Összefoglalás
Ez a cikk bemutatja, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját Microsoft System Center 2012 R2 környezetben.
További információ
Ha engedélyezni szeretné a TLS protokoll 1.2-es verzióját a System Center-környezetben, kövesse az alábbi lépéseket:
-
Telepítse a frissítéseket a kiadásból.Megjegyzések
-
A 14. kumulatív frissítés alkalmazása előtt telepítse az összes System Center-összetevő legújabb összesítő frissítését.
-
A Data Protection Manager és a Virtual Machine Manager esetében telepítse a 13. kumulatív frissítést.
-
A Service Management Automation esetében telepítse a 7. kumulatív frissítést.
-
A System Center Orchestrator esetében telepítse a 8. kumulatív frissítést.
-
A Service Provider Foundation esetében telepítse a 12. kumulatív frissítést.
-
Service Manager telepítse a 9. kumulatív frissítést.
-
-
-
Győződjön meg arról, hogy a beállítás ugyanolyan működőképes, mint a frissítések alkalmazása előtt volt. Ellenőrizze például, hogy elindítható-e a konzol.
-
Módosítsa a konfigurációs beállításokat a TLS 1.2 engedélyezéséhez.
-
Győződjön meg arról, hogy az összes szükséges SQL Server szolgáltatás fut.
Frissítések telepítése
|
Frissítési tevékenység |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Győződjön meg arról, hogy az összes aktuális biztonsági frissítés telepítve van az Windows Server 2012 R2-höz |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Igen |
|
|
Győződjön meg arról, hogy a hitelesítésszolgáltató által aláírt tanúsítványok SHA1 vagy SHA2 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
1 System Center Operations Manager (SCOM)2 System Center Virtual Machine Manager (SCVMM)3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)
Konfigurációs beállítások módosítása
|
Konfigurációfrissítés |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Beállítás Windows rendszeren csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
A System Center beállítása csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Nem |
.NET-keretrendszer
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van. Ehhez kövesseaz alábbi utasításokat.
TLS 1.2-támogatás
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést. Ehhez tekintse meg a Microsoft Tudásbázis következő cikkét:
3135244 A Microsoft SQL Server TLS 1.2-támogatása
A System Center 2012 R2 szükséges frissítései
SQL Server 2012 Natív ügyfél 11.0-t kell telepíteni az összes következő System Center-összetevőre.
|
Összetevő |
Szerepkör |
|
Operations Manager |
Felügyeleti kiszolgáló és webkonzolok |
|
Virtual Machine Manager |
(Nem kötelező) |
|
Orchestrator |
Felügyeleti kiszolgáló |
|
Data Protection Manager |
Felügyeleti kiszolgáló |
|
Service Manager |
Felügyeleti kiszolgáló |
A Microsoft SQL Server 2012 Native Client 11.0 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.
A System Center Operations Manager és a Service Manager esetében az ODBC 11.0-s vagy ODBC 13.0-s verziójának telepítve kell lennie az összes felügyeleti kiszolgálón.
Telepítse a System Center 2012 R2 szükséges frissítéseit a tudásbázis következő cikkében:
4043306 A Microsoft System Center 2012 R2 14. kumulatív frissítésének leírása
|
Összetevő |
2012 R2 |
|
Operations Manager |
A System Center 2012 R2 Operations Manager 14. kumulatív frissítése |
|
Service Manager |
14. kumulatív frissítés a System Center 2012 R2 Service Manager |
|
Orchestrator |
14. kumulatív frissítés a System Center 2012 R2 Orchestratorhoz |
|
Data Protection Manager |
A System Center 2012 R2 Data Protection Manager 14. kumulatív frissítése |
Megjegyzés A Data Protection Manager kivételével mindenképpen bontsa ki a fájl tartalmát, és telepítse az MSP-fájlt a megfelelő szerepkörre. A Data Protection Manager esetében telepítse a .exe fájlt.
SHA1- és SHA2-tanúsítványok
A System Center összetevői mostantól SHA1 és SHA2 önaláírt tanúsítványokat is létrehoznak. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.
A Windows beállítása csak a TLS 1.2 használatára
Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.
1. módszer: A beállításjegyzék manuális módosítása
Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Az SCHANNEL protokollok rendszerszintű engedélyezéséhez/letiltásához kövesse az alábbi lépéseket. Javasoljuk, hogy engedélyezze a TLS 1.2 protokollt a bejövő kommunikációhoz, és engedélyezze a TLS 1.2, a TLS 1.1 és a TLS 1.0 protokollt minden kimenő kommunikációhoz.
Megjegyzés: A beállításjegyzék ezen módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kattintson a jobb gombbal a Protokoll kulcsra, mutasson az Új pontra, majd kattintson a Kulcs parancsra.
-
Írja be az SSL 3-at, majd nyomja le az Enter billentyűt.
-
Ismételje meg a 3. és a 4. lépést a TLS 0, a TLS 1.1 és a TLS 1.2 kulcsainak létrehozásához. Ezek a kulcsok hasonlóak a könyvtárakhoz.
-
Hozzon létre egy ügyfélkulcsot és egy kiszolgálókulcsot mindegyik SSL 3, TLS 1.0, TLS 1.1 és TLS 1.2 kulcs alatt.
-
Protokoll engedélyezéséhez hozza létre a DWORD értéket az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 0] Engedélyezve [Érték = 1] Protokoll letiltásához módosítsa a DWORD értékét az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 1] Engedélyezve [Érték = 0]
-
A Fájl menüben válassza a Kilépés lehetőséget.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a Windows automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
A System Center beállítása csak a TLS 1.2 használatára
Állítsa be, hogy a System Center csak a TLS 1.2 protokollt használja. Ehhez először győződjön meg arról, hogy minden előfeltétel teljesül. Ezután konfigurálja a következő beállításokat a System Center összetevőin és az összes többi kiszolgálón, amelyre az ügynökök telepítve vannak.
Használja az alábbi módszerek egyikét.
1. módszer: A beállításjegyzék manuális módosítása
Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Ha engedélyezni szeretné, hogy a telepítés támogassa a TLS 1.2 protokollt, kövesse az alábbi lépéseket:
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Indítsa újra a rendszert.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a System Center automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
További beállítások
Operations Manager
Felügyeleti csomagok
Importálja a System Center 2012 R2 Operations Manager felügyeleti csomagjait. Ezek a kiszolgálófrissítés telepítése után a következő könyvtárban találhatók:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS-beállítások
A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania a beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
-
Keresse meg az ODBC következő alkulcsát a beállításjegyzékben.Megjegyzés A DSN alapértelmezett neve OpsMgrAC.
-
Az ODBC-adatforrások alkulcsában válassza ki az OpsMgrAC nevű DSN-név bejegyzését. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet odbc-illesztő 11-re SQL Server. Ha az ODBC 13.0 telepítve van, módosítsa ezt a nevet odbc-illesztő 13-ra SQL Server.
-
Az OpsMgrAC alkulcsban frissítse a telepített ODBS-verzió illesztőprogram-bejegyzését.
-
Ha az ODBC 11.0 telepítve van, módosítsa az illesztőprogram bejegyzését a következőre: %WINDIR%\system32\msodbcsql11.dll.
-
Ha az ODBC 13.0 telepítve van, módosítsa az illesztőprogram bejegyzését %WINDIR%\system32\msodbcsql13.dllértékre.
-
Másik lehetőségként létrehozhatja és mentheti a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra. ODBC 11.0 esetén hozza létre a következő ODBC 11.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" ODBC 13.0 esetén hozza létre a következő ODBC 13.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC adatforrások] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-beli megkeményedés Linuxon
A TLS 1.2 Red Hat - vagy Apache-környezetben való konfigurálásához kövesse a megfelelő webhelyen található utasításokat.
Data Protection Manager
Ha engedélyezni szeretné, hogy a Data Protection Manager együttműködjön a TLS 1.2-vel a felhőbe történő biztonsági mentéshez, engedélyezze ezeket a lépéseket a Data Protection Manager-kiszolgálón.
Orchestrator
Az Orchestrator-frissítések telepítése után konfigurálja újra az Orchestrator-adatbázist a meglévő adatbázis használatával az irányelveknek megfelelően.
Service Manager
A Service Manager frissítések telepítése előtt telepítse a szükséges csomagokat, és konfigurálja újra a beállításkulcs-értékeket a TUDÁSBÁZIS 4024037 "Telepítés előtt" című szakaszában leírtak szerint.
Továbbá, ha a System Center Operations Managerrel figyeli a System Center Service Manager, frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb (7.5.7487.89-es verziójú) verziójára.
Szolgáltatáskezelési automatizálás (SMA)
Ha a System Center Operations Managerrel figyeli a Szolgáltatáskezelési automatizálást (SMA), frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb verziójára:
Külső felek kapcsolatfelvételi nyilatkozata
A Microsoft külső féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek a kapcsolattartási adatok értesítés nélkül változhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.
