Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Ovaj članak opisuje kako da omogućite Transport Layer Security (TLS) protokol verzije 1.2 u Microsoft System Center 2016 okruženju.

Više informacija

Da biste omogućili TLS protokol verziju 1.2 u okruženju system Center, pratite ove korake:

  1. Instalirajte ispravke iz izdanja.

    Beleške

    • Usluga Management Automation (SMA) i Service Provider Foundation (SPF) mora da se nadogradi na najnoviju zbirnu ispravku zato što UR4 nema ispravke za ove komponente.

    • Za Automatizaciju upravljanja uslugama (SMA), nadogradite na zbirnu ispravku 1 i ažurirajte SMA paket za upravljanje (MP) sa ove veb stranice Microsoft Centra za preuzimanje.

    • Za Service Provider Foundation (SPF) nadogradite na zbirnu ispravku 2.

    • System Center Virtual Machine Manager (SCVMM) treba nadograditi na najmanje zbirnu ispravku 3.

  2. Uverite se da je instalacija funkcionalna kao i pre nego što ste primenili ispravke. Na primer, proverite da li možete da pokrenete konzolu.

  3. Promenite postavke konfiguracije da biste omogućili TLS 1.2.

  4. Uverite se da su SQL Server pokrenute sve potrebne usluge.


Instaliranje ispravki

Ažuriranje aktivnosti

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Uverite se da su sve trenutne bezbednosne ispravke instalirane za Windows Server 2012 R2 ili Windows Server 2016 

Da

Da

Da

Da

Da

Da

Da

Uverite se da je .NET Framework 4.6 instaliran na svim sistemskim komponentama centra

Da

Da

Da

Da

Da

Da

Da

Instalirajte neophodnu SQL Server koja podržava TLS 1.2

Da

Da

Da

Da

Da

Da

Da

Instaliranje potrebnih ispravki za System Center 2016

Da

Ne

Da

Da

Ne

Ne

Da

Uverite se da su ca-potpisani certifikati SHA1 ili SHA2

Da

Da

Da

Da

Da

Da

Da


1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)


Promena postavki konfiguracije

Ažuriranje konfiguracije

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Podešavanje operativnog sistema Windows tako da koristi samo TLS 1.2 protokol

Da

Da

Da

Da

Da

Da

Da

Postavka u sistemu Center za korišćenje samo TLS 1.2 protokola

Da

Da

Da

Da

Da

Da

Da

Dodatne postavke

Da

Ne

Da

Da

Ne

Ne

Ne


.NET Framework 

Uverite se da .NET Framework 4.6 instaliran na svim komponentama sistema System Center. Da biste to uradili, pratiteova uputstva.


Podrška za TLS 1.2

Instalirajte neophodnu SQL Server koja podržava TLS 1.2. Da biste to uradili, pogledajte sledeći članak u Microsoft bazi znanja:

3135244 TLS 1.2 podrška za Microsoft SQL Server


Obavezne ispravke za System Center 2016

SQL Server 2012 Native Client 11.0 trebalo bi da bude instaliran na svim sledećim system Center komponentama.

Komponenta

Ulogu

Neophodan SQL upravljački program

Operations Manager

Management Server i veb konzole

SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Beleške Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Operations Manager 2016 UR9 i novije verzije.

Upravljač virtuelnim mašinama

(Nije neophodno)

(Nije neophodno)

Orchestrator

Management Server

SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Beleške Microsoft OLE DB upravljački program 18 za SQL Server podržan je uz Orchestrator 2016 UR8 i novije verzije.

Upravljač zaštitom podataka

Management Server

SQL Server 2012 Native Client 11.0

Service Manager

Management Server

SQL Server 2012 Osnovni klijent 11.0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Beleške Microsoft OLE DB driver 18 for SQL Server supported with Service Manager 2016 UR9 and later.


Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu veb stranicu Centra za preuzimanje.

Da biste preuzeli i instalirali Microsoft OLE DB upravljački program 18, pogledajte ovu veb stranicu Centra za preuzimanje.

Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim serverima za upravljanje.

Instalirajte potrebne ispravke za System Center 2016 iz sledećeg članka baze znanja:

4043305 Opis zbirne ispravke 4 za Microsoft System Center 2016
 

Komponenta

2016

Operations Manager

Zbirna ispravka 4 za System Center 2016 Operations Manager

Service Manager

Zbirna ispravka 4 za System Center 2016 Service Manager

Orchestrator

Zbirna ispravka 4 za System Center 2016 Orchestrator

Upravljač zaštitom podataka

Zbirna ispravka 4 za System Center 2016 Data Protection Manager


Beleške Uverite se da ste razvili sadržaj datoteke i instalirali MSP datoteku na odgovarajuću ulogu.


SHA1 i SHA2 certifikati

Sistemske komponente centra sada generišu i SHA1 i SHA2 samopotpisane certifikate. Ovo je neophodno da biste omogućili TLS 1.2. Ako se koriste certifikati potpisani pomoću ca, uverite se da su certifikati SHA1 ili SHA2.

Podesite Windows da koristi samo TLS 1.2

Koristite jedan od sledećih metoda da biste konfigurisali Windows tako da koristi samo TLS 1.2 protokol.

1. metod: Ručno menjanje registratora

Vaћno
Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.

Koristite sledeće korake da biste omogućili/onemogućili sve SCHANNEL protokole na nivou sistema. Preporučujemo da omogućite TLS 1.2 protokol za dolazne komunikacije; i omogućite TLS 1.2, TLS 1.1 i TLS 1.0 protokole za sve odlazne komunikacije.

Beleške Ove promene registratora ne utiču na korišćenje Kerberos ili NTLM protokola.

  1. Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.

  2. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Kliknite desnim tasterom miša na ključ Protokol , postavite pokazivač na stavku Novo, a zatim izaberite stavku Ključ.

    Registratora

  4. Otkucajte SSL 3, a zatim pritisnite taster Enter.

  5. Ponovite 3. i 4. korak da biste kreirali ključeve za TLS 0, TLS 1.1 i TLS 1.2. Ovi ključevi podsećaju na direktorijume.

  6. Kreirajte ključ klijenta i ključ servera ispod svakog SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2 tastera .

  7. Da biste omogućili protokol, kreirajte vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:

    DisabledByDefault [Vrednost = 0]
    Omogućeno [Vrednost = 1]
    Da biste onemogućili protokol, promenite vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:

    DisabledByDefault [Vrednost = 1]
    Omogućeno [Vrednost = 0]

  8. U meniju Datoteka izaberite stavku Izađi.


2. metod: Automatsko menjanje registratora

Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali Windows da koristi samo TLS 1.2 protokol:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Podesite system Center tako da koristi samo TLS 1.2

Podesite System Center da koristi samo TLS 1.2 protokol. Da biste to uradili, prvo proverite da li su ispunjeni svi preduslovi. Zatim izvršite sledeće postavke za komponente sistemskog centra i sve druge servere na kojima su agenti instalirani.

Koristite jedan od sledećih metoda.

1. metod: Ručno menjanje registratora

Vaћno
Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.

Da biste omogućili instalaciju da podrži TLS 1.2 protokol, pratite ove korake:

  1. Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.

  2. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Kreirajte sledeću DWORD vrednost u okviru ovog ključa:

    SchUseStrongCrypto [Vrednost = 1]

  4. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Kreirajte sledeću DWORD vrednost u okviru ovog ključa:

    SchUseStrongCrypto [Vrednost = 1]

  6. Ponovo pokrenite sistem.


2. metod: Automatsko menjanje registratora

Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali system Center tako da koristi samo TLS 1.2 protokol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Dodatne postavke

Operations Manager

Paketi za upravljanje

Uvezite pakete za upravljanje za System Center 2016 Operations Manager. One se nalaze u sledećem direktorijumu kada instalirate ispravku servera:

\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs za zbirne ispravke

ACS postavke

Za usluge kolekcije nadzora (ACS), morate da izvršite dodatne promene u registratoru. ACS koristi DSN za povezivanje sa bazom podataka. Morate da ažurirate DSN postavke da bi funkcionisale za TLS 1.2.

  1. Pronađite sledeći potključ za ODBC u registratoru.

    Beleške Podrazumevano ime DSN-a je OpsMgrAC.

    ODBC.INI potključ

  2. U potključu ODBC izvori podataka izaberite unos za DSN ime, OpsMgrAC. Ovo sadrži ime ODBC upravljačkog programa koji će se koristiti za vezu sa bazom podataka. Ako imate instaliran ODBC 11.0, promenite ovo ime u ODBC upravljački program 11 za SQL Server. Ili, ako imate instaliran ODBC 13.0, promenite ovo ime u ODBC upravljački program 13 za SQL Server.

    Potključ ODBC izvora podataka

  3. U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.

    Potključ OpsMgrAC

    • Ako je instaliran ODBC 11.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.

    • Ako je instaliran ODBC 13.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.

    • Druga mogućnost je da kreirate i sačuvate sledeću .reg datoteku u programu Notepad ili drugom uređivaču teksta. Da biste pokrenuli sačuvanu .reg datoteku, kliknite dvaput na datoteku.

      Za ODBC 11.0 kreirajte sledeću ODBC 11.0.reg datoteku:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Za ODBC 13.0 kreirajte sledeću ODBC 13.0.reg datoteku:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS ojacavanje u Linux-u

Pratite uputstva na odgovarajućoj veb lokaciji da biste konfigurisali TLS 1.2 u Okruženju Red Hatili Apache .


Upravljač zaštitom podataka

Da biste upravljaču za zaštitu podataka omogućili da radi zajedno sa sistemom TLS 1.2 i napravi rezervnu kopiju u oblaku, omogućite ove korake na serveru upravljača zaštitom podataka.


Orchestrator

Kada se ispravke orchestratora instaliraju, ponovo konfigurišite Orchestrator bazu podataka pomoću postojeće baze podataka prema ovim uputstvima.

Odricanje odgovornosti za kontakt nezavisnog proizvođača

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija nezavisnih proizvođača.

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×