Guida alla distribuzione di TLS protocollo 1.2 supporto per System Center 2012 R2

Riepilogo

In questo articolo viene descritto come attivare la versione di protocollo di protezione TLS (Transport Layer) 1.2 in un ambiente di Microsoft System Center 2012 R2.

Ulteriori informazioni

Per attivare la versione di protocollo TLS 1.2 nell'ambiente di System Center, attenersi alla seguente procedura:

  1. Installare gli aggiornamenti dalla versione.

    Note

  2. Assicurarsi che il programma di installazione sia come funzionale in cui si trovava prima dell'applicazione di aggiornamenti. Ad esempio, verificare se è possibile avviare la console.

  3. Modificare le impostazioni di configurazione per abilitare TLS 1.2.

  4. Assicurarsi che tutte le richieste di servizi di SQL Server sono in esecuzione.


Installare gli aggiornamenti

Attività di aggiornamento

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Assicurarsi che gli vengono installati gli aggiornamenti della protezione per Windows Server 2012 R2

Assicurarsi che il 4.6 di.NET Framework è installato su tutti i componenti di System Center

 

 

Installare l'aggiornamento di SQL Server che supporta TLS 1.2

Installare gli aggiornamenti di System Center 2012 R2

No

No

No

Assicurarsi che i certificati CA di firma sono SHA1 o SHA2


1System Center Operations Manager (SCOM)
2System Center Virtual Machine Manager (SCVMM)
3System Center Data Protection Manager (SCDPM)
4System Center Orchestrator (SCO)
5Automazione della gestione assistenza (SMA)
6Servizio Provider Foundation SPF)
7Service Manager (SM)


Modificare le impostazioni di configurazione

Aggiornamento della configurazione

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

L'impostazione su Windows di utilizzare solo il protocollo TLS 1.2

Impostazione in System Center per utilizzare solo il protocollo TLS 1.2

Impostazioni aggiuntive

No

No

No

No


.NET Framework 

Assicurarsi che il 4.6 di.NET Framework sia installato su tutti i componenti di System Center. A tale scopo, seguirequeste istruzioni.

Supporto TLS 1.2

Installare l'aggiornamento di SQL Server che supporta TLS 1.2. A tale scopo, vedere il seguente articolo della Microsoft Knowledge Base:

3135244 TLS 1.2 supporto per Microsoft SQL Server


Necessari aggiornamenti di System Center 2012 R2

Client nativo di SQL Server 2012 11.0 deve essere installato su tutti i seguenti componenti di System Center.

Componente

Ruolo

Operations Manager

Gestione Server e Web Console

Virtual Machine Manager

(Non richiesto)

Orchestrator

Server di gestione

Data Protection Manager

Server di gestione

Gestore del servizio

Server di gestione


Per scaricare e installare Microsoft SQL Server 2012 Native Client 11.0, vedere la pagina Web area Download Microsoft.

Per System Center Operations Manager e gestore del servizio, è necessario disporre di ODBC 11.0 o 13.0 ODBC installato su tutti i server di gestione.

Installare gli aggiornamenti di System Center 2012 R2 il seguente articolo della Knowledge Base:

4043306 descrizione dell'aggiornamento cumulativo 14 per Microsoft System Center 2012 R2
 

Componente

2012 R2

Operations Manager

Aggiornamento cumulativo 14 per System Center 2012 R2 Operations Manager

Gestore del servizio

Aggiornamento cumulativo 14 per System Center 2012 R2 Service Manager

Orchestrator

Aggiornamento cumulativo 14 per System Center 2012 R2 Orchestrator

Data Protection Manager

Aggiornamento cumulativo 14 per System Center 2012 R2 Data Protection Manager


Nota: Assicurarsi di espandere il contenuto del file e installare il file MSP sul ruolo corrispondente, ad eccezione di Data Protection Manager. Per Data Protection Manager, installare il file .exe.

Certificati SHA1 e SHA2

Componenti di System Center ora generano certificati autofirmati SHA1 sia SHA2. È necessario per abilitare TLS 1.2. Se vengono utilizzati i certificati con CA, assicurarsi che i certificati sono SHA1 o SHA2.

Impostare Windows per utilizzare solo TLS 1.2

Utilizzare uno dei seguenti metodi per configurare Windows per utilizzare solo il protocollo TLS 1.2.

Metodo 1: Modificare manualmente il Registro di sistema

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarla, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Attenersi alla seguente procedura per abilitare o disabilitare tutti i protocolli a livello di sistema SCHANNEL. Si consiglia di attivare il protocollo TLS 1.2 per le comunicazioni in ingresso e di attivare i protocolli TLS 1.2, TLS 1.0 e 1.1 di TLS per tutte le comunicazioni in uscita.

Nota: Queste modifiche del Registro di sistema non influenza l'utilizzo dei protocolli Kerberos o NTLM.

  1. Avviare l'Editor del Registro di sistema. A tale scopo, destro Start, digitare regedit nella casella Apri e quindi scegliere OK.

  2. Cercare la seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Pulsante destro del mouse la chiave del protocollo , scegliere Nuovo, quindi chiave.

    Registro di sistema

  4. Digitare 3 SSLe quindi premere INVIO.

  5. Ripetere i passaggi 3 e 4 per creare chiavi per TLS 0, TLS 1.1 e 1.2 TLS. Queste chiavi sono simili a directory.

  6. Creare un tasto di Client e un Server all'interno del 3 di SSL, TLS 1.0, 1.1 TLSe chiavi TLS 1.2 .

  7. Per abilitare un protocollo, creare il valore DWORD nella chiave di ciascun Client e Server come segue:

    DisabledByDefault [valore = 0]
    Attivata [valore = 1]
    Per disattivare un protocollo, modificare il valore DWORD nella chiave di ciascun Client e Server come segue:

    DisabledByDefault [valore = 1]
    Attivata [valore = 0]

  8. Dal menu File , scegliere Esci.


Metodo 2: Modificare automaticamente il Registro di sistema

Eseguire il seguente script di Windows PowerShell in modalità di amministratore per configurare automaticamente Windows per utilizzare solo il protocollo di TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Set di System Center di utilizzare solo TLS 1.2

Set di System Center di utilizzare solo il protocollo TLS 1.2. A tale scopo, assicurarsi innanzitutto che tutti i prerequisiti sono soddisfatti. Quindi, configurare le impostazioni seguenti sui componenti di System Center e tutti gli altri server su cui sono installati gli agenti.

Utilizzare uno dei metodi descritti di seguito.

Metodo 1: Modificare manualmente il Registro di sistema

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarla, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Per attivare l'installazione supportare il protocollo TLS 1.2, attenersi alla seguente procedura:

  1. Avviare l'Editor del Registro di sistema. A tale scopo, destro Start, digitare regedit nella casella Apri e quindi scegliere OK.

  2. Cercare la seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Creare il seguente valore DWORD nella seguente chiave:

    SchUseStrongCrypto [valore = 1]

  4. Cercare la seguente sottochiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Creare il seguente valore DWORD nella seguente chiave:

    SchUseStrongCrypto [valore = 1]

  6. Riavviare il sistema.


Metodo 2: Modificare automaticamente il Registro di sistema

Eseguire il seguente script di Windows PowerShell in modalità di amministratore per configurare automaticamente System Center per utilizzare solo il protocollo di TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Impostazioni aggiuntive

Operations Manager

Management Pack

Importare i management pack per System Center 2012 R2 Operations Manager. Dopo aver installato l'aggiornamento di server si trovano nella seguente directory:

\Programmi\Microsoft system Center 2012 R2\Operations Manager\Server\Management Pack per gli aggiornamenti cumulativi

Impostazioni di ACS

Per Audit Collection Services (ACS), è necessario apportare ulteriori modifiche nel Registro di sistema. ACS utilizza il DSN per le connessioni al database. È necessario aggiornare le impostazioni DSN per renderli funzionali per TLS 1.2.

  1. Individuare la seguente sottochiave di ODBC nel Registro di sistema.

    Nota: Il nome predefinito del DSN è OpsMgrAC.

    ODBC. Sottochiave INI

  2. Nella sottochiave di Origini dati ODBC , selezionare la voce relativa al nome DSN, OpsMgrAC. Contiene il nome del driver ODBC da utilizzare per la connessione al database. Se si dispone di 11.0 ODBC installato, è possibile modificare questo nome a 11 Driver ODBC per SQL Server. In alternativa, se si dispone di 13.0 ODBC installato, è possibile modificare questo nome a 13 di Driver ODBC per SQL Server.

    Sottochiave di origini dati ODBC

  3. Nella sottochiave OpsMgrAC , aggiornare la voce di Driver per la versione ODBS installato.

    Sottochiave OpsMgrAC

    • Se è installato ODBC 11.0, modificare la voce di Driver in %WINDIR%\system32\msodbcsql11.dll.

    • Se è installato ODBC 13.0, modificare la voce di Driver in %WINDIR%\system32\msodbcsql13.dll.

    • In alternativa, creare e salvare il seguente file reg nel blocco note o un altro editor di testo. Per eseguire il file reg salvato, fare doppio clic sul file.

      Per ODBC 11.0, creare il seguente file di 11.0.reg ODBC:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Per ODBC 13.0, creare il seguente file di 13.0.reg ODBC: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Protezione avanzata in Linux TLS

Seguire le istruzioni sul sito Web appropriato per configurare TLS 1.2 nell'ambiente di Red Hat o Apache .

Data Protection Manager

Per consentire di Data Protection Manager per l'utilizzo con TLS 1.2 per eseguire il backup nel cloud, attivare la seguente procedura sul server Data Protection Manager.

Orchestrator

Agente di orchestrazione dopo l'installazione degli aggiornamenti, riconfigurare il database di Orchestrator utilizzando il database esistente, attenersi alle seguentiistruzioni.

Gestore del servizio

Prima di Service Manager gli aggiornamenti vengono installati, installare i pacchetti necessari e riconfigurare i valori di chiave del Registro di sistema, come descritto nel " Prima dell'installazione "sezione istruzioni di KB 4024037 .

, Anche se si sta controllando il System Center Service Manager utilizzando System Center Operations Manager, l'aggiornamento alla versione più recente (v 7.5.7487.89) di Monitoring Management Pack per il supporto di TLS 1.2:

Microsoft System Center Management Pack di System Center Service Manager

Automazione della gestione assistenza (SMA)

Se si sta monitorando l'automazione di gestione assistenza (SMA) utilizzando System Center Operations Manager, l'aggiornamento alla versione più recente di Monitoring Management Pack per il supporto di TLS 1.2:

System Center Management Pack per System Center 2012 R2 Orchestrator - automazione della gestione del servizio

Disclaimer contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti per trovare ulteriori informazioni su questo argomento. Tali informazioni potrebbero cambiare senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×