A TLS 1.2 protokolltámogatási telepítési útmutatója a System Center 2012 R2-höz

Összefoglalás

Ez a cikk bemutatja, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját Microsoft System Center 2012 R2 környezetben.

További információ

Ha engedélyezni szeretné a TLS protokoll 1.2-es verzióját a System Center-környezetben, kövesse az alábbi lépéseket:

Telepítse a frissítéseket a kiadásból.

Megjegyzések
- A 14. kumulatív frissítés alkalmazása előtt telepítse az összes System Center-összetevő legújabb összesítő frissítését.
  - A Data Protection Manager és a Virtual Machine Manager esetében telepítse a 13. kumulatív frissítést.
  - A Service Management Automation esetében telepítse a 7. kumulatív frissítést.
  - A System Center Orchestrator esetében telepítse a 8. kumulatív frissítést.
  - A Service Provider Foundation esetében telepítse a 12. kumulatív frissítést.
  - Service Manager telepítse a 9. kumulatív frissítést.
Győződjön meg arról, hogy a beállítás ugyanolyan működőképes, mint a frissítések alkalmazása előtt volt. Ellenőrizze például, hogy elindítható-e a konzol.
Módosítsa a konfigurációs beállításokat a TLS 1.2 engedélyezéséhez.
Győződjön meg arról, hogy az összes szükséges SQL Server szolgáltatás fut.

Frissítések telepítése

Frissítési tevékenység	SCOM¹	SCVMM²	SCDPM³	⁴. PONT	SMA⁵	SPF⁶	SM⁷
Győződjön meg arról, hogy az összes aktuális biztonsági frissítés telepítve van az Windows Server 2012 R2-höz	Igen	Igen	Igen	Igen	Igen	Igen	Igen
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van	Igen	Igen	Igen	Igen	Igen	Igen	Igen
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést	Igen	Igen	Igen	Igen	Igen	Igen	Igen
A System Center 2012 R2 szükséges frissítéseinek telepítése	Igen	Nem	Igen	Igen	Nem	Nem	Igen
Győződjön meg arról, hogy a hitelesítésszolgáltató által aláírt tanúsítványok SHA1 vagy SHA2	Igen	Igen	Igen	Igen	Igen	Igen	Igen

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Konfigurációs beállítások módosítása

Konfigurációfrissítés	SCOM¹	SCVMM²	SCDPM³	⁴. PONT	SMA⁵	SPF⁶	SM⁷
Beállítás Windows rendszeren csak a TLS 1.2 protokoll használatára	Igen	Igen	Igen	Igen	Igen	Igen	Igen
A System Center beállítása csak a TLS 1.2 protokoll használatára	Igen	Igen	Igen	Igen	Igen	Igen	Igen
További beállítások	Igen	Nem	Igen	Igen	Nem	Nem	Nem

.NET-keretrendszer

Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van. Ehhez kövesseaz alábbi utasításokat.

TLS 1.2-támogatás

Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést. Ehhez tekintse meg a Microsoft Tudásbázis következő cikkét:

3135244 A Microsoft SQL Server TLS 1.2-támogatása

A System Center 2012 R2 szükséges frissítései

SQL Server 2012 Natív ügyfél 11.0-t kell telepíteni az összes következő System Center-összetevőre.

Összetevő	Szerepkör
Operations Manager	Felügyeleti kiszolgáló és webkonzolok
Virtual Machine Manager	(Nem kötelező)
Orchestrator	Felügyeleti kiszolgáló
Data Protection Manager	Felügyeleti kiszolgáló
Service Manager	Felügyeleti kiszolgáló

A Microsoft SQL Server 2012 Native Client 11.0 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.

A System Center Operations Manager és a Service Manager esetében az ODBC 11.0-s vagy ODBC 13.0-s verziójának telepítve kell lennie az összes felügyeleti kiszolgálón.

Telepítse a System Center 2012 R2 szükséges frissítéseit a tudásbázis következő cikkében:

4043306 A Microsoft System Center 2012 R2 14. kumulatív frissítésének leírása

Összetevő	2012 R2
Operations Manager	A System Center 2012 R2 Operations Manager 14. kumulatív frissítése
Service Manager	14. kumulatív frissítés a System Center 2012 R2 Service Manager
Orchestrator	14. kumulatív frissítés a System Center 2012 R2 Orchestratorhoz
Data Protection Manager	A System Center 2012 R2 Data Protection Manager 14. kumulatív frissítése

Megjegyzés A Data Protection Manager kivételével mindenképpen bontsa ki a fájl tartalmát, és telepítse az MSP-fájlt a megfelelő szerepkörre. A Data Protection Manager esetében telepítse a .exe fájlt.

SHA1- és SHA2-tanúsítványok

A System Center összetevői mostantól SHA1 és SHA2 önaláírt tanúsítványokat is létrehoznak. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.

A Windows beállítása csak a TLS 1.2 használatára

Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.

1. módszer: A beállításjegyzék manuális módosítása

Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.

Az SCHANNEL protokollok rendszerszintű engedélyezéséhez/letiltásához kövesse az alábbi lépéseket. Javasoljuk, hogy engedélyezze a TLS 1.2 protokollt a bejövő kommunikációhoz, és engedélyezze a TLS 1.2, a TLS 1.1 és a TLS 1.0 protokollt minden kimenő kommunikációhoz.

Megjegyzés: A beállításjegyzék ezen módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.

Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
Keresse meg a következő beállításjegyzék-alkulcsot:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Kattintson a jobb gombbal a Protokoll kulcsra, mutasson az Új pontra, majd kattintson a Kulcs parancsra.
Írja be az SSL 3-at, majd nyomja le az Enter billentyűt.
Ismételje meg a 3. és a 4. lépést a TLS 0, a TLS 1.1 és a TLS 1.2 kulcsainak létrehozásához. Ezek a kulcsok hasonlóak a könyvtárakhoz.
Hozzon létre egy ügyfélkulcsot és egy kiszolgálókulcsot mindegyik SSL 3, TLS 1.0, TLS 1.1 és TLS 1.2 kulcs alatt.
Protokoll engedélyezéséhez hozza létre a DWORD értéket az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:

DisabledByDefault [Érték = 0]
Engedélyezve [Érték = 1]
Protokoll letiltásához módosítsa a DWORD értékét az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:

DisabledByDefault [Érték = 1]
Engedélyezve [Érték = 0]
A Fájl menüben válassza a Kilépés lehetőséget.

2. módszer: A beállításjegyzék automatikus módosítása

Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a Windows automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

A System Center beállítása csak a TLS 1.2 használatára

Állítsa be, hogy a System Center csak a TLS 1.2 protokollt használja. Ehhez először győződjön meg arról, hogy minden előfeltétel teljesül. Ezután konfigurálja a következő beállításokat a System Center összetevőin és az összes többi kiszolgálón, amelyre az ügynökök telepítve vannak.

Használja az alábbi módszerek egyikét.

1. módszer: A beállításjegyzék manuális módosítása

Fontos: Pontosan kövesse a szakasz lépéseit. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.

Ha engedélyezni szeretné, hogy a telepítés támogassa a TLS 1.2 protokollt, kövesse az alábbi lépéseket:

Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
Keresse meg a következő beállításjegyzék-alkulcsot:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Hozza létre a következő DWORD értéket a kulcs alatt:

SchUseStrongCrypto [Érték = 1]
Keresse meg a következő beállításjegyzék-alkulcsot:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Hozza létre a következő DWORD értéket a kulcs alatt:

SchUseStrongCrypto [Érték = 1]
Indítsa újra a rendszert.

2. módszer: A beállításjegyzék automatikus módosítása

Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a System Center automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

További beállítások

Operations Manager

Felügyeleti csomagok

Importálja a System Center 2012 R2 Operations Manager felügyeleti csomagjait. Ezek a kiszolgálófrissítés telepítése után a következő könyvtárban találhatók:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

ACS-beállítások

A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania a beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.

Keresse meg az ODBC következő alkulcsát a beállításjegyzékben.

Megjegyzés A DSN alapértelmezett neve OpsMgrAC.
Az ODBC-adatforrások alkulcsában válassza ki az OpsMgrAC nevű DSN-név bejegyzését. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet odbc-illesztő 11-re SQL Server. Ha az ODBC 13.0 telepítve van, módosítsa ezt a nevet odbc-illesztő 13-ra SQL Server.
Az OpsMgrAC alkulcsban frissítse a telepített ODBS-verzió illesztőprogram-bejegyzését.
- Ha az ODBC 11.0 telepítve van, módosítsa az illesztőprogram bejegyzését a következőre: %WINDIR%\system32\msodbcsql11.dll.
- Ha az ODBC 13.0 telepítve van, módosítsa az illesztőprogram bejegyzését %WINDIR%\system32\msodbcsql13.dllértékre.
- Másik lehetőségként létrehozhatja és mentheti a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.
  
  ODBC 11.0 esetén hozza létre a következő ODBC 11.0.reg fájlt:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  ODBC 13.0 esetén hozza létre a következő ODBC 13.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC adatforrások] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-beli megkeményedés Linuxon

A TLS 1.2 Red Hat - vagy Apache-környezetben való konfigurálásához kövesse a megfelelő webhelyen található utasításokat.

Data Protection Manager

Ha engedélyezni szeretné, hogy a Data Protection Manager együttműködjön a TLS 1.2-vel a felhőbe történő biztonsági mentéshez, engedélyezze ezeket a lépéseket a Data Protection Manager-kiszolgálón.

Orchestrator

Az Orchestrator-frissítések telepítése után konfigurálja újra az Orchestrator-adatbázist a meglévő adatbázis használatával az irányelveknek megfelelően.

Service Manager

A Service Manager frissítések telepítése előtt telepítse a szükséges csomagokat, és konfigurálja újra a beállításkulcs-értékeket a TUDÁSBÁZIS 4024037 "Telepítés előtt" című szakaszában leírtak szerint.

Továbbá, ha a System Center Operations Managerrel figyeli a System Center Service Manager, frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb (7.5.7487.89-es verziójú) verziójára.

Szolgáltatáskezelési automatizálás (SMA)

Ha a System Center Operations Managerrel figyeli a Szolgáltatáskezelési automatizálást (SMA), frissítsen a TLS 1.2-támogatás figyelési felügyeleti csomagjának legújabb verziójára:

System Center felügyeleti csomag a System Center 2012 R2 Orchestratorhoz – Szolgáltatásfelügyelet automatizálása

Külső felek kapcsolatfelvételi nyilatkozata

A Microsoft külső féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek a kapcsolattartási adatok értesítés nélkül változhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.