Аннотация
В этой статье описывается включение протокола TLS версии 1.2 в среде Microsoft System Center 2012 R2.
Дополнительная информация
Чтобы включить протокол TLS версии 1.2 в среде System Center, выполните следующие действия.
-
Установите обновления из выпуска.
Заметки-
Установите последний накопительный пакет обновления для всех компонентов System Center, прежде чем применять накопительный пакет обновления 14.
-
Для Data Protection Manager и Virtual Machine Manager установите накопительный пакет обновления 13.
-
Для service Management Automation установите накопительный пакет обновления 7.
-
Для System Center Orchestrator установите накопительный пакет обновления 8.
-
Для Service Provider Foundation установите накопительный пакет обновления 12.
-
Для Service Manager установите накопительный пакет обновления 9.
-
-
-
Убедитесь, что настройка работает так же, как и до применения обновлений. Например, проверьте, можно ли запустить консоль.
-
Измените параметры конфигурации, чтобы включить TLS 1.2.
-
Убедитесь, что все необходимые SQL Server запущены.
Установка обновлений
Действие обновления |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Убедитесь, что все текущие обновления безопасности установлены для Windows Server 2012 R2 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center. |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2. |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Нет |
Да |
Да |
Нет |
Нет |
Да |
|
Убедитесь, что сертификаты, подписанные ЦС, имеют значение SHA1 или SHA2. |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Изменение параметров конфигурации
Обновление конфигурации |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Настройка в Windows для использования только протокола TLS 1.2 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Настройка в System Center использования только протокола TLS 1.2 |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Да |
Нет |
Да |
Да |
Нет |
Нет |
Нет |
платформа .NET Framework
Убедитесь, что платформа .NET Framework 4.6 установлен на всех компонентах System Center. Для этого выполнитеследующие инструкции.
Поддержка TLS 1.2
Установите необходимое обновление SQL Server, которое поддерживает TLS 1.2. Для этого см. следующую статью в базе знаний Майкрософт:
3135244 Поддержка TLS 1.2 для microsoft SQL Server
Обязательные обновления System Center 2012 R2
SQL Server 2012 Native client 11.0 должен быть установлен на всех следующих компонентах System Center.
Компонент |
Роль |
Operations Manager |
Сервер управления и веб-консоли |
Virtual Machine Manager |
(Не требуется) |
Orchestrator |
Сервер управления |
Data Protection Manager |
Сервер управления |
Service Manager |
Сервер управления |
Чтобы скачать и установить Microsoft SQL Server 2012 Native Client 11.0, ознакомьтесь с этой веб-страницей Центра загрузки Майкрософт.
Для System Center Operations Manager и Service Manager необходимо установить ODBC 11.0 или ODBC 13.0 на всех серверах управления.
Установите необходимые обновления System Center 2012 R2 из следующей статьи базы знаний:
4043306 Описание накопительного пакета обновления 14 для Microsoft System Center 2012 R2
Компонент |
2012 R2 |
Operations Manager |
Накопительный пакет обновления 14 для System Center 2012 R2 Operations Manager |
Service Manager |
Накопительный пакет обновления 14 для System Center 2012 R2 Service Manager |
Orchestrator |
Накопительный пакет обновления 14 для System Center 2012 R2 Orchestrator |
Data Protection Manager |
Накопительный пакет обновления 14 для System Center 2012 R2 Data Protection Manager |
Примечание Разверните содержимое файла и установите MSP-файл в соответствующей роли, за исключением Data Protection Manager. Для Data Protection Manager установите .exe файла.
Сертификаты SHA1 и SHA2
Компоненты System Center теперь создают самозаверяющие сертификаты SHA1 и SHA2. Это необходимо для включения TLS 1.2. Если используются сертификаты, подписанные ЦС, убедитесь, что они имеют тип SHA1 или SHA2.
Настройка Windows для использования только TLS 1.2
Используйте один из следующих методов, чтобы настроить Windows для использования только протокола TLS 1.2.
Метод 1. Изменение реестра вручную
Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы включить или отключить все протоколы SCHANNEL на уровне системы, выполните следующие действия. Рекомендуется включить протокол TLS 1.2 для входящих подключений и включить протоколы TLS 1.2, TLS 1.1 и TLS 1.0 для всех исходящих сообщений.
Примечание. Внесение этих изменений в реестр не влияет на использование протоколов Kerberos или NTLM.
-
Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".
-
Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Щелкните правой кнопкой мыши ключ протокола , наведите указатель на пункт "Создать" и выберите пункт " Ключ".
-
Введите SSL 3 и нажмите клавишу ВВОД.
-
Повторите шаги 3 и 4, чтобы создать ключи для TLS 0, TLS 1.1 и TLS 1.2. Эти ключи похожи на каталоги.
-
Создайте ключ клиента и ключ сервера под каждым из ключей SSL 3, TLS 1.0, TLS 1.1 и TLS 1.2.
-
Чтобы включить протокол, создайте значение DWORD под каждым ключом клиента и сервера следующим образом:
DisabledByDefault [значение = 0]
Включено [значение = 1]
Чтобы отключить протокол, измените значение DWORD под каждым ключом клиента и сервера следующим образом:DisabledByDefault [значение = 1]
Включено [значение = 0] -
В меню "Файл " выберите "Выйти".
Метод 2. Автоматическое изменение реестра
Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить Windows для использования только протокола TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Настройка System Center для использования только TLS 1.2
Задайте System Center для использования только протокола TLS 1.2. Для этого сначала убедитесь, что выполнены все предварительные требования. Затем настройте следующие параметры для компонентов System Center и всех остальных серверов, на которых установлены агенты.
Используйте один из следующих методов.
Метод 1. Изменение реестра вручную
Важно: Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем изменять его, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы включить установку для поддержки протокола TLS 1.2, выполните следующие действия.
-
Откройте редактор реестра. Для этого щелкните правой кнопкой мыши "Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".
-
Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Создайте следующее значение DWORD под этим ключом:
SchUseStrongCrypto [Значение = 1]
-
Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Создайте следующее значение DWORD под этим ключом:
SchUseStrongCrypto [Значение = 1]
-
Перезапустите систему.
Метод 2. Автоматическое изменение реестра
Выполните следующий Windows PowerShell в режиме администратора, чтобы автоматически настроить System Center для использования только протокола TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Дополнительные параметры
Operations Manager
Пакеты управления
Импортируйте пакеты управления для System Center 2012 R2 Operations Manager. Они находятся в следующем каталоге после установки обновления сервера:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
Параметры ACS
Для службы audit Collection Services (ACS) необходимо внести дополнительные изменения в реестр. ACS использует DSN для подключения к базе данных. Необходимо обновить параметры DSN, чтобы они были функциональными для TLS 1.2.
-
Найдите следующий подраздел для ODBC в реестре.
Примечание Имя DSN по умолчанию — OpsMgrAC. -
В подразделе "Источники данных ODBC " выберите запись имени DSN OpsMgrAC. Он содержит имя драйвера ODBC, используемого для подключения к базе данных. Если у вас установлен ODBC 11.0, измените это имя на ODBC Driver 11 для SQL Server. Если у вас установлен ODBC 13.0, измените это имя на ODBC Driver 13 для SQL Server.
-
В подразделе OpsMgrAC обновите запись драйвера для установленной версии ODBS.
-
Если установлен ODBC 11.0, измените запись драйвера на %WINDIR%\system32\msodbcsql11.dll.
-
Если установлен ODBC 13.0, измените запись драйвера на %WINDIR%\system32\msodbcsql13.dll.
-
Кроме того, создайте и сохраните следующий REG-файл в Блокноте или другом текстовом редакторе. Чтобы запустить сохраненный REG-файл, дважды щелкните файл.
Для ODBC 11.0 создайте следующий файл ODBC 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Источники данных ODBC] "OpsMgrAC"="Драйвер ODBC 11 для SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Для ODBC 13.0 создайте следующий файл ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Усиление защиты TLS в Linux
Следуйте инструкциям на соответствующем веб-сайте, чтобы настроить TLS 1.2 в среде Red Hat или Apache .
Data Protection Manager
Чтобы диспетчер защиты данных совместно с TLS 1.2 можно было выполнять резервное копирование в облако, включите эти действия на сервере Data Protection Manager.
Orchestrator
После установки обновлений Orchestrator перенастройте базу данных Orchestrator, используя существующую базу данных в соответствии с этими рекомендациями.
Service Manager
Перед установкой Service Manager необходимо установить необходимые пакеты и перенастроить значения разделов реестра, как описано в разделе инструкций "Перед установкой" статьи базы знаний 4024037.
Кроме того, если вы отслеживаете System Center Service Manager с помощью System Center Operations Manager, обновите до последней версии (версии 7.5.7487.89) пакета управления мониторингом для TLS 1.2.
Service Management Automation (SMA)
Если вы отслеживали службу автоматизации управления службами (SMA) с помощью System Center Operations Manager, обновите до последней версии пакета управления мониторингом для поддержки TLS 1.2:
Заявление об отказе от ответственности за контактные данные сторонней организации
Корпорация Майкрософт предоставляет контактные данные сторонней организации для оказания помощи пользователям по вопросам, упомянутым в данной статье. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних организаций.