Samenvatting
In dit artikel wordt beschreven hoe u TLS-protocolversie 1.2 (Transport Layer Security) inschakelt in een Microsoft System Center 2012 R2-omgeving.
Meer informatie
Voer de volgende stappen uit om TLS-protocolversie 1.2 in te schakelen in uw System Center-omgeving:
-
Installeer updates uit de release. Notities
-
Installeer het meest recente updatepakket voor alle System Center-onderdelen voordat u Updatepakket 14 toepast.
-
Installeer updatepakket 13 voor Data Protection Manager en Virtual Machine Manager.
-
Installeer updatepakket 7 voor Service Management Automation.
-
Installeer updatepakket 8 voor System Center Orchestrator.
-
Installeer updatepakket 12 voor Service Provider Foundation.
-
Installeer updatepakket 9 voor Service Manager.
-
-
-
Zorg ervoor dat de installatie net zo functioneel is als voorheen voordat u de updates toepaste. Controleer bijvoorbeeld of u de console kunt starten.
-
Wijzig de configuratie-instellingen om TLS 1.2 in te schakelen.
-
Zorg ervoor dat alle vereiste SQL Server services worden uitgevoerd.
Updates installeren
Activiteit bijwerken |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Zorg ervoor dat alle huidige beveiligingsupdates zijn geïnstalleerd voor Windows Server 2012 R2 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Zorg ervoor dat de .NET Framework 4.6 is geïnstalleerd op alle System Center-onderdelen |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
De vereiste SQL Server-update installeren die ondersteuning biedt voor TLS 1.2 |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nee |
Ja |
Ja |
Nee |
Nee |
Ja |
|
Zorg ervoor dat ca-ondertekende certificaten SHA1 of SHA2 zijn |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manager (SCVMM) 3 System Center Data Protection Manager (SCDPM) 4 System Center Orchestrator (SCO) 5 Service Management Automation (SMA) 6 Service Provider Foundation (SPF) 7 Service Manager (SM)
Configuratie-instellingen wijzigen
Configuratie-update |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Instelling voor Windows om alleen TLS 1.2 Protocol te gebruiken |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Instellen op System Center om alleen TLS 1.2 Protocol te gebruiken |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
Nee |
Ja |
Ja |
Nee |
Nee |
Nee |
.NET Framework
Zorg ervoor dat de .NET Framework 4.6 is geïnstalleerd op alle System Center-onderdelen. Volgdeze instructies om dit te doen.
Ondersteuning voor TLS 1.2
Installeer de vereiste SQL Server-update die ondersteuning biedt voor TLS 1.2. Raadpleeg hiervoor het volgende artikel in de Microsoft Knowledge Base:
3135244 TLS 1.2-ondersteuning voor Microsoft SQL Server
Vereiste System Center 2012 R2-updates
SQL Server 2012 Native client 11.0 moet worden geïnstalleerd op alle volgende System Center-onderdelen.
Component |
Role |
Operations Manager |
Beheerserver en webconsoles |
Virtual Machine Manager |
(Niet vereist) |
Orchestrator |
Beheerserver |
Data Protection Manager |
Beheerserver |
Service Manager |
Beheerserver |
deze webpagina van het Microsoft Downloadcentrum.
Als u Microsoft SQL Server 2012 Native Client 11.0 wilt downloaden en installeren, raadpleegt uVoor System Center Operations Manager en Service Manager moet ODBC 11.0 of ODBC 13.0 zijn geïnstalleerd op alle beheerservers.
Installeer de vereiste System Center 2012 R2-updates uit het volgende Knowledge Base-artikel:
4043306 Beschrijving van updatepakket 14 voor Microsoft System Center 2012 R2
Component |
2012 R2 |
Operations Manager |
Updatepakket 14 voor System Center 2012 R2 Operations Manager |
Service Manager |
Updatepakket 14 voor System Center 2012 R2 Service Manager |
Orchestrator |
Updatepakket 14 voor System Center 2012 R2 Orchestrator |
Data Protection Manager |
Updatepakket 14 voor System Center 2012 R2 Data Protection Manager |
Opmerking Zorg ervoor dat u de inhoud van het bestand uitvouwt en het MSP-bestand installeert in de bijbehorende rol, met uitzondering van Data Protection Manager. Installeer het .exe-bestand voor Data Protection Manager.
SHA1- en SHA2-certificaten
System Center-onderdelen genereren nu zelfondertekende SHA1- en SHA2-certificaten. Dit is vereist om TLS 1.2 in te schakelen. Als ca-ondertekende certificaten worden gebruikt, moet u ervoor zorgen dat de certificaten SHA1 of SHA2 zijn.
Instellen dat Windows alleen TLS 1.2 gebruikt
Gebruik een van de volgende methoden om Windows te configureren voor het gebruik van alleen het TLS 1.2-protocol.
Methode 1: Het register handmatig wijzigen
Belangrijk: Volg de stappen in dit gedeelte zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u het wijzigt, maakt u een back-up van het register voor herstel als er problemen optreden.
Gebruik de volgende stappen om alle SCHANNEL-protocollen systeembrede in- of uit te schakelen. U wordt aangeraden het TLS 1.2-protocol in te schakelen voor binnenkomende communicatie en de protocollen TLS 1.2, TLS 1.1 en TLS 1.0 in te schakelen voor alle uitgaande communicatie.
Opmerking Het aanbrengen van deze registerwijzigingen heeft geen invloed op het gebruik van Kerberos- of NTLM-protocollen.
-
De Register-editor starten. Hiervoor klikt u met de rechtermuisknop op Start, typt u regedit in het vak Uitvoeren en selecteert u OK.
-
Zoek de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Klik met de rechtermuisknop op de protocolsleutel , wijs Nieuw aan en klik vervolgens op Sleutel.
-
Typ SSL 3 en druk op Enter.
-
Herhaal stap 3 en 4 om sleutels te maken voor TLS 0, TLS 1.1 en TLS 1.2. Deze sleutels lijken op mappen.
-
Maak een clientsleutel en een serversleutel onder elk van de SSL 3-, TLS 1.0-, TLS 1.1- en TLS 1.2-sleutels .
-
Als u een protocol wilt inschakelen, maakt u de DWORD-waarde onder elke client- en serversleutel als volgt:
DisabledByDefault [Waarde = 0]
Ingeschakeld [Waarde = 1] Als u een protocol wilt uitschakelen, wijzigt u de DWORD-waarde onder elke client- en serversleutel als volgt:DisabledByDefault [Waarde = 1]
Ingeschakeld [Waarde = 0] -
Selecteer Afsluiten in het menu Bestand.
Methode 2: Het register automatisch wijzigen
Voer het volgende Windows PowerShell script uit in de beheerdersmodus om Windows automatisch te configureren voor het gebruik van alleen het TLS 1.2-protocol:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
System Center zo instellen dat alleen TLS 1.2 wordt gebruikt
Stel System Center in om alleen het TLS 1.2-protocol te gebruiken. Zorg er eerst voor dat aan alle vereisten wordt voldaan om dit te doen. Configureer vervolgens de volgende instellingen op System Center-onderdelen en alle andere servers waarop agents zijn geïnstalleerd.
Gebruik een van de volgende methoden.
Methode 1: Het register handmatig wijzigen
Belangrijk: Volg de stappen in dit gedeelte zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u het wijzigt, maakt u een back-up van het register voor herstel als er problemen optreden.
Voer de volgende stappen uit om de installatie in te schakelen ter ondersteuning van het TLS 1.2-protocol:
-
De Register-editor starten. Hiervoor klikt u met de rechtermuisknop op Start, typt u regedit in het vak Uitvoeren en selecteert u OK.
-
Zoek de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Maak de volgende DWORD-waarde onder deze sleutel:
SchUseStrongCrypto [Waarde = 1]
-
Zoek de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Maak de volgende DWORD-waarde onder deze sleutel:
SchUseStrongCrypto [Waarde = 1]
-
Start het systeem opnieuw op.
Methode 2: Het register automatisch wijzigen
Voer het volgende Windows PowerShell script uit in de beheerdersmodus om System Center automatisch zo te configureren dat alleen het TLS 1.2-protocol wordt gebruikt:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Aanvullende instellingen
Operations Manager
Management packs
Importeer de management packs voor System Center 2012 R2 Operations Manager. Deze bevinden zich in de volgende map nadat u de serverupdate hebt geïnstalleerd:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS-instellingen
Voor Audit Collection Services (ACS) moet u aanvullende wijzigingen aanbrengen in het register. ACS gebruikt de DSN om verbindingen met de database te maken. U moet DSN-instellingen bijwerken om deze functioneel te maken voor TLS 1.2.
-
Zoek de volgende subsleutel voor ODBC in het register.
Opmerking De standaardnaam van DSN is OpsMgrAC. -
Selecteer in de subsleutel ODBC-gegevensbronnen de vermelding voor de DSN-naam, OpsMgrAC. Dit bevat de naam van het ODBC-stuurprogramma dat moet worden gebruikt voor de databaseverbinding. Als ODBC 11.0 is geïnstalleerd, wijzigt u deze naam in ODBC-stuurprogramma 11 voor SQL Server. Als u ODBC 13.0 hebt geïnstalleerd, wijzigt u deze naam in ODBC-stuurprogramma 13 voor SQL Server.
-
Werk in de OpsMgrAC-subsleutel de stuurprogrammavermelding bij voor de ODBS-versie die is geïnstalleerd.
-
Als ODBC 11.0 is geïnstalleerd, wijzigt u de driververmelding in %WINDIR%\system32\msodbcsql11.dll.
-
Als ODBC 13.0 is geïnstalleerd, wijzigt u de driververmelding in %WINDIR%\system32\msodbcsql13.dll.
-
U kunt ook het volgende REG-bestand maken en opslaan in Kladblok of een andere teksteditor. Dubbelklik op het bestand om het opgeslagen REG-bestand uit te voeren.
Maak voor ODBC 11.0 het volgende ODBC 11.0.reg-bestand: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-gegevensbronnen] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Maak voor ODBC 13.0 het volgende ODBC 13.0.reg-bestand: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC-gegevensbronnen] "OpsMgrAC"="ODBC-stuurprogramma 13 voor SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS-beveiliging in Linux
Volg de instructies op de juiste website om TLS 1.2 te configureren in uw Red Hat - of Apache-omgeving .
Data Protection Manager
Als u wilt dat Data Protection Manager kan samenwerken met TLS 1.2 om een back-up te maken naar de cloud, schakelt u deze stappen in op de Data Protection Manager-server.
Orchestrator
Nadat de Orchestrator-updates zijn geïnstalleerd, configureert u de Orchestrator-database opnieuw met behulp van de bestaande database volgens deze richtlijnen.
Service Manager
Voordat de Service Manager-updates worden geïnstalleerd, installeert u de vereiste pakketten en configureert u de registersleutelwaarden opnieuw, zoals beschreven in de instructies in de sectie 'Vóór de installatie' van KB 4024037.
Als u de System Center Service Manager bewaakt met System Center Operations Manager, werkt u ook bij naar de nieuwste versie (v 7.5.7487.89) van Monitoring Management Pack voor TLS 1.2-ondersteuning.
Service Management Automation (SMA)
Als u de Service Management Automation (SMA) bewaakt met behulp van System Center Operations Manager, werkt u bij naar de nieuwste versie van monitoring management pack voor TLS 1.2-ondersteuning:
Disclaimer van externe contactpersoon
Microsoft biedt contactgegevens van derden om u te helpen aanvullende informatie over dit onderwerp te vinden. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft biedt geen garantie voor de nauwkeurigheid van contactgegevens van derden.