Súhrn
Tento článok popisuje, ako povoliť protokol TLS (Transport Layer Security) verzie 1.2 v prostredí Microsoft System Center 2012 R2.
Ďalšie informácie
Ak chcete povoliť protokol TLS verzie 1.2 v prostredí System Center, postupujte takto:
-
Nainštalujte aktualizácie z vydania.
Poznámky-
Skôr než použijete súhrnnú aktualizáciu 14, nainštalujte si najnovšiu súhrnnú aktualizáciu pre všetky súčasti system center.
-
V prípade správcu ochrany údajov a správcu virtuálneho počítača nainštalujte súhrnnú aktualizáciu 13.
-
V prípade automatizácie správy služieb nainštalujte súhrnnú aktualizáciu 7.
-
Pre System Center Orchestrator nainštalujte súhrnnú aktualizáciu 8.
-
Pre službu Service Provider Foundation nainštalujte súhrnnú aktualizáciu 12.
-
Pre Správcu služieb nainštalujte súhrnnú aktualizáciu 9.
-
-
-
Uistite sa, že nastavenie je rovnako funkčné ako predtým, než ste použili aktualizácie. Skontrolujte napríklad, či môžete konzolu spustiť.
-
Zmeňte nastavenia konfigurácie tak, aby sa povolil protokol TLS 1.2.
-
Skontrolujte, či sú spustené všetky požadované SQL Server služby.
Inštalácia aktualizácií
Aktualizácia aktivity |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Uistite sa, že všetky aktuálne aktualizácie zabezpečenia sú nainštalované pre Windows Server 2012 R2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Uistite sa, že .NET Framework 4.6 je nainštalovaný vo všetkých súčastiach System Center |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Inštalácia požadovanej aktualizácie SQL Server, ktorá podporuje protokol TLS 1.2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Nie |
Áno |
Áno |
Nie |
Nie |
Áno |
|
Uistite sa, že certifikáty podpísané certifikačnou autoritou sú SHA1 alebo SHA2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Zmena nastavení konfigurácie
Aktualizácia konfigurácie |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
|
Nastavenie v System Center na používanie iba protokolu TLS 1.2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Nie |
Áno |
Áno |
Nie |
Nie |
Nie |
.NET Framework
Uistite sa, že .NET Framework 4.6 je nainštalovaný vo všetkých súčastiach system center. Postupujte podľatýchto pokynov.
Podpora TLS 1.2
Nainštalujte požadovanú aktualizáciu SQL Server, ktorá podporuje protokol TLS 1.2. Ak to chcete urobiť, pozrite si nasledujúci článok v databáze Microsoft Knowledge Base:
3135244 Podpora TLS 1.2 pre Microsoft SQL Server
Povinné aktualizácie System Center 2012 R2
SQL Server 2012 Native Client 11.0 by mal byť nainštalovaný vo všetkých nasledujúcich súčastiach System Center.
Súčasť |
Úlohu |
Operations Manager |
Management Server a webové konzoly |
Správca virtuálneho počítača |
(Nevyžaduje sa) |
Orchestrator |
Server správy |
Správca ochrany údajov |
Server správy |
Správca služieb |
Server správy |
Ak si chcete stiahnuť a nainštalovať microsoft SQL Server 2012 Native Client 11.0, pozrite si túto webovú stránku Centra sťahovania softvéru spoločnosti Microsoft.
Pre system center Operations Manager a Service Manager, musíte mať ODBC 11.0 alebo ODBC 13.0 nainštalovaný na všetkých serveroch správy.
Nainštalujte požadované aktualizácie System Center 2012 R2 z nasledujúceho článku databázy Knowledge Base:
4043306 Popis súhrnnej aktualizácie 14 pre Microsoft System Center 2012 R2
Súčasť |
2012 R2 |
Operations Manager |
Aktualizácia Súhrn 14 pre System Center 2012 R2 Operations Manager |
Správca služieb |
Aktualizácia súhrnu 14 pre System Center 2012 R2 Service Manager |
Orchestrator |
Aktualizácia Súhrnná aktualizácia 14 pre System Center 2012 R2 Orchestrator |
Správca ochrany údajov |
Aktualizácia Súhrnná aktualizácia 14 pre System Center 2012 R2 Data Protection Manager |
Poznámka Uistite sa, že rozbalíte obsah súboru a nainštalujete súbor MSP do príslušnej roly s výnimkou Správcu ochrany údajov. V správcovi ochrany údajov nainštalujte súbor .exe.
Certifikáty SHA1 a SHA2
Súčasti System Center teraz generujú certifikáty s vlastným podpisom SHA1 aj SHA2. Toto sa vyžaduje na povolenie TLS 1.2. Ak sa používajú certifikáty podpísané certifikačnou autoritou, uistite sa, že certifikáty sú SHA1 alebo SHA2.
Nastavenie Windowsu na používanie iba TLS 1.2
Ak chcete nakonfigurovať Windows tak, aby používal iba protokol TLS 1.2, použite jeden z nasledujúcich postupov.
Metóda 1: Manuálna úprava databázy Registry
Dôležité: Postupujte presne podľa krokov uvedených v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred vykonaním úprav zálohujte databázu Registry na obnovenie v prípade výskytu problémov.
Ak chcete povoliť alebo zakázať všetky protokoly SCHANNEL v celom systéme, postupujte podľa nasledujúcich krokov. Odporúčame povoliť protokol TLS 1.2 pre prichádzajúce komunikácie a povoliť protokoly TLS 1.2, TLS 1.1 a TLS 1.0 pre všetky odchádzajúce komunikácie.
Poznámka: Vykonanie týchto zmien v databáze Registry nemá vplyv na používanie protokolov Kerberos alebo NTLM.
-
Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite pravým tlačidlom myši na tlačidlo Štart, do poľa Spustiť zadajte príkaz regedit a potom vyberte tlačidlo OK.
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kliknite pravým tlačidlom myši na kláves Protocol , ukážte na položku Nové a potom kliknite na položku Kľúč.
-
Zadajte SSL 3 a potom stlačte kláves Enter.
-
Zopakujte kroky 3 a 4 a vytvorte kľúče pre TLS 0, TLS 1.1 a TLS 1.2. Tieto kľúče pripomínajú adresáre.
-
Vytvorte kľúč klienta a kľúč servera pod každým kľúčom SSL 3, TLS 1.0, TLS 1.1 a TLS 1.2 .
-
Ak chcete povoliť protokol, vytvorte hodnotu DWORD pod každým kľúčom klienta a servera takto:
DisabledByDefault [Hodnota = 0]
Povolené [Hodnota = 1]
Ak chcete vypnúť protokol, zmeňte hodnotu DWORD pod každým kľúčom klienta a servera takto:DisabledByDefault [Hodnota = 1]
Povolené [Hodnota = 0] -
V ponuke Súbor vyberte položku Skončiť.
Metóda 2: Automatická úprava databázy Registry
Spustením nasledujúceho skriptu Windows PowerShell v režime správcu automaticky nakonfigurujte Windows tak, aby používal iba protokol TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Nastavenie system center na používanie iba TLS 1.2
Nastavte System Center tak, aby používal iba protokol TLS 1.2. Najprv sa uistite, že sú splnené všetky predpoklady. Potom nakonfigurujte nasledujúce nastavenia pre súčasti System Center a všetky ostatné servery, na ktorých sú nainštalovaní agenti.
Použite jednu z nasledujúcich metód.
Metóda 1: Manuálna úprava databázy Registry
Dôležité: Postupujte presne podľa krokov uvedených v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred vykonaním úprav zálohujte databázu Registry na obnovenie v prípade výskytu problémov.
Ak chcete povoliť inštaláciu na podporu protokolu TLS 1.2, postupujte takto:
-
Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite pravým tlačidlom myši na tlačidlo Štart, do poľa Spustiť zadajte príkaz regedit a potom vyberte tlačidlo OK.
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Pod týmto kľúčom vytvorte nasledujúcu hodnotu DWORD:
SchUseStrongCrypto [Hodnota = 1]
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Pod týmto kľúčom vytvorte nasledujúcu hodnotu DWORD:
SchUseStrongCrypto [Hodnota = 1]
-
Reštartujte systém.
Metóda 2: Automatická úprava databázy Registry
Spustením nasledujúceho skriptu Windows PowerShell v režime správcu automaticky nakonfigurujte System Center tak, aby používalo iba protokol TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Ďalšie nastavenia
Operations Manager
Balíky na správu
Importujte balíky správy pre System Center 2012 R2 Operations Manager. Tieto sa nachádzajú v nasledujúcom adresári po inštalácii aktualizácie servera:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
Nastavenia ACS
V prípade služieb ACS (Audit Collection Services) musíte vykonať ďalšie zmeny v databáze Registry. ACS používa DSN na pripojenie k databáze. Nastavenia DSN je potrebné aktualizovať, aby boli funkčné pre protokol TLS 1.2.
-
V databáze Registry vyhľadajte nasledujúci podkľúč pre ODBC.
Poznámka Predvolený názov DSN je OpsMgrAC. -
V podkľúči Zdroje údajov ODBC vyberte položku pre názov DSN OpsMgrAC. Obsahuje názov ovládača ODBC, ktorý sa má použiť na pripojenie databázy. Ak máte nainštalovanú verziu ODBC 11.0, zmeňte tento názov na ovládač ODBC 11 pre SQL Server. Ak máte nainštalovanú verziu ODBC 13.0, zmeňte tento názov na ovládač ODBC 13 pre SQL Server.
-
V podkľúči OpsMgrAC aktualizujte položku ovládača pre nainštalovanú verziu ODBS.
-
Ak je nainštalovaný ovládač ODBC 11.0, zmeňte položku ovládača na %WINDIR%\system32\msodbcsql11.dll.
-
Ak je nainštalovaný ODBC 13.0, zmeňte položku ovládača na %WINDIR%\system32\msodbcsql13.dll.
-
Prípadne môžete vytvoriť a uložiť nasledujúci súbor .reg v Poznámkovom bloku alebo v inom textovom editore. Ak chcete spustiť uložený súbor .reg, dvakrát kliknite na súbor.
Pre ODBC 11.0 vytvorte nasledujúci súbor ODBC 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Zdroje údajov ODBC] "OpsMgrAC"="Ovládač ODBC 11 pre SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Pre ODBC 13.0 vytvorte nasledujúci súbor ODBC 13.0.reg: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="Ovládač ODBC 13 pre SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Vytvrdnutie TLS v Linuxe
Postupujte podľa pokynov na príslušných webových stránkach konfigurovať TLS 1.2 vo vašom Red Hat alebo Apache prostredia.
Správca ochrany údajov
Ak chcete správcovi ochrany údajov povoliť spoluprácu s protokolom TLS 1.2 na zálohovanie cloudu, povoľte tieto kroky na serveri Data Protection Manager.
Orchestrator
Po nainštalovaní aktualizácií Orchestratoru znova nakonfigurujte databázu Orchestrator pomocou existujúcej databázy podľa týchto pokynov.
Správca služieb
Pred inštaláciou aktualizácií správcu služieb nainštalujte požadované balíky a znova nakonfigurujte hodnoty kľúča databázy Registry, ako je to popísané v časti s pokynmi Pred inštaláciou databázy KB 4024037.
Tiež, ak sledujete System Center Service Manager pomocou System Center Operations Manager, aktualizujte na najnovšiu verziu (v 7.5.7487.89) Monitoring Management Pack pre TLS 1.2 podporu.
Service Management Automation (SMA)
Ak sledujete automatizáciu správy služieb (SMA) pomocou System Center Operations Manager, aktualizujte na najnovšiu verziu balíka Monitoring Management Pack pre podporu TLS 1.2:
System Center Management Pack pre System Center 2012 R2 Orchestrator - Service Management Automation
Vyhlásenie kontaktu tretej strany
Spoločnosť Microsoft poskytuje kontaktné informácie tretích strán, ktoré vám pomôžu nájsť ďalšie informácie o tejto téme. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft nezaručuje presnosť kontaktných informácií tretích strán.