Resumen

En este artículo se describe cómo habilitar el protocolo de seguridad de la capa de transporte (TLS) versión 1.2 en un entorno de Microsoft System Center 2012 R2.

Más información

Para habilitar el protocolo TLS versión 1.2 en su entorno de System Center, siga estos pasos:

  1. Instala las actualizaciones de la versión.

    Notas

    • Instale el paquete acumulativo de actualizaciones más reciente para todos los componentes System Center antes de aplicar Update Rollup 14.

  2. Asegúrate de que la configuración sea tan funcional como antes de aplicar las actualizaciones. Por ejemplo, comprueba si puedes iniciar la consola.

  3. Cambie las opciones de configuración para habilitar TLS 1.2.

  4. Asegúrese de que se están ejecutando todos los servicios de SQL Server necesarios.


Instalar actualizaciones

Actividad de actualización

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Asegúrate de que todas las actualizaciones de seguridad actuales estén instaladas para Windows Server 2012 R2

Asegúrese de que .NET Framework 4.6 está instalado en todos los componentes System Center

Instalar la actualización SQL Server necesaria que admita TLS 1.2

Instalar las actualizaciones necesarias de System Center 2012 R2

No

Yes

No

No

Yes

Asegúrese de que los certificados firmados por la CA sean SHA1 o SHA2


1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)


Cambiar la configuración

Actualización de configuración

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Configuración de Windows para usar solo el protocolo TLS 1.2

Configuración de System Center para usar solo el protocolo TLS 1.2

Configuración adicional

No

Yes

No

No

No


.NET Framework 

Asegúrese de que .NET Framework 4.6 está instalado en todos los componentes System Center. Para ello, sigueestas instrucciones.

Compatibilidad con TLS 1.2

Instale la actualización de SQL Server necesaria que admita TLS 1.2. Para ello, consulte el siguiente artículo en Microsoft Knowledge Base:

3135244 Compatibilidad con TLS 1.2 para Microsoft SQL Server


Actualizaciones necesarias de System Center 2012 R2

SQL Server 2012 Native Client 11.0 debe instalarse en todos los siguientes componentes de System Center.

Componente

Papel

Operations Manager

Servidor de administración y consolas web

Virtual Machine Manager

(No es necesario)

Orchestrator

Servidor de administración

Data Protection Manager

Servidor de administración

Service Manager

Servidor de administración


Para descargar e instalar Microsoft SQL Server 2012 Native Client 11.0, consulta esta página web del Centro de descarga de Microsoft.

Para System Center Operations Manager y Service Manager, debe tener ODBC 11.0 u ODBC 13.0 instalados en todos los servidores de administración.

Instale las actualizaciones necesarias de System Center 2012 R2 desde el siguiente artículo de Knowledge Base:

4043306 Descripción del paquete acumulativo de actualizaciones 14 para Microsoft System Center 2012 R2
 

Componente

2012 R2

Operations Manager

Actualizar el paquete acumulativo 14 para System Center 2012 R2 Operations Manager

Service Manager

Actualizar el paquete acumulativo de actualizaciones 14 para System Center 2012 R2 Service Manager

Orchestrator

Actualizar paquete acumulativo 14 para System Center 2012 R2 Orchestrator

Data Protection Manager

Actualizar el paquete acumulativo de actualizaciones 14 para System Center 2012 R2 Data Protection Manager


Nota Asegúrese de expandir el contenido del archivo e instalar el archivo MSP en el rol correspondiente, excepto Data Protection Manager. Por Data Protection Manager, instale el archivo de .exe.

Certificados SHA1 y SHA2

System Center componentes generan ahora certificados autofirmados SHA1 y SHA2. Esto es necesario para habilitar TLS 1.2. Si se usan certificados firmados por una entidad de certificación, asegúrese de que los certificados sean SHA1 o SHA2.

Establecer Windows usar solo TLS 1.2

Use uno de los siguientes métodos para configurar Windows usar solo el protocolo TLS 1.2.

Método 1: Modificar manualmente el Registro

Importante: Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para la restauración en caso de que se produzcan problemas.

Usa los siguientes pasos para habilitar/deshabilitar todos los protocolos SCHANNEL de todo el sistema. Se recomienda habilitar el protocolo TLS 1.2 para las comunicaciones entrantes y habilitar los protocolos TLS 1.2, TLS 1.1 y TLS 1.0 para todas las comunicaciones salientes.

Nota Realizar estos cambios en el registro no afecta al uso de protocolos Kerberos o NTLM.

  1. Inicie el Editor del Registro. Para ello, haga clic con el botón derecho en Inicio, escriba regedit en el cuadro Ejecutar y, después, seleccione Aceptar.

  2. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Haga clic con el botón derecho en la tecla Protocolo , seleccione Nuevo y, después, haga clic en Clave.

    Registro

  4. Escriba SSL 3 y presione Entrar.

  5. Repita los pasos 3 y 4 para crear claves para TLS 0, TLS 1.1 y TLS 1.2. Estas claves se parecen a directorios.

  6. Cree una clave de cliente y una clave de servidor en cada una de las claves de SSL 3, TLS 1.0, TLS 1.1 y TLS 1.2 .

  7. Para habilitar un protocolo, cree el valor DWORD en cada clave de cliente y servidor como se indica a continuación:

    DisabledByDefault [Valor = 0]
    Habilitado [Valor = 1]
    Para deshabilitar un protocolo, cambie el valor DWORD en cada clave de cliente y servidor de la siguiente manera:

    DisabledByDefault [Valor = 1]
    Habilitado [Valor = 0]

  8. En el menú Archivo , seleccione Salir.


Método 2: Modificar automáticamente el registro

Ejecute el siguiente script de Windows PowerShell en modo administrador para configurar automáticamente Windows usar solo el protocolo TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Establecer System Center usar solo TLS 1.2

Establezca System Center usar solo el protocolo TLS 1.2. Para ello, asegúrese primero de que se cumplan todos los requisitos previos. A continuación, configure las siguientes opciones en System Center componentes y en todos los demás servidores en los que están instalados los agentes.

Utilice uno de los métodos siguientes.

Método 1: Modificar manualmente el Registro

Importante: Siga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes de modificarlo, realice una copia de seguridad del Registro para la restauración en caso de que se produzcan problemas.

Para habilitar la instalación para que admita el protocolo TLS 1.2, siga estos pasos:

  1. Inicie el Editor del Registro. Para ello, haga clic con el botón derecho en Inicio, escriba regedit en el cuadro Ejecutar y, después, seleccione Aceptar.

  2. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Cree el siguiente valor DWORD en esta clave:

    SchUseStrongCrypto [Valor = 1]

  4. Busque la siguiente subclave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Cree el siguiente valor DWORD en esta clave:

    SchUseStrongCrypto [Valor = 1]

  6. Reinicia el sistema.


Método 2: Modificar automáticamente el registro

Ejecute el siguiente script de Windows PowerShell en modo administrador para configurar automáticamente System Center usar solo el protocolo TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Configuración adicional

Operations Manager

Módulos de administración

Importe los módulos de administración de System Center 2012 R2 Operations Manager. Estos se encuentran en el siguiente directorio después de instalar la actualización del servidor:

\Archivos de programa\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs para Update Rollups

Configuración de ACS

Para servicios de recopilación de auditoría (ACS), debe realizar cambios adicionales en el Registro. ACS utiliza el DSN para realizar conexiones a la base de datos. Debe actualizar la configuración del DSN para que funcione con TLS 1.2.

  1. Busque la siguiente subclave de ODBC en el Registro.

    Nota El nombre predeterminado de DSN es OpsMgrAC.

    ODBC.INI subclave

  2. En la subclave Orígenes de datos ODBC , seleccione la entrada para el nombre de DSN, OpsMgrAC. Contiene el nombre del controlador ODBC que se usará para la conexión de base de datos. Si tiene ODBC 11.0 instalado, cambie este nombre a Controlador ODBC 11 para SQL Server. O bien, si tiene ODBC 13.0 instalado, cambie este nombre a Controlador ODBC 13 para SQL Server.

    Subclave Orígenes de datos ODBC

  3. En la subclave OpsMgrAC , actualice la entrada Driver para la versión de ODBS instalada.

    Subclave OpsMgrAC

    • Si está instalado ODBC 11.0, cambie la entrada Driver a %WINDIR%\system32\msodbcsql11.dll.

    • Si está instalado ODBC 13.0, cambie la entrada Driver a %WINDIR%\system32\msodbcsql13.dll.

    • Como alternativa, cree y guarde el siguiente archivo .reg en Bloc de notas u otro editor de texto. Para ejecutar el archivo .reg guardado, haga doble clic en el archivo.

      Para ODBC 11.0, cree el siguiente archivo ODBC 11.0.reg:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Orígenes de datos ODBC] "OpsMgrAC"="Odbc Driver 11 para SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Para ODBC 13.0, cree el siguiente archivo ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Orígenes de datos ODBC] "OpsMgrAC"="Odbc Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Protección tls en Linux

Siga las instrucciones del sitio web adecuado para configurar TLS 1.2 en su entorno de Red Hat o Apache .

Data Protection Manager

Para permitir que Data Protection Manager funcionen conjuntamente con TLS 1.2 para hacer copias de seguridad en la nube, habilite estos pasos en el servidor Data Protection Manager.

Orchestrator

Después de instalar las actualizaciones del organizador, vuelve a configurar la base de datos del organizador usando la base de datos existente de acuerdo con estas directrices.

Service Manager

Antes de instalar las actualizaciones de Service Manager, instala los paquetes necesarios y vuelve a configurar los valores de clave del Registro, como se describe en la sección de instrucciones "Antes de la instalación" de kb 4024037.

Además, si supervisa la System Center Service Manager mediante System Center Operations Manager, actualice a la versión más reciente (v 7.5.7487.89) del Módulo de administración de supervisión para compatibilidad con TLS 1.2:

Módulo de administración de Microsoft System Center para System Center Service Manager

Automatización de la administración de servicios (SMA)

Si supervisa Service Management Automation (SMA) con System Center Operations Manager, actualice a la versión más reciente del Módulo de administración de supervisión para la compatibilidad con TLS 1.2:

Módulo de administración de System Center para System Center 2012 R2 Orchestrator: Automatización de la administración de servicios

Declinación de responsabilidad sobre la información de contacto de terceros

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

Ampliar sus conocimientos

Explorar los cursos >

Obtener nuevas características primero

Unirse a Microsoft Insider >

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×