Sažetak
U ovom se članku opisuje omogućivanje protokola Transport Layer Security (TLS) verzije 1.2 u okruženju Microsoft System Center 2012 R2.
Dodatne informacije
Da biste omogućili TLS protokol verzije 1.2 u okruženju System Center, slijedite ove korake:
-
Instalirajte ažuriranja iz izdanja.
Bilješke-
Instalirajte najnovije skupno ažuriranje za sve komponente sistemskog centra prije primjene skupnog ažuriranja 14.
-
Za Upravitelj zaštite podataka i Upravitelj virtualnog računala instalirajte Skupno ažuriranje 13.
-
Za automatizaciju upravljanja servisom instalirajte Skupno ažuriranje 7.
-
Za Orkestrator sistemskog centra instalirajte Skupno ažuriranje 8.
-
Za Service Provider Foundation instalirajte Skupno ažuriranje 12.
-
Za Upravitelj servisa instalirajte Skupno ažuriranje 9.
-
-
-
Provjerite je li postavljanje funkcionalno kao prije nego što ste primijenili ažuriranja. Na primjer, provjerite možete li pokrenuti konzolu.
-
Promijenite postavke konfiguracije da biste omogućili TLS 1.2.
-
Provjerite jesu li pokrenuti svi SQL Server servisi.
Instaliranje ažuriranja
Aktivnost ažuriranja |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Provjerite jesu li sva trenutna sigurnosna ažuriranja instalirana za Windows Server 2012 R2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Ne |
Da |
Da |
Ne |
Ne |
Da |
|
Provjerite jesu li certifikati potpisani pomoću ustanove za izdavanje certifikata SHA1 ili SHA2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 Orkestrator sistemskog centra (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Promjena postavki konfiguracije
Ažuriranje konfiguracije |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Postavka u sustavu Windows za korištenje samo protokola TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Postavljanje u sistemskom centru za korištenje samo protokola TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Ne |
Da |
Da |
Ne |
Ne |
Ne |
.NET Framework
Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra. Da biste to učinili,slijedite ove upute.
Podrška za TLS 1.2
Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2. Da biste to učinili, pročitajte sljedeći članak u Microsoftovoj bazi znanja:
3135244 Podrška za TLS 1.2 za Microsoft SQL Server
Obavezna ažuriranja za System Center 2012 R2
SQL Server 2012 Native client 11.0 treba instalirati na sve sljedeće komponente System Center.
Komponenta |
Ulogu |
Operations Manager |
Management Server and Web Consoles |
Upravitelj virtualnog računala |
(Nije obavezno) |
Orkestrator |
Poslužitelj za upravljanje |
Upravitelj zaštite podataka |
Poslužitelj za upravljanje |
Upravitelj servisa |
Poslužitelj za upravljanje |
Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu web-stranicu Microsoftova centra za preuzimanje.
Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim poslužiteljima za upravljanje.
Instalirajte obavezna ažuriranja system center 2012 R2 iz sljedećeg članka iz baze znanja:
4043306 Opis skupnog ažuriranja 14 za Microsoft System Center 2012 R2
Komponenta |
2012 R2 |
Operations Manager |
Skupno ažuriranje 14 za System Center 2012 R2 Operations Manager |
Upravitelj servisa |
Skupno ažuriranje 14 za System Center 2012 R2 Service Manager |
Orkestrator |
Skupno ažuriranje 14 za orkestrator sistemskog centra 2012 R2 |
Upravitelj zaštite podataka |
Skupno ažuriranje 14 za System Center 2012 R2 Data Protection Manager |
Napomena Obavezno proširite sadržaj datoteke i instalirajte MSP datoteku na odgovarajuću ulogu, osim upravitelja zaštite podataka. U upravitelju zaštite podataka instalirajte .exe datoteku.
SHA1 i SHA2 certifikati
Komponente sistemskog centra sada generiraju i SHA1 i SHA2 samopotpisane certifikate. To je potrebno za omogućivanje TLS 1.2. Ako se koriste certifikati potpisani pomoću ustanove za izdavanje certifikata, provjerite jesu li certifikati SHA1 ili SHA2.
Postavljanje sustava Windows tako da koristi samo TLS 1.2
Upotrijebite jednu od sljedećih metoda za konfiguriranje sustava Windows tako da koristi samo protokol TLS 1.2.
1. način: ručna izmjena registra
Važno: Pažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.
Slijedite korake u nastavku da biste omogućili/onemogućili sve protokole SCHANNEL na razini sustava. Preporučujemo da omogućite protokol TLS 1.2 za dolazne komunikacije i omogućite protokole TLS 1.2, TLS 1.1 i TLS 1.0 za sve odlazne komunikacije.
Napomena Te promjene registra ne utječu na korištenje kerberos ili NTLM protokola.
-
Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni , a zatim odaberite U redu.
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Desnom tipkom miša kliknite tipku Protokol, pokažite na Novo, a zatim kliknite Ključ.
-
Upišite SSL 3, a zatim pritisnite Enter.
-
Ponovite treći i četvrti korak da biste stvorili tipke za TLS 0, TLS 1.1 i TLS 1.2. Ti ključevi nalikuju direktorijima.
-
Stvorite klijentski ključ i ključ poslužitelja ispod svake tipke SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2.
-
Da biste omogućili protokol, stvorite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:
DisabledByDefault [Vrijednost = 0]
Omogućeno [Vrijednost = 1]
Da biste onemogućili protokol, promijenite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:DisabledByDefault [Vrijednost = 1]
Omogućeno [Vrijednost = 0] -
Na izborniku Datoteka odaberite Izlaz.
Drugi način: automatska izmjena registra
Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali Windows tako da koristi samo protokol TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Postavljanje sistemskog centra tako da koristi samo TLS 1.2
Postavite System Center tako da koristi samo protokol TLS 1.2. Da biste to učinili, najprije provjerite jesu li zadovoljeni svi preduvjeti. Zatim konfigurirajte sljedeće postavke na komponentama sistemskog centra i svim ostalim poslužiteljima na kojima su instalirani agenti.
Koristite jedan od sljedećih načina.
1. način: ručna izmjena registra
Važno: Pažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.
Da biste omogućili instalaciju za podršku protokola TLS 1.2, slijedite ove korake:
-
Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni, a zatim odaberite U redu.
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:
SchUseStrongCrypto [Vrijednost = 1]
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:
SchUseStrongCrypto [Vrijednost = 1]
-
Ponovno pokrenite sustav.
Drugi način: automatska izmjena registra
Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali System Center tako da koristi samo protokol TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Dodatne postavke
Operations Manager
Paketi za upravljanje
Uvezite pakete za upravljanje za System Center 2012 R2 Operations Manager. One se nalaze u sljedećem direktoriju nakon instalacije ažuriranja poslužitelja:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS postavke
Za servise za prikupljanje nadzora (ACS) morate unijeti dodatne promjene u registar. ACS koristi DSN za povezivanje s bazom podataka. Morate ažurirati DSN postavke da bi funkcionirali za TLS 1.2.
-
Pronađite sljedeći potključ za ODBC u registru.
Napomena Zadani je naziv DSN-a OpsMgrAC. -
U potključu ODBC izvora podataka odaberite stavku za naziv DSN-a OpsMgrAC. To sadrži naziv ODBC upravljačkog programa koji će se koristiti za povezivanje s bazom podataka. Ako imate instaliran ODBC 11.0, promijenite naziv u ODBC upravljački program 11 za SQL Server. Ako pak imate instaliran ODBC 13.0, promijenite taj naziv u ODBC upravljački program 13 za SQL Server.
-
U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.
-
Ako je instaliran ODBC 11.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.
-
Ako je INSTALIRAN ODBC 13.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.
-
Možete i stvoriti i spremiti sljedeću .reg datoteku u bloku za pisanje ili drugom uređivaču teksta. Da biste pokrenuli spremljenu .reg datoteku, dvokliknite datoteku.
Za ODBC 11.0 stvorite sljedeću ODBC datoteku 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 11 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Za ODBC 13.0 stvorite sljedeću ODBC 13.0.reg datoteku: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 13 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS otegne u Linuxu
Slijedite upute na odgovarajućem web-mjestu da biste konfigurirali TLS 1.2 u okruženju Red Hat ili Apache .
Upravitelj zaštite podataka
Da biste upravitelju zaštite podataka omogućili suradnju s TLS 1.2 da bi sigurnosno kopirao oblak, omogućite ove korake na poslužitelju upravitelja zaštite podataka.
Orkestrator
Nakon instalacije ažuriranja orkestratora ponovno konfigurirajte bazu podataka orkestratora pomoću postojeće baze podataka u skladu s ovim smjernicama.
Upravitelj servisa
Prije instaliranja ažuriranja upravitelja servisa instalirajte potrebne pakete i ponovno konfigurirajte vrijednosti ključa registra, kao što je opisano u odjeljku s uputama "Prije instalacije" kb 4024037.
Osim toga, ako nadzirete Upravitelj servisa sistemskog centra pomoću upravitelja operacija sistemskog centra, ažurirajte na najnoviju verziju (v 7.5.7487.89) paketa za upravljanje praćenjem za podršku za TLS 1.2.
Service Management Automation (SMA)
Ako nadzirete automatizaciju upravljanja servisom (SMA) pomoću upravitelja operacija sistemskog centra, ažurirajte na najnoviju verziju paketa za upravljanje praćenjem za podršku za TLS 1.2:
System Center Management Pack for System Center 2012 R2 Orchestrator - Service Management Automation
Izjava o odricanju odgovornosti za kontakt treće strane
Microsoft pruža podatke za kontakt drugih proizvođača da biste lakše pronašli dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Microsoft ne jamči točnost podataka za kontakt treće strane.