Guía de implementación de compatibilidad con protocolo de Windows Azure TLS 1.2 Pack

Se aplica a: Azure

Resumen


En este artículo se describe cómo implementar el protocolo de TLS 1.2 en Windows Azure Pack.

Requisitos previos


Los siguientes son requisitos previos para la compatibilidad con el protocolo TLS 1.2 en Windows Azure Pack:

  1. En Windows Server R2 de 2012, realice lo siguiente:  
    • Actualizar la instalación de Microsoft.NET Framework 3.5. Para ello, consulte el siguiente artículo en Microsoft Knowledge Base:
      3154520 Soporte para TLS predeterminado versiones del sistema incluidas en.NET Framework 3.5 en Windows 8.1 y Windows Server R2 de 2012
    • Instale todas las actualizaciones importantes para la versión 4.5 de.NET Framework.x a través de Windows Update.
  2. Instalar la actualización de compatibilidad de protocolo SQL Server TLS 1.2 requerida. Para ello, consulte el siguiente artículo en Microsoft Knowledge Base:
    3135244 Soporte de TLS 1.2 para Microsoft SQL Server

    Nota Protocolo TLS 2 admite sólo los certificados SHA1 y SHA2. Por lo tanto, todos los certificados deben actualizarse para ser SHA1 o SHA2.

  3. Configure los valores necesarios para admitir el protocolo TLS 1.2. Para ello, consulte el "paquete de configuración de Windows Azure para admitir TLS 1.2 protocolo" sección. Nota Estas opciones deben configurarse en los sistemas que ejecutan el paquete de Windows Azure.

Reforzar el sistema para utilizar el protocolo TLS 1.2


Utilice uno de los métodos siguientes.

Método 1: Modificar manualmente el registro

ImportanteSiga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes, modificarla, copia de seguridad del registro de restauración en caso de producirse problemas.

Utilice los pasos siguientes para habilitar o deshabilitar todos los protocolos SCHANNEL para todo el sistema. Le recomendamos que habilite el protocolo TLS 1.2 para las comunicaciones entrantes y los protocolos TLS 1.0, TLS 1.1 y 1.2 de TLS para todas las comunicaciones salientes.

Nota Estos cambios del registro no afectan el uso de protocolos de Kerberos o NTLM.

  1. Inicie el Editor del Registro. Para ello, haga clic en Inicio, escriba regedit en el cuadro Ejecutar y, a continuación, haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Haga clic en la clave de protocolo , seleccione nuevoy, a continuación, haga clic en clave.
  4. Escriba 3 de SSLy, a continuación, presione ENTRAR.
  5. Repita los pasos 3 y 4 para crear claves para TLS 0, TLS 1.1 y 1.2 de TLS. Estas claves son similares a los directorios.
  6. Crear una clave de cliente y un servidor en cada uno de los 3 de SSL, TLS 1.0, TLS 1.1y 1.2 de TLS claves.
  7. Para habilitar un protocolo, cree el valor DWORD bajo la clave de cada cliente y el servidor de la siguiente manera:
    DisabledByDefault [valor = 0] Habilitado [valor = 1]
    Para deshabilitar un protocolo, cambie el valor DWORD bajo la clave de cada cliente y el servidor de la siguiente manera:
    DisabledByDefault [valor = 1] Habilitado [valor = 0]
  8. En el menú Archivo, haga clic en Salir.

Método 2: Modificar automáticamente el registro

  • En Windows Server 2012 R2, ejecute la secuencia de comandos de PowerShell ComputerSchannelSettings.ps1 de actualización en modo de administrador.
  • En Windows 10 y versiones posteriores, ejecute los archivos SslProtocols.reg y SslCipherSuites4win10orlater.reg del registro en modo de administrador.

Nota Estos archivos están contenidos en el archivo TLS1.2.zip que está disponible en la Galería de TechNet.

Configuración de paquete de Windows Azure para admitir el protocolo TLS 1.2


Utilice uno de los métodos siguientes.

Método 1: Modificar manualmente el registro

ImportanteSiga atentamente los pasos de esta sección. La modificación incorrecta del Registro puede producir graves problemas. Antes, modificarla, copia de seguridad del registro de restauración en caso de producirse problemas.

Para habilitar la instalación de Windows Azure Pack en el sistema para admitir el protocolo TLS 1.2, siga estos pasos:

  1. Inicie el Editor del Registro. Para ello, haga clic en Inicio, escriba regedit en el cuadro Ejecutar y, a continuación, haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  3. Cree el siguiente valor DWORD bajo esta clave:
    SchUseStrongCrypto [valor = 1]
  4. Busque la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
  5. Cree el siguiente valor DWORD bajo esta clave:
    SchUseStrongCrypto [valor = 1]
  6. Reinicie el sistema.

Método 2: Modificar automáticamente el registro

  • Ejecute el archivo de registro de SchUseStrongCrypto.reg en modo de administrador.

Nota Este archivo se encuentra en el archivo TLS1.2.zip que está disponible en la Galería de TechNet.