Resumen

En este artículo se describe cómo habilitar la versión 1,2 del protocolo seguridad de la capa de transporte (TLS) en un entorno Microsoft System Center 2016.

Más información

Para habilitar la versión 1,2 del protocolo TLS en el entorno de System Center, siga estos pasos:

  1. Instale las actualizaciones de la versión. Notas

    • La automatización de administración de servicios (SMA) y el proveedor de servicios (SPF) deben actualizarse a su paquete acumulativo de actualizaciones más reciente porque UR4 no tiene ninguna actualización de estos componentes.

    • Para la automatización de administración de servicios (SMA), actualice a Update Rollup 1y también actualiceel módulo de administración de SMA (MP) de esta página web del centro de descarga de Microsoft.

    • Para Service Provider Foundation (SPF), Actualícese a Update Rollup 2.

    • System Center Virtual Machine Manager (SCVMM) debería actualizarse al menos con el paquete acumulativo de actualizaciones 3.

  2. Asegúrese de que la configuración es tan funcional como era antes de aplicar las actualizaciones. Por ejemplo, verifique si puede iniciar la consola.

  3. Cambie las Opciones de configuración para habilitar TLS 1,2.

  4. Asegúrese de que todos los servicios de SQL Server necesarios se estén ejecutando.

Instalar actualizaciones

Actividad de actualización

SCOM1

SCVMM1

SCDPM2

SCOcuatro

SMA4

SPF6

SMsiete

Asegúrese de que todas las actualizaciones de seguridad actuales están instaladas para windows Server 2012 R2 o windows Server 2016 

Asegúrese de que .NET Framework 4,6 está instalado en todos los componentes de System Center

 

 

Instale la actualización de SQL Server necesaria que admita TLS 1,2

Instalar las actualizaciones de System Center 2016 requeridas

No

No

No

Asegúrese de que los certificados firmados por la CA son SHA1 o SHA2

1 System Center Operations Manager (SCOM) 1 System Center Virtual Machine Manager (SCVMM) 2 System Center Data Protection Manager (SCDPM) cuatro System Center Orchestrator (SCO) 4 Automatización de administración de servicios (SMA) 6 Base de proveedores de servicios (SPF) siete Administrador de servicios (SM)

Cambiar las opciones de configuración

Actualización de configuración

SCOM1

SCVMM1

SCDPM2

SCOcuatro

SMA4

SPF6

SMsiete

Configuración en Windows para usar solo el protocolo TLS 1,2

Configuración en System Center para usar solo el protocolo TLS 1,2

Configuración adicional

No

No

No

No

.NET Framework 

Asegúrese de que .NET Framework 4,6 está instalado en todos los componentes de System Center. Para ello, sigaestas instrucciones.

Compatibilidad con TLS 1,2

Instale la actualización de SQL Server necesaria que admita TLS 1,2. Para ello, consulte el siguiente artículo en Microsoft Knowledge Base:

3135244 Compatibilidad con TLS 1,2 para Microsoft SQL Server

Actualizaciones de System Center 2016 obligatorias

SQL Server 2012 Native Client 11,0 debe instalarse en todos los siguientes componentes de System Center.

Componente

FUNC

Controlador SQL requerido

Operations Manager

Servidor de administración y consolas Web

SQL Server 2012 Native Client 11,0 o Microsoft OLE DB driver 18 for SQL Server (recomendado).

Nota El controlador de Microsoft OLE DB 18 para SQL Server es compatible con Operations Manager 2016 UR9 y versiones posteriores.

Virtual Machine Manager

(No es obligatorio)

(No es obligatorio)

Orchestrator

Servidor de administración

SQL Server 2012 Native Client 11,0 o Microsoft OLE DB driver 18 for SQL Server (recomendado).

Nota El controlador de Microsoft OLE DB 18 para SQL Server es compatible con Orchestrator 2016 UR8 y versiones posteriores.

Data Protection Manager

Servidor de administración

Cliente nativo de SQL Server 2012 11,0

Service Manager

Servidor de administración

SQL Server 2012 Native Client 11,0 o Microsoft OLE DB driver 18 for SQL Server (recomendado).

Nota El controlador de Microsoft OLE DB 18 para SQL Server es compatible con Service Manager 2016 UR9 y versiones posteriores.

Para descargar e instalar Microsoft SQL Server 2012 Native Client 11,0, consulte esta página web del centro de descarga de Microsoft.

Para descargar e instalar el controlador de OLE DB de Microsoft 18, consulte la página web del centro de descarga de Microsoft.

Para System Center Operations Manager y Service Manager, debe tener instalado odbc 11,0 o ODBC 13,0 en todos los servidores de administración.

Instale las actualizaciones de System Center 2016 necesarias del siguiente artículo de Knowledge Base:

4043305 Descripción de Update Rollup 4 para Microsoft System Center 2016  

Componente

2016

Operations Manager

Paquete acumulativo de actualizaciones 4 para System Center 2016 Operations Manager

Service Manager

Paquete acumulativo de actualizaciones 4 para System Center 2016 Service Manager

Orchestrator

Paquete acumulativo de actualizaciones 4 para System Center 2016 Orchestrator

Data Protection Manager

Paquete acumulativo de actualizaciones 4 para System Center 2016 administrador de protección de datos

Nota Asegúrese de expandir el contenido del archivo e instalar el archivo MSP en el rol correspondiente.

Certificados SHA1 y SHA2

Los componentes de System Center ahora generan certificados autofirmados SHA1 y SHA2. Esto es necesario para habilitar TLS 1,2. Si se usan certificados firmados por la CA, asegúrese de que los certificados son SHA1 o SHA2.

Configurar Windows para que solo use TLS 1,2

Use uno de los métodos siguientes para configurar Windows de tal fin que use únicamente el protocolo TLS 1,2.

Método 1: modificar manualmente el registro

Importante Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del registro para la restauración en caso de que se produzcan problemas.

Siga estos pasos para habilitar o deshabilitar todos los protocolos de SCHANNEL en todo el sistema. Le recomendamos que habilite el protocolo TLS 1,2 para las comunicaciones entrantes; y habilitar los protocolos TLS 1,2, TLS 1,1 y TLS 1,0 para todas las comunicaciones salientes.

Nota La realización de estos cambios en el registro no afecta al uso de los protocolos Kerberos o NTLM.

  1. Inicie el Editor del Registro. Para ello, haga clic con el botón derecho en Inicio, escriba regedit en el cuadro Ejecutar y, a continuación, haga clic en Aceptar.

  2. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Haga clic con el botón secundario en la clave de Protocolo , seleccione nuevoy, a continuación, haga clic en clave. Registro

  4. Escriba SSL 3y, a continuación, presione Entrar.

  5. Repita los pasos 3 y 4 para crear claves para TLS 0, TLS 1,1 y TLS 1,2. Estas teclas se parecen a directorios.

  6. Crear una clave de cliente y una clave de servidor debajo de cada una de las claves SSL 3, tls 1,0, TLS 1,1y TLS 1,2 .

  7. Para habilitar un protocolo, cree el valor DWORD en cada una de las claves de servidor y cliente de la siguiente manera:

    DisabledByDefault [value = 0] Enabled [valor = 1] Para deshabilitar un protocolo, cambie el valor DWORD en cada cliente y clave de servidor de la siguiente manera:

    DisabledByDefault [valor = 1] Enabled [value = 0]

  8. En el menú Archivo, haga clic en Salir.

Método 2: modificar automáticamente el registro

Ejecute el siguiente script de Windows PowerShell en el modo de administrador para configurar automáticamente Windows de modo que solo use el protocolo TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Establecer System Center para usar solo TLS 1,2

Establezca System Center para usar solo el protocolo TLS 1,2. Para ello, primero asegúrese de que se cumplan todos los requisitos previos. Después, realice la siguiente configuración en los componentes del centro de sistemas y en todos los demás servidores en los que estén instalados los agentes.

Utilice uno de los métodos siguientes.

Método 1: modificar manualmente el registro

Importante Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del registro para la restauración en caso de que se produzcan problemas.

Para habilitar la instalación de compatibilidad con el protocolo TLS 1,2, siga estos pasos:

  1. Inicie el Editor del Registro. Para ello, haga clic con el botón derecho en Inicio, escriba regedit en el cuadro Ejecutar y, a continuación, haga clic en Aceptar.

  2. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Cree el valor DWORD siguiente en esta clave:

    SchUseStrongCrypto [valor = 1]

  4. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Cree el valor DWORD siguiente en esta clave:

    SchUseStrongCrypto [valor = 1]

  6. Reinicie el sistema.

Método 2: modificar automáticamente el registro

Ejecute el siguiente script de Windows PowerShell en el modo de administrador para configurar automáticamente System Center de modo que use solo el protocolo TLS 1,2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Configuración adicional

Operations Manager

Módulos de administración

Importe los paquetes de administración para System Center 2016 Operations Manager. Se encuentran en el siguiente directorio después de instalar la actualización del servidor:

\Archivos de Programa\microsoft System Center 2016 \ Operations Manager\Server\Management packs para obtener paquetes acumulativos de actualizaciones

Configuración de ACS

Para los servicios de recopilación de auditorías (ACS), debe realizar cambios adicionales en el registro. ACS usa el DSN para establecer conexiones a la base de datos. Debe actualizar la configuración de DSN para que sean funcionales para TLS 1,2.

  1. Busque la siguiente subclave de ODBC en el registro. Nota El nombre predeterminado de DSN es OpsMgrAC. ODBC. Subclave INI

  2. En la subclave de orígenes de datos ODBC , seleccione la entrada del nombre de DSN OpsMgrAC. Contiene el nombre del controlador ODBC que se utilizará para la conexión de la base de datos. Si tiene instalado ODBC 11,0, cambie este nombre por el controlador ODBC 11 para SQL Server. O bien, si tiene instalado ODBC 13,0, cambie este nombre por el controlador ODBC 13 para SQL Server. Subclave de orígenes de datos ODBC

  3. En la subclave OpsMgrAC , actualice la entrada del controlador correspondiente a la versión ODBS que está instalada. Subclave de OpsMgrAC

    • Si ODBC 11,0 está instalado, cambie la entrada del controlador a %WINDIR%\system32\msodbcsql11.dll.

    • Si ODBC 13,0 está instalado, cambie la entrada del controlador a %WINDIR%\system32\msodbcsql13.dll.

    • También puede crear y guardar el siguiente archivo. reg en el Bloc de notas u otro editor de texto. Para ejecutar el archivo. reg guardado, haga doble clic en el archivo. Para odbc 11,0, cree el siguiente archivo. reg de ODBC 11.0:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Para odbc 13,0, cree el siguiente archivo 13.0. reg de ODBC:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Refuerzo de TLS en Linux

Siga las instrucciones del sitio web adecuado para configurar TLS 1,2 en su entorno de Red Hat o Apache .

Data Protection Manager

Para habilitar administrador de protección de datos para que funcione conjuntamente con TLS 1,2 para realizar una copia de seguridad en la nube, habilite estos pasos en el servidor administrador de protección de datos.

Orchestrator

Después de instalar las actualizaciones de Orchestrator, vuelva a configurar la base de datos de Orchestrator con la base de datos existente de acuerdo con estas pautas.

 

Declinación de responsabilidad sobre la información de contacto de terceros

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×