TLS guia de implementação do suporte de protocolo 1.2 para o System Center 2012 R2

Sumário

Este artigo descreve como activar a versão de protocolo de Transport Layer Security (TLS) 1.2 num ambiente Microsoft System Center 2012 R2.

Mais informações

Para activar o protocolo TLS, versão 1.2 no seu ambiente do System Center, siga estes passos:

Instalar actualizações da libertação.

Notas
- Instale o update rollup mais recente para todos os componentes do System Center antes de aplicar o Update Rollup 14.
  - Para o Data Protection Manager e o Gestor de Máquina Virtual, instale o Update Rollup 13.
  - Para a automatização de gestão de serviço, instale o Update Rollup 7.
  - Para o System Center Orchestrator, instale o Update Rollup 8.
  - Fundação de fornecedor de serviço, instale o Update Rollup 12.
  - Para o Gestor do serviço, instale o Update Rollup 9.
Certifique-se de que o programa de configuração como funcional, tal como estava antes de aplicar as actualizações. Por exemplo, verifique se pode iniciar a consola.
Altere as definições de configuração para activar a TLS 1.2.
Certifique-se de que todas as necessárias estão em execução serviços do SQL Server.

Instalar actualizações

Actividade de actualização	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM^7.
Certifique-se de que todas as actuais actualizações de segurança são instaladas para Windows Server R2 de 2012	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Certifique-se de que a 4.6. .NET Framework é instalado em todos os componentes do System Center	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Instalar a actualização necessária do SQL Server que suporta a TLS 1.2	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Instale as actualizações necessárias do System Center 2012 R2	Sim	N	Sim	Sim	N	N	Sim
Certifique-se de que que são certificados assinados AC SHA1 ou SHA2	Sim	Sim	Sim	Sim	Sim	Sim	Sim

¹System Center Operations Manager (SCOM)
²O System Center Virtual Machine Manager (SCVMM)
³O System Center Data Protection Manager (SCDPM)
⁴O System Center Orchestrator (SCO)
⁵Automatização de gestão de serviços (SMA)
⁶Fundação de fornecedor de serviço (SPF)
^7.Gestor do serviço (GM)

Alterar definições de configuração

Actualização da configuração	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM^7.
Definição no Windows para utilizar apenas o TLS 1.2 protocolo	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Definição no centro do sistema para utilizar apenas o TLS 1.2 protocolo	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Definições adicionais	Sim	N	Sim	Sim	N	N	N

.NET Framework

Certifique-se de que a 4.6. .NET Framework é instalado em todos os componentes do System Center. Para tal, sigaestas instruções.

Suporte de TLS 1.2

Instale a actualização necessária do SQL Server que suporta a TLS 1.2. Para tal, consulte o seguinte artigo na Microsoft Knowledge Base:

Suporte de TLS 1.2 3135244 para o Microsoft SQL Server

R2 de 2012 do System Center actualizações necessárias

Cliente nativo do SQL Server 2012 11.0 deve ser instalado em todos os componentes seguintes do System Center.

Componente	Função
Gestor de operações	Servidor de gestão e consolas de Web
Virtual Machine Manager	(Não necessária)
Orchestrator	Servidor de gestão
Gestor de protecção de dados	Servidor de gestão
Gestor do serviço	Servidor de gestão

Para transferir e instalar o Microsoft SQL Server 2012 nativo cliente 11.0, consulte esta página Web de centro de transferências da Microsoft.

Para o System Center Operations Manager e o Gestor do serviço, tem de ter o ODBC 11.0 ou 13.0 de ODBC instalado em todos os servidores de gestão.

Instale as actualizações de sistema Centro 2012 R2 necessárias a partir do seguinte artigo da Base de dados de conhecimento:

Descrição de 4043306 no 14 do Update Rollup para o Microsoft System Center 2012 R2

Componente	R2 DE 2012
Gestor de operações	De 14 de conjunto de actualizações para o System Center 2012 R2 Operations Manager
Gestor do serviço	De 14 de conjunto de actualizações para o System Center 2012 R2 Service Manager
Orchestrator	De 14 de conjunto de actualizações para o System Center 2012 R2 Orchestrator
Gestor de protecção de dados	O update Rollup 14 para R2 de 2012 do System Center Data Protection Manager

Nota Certifique-se de que expandam o conteúdo do ficheiro e instale o ficheiro MSP na função correspondente, excepto o Data Protection Manager. Para o Data Protection Manager, instale o ficheiro .exe.

Certificados SHA1 e SHA2

Componentes do System Center agora geram certificados auto-assinados SHA1 e SHA2. Isto é necessário para permitir a TLS 1.2. Se forem utilizados certificados de AC assinada, certifique-se de que os certificados são SHA1 ou SHA2.

Definir o Windows para utilizar apenas a TLS 1.2

Utilize um dos seguintes métodos para configurar o Windows para utilizar apenas o protocolo TLS 1.2.

Método 1: Modificar manualmente o registo

Importante

Siga os passos nesta secção cuidadosamente. Poderão ocorrer problemas graves se modificar o registo incorretamente. Antes, modificá-lo, cópias de segurança do registo para restauro no caso de ocorrerem problemas.

Utilize os seguintes passos para activar/desactivar todos os protocolos SCHANNEL ao nível do sistema. Recomendamos que Active o protocolo TLS 1.2 para as comunicações recebidas e activar os protocolos TLS 1.0, TLS 1.1 e TLS 1.2 para todas as comunicações de saída.

Nota Efectuar estas alterações de registo não afecta a utilização de protocolos de Kerberos ou NTLM.

Inicie o Editor de Registo. Para tal, clique em Iniciar, escreva regedit na caixa Executar e, em seguida, seleccione ' OK '.
Localize a seguinte subchave de registo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Botão direito do rato na chave de protocolo , aponte para Novoe, em seguida, clique em chave.
Escreva SSL 3e, em seguida, prima Enter.
Repita os passos 3 e 4 para criar chaves de TLS 0, a TLS 1.1 e a TLS 1.2. Estas chaves assemelhar-se os directórios.
Crie uma chave de cliente e uma chave de servidor em cada um dos SSL 3, TLS 1.0, TLS 1.1e chaves TLS 1.2 .
Para activar um protocolo, crie um valor DWORD em cada chave de cliente e servidor da seguinte forma:

DisabledByDefault [valor = 0]
Activado [valor = 1]
Para desactivar um protocolo, altere o valor DWORD em cada chave de cliente e servidor da seguinte forma:

DisabledByDefault [valor = 1]
Activado [valor = 0]
No menu ficheiro , seleccione Sair.

Método 2: Modificar automaticamente o registo

Execute o seguinte script do Windows PowerShell em modo de administrador para configurar automaticamente o Windows para utilizar apenas o protocolo do TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Conjunto System Center para utilizar apenas a TLS 1.2

Conjunto System Center para utilizar apenas o protocolo TLS 1.2. Para efectuar este procedimento, certifique-se de que todos os pré-requisitos forem cumpridos. Em seguida, configure as seguintes definições de componentes do System Center e todos os outros servidores em que os agentes estão instalados.

Utilize um dos seguintes métodos.

Método 1: Modificar manualmente o registo

Importante

Siga os passos nesta secção cuidadosamente. Poderão ocorrer problemas graves se modificar o registo incorretamente. Antes, modificá-lo, cópias de segurança do registo para restauro no caso de ocorrerem problemas.

Para activar a instalação suportar o protocolo TLS 1.2, siga estes passos:

Inicie o Editor de Registo. Para tal, clique em Iniciar, escreva regedit na caixa Executar e, em seguida, seleccione ' OK '.
Localize a seguinte subchave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Crie o seguinte valor DWORD nesta chave:

SchUseStrongCrypto [valor = 1]
Localize a seguinte subchave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Crie o seguinte valor DWORD nesta chave:

SchUseStrongCrypto [valor = 1]
Reinicie o sistema.

Método 2: Modificar automaticamente o registo

Execute o seguinte script do Windows PowerShell em modo de administrador para configurar automaticamente o System Center para utilizar apenas o protocolo do TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Definições adicionais

Gestor de operações

Pacotes de gestão

Importe os pacotes de gestão para o System Center 2012 R2 Operations Manager. Estes estão localizados no seguinte directório depois de instalar a actualização do servidor:

\Programas\Microsoft system Center 2012 R2\Operations Manager\Server\Management pacotes de Update Rollups

Definições de ACS

Para serviços de recolha de auditoria (ACS), tem de efectuar alterações adicionais no registo. ACS utiliza o DSN para efectuar ligações à base de dados. Tem de actualizar as definições de DSN para torná-las funcional para o TLS 1.2.

Localize a seguinte subchave de ODBC no registo.

Nota O nome de DSN predefinido é OpsMgrAC.
Origens de dados ODBC subchave, seleccione o movimento para o nome DSN, OpsMgrAC. Contém o nome do controlador de ODBC a ser utilizado para a ligação de base de dados. Se tiver 11.0 de ODBC instalado, altere este nome de 11 de controladorde ODBC para SQL Server. Ou, se tiver 13.0 de ODBC instalado, alterar este nome a 13 do controlador de ODBC para SQL Server.
Na subchave OpsMgrAC , actualize a entrada de controlador para a versão ODBS que está instalada.
- Se ODBC 11.0 estiver instalado, altere a entrada de controlador para %WINDIR%\system32\msodbcsql11.dll.
- Se ODBC 13.0 estiver instalado, altere a entrada de controlador para %WINDIR%\system32\msodbcsql13.dll.
- Em alternativa, crie e guarde o ficheiro. reg seguinte no bloco de notas ou outro editor de texto. Para executar o ficheiro. reg guardado, faça duplo clique no ficheiro.
  
  Para o ODBC 11.0, crie o seguinte ficheiro de 11.0.reg ODBC:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Para o ODBC 13.0, crie o seguinte ficheiro de 13.0.reg ODBC: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS protecção em Linux

Siga as instruções no Web site adequado para configurar TLS 1.2 no seu ambiente Red Hat ou Apache .

Gestor de protecção de dados

Para activar o Data Protection Manager para funcionarem em conjunto com a TLS 1.2 efectuar cópias de segurança para a nuvem, Active estes passos no servidor de Data Protection Manager.

Orchestrator

Depois do Orchestrator actualizações são instaladas, volte a configurar a base de dados Orchestrator utilizando a base de dados existente em conformidade com estas directrizes.

Gestor do serviço

Antes do Gestor do serviço de actualizações é instalado, instalar os pacotes necessários e reconfigurar os valores de chave de registo, tal como descrito no " Antes da instalação "secção de instruções de KB 4024037 .

Para além disso, se estiver a monitorizar o Gestor de serviços do Centro de sistema utilizando o System Center Operations Manager, actualizar para a versão mais recente (v 7.5.7487.89) de acompanhamento Management Pack para o suporte de TLS 1.2:

Microsoft System Center Management Pack para o Gestor de serviços do System Center

Automatização de gestão de serviços (SMA)

Se estiver a monitorizar o serviço de gestão de automatização (SMA), utilizando o System Center Operations Manager, actualize para a versão mais recente de monitorização Management Pack para o suporte de TLS 1.2:

O System Center Management Pack para Orchestrator de R2 do System Center 2012 - automatização de gestão de serviços

Exclusão de responsabilidade de contacto de outros fabricantes

A Microsoft fornece informações de contacto de outros fabricantes para ajudar a localizar informações adicionais sobre este tópico. Estas informações de contacto podem ser alteradas sem aviso prévio. A Microsoft não garante a exactidão das informações de contacto de outros fabricantes.