Rezime
Ovaj članak opisuje kako da omogućite Transport Layer Security (TLS) protokol verzije 1.2 u Microsoft System Center 2016 okruženju.
Više informacija
Da biste omogućili TLS protokol verziju 1.2 u okruženju system Center, pratite ove korake:
-
Instalirajte ispravke iz izdanja.
Beleške-
Usluga Management Automation (SMA) i Service Provider Foundation (SPF) mora da se nadogradi na najnoviju zbirnu ispravku zato što UR4 nema ispravke za ove komponente.
-
Za Automatizaciju upravljanja uslugama (SMA), nadogradite na zbirnu ispravku 1 i ažurirajte SMA paket za upravljanje (MP) sa ove veb stranice Microsoft Centra za preuzimanje.
-
Za Service Provider Foundation (SPF) nadogradite na zbirnu ispravku 2.
-
System Center Virtual Machine Manager (SCVMM) treba nadograditi na najmanje zbirnu ispravku 3.
-
-
Uverite se da je instalacija funkcionalna kao i pre nego što ste primenili ispravke. Na primer, proverite da li možete da pokrenete konzolu.
-
Promenite postavke konfiguracije da biste omogućili TLS 1.2.
-
Uverite se da su SQL Server pokrenute sve potrebne usluge.
Instaliranje ispravki
Ažuriranje aktivnosti |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Uverite se da su sve trenutne bezbednosne ispravke instalirane za Windows Server 2012 R2 ili Windows Server 2016 |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Uverite se da je .NET Framework 4.6 instaliran na svim sistemskim komponentama centra |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
|
Da |
Ne |
Da |
Da |
Ne |
Ne |
Da |
|
Da |
Da |
Da |
Da |
Da |
Da |
Da |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Promena postavki konfiguracije
Ažuriranje konfiguracije |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Podešavanje operativnog sistema Windows tako da koristi samo TLS 1.2 protokol |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Postavka u sistemu Center za korišćenje samo TLS 1.2 protokola |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Da |
Ne |
Da |
Da |
Ne |
Ne |
Ne |
.NET Framework
Uverite se da .NET Framework 4.6 instaliran na svim komponentama sistema System Center. Da biste to uradili, pratiteova uputstva.
Podrška za TLS 1.2
Instalirajte neophodnu SQL Server koja podržava TLS 1.2. Da biste to uradili, pogledajte sledeći članak u Microsoft bazi znanja:
3135244 TLS 1.2 podrška za Microsoft SQL Server
Obavezne ispravke za System Center 2016
SQL Server 2012 Native Client 11.0 trebalo bi da bude instaliran na svim sledećim system Center komponentama.
Komponenta |
Ulogu |
Neophodan SQL upravljački program |
Operations Manager |
Management Server i veb konzole |
SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se). Beleške Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Operations Manager 2016 UR9 i novije verzije. |
Upravljač virtuelnim mašinama |
(Nije neophodno) |
(Nije neophodno) |
Orchestrator |
Management Server |
SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se). Beleške Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Orchestrator 2016 UR8 i novije verzije. |
Upravljač zaštitom podataka |
Management Server |
SQL Server 2012 Native Client 11.0 |
Service Manager |
Management Server |
SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se). Beleške Microsoft OLE DB driver 18 for SQL Server supported with Service Manager 2016 UR9 and later. |
Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu veb stranicu Centra za preuzimanje.
Da biste preuzeli i instalirali Microsoft OLE DB upravljački program 18, pogledajte ovu veb stranicu Centra za preuzimanje.
Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim serverima za upravljanje.
Instalirajte potrebne ispravke za System Center 2016 iz sledećeg članka baze znanja:
4043305 Opis zbirne ispravke 4 za Microsoft System Center 2016
Komponenta |
2016 |
Operations Manager |
Zbirna ispravka 4 za System Center 2016 Operations Manager |
Service Manager |
Zbirna ispravka 4 za System Center 2016 Service Manager |
Orchestrator |
Zbirna ispravka 4 za System Center 2016 Orchestrator |
Upravljač zaštitom podataka |
Zbirna ispravka 4 za System Center 2016 Data Protection Manager |
Beleške Uverite se da ste razvili sadržaj datoteke i instalirali MSP datoteku na odgovarajuću ulogu.
SHA1 i SHA2 certifikati
Sistemske komponente centra sada generišu i SHA1 i SHA2 samopotpisane certifikate. Ovo je neophodno da biste omogućili TLS 1.2. Ako se koriste certifikati potpisani pomoću ca, uverite se da su certifikati SHA1 ili SHA2.
Podesite Windows da koristi samo TLS 1.2
Koristite jedan od sledećih metoda da biste konfigurisali Windows tako da koristi samo TLS 1.2 protokol.
1. metod: Ručno menjanje registratora
Vaћno
Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.
Koristite sledeće korake da biste omogućili/onemogućili sve SCHANNEL protokole na nivou sistema. Preporučujemo da omogućite TLS 1.2 protokol za dolazne komunikacije; i omogućite TLS 1.2, TLS 1.1 i TLS 1.0 protokole za sve odlazne komunikacije.
Beleške Ove promene registratora ne utiču na korišćenje Kerberos ili NTLM protokola.
-
Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.
-
Pronađite sledeći potključ registratora:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Kliknite desnim tasterom miša na ključ Protokol , postavite pokazivač na stavku Novo, a zatim izaberite stavku Ključ.
-
Otkucajte SSL 3, a zatim pritisnite taster Enter.
-
Ponovite 3. i 4. korak da biste kreirali ključeve za TLS 0, TLS 1.1 i TLS 1.2. Ovi ključevi podsećaju na direktorijume.
-
Kreirajte ključ klijenta i ključ servera ispod svakog SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2 tastera .
-
Da biste omogućili protokol, kreirajte vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:
DisabledByDefault [Vrednost = 0]
Omogućeno [Vrednost = 1]
Da biste onemogućili protokol, promenite vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:DisabledByDefault [Vrednost = 1]
Omogućeno [Vrednost = 0] -
U meniju Datoteka izaberite stavku Izađi.
2. metod: Automatsko menjanje registratora
Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali Windows da koristi samo TLS 1.2 protokol:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Podesite system Center tako da koristi samo TLS 1.2
Podesite System Center da koristi samo TLS 1.2 protokol. Da biste to uradili, prvo proverite da li su ispunjeni svi preduslovi. Zatim izvršite sledeće postavke za komponente sistemskog centra i sve druge servere na kojima su agenti instalirani.
Koristite jedan od sledećih metoda.
1. metod: Ručno menjanje registratora
Vaћno
Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.
Da biste omogućili instalaciju da podrži TLS 1.2 protokol, pratite ove korake:
-
Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.
-
Pronađite sledeći potključ registratora:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Kreirajte sledeću DWORD vrednost u okviru ovog ključa:
SchUseStrongCrypto [Vrednost = 1]
-
Pronađite sledeći potključ registratora:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Kreirajte sledeću DWORD vrednost u okviru ovog ključa:
SchUseStrongCrypto [Vrednost = 1]
-
Ponovo pokrenite sistem.
2. metod: Automatsko menjanje registratora
Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali system Center tako da koristi samo TLS 1.2 protokol:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Dodatne postavke
Operations Manager
Paketi za upravljanje
Uvezite pakete za upravljanje za System Center 2016 Operations Manager. One se nalaze u sledećem direktorijumu kada instalirate ispravku servera:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs za zbirne ispravke
ACS postavke
Za usluge kolekcije nadzora (ACS), morate da izvršite dodatne promene u registratoru. ACS koristi DSN za povezivanje sa bazom podataka. Morate da ažurirate DSN postavke da bi funkcionisale za TLS 1.2.
-
Pronađite sledeći potključ za ODBC u registratoru.
Beleške Podrazumevano ime DSN-a je OpsMgrAC. -
U potključu ODBC izvori podataka izaberite unos za DSN ime, OpsMgrAC. Ovo sadrži ime ODBC upravljačkog programa koji će se koristiti za vezu sa bazom podataka. Ako imate instaliran ODBC 11.0, promenite ovo ime u ODBC upravljački program 11 za SQL Server. Ili, ako imate instaliran ODBC 13.0, promenite ovo ime u ODBC upravljački program 13 za SQL Server.
-
U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.
-
Ako je instaliran ODBC 11.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.
-
Ako je instaliran ODBC 13.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.
-
Druga mogućnost je da kreirate i sačuvate sledeću .reg datoteku u programu Notepad ili drugom uređivaču teksta. Da biste pokrenuli sačuvanu .reg datoteku, kliknite dvaput na datoteku.
Za ODBC 11.0 kreirajte sledeću ODBC 11.0.reg datoteku:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Za ODBC 13.0 kreirajte sledeću ODBC 13.0.reg datoteku:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
TLS ojacavanje u Linux-u
Pratite uputstva na odgovarajućoj veb lokaciji da biste konfigurisali TLS 1.2 u Okruženju Red Hatili Apache .
Upravljač zaštitom podataka
Da biste upravljaču za zaštitu podataka omogućili da radi zajedno sa sistemom TLS 1.2 i napravi rezervnu kopiju u oblaku, omogućite ove korake na serveru upravljača zaštitom podataka.
Orchestrator
Kada se ispravke orchestratora instaliraju, ponovo konfigurišite Orchestrator bazu podataka pomoću postojeće baze podataka prema ovim uputstvima.
Odricanje odgovornosti za kontakt nezavisnog proizvođača
Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija nezavisnih proizvođača.