Guida alla distribuzione di TLS protocollo 1.2 supporto per System Center 2012 R2

Riepilogo

In questo articolo viene descritto come attivare la versione di protocollo di protezione TLS (Transport Layer) 1.2 in un ambiente di Microsoft System Center 2012 R2.

Ulteriori informazioni

Per attivare la versione di protocollo TLS 1.2 nell'ambiente di System Center, attenersi alla seguente procedura:

Installare gli aggiornamenti dalla versione.

Note
- Installare l'aggiornamento cumulativo più recente per tutti i componenti di System Center prima di applicare l'aggiornamento cumulativo 14.
  - Per Data Protection Manager e Virtual Machine Manager, installare l'aggiornamento cumulativo 13.
  - Per l'automazione della gestione del servizio, installare l'aggiornamento cumulativo 7.
  - Per System Center Orchestrator, installare l'aggiornamento cumulativo 8.
  - Servizio Provider Foundation, installare aggiornamento cumulativo 12.
  - Di Service Manager, installare l'aggiornamento cumulativo 9.
Assicurarsi che il programma di installazione sia come funzionale in cui si trovava prima dell'applicazione di aggiornamenti. Ad esempio, verificare se è possibile avviare la console.
Modificare le impostazioni di configurazione per abilitare TLS 1.2.
Assicurarsi che tutte le richieste di servizi di SQL Server sono in esecuzione.

Installare gli aggiornamenti

Attività di aggiornamento	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Assicurarsi che gli vengono installati gli aggiornamenti della protezione per Windows Server 2012 R2	Sì	Sì	Sì	Sì	Sì	Sì	Sì
Assicurarsi che il 4.6 di.NET Framework è installato su tutti i componenti di System Center	Sì	Sì	Sì	Sì	Sì	Sì	Sì
Installare l'aggiornamento di SQL Server che supporta TLS 1.2	Sì	Sì	Sì	Sì	Sì	Sì	Sì
Installare gli aggiornamenti di System Center 2012 R2	Sì	No	Sì	Sì	No	No	Sì
Assicurarsi che i certificati CA di firma sono SHA1 o SHA2	Sì	Sì	Sì	Sì	Sì	Sì	Sì

¹System Center Operations Manager (SCOM)
²System Center Virtual Machine Manager (SCVMM)
³System Center Data Protection Manager (SCDPM)
⁴System Center Orchestrator (SCO)
⁵Automazione della gestione assistenza (SMA)
⁶Servizio Provider Foundation SPF)
⁷Service Manager (SM)

Modificare le impostazioni di configurazione

Aggiornamento della configurazione	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
L'impostazione su Windows di utilizzare solo il protocollo TLS 1.2	Sì	Sì	Sì	Sì	Sì	Sì	Sì
Impostazione in System Center per utilizzare solo il protocollo TLS 1.2	Sì	Sì	Sì	Sì	Sì	Sì	Sì
Impostazioni aggiuntive	Sì	No	Sì	Sì	No	No	No

.NET Framework

Assicurarsi che il 4.6 di.NET Framework sia installato su tutti i componenti di System Center. A tale scopo, seguirequeste istruzioni.

Supporto TLS 1.2

Installare l'aggiornamento di SQL Server che supporta TLS 1.2. A tale scopo, vedere il seguente articolo della Microsoft Knowledge Base:

3135244 TLS 1.2 supporto per Microsoft SQL Server

Necessari aggiornamenti di System Center 2012 R2

Client nativo di SQL Server 2012 11.0 deve essere installato su tutti i seguenti componenti di System Center.

Componente	Ruolo
Operations Manager	Gestione Server e Web Console
Virtual Machine Manager	(Non richiesto)
Orchestrator	Server di gestione
Data Protection Manager	Server di gestione
Gestore del servizio	Server di gestione

Per scaricare e installare Microsoft SQL Server 2012 Native Client 11.0, vedere la pagina Web area Download Microsoft.

Per System Center Operations Manager e gestore del servizio, è necessario disporre di ODBC 11.0 o 13.0 ODBC installato su tutti i server di gestione.

Installare gli aggiornamenti di System Center 2012 R2 il seguente articolo della Knowledge Base:

4043306 descrizione dell'aggiornamento cumulativo 14 per Microsoft System Center 2012 R2

Componente	2012 R2
Operations Manager	Aggiornamento cumulativo 14 per System Center 2012 R2 Operations Manager
Gestore del servizio	Aggiornamento cumulativo 14 per System Center 2012 R2 Service Manager
Orchestrator	Aggiornamento cumulativo 14 per System Center 2012 R2 Orchestrator
Data Protection Manager	Aggiornamento cumulativo 14 per System Center 2012 R2 Data Protection Manager

Nota: Assicurarsi di espandere il contenuto del file e installare il file MSP sul ruolo corrispondente, ad eccezione di Data Protection Manager. Per Data Protection Manager, installare il file .exe.

Certificati SHA1 e SHA2

Componenti di System Center ora generano certificati autofirmati SHA1 sia SHA2. È necessario per abilitare TLS 1.2. Se vengono utilizzati i certificati con CA, assicurarsi che i certificati sono SHA1 o SHA2.

Impostare Windows per utilizzare solo TLS 1.2

Utilizzare uno dei seguenti metodi per configurare Windows per utilizzare solo il protocollo TLS 1.2.

Metodo 1: Modificare manualmente il Registro di sistema

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarla, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Attenersi alla seguente procedura per abilitare o disabilitare tutti i protocolli a livello di sistema SCHANNEL. Si consiglia di attivare il protocollo TLS 1.2 per le comunicazioni in ingresso e di attivare i protocolli TLS 1.2, TLS 1.0 e 1.1 di TLS per tutte le comunicazioni in uscita.

Nota: Queste modifiche del Registro di sistema non influenza l'utilizzo dei protocolli Kerberos o NTLM.

Avviare l'Editor del Registro di sistema. A tale scopo, destro Start, digitare regedit nella casella Apri e quindi scegliere OK.
Cercare la seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Pulsante destro del mouse la chiave del protocollo , scegliere Nuovo, quindi chiave.
Digitare 3 SSLe quindi premere INVIO.
Ripetere i passaggi 3 e 4 per creare chiavi per TLS 0, TLS 1.1 e 1.2 TLS. Queste chiavi sono simili a directory.
Creare un tasto di Client e un Server all'interno del 3 di SSL, TLS 1.0, 1.1 TLSe chiavi TLS 1.2 .
Per abilitare un protocollo, creare il valore DWORD nella chiave di ciascun Client e Server come segue:

DisabledByDefault [valore = 0]
Attivata [valore = 1]
Per disattivare un protocollo, modificare il valore DWORD nella chiave di ciascun Client e Server come segue:

DisabledByDefault [valore = 1]
Attivata [valore = 0]
Dal menu File , scegliere Esci.

Metodo 2: Modificare automaticamente il Registro di sistema

Eseguire il seguente script di Windows PowerShell in modalità di amministratore per configurare automaticamente Windows per utilizzare solo il protocollo di TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Set di System Center di utilizzare solo TLS 1.2

Set di System Center di utilizzare solo il protocollo TLS 1.2. A tale scopo, assicurarsi innanzitutto che tutti i prerequisiti sono soddisfatti. Quindi, configurare le impostazioni seguenti sui componenti di System Center e tutti gli altri server su cui sono installati gli agenti.

Utilizzare uno dei metodi descritti di seguito.

Metodo 1: Modificare manualmente il Registro di sistema

Importante

Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarla, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Per attivare l'installazione supportare il protocollo TLS 1.2, attenersi alla seguente procedura:

Avviare l'Editor del Registro di sistema. A tale scopo, destro Start, digitare regedit nella casella Apri e quindi scegliere OK.
Cercare la seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Creare il seguente valore DWORD nella seguente chiave:

SchUseStrongCrypto [valore = 1]
Cercare la seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Creare il seguente valore DWORD nella seguente chiave:

SchUseStrongCrypto [valore = 1]
Riavviare il sistema.

Metodo 2: Modificare automaticamente il Registro di sistema

Eseguire il seguente script di Windows PowerShell in modalità di amministratore per configurare automaticamente System Center per utilizzare solo il protocollo di TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Impostazioni aggiuntive

Operations Manager

Management Pack

Importare i management pack per System Center 2012 R2 Operations Manager. Dopo aver installato l'aggiornamento di server si trovano nella seguente directory:

\Programmi\Microsoft system Center 2012 R2\Operations Manager\Server\Management Pack per gli aggiornamenti cumulativi

Impostazioni di ACS

Per Audit Collection Services (ACS), è necessario apportare ulteriori modifiche nel Registro di sistema. ACS utilizza il DSN per le connessioni al database. È necessario aggiornare le impostazioni DSN per renderli funzionali per TLS 1.2.

Individuare la seguente sottochiave di ODBC nel Registro di sistema.

Nota: Il nome predefinito del DSN è OpsMgrAC.
Nella sottochiave di Origini dati ODBC , selezionare la voce relativa al nome DSN, OpsMgrAC. Contiene il nome del driver ODBC da utilizzare per la connessione al database. Se si dispone di 11.0 ODBC installato, è possibile modificare questo nome a 11 Driver ODBC per SQL Server. In alternativa, se si dispone di 13.0 ODBC installato, è possibile modificare questo nome a 13 di Driver ODBC per SQL Server.
Nella sottochiave OpsMgrAC , aggiornare la voce di Driver per la versione ODBS installato.
- Se è installato ODBC 11.0, modificare la voce di Driver in %WINDIR%\system32\msodbcsql11.dll.
- Se è installato ODBC 13.0, modificare la voce di Driver in %WINDIR%\system32\msodbcsql13.dll.
- In alternativa, creare e salvare il seguente file reg nel blocco note o un altro editor di testo. Per eseguire il file reg salvato, fare doppio clic sul file.
  
  Per ODBC 11.0, creare il seguente file di 11.0.reg ODBC:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Per ODBC 13.0, creare il seguente file di 13.0.reg ODBC: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Protezione avanzata in Linux TLS

Seguire le istruzioni sul sito Web appropriato per configurare TLS 1.2 nell'ambiente di Red Hat o Apache .

Data Protection Manager

Per consentire di Data Protection Manager per l'utilizzo con TLS 1.2 per eseguire il backup nel cloud, attivare la seguente procedura sul server Data Protection Manager.

Orchestrator

Agente di orchestrazione dopo l'installazione degli aggiornamenti, riconfigurare il database di Orchestrator utilizzando il database esistente, attenersi alle seguentiistruzioni.

Gestore del servizio

Prima di Service Manager gli aggiornamenti vengono installati, installare i pacchetti necessari e riconfigurare i valori di chiave del Registro di sistema, come descritto nel " Prima dell'installazione "sezione istruzioni di KB 4024037 .

, Anche se si sta controllando il System Center Service Manager utilizzando System Center Operations Manager, l'aggiornamento alla versione più recente (v 7.5.7487.89) di Monitoring Management Pack per il supporto di TLS 1.2:

Microsoft System Center Management Pack di System Center Service Manager

Automazione della gestione assistenza (SMA)

Se si sta monitorando l'automazione di gestione assistenza (SMA) utilizzando System Center Operations Manager, l'aggiornamento alla versione più recente di Monitoring Management Pack per il supporto di TLS 1.2:

System Center Management Pack per System Center 2012 R2 Orchestrator - automazione della gestione del servizio

Disclaimer contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti per trovare ulteriori informazioni su questo argomento. Tali informazioni potrebbero cambiare senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.