Súhrn
Tento článok popisuje, ako povoliť protokol TLS (Transport Layer Security) verzie 1.2 v prostredí Microsoft System Center 2016.
Ďalšie informácie
Ak chcete povoliť protokol TLS verzie 1.2 v prostredí System Center, postupujte takto:
-
Nainštalujte aktualizácie z vydania.
Poznámky-
Service Management Automation (SMA) a Service Provider Foundation (SPF) musia byť inovované na ich najnovšiu súhrnnú aktualizáciu, pretože ur4 nemá žiadne aktualizácie týchto súčastí.
-
V prípade automatizácie správy služieb (SMA) vykonajte inováciu na aktualizáciu súhrnnej aktualizácie 1 a tiež aktualizujte balík správy SMA (MP) z tejto webovej stránky Centra sťahovania softvéru spoločnosti Microsoft.
-
V prípade služby Service Provider Foundation (SPF) vykonajte inováciu na súhrnnú aktualizáciu 2.
-
System Center Virtual Machine Manager (SCVMM) by sa mal inovovať aspoň na súhrnnú aktualizáciu 3.
-
-
Uistite sa, že nastavenie je rovnako funkčné ako predtým, než ste použili aktualizácie. Skontrolujte napríklad, či môžete konzolu spustiť.
-
Zmeňte nastavenia konfigurácie tak, aby sa povolil protokol TLS 1.2.
-
Skontrolujte, či sú spustené všetky požadované SQL Server služby.
Inštalácia aktualizácií
Aktualizácia aktivity |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Skontrolujte, či sú nainštalované všetky aktuálne aktualizácie zabezpečenia pre Windows Server 2012 R2 alebo Windows Server 2016 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Uistite sa, že .NET Framework 4.6 je nainštalovaný vo všetkých súčastiach System Center |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Inštalácia požadovanej aktualizácie SQL Server, ktorá podporuje protokol TLS 1.2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Nie |
Áno |
Áno |
Nie |
Nie |
Áno |
|
Uistite sa, že certifikáty podpísané certifikačnou autoritou sú SHA1 alebo SHA2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Zmena nastavení konfigurácie
Aktualizácia konfigurácie |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
|
Nastavenie v System Center na používanie iba protokolu TLS 1.2 |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Áno |
Nie |
Áno |
Áno |
Nie |
Nie |
Nie |
.NET Framework
Uistite sa, že .NET Framework 4.6 je nainštalovaný vo všetkých súčastiach system center. Postupujte podľatýchto pokynov.
Podpora TLS 1.2
Nainštalujte požadovanú aktualizáciu SQL Server, ktorá podporuje protokol TLS 1.2. Ak to chcete urobiť, pozrite si nasledujúci článok v databáze Microsoft Knowledge Base:
3135244 Podpora TLS 1.2 pre Microsoft SQL Server
Povinné aktualizácie System Center 2016
SQL Server 2012 Native Client 11.0 by mal byť nainštalovaný vo všetkých nasledujúcich súčastiach System Center.
Súčasť |
Úlohu |
Požadovaný ovládač SQL |
Operations Manager |
Management Server a webové konzoly |
SQL Server 2012 Native client 11.0 alebo Microsoft OLE DB Driver 18 for SQL Server (odporúča sa). Poznámka: Microsoft OLE DB Driver 18 for SQL Server podporuje Operations Manager 2016 UR9 a novšie verzie. |
Správca virtuálneho počítača |
(Nevyžaduje sa) |
(Nevyžaduje sa) |
Orchestrator |
Server správy |
SQL Server 2012 Native client 11.0 alebo Microsoft OLE DB Driver 18 for SQL Server (odporúča sa). Poznámka: Microsoft OLE DB Driver 18 for SQL Server je podporovaný v programe Orchestrator 2016 UR8 a novších verziách. |
Správca ochrany údajov |
Server správy |
SQL Server 2012 Native Client 11.0 |
Správca služieb |
Server správy |
SQL Server 2012 Native client 11.0 alebo Microsoft OLE DB Driver 18 for SQL Server (odporúča sa). Poznámka: Microsoft OLE DB Driver 18 for SQL Server podporuje Service Manager 2016 UR9 a novšie verzie. |
Ak si chcete stiahnuť a nainštalovať microsoft SQL Server 2012 Native Client 11.0, pozrite si túto webovú stránku Centra sťahovania softvéru spoločnosti Microsoft.
Ak si chcete stiahnuť a nainštalovať Microsoft OLE DB Driver 18, pozrite si túto webovú stránku Centra sťahovania softvéru spoločnosti Microsoft.
Pre system center Operations Manager a Service Manager, musíte mať ODBC 11.0 alebo ODBC 13.0 nainštalovaný na všetkých serveroch správy.
Nainštalujte požadované aktualizácie System Center 2016 z nasledujúceho článku databázy Knowledge Base:
4043305 Popis súhrnnej aktualizácie 4 pre Microsoft System Center 2016
Súčasť |
2016 |
Operations Manager |
Aktualizácia súhrnu 4 pre System Center 2016 Operations Manager |
Správca služieb |
Aktualizácia súhrnu 4 pre System Center 2016 Service Manager |
Orchestrator |
Aktualizácia súhrnu 4 pre System Center 2016 Orchestrator |
Správca ochrany údajov |
Aktualizácia súhrnu 4 pre System Center 2016 Data Protection Manager |
Poznámka Uistite sa, že rozbalíte obsah súboru a nainštalujte súbor MSP na zodpovedajúcu rolu.
Certifikáty SHA1 a SHA2
Súčasti System Center teraz generujú certifikáty s vlastným podpisom SHA1 aj SHA2. Toto sa vyžaduje na povolenie TLS 1.2. Ak sa používajú certifikáty podpísané certifikačnou autoritou, uistite sa, že certifikáty sú SHA1 alebo SHA2.
Nastavenie Windowsu na používanie iba TLS 1.2
Ak chcete nakonfigurovať Windows tak, aby používal iba protokol TLS 1.2, použite jeden z nasledujúcich postupov.
Metóda 1: Manuálna úprava databázy Registry
Dôležité
Postupujte opatrne podľa krokov v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred vykonaním úprav zálohujte databázu Registry na obnovenie v prípade výskytu problémov.
Ak chcete povoliť alebo zakázať všetky protokoly SCHANNEL v celom systéme, postupujte podľa nasledujúcich krokov. Odporúčame povoliť protokol TLS 1.2 pre prichádzajúcu komunikáciu. a povoliť protokoly TLS 1.2, TLS 1.1 a TLS 1.0 pre všetky odchádzajúce komunikácie.
Poznámka: Vykonanie týchto zmien v databáze Registry nemá vplyv na používanie protokolov Kerberos alebo NTLM.
-
Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite pravým tlačidlom myši na tlačidlo Štart, do poľa Spustiť zadajte príkaz regedit a potom kliknite na tlačidlo OK.
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kliknite pravým tlačidlom myši na kláves Protocol , ukážte na položku Nové a potom kliknite na položku Kľúč.
-
Zadajte SSL 3 a potom stlačte kláves Enter.
-
Zopakujte kroky 3 a 4 a vytvorte kľúče pre TLS 0, TLS 1.1 a TLS 1.2. Tieto kľúče pripomínajú adresáre.
-
Vytvorte kľúč klienta a kľúč servera pod každým kľúčom SSL 3, TLS 1.0, TLS 1.1 a TLS 1.2 .
-
Ak chcete povoliť protokol, vytvorte hodnotu DWORD pod každým kľúčom klienta a servera takto:
DisabledByDefault [Hodnota = 0]
Povolené [Hodnota = 1]
Ak chcete vypnúť protokol, zmeňte hodnotu DWORD pod každým kľúčom klienta a servera takto:DisabledByDefault [Hodnota = 1]
Povolené [Hodnota = 0] -
V ponuke Súbor kliknite na tlačidlo Skončiť.
Metóda 2: Automatická úprava databázy Registry
Spustením nasledujúceho skriptu Windows PowerShell v režime správcu automaticky nakonfigurujte Windows tak, aby používal iba protokol TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Nastavenie system center na používanie iba TLS 1.2
Nastavte System Center tak, aby používal iba protokol TLS 1.2. Najprv sa uistite, že sú splnené všetky predpoklady. Potom vykonajte nasledujúce nastavenia pre súčasti System Center a všetky ostatné servery, na ktorých sú nainštalované agenti.
Použite jednu z nasledujúcich metód.
Metóda 1: Manuálna úprava databázy Registry
Dôležité
Postupujte opatrne podľa krokov v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred vykonaním úprav zálohujte databázu Registry na obnovenie v prípade výskytu problémov.
Ak chcete povoliť inštaláciu na podporu protokolu TLS 1.2, postupujte takto:
-
Spustite Editor databázy Registry. Ak to chcete urobiť, kliknite pravým tlačidlom myši na tlačidlo Štart, do poľa Spustiť zadajte príkaz regedit a potom kliknite na tlačidlo OK.
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Pod týmto kľúčom vytvorte nasledujúcu hodnotu DWORD:
SchUseStrongCrypto [Hodnota = 1]
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Pod týmto kľúčom vytvorte nasledujúcu hodnotu DWORD:
SchUseStrongCrypto [Hodnota = 1]
-
Reštartujte systém.
Metóda 2: Automatická úprava databázy Registry
Spustením nasledujúceho skriptu Windows PowerShell v režime správcu automaticky nakonfigurujte System Center tak, aby používalo iba protokol TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Ďalšie nastavenia
Operations Manager
Balíky správy
Importujte balíky správy pre System Center 2016 Operations Manager. Tieto sa nachádzajú v nasledujúcom adresári po inštalácii aktualizácie servera:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
Nastavenia ACS
V prípade služieb ACS (Audit Collection Services) musíte vykonať ďalšie zmeny v databáze Registry. ACS používa DSN na pripojenie k databáze. Nastavenia DSN je potrebné aktualizovať, aby boli funkčné pre protokol TLS 1.2.
-
V databáze Registry vyhľadajte nasledujúci podkľúč pre ODBC.
Poznámka Predvolený názov DSN je OpsMgrAC. -
V podkľúči Zdroje údajov ODBC vyberte položku pre názov DSN OpsMgrAC. Obsahuje názov ovládača ODBC, ktorý sa má použiť na pripojenie databázy. Ak máte nainštalovanú verziu ODBC 11.0, zmeňte tento názov na ovládač ODBC 11 pre SQL Server. Ak máte nainštalovanú verziu ODBC 13.0, zmeňte tento názov na ovládač ODBC 13 pre SQL Server.
-
V podkľúči OpsMgrAC aktualizujte položku ovládača pre nainštalovanú verziu ODBS.
-
Ak je nainštalovaný ovládač ODBC 11.0, zmeňte položku ovládača na %WINDIR%\system32\msodbcsql11.dll.
-
Ak je nainštalovaný ODBC 13.0, zmeňte položku ovládača na %WINDIR%\system32\msodbcsql13.dll.
-
Prípadne môžete vytvoriť a uložiť nasledujúci súbor .reg v Poznámkovom bloku alebo v inom textovom editore. Ak chcete spustiť uložený súbor .reg, dvakrát kliknite na súbor.
Pre ODBC 11.0 vytvorte nasledujúci súbor ODBC 11.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Zdroje údajov ODBC] "OpsMgrAC"="Ovládač ODBC 11 pre SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Pre ODBC 13.0 vytvorte nasledujúci súbor ODBC 13.0.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Zdroje údajov ODBC] "OpsMgrAC"="Ovládač ODBC 13 pre SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Vytvrdnutie TLS v Linuxe
Postupujte podľa pokynov na príslušných webových stránkach konfigurovať TLS 1.2 na Red Hat alebo Apache prostredia.
Správca ochrany údajov
Ak chcete správcovi ochrany údajov povoliť spoluprácu s protokolom TLS 1.2 na zálohovanie cloudu, povoľte tieto kroky na serveri Data Protection Manager.
Orchestrator
Po nainštalovaní aktualizácií Orchestratoru znova nakonfigurujte databázu Orchestrator pomocou existujúcej databázy podľa týchto pokynov.
Vyhlásenie kontaktu tretej strany
Spoločnosť Microsoft poskytuje kontaktné informácie tretích strán, ktoré vám pomôžu nájsť ďalšie informácie o tejto téme. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft nezaručuje presnosť kontaktných informácií tretích strán.