Vodič za implementaciju TLS 1.2 protokol podršku za R2 System Center 2012.

Vrijedi za: System Center 2012 R2

Sažetak


Ovaj članak opisuje kako omogućiti prijevoza sloj sigurnosti (TLS) protokol verzije 1.2 u Microsoft System Center 2012 R2 okruženju.

Više informacija


Da biste omogućili TLS protocol verzije 1.2 u okruženju centar sustava, slijedite ove korake:

  1. Instaliranje ažuriranja iz izdavanja.

    Bilješke

    • Instalirajte najnoviji paket ažuriranja za sve komponente System Center prije primjene Update Rollup 14.

  2. Provjerite je li postavljanje funkcionalno kao je bila prije primjene ažuriranja. Na primjer, provjerite možete li pokrenuti konzolu.
  3. Promijeniti postavke konfiguracije da biste omogućili TLS 1.2.
  4. Pazite da sve potrebne SQL Server usluge se izvode.


Instaliraj ažuriranja

Ažuriranje aktivnosti

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Provjerite jesu li sve trenutno instaliranih sigurnosna ažuriranja za Windows Server R2 2012.

Da

Da

Da

Da

Da

Da

Da

Provjerite je li na sve komponente System Center instaliran .NET Framework 4.6

Da

 

Da

 

Da

Da

Da

Da

Da

Instalirajte potrebne SQL Server ažuriranje koji podržava TLS 1.2

Da

Da

Da

Da

Da

Da

Da

Instaliranje ažuriranja potrebna R2 System Center 2012.

Da

ne

Da

Da

ne

ne

Da

Provjerite jesu li CA potpisane potvrde su SHA1 ili SHA2

Da

Da

Da

Da

Da

Da

Da


1System Center Configuration Manager (SCOM)
2Upravitelj virtualni stroj centar sustava (SCVMM)
3Upravitelj zaštite podataka centar sustava (SCDPM)
4Orchestrator centar sustava (SCO)
5Automatizacija usluga upravljanja (SMA)
6Servis davatelja Foundation (SPF)
7Upravitelj servisa (US)


Promijenite postavke konfiguracije

Ažuriranje konfiguracije

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Postavka na Windows koristite samo protokol 1.2 TLS

Da

Da

Da

Da

Da

Da

Da

Postavka na System Center koristiti samo TLS 1.2 protokol

Da

Da

Da

Da

Da

Da

Da

Dodatne postavke

Da

ne

Da

Da

ne

ne

ne


.NET Framework 

Provjerite je li na sve komponente System Center instaliran .NET Framework 4.6. Da biste to učinili, slijedite ove upute.

TLS 1.2 podršku

Instalirajte potrebne SQL Server ažuriranje koji podržava TLS 1.2. Da biste to učinili, pogledajte sljedeći članak u Microsoftovoj bazi znanja:

3135244 TLS 1.2 podršku za Microsoft SQL Server


Potrebna ažuriranja R2 System Center 2012.

SQL Server 2012 Native client 11.0 treba instalirati na sve sljedeće komponente System Center.

Komponenta

Uloga

Voditeljica operative

Poslužitelj za upravljanje i konzole Web

Upravitelj virtualni stroj

(Nije obavezno)

Orchestrator

Poslužitelj za upravljanje

Upravitelj zaštite podataka

Poslužitelj za upravljanje

Upravitelj servisa

Poslužitelj za upravljanje


Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu web-stranicu Microsoft Download Center.

Za System Center Configuration Manager i Upravitelj servisa morate imati ODBC 11.0 ili ODBC 13.0 instalirana na svim poslužiteljima upravljanja.

Instaliranje ažuriranja potrebna System Center 2012 R2 iz sljedećeg članka baze znanja:

Opis 4043306 Update Rollup 14 za Microsoft System Center 2012 R2
 

Komponenta

R2 2012.

Voditeljica operative

Zbirna 14 za System Center 2012 R2 operative

Upravitelj servisa

Zbirna 14 za upravitelja servisa R2 za sustav centar 2012.

Orchestrator

Zbirna 14 za System Center 2012 R2 Orchestrator

Upravitelj zaštite podataka

Zbirna 14 za System Center 2012 R2 podataka zaštita Upravitelj


Napomena Provjerite sadržaj datoteke proširite i instalirati MSP datoteka na odgovarajuće uloga osim Upravitelj podataka zaštitu. Za Upravitelj podataka zaštitu, instalirajte .exe datoteke.

Certifikati Sha1 i SHA2

Komponente System Center sada generirati SHA1 i SHA2 samopotpisane potvrde. Potrebna je omogućiti TLS 1.2. Ako se koriste CA potpisane potvrde, provjerite certifikati su SHA1 ili SHA2.

Postavite Windows koristiti samo TLS 1.2


Koristite jednu od sljedećih metoda konfigurirati Windows koristite samo protokol TLS 1.2.

Metoda 1: Ručno izmijeniti registar

Koristite sljedeće korake Omogući/Onemogući sve protokole SCHANNEL sistemskih. Preporučujemo da omogućite TLS 1.2 protokol za dolazne komunikacije i omogućiti TLS 1.2, TLS 1.1 i TLS 1.0 protokoli za sve izlazne komunikacije.

Napomena Ove promjene registra ne utječe na korištenje protokola Kerberos ili NTLM.

  1. Pokrenite Registry Editor. Da biste to učinili, desnom tipkom miša kliknite Start, u okvir Pokreni upišite regedit i odaberite u redu.
  2. Pronađite sljedeći potključ registra:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
  3. Desnom tipkom miša kliknite ključ protokol , pokažite na Novo, i zatim pritisnite ključ.

    Registry
  4. Vrsta SSL 3, a zatim pritisnite tipku Enter.
  5. Ponovite korake 3 i 4 da biste stvorili ključeve za TLS 0, TLS 1.1 i TLS 1.2. Te ključeve sliče imenika.
  6. Stvoriti ključ klijent i poslužitelj ključ pod svakom od SSL 3, TLS 1.0, TLS 1.1i TLS 1.2 tipke.
  7. Da biste omogućili protokol, stvorite DWORD vrijednost pod svakog klijenta i poslužitelja ključa kako slijedi:
    DisabledByDefault [vrijednost = 0]
    Omogućeno [vrijednost = 1]

    Da biste onemogućili protokol, promijeniti DWORD vrijednost pod svakog klijenta i poslužitelja ključa kako slijedi:
    DisabledByDefault [vrijednost = 1]
    Omogućeno [vrijednost = 0]
  8. Odaberite Izlazna izborniku datoteka .


Metoda 2: Automatski izmijeniti registar

Pokrenite sljedeću skriptu Windows PowerShell u načinu Administrator automatski konfigurirati Windows koristite samo protokol 1.2 TLS:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")$ProtocolSubKeyList = @("Client", "Server")$DisabledByDefault = "DisabledByDefault"$Enabled = "Enabled"$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"foreach($Protocol in $ProtocolList){    Write-Host " In 1st For loop"	foreach($key in $ProtocolSubKeyList)	{				$currentRegPath = $registryPath + $Protocol + "\" + $key		Write-Host " Current Registry Path $currentRegPath"				if(!(Test-Path $currentRegPath))		{		    Write-Host "creating the registry"			New-Item -Path $currentRegPath -Force | out-Null					}		if($Protocol -eq "TLS 1.2")		{		    Write-Host "Working for TLS 1.2"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null				}		else		{		    Write-Host "Working for other protocol"			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null		}		}}Exit 0

Skup System Center koristiti samo TLS 1.2


Skup centar sustava koristite samo protokol TLS 1.2. Da biste to učinili, najprije provjerite su ispunjeni svi preduvjeti. Zatim, konfigurirajte sljedeće postavke na System Center komponente i sve druge poslužitelje koji se instaliraju agenata.

Koristite jednu od sljedećih metoda.

Metoda 1: Ručno izmijeniti registar

Da biste omogućili instalacije podržava protokol TLS 1.2, slijedite ove korake:

  1. Pokrenite Registry Editor. Da biste to učinili, desnom tipkom miša kliknite Start, u okvir Pokreni upišite regedit i odaberite u redu.
  2. Pronađite sljedeći potključ registra:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  3. Stvaranje sljedeću DWORD vrijednost pod ovaj ključ:
    SchUseStrongCrypto [vrijednost = 1]
  4. Pronađite sljedeći potključ registra:
    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
  5. Stvaranje sljedeću DWORD vrijednost pod ovaj ključ:
    SchUseStrongCrypto [vrijednost = 1]
  6. Ponovno pokrenite sustav.


Metoda 2: Automatski izmijeniti registar

Pokrenite sljedeću skriptu Windows PowerShell u načinu Administrator automatski konfigurirati System Center koristite samo protokol 1.2 TLS:

# Tighten up the .NET Framework$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Dodatne postavke


Voditeljica operative

Upravljanje paketi

Uvoz upravljanja paketi za upravitelja operacije R2 2012 centar sustava. Ti se nalaze u sljedećem direktoriju nakon instalacije ažuriranja poslužitelja:

\Programske system Center 2012 R2\Operations Manager\Server\Management paketi za skupnih ažuriranja

Postavke ACS

Za nadzora zbirke Services (ACS), morate napraviti dodatne promjene u registru. ACS koristi u DSN da bi veze baze podataka. Morate ažurirati postavke DSN da bi ih funkcionalno TLS 1.2.

  1. Pronađite sljedeći potključ za ODBC u registru.

    Napomena Zadani naziv DSN je OpsMgrAC.

    ODBC.INI subkey
  2. ODBC izvori podataka potključ odaberite stavku za DSN naziv OpsMgrAC. Sadrži naziv ODBC upravljački program će se koristiti za povezivanje s bazom podataka. Ako imate instaliran 11.0 ODBC, promijenite taj naziv ODBC upravljački program 11 za SQL Server. Ili, ako imate instaliran 13.0 ODBC, promijeniti ovaj naziv 13 ODBC upravljački program za SQL Server.

    ODBC Data Sources subkey
  3. Potključ OpsMgrAC ažurirati upravljački program stavka za ODBS verziju koja je instalirana.

    OpsMgrAC subkey

     
    • Ako je instaliran ODBC 11.0, promijenite stavka upravljački program %WINDIR%\system32\msodbcsql11.dll.
    • Ako je instaliran ODBC 13.0, promijenite stavka upravljački program %WINDIR%\system32\msodbcsql13.dll.
    • Umjesto toga možete stvoriti i spremiti .reg datoteku u Notepadu ili drugi uređivač teksta. Pokretanje spremljenog .reg datoteku, dvokliknite datoteku.

      ODBC 11.0stvoriti sljedeću datoteku 11.0.reg ODBC:
       
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 11 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql11.dll"


      ODBC 13.0stvoriti sljedeću datoteku 13.0.reg ODBC:
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]"OpsMgrAC"="ODBC Driver 13 for SQL Server"[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC][HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]"Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS pojačanje u Linux

Slijedite upute na odgovarajuće web-mjestu konfiguriranje TLS 1.2 Šešir crveno ili Apache okruženju.

Upravitelj zaštite podataka

Da biste omogućili Upravitelj zaštite podataka za rad s 1,2 TLS sigurnosnu oblaka, omogućiti ove korake na poslužitelju Upravitelj zaštite podataka.

Orchestrator

Nakon u Orchestrator instaliranih ažuriranja, ponovno konfigurirajte Orchestrator bazi podataka korištenjem postojeće baze podataka prema ove smjernice.

Upravitelj servisa

Instaliranih ažuriranja prije u Upravitelj servisa, instalirati potrebne pakete i konfigurirajte vrijednosti ključa registra opisanu u u " Prije instalacije "upute sekciji KB 4024037 .

Također, ako su nadzor upravitelja servisa Centar sustava pomoću System Center Configuration Manager, ažurirajte na najnoviju verziju (v 7.5.7487.89) od nadzor Management Pack za podršku TLS 1.2:

Microsoft System Center Management Pack za centar sustava upravitelja servisa

Automatizacija usluga upravljanja (SMA)

Ako pomoću System Center Configuration Manager, ažuriranje najnoviju verziju nadzor Management Pack za podršku TLS 1.2 su nadzor usluge upravljanja automatizaciju (SMA):

Centar sustava Management Pack za sustav centar 2012 R2 Orchestrator - upravljanje Automatizacija usluga