Samenvatting

In dit artikel wordt beschreven hoe u de TLS-protocol versie 1,2 (Transport Layer Security) kunt inschakelen in een Microsoft System Center 2016-omgeving.

Meer informatie

Voer de volgende stappen uit om TLS-protocol versie 1,2 in te schakelen in uw System Center-omgeving:

  1. Installeer updates vanuit de release. Opmerkingen

    • Automation Automation (SMA) en service provider Foundation (SPF) moet worden bijgewerkt naar de meest recente update rollup omdat UR4 geen updates voor deze onderdelen bevat.

    • Voor Service Management Automation (SMA) voert u een upgrade uit naar Update Rollup 1, enPDATE u het SMA Management Pack (MP) van dit Microsoft Download centrumop de webpagina.

    • Voor service provider Foundation (SPF) een upgrade uitvoeren naar Update pakket 2.

    • System Center Virtual Machine Manager (SCVMM) moet worden bijgewerkt naar minimaal Update pakket 3.

  2. Zorg ervoor dat de instelling werkt zoals eerder was voordat u de updates toepast. Controleer bijvoorbeeld of u de console kunt starten.

  3. De configuratie-instellingen wijzigen om TLS 1,2 in te schakelen.

  4. Zorg ervoor dat alle vereiste SQL Server-services worden uitgevoerd.

Updates installeren

Activiteiten bijwerken

SCOM1

SCVMM3

SCDPMdriefasig

SCO3

SMAvijf

SPFzes

SM7,5

Zorg ervoor dat alle huidige beveiligingsupdates zijn geïnstalleerd voor windows server 2012 R2 of windows server 2016. 

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Zorg ervoor dat .NET Framework 4,6 is geïnstalleerd op alle System Center-onderdelen

Ja

 

Ja

 

Ja

Ja

Ja

Ja

Ja

Installeer de vereiste SQL Server-update die TLS 1,2 ondersteunt.

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Installeer de vereiste updates voor System Center 2016

Ja

Nee

Ja

Ja

Nee

Nee

Ja

Zorg ervoor dat certificeringsinstanties met een certificeringsinstantie SHA1 of SHA2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

1 System Center Operations Manager (SCOM) 3 System Center Virtual Machine Manager (SCVMM) driefasig System Center Data Protection Manager (SCDPM) 3 System Center Orchestrator (SCO) vijf Automatisering van Service beheer (SMA) zes SPF (service provider Foundation) 7,5 Service Manager (SM)

Configuratie-instellingen wijzigen

Configuratie-update

SCOM1

SCVMM3

SCDPMdriefasig

SCO3

SMAvijf

SPFzes

SM7,5

Instelling voor Windows voor gebruik van TLS 1,2-protocol

Ja

Ja

Ja

Ja

Ja

Ja

Ja

De instelling voor het gebruik van TLS 1,2-protocol voor System Center

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Meer instellingen

Ja

Nee

Ja

Ja

Nee

Nee

Nee

.NET Framework 

Zorg ervoor dat .NET Framework 4,6 is geïnstalleerd op alle System Center-onderdelen. Als u dit wilt doen, volgt udeze instructies.

Ondersteuning van TLS 1,2

Installeer de vereiste SQL Server-update die TLS 1,2 ondersteunt. Raadpleeg het volgende artikel in Microsoft Knowledge Base:

3135244 Ondersteuning van TLS 1,2 voor Microsoft SQL Server

Vereiste updates voor System Center 2016

SQL Server 2012 native client 11,0 moet zijn geïnstalleerd op alle volgende onderdelen van System Center.

Invoert

Rolgebaseerde

Vereist SQL-stuurprogramma

Operations Manager

Beheer server en Web-consoles

SQL Server 2012 native client 11,0 of Microsoft OLE DB driver 18 voor SQL Server (aanbevolen).

Opmerking Microsoft OLE DB driver 18 voor SQL Server wordt ondersteund met Operations Manager 2016 UR9 en later.

Virtual Machine Manager

(Niet vereist)

(Niet vereist)

Orchestrator

Beheer server

SQL Server 2012 native client 11,0 of Microsoft OLE DB driver 18 voor SQL Server (aanbevolen).

Opmerking Microsoft OLE DB driver 18 voor SQL Server wordt ondersteund met Orchestrator 2016 UR8 en nieuwere versies.

Data Protection Manager

Beheer server

SQL Server 2012 native client 11,0

Service Manager

Beheer server

SQL Server 2012 native client 11,0 of Microsoft OLE DB driver 18 voor SQL Server (aanbevolen).

Opmerking Microsoft OLE DB driver 18 voor SQL Server wordt ondersteund met Service Manager 2016 UR9 en nieuwere versies.

Als u Microsoft SQL Server 2012 native client 11,0 wilt downloaden en installeren, raadpleegt u de webpagina Microsoft Downloadcentrum.

Zie de webpagina van het Microsoft Downloadcentrum voor hetdownloaden en installeren van Microsoft OLE DB driver 18.

Voor System Center Operations Manager en service manager moet odbc 11,0 of ODBC 13,0 zijn geïnstalleerd op alle beheer servers.

Installeer de vereiste updates voor System Center 2016 vanuit het volgende Knowledge Base-artikel:

4043305 Beschrijving van update pakket 4 voor Microsoft System Center 2016  

Invoert

2016

Operations Manager

Update pakket 4 voor System Center 2016 Operations Manager

Service Manager

Update pakket 4 voor System Center 2016 Service Manager

Orchestrator

Update pakket 4 voor System Center 2016 Orchestrator

Data Protection Manager

Update pakket 4 voor System Center 2016 Data Protection Manager

Opmerking Zorg ervoor dat u de inhoud van het bestand uitbreidt en het MSP-bestand installeert op de bijbehorende rol.

SHA1-en SHA2-certificaten

System Center-onderdelen genereren nu zowel SHA1-als SHA2 zelfondertekende certificaten. Dit is vereist om TLS 1,2 in te schakelen. Als certificaten met CA-ondertekening worden gebruikt, moet u ervoor zorgen dat de certificaten zijn of haar eigen SHA2.

Windows instellen voor gebruik van TLS 1,2

Gebruik een van de volgende methoden om Windows zo te configureren dat alleen het TLS 1,2-protocol wordt gebruikt.

Methode 1: het register handmatig wijzigen

Belangrijk Volg de stappen in dit gedeelte zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u de wijziging aanpast, maakt u een back-up van het register voor herstel wanneer de problemen zich voordoen.

Voer de volgende stappen uit om alle SCHANNEL-protocollen voor het hele systeem in/uit te schakelen. U wordt aangeraden het TLS 1,2-protocol in te schakelen voor inkomende gesprekken; en schakel de TLS-1,2, TLS 1,1 en TLS 1,0-protocollen voor alle uitgaande communicatie in.

Opmerking Het aanbrengen van deze registerwijzigingen heeft geen invloed op het gebruik van Kerberos-of NTLM-protocollen.

  1. De Register-editor starten. Klik hiervoor met de rechtermuisknop op Start, typ regedit in het vak uitvoeren en klik vervolgens op OK.

  2. Ga naar de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Klik met de rechtermuisknop op de protocol toets, wijs Nieuwaan en klik op sleutel. Register

  4. Typ SSL 3en druk vervolgens op ENTER.

  5. Herhaal stap 3 en 4 om sleutels te maken voor TLS 0, TLS 1,1 en TLS 1,2. Deze toetsen lijken op mappen.

  6. Maak een client sleutel en een Server sleutel onder elk van de SSL 3-, TLS 1,0-, TLS 1,1-en TLS 1,2 -toetsen.

  7. Als u een protocol wilt inschakelen, maakt u als volgt de DWORD-waarde onder elke client-en server sleutel:

    DisabledByDefault [waarde = 0] Ingeschakeld [waarde = 1] Als u een protocol wilt uitschakelen, wijzigt u de DWORD-waarde onder elke client-en server sleutel als volgt:

    DisabledByDefault [waarde = 1] Ingeschakeld [waarde = 0]

  8. Klik in het menu Bestand op Afsluiten.

Methode 2: het register automatisch aanpassen

Voer in de beheerdersmodus het volgende Windows PowerShell-script uit om Windows automatisch te configureren voor gebruik van het TLS 1,2-Protocol:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

System Center instellen voor gebruik met uitsluitend TLS 1,2

Stel System Center in voor het gebruik van het TLS 1,2-protocol. Zorg er eerst voor dat aan alle vereisten wordt voldaan. Vervolgens maakt u de volgende instellingen voor System Center-onderdelen en alle andere servers waarop agents zijn geïnstalleerd.

Gebruik een van de volgende methoden.

Methode 1: het register handmatig wijzigen

Belangrijk Volg de stappen in dit gedeelte zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u de wijziging aanpast, maakt u een back-up van het register voor herstel wanneer de problemen zich voordoen.

Voer de volgende stappen uit om de installatie van het TLS 1,2-protocol in te schakelen:

  1. De Register-editor starten. Klik hiervoor met de rechtermuisknop op Start, typ regedit in het vak uitvoeren en klik vervolgens op OK.

  2. Ga naar de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Maak de volgende DWORD-waarde onder deze sleutel:

    SchUseStrongCrypto [waarde = 1]

  4. Ga naar de volgende registersubsleutel:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Maak de volgende DWORD-waarde onder deze sleutel:

    SchUseStrongCrypto [waarde = 1]

  6. Start het systeem opnieuw op.

Methode 2: het register automatisch aanpassen

Voer in de beheerdersmodus het volgende Windows PowerShell-script uit om System Center automatisch te configureren voor gebruik van het TLS 1,2-Protocol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Meer instellingen

Operations Manager

Management Packs

Importeer de Management Packs voor System Center 2016 Operations Manager. Deze bevindt zich in de volgende Directory nadat u de server update hebt geïnstalleerd:

\Program Files\Microsoft System Center 2016 \ Operations Manager\Server\Management pakketten voor update pakketten

ACS-instellingen

Voor audit Collection-Services (ACS) moet u aanvullende wijzigingen aanbrengen in het register. De DSN wordt door ACS gebruikt om verbinding te maken met de database. U moet de DSN-instellingen bijwerken om te zorgen dat ze in TLS 1,2 werken.

  1. Zoek de volgende subsleutel in het register voor ODBC. Opmerking De standaardnaam van de DSN is OpsMgrAC. ODBC. INI-subsleutel

  2. Selecteer in de subsleutel ODBC-gegevensbronnen de vermelding voor de DSN-naam, OpsMgrAC. Dit bevat de naam van het ODBC-stuurprogramma dat voor de databaseverbinding moet worden gebruikt. Als ODBC 11,0 is geïnstalleerd, wijzigt u deze naam in ODBC Driver 11 voor SQL Server. Als ODBC 13,0 is geïnstalleerd, wijzigt u de naam van het ODBC-stuurprogramma 13 voor SQL Server. ODBC-gegevensbronnen subsleutel

  3. Werk in de subsleutel OpsMgrAC de stuurprogrammanaam bij voor de ODBS-versie die is geïnstalleerd. De subsleutel OpsMgrAC

    • Als ODBC 11,0 is geïnstalleerd, wijzigt u de vermelding van het stuurprogramma in %windir%\system32\msodbcsql11.dll.

    • Als ODBC 13,0 is geïnstalleerd, wijzigt u de vermelding van het stuurprogramma in %windir%\system32\msodbcsql13.dll.

    • U kunt ook het volgende REG-bestand maken en opslaan in Kladblok of een andere teksteditor. Als u het opgeslagen reg-bestand wilt uitvoeren, dubbelklikt u op het bestand. Maak voor ODBC 11,0het volgende ODBC 11.0. reg-bestand:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Maak voor ODBC 13,0het volgende ODBC-13.0. reg-bestand:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-versterking in Linux

Volg de instructies op de juiste website om TLS 1,2 te configureren op uw rode Hat -of Apache -omgeving.

Data Protection Manager

Als u wilt dat Data Protection Manager samen met TLS 1,2 wordt gebruikt om een back-up te maken van de Cloud, schakelt u deze stappen op de Data Protection Manager-server in.

Orchestrator

Nadat de Orchestrator-updates zijn geïnstalleerd, configureert u de Orchestrator-database opnieuw met behulp van de bestaande database volgens deze richtlijnen.

 

Disclaimer voor contactpersoon van derden

Microsoft biedt informatie van derden om u te helpen bij het zoeken naar aanvullende informatie over dit onderwerp. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft waarborgt geen nauwkeurigheid van contactgegevens van derden.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×