Ringkasan
Artikel ini menguraikan cara mengaktifkan protokol Transport Layer Security (TLS) versi 1.2 dalam lingkungan Microsoft System Center 2016.
Informasi Selengkapnya
Untuk mengaktifkan protokol TLS versi 1.2 di lingkungan Pusat Sistem Anda, ikuti langkah-langkah berikut:
-
Instal pembaruan dari rilis.
Catatan-
Service Management Automation (SMA) dan Service Provider Foundation (SPF) harus dimutakhirkan ke rollup pembaruan terbaru mereka karena UR4 tidak memiliki pembaruan untuk komponen ini.
-
Untuk Service Management Automation (SMA), mutakhirkan ke Update Rollup 1, dan juga perbarui paket manajemen SMA (MP) dari halaman web Pusat Unduhan Microsoft ini.
-
Untuk Service Provider Foundation (SPF), mutakhirkan ke Update Rollup 2.
-
Manajer Mesin Virtual Pusat Sistem (SCVMM) harus dimutakhirkan ke setidaknya Pembaruan Rollup 3.
-
-
Pastikan bahwa penyiapan berfungsi seperti sebelum Anda menerapkan pembaruan. Misalnya, periksa apakah Anda dapat memulai konsol.
-
Ubah pengaturan konfigurasi untuk mengaktifkan TLS 1.2.
-
Pastikan bahwa semua layanan SQL Server yang diperlukan berjalan.
Instal pembaruan
|
Perbarui aktivitas |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Pastikan bahwa semua pembaruan keamanan saat ini diinstal untuk Windows Server 2012 R2 atau Windows Server 2016 |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
|
Pastikan bahwa .NET Framework 4.6 diinstal di semua komponen Pusat Sistem |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
|
Instal pembaruan SQL Server yang diperlukan yang mendukung TLS 1.2 |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
|
Ya |
Tidak |
Ya |
Ya |
Tidak |
Tidak |
Ya |
|
|
Pastikan bahwa sertifikat yang ditandatangani CA adalah SHA1 atau SHA2 |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Mengubah pengaturan konfigurasi
|
Pembaruan konfigurasi |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Pengaturan di Windows agar hanya menggunakan Protokol TLS 1.2 |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
|
Pengaturan pada Pusat Sistem agar hanya menggunakan Protokol TLS 1.2 |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
Ya |
|
Ya |
Tidak |
Ya |
Ya |
Tidak |
Tidak |
Tidak |
.NET Framework
Pastikan bahwa .NET Framework 4.6 diinstal di semua komponen Pusat Sistem. Untuk melakukan ini, ikutiinstruksi ini.
Dukungan TLS 1.2
Instal pembaruan SQL Server yang diperlukan yang mendukung TLS 1.2. Untuk melakukannya, lihat artikel berikut ini di Pangkalan Pengetahuan Microsoft:
3135244 Dukungan TLS 1.2 untuk SQL Server Microsoft
Pembaruan Pusat Sistem yang Diperlukan 2016
SQL Server 2012 Native client 11.0 harus diinstal pada semua komponen Pusat Sistem berikut ini.
|
Komponen |
Peran |
Driver SQL wajib |
|
Manajer Operasi |
Server Manajemen dan Konsol Web |
SQL Server 2012 Native client 11.0 atau Microsoft OLE DB Driver 18 untuk SQL Server (disarankan). Note Microsoft OLE DB Driver 18 untuk SQL Server didukung dengan Operations Manager 2016 UR9 dan yang lebih baru. |
|
Manajer Mesin Virtual |
(Tidak diperlukan) |
(Tidak diperlukan) |
|
Orkestrator |
Server Manajemen |
SQL Server 2012 Native client 11.0 atau Microsoft OLE DB Driver 18 untuk SQL Server (disarankan). Note Microsoft OLE DB Driver 18 untuk SQL Server didukung dengan Orchestrator 2016 UR8 dan yang lebih baru. |
|
Manajer Perlindungan Data |
Server Manajemen |
SQL Server 2012 Native client 11.0 |
|
Manajer Layanan |
Server Manajemen |
SQL Server 2012 Native client 11.0 atau Microsoft OLE DB Driver 18 untuk SQL Server (disarankan). Note Microsoft OLE DB Driver 18 untuk SQL Server didukung dengan Service Manager 2016 UR9 dan yang lebih baru. |
Untuk mengunduh dan menginstal Microsoft SQL Server 2012 Native Client 11.0, lihat halaman web Pusat Unduhan Microsoft ini.
Untuk mengunduh dan menginstal Microsoft OLE DB Driver 18, lihat halaman web Pusat Unduhan Microsoft ini.
Untuk Manajer Operasi dan Manajer Layanan Pusat Sistem, Anda harus memiliki ODBC 11.0 atau ODBC 13.0 yang terinstal di semua server manajemen.
Instal pembaruan Pusat Sistem 2016 yang diperlukan dari artikel Pangkalan Pengetahuan berikut ini:
4043305 Deskripsi Pembaruan Rollup 4 untuk Microsoft System Center 2016
|
Komponen |
2016 |
|
Manajer Operasi |
Update Rollup 4 untuk System Center 2016 Operations Manager |
|
Manajer Layanan |
Pembaruan Rollup 4 untuk System Center 2016 Service Manager |
|
Orkestrator |
Pembaruan Rollup 4 untuk System Center 2016 Orchestrator |
|
Manajer Perlindungan Data |
Pembaruan Rollup 4 untuk System Center 2016 Data Protection Manager |
Catatan Pastikan Bahwa Anda memperluas konten file dan menginstal file MSP pada peran yang sesuai.
Sertifikat SHA1 dan SHA2
Komponen Pusat Sistem kini menghasilkan sertifikat SHA1 dan SHA2 yang ditandatangani sendiri. Hal ini diperlukan untuk mengaktifkan TLS 1.2. Jika sertifikat yang ditandatangani CA digunakan, pastikan bahwa sertifikat tersebut adalah SHA1 atau SHA2.
Mengatur Windows agar hanya menggunakan TLS 1.2
Gunakan salah satu metode berikut untuk mengonfigurasi Windows agar hanya menggunakan protokol TLS 1.2.
Metode 1: Mengubah registri secara manual
Penting
Ikuti langkah-langkah di bagian ini dengan cermat. Masalah serius dapat terjadi apabila Anda salah memodifikasi registri. Sebelum Anda mengubahnya, cadangkan registri untuk pemulihan jika terjadi masalah.
Gunakan langkah-langkah berikut untuk mengaktifkan/menonaktifkan semua protokol SCHANNEL di seluruh sistem. Kami menyarankan agar Anda mengaktifkan protokol TLS 1.2 untuk komunikasi masuk; dan mengaktifkan protokol TLS 1.2, TLS 1.1, dan TLS 1.0 untuk semua komunikasi keluar.
Note Membuat perubahan registri ini tidak mempengaruhi penggunaan protokol Kerberos atau NTLM.
-
Mulai Editor Registri. Untuk melakukan ini, klik kanan Mulai, ketik regedit dalam kotak Jalankan , lalu klik OK.
-
Temukan subkey registri berikut ini:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Klik kanan tombol Protokol , arahkan ke Baru, lalu klik Tombol.
-
Ketikkan SSL 3, lalu tekan Enter.
-
Ulangi langkah 3 dan 4 untuk membuat kunci untuk TLS 0, TLS 1.1, dan TLS 1.2. Kunci ini menyerupai direktori.
-
Buat kunci Klien dan kunci Server di bawah setiap kunci SSL 3, TLS 1.0, TLS 1.1, dan TLS 1.2 .
-
Untuk mengaktifkan protokol, buat nilai DWORD di bawah setiap kunci Klien dan Server sebagai berikut:
DisabledByDefault [Value = 0]
Diaktifkan [Nilai = 1]
Untuk menonaktifkan protokol, ubah nilai DWORD di bawah setiap kunci Klien dan Server sebagai berikut:DisabledByDefault [Nilai = 1]
Diaktifkan [Nilai = 0] -
Di menu File, klik Keluar.
Metode 2: Mengubah registri secara otomatis
Jalankan skrip Windows PowerShell berikut dalam mode Administrator untuk mengonfigurasi Windows secara otomatis agar hanya menggunakan Protokol TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Mengatur Pusat Sistem agar hanya menggunakan TLS 1.2
Atur Pusat Sistem agar hanya menggunakan protokol TLS 1.2. Untuk melakukan ini, pastikan terlebih dahulu bahwa semua prasyarat terpenuhi. Lalu, buat pengaturan berikut pada komponen Pusat Sistem dan semua server lain di mana agen diinstal.
Gunakan salah satu metode berikut ini.
Metode 1: Mengubah registri secara manual
Penting
Ikuti langkah-langkah di bagian ini dengan cermat. Masalah serius dapat terjadi apabila Anda salah memodifikasi registri. Sebelum Anda mengubahnya, cadangkan registri untuk pemulihan jika terjadi masalah.
Untuk mengaktifkan penginstalan guna mendukung protokol TLS 1.2, ikuti langkah-langkah berikut:
-
Mulai Editor Registri. Untuk melakukan ini, klik kanan Mulai, ketik regedit dalam kotak Jalankan, lalu klik OK.
-
Temukan subkey registri berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Buat nilai DWORD berikut di bawah kunci ini:
SchUseStrongCrypto [Nilai = 1]
-
Temukan subkey registri berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Buat nilai DWORD berikut di bawah kunci ini:
SchUseStrongCrypto [Nilai = 1]
-
Hidupkan ulang sistem.
Metode 2: Mengubah registri secara otomatis
Jalankan skrip Windows PowerShell berikut dalam mode Administrator untuk mengonfigurasi Pusat Sistem secara otomatis agar hanya menggunakan Protokol TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Pengaturan tambahan
Manajer Operasi
Paket Manajemen
Impor paket manajemen untuk Manajer Operasi System Center 2016. Ini terletak di direktori berikut ini setelah Anda menginstal pembaruan server:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs untuk Rollup Pembaruan
Pengaturan ACS
Untuk Layanan Pengumpulan Audit (ACS), Anda harus membuat perubahan tambahan dalam registri. ACS menggunakan DSN untuk membuat koneksi ke database. Anda harus memperbarui pengaturan DSN agar berfungsi untuk TLS 1.2.
-
Temukan subkey berikut untuk ODBC dalam registri.
Catatan Nama default DSN adalah OpsMgrAC.
-
Di subkey Sumber Data ODBC , pilih entri untuk nama DSN, OpsMgrAC. Ini berisi nama driver ODBC yang akan digunakan untuk koneksi database. Jika Anda menginstal ODBC 11.0, ubah nama ini menjadi Driver ODBC 11 untuk SQL Server. Atau, jika Anda menginstal ODBC 13.0, ubah nama ini menjadi Driver ODBC 13 untuk SQL Server.
-
Dalam subkey OpsMgrAC , perbarui entri Driver untuk versi ODBS yang diinstal.
-
Jika ODBC 11.0 diinstal, ubah entri Driver ke %WINDIR%\system32\msodbcsql11.dll.
-
Jika ODBC 13.0 diinstal, ubah entri Driver ke %WINDIR%\system32\msodbcsql13.dll.
-
Alternatifnya, buat dan simpan file .reg berikut ini di Notepad atau editor teks lainnya. Untuk menjalankan file .reg yang disimpan, klik ganda file.
Untuk ODBC 11.0, buat file ODBC 11.0.reg berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Sumber Data] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Untuk ODBC 13.0, buat file ODBC 13.0.reg berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Sumber Data] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Pengeras TLS di Linux
Ikuti instruksi di situs web yang sesuai untuk mengonfigurasi TLS 1.2 di lingkungan Red Hat atau Apache Anda.
Manajer Perlindungan Data
Untuk memungkinkan Manajer Perlindungan Data bekerja sama dengan TLS 1.2 untuk mencadangkan ke awan, aktifkan langkah-langkah ini di server Manajer Perlindungan Data.
Orkestrator
Setelah pembaruan Orkestrator diinstal, konfigurasi ulang database Orchestrator dengan menggunakan database yang sudah ada sesuai dengan panduan ini.
Sanggahan kontak pihak ketiga
Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan informasi tambahan tentang topik ini. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak pihak ketiga.
