Οδηγός ανάπτυξης υποστήριξης πρωτοκόλλων TLS 1,2 για το System Center 2016

Ισχύει για: .NET Framework 4.6System Center 2016 Data Protection ManagerSystem Center 2016 Operations Manager

Σύνοψη


Αυτό το άρθρο περιγράφει τον τρόπο με τον οποίο μπορείτε να ενεργοποιήσετε το πρωτόκολλο Transport Layer Security (TLS) έκδοση 1,2 σε περιβάλλον Microsoft System Center 2016.

Περισσότερες πληροφορίες


Για να ενεργοποιήσετε το πρωτόκολλο TLS έκδοση 1,2 στο περιβάλλον του κέντρου συστήματος, ακολουθήστε τα παρακάτω βήματα:

  1. Εγκαταστήστε ενημερώσεις από την κυκλοφορία. Σημειώσεις

  2. Βεβαιωθείτε ότι η ρύθμιση είναι τόσο λειτουργική όπως ήταν πριν από την εφαρμογή των ενημερώσεων. Για παράδειγμα, επιλέξτε εάν μπορείτε να ξεκινήσετε την κονσόλα.
  3. Αλλάξτε τις ρυθμίσεις παραμέτρων για να ΕΝΕΡΓΟΠΟΙΉΣΕΤΕ το TLS 1,2.
  4. Βεβαιωθείτε ότι εκτελούνται όλες οι απαιτούμενες υπηρεσίες SQL Server.

Εγκατάσταση ενημερώσεων

Δραστηριότητα ενημέρωσης

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Βεβαιωθείτε ότι έχουν εγκατασταθεί όλες οι τρέχουσες ενημερώσεις ασφαλείας για τον windows Server 2012 R2 ή τον windows Server 2016 

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Βεβαιωθείτε ότι το .NET Framework 4,6 είναι εγκατεστημένο σε όλα τα στοιχεία του κέντρου συστήματος

Ναι

 

Ναι

 

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκαταστήστε την απαιτούμενη ενημερωμένη έκδοση του SQL Server που υποστηρίζει το TLS 1,2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Εγκατάσταση των απαιτούμενων ενημερώσεων του System Center 2016

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Ναι

Βεβαιωθείτε ότι τα πιστοποιητικά που έχουν υπογραφεί από την CA είναι SHA1 ή SHA2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

1 Διαχείριση λειτουργιών κέντρου συστήματος (SCOM)2 Διαχείριση εικονικής μηχανής κέντρου συστήματος (SCVMM)3 Διαχείριση προστασίας δεδομένων κέντρου συστήματος (SCDPM)4 Orchestrator κέντρου συστήματος5 Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA)6 Ίδρυμα παροχής υπηρεσιών (SPF)7 Διαχείριση υπηρεσιών (SM)

Αλλαγή ρυθμίσεων παραμέτρων

Ενημέρωση παραμέτρων

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Ρύθμιση στα Windows για χρήση μόνο του πρωτοκόλλου TLS 1,2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ρύθμιση στο κέντρο συστήματος για χρήση μόνο του πρωτοκόλλου TLS 1,2

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Ναι

Πρόσθετες ρυθμίσεις

Ναι

Όχι

Ναι

Ναι

Όχι

Όχι

Όχι

.NET Framework 

Βεβαιωθείτε ότι το .NET Framework 4,6 είναι εγκατεστημένο σε όλα τα στοιχεία του κέντρου συστήματος. Για να το κάνετε αυτό, ακολουθήστε αυτές τις οδηγίες.

Υποστήριξη TLS 1,2

Εγκαταστήστε την απαιτούμενη ενημερωμένη έκδοση του SQL Server που υποστηρίζει το TLS 1,2. Για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

3135244 Υποστήριξη TLS 1,2 για Microsoft SQL Server

Απαιτούμενες ενημερώσεις του κέντρου συστήματος 2016

Ο SQL Server 2012 Native Client 11,0 πρέπει να είναι εγκατεστημένος σε όλα τα ακόλουθα στοιχεία του κέντρου συστήματος.

Στοιχείο

Ρόλο

Απαιτούμενο πρόγραμμα οδήγησης SQL

Διαχείριση λειτουργιών

Διακομιστής διαχείρισης και κονσόλες Web

SQL Server 2012 εγγενής υπολογιστής-πελάτης 11,0 ή πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server (προτείνεται).

Σημείωση Το πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server υποστηρίζεται με το Operations Manager 2016 UR9 και νεότερες εκδόσεις.

Διαχείριση εικονικής μηχανής

(Δεν απαιτείται)

(Δεν απαιτείται)

Orchestrator

Διακομιστής διαχείρισης

SQL Server 2012 εγγενής υπολογιστής-πελάτης 11,0 ή πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server (προτείνεται).

Σημείωση Το πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server υποστηρίζεται με το Orchestrator 2016 UR8 και νεότερες εκδόσεις.

Διαχείριση προστασίας δεδομένων

Διακομιστής διαχείρισης

SQL Server 2012 εγγενής υπολογιστής-πελάτης 11,0

Διαχείριση υπηρεσιών

Διακομιστής διαχείρισης

SQL Server 2012 εγγενής υπολογιστής-πελάτης 11,0 ή πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server (προτείνεται).

Σημείωση Το πρόγραμμα οδήγησης Microsoft OLE DB 18 για SQL Server υποστηρίζεται με το Service Manager 2016 UR9 και νεότερες εκδόσεις.

Για να κάνετε λήψη και εγκατάσταση του Microsoft SQL Server 2012 Native Client 11,0, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για να κάνετε λήψη και εγκατάσταση του προγράμματος οδήγησης Microsoft OLE DB 18, ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.

Για το System Center Operations Manager and Service Manager, πρέπει να έχετε εγκαταστήσει το odbc 11,0 ή το ODBC 13,0 σε όλους τους διακομιστές διαχείρισης.

Εγκαταστήστε τις απαιτούμενες ενημερώσεις του κέντρου συστήματος 2016 από το ακόλουθο άρθρο της Γνωσιακής βάσης:

4043305 Περιγραφή της συλλογής ενημερώσεων 4 για το Microsoft System Center 2016 

Στοιχείο

2016

Διαχείριση λειτουργιών

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Operations Manager

Διαχείριση υπηρεσιών

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Service Manager

Orchestrator

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Orchestrator

Διαχείριση προστασίας δεδομένων

Συνάθροιση ενημερώσεων 4 για το System Center 2016 Data Protection Manager

Σημείωση Βεβαιωθείτε ότι αναπτύσσετε τα περιεχόμενα του αρχείου και εγκαθιστάτε το αρχείο MSP στον αντίστοιχο ρόλο.

Πιστοποιητικά SHA1 και SHA2

Τα στοιχεία του κέντρου συστήματος δημιουργούν τώρα τόσο SHA1 όσο και SHA2 πιστοποιητικά αυτόματης υπογραφής. Αυτό απαιτείται για να ενεργοποιήσετε το TLS 1,2. Εάν χρησιμοποιούνται πιστοποιητικά με υπογραφή CA, βεβαιωθείτε ότι τα πιστοποιητικά είναι SHA1 ή SHA2.

Ρυθμίστε τα Windows ώστε να χρησιμοποιούν μόνο το TLS 1,2


Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους για να ρυθμίσετε τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1,2.

Μέθοδος 1: μη αυτόματη τροποποίηση του μητρώου

ΣημαντικόΑκολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Χρησιμοποιήστε τα παρακάτω βήματα για να ενεργοποιήσετε/απενεργοποιήσετε όλα τα πρωτόκολλα SCHANNEL σε ολόκληρο το σύστημα. Συνιστούμε να ενεργοποιήσετε το πρωτόκολλο TLS 1,2 για τις εισερχόμενες επικοινωνίες. και ενεργοποιήστε τα πρωτόκολλα TLS 1,2, TLS 1,1 και TLS 1,0 για όλες τις εξερχόμενες επικοινωνίες.

Σημείωση Η δημιουργία αυτών των αλλαγών στο μητρώο δεν επηρεάζει τη χρήση πρωτοκόλλων Kerberos ή NTLM.

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στην επιλογή Έναρξη, πληκτρολογήστε regedit στο πλαίσιο εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Κάντε δεξί κλικ στο πλήκτρο Protocol , επιλέξτε Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή κλειδί.
    Registry
  4. Πληκτρολογήστε SSL 3και, στη συνέχεια, πατήστε το πλήκτρο ENTER.
  5. Επαναλάβετε τα βήματα 3 και 4 για να δημιουργήσετε κλειδιά για το TLS 0, το TLS 1,1 και το TLS 1,2. Αυτά τα πλήκτρα μοιάζουν με καταλόγους.
  6. Δημιουργήστε ένα κλειδί προγράμματος-πελάτη και ένα κλειδί διακομιστή κάτω από κάθε ένα από τα πλήκτρα SSL 3, tls 1,0, TLS 1,1και TLS 1,2 .
  7. Για να ενεργοποιήσετε ένα πρωτόκολλο, δημιουργήστε την τιμή DWORD κάτω από κάθε κλειδί προγράμματος-πελάτη και διακομιστή ως εξής:
    DisabledByDefault [τιμή = 0] Ενεργοποιήθηκε [τιμή = 1]
    Για να απενεργοποιήσετε ένα πρωτόκολλο, αλλάξτε την τιμή DWORD κάτω από κάθε κλειδί προγράμματος-πελάτη και διακομιστή ως εξής:
    DisabledByDefault [τιμή = 1] Enabled [value = 0]
  8. Στο μενού αρχείο , κάντε κλικ στην επιλογή Έξοδος.

Μέθοδος 2: αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών του Windows PowerShell σε κατάσταση λειτουργίας διαχειριστή για να ρυθμίσετε αυτόματα τα Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")$ProtocolSubKeyList = @("Client", "Server")$DisabledByDefault = "DisabledByDefault"$Enabled = "Enabled"$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"foreach($Protocol in $ProtocolList){    Write-Host " In 1st For loop"	foreach($key in $ProtocolSubKeyList)	{				$currentRegPath = $registryPath + $Protocol + "\" + $key		Write-Host " Current Registry Path $currentRegPath"				if(!(Test-Path $currentRegPath))		{		    Write-Host "creating the registry"			New-Item -Path $currentRegPath -Force | out-Null					}		if($Protocol -eq "TLS 1.2")		{		    Write-Host "Working for TLS 1.2"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null				}		else		{		    Write-Host "Working for other protocol"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null		}		}}Exit 0

Ρυθμίστε το κέντρο συστήματος ώστε να χρησιμοποιεί μόνο το TLS 1,2


Ορίστε το κέντρο συστήματος για να χρησιμοποιήσετε μόνο το πρωτόκολλο TLS 1,2. Για να το κάνετε αυτό, βεβαιωθείτε πρώτα ότι πληρούνται όλες οι προϋποθέσεις. Στη συνέχεια, κάντε τις ακόλουθες ρυθμίσεις στα στοιχεία του κέντρου συστήματος και σε όλους τους άλλους διακομιστές στους οποίους είναι εγκατεστημένα οι παράγοντες.

Χρησιμοποιήστε μία από τις ακόλουθες μεθόδους.

Μέθοδος 1: μη αυτόματη τροποποίηση του μητρώου

ΣημαντικόΑκολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Για να ενεργοποιήσετε την εγκατάσταση για την υποστήριξη του πρωτοκόλλου TLS 1,2, ακολουθήστε τα παρακάτω βήματα:

  1. Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στην επιλογή Έναρξη, πληκτρολογήστε regedit στο πλαίσιο εκτέλεση και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  3. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
    SchUseStrongCrypto [τιμή = 1]
  4. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
  5. Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
    SchUseStrongCrypto [τιμή = 1]
  6. Επανεκκινήστε το σύστημα.

Μέθοδος 2: αυτόματη τροποποίηση του μητρώου

Εκτελέστε την ακόλουθη δέσμη ενεργειών του Windows PowerShell σε κατάσταση λειτουργίας διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους του κέντρου συστήματος ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1,2:

# Tighten up the .NET Framework$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Πρόσθετες ρυθμίσεις


Διαχείριση λειτουργιών

Πακέτα διαχείρισης

Εισαγάγετε τα πακέτα διαχείρισης για το System Center 2016 Operations Manager. Αυτά βρίσκονται στον παρακάτω κατάλογο μετά την εγκατάσταση της ενημέρωσης διακομιστή:

\Program Files\Microsoft System Center 2016 \ λειτουργίες Manager\Server\Management Pack για συλλογές ενημερώσεων

Ρυθμίσεις ACS

Για τις υπηρεσίες συλλογής ελέγχου (ACS), πρέπει να κάνετε πρόσθετες αλλαγές στο μητρώο. Η ACS χρησιμοποιεί το DSN για να κάνει συνδέσεις στη βάση δεδομένων. Πρέπει να ενημερώσετε τις ρυθμίσεις DSN για να τις κάνετε λειτουργικές για το TLS 1,2.

  1. Εντοπίστε το ακόλουθο δευτερεύον κλειδί για το ODBC στο μητρώο. Σημείωση Το προεπιλεγμένο όνομα του DSN είναι OpsMgrAC.
    ODBC. INI δευτερεύον κλειδί
  2. Στο δευτερεύον κλειδί Προελεύσεις δεδομένων ODBC , επιλέξτε την καταχώρηση για το όνομα DSN, OpsMgrAC. Αυτό περιέχει το όνομα του προγράμματος οδήγησης ODBC που θα χρησιμοποιηθεί για τη σύνδεση της βάσης δεδομένων. Εάν έχετε εγκαταστήσει το ODBC 11,0, αλλάξτε αυτό το όνομα σε πρόγραμμα οδήγησης ODBC 11 για τον SQL Server. Εναλλακτικά, εάν έχετε εγκαταστήσει το ODBC 13,0, αλλάξτε αυτό το όνομα στο πρόγραμμα οδήγησης ODBC 13 για τον SQL Server.
    Δευτερεύον κλειδί προέλευσης δεδομένων ODBC
  3. Στο δευτερεύον κλειδί OpsMgrAC , ενημερώστε την καταχώρηση του προγράμματος οδήγησης για την έκδοση ODBS που είναι εγκατεστημένη.
    Το δευτερεύον κλειδί OpsMgrAC
     
    • Εάν είναι εγκατεστημένο το ODBC 11,0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης στο %windir%\system32\msodbcsql11.dll.
    • Εάν είναι εγκατεστημένο το ODBC 13,0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης στο %windir%\system32\msodbcsql13.dll.
    • Εναλλακτικά, δημιουργήστε και αποθηκεύστε το παρακάτω αρχείο. reg στο σημειωματάριο ή σε άλλο πρόγραμμα επεξεργασίας κειμένου. Για να εκτελέσετε το αποθηκευμένο αρχείο. reg, κάντε διπλό κλικ στο αρχείο. Για το odbc 11,0, δημιουργήστε το ΑΚΌΛΟΥΘΟ αρχείο ODBC 11.0. reg:  
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 11 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
      Για το odbc 13,0, δημιουργήστε το παρακάτω αρχείο ODBC 13.0. reg:  
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 13 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Σκλήρυνση TLS στο Linux

Ακολουθήστε τις οδηγίες στην κατάλληλη τοποθεσία Web για να ρυθμίσετε τις παραμέτρους του TLS 1,2 στο κόκκινο καπέλο σας ή στο περιβάλλον Apache .

Διαχείριση προστασίας δεδομένων

Για να ενεργοποιήσετε τη διαχείριση προστασίας δεδομένων για να συνεργαστείτε με το TLS 1,2 για να δημιουργήσετε αντίγραφο ασφαλείας του cloud, ενεργοποιήστε αυτά τα βήματα στο διακομιστή Data Protection Manager.

Orchestrator

Μετά την εγκατάσταση των ενημερώσεων του Orchestrator, ρυθμίστε ξανά τις παραμέτρους της βάσης δεδομένων του Orchestrator χρησιμοποιώντας την υπάρχουσα βάση δεδομένων σύμφωνα με αυτές τις οδηγίες.