סיכום
מאמר זה מתאר כיצד להפוך את פרוטוקול Transport Layer Security (TLS) לזמין גירסה 1.2 בסביבה של Microsoft System Center 2012 R2.
מידע נוסף
כדי להפוך את פרוטוקול TLS גירסה 1.2 לזמין בסביבה של System Center, בצע את הפעולות הבאות:
-
התקן עדכונים מההפצה.
הערות-
התקן את אוסף העדכונים האחרון עבור כל רכיבי מרכז המערכת לפני החלת אוסף עדכונים 14.
-
עבור מנהל הגנת נתונים ו- Virtual Machine Manager, התקן את אוסף עדכונים 13.
-
עבור אוטומציה של ניהול שירות, התקן את אוסף עדכונים 7.
-
עבור System Center Orchestrator, התקן את אוסף עדכונים 8.
-
עבור Service Provider Foundation, התקן את אוסף עדכונים 12.
-
עבור מנהל השירות, התקן את אוסף עדכונים 9.
-
-
-
ודא שההגדרה מתפקדת כמו שהיא הייתה לפני שהחלת את העדכונים. לדוגמה, בדוק אם באפשרותך להפעיל את הקונסולה.
-
שנה את הגדרות התצורה כדי להפוך את TLS 1.2 לזמין.
-
ודא שכל SQL Server השירותים הדרושים פועלים.
התקנת עדכונים
עדכון פעילות |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
ודא שכל עדכוני האבטחה הנוכחיים מותקנים עבור Windows Server 2012 R2 |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
|
כן |
כן |
כן |
כן |
כן |
כן |
כן |
|
כן |
לא |
כן |
כן |
לא |
לא |
כן |
|
כן |
כן |
כן |
כן |
כן |
כן |
כן |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
שינוי הגדרות תצורה
עדכון תצורה |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
כן |
כן |
כן |
כן |
כן |
כן |
כן |
|
כן |
כן |
כן |
כן |
כן |
כן |
כן |
|
כן |
לא |
כן |
כן |
לא |
לא |
לא |
.NET Framework
ודא שה- .NET Framework 4.6 מותקן בכל רכיבי System Center. לשם כך, בצעהוראות אלה.
תמיכת TLS 1.2
התקן את העדכון SQL Server התומך ב- TLS 1.2. לשם כך, עיין במאמר הבא ב- Microsoft Knowledge Base:
3135244 תמיכת TLS 1.2 עבור Microsoft SQL Server
עדכוני מערכת נדרשים 2012 R2
SQL Server 2012 Native client 11.0 אמור להיות מותקן בכל הרכיבים הבאים של System Center.
רכיב |
תפקיד |
Operations Manager |
שרת ניהול ומסוף אינטרנט |
Virtual Machine Manager |
(לא נדרש) |
Orchestrator |
שרת ניהול |
מנהל הגנת נתונים |
שרת ניהול |
מנהל שירות |
שרת ניהול |
כדי להוריד ולהתקין את Microsoft SQL Server 2012 Native Client 11.0, עיין בדף האינטרנט של מרכז ההורדות של Microsoft.
עבור System Center Operations Manager ו- Service Manager, עליך להתקין את ODBC 11.0 או ODBC 13.0 בכל שרתי הניהול.
התקן את עדכוני System Center 2012 R2 הנדרשים מתוך מאמר Knowledge Base הבא:
4043306 תיאור של אוסף עדכונים 14 עבור Microsoft System Center 2012 R2
רכיב |
2012 R2 |
Operations Manager |
אוסף עדכונים 14 עבור מנהל פעולות מרכז המערכת 2012 R2 |
מנהל שירות |
אוסף עדכונים 14 עבור מנהל שירות מרכז המערכת 2012 R2 |
Orchestrator |
אוסף עדכונים 14 עבור System Center 2012 R2 Orchestrator |
מנהל הגנת נתונים |
אוסף עדכונים 14 עבור System Center 2012 R2 מנהל הגנת נתונים |
הערה הקפד להרחיב את תוכן הקובץ ולהתקין את קובץ ה- MSP בתפקיד המתאים, למעט מנהל הגנת הנתונים. עבור מנהל הגנת הנתונים, התקן את .exe הקובץ.
אישורי SHA1 ו- SHA2
רכיבי מרכז המערכת יוצרים כעת אישורים בחתימה עצמית SHA1 ו- SHA2. פעולה זו נדרשת כדי להפוך את TLS 1.2 לזמין. אם נעשה שימוש באישורים חתומים על-ידי רשות אישורים, ודא שהאישורים הם SHA1 או SHA2.
הגדרת Windows לשימוש ב- TLS 1.2 בלבד
השתמש באחת מהשיטות הבאות כדי לקבוע את תצורת Windows לשימוש בפרוטוקול TLS 1.2 בלבד.
שיטה 1: שנה את הרישום באופן ידני
חשוב: בצע בקפידה את השלבים בסעיף זה. בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לפני שתבצע שינויים, גבה את הרישום לתיקון למקרה שיתרחשו בעיות.
השתמש בשלבים הבאים כדי להפוך את כל פרוטוקולי SCHANNEL לזמינים או ללא זמינים ברחבי המערכת. מומלץ להפוך את פרוטוקול TLS 1.2 לזמין עבור תקשורת נכנסת ותאפשר פרוטוקול TLS 1.2, TLS 1.1 ו- TLS 1.0 עבור כל התקשורת היוצאת.
הערה ביצוע שינויים אלה ברישום אינו משפיע על השימוש בפרוטוקולים Kerberos או NTLM.
-
הפעל את עורך הרישום. לשם כך, לחץ באמצעות לחצן העכבר הימני על התחל, הקלד regedit בתיבה הפעלה ולאחר מכן בחר אישור.
-
אתר את מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
לחץ באמצעות לחצן העכבר הימני על מקש פרוטוקול, הצבע על חדש ולאחר מכן לחץ על מפתח.
-
הקלד SSL 3 ולאחר מכן הקש Enter.
-
חזור על שלבים 3 ו- 4 כדי ליצור מפתחות עבור TLS 0, TLS 1.1 ו- TLS 1.2. מפתחות אלה דומים למדריכי כתובות.
-
צור מפתח לקוח ומפתח שרת תחת כל אחד ממפתחות SSL 3, TLS 1.0, TLS 1.1 ו- TLS 1.2 .
-
כדי להפוך פרוטוקול לזמין, צור את ערך ה- DWORD תחת כל מפתח לקוח ומפתח שרת באופן הבא:
DisabledByDefault [Value = 0]
זמין [ערך = 1]
כדי להפוך פרוטוקול ללא זמין, שנה את ערך ה- DWORD תחת כל מפתח לקוח ומפתח שרת באופן הבא:DisabledByDefault [Value = 1]
זמין [ערך = 0] -
בתפריט קובץ , בחר יציאה.
שיטה 2: שנה באופן אוטומטי את הרישום
הפעל את קובץ ה Windows PowerShell Script הבא במצב מנהל מערכת כדי לקבוע באופן אוטומטי את תצורת Windows לשימוש בפרוטוקול TLS 1.2 בלבד:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
הגדר את System Center לשימוש ב- TLS 1.2 בלבד
הגדר את System Center לשימוש בפרוטוקול TLS 1.2 בלבד. לשם כך, ודא תחילה שכל הדרישות המוקדמות קיימות. לאחר מכן, קבע את תצורת ההגדרות הבאות ברכיבי מרכז המערכת וכל השרתים האחרים שבהם מותקנים הסוכנים.
השתמש באחת מהשיטות הבאות.
שיטה 1: שנה את הרישום באופן ידני
חשוב: בצע בקפידה את השלבים בסעיף זה. בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לפני שתבצע שינויים, גבה את הרישום לתיקון למקרה שיתרחשו בעיות.
כדי לאפשר להתקנה לתמוך בפרוטוקול TLS 1.2, בצע את הפעולות הבאות:
-
הפעל את עורך הרישום. לשם כך, לחץ באמצעות לחצן העכבר הימני על התחל, הקלד regedit בתיבה הפעלה ולאחר מכן בחר אישור.
-
אתר את מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
צור את ערך ה- DWORD הבא תחת מפתח זה:
SchUseStrongCrypto [Value = 1]
-
אתר את מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
צור את ערך ה- DWORD הבא תחת מפתח זה:
SchUseStrongCrypto [Value = 1]
-
הפעל מחדש את המערכת.
שיטה 2: שנה באופן אוטומטי את הרישום
הפעל את ה- script Windows PowerShell הבא במצב מנהל מערכת כדי לקבוע באופן אוטומטי את תצורת System Center לשימוש בפרוטוקול TLS 1.2 בלבד:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
הגדרות נוספות
Operations Manager
ערכות ניהול
ייבוא ערכות הניהול עבור System Center 2012 R2 Operations Manager. אלה ממוקמים בספריה הבאה לאחר התקנת עדכון השרת:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
הגדרות ACS
עבור Audit Collection Services (ACS), עליך לבצע שינויים נוספים ברישום. ACS משתמש ב- DSN כדי ליצור חיבורים למסד הנתונים. עליך לעדכן הגדרות DSN כדי להפוך אותן לפונקציונליות עבור TLS 1.2.
-
אתר את מפתח המשנה הבא עבור ODBC ברישום.
הערה שם ברירת המחדל של DSN הוא OpsMgrAC. -
במפתח המשנה ODBC Data Sources, בחר את הערך עבור שם ה- DSN, OpsMgrAC. מכיל את השם של מנהל התקן ODBC שבו יש להשתמש עבור חיבור מסד הנתונים. אם ODBC 11.0 מותקן אצלך, שנה שם זה ל- ODBC Driver 11 עבור SQL Server. לחלופין, אם ODBC 13.0 מותקן במחשב שלך, שנה שם זה ל- ODBC Driver 13 עבור SQL Server.
-
במפתח המשנה OpsMgrAC , עדכן את ערך מנהל ההתקן עבור גירסת ODBS המותקנת.
-
אם ODBC 11.0 מותקן, שנה את ערך מנהל ההתקן ל- %WINDIR%\system32\msodbcsql11.dll.
-
אם ODBC 13.0 מותקן, שנה את ערך מנהל ההתקן ל- %WINDIR%\system32\msodbcsql13.dll.
-
לחלופין, צור ושמור את קובץ ה- .reg הבא ב'פנקס רשימות' או בעורך טקסט אחר. כדי להפעיל את קובץ ה- .reg שנשמר, לחץ פעמיים על הקובץ.
עבור ODBC 11.0, צור את קובץ ODBC 11.0.reg הבא:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
עבור ODBC 13.0, צור את הקובץ הבא של ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
הקשת TLS ב- Linux
בצע את ההוראות באתר האינטרנט המתאים כדי לקבוע את התצורה של TLS 1.2 בסביבה Red Hat או Apache שלך.
מנהל הגנת נתונים
כדי לאפשר למנהל הגנת הנתונים לעבוד יחד עם TLS 1.2 כדי לגבות בענן, הפוך שלבים אלה לזמינים בשרת Data Protection Manager.
Orchestrator
לאחר התקנת העדכונים של Orchestrator, הגדר מחדש את מסד הנתונים Orchestrator באמצעות מסד הנתונים הקיים בהתאם להנחיות אלה.
מנהל שירות
לפני התקנת העדכונים של מנהל השירות, התקן את החבילות הדרושות וקבע מחדש את התצורה של ערכי מפתח הרישום, כמתואר בסעיף ההוראות "לפני ההתקנה" של KB 4024037.
כמו כן, אם אתה מנטר את System Center Service Manager באמצעות System Center Operations Manager, עדכן לגירסה העדכנית ביותר (v 7.5.7487.89) של תמיכת ערכת ניהול ניטור עבור TLS 1.2.
אוטומציה של ניהול שירות (SMA)
אם אתה מנטר את Service Management Automation (SMA) באמצעות System Center Operations Manager, עדכן לגירסה העדכנית ביותר של Monitoring Management Pack for TLS 1.2 support:
System Center Management Pack for System Center 2012 R2 Orchestrator - Service Management Automation
כתב ויתור ליצירת קשר של ספק חיצוני
Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא מידע נוסף אודות נושא זה. פרטי קשר אלו עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוק של פרטי קשר של ספקים חיצוניים.