1.2 protokol TLS panduan penyebaran dukungan untuk System Center 2012 R2

Ringkasan

Artikel ini menjelaskan cara mengaktifkan versi protokol Transport Layer Security (TLS) 1.2 di lingkungan Microsoft System Center 2012 R2.

Informasi lebih lanjut

Untuk mengaktifkan versi protokol TLS 1.2 di lingkungan pusat sistem Anda, ikuti langkah-langkah berikut:

  1. Instal pembaruan dari peluncuran.

    Catatan

    • Menginstal Batal pemutakhiran terbaru untuk semua komponen System Center sebelum menerapkan Batal pemutakhiran 14.

  2. Pastikan bahwa setup tidak berfungsi seperti sebelum Anda menerapkan pembaruan. Sebagai contoh, periksa apakah Anda dapat memulai konsol.

  3. Mengubah pengaturan konfigurasi untuk mengaktifkan TLS 1.2.

  4. Pastikan bahwa semua diperlukan layanan SQL Server berjalan.


Menginstal pemutakhiran

Aktivitas pembaruan

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Pastikan bahwa semua saat ini diinstal pembaruan keamanan untuk Windows Server 2012 R2

Ya

Ya

Ya

Ya

Ya

Ya

Ya

Pastikan bahwa .NET Framework 4.6 diinstal pada semua komponen System Center

Ya

 

Ya

 

Ya

Ya

Ya

Ya

Ya

Instal pemutakhiran SQL Server diperlukan yang mendukung TLS 1.2

Ya

Ya

Ya

Ya

Ya

Ya

Ya

Instal pemutakhiran System Center 2012 R2 yang diperlukan

Ya

Tidak

Ya

Ya

Tidak

Tidak

Ya

Pastikan bahwa sertifikat CA-masuk yang SHA1 atau SHA2

Ya

Ya

Ya

Ya

Ya

Ya

Ya


1System Center Operations Manager (SCOM)
2System Center Virtual Machine Manager (SCVMM)
3System Center Data Protection Manager (SCDPM)
4Pengelola System Center (SCO)
5Layanan Manajemen otomatisasi (SMA)
6Service Provider Foundation (SPF)
7Service Manager (SM)


Mengubah pengaturan konfigurasi

Konfigurasi pemutakhiran

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Pengaturan Windows untuk menggunakan hanya TLS 1.2 protokol

Ya

Ya

Ya

Ya

Ya

Ya

Ya

Pengaturan di pusat sistem untuk menggunakan hanya TLS 1.2 protokol

Ya

Ya

Ya

Ya

Ya

Ya

Ya

Pengaturan tambahan

Ya

Tidak

Ya

Ya

Tidak

Tidak

Tidak


.NET Framework 

Pastikan bahwa .NET Framework 4.6 diinstal pada semua komponen System Center. Untuk melakukannya, ikutipetunjuk ini.

Dukungan TLS 1.2

Instal pemutakhiran SQL Server yang diperlukan yang mendukung TLS 1.2. Untuk melakukannya, lihat artikel di Pangkalan Pengetahuan Microsoft:

3135244 TLS 1.2 dukungan untuk Microsoft SQL Server


System Center 2012 R2 pemutakhiran yang diperlukan

SQL Server 2012 Native client 11.0 harus diinstal pada semua komponen System Center berikut.

Komponen

Peran

Manajer operasi

Server manajemen dan konsol Web

Manajer mesin virtual

(Tidak diperlukan)

Pengelola

Server manajemen

Manajer perlindungan data

Server manajemen

Manajer Layanan

Server manajemen


Untuk mengunduh dan memasang Microsoft SQL Server 2012 Native Client 11.0, lihat halaman web Pusat Unduhan Microsoft berikut ini.

Untuk System Center Operations Manager dan Manajer Layanan, Anda harus memiliki ODBC 11.0 atau ODBC 13.0 diinstal pada semua server manajemen.

Instal pemutakhiran System Center 2012 R2 yang diperlukan dari artikel Basis Pengetahuan berikut:

Deskripsi 4043306 14 Batal pemutakhiran untuk Microsoft System Center 2012 R2
 

Komponen

2012 R2

Manajer operasi

Update Rollup 14 untuk manajer operasional System Center 2012 R2

Manajer Layanan

Update Rollup 14 untuk System Center 2012 R2 Service Manager

Pengelola

Update Rollup 14 untuk System Center 2012 R2 Orkestrator

Manajer perlindungan data

Update Rollup 14 untuk System Center 2012 R2 Data Protection Manager


Catatan Pastikan bahwa Anda memperluas konten dari berkas dan memasang berkas MSP peran terkait, kecuali Data Protection Manager. Untuk Data Protection Manager, instal berkas .exe.

SHA1 dan SHA2 sertifikat

Komponen System Center sekarang menghasilkan SHA1 dan SHA2 sertifikat ditandatangani sendiri. Hal ini diperlukan untuk mengaktifkan TLS 1.2. Jika sertifikat CA-masuk yang digunakan, pastikan bahwa sertifikat SHA1 atau SHA2.

Mengatur Windows untuk menggunakan hanya TLS 1.2

Gunakan salah satu dari metode berikut untuk mengkonfigurasi Windows untuk menggunakan hanya protokol TLS 1.2.

Metode 1: Secara manual mengubah registri

Penting

Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi apabila Anda salah mengubah registri. Sebelum Anda mengubahnya, Buatlah cadangan registri untuk pemulihan apabila terjadi masalah.

Gunakan langkah-langkah berikut ini untuk mengaktifkan/menonaktifkan semua protokol SCHANNEL sistem. Kami sarankan Anda mengaktifkan TLS 1.2 protokol komunikasi masuk dan mengaktifkan protokol TLS 1.0, TLS 1.1 dan TLS 1.2 untuk semua komunikasi keluar.

Catatan Membuat perubahan registri ini tidak mempengaruhi penggunaan protokol Kerberos atau NTLM.

  1. Mulai Editor Registri. Untuk melakukannya, klik kanan mulai, ketik regedit di kotak dijalankan , dan kemudian pilih OK.

  2. Temukan subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Klik kanan kunci protokol , arahkan ke baru, dan kemudian klik kunci.

    Registry

  4. Ketik SSL 3, dan kemudian tekan Enter.

  5. Ulangi langkah 3 dan 4 untuk membuat kunci TLS 0, TLS 1.1 dan TLS 1.2. Kunci ini menyerupai direktori.

  6. Membuat kunci klien dan Server kunci di bawah setiap SSL 3, TLS 1.0, TLS 1.1, dan TLS 1.2 kunci.

  7. Untuk mengaktifkan protokol, buat nilai DWORD di bawah setiap kunci klien dan Server sebagai berikut:

    DisabledByDefault [Value = 0]
    Diaktifkan [Value = 1]
    Untuk menonaktifkan protokol, Ubah nilai DWORD di bawah setiap kunci klien dan Server sebagai berikut:

    DisabledByDefault [Value = 1]
    Diaktifkan [Value = 0]

  8. Pada File menu, pilih keluar.


Metode 2: Secara otomatis mengubah registri

Menjalankan skrip Windows PowerShell berikut ini dalam mode Administrator untuk secara otomatis mengkonfigurasi Windows untuk menggunakan hanya TLS 1.2 protokol:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Set System Center untuk menggunakan hanya TLS 1.2

Set pusat sistem untuk menggunakan hanya protokol TLS 1.2. Untuk melakukannya, pertama-tama pastikan bahwa semua prasyarat dipenuhi. Kemudian, konfigurasikan pengaturan berikut di pusat sistem komponen dan server lainnya di mana agen yang diinstal.

Gunakan salah satu metode berikut.

Metode 1: Secara manual mengubah registri

Penting

Ikuti langkah-langkah di bagian ini dengan seksama. Masalah serius dapat terjadi apabila Anda salah mengubah registri. Sebelum Anda mengubahnya, Buatlah cadangan registri untuk pemulihan apabila terjadi masalah.

Untuk mengaktifkan penginstalan untuk mendukung protokol TLS 1.2, ikuti langkah-langkah berikut:

  1. Mulai Editor Registri. Untuk melakukannya, klik kanan mulai, ketik regedit di kotak dijalankan , dan kemudian pilih OK.

  2. Temukan subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Buat nilai DWORD berikut ini di bawah kunci ini:

    SchUseStrongCrypto [Value = 1]

  4. Temukan subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Buat nilai DWORD berikut ini di bawah kunci ini:

    SchUseStrongCrypto [Value = 1]

  6. Restart sistem.


Metode 2: Secara otomatis mengubah registri

Menjalankan skrip Windows PowerShell berikut ini dalam mode Administrator untuk secara otomatis mengkonfigurasi pusat sistem untuk menggunakan hanya TLS 1.2 protokol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Pengaturan tambahan

Manajer operasi

Paket manajemen

Impor paket manajemen untuk System Center 2012 R2 Operations Manager. Ini terletak di direktori berikut setelah Anda menginstal pembaruan server:

System Center 2012 \Program Files\Microsoft R2\Operations Manager\Server\Management paket untuk Batal pemutakhiran

Pengaturan ACS

Untuk Audit koleksi layanan (ACS), Anda harus membuat perubahan tambahan di registri. ACS menggunakan DSN untuk membuat koneksi ke pangkalan data. Anda harus memperbarui pengaturan DSN agar fungsional untuk TLS 1.2.

  1. Temukan subkunci berikut ini untuk ODBC di registri.

    Catatan Nama default DSN adalah OpsMgrAC.

    ODBC. Subkunci INI

  2. Sumber Data ODBC subkunci, pilih entri untuk nama DSN, OpsMgrAC. Ini berisi nama driver ODBC untuk digunakan untuk koneksi database. Jika Anda memiliki ODBC 11.0 diinstal, mengubah nama ini ke 11 Driver ODBC untuk SQL Server. Atau, jika Anda memiliki ODBC 13.0 diinstal, mengubah nama ini 13 Driver ODBC untuk SQL Server.

    Sumber Data ODBC subkunci

  3. Pada subkunci OpsMgrAC , memperbarui pengandar entri untuk versi ODBS yang diinstal.

    OpsMgrAC subkunci

    • Jika ODBC 11.0 diinstal, mengubah entri pengandar untuk %WINDIR%\system32\msodbcsql11.dll.

    • Jika ODBC 13.0 diinstal, mengubah entri pengandar untuk %WINDIR%\system32\msodbcsql13.dll.

    • Selain itu, membuat dan menyimpan berkas .reg berikut di Notepad atau editor teks lainnya. Untuk menjalankan berkas .reg yang disimpan, klik dua kali berkas.

      Untuk ODBC 11.0, buat berkas 11.0.reg ODBC berikut ini:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Untuk ODBC 13.0, buat berkas 13.0.reg ODBC berikut ini: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS pengerasan di Linux

Ikuti petunjuk pada situs web yang sesuai untuk mengkonfigurasi TLS 1.2 di lingkungan Anda Red Hat atau Apache .

Manajer perlindungan data

Untuk mengaktifkan Data Protection Manager bekerja sama dengan TLS 1.2 untuk membuat cadangan ke cloud, Aktifkan langkah-langkah ini di server manajer Perlindungan Data.

Pengelola

Setelah pengelola pembaruan diinstal, mengkonfigurasi database pengelola menggunakan database yang ada sesuai pedoman.

Manajer Layanan

Sebelum Manajer Layanan pembaruan diinstal, Instal paket yang diperlukan dan mengkonfigurasi nilai kunci registri, seperti yang dijelaskan dalam " Sebelum penginstalan "bagian petunjuk KB 4024037 .

Juga, jika Anda pemantauan System Center Service Manager dengan menggunakan System Center Operations Manager, perbarui ke versi terbaru (v 7.5.7487.89) dari pemantauan paket manajemen TLS 1.2 dukungan:

Paket manajemen Microsoft System Center untuk System Center Service Manager

Layanan Manajemen otomatisasi (SMA)

Jika Anda adalah pemantauan Layanan Manajemen otomatisasi (SMA) dengan menggunakan System Center Operations Manager, update ke versi terbaru dari paket manajemen pemantauan TLS 1.2 dukungan:

Paket manajemen pusat sistem untuk System Center 2012 R2 pengelola - Otomasi Manajemen Layanan

Sanggahan kontak pihak ketiga

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan informasi tambahan tentang topik ini. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin akurasi dari informasi kontak pihak ketiga.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×