Sažetak
U ovom se članku opisuje omogućivanje protokola Transport Layer Security (TLS) verzije 1.2 u okruženju Microsoft System Center 2016.
Dodatne informacije
Da biste omogućili TLS protokol verzije 1.2 u okruženju System Center, slijedite ove korake:
-
Instalirajte ažuriranja iz izdanja.
Bilješke-
Automatizacija upravljanja servisom (SMA) i Service Provider Foundation (SPF) moraju se nadograditi na najnovije skupno ažuriranje jer UR4 nema ažuriranja tih komponenti.
-
Za Service Management Automation (SMA), nadogradite na Skupno ažuriranje 1 i ažurirajte paket za upravljanje SMA -om (MP) s ove web-stranice Microsoftova centra za preuzimanje.
-
Za Service Provider Foundation (SPF) nadogradite na Skupno ažuriranje 2.
-
System Center Virtual Machine Manager (SCVMM) treba nadograditi na najmanje Update Rollup 3.
-
-
Provjerite je li postavljanje funkcionalno kao prije nego što ste primijenili ažuriranja. Na primjer, provjerite možete li pokrenuti konzolu.
-
Promijenite postavke konfiguracije da biste omogućili TLS 1.2.
-
Provjerite jesu li pokrenuti svi SQL Server servisi.
Instaliranje ažuriranja
|
Aktivnost ažuriranja |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Provjerite jesu li sva trenutna sigurnosna ažuriranja instalirana za Windows Server 2012 R2 ili Windows Server 2016 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Da |
Ne |
Da |
Da |
Ne |
Ne |
Da |
|
|
Provjerite jesu li certifikati potpisani pomoću ustanove za izdavanje certifikata SHA1 ili SHA2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 Orkestrator sistemskog centra (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Promjena postavki konfiguracije
|
Ažuriranje konfiguracije |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Postavka u sustavu Windows za korištenje samo protokola TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Postavljanje u sistemskom centru za korištenje samo protokola TLS 1.2 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Da |
Ne |
Da |
Da |
Ne |
Ne |
Ne |
.NET Framework
Provjerite je li .NET Framework 4.6 instaliran na svim komponentama sistemskog centra. Da biste to učinili,slijedite ove upute.
Podrška za TLS 1.2
Instalirajte potrebno SQL Server ažuriranje koje podržava TLS 1.2. Da biste to učinili, pročitajte sljedeći članak u Microsoftovoj bazi znanja:
3135244 Podrška za TLS 1.2 za Microsoft SQL Server
Obavezna ažuriranja za System Center 2016
SQL Server 2012 Native client 11.0 treba instalirati na sve sljedeće komponente System Center.
|
Komponenta |
Ulogu |
Potreban SQL upravljački program |
|
Operations Manager |
Management Server and Web Consoles |
SQL Server 2012 Native client 11.0 ili Microsoft OLE DB Driver 18 za SQL Server (preporučeno). Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Operations Manager 2016 UR9 i noviji. |
|
Upravitelj virtualnog računala |
(Nije obavezno) |
(Nije obavezno) |
|
Orkestrator |
Poslužitelj za upravljanje |
SQL Server 2012 Native client 11.0 ili Microsoft OLE DB Driver 18 za SQL Server (preporučeno). Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je s Orchestratorom 2016 UR8 i novijim verzijama. |
|
Upravitelj zaštite podataka |
Poslužitelj za upravljanje |
SQL Server 2012 Native client 11.0 |
|
Upravitelj servisa |
Poslužitelj za upravljanje |
SQL Server 2012 Native client 11.0 ili Microsoft OLE DB Driver 18 za SQL Server (preporučeno). Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Service Manager 2016 UR9 i noviji. |
Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu web-stranicu Microsoftova centra za preuzimanje.
Da biste preuzeli i instalirali Microsoft OLE DB upravljački program 18, pogledajte ovu web-stranicu Microsoftova centra za preuzimanje.
Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim poslužiteljima za upravljanje.
Instalirajte obavezna ažuriranja za System Center 2016 iz sljedećeg članka iz baze znanja:
4043305 Opis skupnog ažuriranja 4 za Microsoft System Center 2016
|
Komponenta |
2016 |
|
Operations Manager |
Skupno ažuriranje 4 za System Center 2016 Operations Manager |
|
Upravitelj servisa |
Skupno ažuriranje 4 za Upravitelj servisa sistemskog centra 2016 |
|
Orkestrator |
Skupno ažuriranje 4 za orkestrator sistemskog centra 2016. |
|
Upravitelj zaštite podataka |
Skupno ažuriranje 4 za System Center 2016 Data Protection Manager |
Napomena Obavezno proširite sadržaj datoteke i instalirajte MSP datoteku na odgovarajuću ulogu.
SHA1 i SHA2 certifikati
Komponente sistemskog centra sada generiraju i SHA1 i SHA2 samopotpisane certifikate. To je potrebno za omogućivanje TLS 1.2. Ako se koriste certifikati potpisani pomoću ustanove za izdavanje certifikata, provjerite jesu li certifikati SHA1 ili SHA2.
Postavljanje sustava Windows tako da koristi samo TLS 1.2
Upotrijebite jednu od sljedećih metoda za konfiguriranje sustava Windows tako da koristi samo protokol TLS 1.2.
1. način: ručna izmjena registra
Važno
Pažljivo slijedite korake u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.
Slijedite korake u nastavku da biste omogućili/onemogućili sve protokole SCHANNEL na razini sustava. Preporučujemo da omogućite protokol TLS 1.2 za dolazne komunikacije; i omogućite protokole TLS 1.2, TLS 1.1 i TLS 1.0 za sve odlazne komunikacije.
Napomena Te promjene registra ne utječu na korištenje kerberos ili NTLM protokola.
-
Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni , a zatim kliknite U redu.
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Desnom tipkom miša kliknite tipku Protokol, pokažite na Novo, a zatim kliknite Ključ.
-
Upišite SSL 3, a zatim pritisnite Enter.
-
Ponovite treći i četvrti korak da biste stvorili tipke za TLS 0, TLS 1.1 i TLS 1.2. Ti ključevi nalikuju direktorijima.
-
Stvorite klijentski ključ i ključ poslužitelja ispod svake tipke SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2.
-
Da biste omogućili protokol, stvorite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:
DisabledByDefault [Vrijednost = 0]
Omogućeno [Vrijednost = 1]
Da biste onemogućili protokol, promijenite vrijednost DWORD ispod svakog klijentskog i poslužiteljskog ključa na sljedeći način:DisabledByDefault [Vrijednost = 1]
Omogućeno [Vrijednost = 0] -
Na izborniku Datoteka kliknite Izlaz.
Drugi način: automatska izmjena registra
Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali Windows tako da koristi samo protokol TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Postavljanje sistemskog centra tako da koristi samo TLS 1.2
Postavite System Center tako da koristi samo protokol TLS 1.2. Da biste to učinili, najprije provjerite jesu li zadovoljeni svi preduvjeti. Zatim napravite sljedeće postavke na komponentama sistemskog centra i svim ostalim poslužiteljima na kojima su instalirani agenti.
Koristite jedan od sljedećih načina.
1. način: ručna izmjena registra
Važno
Pažljivo slijedite korake u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije izmjene sigurnosno kopirajte registar radi vraćanja u slučaju problema.
Da biste omogućili instalaciju za podršku protokola TLS 1.2, slijedite ove korake:
-
Pokrenite Uređivač registra. Da biste to učinili, desnom tipkom miša kliknite Start, upišite regedit u okvir Pokreni, a zatim kliknite U redu.
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:
SchUseStrongCrypto [Vrijednost = 1]
-
Pronađite sljedeći potključ registra:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Ispod ovog ključa stvorite sljedeću vrijednost DWORD:
SchUseStrongCrypto [Vrijednost = 1]
-
Ponovno pokrenite sustav.
Drugi način: automatska izmjena registra
Pokrenite sljedeću Windows PowerShell u administratorskom načinu rada da biste automatski konfigurirali System Center tako da koristi samo protokol TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Dodatne postavke
Operations Manager
Paketi za upravljanje
Uvezite pakete za upravljanje za System Center 2016 Operations Manager. One se nalaze u sljedećem direktoriju nakon instalacije ažuriranja poslužitelja:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
ACS postavke
Za servise za prikupljanje nadzora (ACS) morate unijeti dodatne promjene u registar. ACS koristi DSN za povezivanje s bazom podataka. Morate ažurirati DSN postavke da bi funkcionirali za TLS 1.2.
-
Pronađite sljedeći potključ za ODBC u registru.
Napomena Zadani je naziv DSN-a OpsMgrAC.
-
U potključu ODBC izvora podataka odaberite stavku za naziv DSN-a OpsMgrAC. To sadrži naziv ODBC upravljačkog programa koji će se koristiti za povezivanje s bazom podataka. Ako imate instaliran ODBC 11.0, promijenite naziv u ODBC upravljački program 11 za SQL Server. Ako pak imate instaliran ODBC 13.0, promijenite taj naziv u ODBC upravljački program 13 za SQL Server.
-
U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.
-
Ako je instaliran ODBC 11.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.
-
Ako je INSTALIRAN ODBC 13.0, promijenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.
-
Možete i stvoriti i spremiti sljedeću .reg datoteku u bloku za pisanje ili drugom uređivaču teksta. Da biste pokrenuli spremljenu .reg datoteku, dvokliknite datoteku.
Za ODBC 11.0 stvorite sljedeću ODBC datoteku 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 11 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Za ODBC 13.0 stvorite sljedeću ODBC datoteku 13.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC upravljački program 13 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS otegne u Linuxu
Slijedite upute na odgovarajućem web-mjestu da biste konfigurirali TLS 1.2 u okruženju Red Hat ili Apache .
Upravitelj zaštite podataka
Da biste upravitelju zaštite podataka omogućili suradnju s TLS 1.2 da bi sigurnosno kopirao oblak, omogućite ove korake na poslužitelju upravitelja zaštite podataka.
Orkestrator
Nakon instalacije ažuriranja orkestratora ponovno konfigurirajte bazu podataka orkestratora pomoću postojeće baze podataka u skladu s ovim smjernicama.
Izjava o odricanju odgovornosti za kontakt treće strane
Microsoft pruža podatke za kontakt drugih proizvođača da biste lakše pronašli dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Microsoft ne jamči točnost podataka za kontakt treće strane.
