Zusammenfassung
In diesem Artikel wird beschrieben, wie Transport Layer Security (TLS)-Protokoll Version 1.2 in einer Microsoft System Center 2012 R2-Umgebung aktiviert wird.
Weitere Informationen
Führen Sie die folgenden Schritte aus, um TLS-Protokoll Version 1.2 in Ihrer System Center-Umgebung zu aktivieren:
-
Installieren Sie Updates aus der Version.
Hinweise-
Installieren Sie das neueste Updaterollup für alle System Center-Komponenten, bevor Sie updaterollup 14 anwenden.
-
Installieren Sie für Data Protection Manager und Virtual Machine Manager das Updaterollup 13.
-
Installieren Sie für die Dienstverwaltungsautomatisierung das Updaterollup 7.
-
Installieren Sie für System Center Orchestrator das Updaterollup 8.
-
Installieren Sie für Service Provider Foundation das Updaterollup 12.
-
Installieren Sie für Service Manager das Updaterollup 9.
-
-
-
Stellen Sie sicher, dass das Setup so funktionsfähig ist, wie es war, bevor Sie die Updates angewendet haben. Überprüfen Sie beispielsweise, ob Sie die Konsole starten können.
-
Ändern Sie die Konfigurationseinstellungen , um TLS 1.2 zu aktivieren.
-
Stellen Sie sicher, dass alle erforderlichen SQL Server Dienste ausgeführt werden.
Installieren von Updates
Aktivität aktualisieren |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Stellen Sie sicher, dass alle aktuellen Sicherheitsupdates für Windows Server 2012 R2 installiert sind. |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Stellen Sie sicher, dass die .NET Framework 4.6 auf allen System Center-Komponenten installiert ist. |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Installieren des erforderlichen SQL Server Updates, das TLS 1.2 unterstützt |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Installieren der erforderlichen System Center 2012 R2-Updates |
Ja |
Nein |
Ja |
Ja |
Nein |
Nein |
Ja |
Stellen Sie sicher, dass zertifizierungsstellensignierte Zertifikate entweder SHA1 oder SHA2 sind |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Ändern der Konfigurationseinstellungen
Konfigurationsupdate |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Festlegen, dass unter Windows nur das TLS 1.2-Protokoll verwendet wird |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Einstellung für System Center, um nur das TLS 1.2-Protokoll zu verwenden |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Ja |
Ja |
Nein |
Nein |
Nein |
.NET Framework
Stellen Sie sicher, dass die .NET Framework 4.6 auf allen System Center-Komponenten installiert ist. Befolgen Sie dazudie folgenden Anweisungen.
TLS 1.2-Unterstützung
Installieren Sie das erforderliche SQL Server Update, das TLS 1.2 unterstützt. Informationen hierzu finden Sie im folgenden Artikel in der Microsoft Knowledge Base:
3135244 TLS 1.2-Unterstützung für Microsoft SQL Server
Erforderliche System Center 2012 R2-Updates
SQL Server 2012 Native Client 11.0 sollte auf allen folgenden System Center-Komponenten installiert werden.
Komponente |
Rolle |
Operations Manager |
Verwaltungsserver und Webkonsolen |
Virtual Machine Manager |
(Nicht erforderlich) |
Orchestrator |
Verwaltungsserver |
Datenschutz-Manager |
Verwaltungsserver |
Service Manager |
Verwaltungsserver |
Informationen zum Herunterladen und Installieren von Microsoft SQL Server 2012 Native Client 11.0 finden Sie auf dieser Microsoft Download Center-Webseite.
Für System Center Operations Manager und Service Manager müssen ODBC 11.0 oder ODBC 13.0 auf allen Verwaltungsservern installiert sein.
Installieren Sie die erforderlichen System Center 2012 R2-Updates aus dem folgenden Knowledge Base-Artikel:
4043306 Beschreibung des Updaterollups 14 für Microsoft System Center 2012 R2
Komponente |
2012 R2 |
Operations Manager |
Updaterollup 14 für System Center 2012 R2 Operations Manager |
Service Manager |
Updaterollup 14 für System Center 2012 R2 Service Manager |
Orchestrator |
Updaterollup 14 für System Center 2012 R2 Orchestrator |
Datenschutz-Manager |
Updaterollup 14 für System Center 2012 R2 Data Protection Manager |
Hinweis Stellen Sie sicher, dass Sie den Dateiinhalt erweitern und die MSP-Datei auf der entsprechenden Rolle installieren, mit Ausnahme von Data Protection Manager. Installieren Sie für Data Protection Manager die .exe Datei.
SHA1- und SHA2-Zertifikate
System Center-Komponenten generieren jetzt selbstsignierte SHA1- und SHA2-Zertifikate. Dies ist erforderlich, um TLS 1.2 zu aktivieren. Wenn zertifikatsignierte Zertifikate verwendet werden, stellen Sie sicher, dass es sich bei den Zertifikaten entweder um SHA1 oder SHA2 handelt.
Festlegen, dass Windows nur TLS 1.2 verwendet
Verwenden Sie eine der folgenden Methoden, um Windows so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird.
Methode 1: Manuelles Ändern der Registrierung
Wichtig: Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Führen Sie die folgenden Schritte aus, um alle SCHANNEL-Protokolle systemweit zu aktivieren/deaktivieren. Es wird empfohlen, das TLS 1.2-Protokoll für die eingehende Kommunikation zu aktivieren und die Protokolle TLS 1.2, TLS 1.1 und TLS 1.0 für alle ausgehenden Kommunikationen zu aktivieren.
Hinweis Das Vornehmen dieser Registrierungsänderungen wirkt sich nicht auf die Verwendung von Kerberos- oder NTLM-Protokollen aus.
-
Starten Sie den Registrierungs-Editor. Klicken Sie dazu mit der rechten Maustaste auf "Start", geben Sie " regedit" in das Feld "Ausführen " ein, und wählen Sie dann "OK" aus.
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Klicken Sie mit der rechten Maustaste auf den Protokollschlüssel , zeigen Sie auf "Neu", und klicken Sie dann auf "Taste".
-
Geben Sie SSL 3 ein, und drücken Sie dann die EINGABETASTE.
-
Wiederholen Sie die Schritte 3 und 4, um Schlüssel für TLS 0, TLS 1.1 und TLS 1.2 zu erstellen. Diese Schlüssel ähneln Verzeichnissen.
-
Erstellen Sie einen Clientschlüssel und einen Serverschlüssel unter jedem der SSL 3-, TLS 1.0-, TLS 1.1- und TLS 1.2-Schlüssel .
-
Um ein Protokoll zu aktivieren, erstellen Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:
DisabledByDefault [Wert = 0]
Aktiviert [Wert = 1]
Um ein Protokoll zu deaktivieren, ändern Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:DisabledByDefault [Wert = 1]
Aktiviert [Wert = 0] -
Wählen Sie im Menü "Datei " die Option "Beenden" aus.
Methode 2: Automatisches Ändern der Registrierung
Führen Sie das folgende Windows PowerShell Skript im Administratormodus aus, um Windows automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
System Center so festlegen, dass nur TLS 1.2 verwendet wird
Legen Sie System Center so fest, dass nur das TLS 1.2-Protokoll verwendet wird. Stellen Sie hierzu zunächst sicher, dass alle Voraussetzungen erfüllt sind. Konfigurieren Sie dann die folgenden Einstellungen für System Center-Komponenten und alle anderen Server, auf denen Agents installiert sind.
Verwenden Sie eine der folgenden Methoden.
Methode 1: Manuelles Ändern der Registrierung
Wichtig: Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Führen Sie die folgenden Schritte aus, um die Installation zur Unterstützung des TLS 1.2-Protokolls zu aktivieren:
-
Starten Sie den Registrierungs-Editor. Klicken Sie dazu mit der rechten Maustaste auf "Start", geben Sie "regedit" in das Feld "Ausführen" ein, und wählen Sie dann "OK" aus.
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Erstellen Sie den folgenden DWORD-Wert unter diesem Schlüssel:
SchUseStrongCrypto [Wert = 1]
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Erstellen Sie den folgenden DWORD-Wert unter diesem Schlüssel:
SchUseStrongCrypto [Wert = 1]
-
Starten Sie das System neu.
Methode 2: Automatisches Ändern der Registrierung
Führen Sie das folgende Windows PowerShell Skript im Administratormodus aus, um System Center automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Zusätzliche Einstellungen
Operations Manager
Management Packs
Importieren Sie die Management Packs für System Center 2012 R2 Operations Manager. Diese befinden sich im folgenden Verzeichnis, nachdem Sie das Serverupdate installiert haben:
\Programme\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs für Updaterollups
ACS-Einstellungen
Für Überwachungssammlungsdienste (ACS) müssen Sie zusätzliche Änderungen in der Registrierung vornehmen. ACS verwendet den DSN, um Verbindungen mit der Datenbank herzustellen. Sie müssen DSN-Einstellungen aktualisieren, damit sie für TLS 1.2 funktionieren.
-
Suchen Sie den folgenden Unterschlüssel für ODBC in der Registrierung.
Hinweis Der Standardname von DSN ist OpsMgrAC. -
Wählen Sie im Unterschlüssel "ODBC-Datenquellen " den Eintrag für den DSN-Namen OpsMgrAC aus. Dies enthält den Namen des ODBC-Treibers, der für die Datenbankverbindung verwendet werden soll. Wenn ODBC 11.0 installiert ist, ändern Sie diesen Namen für SQL Server in ODBC-Treiber 11. Wenn ODBC 13.0 installiert ist, ändern Sie diesen Namen in ODBC-Treiber 13 für SQL Server.
-
Aktualisieren Sie im Unterschlüssel "OpsMgrAC " den Treibereintrag für die installierte ODBS-Version.
-
Wenn ODBC 11.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql11.dll.
-
Wenn ODBC 13.0 installiert ist, ändern Sie den Treibereintrag in %WINDIR%\system32\msodbcsql13.dll.
-
Alternativ können Sie die folgende REG-Datei in Editor oder einem anderen Text-Editor erstellen und speichern. Doppelklicken Sie auf die Datei, um die gespeicherte REG-Datei auszuführen.
Erstellen Sie für ODBC 11.0 die folgende ODBC 11.0.reg-Datei:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-Datenquellen] "OpsMgrAC"="ODBC-Treiber 11 für SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Erstellen Sie für ODBC 13.0 die folgende ODBC 13.0.reg-Datei: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-Härtung unter Linux
Folgen Sie den Anweisungen auf der entsprechenden Website, um TLS 1.2 in Ihrer Red Hat - oder Apache-Umgebung zu konfigurieren.
Datenschutz-Manager
Um data Protection Manager die Zusammenarbeit mit TLS 1.2 für die Sicherung in der Cloud zu ermöglichen, aktivieren Sie diese Schritte auf dem Data Protection Manager-Server.
Orchestrator
Nachdem die Orchestrator-Updates installiert wurden, konfigurieren Sie die Orchestrator-Datenbank mithilfe der vorhandenen Datenbank gemäß diesen Richtlinien neu.
Service Manager
Installieren Sie vor der Installation der Service Manager Updates die erforderlichen Pakete, und konfigurieren Sie die Registrierungsschlüsselwerte neu, wie im Abschnitt "Vor der Installation" in KB 4024037 beschrieben.
Wenn Sie die System Center Service Manager mithilfe von System Center Operations Manager überwachen, aktualisieren Sie auf die neueste Version (v 7.5.7487.89) des Monitoring Management Pack für TLS 1.2-Unterstützung.
Service Management Automation (SMA)
Wenn Sie die Dienstverwaltungsautomatisierung (Service Management Automation, SMA) mithilfe von System Center Operations Manager überwachen, aktualisieren Sie auf die neueste Version von Monitoring Management Pack für TLS 1.2-Unterstützung:
Haftungsausschluss für Kontaktinformationen von Drittanbietern
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, zusätzliche Informationen zu diesem Thema zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.