Összefoglalás
Ez a cikk bemutatja, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját Microsoft System Center 2012 R2 környezetben.
További információ
Ha engedélyezni szeretné a TLS protokoll 1.2-es verzióját a System Center-környezetben, kövesse az alábbi lépéseket:
-
Telepítse a frissítéseket a kiadásból. Megjegyzések
-
A 14. kumulatív frissítés alkalmazása előtt telepítse az összes System Center-összetevő legújabb összesítő frissítését.
-
A Data Protection Manager és a Virtual Machine Manager esetében telepítse a 13. kumulatív frissítést.
-
A Service Management Automation esetében telepítse a 7. kumulatív frissítést.
-
A System Center Orchestrator esetében telepítse a 8. kumulatív frissítést.
-
A Service Provider Foundation esetében telepítse a 12. kumulatív frissítést.
-
Service Manager telepítse a 9. kumulatív frissítést.
-
-
-
Győződjön meg arról, hogy a beállítás ugyanolyan működőképes, mint a frissítések alkalmazása előtt volt. Ellenőrizze például, hogy elindítható-e a konzol.
-
Módosítsa a konfigurációs beállításokat a TLS 1.2 engedélyezéséhez.
-
Győződjön meg arról, hogy az összes szükséges SQL Server szolgáltatás fut.
Frissítések telepítése
Frissítési tevékenység |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
Győződjön meg arról, hogy az összes aktuális biztonsági frissítés telepítve van az Windows Server 2012 R2-höz |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Igen |
|
Győződjön meg arról, hogy a hitelesítésszolgáltató által aláírt tanúsítványok SHA1 vagy SHA2 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manager (SCVMM) 3 System Center Data Protection Manager (SCDPM) 4 System Center Orchestrator (SCO) 5 Service Management Automation (SMA) 6 Service Provider Foundation (SPF) 7 Service Manager (SM)
Konfigurációs beállítások módosítása
Konfigurációfrissítés |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
Beállítás Windows rendszeren csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
A System Center beállítása csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Nem |
.NET-keretrendszer
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van. Ehhez kövesseaz alábbi utasításokat.
TLS 1.2-támogatás
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést. Ehhez tekintse meg a Microsoft Tudásbázis következő cikkét:
3135244 A Microsoft SQL Server TLS 1.2-támogatása
A System Center 2012 R2 szükséges frissítései
SQL Server 2012 Natív ügyfél 11.0-t kell telepíteni az összes következő System Center-összetevőre.
Összetevő |
Szerepkör |
Operations Manager |
Felügyeleti kiszolgáló és webkonzolok |
Virtual Machine Manager |
(Nem kötelező) |
Orchestrator |
Felügyeleti kiszolgáló |
Data Protection Manager |
Felügyeleti kiszolgáló |
Service Manager |
Felügyeleti kiszolgáló |
a Microsoft letöltőközpont ezen weblapját.
A Microsoft SQL Server 2012 Native Client 11.0 letöltéséhez és telepítéséhez tekintse megA System Center Operations Manager és a Service Manager esetében az ODBC 11.0-s vagy ODBC 13.0-s verziójának telepítve kell lennie az összes felügyeleti kiszolgálón.
Telepítse a System Center 2012 R2 szükséges frissítéseit a tudásbázis következő cikkében:
4043306 A Microsoft System Center 2012 R2 14. kumulatív frissítésének leírása
Összetevő |
2012 R2 |
Operations Manager |
A System Center 2012 R2 Operations Manager 14. kumulatív frissítése |
Service Manager |
14. kumulatív frissítés a System Center 2012 R2 Service Manager |
Orchestrator |
14. kumulatív frissítés a System Center 2012 R2 Orchestratorhoz |
Data Protection Manager |
A System Center 2012 R2 Data Protection Manager 14. kumulatív frissítése |
Megjegyzés A Data Protection Manager kivételével mindenképpen bontsa ki a fájl tartalmát, és telepítse az MSP-fájlt a megfelelő szerepkörre. A Data Protection Manager esetében telepítse a .exe fájlt.
SHA1- és SHA2-tanúsítványok
A System Center összetevői mostantól SHA1 és SHA2 önaláírt tanúsítványokat is létrehoznak. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.
A Windows beállítása csak a TLS 1.2 használatára
Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.
1. módszer: A beállításjegyzék manuális módosítása
Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Az SCHANNEL protokollok rendszerszintű engedélyezéséhez/letiltásához kövesse az alábbi lépéseket. Javasoljuk, hogy engedélyezze a TLS 1.2 protokollt a bejövő kommunikációhoz, és engedélyezze a TLS 1.2, a TLS 1.1 és a TLS 1.0 protokollt minden kimenő kommunikációhoz.
Megjegyzés: A beállításjegyzék ezen módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kattintson a jobb gombbal a Protokoll kulcsra, mutasson az Új pontra, majd kattintson a Kulcs parancsra.
-
Írja be az SSL 3-at, majd nyomja le az Enter billentyűt.
-
Ismételje meg a 3. és a 4. lépést a TLS 0, a TLS 1.1 és a TLS 1.2 kulcsainak létrehozásához. Ezek a kulcsok hasonlóak a könyvtárakhoz.
-
Hozzon létre egy ügyfélkulcsot és egy kiszolgálókulcsot mindegyik SSL 3, TLS 1.0, TLS 1.1 és TLS 1.2 kulcs alatt.
-
Protokoll engedélyezéséhez hozza létre a DWORD értéket az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 0]
Engedélyezve [Érték = 1] Protokoll letiltásához módosítsa a DWORD értékét az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:DisabledByDefault [Érték = 1]
Engedélyezve [Érték = 0] -
A Fájl menüben válassza a Kilépés lehetőséget.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a Windows automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
A System Center beállítása csak a TLS 1.2 használatára
Állítsa be, hogy a System Center csak a TLS 1.2 protokollt használja. Ehhez először győződjön meg arról, hogy minden előfeltétel teljesül. Ezután konfigurálja a következő beállításokat a System Center összetevőin és az összes többi kiszolgálón, amelyre az ügynökök telepítve vannak.
Használja az alábbi módszerek egyikét.
1. módszer: A beállításjegyzék manuális módosítása
Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Ha engedélyezni szeretné, hogy a telepítés támogassa a TLS 1.2 protokollt, kövesse az alábbi lépéseket:
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Indítsa újra a rendszert.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a System Center automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
További beállítások
Operations Manager
Felügyeleti csomagok
Importálja a System Center 2012 R2 Operations Manager felügyeleti csomagjait. Ezek a kiszolgálófrissítés telepítése után a következő könyvtárban találhatók:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS-beállítások
A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania a beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
-
Keresse meg az ODBC következő alkulcsát a beállításjegyzékben.
Megjegyzés A DSN alapértelmezett neve OpsMgrAC. -
Az ODBC-adatforrások alkulcsában válassza ki az OpsMgrAC nevű DSN-név bejegyzését. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet odbc-illesztő 11-re SQL Server. Ha az ODBC 13.0 telepítve van, módosítsa ezt a nevet odbc-illesztő 13-ra SQL Server.
-
Az OpsMgrAC alkulcsban frissítse a telepített ODBS-verzió illesztőprogram-bejegyzését.
-
Ha az ODBC 11.0 telepítve van, módosítsa az illesztőprogram bejegyzését a következőre: %WINDIR%\system32\msodbcsql11.dll.
-
Ha az ODBC 13.0 telepítve van, módosítsa az illesztőprogram bejegyzését %WINDIR%\system32\msodbcsql13.dllértékre.
-
Másik lehetőségként létrehozhatja és mentheti a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.
ODBC 11.0 esetén hozza létre a következő ODBC 11.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" ODBC 13.0 esetén hozza létre a következő ODBC 13.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC adatforrások] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-beli megkeményedés Linuxon
A TLS 1.2 Red Hat - vagy Apache-környezetben való konfigurálásához kövesse a megfelelő webhelyen található utasításokat.
Data Protection Manager
Ha engedélyezni szeretné, hogy a Data Protection Manager együttműködjön a TLS 1.2-vel a felhőbe történő biztonsági mentéshez, engedélyezze ezeket a lépéseket a Data Protection Manager-kiszolgálón.
Orchestrator
Az Orchestrator-frissítések telepítése után konfigurálja újra az Orchestrator-adatbázist a meglévő adatbázis használatával az irányelveknek megfelelően.
Service Manager
A Service Manager frissítések telepítése előtt telepítse a szükséges csomagokat, és konfigurálja újra a beállításkulcs-értékeket a TUDÁSBÁZIS 4024037 "Telepítés előtt" című szakaszában leírtak szerint.
Továbbá, ha a System Center Operations Managerrel figyeli a System Center Service Manager, frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb (7.5.7487.89-es verziójú) verziójára.
Szolgáltatáskezelési automatizálás (SMA)
Ha a System Center Operations Managerrel figyeli a Szolgáltatáskezelési automatizálást (SMA), frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb verziójára:
Külső felek kapcsolatfelvételi nyilatkozata
A Microsoft külső féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek a kapcsolattartási adatok értesítés nélkül változhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.