Οδηγός ανάπτυξης υποστήριξης πρωτοκόλλων TLS 1,2 για το System Center 2016

Αυτό το άρθρο περιγράφει τον τρόπο με τον οποίο μπορείτε να ενεργοποιήσετε το πρωτόκολλο Transport Layer Security (TLS) έκδοση 1,2 σε περιβάλλον Microsoft System Center 2016.

Για να ενεργοποιήσετε το πρωτόκολλο TLS έκδοση 1,2 στο περιβάλλον του κέντρου συστήματος, ακολουθήστε τα παρακάτω βήματα:

1. Εγκαταστήστε ενημερώσεις από την κυκλοφορία. Σημειώσεις

   • Ο αυτοματισμός διαχείρισης υπηρεσιών (SMA) και η υποδομή παροχής υπηρεσιών (SPF) πρέπει να αναβαθμιστούν στην πιο πρόσφατη συνάθροιση ενημερώσεων, επειδή το UR4 δεν έχει ενημερώσεις για αυτά τα στοιχεία.

   • Για την αυτοματοποίηση διαχείρισης υπηρεσιών (SMA), κάντε αναβάθμιση στη συνάθροιση ενημερώσεων 1και, επίσης,νημέρωση το πακέτο ΔΙΑΧΕΊΡΙΣΗς SMA (MP) από αυτή την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

   • Για το Foundation υπηρεσίας παροχής υπηρεσιών (SPF), κάντε αναβάθμιση στη συνάθροιση ενημερώσεων 2.

   • Η διαχείριση εικονικής μηχανής κέντρου συστήματος (SCVMM) θα πρέπει να αναβαθμιστεί τουλάχιστον στη συνάθροιση ενημερώσεων 3.

2. Βεβαιωθείτε ότι η ρύθμιση είναι τόσο λειτουργική όπως ήταν πριν από την εφαρμογή των ενημερώσεων. Για παράδειγμα, επιλέξτε εάν μπορείτε να ξεκινήσετε την κονσόλα.
3. Αλλάξτε τις ρυθμίσεις παραμέτρων για να ΕΝΕΡΓΟΠΟΙΉΣΕΤΕ το TLS 1,2.
4. Βεβαιωθείτε ότι εκτελούνται όλες οι απαιτούμενες υπηρεσίες SQL Server.

Εγκατάσταση ενημερώσεων

¹ Διαχείριση λειτουργιών κέντρου συστήματος (SCOM)² Διαχείριση εικονικής μηχανής κέντρου συστήματος (SCVMM)³ Διαχείριση προστασίας δεδομένων κέντρου συστήματος (SCDPM)⁴ Orchestrator κέντρου συστήματος⁵ Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA)⁶ Ίδρυμα παροχής υπηρεσιών (SPF)⁷ Διαχείριση υπηρεσιών (SM)

Αλλαγή ρυθμίσεων παραμέτρων

.NET Framework 

Βεβαιωθείτε ότι το .NET Framework 4,6 είναι εγκατεστημένο σε όλα τα στοιχεία του κέντρου συστήματος. Για να το κάνετε αυτό, ακολουθήστε αυτές τις οδηγίες.

Υποστήριξη TLS 1,2

Εγκαταστήστε την απαιτούμενη ενημερωμένη έκδοση του SQL Server που υποστηρίζει το TLS 1,2. Για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

3135244 Υποστήριξη TLS 1,2 για Microsoft SQL Server

Απαιτούμενες ενημερώσεις του κέντρου συστήματος 2016

Ο SQL Server 2012 Native Client 11,0 πρέπει να είναι εγκατεστημένος σε όλα τα ακόλουθα στοιχεία του κέντρου συστήματος.

Για να κάνετε λήψη και εγκατάσταση του Microsoft SQL Server 2012 Native Client 11,0, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για να κάνετε λήψη και εγκατάσταση του προγράμματος οδήγησης Microsoft OLE DB 18, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για το System Center Operations Manager and Service Manager, πρέπει να έχετε εγκαταστήσει το odbc 11,0 ή το ODBC 13,0 σε όλους τους διακομιστές διαχείρισης.

Εγκαταστήστε τις απαιτούμενες ενημερώσεις του κέντρου συστήματος 2016 από το ακόλουθο άρθρο της Γνωσιακής βάσης:

4043305 Περιγραφή της συλλογής ενημερώσεων 4 για το Microsoft System Center 2016 

Σημείωση Βεβαιωθείτε ότι αναπτύσσετε τα περιεχόμενα του αρχείου και εγκαθιστάτε το αρχείο MSP στον αντίστοιχο ρόλο.

Πιστοποιητικά SHA1 και SHA2

Τα στοιχεία του κέντρου συστήματος δημιουργούν τώρα τόσο SHA1 όσο και SHA2 πιστοποιητικά αυτόματης υπογραφής. Αυτό απαιτείται για να ενεργοποιήσετε το TLS 1,2. Εάν χρησιμοποιούνται πιστοποιητικά με υπογραφή CA, βεβαιωθείτε ότι τα πιστοποιητικά είναι SHA1 ή SHA2.

Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους για να ρυθμίσετε τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1,2.

Μέθοδος 1: μη αυτόματη τροποποίηση του μητρώου

ΣημαντικόΑκολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Χρησιμοποιήστε τα παρακάτω βήματα για να ενεργοποιήσετε/απενεργοποιήσετε όλα τα πρωτόκολλα SCHANNEL σε ολόκληρο το σύστημα. Συνιστούμε να ενεργοποιήσετε το πρωτόκολλο TLS 1,2 για τις εισερχόμενες επικοινωνίες. και ενεργοποιήστε τα πρωτόκολλα TLS 1,2, TLS 1,1 και TLS 1,0 για όλες τις εξερχόμενες επικοινωνίες.

Σημείωση Η δημιουργία αυτών των αλλαγών στο μητρώο δεν επηρεάζει τη χρήση πρωτοκόλλων Kerberos ή NTLM.

1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στην επιλογή Έναρξη, πληκτρολογήστε regedit στο πλαίσιο εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
3. Κάντε δεξί κλικ στο πλήκτρο Protocol , επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή κλειδί.
   
4. Πληκτρολογήστε SSL 3και, στη συνέχεια, πατήστε το πλήκτρο ENTER.
5. Επαναλάβετε τα βήματα 3 και 4 για να δημιουργήσετε κλειδιά για το TLS 0, το TLS 1,1 και το TLS 1,2. Αυτά τα πλήκτρα μοιάζουν με καταλόγους.
6. Δημιουργήστε ένα κλειδί προγράμματος-πελάτη και ένα κλειδί διακομιστή κάτω από κάθε ένα από τα πλήκτρα SSL 3, tls 1,0, TLS 1,1και TLS 1,2 .
7. Για να ενεργοποιήσετε ένα πρωτόκολλο, δημιουργήστε την τιμή DWORD κάτω από κάθε κλειδί προγράμματος-πελάτη και διακομιστή ως εξής:
   DisabledByDefault [τιμή = 0] Ενεργοποιήθηκε [τιμή = 1]
   Για να απενεργοποιήσετε ένα πρωτόκολλο, αλλάξτε την τιμή DWORD κάτω από κάθε κλειδί προγράμματος-πελάτη και διακομιστή ως εξής:
   DisabledByDefault [τιμή = 1] Enabled [value = 0]
8. Στο μενού αρχείο , κάντε κλικ στην επιλογή Έξοδος.

Μέθοδος 2: αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών του Windows PowerShell σε κατάσταση λειτουργίας διαχειριστή για να ρυθμίσετε αυτόματα τα Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")$ProtocolSubKeyList = @("Client", "Server")$DisabledByDefault = "DisabledByDefault"$Enabled = "Enabled"$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"foreach($Protocol in $ProtocolList){    Write-Host " In 1st For loop"	foreach($key in $ProtocolSubKeyList)	{				$currentRegPath = $registryPath + $Protocol + "\" + $key		Write-Host " Current Registry Path $currentRegPath"				if(!(Test-Path $currentRegPath))		{		    Write-Host "creating the registry"			New-Item -Path $currentRegPath -Force | out-Null					}		if($Protocol -eq "TLS 1.2")		{		    Write-Host "Working for TLS 1.2"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null				}		else		{		    Write-Host "Working for other protocol"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null		}		}}Exit 0

Ορίστε το κέντρο συστήματος για να χρησιμοποιήσετε μόνο το πρωτόκολλο TLS 1,2. Για να το κάνετε αυτό, βεβαιωθείτε πρώτα ότι πληρούνται όλες οι προϋποθέσεις. Στη συνέχεια, κάντε τις ακόλουθες ρυθμίσεις στα στοιχεία του κέντρου συστήματος και σε όλους τους άλλους διακομιστές στους οποίους είναι εγκατεστημένα οι παράγοντες.

Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Μέθοδος 1: μη αυτόματη τροποποίηση του μητρώου

ΣημαντικόΑκολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Για να ενεργοποιήσετε την εγκατάσταση για την υποστήριξη του πρωτοκόλλου TLS 1,2, ακολουθήστε τα παρακάτω βήματα:

1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στην επιλογή Έναρξη, πληκτρολογήστε regedit στο πλαίσιο εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
3. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
   SchUseStrongCrypto [τιμή = 1]
4. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
   HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
5. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
   SchUseStrongCrypto [τιμή = 1]
6. Επανεκκινήστε το σύστημα.

Μέθοδος 2: αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών του Windows PowerShell σε κατάσταση λειτουργίας διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους του κέντρου συστήματος ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1,2:

# Tighten up the .NET Framework$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Διαχείριση λειτουργιών

Πακέτα διαχείρισης

Εισαγάγετε τα πακέτα διαχείρισης για το System Center 2016 Operations Manager. Αυτά βρίσκονται στον παρακάτω κατάλογο μετά την εγκατάσταση της ενημέρωσης διακομιστή:

\Program Files\Microsoft System Center 2016 \ λειτουργίες Manager\Server\Management Pack για συλλογές ενημερώσεων

Ρυθμίσεις ACS

Για τις υπηρεσίες συλλογής ελέγχου (ACS), πρέπει να κάνετε πρόσθετες αλλαγές στο μητρώο. Η ACS χρησιμοποιεί το DSN για να κάνει συνδέσεις στη βάση δεδομένων. Πρέπει να ενημερώσετε τις ρυθμίσεις DSN για να τις κάνετε λειτουργικές για το TLS 1,2.

1. Εντοπίστε το ακόλουθο δευτερεύον κλειδί για το ODBC στο μητρώο. Σημείωση Το προεπιλεγμένο όνομα του DSN είναι OpsMgrAC.
   
2. Στο δευτερεύον κλειδί Προελεύσεις δεδομένων ODBC , επιλέξτε την καταχώρηση για το όνομα DSN, OpsMgrAC. Αυτό περιέχει το όνομα του προγράμματος οδήγησης ODBC που θα χρησιμοποιηθεί για τη σύνδεση της βάσης δεδομένων. Εάν έχετε εγκαταστήσει το ODBC 11,0, αλλάξτε αυτό το όνομα σε πρόγραμμα οδήγησης ODBC 11 για τον SQL Server. Εναλλακτικά, εάν έχετε εγκαταστήσει το ODBC 13,0, αλλάξτε αυτό το όνομα στο πρόγραμμα οδήγησης ODBC 13 για τον SQL Server.
   
3. Στο δευτερεύον κλειδί OpsMgrAC , ενημερώστε την καταχώρηση του προγράμματος οδήγησης για την έκδοση ODBS που είναι εγκατεστημένη.
   
    
   • Εάν είναι εγκατεστημένο το ODBC 11,0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης στο %windir%\system32\msodbcsql11.dll.
   • Εάν είναι εγκατεστημένο το ODBC 13,0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης στο %windir%\system32\msodbcsql13.dll.
   • Εναλλακτικά, δημιουργήστε και αποθηκεύστε το παρακάτω αρχείο. reg στο σημειωματάριο ή σε άλλο πρόγραμμα επεξεργασίας κειμένου. Για να εκτελέσετε το αποθηκευμένο αρχείο. reg, κάντε διπλό κλικ στο αρχείο. Για το odbc 11,0, δημιουργήστε το ΑΚΌΛΟΥΘΟ αρχείο ODBC 11.0. reg:  

     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 11 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

     Για το odbc 13,0, δημιουργήστε το παρακάτω αρχείο ODBC 13.0. reg:  

     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 13 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Σκλήρυνση TLS στο Linux

Ακολουθήστε τις οδηγίες στην κατάλληλη τοποθεσία Web για να ρυθμίσετε τις παραμέτρους του TLS 1,2 στο κόκκινο καπέλο σας ή στο περιβάλλον Apache .

Διαχείριση προστασίας δεδομένων

Για να ενεργοποιήσετε τη διαχείριση προστασίας δεδομένων για να συνεργαστείτε με το TLS 1,2 για να δημιουργήσετε αντίγραφο ασφαλείας του cloud, ενεργοποιήστε αυτά τα βήματα στο διακομιστή Data Protection Manager.

Orchestrator

Μετά την εγκατάσταση των ενημερώσεων του Orchestrator, ρυθμίστε ξανά τις παραμέτρους της βάσης δεδομένων του Orchestrator χρησιμοποιώντας την υπάρχουσα βάση δεδομένων σύμφωνα με αυτές τις οδηγίες.