Santrauka
Šiame straipsnyje aprašoma, kaip įgalinti transportavimo lygmens saugos (TLS) protokolo versija 1.2 Microsoft System Center 2012 R2 aplinkoje.
Daugiau informacijos
Norėdami įgalinti TLS protokolo versija 1.2 sistemos centro aplinkoje, atlikite šiuos veiksmus:
-
Leidimo įdiegti naujinimus .
Pastabos-
Įdiekite naujausią naujinimų System Center visų komponentų, prieš taikant Update Rollup 14.
-
Data Protection Manager "ir" Virtual Machine Manager įdiegti Update Rollup 13.
-
Tarnybos valdymo automatizavimas, įdiegti 7 naujinimų.
-
System Center Orchestrator, įdiegti 8 naujinimų paketą.
-
Paslaugų teikėjo platformos, įdiegti Update Rollup 12.
-
Paslaugų tvarkytuvo, įdiegti 9 naujinimų paketą.
-
-
-
Įsitikinkite, kad nustatoma kaip funkcinis, nes jis buvo prieš jums naujinimus. Pvz., patikrinkite, ar galite paleisti konsolės.
-
Pakeisti konfigūracijos parametrus , kad būtų įgalinti TLS 1.2.
-
Įsitikinkite, kad visos reikiamos SQL serverio tarnybos veikia.
Įdiekite naujinimus
Atnaujinti veiklos |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Įsitikinkite, kad visi dabartiniai saugos naujinimai yra įdiegti "Windows Server 2012 R2" |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
Įsitikinkite, kad visi System Center komponentai yra įdiegtas .NET Framework 4.6 |
taip
|
taip
|
taip |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
|
taip |
ne |
taip |
taip |
ne |
ne |
taip |
|
Įsitikinkite, kad pasirašytas CA sertifikatai būtų SHA1 ir SHA2 |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
1System Center Operations Manager (SCOM)
2System Center Virtual Machine Manager (SCVMM)
3System Center Data Protection Manager (SCDPM)
4Tvarkytuvė (SCO)
5Tarnybos valdymo automatizavimas (SMA)
6Paslaugų teikėjo platformos (SPF)
7Paslaugų tvarkytuvo (SM)
Konfigūracijos parametrų keitimas
Konfigūracijos naujinimas |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
taip |
taip |
taip |
taip |
taip |
taip |
taip |
|
taip |
taip |
taip |
taip |
taip |
taip |
taip |
|
taip |
ne |
taip |
taip |
ne |
ne |
ne |
.NET Framework
Įsitikinkite, kad visi System Center komponentai yra įdiegtas .NET Framework 4.6. Jei norite tai padaryti, atlikitetolesnius veiksmus.
TLS 1.2 palaikymas
Įdiekite reikalaujama SQL Server, palaiko TLS 1.2. Norėdami tai atlikti, ieškokite šioje "Microsoft" žinių bazės straipsnį:
Microsoft SQL Server 3135244 TLS 1.2 palaikymas
Reikia System Center 2012 R2 naujinimai
SQL Server 2012 pirminio kliento 11.0 turėtų būti įdiegtas šioje System Center komponentus.
Komponentas |
Vaidmuo |
Operations Manager |
Valdymo serverio ir žiniatinklio konsolės |
Virtual Machine Manager |
(Neprivaloma) |
Orchestrator |
Valdymo serveris |
Data Protection Manager |
Valdymo serveris |
Paslaugų tvarkytuvo |
Valdymo serveris |
Norėdami atsisiųsti ir įdiegti Microsoft SQL Server 2012 pirminio kliento 11.0, peržiūrėkite šį "Microsoft" atsisiuntimo centro žiniatinklio svetaine.
System Center Operations Manager ir paslaugų tvarkytuvo, turite ODBC 11.0 arba ODBC 13,0 įdiegta valdymo serveriuose.
Įdiekite visus būtinus naujinimus System Center 2012 R2 iš šių žinių bazės straipsnį:
4043306 specifinių naujinimų paketas 14 "Microsoft" System Center 2012 R2 aprašas
Komponentas |
2012 R2 |
Operations Manager |
System Center 2012 R2 Operations Manager specifinių naujinimų paketas 14 |
Paslaugų tvarkytuvo |
System Center 2012 R2 Service Manager specifinių naujinimų paketas 14 |
Orchestrator |
Specifinių naujinimų paketas 14 System Center 2012 R2 Orchestrator |
Data Protection Manager |
System Center 2012 R2 Data Protection Manager specifinių naujinimų paketas 14 |
Pastaba. Įsitikinkite, kad išplėsti failo turinį ir įdiegti atitinkamą vaidmens, išskyrus Data Protection Manager MSP failą. Norėdami gauti Data Protection Manager įdiegti .exe failą.
SHA1 ir SHA2 sertifikatai
System Center komponentus generuoti SHA1 ir SHA2 vartotojo pasirašomas sertifikato. Tai reikia įgalinti TLS 1.2. Jei CA pasirašytas sertifikatai, įsitikinkite, kad juos yra SHA1 ir SHA2.
Nustatykite Windows naudoti tik TLS 1.2
Naudokite vieną iš toliau nurodytų būdų Norėdami konfigūruoti Windows naudoti tik TLS 1.2 protokolas.
1 būdas: Rankiniu būdu pakeisti registrą
Svarbu.
Atidžiai vykdykite šiame skyriuje aprašytus veiksmus. Jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Prieš modifikuodami registrą sukurkite atsarginę jo kopiją , kiltų problemų.
Atlikite šiuos veiksmus Norėdami įjungti arba išjungti visus SKANALO protokolus visoje sistemoje. Mes rekomenduojame įgalinti TLS 1.2 protokolo gaunamų pranešimų ir įgalinti TLS 1.2, TLS 1.1 ir TLS 1.0 protokolus visų siunčiamų pranešimų.
Pastaba. Atlikdami šiuos registro pakeitimus neturi įtakos naudoti Kerberos arba NTLM protokolų.
-
Paleiskite registro rengyklę. Norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite pradėti, įveskite regedit į lauką vykdyti , ir pasirinkite gerai.
-
Suraskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Dešiniuoju pelės mygtuku spustelėkite klavišą protokolo , perkelkite pelės žymiklį ant naujas, ir spustelėkite raktą.
-
Įveskite SSL 3, ir tada paspauskite Enter.
-
Pakartokite 3 ir 4 sukurti raktus TLS 0, TLS 1.1 ir TLS 1.2. Šie raktai, panašūs į katalogus.
-
Sukurkite raktas kliento ir serverio raktą pagal kiekvieną SSL 3, TLS 1.0, TLS 1.1ir TLS 1.2 raktus.
-
Protokolą, sukurkite DWORD reikšmę, pagal kiekvieno kliento ir serverio kodą taip:
DisabledByDefault [reikšmė = 0]
Įjungtas [reikšmė = 1]
Norėdami išjungti protokolą, pakeisti DWORD reikšmę, pagal kiekvieno kliento ir serverio kodą taip:DisabledByDefault [reikšmė = 1]
Įjungtas [reikšmė = 0] -
Meniu failas pasirinkite išeiti.
2 būdas: Automatiškai pakeisti registrą
Administratoriaus režimu automatiškai konfigūruoti Windows naudoti tik TLS 1.2 protokolo, paleiskite šį scenarijų "Windows PowerShell":
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Set System Center naudoti tik TLS 1.2
Set System Center naudoti tik TLS 1.2 protokolas. Norėdami tai padaryti, pirmiausia įsitikinkite, kad kompiuteris atitinka būtinąsias sąlygas. Tada konfigūruoti šiuos parametrus System Center komponentus ir visų kitų serverių, kuriame yra įdiegta agentai.
Naudokite vieną iš toliau nurodytų būdų.
1 būdas: Rankiniu būdu pakeisti registrą
Svarbu.
Atidžiai vykdykite šiame skyriuje aprašytus veiksmus. Jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Prieš modifikuodami registrą sukurkite atsarginę jo kopiją , kiltų problemų.
Kad palaikyti TLS 1.2 protokolo diegimą, atlikite šiuos veiksmus:
-
Paleiskite registro rengyklę. Norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite pradėti, įveskite regedit į lauką vykdyti , ir pasirinkite gerai.
-
Suraskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Sukurti šią DWORD reikšmę, pagal šį raktą:
SchUseStrongCrypto [reikšmė = 1]
-
Suraskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Sukurti šią DWORD reikšmę, pagal šį raktą:
SchUseStrongCrypto [reikšmė = 1]
-
Iš naujo paleisti sistemą.
2 būdas: Automatiškai pakeisti registrą
Administratoriaus režimu automatiškai konfigūruoti System Center naudoti tik TLS 1.2 protokolo, paleiskite šį scenarijų "Windows PowerShell":
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Papildomi parametrai
Operations Manager
Valdymo paketai
Importuokite valdymo paketus, System Center 2012 R2 Operations Manager. Tai yra šiame kataloge, po to, kai įdiegiate serverio:
\Program system Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS parametrai
Dėl audito rinkimo paslaugos (ACS), turite būti papildomų pakeitimų registre. ACS naudoja kad, kad prisijungimų prie duomenų bazės. Turite atnaujinti DSN parametrus, kad jie funkcinis TLS 1.2.
-
Suraskite šį dalinį raktą, ODBC registre.
Pastaba. DSN numatytasis pavadinimas yra OpsMgrAC. -
ODBC duomenų šaltinių dalinį raktą, pasirinkite DSN pavadinimas, OpsMgrACįrašą. Tai yra ODBC tvarkyklę, kad būtų galima naudoti duomenų bazės ryšio pavadinimas. Jei turite įdiegti ODBC 11.0, pakeisti šį pavadinimą į ODBC tvarkyklė 11 SQL Server. Arba, jei turite įdiegti ODBC 13,0, pakeisti šį pavadinimą į ODBC tvarkyklė 13 SQL Server.
-
OpsMgrAC dalinį raktą, atnaujinti ODBS versija yra įdiegta tvarkyklė įrašą.
-
Jei yra įdiegtas ODBC 11.0, pakeiskite tvarkyklės įrašą į %WINDIR%\system32\msodbcsql11.dll.
-
Jei yra įdiegtas ODBC 13,0, pakeiskite tvarkyklės įrašą į %WINDIR%\system32\msodbcsql13.dll.
-
Taip pat kurti ir įrašyti šį .reg failą į užrašinę arba kitą teksto rengyklę. Norėdami paleisti įrašyti .reg failą, dukart spustelėkite failą.
ODBC 11.0, sukurkite šį ODBC 11.0.reg failą:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
ODBC 13,0, sukurkite šį ODBC 13.0.reg failą: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS stiprinimas Linux
Vykdykite atitinkamą svetainę ir konfigūruoti TLS 1.2 Red Hat arba Apache aplinkoje.
Data Protection Manager
Kad Data Protection Manager kartu su TLS 1.2 kurti atsargines kopijas debesyje, kad šiuos veiksmus serveryje Data Protection Manager.
Orchestrator
Po Orchestrator naujinimai yra įdiegti, iš naujo sukonfigūruoti Orchestrator duomenų bazę naudodami esamus duomenų bazės pagal šias instrukcijas.
Paslaugų tvarkytuvo
Prieš paslaugų tvarkytuvo naujinimai yra įdiegti, įdiegti reikalingus paketus ir iš naujo sukonfigūruoti registro rakto reikšmės, kaip aprašyta toliau " Prieš įdiegiant "instrukcijos skyriuje KB 4024037 .
Taip pat, jei System Center Service Manager yra stebėjimas naudojant System Center Operations Manager, atnaujinti į naujausią versiją (v 7.5.7487.89), stebėjimo valdymo paketas TLS 1.2 palaikymas:
"Microsoft" sistemos centro valdymo paketas, "System Center Service Manager"
Tarnybos valdymo automatizavimas (SMA)
Tarnybos valdymo automatizavimas (SMA) yra stebėjimas naudojant System Center Operations Manager, atnaujinkite į naujausią stebėjimo valdymo paketas TLS 1.2 palaikymas:
Trečiosios šalies kontaktų ribojimas
"Microsoft" teikia trečiųjų šalių kontaktinę informaciją, padėsiančią jums gauti papildomos informacijos apie šią temą. Ši kontaktinė informacija gali būti pakeista neperspėjus. Microsoft negarantuoja, kad trečiųjų šalių kontaktinės informacijos tikslumą.