System Center 2016 向けの TLS 1.2 プロトコルサポート展開ガイド

概要

この記事では、Microsoft System Center 2016 環境でトランスポート層セキュリティ (TLS) プロトコルバージョン1.2 を有効にする方法について説明します。

詳細情報

System Center 環境で TLS プロトコルバージョン1.2 を有効にするには、次の手順を実行します。

  1. リリースから更新プログラムをインストールします。 注意事項

  2. 更新プログラムを適用する前のセットアップが機能していることを確認してください。 たとえば、本体を開始できるかどうかを確認します。

  3. TLS 1.2 を有効にするように構成設定を変更します。

  4. 必要なすべての SQL Server サービスが実行されていることを確認します。

更新プログラムをインストールする

更新アクティビティ

SCOM

SCVMM両面

SCDPM-

SCO4d

SMA

SPF=

SM7

Windows Server 2012 R2 または Windows Server 2016用の最新のセキュリティ更新プログラムがすべてインストールされていることを確認する 

あり

あり

あり

あり

あり

あり

あり

.NET Framework 4.6 がすべての System Center コンポーネントにインストールされていることを確認する

あり

 

あり

 

あり

あり

あり

あり

あり

TLS 1.2 をサポートする必要な SQL Server 更新プログラムをインストールする

あり

あり

あり

あり

あり

あり

あり

必要な System Center 2016 の更新プログラムをインストールする

あり

なし

あり

あり

なし

なし

あり

その CA 署名証明書が SHA1 または SHA2 のいずれかであることを確認します。

あり

あり

あり

あり

あり

あり

あり

System Center Operations Manager (SCOM) 両面 System Center Virtual Machine Manager (SCVMM) - System Center Data Protection Manager (SCDPM) 4d System Center Orchestrator (SCO) Service Management Automation (SMA) = Service Provider Foundation (SPF) 7 Service Manager (SM)

構成の設定を変更する

構成の更新

SCOM

SCVMM両面

SCDPM-

SCO4d

SMA

SPF=

SM7

Windows で TLS 1.2 プロトコルのみを使うように設定する

あり

あり

あり

あり

あり

あり

あり

TLS 1.2 プロトコルのみを使用するための System Center の設定

あり

あり

あり

あり

あり

あり

あり

その他の設定

あり

なし

あり

あり

なし

なし

なし

.NET Framework 

.NET Framework 4.6 がすべての System Center コンポーネントにインストールされていることを確認します。 そのためには、次の手順を実行します。

TLS 1.2 のサポート

TLS 1.2 をサポートする必要な SQL Server 更新プログラムをインストールします。 この操作を行うには、Microsoft サポート技術情報の次の記事を参照してください。

3135244 Microsoft SQL Server 向けの TLS 1.2 サポート

必要な System Center 2016 の更新プログラム

SQL Server 2012 Native client 11.0 は、次のすべての System Center コンポーネントにインストールする必要があります。

コンポーネント

職種

必須の SQL ドライバー

Operations Manager

管理サーバーと Web コンソール

SQL Server 2012 Native client 11.0 または Microsoft OLE DB Driver 18 for SQL Server (推奨)。

注:  Microsoft OLE DB Driver 18 for SQL Server は、Operations Manager 2016 UR9 以降でサポートされています。

Virtual Machine Manager

(必要ありません)

(必要ありません)

Orchestrator

管理サーバー

SQL Server 2012 Native client 11.0 または Microsoft OLE DB Driver 18 for SQL Server (推奨)。

注:  Microsoft OLE DB Driver 18 for SQL Server は、Orchestrator 2016 UR8 以降でサポートされています。

Data Protection Manager

管理サーバー

SQL Server 2012 Native client 11.0

サービス マネージャー

管理サーバー

SQL Server 2012 Native client 11.0 または Microsoft OLE DB Driver 18 for SQL Server (推奨)。

注:  Microsoft OLE DB Driver 18 for SQL Server は、Service Manager 2016 UR9 以降でサポートされています。

Microsoft SQL Server 2012 Native Client 11.0 をダウンロードしてインストールするには、 Microsoft ダウンロードセンターの web ページを参照してください。

Microsoft OLE DB Driver 18 をダウンロードしてインストールするには、 Microsoft ダウンロードセンターの web ページを参照してください。

System Center Operations Manager と Service Manager の場合、すべての管理サーバーにodbc 11.0またはodbc 13.0がインストールされている必要があります。

次のサポート技術情報の記事から、必要な System Center 2016 の更新プログラムをインストールします。

4043305 Microsoft System Center 2016 の更新プログラムのロールアップ4の説明  

コンポーネント

2016

Operations Manager

System Center 2016 Operations Manager の更新プログラムのロールアップ 4

サービス マネージャー

System Center 2016 Service Manager の更新プログラムのロールアップ 4

Orchestrator

System Center 2016 Orchestrator の更新プログラムのロールアップ 4

Data Protection Manager

System Center 2016 Data Protection Manager の更新プログラムのロールアップ 4

注: ファイルの内容を展開し、対応する役割に MSP ファイルをインストールしてください。

SHA1 と SHA2 の証明書

System Center コンポーネントは、SHA1 と SHA2 の自己署名証明書の両方を生成できるようになりました。 これは、TLS 1.2 を有効にするために必要です。 CA 署名証明書が使用されている場合は、証明書が SHA1 または SHA2 であることを確認します。

TLS 1.2 のみを使用するように Windows を設定する

TLS 1.2 プロトコルのみを使用するように Windows を構成するには、次のいずれかの方法を使用します。

方法 1: 手動でレジストリを変更する

重要: このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、重大な問題が発生することがあります。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 問題が発生した場合は、変更する前にレジストリをバックアップして復元します。

以下の手順を使用して、すべての SCHANNEL プロトコルを有効または無効にします。 受信通信には、TLS 1.2 プロトコルを有効にすることをお勧めします。すべての送信通信に対して、TLS 1.2、TLS 1.1、および TLS 1.0 プロトコルを有効にします。

注: これらのレジストリ変更を行っても、Kerberos または NTLM プロトコルの使用には影響しません。

  1. レジストリ エディターを起動します。 この操作を行うには、[スタート] を右クリックし、[実行] ボックスに「 regedit 」と入力して、[ OK]をクリックします。

  2. 次のレジストリ サブキーを見つけます。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. プロトコルキーを右クリックし、[新規] をポイントして、[キー] をクリックします。 レジストリ

  4. SSL 3」と入力して、enter キーを押します。

  5. 手順3と4を繰り返して、TLS 0、TLS 1.1、および TLS 1.2 用のキーを作成します。 これらのキーはディレクトリに似ています。

  6. SSL 3tls 1.0tls 1.1tls 1.2の各キーの下に、クライアントキーとサーバーキーを作成します。

  7. プロトコルを有効にするには、それぞれのクライアントとサーバーのキーの下に、次のように DWORD 値を作成します。

    DisabledByDefault [値 = 0] Enabled [値 = 1] プロトコルを無効にするには、それぞれのクライアントとサーバーのキーの下にある DWORD 値を次のように変更します。

    DisabledByDefault [値 = 1] Enabled [値 = 0]

  8. [ファイル] メニューの [終了] をクリックします。

方法 2: レジストリを自動的に変更する

次の Windows PowerShell スクリプトを管理者モードで実行して、TLS 1.2 プロトコルのみを使用するように Windows を自動的に構成します。

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

TLS 1.2 のみを使用するように System Center を設定する

システムセンターで TLS 1.2 プロトコルのみを使用するように設定します。 これを行うには、まず前提条件がすべて満たされていることを確認します。 次に、System Center コンポーネントとエージェントがインストールされている他のすべてのサーバーに対して、次の設定を行います。

次のいずれかの方法を使用します。

方法 1: 手動でレジストリを変更する

重要: このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、重大な問題が発生することがあります。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 問題が発生した場合は、変更する前にレジストリをバックアップして復元します。

インストールによる TLS 1.2 プロトコルのサポートを有効にするには、次の手順を実行します。

  1. レジストリ エディターを起動します。 この操作を行うには、[スタート] を右クリックし、[実行] ボックスに「 regedit 」と入力して、[ OK]をクリックします。

  2. 次のレジストリ サブキーを見つけます。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. このキーの下に次の DWORD 値を作成します。

    SchUseStrongCrypto [値 = 1]

  4. 次のレジストリ サブキーを見つけます。

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. このキーの下に次の DWORD 値を作成します。

    SchUseStrongCrypto [値 = 1]

  6. システムを再起動します。

方法 2: レジストリを自動的に変更する

TLS 1.2 プロトコルのみを使用するように System Center を自動的に構成するには、管理者モードで次の Windows PowerShell スクリプトを実行します。

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

その他の設定

Operations Manager

管理パック

System Center 2016 Operations Manager 用の管理パックをインポートします。 これらは、サーバー更新プログラムをインストールした後の次のディレクトリにあります。

更新プログラムのロールアップ用のシステムセンター 2016 \ Operations Manager\Server\Management Pack

ACS 設定

監査コレクションサービス (ACS) の場合は、レジストリで追加の変更を行う必要があります。 ACS は DSN を使ってデータベースに接続します。 TLS 1.2 で機能するようにするには、DSN の設定を更新する必要があります。

  1. レジストリで、ODBC の次のサブキーを見つけます。 注: DSN の既定の名前はOpsMgrACです。 ODBC です。INI サブキー

  2. [ ODBC データソース] サブキーで、DSN 名のエントリOpsMgrACを選びます。 これには、データベース接続に使用する ODBC ドライバーの名前が含まれます。 ODBC 11.0 がインストールされている場合は、 Odbc Driver 11 FOR SQL Serverにこの名前を変更します。 または、ODBC 13.0 がインストールされている場合は、 Odbc Driver 13 FOR SQL Serverにこの名前を変更します。 ODBC データ ソース サブキー

  3. OpsMgrACサブキーで、インストールされている ODBS バージョンのドライバーエントリを更新します。 OpsMgrAC サブキー

    • ODBC 11.0 がインストールされている場合は、ドライバエントリを%WINDIR%\system32\msodbcsql11.dllに変更します。

    • ODBC 13.0 がインストールされている場合は、ドライバエントリを%WINDIR%\system32\msodbcsql13.dllに変更します。

    • または、次の .reg ファイルをメモ帳または別のテキストエディターで作成して保存します。 保存した .reg ファイルを実行するには、ファイルをダブルクリックします。 Odbc 11.0の場合は、次の odbc 11.0 ファイルを作成します。   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Odbc 13.0の場合は、次の odbc 13.0 ファイルを作成します。   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Linux の TLS の強化

適切な web サイトの指示に従って、 Red HatまたはAPACHE環境で TLS 1.2 を構成します。

Data Protection Manager

データ保護マネージャーが TLS 1.2 と連携してクラウドにバックアップすることを有効にするには、Data Protection Manager サーバーで次の手順を有効にします。

Orchestrator

Orchestrator の更新プログラムをインストールした後、これらのガイドラインに従って、既存のデータベースを使用して orchestrator データベースを再構成します。

 

サードパーティのお問い合わせ窓口に関する免責事項

サードパーティのお問い合わせ窓口に関する情報は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

×