TLS 1.2 protokolli toe juurutusjuhendi System Center 2012 R2

Kokkuvõte

Selles artiklis kirjeldatakse, kuidas lubada transpordikihi turbe (TLS) protokolli versiooni 1.2 Microsoft System Center 2012 R2 keskkonnas.

Lisateabe saamiseks

TLS-i protokolli versiooni 1.2 System Center keskkonnas lubamiseks toimige järgmiselt.

Värskenduste installimiseks väljaandmist.

Märkused
- Installige uusim värskenduskomplekt kõik System Center komponentide enne värskenduse värskenduskomplekti 14.
  - Data Protection Manager ja Virtual Machine Manageri installimise värskenduste koondpakett 13.
  - Installige teenuse halduse automatiseerimine värskenduskomplekt 7.
  - System Center Orchestrator, installige värskenduskomplekt 8.
  - Service Provider Foundationi, installige värskendus, värskenduskomplekt 12.
  - Service Manager, installige värskenduskomplekti 9.
Veenduge, et installiprogramm on funktsionaalne, sest see oli enne rakendasite värskendused. Näiteks, kontrollige, kas saate käivitada konsool.
Muutke konfiguratsioonisätted lubamiseks TLS 1.2.
Veenduge, et kõik nõutavad töötab SQL Serveri teenuseid.

Värskenduste installimiseks

Värskendage tegevus	SCOM¹	SCVMM^2.	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Veenduge, et kõik praegused turvalisuse värskendused on installitud Windows Server 2012 R2	Jah	Jah	Jah	Jah	Jah	Jah	Jah
Veenduge, et kõik System Center komponendid on installitud .NET Frameworki 4.6	Jah	Jah	Jah	Jah	Jah	Jah	Jah
Installige SQL Server vajalik värskendus, mis toetab TLS 1.2	Jah	Jah	Jah	Jah	Jah	Jah	Jah
System Center 2012 R2 vajalikke värskendusi installida	Jah	Ei	Jah	Jah	Ei	Ei	Jah
Veenduge, et CA allkirjastanud serdid on SHA1 või SHA2	Jah	Jah	Jah	Jah	Jah	Jah	Jah

¹System Center Operations Manager (SCOM)
^2.System Center Virtual Machine Manager (scvmm-i)
³System Center Data Protection Manager (SCDPM)
⁴System Center Orchestrator (SCO)
⁵Teenuse halduse automatiseerimine (SMA)
⁶Service Provider Foundationi (SPF)
⁷Teenusehalduri (SM-i)

Muuda konfiguratsioonisätted

Võrgukonfiguratsiooni värskendamine	SCOM¹	SCVMM^2.	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Windows kasutab ainult TLS 1.2 protokolli säte	Jah	Jah	Jah	Jah	Jah	Jah	Jah
System Center sätteks kasutada ainult TLS 1.2 protokoll	Jah	Jah	Jah	Jah	Jah	Jah	Jah
Täiendavad sätted	Jah	Ei	Jah	Jah	Ei	Ei	Ei

.NET Framework

Veenduge, et kõik System Center komponendid on installitud .NET Frameworki 4.6. Selle tegemiseks järgigeneid juhiseid.

TLS 1.2 tugi

Installige SQL Server vajalik värskendus, mis toetab TLS 1.2. Selleks lugege järgmist Microsofti teabebaasi (Knowledge Base) artiklit:

3135244 TLS 1.2 Microsoft SQL serveri tugi

System Center 2012 R2 värskendusi vaja

SQL Server 2012 Native client 11.0 peaks olema installitud System Center kõik järgmised komponendid.

Komponent	Roll
Operations Manager	Haldusserver ja Web konsooli
Virtual Machine Manager	(Pole vaja)
Orchestrator	Management Server
Data Protection Manager	Management Server
Service Manager	Management Server

Laadige alla ja installige Microsoft SQL Server 2012 Native Client 11.0, vaadake seda Microsofti allalaadimiskeskuse veebilehele.

System Center Operations Manager ja Service Manager, peate ODBC 11.0 või ODBC 13,0 management serveritesse installida.

Vajalik System Center 2012 R2 värskendusi installida järgmist teabebaasi artiklit:

Microsoft System Center 2012 R2 värskenduskomplekti 14 4043306 kirjeldus

Komponent	2012 R2
Operations Manager	System Center 2012 R2 Operations Manager värskenduskomplekt 14
Service Manager	System Center 2012 R2 Service Manager värskenduskomplekt 14
Orchestrator	System Center 2012 R2 Orchestrator värskenduskomplekti 14
Data Protection Manager	System Center 2012 R2 Data Protection Manager värskenduskomplekt 14

Märkus. Veenduge, et faili sisu laiendada ja installida vastava rolli, välja arvatud Data Protection Manager MSP-faili. For Data Protection Manager .exe faili installida.

SHA1 ja SHA2 serdid

System Center komponentide nüüd luua SHA1 ja SHA2 iseallkirjastatud serdid. See on nõutav TLS 1.2. CA allkirjastatud sertifikaadid kasutamisel veenduge, et serdid on SHA1 või SHA2.

Seadke Windows kasutab ainult TLS 1.2

Windows kasutab TLS 1.2 protokolli konfigureerimiseks kasutage ühte järgmistest meetoditest.

1. meetod: Käsitsi muuta registri

NB!

Järgige hoolikalt selles jaotises toodud juhiseid. Registri valesti muutmine võib tekitada suuri probleeme. Enne muutmist registri taastamine kui peaks probleeme tekkima.

Et lubada või keelata kõik SCHANNELI Protokollid kogu süsteemi toimige järgmiselt. Soovitame lubada TLS 1.2 protokolli sissetulev side ja lubada kogu väljamineva side Protokollid TLS 1.2 ja TLS 1.1 TLS 1.0.

Märkus. Nende registri muutmist ei mõjuta Kerberose NTLM-protokollide kasutamist.

Käivitage registriredaktor. Selleks paremklõpsake Start, tippige regedit väljale Käivita ja seejärel klõpsake nuppu OK.
Otsige üles järgmine registri alamvõti:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Paremklõpsake protokolli võtit, Uusja klõpsake võtit.
Tippige SSL 3ja seejärel vajutage sisestusklahvi Enter.
Korrake juhiseid 3 ja 4 luua võtmed TLS 0, TLS 1.1 ja TLS 1.2. Need võtmed meenutavad kataloogid.
Looge on Kliendi ja serveri võti iga SSL 3, TLS 1.0ja TLS 1.1TLS 1.2 võtmed.
Protokolli lubamiseks looge DWORD-väärtus iga kliendi ja serveri võtme järgmiselt:

DisabledByDefault [väärtus = 0]
Lubatud [Value = 1]
Protokoll keelamiseks seadke DWORD-väärtus iga kliendi ja serveri võtme järgmiselt:

DisabledByDefault [Value = 1]
Lubatud [väärtus = 0]
Klõpsake menüü fail valige välju.

2. meetod: Registri automaatselt

Käivitage järgmine Windows PowerShelli skripti administraatoriõigustes automaatseks konfigureerimiseks kasutama ainult TLS 1.2 protokolli Windows:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Komplekt System Center kasutada ainult TLS 1.2

Komplekt System Centeri kasutamine TLS 1.2 protokolli. Selleks esmalt veenduge, et kõik eeltingimused on täidetud. Konfigureerige järgmised sätted System Center komponendid ja kõik muud serverid, kuhu on installitud agentidele.

Kasutage ühte järgmistest meetoditest.

1. meetod: Käsitsi muuta registri

NB!

Järgige hoolikalt selles jaotises toodud juhiseid. Registri valesti muutmine võib tekitada suuri probleeme. Enne muutmist registri taastamine kui peaks probleeme tekkima.

Installi toetama TLS 1.2 protokolli lubamiseks toimige järgmiselt.

Käivitage registriredaktor. Selleks paremklõpsake Start, tippige regedit väljale Käivita ja seejärel klõpsake nuppu OK.
Otsige üles järgmine registri alamvõti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Looge selle võtme järgmistest DWORD-väärtus.

SchUseStrongCrypto [Value = 1]
Otsige üles järgmine registri alamvõti:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Looge selle võtme järgmistest DWORD-väärtus.

SchUseStrongCrypto [Value = 1]
Süsteemi taaskäivitage.

2. meetod: Registri automaatselt

Käivitage järgmine Windows PowerShelli skripti administraatoriõigustes automaatseks konfigureerimiseks kasutama ainult TLS 1.2 protokolli System Center:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Täiendavad sätted

Operations Manager

Halduspaketid

Importige halduspaketid System Center 2012 R2 Operations Manager. Need asuvad järgmises kaustas serveri värskenduse installimist:

\Programmifailid\Microsoft system Center 2012 R2\Operations operatsioonihaldur värskenduskomplektide halduspaketid

ACS sätted

Jaoks Audit kogumine Services (ACS), peate tegema registris täiendavaid muudatusi. ACS kasutab ühendused andmebaasi DSN-i. DNS seaded TLS 1.2 funktsionaalne tegemiseks peate värskendama.

Otsige üles järgmine alamvõti ODBC registris.

Märkus. DSN vaikenimi on OpsMgrAC.
Valige ODBC andmeallikate alamvõtme DNS nimi OpsMgrAC. See loend sisaldab kasutatakse andmebaasi ühendus ODBC draiveri nime. Kui teil on installitud ODBC 11.0, muutke ODBC draiver 11 SQL serverinimi. Või kui teil on installitud ODBC 13,0, ODBC draiver 13 SQL Serverselle nime muuta.
Värskendage OpsMgrAC alamvõtme ODBS versioon, kuhu on installitud draiveri kirjet.
- Kui on installitud ODBC 11.0, muutke draiveri kirje %WINDIR%\system32\msodbcsql11.dll.
- Kui on installitud ODBC 13,0, muuta draiveri kirje %WINDIR%\system32\msodbcsql13.dll.
- Võite luua ja salvestada järgmisi REG-faili Notepad või muu tekstiredaktoriga. Salvestatud REG-faili käivitamiseks topeltklõpsake failil.
  
  ODBC 11.0luua ODBC 11.0.reg järgmine fail:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  ODBC 13,0luua ODBC 13.0.reg järgmine fail: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS kõvenemine Linux

Järgige juhiseid veebilehel konfigureerida TLS 1.2 Red Hat või Apache keskkonnas.

Data Protection Manager

Data Protection Manager koostööd TLS 1.2 pilve varundada lubamiseks lubama järgmist Data Protection Manager Server.

Orchestrator

Pärast selle Orchestrator värskendused on installitud, konfigureerige Orchestrator andmebaasi olemasoleva andmebaasi nendejuhiste abil.

Service Manager

Enne Teenusehalduri värskendused on installitud, installige nõutav paketid ja konfigureerida registrivõtme väärtusi, nagu on kirjeldatud selle " Enne installimist "juhiseid jaotises KB 4024037 .

Ka, kui olete järelevalve System Center Service Manager, kasutades System Center Operations Manager, värskendage uusimale versioonile (v 7.5.7487.89) seire Management Pack TLS 1.2 tugi:

Microsoft System Center Management Pack System Center Service Manager

Teenuse halduse automatiseerimine (SMA)

Kui olete järelevalve teenuse halduse automatiseerimine (SMA), kasutades System Center Operations Manager, värskendus TLS 1.2 toetuse seire Management Pack uusimale versioonile.

System Center Management Pack System Center 2012 R2 Orchestrator - teenuse halduse automatiseerimine

Kolmanda osapoole kontaktteabe lahtiütlemine

Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil leida selle teema kohta lisateabe. Seda teavet võidakse ette teatamata muuta. Microsoft ei garanteeri kolmanda osapoole kontaktteabe täpsust.