Vodič za implementaciju podrške protokola TLS 1.2 za System Center 2012 R2

Sažetak

U ovom se članku opisuje omogućivanje protokola Transport Layer Security (TLS) verzije 1.2 u okruženju Microsoft System Center 2012 R2.

Dodatne informacije

Da biste omogućili TLS protokol verzije 1.2 u okruženju System Center, slijedite ove korake:

Instalirajte ažuriranja iz izdanja.

Bilješke
- Instalirajte najnovije skupno ažuriranje za sve komponente sistemskog centra prije primjene skupnog ažuriranja 14.
  - Za Upravitelj zaštite podataka i Upravitelj virtualnog računala instalirajte Skupno ažuriranje 13.
  - Za automatizaciju upravljanja servisom instalirajte Skupno ažuriranje 7.
  - Za Orkestrator sistemskog centra instalirajte Skupno ažuriranje 8.
  - Za Service Provider Foundation instalirajte Skupno ažuriranje 12.
  - Za Upravitelj servisa instalirajte Skupno ažuriranje 9.
Provjerite je li postavljanje funkcionalno kao prije nego što ste primijenili ažuriranja. Na primjer, provjerite možete li pokrenuti konzolu.
Promijenite postavke konfiguracije da biste omogućili TLS 1.2.
Provjerite jesu li pokrenuti svi SQL Server servisi.

Instaliranje ažuriranja

Aktivnost ažuriranja	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Provjerite jesu li sva trenutna sigurnosna ažuriranja instalirana za Windows Server 2012 R2	Da	Da	Da	Da	Da	Da	Da
Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra	Da	Da	Da	Da	Da	Da	Da
Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2	Da	Da	Da	Da	Da	Da	Da
Instalacija potrebnih ažuriranja za System Center 2012 R2	Da	Ne	Da	Da	Ne	Ne	Da
Provjerite jesu li certifikati potpisani pomoću ustanove za izdavanje certifikata SHA1 ili SHA2	Da	Da	Da	Da	Da	Da	Da

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ Orkestrator sistemskog centra (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Promjena postavki konfiguracije

Ažuriranje konfiguracije	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Postavka u sustavu Windows za korištenje samo protokola TLS 1.2	Da	Da	Da	Da	Da	Da	Da
Postavljanje u sistemskom centru za korištenje samo protokola TLS 1.2	Da	Da	Da	Da	Da	Da	Da
Dodatne postavke	Da	Ne	Da	Da	Ne	Ne	Ne

.NET Framework

Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra. Da biste to učinili,slijedite ove upute.

Podrška za TLS 1.2

Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2. Da biste to učinili, pročitajte sljedeći članak u Microsoftovoj bazi znanja:

3135244 Podrška za TLS 1.2 za Microsoft SQL Server

Obavezna ažuriranja za System Center 2012 R2

SQL Server 2012 Native client 11.0 treba instalirati na sve sljedeće komponente System Center.

Komponenta	Ulogu
Operations Manager	Management Server and Web Consoles
Upravitelj virtualnog računala	(Nije obavezno)
Orkestrator	Poslužitelj za upravljanje
Upravitelj zaštite podataka	Poslužitelj za upravljanje
Upravitelj servisa	Poslužitelj za upravljanje

Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu web-stranicu Microsoftova centra za preuzimanje.

Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim poslužiteljima za upravljanje.

Instalirajte obavezna ažuriranja system center 2012 R2 iz sljedećeg članka iz baze znanja:

4043306 Opis skupnog ažuriranja 14 za Microsoft System Center 2012 R2

Komponenta	2012 R2
Operations Manager	Skupno ažuriranje 14 za System Center 2012 R2 Operations Manager
Upravitelj servisa	Skupno ažuriranje 14 za System Center 2012 R2 Service Manager
Orkestrator	Skupno ažuriranje 14 za orkestrator sistemskog centra 2012 R2
Upravitelj zaštite podataka	Skupno ažuriranje 14 za System Center 2012 R2 Data Protection Manager

Napomena Obavezno proširite sadržaj datoteke i instalirajte MSP datoteku na odgovarajuću ulogu, osim upravitelja zaštite podataka. U upravitelju zaštite podataka instalirajte .exe datoteku.

SHA1 i SHA2 certifikati

Komponente sistemskog centra sada generiraju i SHA1 i SHA2 samopotpisane certifikate. To je potrebno za omogućivanje TLS 1.2. Ako se koriste certifikati potpisani pomoću ustanove za izdavanje certifikata, provjerite jesu li certifikati SHA1 ili SHA2.

Postavljanje sustava Windows tako da koristi samo TLS 1.2

Upotrijebite jednu od sljedećih metoda za konfiguriranje sustava Windows tako da koristi samo protokol TLS 1.2.

1. način: ručna izmjena registra

Važno: Pažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.

Slijedite korake u nastavku da biste omogućili/onemogućili sve protokole SCHANNEL na razini sustava. Preporučujemo da omogućite protokol TLS 1.2 za dolazne komunikacije i omogućite protokole TLS 1.2, TLS 1.1 i TLS 1.0 za sve odlazne komunikacije.

Napomena Te promjene registra ne utječu na korištenje kerberos ili NTLM protokola.

Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni , a zatim odaberite U redu.
Pronađite sljedeći potključ registra:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Desnom tipkom miša kliknite tipku Protokol, pokažite na Novo, a zatim kliknite Ključ.
Upišite SSL 3, a zatim pritisnite Enter.
Ponovite treći i četvrti korak da biste stvorili tipke za TLS 0, TLS 1.1 i TLS 1.2. Ti ključevi nalikuju direktorijima.
Stvorite klijentski ključ i ključ poslužitelja ispod svake tipke SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2.
Da biste omogućili protokol, stvorite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:

DisabledByDefault [Vrijednost = 0]
Omogućeno [Vrijednost = 1]
Da biste onemogućili protokol, promijenite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:

DisabledByDefault [Vrijednost = 1]
Omogućeno [Vrijednost = 0]
Na izborniku Datoteka odaberite Izlaz.

Drugi način: automatska izmjena registra

Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali Windows tako da koristi samo protokol TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Postavljanje sistemskog centra tako da koristi samo TLS 1.2

Postavite System Center tako da koristi samo protokol TLS 1.2. Da biste to učinili, najprije provjerite jesu li zadovoljeni svi preduvjeti. Zatim konfigurirajte sljedeće postavke na komponentama sistemskog centra i svim ostalim poslužiteljima na kojima su instalirani agenti.

Koristite jedan od sljedećih načina.

1. način: ručna izmjena registra

Važno: Pažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.

Da biste omogućili instalaciju za podršku protokola TLS 1.2, slijedite ove korake:

Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni, a zatim odaberite U redu.
Pronađite sljedeći potključ registra:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:

SchUseStrongCrypto [Vrijednost = 1]
Pronađite sljedeći potključ registra:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:

SchUseStrongCrypto [Vrijednost = 1]
Ponovno pokrenite sustav.

Drugi način: automatska izmjena registra

Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali System Center tako da koristi samo protokol TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Dodatne postavke

Operations Manager

Paketi za upravljanje

Uvezite pakete za upravljanje za System Center 2012 R2 Operations Manager. One se nalaze u sljedećem direktoriju nakon instalacije ažuriranja poslužitelja:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

ACS postavke

Za servise za prikupljanje nadzora (ACS) morate unijeti dodatne promjene u registar. ACS koristi DSN za povezivanje s bazom podataka. Morate ažurirati DSN postavke da bi funkcionirali za TLS 1.2.

Pronađite sljedeći potključ za ODBC u registru.

Napomena Zadani je naziv DSN-a OpsMgrAC.
U potključu ODBC izvora podataka odaberite stavku za naziv DSN-a OpsMgrAC. To sadrži naziv ODBC upravljačkog programa koji će se koristiti za povezivanje s bazom podataka. Ako imate instaliran ODBC 11.0, promijenite naziv u ODBC upravljački program 11 za SQL Server. Ako pak imate instaliran ODBC 13.0, promijenite taj naziv u ODBC upravljački program 13 za SQL Server.
U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.
- Ako je instaliran ODBC 11.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.
- Ako je INSTALIRAN ODBC 13.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.
- Možete i stvoriti i spremiti sljedeću .reg datoteku u bloku za pisanje ili drugom uređivaču teksta. Da biste pokrenuli spremljenu .reg datoteku, dvokliknite datoteku.
  
  Za ODBC 11.0 stvorite sljedeću ODBC datoteku 11.0.reg:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 11 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Za ODBC 13.0 stvorite sljedeću ODBC 13.0.reg datoteku: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 13 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS otegne u Linuxu

Slijedite upute na odgovarajućem web-mjestu da biste konfigurirali TLS 1.2 u okruženju Red Hat ili Apache .

Upravitelj zaštite podataka

Da biste upravitelju zaštite podataka omogućili suradnju s TLS 1.2 da bi sigurnosno kopirao oblak, omogućite ove korake na poslužitelju upravitelja zaštite podataka.

Orkestrator

Nakon instalacije ažuriranja orkestratora ponovno konfigurirajte bazu podataka orkestratora pomoću postojeće baze podataka u skladu s ovim smjernicama.

Upravitelj servisa

Prije instaliranja ažuriranja upravitelja servisa instalirajte potrebne pakete i ponovno konfigurirajte vrijednosti ključa registra, kao što je opisano u odjeljku s uputama "Prije instalacije" kb 4024037.

Osim toga, ako nadzirete Upravitelj servisa sistemskog centra pomoću upravitelja operacija sistemskog centra, ažurirajte na najnoviju verziju (v 7.5.7487.89) paketa za upravljanje praćenjem za podršku za TLS 1.2.

Service Management Automation (SMA)

Ako nadzirete automatizaciju upravljanja servisom (SMA) pomoću upravitelja operacija sistemskog centra, ažurirajte na najnoviju verziju paketa za upravljanje praćenjem za podršku za TLS 1.2:

System Center Management Pack for System Center 2012 R2 Orchestrator - Service Management Automation

Izjava o odricanju odgovornosti za kontakt treće strane

Microsoft pruža podatke za kontakt drugih proizvođača da biste lakše pronašli dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Microsoft ne jamči točnost podataka za kontakt treće strane.