Összefoglalás
Ez a cikk bemutatja, hogyan engedélyezheti a Transport Layer Security (TLS) protokoll 1.2-es verzióját Microsoft System Center 2016-környezetben.
További információ
Ha engedélyezni szeretné a TLS protokoll 1.2-es verzióját a System Center-környezetben, kövesse az alábbi lépéseket:
-
Telepítse a frissítéseket a kiadásból.
Megjegyzések-
A Service Management Automation (SMA) és a Service Provider Foundation (SPF) szolgáltatást frissíteni kell a legutóbbi kumulatív frissítésre, mert az UR4 nem tartalmaz frissítéseket ezekhez az összetevőkhöz.
-
A Service Management Automation (SMA) esetében frissítsen az 1. kumulatív frissítésre, és frissítse az SMA felügyeleti csomagot (MP) a Microsoft letöltőközpont ezen weblapjáról.
-
A Service Provider Foundation (SPF) esetében frissítsen a 2. kumulatív frissítésre.
-
System Center Virtual Machine Manager (SCVMM) legalább a 3. kumulatív frissítésre kell frissíteni.
-
-
Győződjön meg arról, hogy a beállítás ugyanolyan működőképes, mint a frissítések alkalmazása előtt volt. Ellenőrizze például, hogy elindítható-e a konzol.
-
Módosítsa a konfigurációs beállításokat a TLS 1.2 engedélyezéséhez.
-
Győződjön meg arról, hogy az összes szükséges SQL Server szolgáltatás fut.
Frissítések telepítése
|
Frissítési tevékenység |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Győződjön meg arról, hogy az összes aktuális biztonsági frissítés telepítve van Windows Server 2012 R2 vagy Windows Server 2016 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Igen |
|
|
Győződjön meg arról, hogy a hitelesítésszolgáltató által aláírt tanúsítványok SHA1 vagy SHA2 |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Konfigurációs beállítások módosítása
|
Konfigurációfrissítés |
SCOM1 |
SCVMM2 |
SCDPM3 |
4. PONT |
SMA5 |
SPF6 |
SM7 |
|
Beállítás Windows rendszeren csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
A System Center beállítása csak a TLS 1.2 protokoll használatára |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
Igen |
|
Igen |
Nem |
Igen |
Igen |
Nem |
Nem |
Nem |
.NET-keretrendszer
Győződjön meg arról, hogy a .NET-keretrendszer 4.6 minden System Center-összetevőre telepítve van. Ehhez kövesseaz alábbi utasításokat.
TLS 1.2-támogatás
Telepítse a TLS 1.2-t támogató szükséges SQL Server frissítést. Ehhez tekintse meg a Microsoft Tudásbázis következő cikkét:
3135244 A Microsoft SQL Server TLS 1.2-támogatása
A System Center 2016 szükséges frissítései
SQL Server 2012 Natív ügyfél 11.0-t kell telepíteni az összes következő System Center-összetevőre.
|
Összetevő |
Szerepkör |
Szükséges SQL-illesztő |
|
Operations Manager |
Felügyeleti kiszolgáló és webkonzolok |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server az Operations Manager 2016 UR9 és újabb verzióiban támogatott. |
|
Virtual Machine Manager |
(Nem kötelező) |
(Nem kötelező) |
|
Orchestrator |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server az Orchestrator 2016 UR8 és újabb verzióiban támogatott. |
|
Data Protection Manager |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 |
|
Service Manager |
Felügyeleti kiszolgáló |
SQL Server 2012 Natív ügyfél 11.0 vagy Microsoft OLE DB Driver 18 for SQL Server (ajánlott). Megjegyzés: A Microsoft OLE DB Driver 18 for SQL Server a Service Manager 2016 UR9 és újabb verziókban támogatott. |
A Microsoft SQL Server 2012 Native Client 11.0 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.
A Microsoft OLE DB Driver 18 letöltéséhez és telepítéséhez tekintse meg a Microsoft letöltőközpont ezen weblapját.
A System Center Operations Manager és a Service Manager esetében az ODBC 11.0-s vagy ODBC 13.0-s verziójának telepítve kell lennie az összes felügyeleti kiszolgálón.
Telepítse a szükséges System Center 2016-frissítéseket az alábbi tudásbáziscikkből:
4043305 A Microsoft System Center 2016 4. kumulatív frissítésének leírása
|
Összetevő |
2016 |
|
Operations Manager |
A System Center 2016 Operations Manager 4. kumulatív frissítése |
|
Service Manager |
A System Center 2016 2016 4. kumulatív frissítése Service Manager |
|
Orchestrator |
A System Center 2016 Orchestrator 4. kumulatív frissítése |
|
Data Protection Manager |
A System Center 2016 Data Protection Manager 4. kumulatív frissítése |
Megjegyzés Mindenképpen bontsa ki a fájl tartalmát, és telepítse az MSP-fájlt a megfelelő szerepkörre.
SHA1- és SHA2-tanúsítványok
A System Center összetevői mostantól SHA1 és SHA2 önaláírt tanúsítványokat is létrehoznak. Ez a TLS 1.2 engedélyezéséhez szükséges. Ha hitelesítésszolgáltató által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.
A Windows beállítása csak a TLS 1.2 használatára
Az alábbi módszerek egyikével konfigurálhatja a Windowst úgy, hogy csak a TLS 1.2 protokollt használja.
1. módszer: A beállításjegyzék manuális módosítása
Fontos
Kövesse figyelmesen az ebben a szakaszban leírt lépéseket. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Az SCHANNEL protokollok rendszerszintű engedélyezéséhez/letiltásához kövesse az alábbi lépéseket. Javasoljuk, hogy engedélyezze a TLS 1.2 protokollt a bejövő kommunikációhoz; és engedélyezze a TLS 1.2, a TLS 1.1 és a TLS 1.0 protokollt minden kimenő kommunikációhoz.
Megjegyzés: A beállításjegyzék ezen módosításainak végrehajtása nincs hatással a Kerberos- vagy NTLM-protokollok használatára.
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kattintson a jobb gombbal a Protokoll kulcsra, mutasson az Új pontra, majd kattintson a Kulcs parancsra.
-
Írja be az SSL 3-at, majd nyomja le az Enter billentyűt.
-
Ismételje meg a 3. és a 4. lépést a TLS 0, a TLS 1.1 és a TLS 1.2 kulcsainak létrehozásához. Ezek a kulcsok hasonlóak a könyvtárakhoz.
-
Hozzon létre egy ügyfélkulcsot és egy kiszolgálókulcsot mindegyik SSL 3, TLS 1.0, TLS 1.1 és TLS 1.2 kulcs alatt.
-
Protokoll engedélyezéséhez hozza létre a DWORD értéket az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:
DisabledByDefault [Érték = 0]
Engedélyezve [Érték = 1]
Protokoll letiltásához módosítsa a DWORD értékét az egyes ügyfél- és kiszolgálókulcsok alatt az alábbiak szerint:DisabledByDefault [Érték = 1]
Engedélyezve [Érték = 0] -
Kattintson a Fájl menü Kilépés parancsára.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a Windows automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
A System Center beállítása csak a TLS 1.2 használatára
Állítsa be, hogy a System Center csak a TLS 1.2 protokollt használja. Ehhez először győződjön meg arról, hogy minden előfeltétel teljesül. Ezután végezze el a következő beállításokat a System Center összetevőin és minden más kiszolgálón, amelyre ügynökök vannak telepítve.
Használja az alábbi módszerek egyikét.
1. módszer: A beállításjegyzék manuális módosítása
Fontos
Kövesse figyelmesen az ebben a szakaszban leírt lépéseket. A beállításjegyzék helytelen módosítása komoly problémákat okozhat. A módosítás elvégzése előtt készítsen biztonsági másolatot a beállításjegyzékről arra az esetre, ha valamilyen probléma merülne fel.
Ha engedélyezni szeretné, hogy a telepítés támogassa a TLS 1.2 protokollt, kövesse az alábbi lépéseket:
-
Indítsa el a beállításszerkesztőt. Ehhez kattintson a jobb gombbal a Start gombra, írja be a regedit parancsot a Futtatás mezőbe, majd kattintson az OK gombra.
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Keresse meg a következő beállításjegyzék-alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Hozza létre a következő DWORD értéket a kulcs alatt:
SchUseStrongCrypto [Érték = 1]
-
Indítsa újra a rendszert.
2. módszer: A beállításjegyzék automatikus módosítása
Futtassa a következő Windows PowerShell parancsfájlt rendszergazdai módban a System Center automatikus konfigurálásához, hogy csak a TLS 1.2 protokollt használja:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
További beállítások
Operations Manager
Felügyeleti csomagok
Importálja a System Center 2016 Operations Manager felügyeleti csomagjait. Ezek a kiszolgálófrissítés telepítése után a következő könyvtárban találhatók:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
ACS-beállítások
A naplózási szolgáltatások (ACS) esetében további módosításokat kell végrehajtania a beállításjegyzékben. Az ACS a DSN használatával létesít kapcsolatot az adatbázissal. Frissítenie kell a DSN-beállításokat, hogy azok működőképesek legyenek a TLS 1.2-ben.
-
Keresse meg az ODBC következő alkulcsát a beállításjegyzékben.
Megjegyzés A DSN alapértelmezett neve OpsMgrAC.
-
Az ODBC-adatforrások alkulcsában válassza ki az OpsMgrAC nevű DSN-név bejegyzését. Ez tartalmazza az adatbázis-kapcsolathoz használandó ODBC-illesztő nevét. Ha telepítve van az ODBC 11.0, módosítsa ezt a nevet odbc-illesztő 11-re SQL Server. Ha az ODBC 13.0 telepítve van, módosítsa ezt a nevet odbc-illesztő 13-ra SQL Server.
-
Az OpsMgrAC alkulcsban frissítse a telepített ODBS-verzió illesztőprogram-bejegyzését.
-
Ha az ODBC 11.0 telepítve van, módosítsa az illesztőprogram bejegyzését a következőre: %WINDIR%\system32\msodbcsql11.dll.
-
Ha az ODBC 13.0 telepítve van, módosítsa az illesztőprogram bejegyzését %WINDIR%\system32\msodbcsql13.dllértékre.
-
Másik lehetőségként létrehozhatja és mentheti a következő .reg fájlt a Jegyzettömbben vagy egy másik szövegszerkesztőben. A mentett .reg fájl futtatásához kattintson duplán a fájlra.
ODBC 11.0 esetén hozza létre a következő ODBC 11.0.reg fájlt:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
ODBC 13.0 esetén hozza létre a következő ODBC 13.0.reg fájlt:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-adatforrások] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-beli megkeményedés Linuxon
A TLS 1.2 Red Hat - vagy Apache-környezetben való konfigurálásához kövesse a megfelelő webhelyen található utasításokat.
Data Protection Manager
Ha engedélyezni szeretné, hogy a Data Protection Manager együttműködjön a TLS 1.2-vel a felhőbe történő biztonsági mentéshez, engedélyezze ezeket a lépéseket a Data Protection Manager-kiszolgálón.
Orchestrator
Az Orchestrator-frissítések telepítése után konfigurálja újra az Orchestrator-adatbázist a meglévő adatbázis használatával az irányelveknek megfelelően.
Külső felek kapcsolatfelvételi nyilatkozata
A Microsoft külső féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek a kapcsolattartási adatok értesítés nélkül változhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.
