Sumário

Este artigo descreve como activar a versão de protocolo de Transport Layer Security (TLS) 1.2 num ambiente Microsoft System Center 2012 R2.

Mais informações

Para activar o protocolo TLS, versão 1.2 no seu ambiente do System Center, siga estes passos:

  1. Instalar actualizações da libertação.

    Notas

    • Instale o update rollup mais recente para todos os componentes do System Center antes de aplicar o Update Rollup 14.

  2. Certifique-se de que o programa de configuração como funcional, tal como estava antes de aplicar as actualizações. Por exemplo, verifique se pode iniciar a consola.

  3. Altere as definições de configuração para activar a TLS 1.2.

  4. Certifique-se de que todas as necessárias estão em execução serviços do SQL Server.


Instalar actualizações

Actividade de actualização

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7.

Certifique-se de que todas as actuais actualizações de segurança são instaladas para Windows Server R2 de 2012

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Certifique-se de que a 4.6. .NET Framework é instalado em todos os componentes do System Center

Sim

 

Sim

 

Sim

Sim

Sim

Sim

Sim

Instalar a actualização necessária do SQL Server que suporta a TLS 1.2

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Instale as actualizações necessárias do System Center 2012 R2

Sim

N

Sim

Sim

N

N

Sim

Certifique-se de que que são certificados assinados AC SHA1 ou SHA2

Sim

Sim

Sim

Sim

Sim

Sim

Sim


1System Center Operations Manager (SCOM)
2O System Center Virtual Machine Manager (SCVMM)
3O System Center Data Protection Manager (SCDPM)
4O System Center Orchestrator (SCO)
5Automatização de gestão de serviços (SMA)
6Fundação de fornecedor de serviço (SPF)
7.Gestor do serviço (GM)


Alterar definições de configuração

Actualização da configuração

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7.

Definição no Windows para utilizar apenas o TLS 1.2 protocolo

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Definição no centro do sistema para utilizar apenas o TLS 1.2 protocolo

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Definições adicionais

Sim

N

Sim

Sim

N

N

N


.NET Framework 

Certifique-se de que a 4.6. .NET Framework é instalado em todos os componentes do System Center. Para tal, sigaestas instruções.

Suporte de TLS 1.2

Instale a actualização necessária do SQL Server que suporta a TLS 1.2. Para tal, consulte o seguinte artigo na Microsoft Knowledge Base:

Suporte de TLS 1.2 3135244 para o Microsoft SQL Server


R2 de 2012 do System Center actualizações necessárias

Cliente nativo do SQL Server 2012 11.0 deve ser instalado em todos os componentes seguintes do System Center.

Componente

Função

Gestor de operações

Servidor de gestão e consolas de Web

Virtual Machine Manager

(Não necessária)

Orchestrator

Servidor de gestão

Gestor de protecção de dados

Servidor de gestão

Gestor do serviço

Servidor de gestão


Para transferir e instalar o Microsoft SQL Server 2012 nativo cliente 11.0, consulte esta página Web de centro de transferências da Microsoft.

Para o System Center Operations Manager e o Gestor do serviço, tem de ter o ODBC 11.0 ou 13.0 de ODBC instalado em todos os servidores de gestão.

Instale as actualizações de sistema Centro 2012 R2 necessárias a partir do seguinte artigo da Base de dados de conhecimento:

Descrição de 4043306 no 14 do Update Rollup para o Microsoft System Center 2012 R2
 

Componente

R2 DE 2012

Gestor de operações

De 14 de conjunto de actualizações para o System Center 2012 R2 Operations Manager

Gestor do serviço

De 14 de conjunto de actualizações para o System Center 2012 R2 Service Manager

Orchestrator

De 14 de conjunto de actualizações para o System Center 2012 R2 Orchestrator

Gestor de protecção de dados

O update Rollup 14 para R2 de 2012 do System Center Data Protection Manager


Nota Certifique-se de que expandam o conteúdo do ficheiro e instale o ficheiro MSP na função correspondente, excepto o Data Protection Manager. Para o Data Protection Manager, instale o ficheiro .exe.

Certificados SHA1 e SHA2

Componentes do System Center agora geram certificados auto-assinados SHA1 e SHA2. Isto é necessário para permitir a TLS 1.2. Se forem utilizados certificados de AC assinada, certifique-se de que os certificados são SHA1 ou SHA2.

Definir o Windows para utilizar apenas a TLS 1.2

Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.

Método 1: Modificar manualmente o registo

Importante

Siga os passos nesta secção cuidadosamente. Poderão ocorrer problemas graves se modificar o registo incorretamente. Antes, modificá-lo, cópias de segurança do registo para restauro no caso de ocorrerem problemas.

Utilize os seguintes passos para activar/desactivar todos os protocolos SCHANNEL ao nível do sistema. Recomendamos que Active o protocolo TLS 1.2 para as comunicações recebidas e activar os protocolos TLS 1.0, TLS 1.1 e TLS 1.2 para todas as comunicações de saída.

Nota Efectuar estas alterações de registo não afecta a utilização de protocolos de Kerberos ou NTLM.

  1. Inicie o Editor de Registo. Para tal, clique em Iniciar, escreva regedit na caixa Executar e, em seguida, seleccione ' OK '.

  2. Localize a seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Botão direito do rato na chave de protocolo , aponte para Novoe, em seguida, clique em chave.

    Registry

  4. Escreva SSL 3e, em seguida, prima Enter.

  5. Repita os passos 3 e 4 para criar chaves de TLS 0, a TLS 1.1 e a TLS 1.2. Estas chaves assemelhar-se os directórios.

  6. Crie uma chave de cliente e uma chave de servidor em cada um dos SSL 3, TLS 1.0, TLS 1.1e chaves TLS 1.2 .

  7. Para activar um protocolo, crie um valor DWORD em cada chave de cliente e servidor da seguinte forma:

    DisabledByDefault [valor = 0]
    Activado [valor = 1]
    Para desactivar um protocolo, altere o valor DWORD em cada chave de cliente e servidor da seguinte forma:

    DisabledByDefault [valor = 1]
    Activado [valor = 0]

  8. No menu ficheiro , seleccione Sair.


Método 2: Modificar automaticamente o registo

Execute o seguinte script do Windows PowerShell em modo de administrador para configurar automaticamente o Windows para utilizar apenas o protocolo do TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Conjunto System Center para utilizar apenas a TLS 1.2

Conjunto System Center para utilizar apenas o protocolo TLS 1.2. Para efectuar este procedimento, certifique-se de que todos os pré-requisitos forem cumpridos. Em seguida, configure as seguintes definições de componentes do System Center e todos os outros servidores em que os agentes estão instalados.

Utilize um dos seguintes métodos.

Método 1: Modificar manualmente o registo

Importante

Siga os passos nesta secção cuidadosamente. Poderão ocorrer problemas graves se modificar o registo incorretamente. Antes, modificá-lo, cópias de segurança do registo para restauro no caso de ocorrerem problemas.

Para activar a instalação suportar o protocolo TLS 1.2, siga estes passos:

  1. Inicie o Editor de Registo. Para tal, clique em Iniciar, escreva regedit na caixa Executar e, em seguida, seleccione ' OK '.

  2. Localize a seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Crie o seguinte valor DWORD nesta chave:

    SchUseStrongCrypto [valor = 1]

  4. Localize a seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Crie o seguinte valor DWORD nesta chave:

    SchUseStrongCrypto [valor = 1]

  6. Reinicie o sistema.


Método 2: Modificar automaticamente o registo

Execute o seguinte script do Windows PowerShell em modo de administrador para configurar automaticamente o System Center para utilizar apenas o protocolo do TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Definições adicionais

Gestor de operações

Pacotes de gestão

Importe os pacotes de gestão para o System Center 2012 R2 Operations Manager. Estes estão localizados no seguinte directório depois de instalar a actualização do servidor:

\Programas\Microsoft system Center 2012 R2\Operations Manager\Server\Management pacotes de Update Rollups

Definições de ACS

Para serviços de recolha de auditoria (ACS), tem de efectuar alterações adicionais no registo. ACS utiliza o DSN para efectuar ligações à base de dados. Tem de actualizar as definições de DSN para torná-las funcional para o TLS 1.2.

  1. Localize a seguinte subchave de ODBC no registo.

    Nota O nome de DSN predefinido é OpsMgrAC.

    ODBC. Subchave INI

  2. Origens de dados ODBC subchave, seleccione o movimento para o nome DSN, OpsMgrAC. Contém o nome do controlador de ODBC a ser utilizado para a ligação de base de dados. Se tiver 11.0 de ODBC instalado, altere este nome de 11 de controladorde ODBC para SQL Server. Ou, se tiver 13.0 de ODBC instalado, alterar este nome a 13 do controlador de ODBC para SQL Server.

    Subchave de origens de dados ODBC

  3. Na subchave OpsMgrAC , actualize a entrada de controlador para a versão ODBS que está instalada.

    Subchave OpsMgrAC

    • Se ODBC 11.0 estiver instalado, altere a entrada de controlador para %WINDIR%\system32\msodbcsql11.dll.

    • Se ODBC 13.0 estiver instalado, altere a entrada de controlador para %WINDIR%\system32\msodbcsql13.dll.

    • Em alternativa, crie e guarde o ficheiro. reg seguinte no bloco de notas ou outro editor de texto. Para executar o ficheiro. reg guardado, faça duplo clique no ficheiro.

      Para o ODBC 11.0, crie o seguinte ficheiro de 11.0.reg ODBC:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Para o ODBC 13.0, crie o seguinte ficheiro de 13.0.reg ODBC: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS protecção em Linux

Siga as instruções no Web site adequado para configurar TLS 1.2 no seu ambiente Red Hat ou Apache .

Gestor de protecção de dados

Para activar o Data Protection Manager para funcionarem em conjunto com a TLS 1.2 efectuar cópias de segurança para a nuvem, Active estes passos no servidor de Data Protection Manager.

Orchestrator

Depois do Orchestrator actualizações são instaladas, volte a configurar a base de dados Orchestrator utilizando a base de dados existente em conformidade com estas directrizes.

Gestor do serviço

Antes do Gestor do serviço de actualizações é instalado, instalar os pacotes necessários e reconfigurar os valores de chave de registo, tal como descrito no " Antes da instalação "secção de instruções de KB 4024037 .

Para além disso, se estiver a monitorizar o Gestor de serviços do Centro de sistema utilizando o System Center Operations Manager, actualizar para a versão mais recente (v 7.5.7487.89) de acompanhamento Management Pack para o suporte de TLS 1.2:

Microsoft System Center Management Pack para o Gestor de serviços do System Center

Automatização de gestão de serviços (SMA)

Se estiver a monitorizar o serviço de gestão de automatização (SMA), utilizando o System Center Operations Manager, actualize para a versão mais recente de monitorização Management Pack para o suporte de TLS 1.2:

O System Center Management Pack para Orchestrator de R2 do System Center 2012 - automatização de gestão de serviços

Exclusão de responsabilidade de contacto de outros fabricantes

A Microsoft fornece informações de contacto de outros fabricantes para ajudar a localizar informações adicionais sobre este tópico. Estas informações de contacto podem ser alteradas sem aviso prévio. A Microsoft não garante a exactidão das informações de contacto de outros fabricantes.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?

Obrigado pelo seu feedback!

×