概要
この記事では、Microsoft System Center 2012 R2 環境でトランスポート層セキュリティ (TLS) プロトコル バージョン 1.2 を有効にする方法について説明します。
詳細情報
System Center 環境で TLS プロトコル バージョン 1.2 を有効にするには、次の手順に従います。
-
リリースから更新プログラムをインストールします。
注-
更新プログラム ロールアップ 14 を適用する前に、すべての System Center コンポーネントの最新の更新プログラム ロールアップをインストールします。
-
Data Protection Manager と Virtual Machine Manager の場合は、 更新プログラム ロールアップ 13 をインストールします。
-
Service Management Automation の場合は、 更新プログラム ロールアップ 7 をインストールします。
-
System Center Orchestrator の場合は、 更新プログラム ロールアップ 8 をインストールします。
-
Service Provider Foundation の場合は、 更新プログラム ロールアップ 12 をインストールします。
-
Service Managerの場合は、更新プログラム ロールアップ 9 をインストールします。
-
-
-
更新プログラムを適用する前と同じように、セットアップが機能していることを確認します。 たとえば、本体を起動できるかどうかを確認します。
-
TLS 1.2 を有効にするように 構成設定 を変更します。
-
必要なすべてのSQL Server サービスが実行されていることを確認します。
更新プログラムをインストールする
|
アクティビティを更新する |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Windows Server 2012 R2 に対して現在のすべてのセキュリティ更新プログラムがインストールされていることを確認します |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
.NET Framework 4.6 がすべての System Center コンポーネントにインストールされていることを確認する |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
|
可能 |
不可 |
可能 |
可能 |
不可 |
不可 |
あり |
|
|
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7Service Manager (SM)
構成設定を変更する
|
構成の更新 |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
|
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
可能 |
|
|
可能 |
不可 |
可能 |
可能 |
不可 |
不可 |
不可 |
.NET Framework
.NET Framework 4.6 がすべての System Center コンポーネントにインストールされていることを確認します。 これを行うには、次の手順に従います。
TLS 1.2 のサポート
TLS 1.2 をサポートする必要なSQL Server更新プログラムをインストールします。 これを行うには、Microsoft サポート技術情報の次の記事を参照してください。
3135244 Microsoft SQL Server の TLS 1.2 のサポート
System Center 2012 R2 の必須更新プログラム
SQL Server 2012 ネイティブ クライアント 11.0 は、次のすべての System Center コンポーネントにインストールする必要があります。
|
コンポーネント |
役割 |
|
Operations Manager |
管理サーバーと Web コンソール |
|
仮想マシン マネージャー |
(必須ではありません) |
|
Orchestrator |
管理サーバー |
|
Data Protection Manager |
管理サーバー |
|
サービス マネージャー |
管理サーバー |
Microsoft SQL Server 2012 Native Client 11.0 をダウンロードしてインストールするには、この Microsoft ダウンロード センターの Web ページを参照してください。
System Center Operations Manager とService Managerの場合は、すべての管理サーバーに ODBC 11.0 または ODBC 13.0 がインストールされている必要があります。
次のサポート技術情報の記事から、必要な System Center 2012 R2 更新プログラムをインストールします。
4043306 Microsoft System Center 2012 R2 の更新プログラム ロールアップ 14 の説明
|
コンポーネント |
2012 R2 |
|
Operations Manager |
System Center 2012 R2 Operations Manager の更新プログラム ロールアップ 14 |
|
サービス マネージャー |
System Center 2012 R2 Service Managerの更新プログラム ロールアップ 14 |
|
Orchestrator |
System Center 2012 R2 Orchestrator の更新プログラム ロールアップ 14 |
|
Data Protection Manager |
System Center 2012 R2 Data Protection Manager の更新プログラム ロールアップ 14 |
メモ ファイルの内容を展開し、対応するロールに MSP ファイルをインストールしてください (Data Protection Manager を除く)。 Data Protection Manager の場合は、.exe ファイルをインストールします。
SHA1 証明書と SHA2 証明書
System Center コンポーネントで SHA1 と SHA2 の両方の自己署名証明書が生成されるようになりました。 TLS 1.2 を有効にするには、これが必要です。 CA 署名付き証明書が使用されている場合は、証明書が SHA1 または SHA2 であることを確認します。
TLS 1.2 のみを使用するように Windows を設定する
TLS 1.2 プロトコルのみを使用するように Windows を構成するには、次のいずれかの方法を使用します。
方法 1: レジストリを手動で変更する
重要: このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題が発生した場合に復元するためにレジストリをバックアップします。
システム全体ですべての SCHANNEL プロトコルを有効または無効にするには、次の手順に従います。 受信通信に TLS 1.2 プロトコルを有効にし、すべての発信通信に対して TLS 1.2、TLS 1.1、TLS 1.0 プロトコルを有効にすることをお勧めします。
注 これらのレジストリの変更は、Kerberos または NTLM プロトコルの使用には影響しません。
-
レジストリ エディターを起動します。 これを行うには、[スタート] を右クリックし、[実行] ボックスに「regedit」と入力して、[OK] を選択します。
-
次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
[プロトコル] キーを右クリックし、[新規] をポイントして、[キー] をクリックします。
-
「SSL 3」と入力し、Enter キーを押します。
-
手順 3 と 4 を繰り返して、TLS 0、TLS 1.1、TLS 1.2 のキーを作成します。 これらのキーはディレクトリに似ています。
-
SSL 3、TLS 1.0、TLS 1.1、TLS 1.2 の各キーの下にクライアント キーとサーバー キーを作成します。
-
プロトコルを有効にするには、次のように各クライアント キーとサーバー キーの下に DWORD 値を作成します。
DisabledByDefault [値 = 0]
有効 [値 = 1]
プロトコルを無効にするには、各クライアント キーとサーバー キーの DWORD 値を次のように変更します。DisabledByDefault [値 = 1]
有効 [値 = 0] -
[ ファイル ] メニューの [終了] を選択します。
方法 2: レジストリを自動的に変更する
管理者モードで次のWindows PowerShell スクリプトを実行して、TLS 1.2 プロトコルのみを使用するように Windows を自動的に構成します。
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
TLS 1.2 のみを使用するように System Center を設定する
TLS 1.2 プロトコルのみを使用するように System Center を設定します。 これを行うには、まずすべての前提条件が満たされていることを確認します。 次に、System Center コンポーネントと、エージェントがインストールされているその他のすべてのサーバーで、次の設定を構成します。
次のいずれかの方法を使用します。
方法 1: レジストリを手動で変更する
重要: このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題が発生した場合に復元するためにレジストリをバックアップします。
インストールで TLS 1.2 プロトコルをサポートできるようにするには、次の手順に従います。
-
レジストリ エディターを起動します。 これを行うには、[スタート] を右クリックし、[実行] ボックスに「regedit」と入力して、[OK] を選択します。
-
次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
このキーの下に次の DWORD 値を作成します。
SchUseStrongCrypto [値 = 1]
-
次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
このキーの下に次の DWORD 値を作成します。
SchUseStrongCrypto [値 = 1]
-
システムを再起動します。
方法 2: レジストリを自動的に変更する
管理者モードで次のWindows PowerShell スクリプトを実行して、TLS 1.2 プロトコルのみを使用するように System Center を自動的に構成します。
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
その他の設定
Operations Manager
管理パック
System Center 2012 R2 Operations Manager の管理パックをインポートします。 これらは、サーバー更新プログラムをインストールした後、次のディレクトリにあります。
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Pack for Update Rollups
ACS 設定
Audit Collection Services (ACS) の場合は、レジストリで追加の変更を行う必要があります。 ACS では、DSN を使用してデータベースに接続します。 DSN 設定を更新して、TLS 1.2 で機能するようにする必要があります。
-
レジストリで ODBC の次のサブキーを見つけます。
メモ DSN の既定の名前は OpsMgrAC です。
-
ODBC データ ソース サブキーで、DSN 名 OpsMgrAC のエントリを選択します。 これには、データベース接続に使用する ODBC ドライバーの名前が含まれます。 ODBC 11.0 がインストールされている場合は、この名前を odbc Driver 11 (SQL Server) に変更します。 または、ODBC 13.0 がインストールされている場合は、この名前を ODBC Driver 13 (SQL Server) に変更します。
-
OpsMgrAC サブキーで、インストールされている ODBS バージョンの Driver エントリを更新します。
-
ODBC 11.0 がインストールされている場合は、 Driver エントリを %WINDIR%\system32\msodbcsql11.dllに変更します。
-
ODBC 13.0 がインストールされている場合は、 Driver エントリを %WINDIR%\system32\msodbcsql13.dllに変更します。
-
または、メモ帳または別のテキスト エディターで次の .reg ファイルを作成して保存します。 保存した .reg ファイルを実行するには、ファイルをダブルクリックします。
ODBC 11.0 の場合は、次の ODBC 11.0.reg ファイルを作成します
。 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC データ ソース]"OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
ODBC 13.0 の場合は、次の ODBC 13.0.reg ファイルを作成します: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC データ ソース] "OpsMgrAC"="odbc Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Linux での TLS の強化
Data Protection Manager
Data Protection Manager が TLS 1.2 と連携してクラウドにバックアップできるようにするには、Data Protection Manager サーバーで次の手順を有効にします。
Orchestrator
Orchestrator 更新プログラムがインストールされたら、これらのガイドラインに従って既存のデータベースを使用して Orchestrator データベースを再構成します。
サービス マネージャー
Service Manager更新プログラムをインストールする前に、KB 4024037の「インストール前」の手順セクションで説明されているように、必要なパッケージをインストールし、レジストリ キーの値を再構成します。
また、System Center Operations Manager を使用してSystem Center Service Managerを監視している場合は、TLS 1.2 サポート用の監視管理パックの最新バージョン (v 7.5.7487.89) に更新します。
Service Management Automation (SMA)
System Center Operations Manager を使用して Service Management Automation (SMA) を監視している場合は、TLS 1.2 サポート用の最新バージョンの Monitoring Management Pack に更新します。
System Center 2012 R2 Orchestrator 用 System Center Management Pack - Service Management Automation
サードパーティのお問い合わせ窓口に関する免責事項
サードパーティのお問い合わせ窓口に関する情報は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。
