Összefoglalás
Ez a cikk bemutatja, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját Microsoft System Center 2016-környezetben.
További információ
Ha engedélyezni szeretné a TLS protokoll 1.2-es verzióját a System Center-környezetben, kövesse az alábbi lépéseket:
-
Telepítse a frissítéseket a kiadásból.Megjegyzések
-
A Service Management Automation (SMA) és a Service Provider Foundation (SPF) szolgáltatást frissíteni kell a legutóbbi kumulatív frissítésre, mert az UR4 nem tartalmaz frissítéseket ezekhez az összetevőkhöz.
-
A Service Management Automation (SMA) esetében frissítsen az 1. kumulatív frissítésre, és frissítse az SMA felügyeleti csomagot (MP) a Microsoft letöltőközpont ezen weblapjáról.
-
A Service Provider Foundation (SPF) esetében frissítsen a 2. kumulatív frissítésre.
-
System Center Virtual Machine Manager (SCVMM) legalább a 3. kumulatív frissítésre kell frissíteni.
-
-
Győződjön meg arról, hogy a beállítás ugyanolyan működőképes, mint a frissítések alkalmazása előtt volt. Ellenőrizze például, hogy elindítható-e a konzol.
-
Módosítsa a konfigurációs beállításokat a TLS 1.2 engedélyezéséhez.
-
Győződjön meg arról, hogy az összes szükséges SQL Server szolgáltatás fut.
Frissítések telepítése
|
Frissítési tevékenység |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Győződjön meg arról, hogy az összes aktuális biztonsági frissítés telepítve van Windows Server 2012 R2 vagy Windows Server 2016 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Igen |
|
|
Győződjön meg arról, hogy a hitelesítésszolgáltató által aláírt tanúsítványok SHA1 vagy SHA2 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
1 System Center Operations Manager (SCOM)2 System Center Virtual Machine Manager (SCVMM)3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)5 Service Management Automation (SMA)6 Service Provider Foundation (SPF)7 Service Manager (SM)
Konfigurációs beállítások módosítása
|
Konfigurációfrissítés |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Beállítás Windows rendszeren csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
A System Center beállítása csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Nem |
.NET-keretrendszer
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van. Ehhez kövesseaz alábbi utasításokat.
TLS 1.2-támogatás
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést. Ehhez tekintse meg a Microsoft Tudásbázis következő cikkét:
3135244 A Microsoft SQL Server TLS 1.2-támogatása
A System Center 2016 szükséges frissítései
SQL Server 2012 Natív ügyfél 11.0-t kell telepíteni az összes következő System Center-összetevőre.
|
Összetevő |
Szerepkör |
Szükséges SQL-illesztő |
|
Operations Manager |
Felügyeleti kiszolgáló és webkonzolok |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server az Operations Manager 2016 UR9 és újabb verzióiban támogatott. |
|
Virtual Machine Manager |
(Nem kötelező) |
(Nem kötelező) |
|
Orchestrator |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server az Orchestrator 2016 UR8 és újabb verzióiban támogatott. |
|
Data Protection Manager |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 |
|
Service Manager |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server a Service Manager 2016 UR9 és újabb verziókban támogatott. |
A Microsoft SQL Server 2012 Native Client 11.0 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.
A Microsoft OLE DB Driver 18 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.
A System Center Operations Manager és a Service Manager esetében az ODBC 11.0-s vagy ODBC 13.0-s verziójának telepítve kell lennie az összes felügyeleti kiszolgálón.
Telepítse a szükséges System Center 2016-frissítéseket az alábbi tudásbáziscikkből:
4043305 A Microsoft System Center 2016 4. kumulatív frissítésének leírása
|
Összetevő |
2016 |
|
Operations Manager |
A System Center 2016 Operations Manager 4. kumulatív frissítése |
|
Service Manager |
A System Center 2016 2016 4. kumulatív frissítése Service Manager |
|
Orchestrator |
A System Center 2016 Orchestrator 4. kumulatív frissítése |
|
Data Protection Manager |
A System Center 2016 Data Protection Manager 4. kumulatív frissítése |
Megjegyzés Mindenképpen bontsa ki a fájl tartalmát, és telepítse az MSP-fájlt a megfelelő szerepkörre.
SHA1- és SHA2-tanúsítványok
A System Center összetevői mostantól SHA1 és SHA2 önaláírt tanúsítványokat is létrehoznak. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.
A Windows beállítása csak a TLS 1.2 használatára
Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.
1. módszer: A beállításjegyzék manuális módosítása
Fontos Kövesse figyelmesen az ebben a szakaszban leírt lépéseket. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Az SCHANNEL protokollok rendszerszintű engedélyezéséhez/letiltásához kövesse az alábbi lépéseket. Javasoljuk, hogy engedélyezze a TLS 1.2 protokollt a bejövő kommunikációhoz; és engedélyezze a TLS 1.2, a TLS 1.1 és a TLS 1.0 protokollt minden kimenő kommunikációhoz.
Megjegyzés: A beállításjegyzék ezen módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kattintson a jobb gombbal a Protokoll kulcsra, mutasson az Új pontra, majd kattintson a Kulcs parancsra.
-
Írja be az SSL 3-at, majd nyomja le az Enter billentyűt.
-
Ismételje meg a 3. és a 4. lépést a TLS 0, a TLS 1.1 és a TLS 1.2 kulcsainak létrehozásához. Ezek a kulcsok hasonlóak a könyvtárakhoz.
-
Hozzon létre egy ügyfélkulcsot és egy kiszolgálókulcsot mindegyik SSL 3, TLS 1.0, TLS 1.1 és TLS 1.2 kulcs alatt.
-
Protokoll engedélyezéséhez hozza létre a DWORD értéket az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 0] Engedélyezve [Érték = 1] Protokoll letiltásához módosítsa a DWORD értékét az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 1] Engedélyezve [Érték = 0]
-
Kattintson a Fájl menü Kilépés parancsára.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a Windows automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
A System Center beállítása csak a TLS 1.2 használatára
Állítsa be, hogy a System Center csak a TLS 1.2 protokollt használja. Ehhez először győződjön meg arról, hogy minden előfeltétel teljesül. Ezután végezze el a következő beállításokat a System Center összetevőin és minden más kiszolgálón, amelyre ügynökök vannak telepítve.
Használja az alábbi módszerek egyikét.
1. módszer: A beállításjegyzék manuális módosítása
Fontos Kövesse figyelmesen az ebben a szakaszban leírt lépéseket. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Ha engedélyezni szeretné, hogy a telepítés támogassa a TLS 1.2 protokollt, kövesse az alábbi lépéseket:
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Indítsa újra a rendszert.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a System Center automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
További beállítások
Operations Manager
Felügyeleti csomagok
Importálja a System Center 2016 Operations Manager felügyeleti csomagjait. Ezek a kiszolgálófrissítés telepítése után a következő könyvtárban találhatók:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
ACS-beállítások
A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania a beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
-
Keresse meg az ODBC következő alkulcsát a beállításjegyzékben.Megjegyzés A DSN alapértelmezett neve OpsMgrAC.
-
Az ODBC-adatforrások alkulcsában válassza ki az OpsMgrAC nevű DSN-név bejegyzését. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet odbc-illesztő 11-re SQL Server. Ha az ODBC 13.0 telepítve van, módosítsa ezt a nevet odbc-illesztő 13-ra SQL Server.
-
Az OpsMgrAC alkulcsban frissítse a telepített ODBS-verzió illesztőprogram-bejegyzését.
-
Ha az ODBC 11.0 telepítve van, módosítsa az illesztőprogram bejegyzését a következőre: %WINDIR%\system32\msodbcsql11.dll.
-
Ha az ODBC 13.0 telepítve van, módosítsa az illesztőprogram bejegyzését %WINDIR%\system32\msodbcsql13.dllértékre.
-
Másik lehetőségként létrehozhatja és mentheti a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra. ODBC 11.0 esetén hozza létre a következő ODBC 11.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" ODBC 13.0 esetén hozza létre a következő ODBC 13.0.reg fájlt: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-beli megkeményedés Linuxon
A TLS 1.2 Red Hat - vagy Apache-környezetben való konfigurálásához kövesse a megfelelő webhelyen található utasításokat.
Data Protection Manager
Ha engedélyezni szeretné, hogy a Data Protection Manager együttműködjön a TLS 1.2-vel a felhőbe történő biztonsági mentéshez, engedélyezze ezeket a lépéseket a Data Protection Manager-kiszolgálón.
Orchestrator
Az Orchestrator-frissítések telepítése után konfigurálja újra az Orchestrator-adatbázist a meglévő adatbázis használatával az irányelveknek megfelelően.
Külső felek kapcsolatfelvételi nyilatkozata
A Microsoft külső féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek a kapcsolattartási adatok értesítés nélkül változhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.
