Vodič za primenu podrške TLS 1,2 Protocol za System Center 2016

Rezime

Ovaj članak opisuje kako se omogućava verzija protokola "bezbednost sloja prenosa" (TLS) verzije 1,2 u Microsoft System Center 2016 okruženju.

Više informacija

Da biste omogućili TLS Protocol verziju 1,2 u okruženju vašeg sistemskog centra, sledite ove korake:

  1. Instalirajte ispravke iz izdanja. Napomene

    • Automatizacija upravljanja servisom (SMA) i "osnove dobavljača usluga" (SPF) mora biti nadograđena na poslednju zbirnu ispravku jer UR4 nema nikakve ispravke za ove komponente.

    • Za automatizaciju upravljanja servisom (sma), izvršite nadogradnju na zbirnu ispravku 1, a takođe užurirajte sma Management Pack (MP) sa ove Veb stranice Microsoft Download Center.

    • Za fondaciju dobavljača usluga (SPF), Nadogradnja na zbirnu ispravku 2.

    • Potrebno je nadograditi upravljač virtuelnog mašinskog sistema (SCVMM) na bar ispravku 3.

  2. Uverite se da je instalacija funkcionisala onako kako je bilo pre primene ispravki. Na primer, proverite da li možete da pokrenete konzolu.

  3. Promenite postavke konfiguracije da biste omogućili tls 1,2.

  4. Uverite se da su pokrenute sve zahtevane SQL Server usluge.

Instaliraju ispravke

Ažuriraj aktivnost

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Uverite se da su sve trenutne bezbednosne ispravke instalirane za Windows Server 2012 R2 ili Windows Server 2016 

Da

Da

Da

Da

Da

Da

Da

Uverite se da je .NET Framework 4,6 instaliran na svim komponentama sistema System Center

Da

 

Da

 

Da

Da

Da

Da

Da

Instalirajte potrebnu SQL Server ispravku koja podržava TLS 1,2

Da

Da

Da

Da

Da

Da

Da

Instalirajte zahtevani sistemski centar 2016 ispravke

Da

Ne

Da

Da

Ne

Ne

Da

Uverite se da su certifikati za CA potpisani ili SHA1 ili SHA2

Da

Da

Da

Da

Da

Da

Da

1 Upravljač operacijama sistema (SCOM) 2 Upravljač virtualnim mašinama sistema (SCVMM) 3 Upravljač za zaštitu podataka sistema (SCDPM) 4 System Center Orchestrator (SCO) 5 Automatizacija upravljanja servisom (SMA) 6 Fondacija dobavljača usluga (SPF) 7 Rukovodilac usluge (SM)

Promena postavki konfiguracije

Ažuriranje konfiguracije

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Podešavanje operativnog sistema Windows za korišćenje samo TLS 1,2 protokola

Da

Da

Da

Da

Da

Da

Da

Podešavanje sistemskog centra za korišćenje samo TLS 1,2 protokola

Da

Da

Da

Da

Da

Da

Da

Dodatne postavke

Da

Ne

Da

Da

Ne

Ne

Ne

.NET Framework 

Uverite se da je .NET Framework 4,6 instaliran na svim komponentama sistema. Da biste to uradili, slediteOva uputstva.

TLS 1,2 podrška

Instalirajte potrebnu SQL Server ispravku koja podržava TLS 1,2. Da biste to uradili, pogledajte sledeći članak u Microsoft bazi znanja:

3135244 TLS 1,2 podrška za Microsoft SQL Server

Potrebni sistemski centar 2016 dopune

SQL Server 2012 izvorni klijent 11,0 trebalo bi da bude instaliran na svim sledećim komponentama sistema System Center.

Komponenta

Ulogu

Zahtevani SQL upravljački program

Menadžer za operacije

Server za upravljanje i Veb konzole

SQL Server 2012 izvorni klijent 11,0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je pomoću upravljača za operacije 2016 UR9 i novijim.

Upravljač virtualnog računara

(Nije potrebno)

(Nije potrebno)

Orchestrator

Server za upravljanje

SQL Server 2012 izvorni klijent 11,0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je Orchestrator 2016 UR8 i novijim verzijama.

Upravljač za zaštitu podataka

Server za upravljanje

SQL Server 2012 izvorni klijent 11,0

Upravljač uslugama

Server za upravljanje

SQL Server 2012 izvorni klijent 11,0 ili Microsoft OLE DB upravljački program 18 za SQL Server (preporučuje se).

Napomena Microsoft OLE DB upravljački program 18 za SQL Server podržan je pomoću upravljača za servis 2016 UR9 i novijim.

Da biste preuzeli i instalirali Microsoft SQL Server 2012 izvorni klijent 11,0, pogledajte ovu Veb stranicu Microsoft Download Center.

Da biste preuzeli i instalirali Microsoft OLE DB upravljački program 18, pogledajte ovu Web stranicu Microsoft Download Center.

Za upravitelja operacija i upravljanje uslugama sistema, na svim serverima za upravljanje morate imati instaliran odbc 11,0 ili ODBC 13,0 .

Instalirajte zahtevani sistemski centar 2016 dopune iz sledećeg članka baze znanja:

4043305 Opis zbirne vrednosti ispravki 4 za Microsoft System Center 2016  

Komponenta

2016

Menadžer za operacije

Zbirna ispravka 4 za Menadžer operacija sistema 2016 za operativni sistem

Upravljač uslugama

Zbirna ispravka 4 za System Center 2016 upravljač servisom

Orchestrator

Zbirna ispravka 4 za System Center 2016 Orchestrator

Upravljač za zaštitu podataka

Zbirna ispravka 4 za System Center 2016 upravljač za zaštitu podataka

Napomena Uverite se da ste razvili sadržaj datoteke i instalirali MSP datoteku u odgovarajućoj ulozi.

SHA1 i SHA2 sertifikati

Komponente sistemskog centra sada generišu i SHA1 i SHA2 samopotpisane certifikate. Ovo je potrebno da bi se omogućilo TLS 1,2. Ako se koriste certifikati koji se mogu potpisati, uverite se da su certifikati SHA1 ili SHA2.

Podešavanje operativnog sistema Windows tako da koristi samo TLS 1,2

Koristite neki od sledećih metoda da biste konfigurisali Windows tako da koristi samo TLS 1,2 protokol.

1. metod: ručno menjanje registratora

Važno Pažljivo sledite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što je izmenite, napravite rezervnu kopiju registratora za restauraciju u slučaju da dođe do problema.

Koristite sledeće korake da biste omogućili/onemogućili sve protokole SCHANNEL protokola. Preporučujemo da osposobite TLS 1,2 protokol za dolazne komunikacije; i omogućiti TLS 1,2, TLS 1,1 i TLS 1,0 protokoli za sve odlazne komunikacije.

Napomena Pravljenje ovih promena u registratoru ne utiče na upotrebu Kerberos ili NTLM protokola.

  1. Pokrenite alatku „Uređivač registratora“. Da biste to uradili, kliknite desnim tasterom miša na " Start", otkucajte Regedit u okviru " Pokreni " i zatim kliknite na dugme "u redu"

  2. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Kliknite desnim tasterom miša na ključ protokola , postavite pokazivač na stavku novo, a zatim kliknite na dugme ključ. Registry

  4. Otkucajte SSL 3, a zatim pritisnite taster ENTER.

  5. Ponovite korake 3 i 4 da biste kreirali ključeve za TLS 0, TLS 1,1 i TLS 1,2. Ovi tasteri liče na direktorijume.

  6. Kreiranje šifre klijenta i šifre servera na osnovu svake od SSL 3, TLS 1,0, TLS 1,1i TLS 1,2 ključeva.

  7. Da biste omogućili protokol, kreirajte DWORD vrednost ispod svakog klijenta i šifre servera na sledeći način:

    DisabledByDefault [VALUE = 0] Omogućeno [vrednost = 1] Da biste onemogućili protokol, promenite DWORD vrednost ispod svakog klijenta i šifre servera na sledeći način:

    DisabledByDefault [VALUE = 1] Omogućena [vrednost = 0]

  8. U meniju " datoteka " izaberite stavku " Izađi".

2. metod: automatski izmeni registrator

Pokrenite sledeću Windows PowerShell skriptu u režimu administratorskog režima da biste automatski konfigurisali Windows tako da koristi samo TLS 1,2 protokol:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Podešavanje sistemskog centra za korišćenje samo TLS 1,2

Podesite centar sistema da koristi samo TLS 1,2 protokol. Da biste to uradili, prvo proverite da li su ispunjeni svi preduslovi. Zatim, izvršite sledeće postavke na komponentama sistemskih centara i svim drugim serverima na kojima su instalirani agenti.

Koristite neki od sledećih metoda.

1. metod: ručno menjanje registratora

Važno Pažljivo sledite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što je izmenite, napravite rezervnu kopiju registratora za restauraciju u slučaju da dođe do problema.

Da biste omogućili instalaciju da podržava TLS 1,2 protokol, sledite ove korake:

  1. Pokrenite alatku „Uređivač registratora“. Da biste to uradili, kliknite desnim tasterom miša na " Start", otkucajte Regedit u okviru " Pokreni " i zatim kliknite na dugme "u redu"

  2. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. U okviru ovog ključa Kreirajte sledeću DWORD vrednost:

    Schuseuporkripta [VALUE = 1]

  4. Pronađite sledeći potključ registratora:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. U okviru ovog ključa Kreirajte sledeću DWORD vrednost:

    Schuseuporkripta [VALUE = 1]

  6. Ponovo pokrenite sistem.

2. metod: automatski izmeni registrator

Pokrenite sledeću Windows PowerShell skriptu u režimu administratorskog režima da biste automatski konfigurisali System Center da koristi samo TLS 1,2 protokol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Dodatne postavke

Menadžer za operacije

Paketi za upravljanje

Uvezite pakete za upravljanje za upravljač operacijama sistema 2016. One se nalaze u sledećem direktorijumu kada instalirate ažuriranje servera:

\Program Files\Microsoft System Center 2016 \ upravljanje Upravljer\server\management paketi za zbirne ispravke

Postavke Aks-a

Za usluge prikupljanja revizije (Aks), morate da napravite dodatne promene u registratoru. AKS koristi DSN da bi uradio veze sa bazom podataka. Morate ažurirati postavke DSN-a da biste ih učinili funkcionalnim za TLS 1,2.

  1. U registratoru pronađite sledeći potključ za ODBC. Napomena Podrazumevano ime DSN-a je Opsmgrac. ODBC.INI subkey

  2. U potključu " ODBC izvori podataka " izaberite stavku za ime DSN-a, Opsmgrac. Ovo sadrži ime ODBC upravljačkog programa koji će se koristiti za vezu sa bazom podataka. Ako ste instalirali ODBC 11,0, promenite ovo ime u ODBC upravljački program 11 za SQL Server. Ako ste instalirali ODBC 13,0, promenite ovo ime u ODBC upravljački program 13 za SQL Server. ODBC Data Sources subkey

  3. U potključ Opsmgrac ažurirajte stavku pogonskog programa koja je instalirana. OpsMgrAC subkey

    • Ako je ODBC 11,0 instaliran, promenite stavku upravljačkog programa u %windir%\system32\msodbcsql11.dll.

    • Ako je ODBC 13,0 instaliran, promenite stavku upravljačkog programa u %windir%\system32\msodbcsql13.dll.

    • Alternativno, kreirajte i sačuvajte sledeću. reg datoteku u beležnici ili drugom uređivaču teksta. Da biste pokrenuli sačuvanu. reg datoteku, kliknite dvaput na nju. Za ODBC 11,0, KREIRAJTE sledeću ODBC 11.0. reg datoteku:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Za odbc 13,0, KREIRAJTE sledeću ODBC 13.0. reg datoteku:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Ojačavanje TLS-a u Linuxu

Sledite uputstva na odgovarajućoj Veb lokaciji da biste konfigurisali TLS 1,2 na vašem crvenom šeširu ili u okruženju Apache .

Upravljač za zaštitu podataka

Da biste omogućili da upravljač za zaštitu podataka radi zajedno sa TLS 1,2 za pravljenje rezervne kopije u oblaku, omogućite ove korake na serveru upravljača za zaštitu podataka.

Orchestrator

Nakon instalacije Orchestrator ispravki, ponovo konfigurišete Orchestrator bazu podataka tako što ćete koristiti postojeću bazu podataka u skladu sa ovim uputstvima.

 

Odricanje odgovornosti za kontakt nezavisnog proizvođača

Microsoft obezbeđuje kontakt informacije samostalnih proizvođača da bi vam pomogao da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija drugih proizvođača.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×