Σύνοψη
Αυτό το άρθρο περιγράφει τον τρόπο ενεργοποίησης του πρωτοκόλλου ασφάλειας επιπέδου μεταφοράς (TLS) έκδοσης 1.2 σε ένα περιβάλλον Microsoft System Center 2012 R2.
Περισσότερες πληροφορίες
Για να ενεργοποιήσετε το πρωτόκολλο TLS έκδοση 1.2 στο περιβάλλον του System Center, ακολουθήστε τα εξής βήματα:
-
Εγκαταστήστε ενημερώσεις από την έκδοση. Σημειώσεις
-
Εγκαταστήστε την πιο πρόσφατη συνάθροιση ενημερώσεων για όλα τα στοιχεία του System Center πριν από την εφαρμογή της Συνάθροισης ενημερώσεων 14.
-
Για τη Διαχείριση προστασίας δεδομένων και τη Διαχείριση εικονικών μηχανών, εγκαταστήστε τη Συνάθροιση ενημερώσεων 13.
-
Για αυτοματοποίηση διαχείρισης υπηρεσιών, εγκαταστήστε τη Συνάθροιση ενημερώσεων 7.
-
Για το System Center Orchestrator, εγκαταστήστε τη Συνάθροιση ενημερώσεων 8.
-
Για το Service Provider Foundation, εγκαταστήστε τη Συνάθροιση ενημερώσεων 12.
-
Για τη Διαχείριση υπηρεσιών, εγκαταστήστε τη Συνάθροιση ενημερώσεων 9.
-
-
-
Βεβαιωθείτε ότι το πρόγραμμα εγκατάστασης λειτουργεί όπως πριν από την εφαρμογή των ενημερώσεων. Για παράδειγμα, ελέγξτε εάν μπορείτε να εκκινήσετε την κονσόλα.
-
Αλλάξτε τις ρυθμίσεις παραμέτρων για να ενεργοποιήσετε το TLS 1.2.
-
Βεβαιωθείτε ότι εκτελούνται όλες οι απαιτούμενες υπηρεσίες SQL Server.
Εγκατάσταση ενημερώσεων
Ενημέρωση δραστηριότητας |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Βεβαιωθείτε ότι έχουν εγκατασταθεί όλες οι τρέχουσες ενημερώσεις ασφαλείας για τον Windows Server 2012 R2 |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2 |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Εγκατάσταση των απαιτούμενων ενημερώσεων του System Center 2012 R2 |
Ναι |
Όχι |
Ναι |
Ναι |
Όχι |
Όχι |
Ναι |
Βεβαιωθείτε ότι τα υπογεγραμμένα πιστοποιητικά CA είναι SHA1 ή SHA2 |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manager (SCVMM) 3 System Center Data Protection Manager (SCDPM) 4 System Center Orchestrator (SCO) 5 Service Management Automation (SMA) 6 Service Provider Foundation (SPF) 7 Service Manager (SM)
Αλλαγή ρυθμίσεων παραμέτρων
Ενημέρωση ρύθμισης παραμέτρων |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
|
Ρύθμιση στο System Center για χρήση μόνο του πρωτοκόλλου TLS 1.2 |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Ναι |
Όχι |
Ναι |
Ναι |
Όχι |
Όχι |
Όχι |
.NET Framework
Βεβαιωθείτε ότι το .NET Framework 4.6 είναι εγκατεστημένο σε όλα τα στοιχεία του System Center. Για να το κάνετε αυτό, ακολουθήστεαυτές τις οδηγίες.
Υποστήριξη TLS 1.2
Εγκαταστήστε την απαιτούμενη ενημέρωση SQL Server που υποστηρίζει TLS 1.2. Για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:
3135244 Υποστήριξη TLS 1.2 για το Microsoft SQL Server
Απαιτούμενες ενημερώσεις του System Center 2012 R2
SQL Server 2012 Native client 11.0 θα πρέπει να εγκατασταθεί σε όλα τα παρακάτω στοιχεία του System Center.
Στοιχείο |
Ρόλο |
Operations Manager |
Διακομιστής διαχείρισης και κονσόλες Web |
Διαχείριση εικονικών μηχανών |
(Δεν απαιτείται) |
Orchestrator |
Διακομιστής διαχείρισης |
Διαχείριση προστασίας δεδομένων |
Διακομιστής διαχείρισης |
Διαχείριση υπηρεσιών |
Διακομιστής διαχείρισης |
ανατρέξτε σε αυτήν την ιστοσελίδα του Κέντρου λήψης αρχείων της Microsoft.
Για να κάνετε λήψη και εγκατάσταση του Microsoft SQL Server 2012 Native Client 11.0,Για το System Center Operations Manager και το Service Manager, πρέπει να έχετε εγκατεστημένο το ODBC 11.0 ή το ODBC 13.0 σε όλους τους διακομιστές διαχείρισης.
Εγκαταστήστε τις απαιτούμενες ενημερώσεις του System Center 2012 R2 από το ακόλουθο άρθρο της Γνωσιακής βάσης:
4043306 Περιγραφή της συνάθροισης ενημερώσεων 14 για το Microsoft System Center 2012 R2
Στοιχείο |
2012 R2 |
Operations Manager |
Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Operations Manager |
Διαχείριση υπηρεσιών |
Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Service Manager |
Orchestrator |
Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Orchestrator |
Διαχείριση προστασίας δεδομένων |
Συνάθροιση ενημερώσεων 14 για το System Center 2012 R2 Data Protection Manager |
Σημείωση Βεβαιωθείτε ότι αναπτύσσετε τα περιεχόμενα του αρχείου και εγκαθιστάτε το αρχείο MSP στον αντίστοιχο ρόλο, εκτός από τη Διαχείριση προστασίας δεδομένων. Για τη Διαχείριση προστασίας δεδομένων, εγκαταστήστε το αρχείο .exe.
Πιστοποιητικά SHA1 και SHA2
Τα στοιχεία του System Center δημιουργούν πλέον αυτο-υπογεγραμμένα πιστοποιητικά SHA1 και SHA2. Αυτό απαιτείται για την ενεργοποίηση του TLS 1.2. Εάν χρησιμοποιούνται πιστοποιητικά με υπογραφή CA, βεβαιωθείτε ότι τα πιστοποιητικά είναι SHA1 ή SHA2.
Ρύθμιση των Windows ώστε να χρησιμοποιούν μόνο TLS 1.2
Χρησιμοποιήστε μία από τις παρακάτω μεθόδους για να ρυθμίσετε τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2.
Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου
Σημαντικό: Ακολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.
Ακολουθήστε τα παρακάτω βήματα για να ενεργοποιήσετε/απενεργοποιήσετε όλα τα πρωτόκολλα SCHANNEL σε όλο το σύστημα. Συνιστάται να ενεργοποιήσετε το πρωτόκολλο TLS 1.2 για εισερχόμενες επικοινωνίες και να ενεργοποιήσετε τα πρωτόκολλα TLS 1.2, TLS 1.1 και TLS 1.0 για όλες τις εξερχόμενες επικοινωνίες.
Σημείωση Η πραγματοποίηση αυτών των αλλαγών μητρώου δεν επηρεάζει τη χρήση πρωτοκόλλων Kerberos ή NTLM.
-
Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, επιλέξτε OK.
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Κάντε δεξί κλικ στο πλήκτρο Protocol , τοποθετήστε το δείκτη του ποντικιού στην επιλογή Δημιουργία και, στη συνέχεια, κάντε κλικ στην επιλογή Πλήκτρο.
-
Πληκτρολογήστε SSL 3 και, στη συνέχεια, πατήστε το πλήκτρο Enter.
-
Επαναλάβετε τα βήματα 3 και 4 για να δημιουργήσετε κλειδιά για τα TLS 0, TLS 1.1 και TLS 1.2. Αυτά τα πλήκτρα μοιάζουν με καταλόγους.
-
Δημιουργήστε ένα κλειδί υπολογιστή-πελάτη και ένα κλειδί διακομιστή κάτω από κάθε ένα από τα κλειδιά SSL 3, TLS 1.0, TLS 1.1 και TLS 1.2 .
-
Για να ενεργοποιήσετε ένα πρωτόκολλο, δημιουργήστε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:
DisabledByDefault [Τιμή = 0]
Ενεργοποιήθηκε [Τιμή = 1] Για να απενεργοποιήσετε ένα πρωτόκολλο, αλλάξτε την τιμή DWORD κάτω από κάθε κλειδί υπολογιστή-πελάτη και διακομιστή ως εξής:DisabledByDefault [Τιμή = 1]
Ενεργοποιήθηκε [Τιμή = 0] -
Στο μενού Αρχείο , επιλέξτε Έξοδος.
Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου
Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους των Windows ώστε να χρησιμοποιούν μόνο το πρωτόκολλο TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Ρύθμιση του System Center ώστε να χρησιμοποιεί μόνο TLS 1.2
Ρυθμίστε το System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2. Για να το κάνετε αυτό, βεβαιωθείτε πρώτα ότι πληρούνται όλες οι προϋποθέσεις. Στη συνέχεια, ρυθμίστε τις παραμέτρους των ακόλουθων ρυθμίσεων στα στοιχεία του System Center και σε όλους τους άλλους διακομιστές στους οποίους είναι εγκατεστημένοι οι παράγοντες.
Χρησιμοποιήστε μία από τις παρακάτω μεθόδους.
Μέθοδος 1: Μη αυτόματη τροποποίηση του μητρώου
Σημαντικό: Ακολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.
Για να ενεργοποιήσετε την εγκατάσταση ώστε να υποστηρίζει το πρωτόκολλο TLS 1.2, ακολουθήστε τα παρακάτω βήματα:
-
Εκκινήστε τον Επεξεργαστή Μητρώου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κουμπί Έναρξη, πληκτρολογήστεregedit στο πλαίσιο Εκτέλεση και, στη συνέχεια, επιλέξτε OK.
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
SchUseStrongCrypto [Τιμή = 1]
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Δημιουργήστε την ακόλουθη τιμή DWORD κάτω από αυτό το κλειδί:
SchUseStrongCrypto [Τιμή = 1]
-
Επανεκκινήστε το σύστημα.
Μέθοδος 2: Αυτόματη τροποποίηση του μητρώου
Εκτελέστε την ακόλουθη δέσμη ενεργειών Windows PowerShell σε λειτουργία διαχειριστή για να ρυθμίσετε αυτόματα τις παραμέτρους του System Center ώστε να χρησιμοποιεί μόνο το πρωτόκολλο TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Πρόσθετες ρυθμίσεις
Operations Manager
Πακέτα διαχείρισης
Εισαγάγετε τα πακέτα διαχείρισης για το System Center 2012 R2 Operations Manager. Αυτά βρίσκονται στον ακόλουθο κατάλογο μετά την εγκατάσταση της ενημέρωσης διακομιστή:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs για συναθροίσεις ενημερώσεων
Ρυθμίσεις ACS
Για τις Υπηρεσίες συλλογής ελέγχου (ACS), πρέπει να κάνετε πρόσθετες αλλαγές στο μητρώο. Το ACS χρησιμοποιεί το DSN για να κάνει συνδέσεις με τη βάση δεδομένων. Πρέπει να ενημερώσετε τις ρυθμίσεις DSN ώστε να λειτουργούν για το TLS 1.2.
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί για ODBC στο μητρώο.
Σημείωση Το προεπιλεγμένο όνομα του DSN είναι OpsMgrAC. -
Στο δευτερεύον κλειδί προέλευσης δεδομένων ODBC , επιλέξτε την καταχώρηση για το όνομα DSN, OpsMgrAC. Αυτό περιέχει το όνομα του προγράμματος οδήγησης ODBC που θα χρησιμοποιηθεί για τη σύνδεση βάσης δεδομένων. Εάν έχετε εγκατεστημένο το ODBC 11.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 11 για SQL Server. Εναλλακτικά, εάν έχετε εγκαταστήσει το ODBC 13.0, αλλάξτε αυτό το όνομα σε Πρόγραμμα οδήγησης ODBC 13 για SQL Server.
-
Στο δευτερεύον κλειδί OpsMgrAC , ενημερώστε την καταχώρηση Πρόγραμμα οδήγησης για την έκδοση ODBS που είναι εγκατεστημένη.
-
Εάν είναι εγκατεστημένο το ODBC 11.0, αλλάξτε την καταχώρηση του προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql11.dll.
-
Εάν είναι εγκατεστημένο το ODBC 13.0, αλλάξτε την καταχώρηση προγράμματος οδήγησης σε %WINDIR%\system32\msodbcsql13.dll.
-
Εναλλακτικά, δημιουργήστε και αποθηκεύστε το ακόλουθο αρχείο .reg στο Σημειωματάριο ή σε κάποιο άλλο πρόγραμμα επεξεργασίας κειμένου. Για να εκτελέσετε το αποθηκευμένο αρχείο .reg, κάντε διπλό κλικ στο αρχείο.
Για ODBC 11.0, δημιουργήστε το ακόλουθο αρχείο ODBC 11.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 11 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Για ODBC 13.0, δημιουργήστε το ακόλουθο αρχείο ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Προελεύσεις δεδομένων ODBC] "OpsMgrAC"="Πρόγραμμα οδήγησης ODBC 13 για SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Σκλήρυνση TLS σε Linux
Ακολουθήστε τις οδηγίες στην κατάλληλη τοποθεσία Web για να ρυθμίσετε τις παραμέτρους του TLS 1.2 στο περιβάλλον Red Hat ή Apache .
Διαχείριση προστασίας δεδομένων
Για να ενεργοποιήσετε τη Διαχείριση προστασίας δεδομένων για να συνεργαστείτε με το TLS 1.2 για να δημιουργήσετε αντίγραφα ασφαλείας στο cloud, ενεργοποιήστε αυτά τα βήματα στο διακομιστή Διαχείρισης προστασίας δεδομένων.
Orchestrator
Μετά την εγκατάσταση των ενημερώσεων του Orchestrator, ρυθμίστε εκ νέου τη βάση δεδομένων orchestrator χρησιμοποιώντας την υπάρχουσα βάση δεδομένων σύμφωνα με αυτές τις οδηγίες.
Διαχείριση υπηρεσιών
Πριν από την εγκατάσταση των ενημερώσεων του Service Manager, εγκαταστήστε τα απαιτούμενα πακέτα και ρυθμίστε εκ νέου τις τιμές κλειδιού μητρώου, όπως περιγράφεται στην ενότητα οδηγιών "Πριν από την εγκατάσταση" του KB 4024037.
Επίσης, αν παρακολουθείτε το System Center Service Manager χρησιμοποιώντας το System Center Operations Manager, κάντε ενημέρωση στην τελευταία έκδοση (v 7.5.7487.89) του Πακέτου διαχείρισης παρακολούθησης για υποστήριξη TLS 1.2.
Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA)
Εάν παρακολουθείτε την Αυτοματοποίηση διαχείρισης υπηρεσιών (SMA) χρησιμοποιώντας το System Center Operations Manager, κάντε ενημέρωση στην πιο πρόσφατη έκδοση του Πακέτου διαχείρισης παρακολούθησης για υποστήριξη TLS 1.2:
Αποποίηση ευθυνών επικοινωνίας τρίτου
Η Microsoft παρέχει στοιχεία επικοινωνίας τρίτων κατασκευαστών για να σας βοηθήσει να βρείτε πρόσθετες πληροφορίες σχετικά με αυτό το θέμα. Αυτές οι πληροφορίες επικοινωνίας ενδέχεται να αλλάξουν χωρίς προειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.