datenquellen] "OpsMgrAC"="ODBC-Treiber 11 für SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Erstellen Sie für ODBC 13.0 die folgende ODBC 13.0.reg-Datei: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-Härtung unter Linux

Folgen Sie den Anweisungen auf der entsprechenden Website, um TLS 1.2 in Ihrer Red Hat - oder Apache-Umgebung zu konfigurieren.

Datenschutz-Manager

Um data Protection Manager die Zusammenarbeit mit TLS 1.2 für die Sicherung in der Cloud zu ermöglichen, aktivieren Sie diese Schritte auf dem Data Protection Manager-Server.

Orchestrator

Nachdem die Orchestrator-Updates installiert wurden, konfigurieren Sie die Orchestrator-Datenbank mithilfe der vorhandenen Datenbank gemäß diesen Richtlinien neu.

Service Manager

Installieren Sie vor der Installation der Service Manager Updates die erforderlichen Pakete, und konfigurieren Sie die Registrierungsschlüsselwerte neu, wie im Abschnitt "Vor der Installation" in KB 4024037 beschrieben.

Wenn Sie die System Center Service Manager mithilfe von System Center Operations Manager überwachen, aktualisieren Sie auf die neueste Version (v 7.5.7487.89) des Monitoring Management Pack für TLS 1.2-Unterstützung.

Service Management Automation (SMA)

Wenn Sie die Dienstverwaltungsautomatisierung (Service Management Automation, SMA) mithilfe von System Center Operations Manager überwachen, aktualisieren Sie auf die neueste Version von Monitoring Management Pack für TLS 1.2-Unterstützung:

System Center Management Pack für System Center 2012 R2 Orchestrator – Dienstverwaltungsautomatisierung

Haftungsausschluss für Kontaktinformationen von Drittanbietern

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, zusätzliche Informationen zu diesem Thema zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.