Vodič za primenu podrške za TLS 1.2 protokol za System Center 2012 R2

Rezime

Ovaj članak opisuje kako da omogućite Transport Layer Security (TLS) protokol verzije 1.2 u Microsoft System Center 2012 R2 okruženju.

Više informacija

Da biste omogućili TLS protokol verziju 1.2 u okruženju system Center, pratite ove korake:

Instalirajte ispravke iz izdanja.Beleške
- Instalirajte najnoviju zbirnu ispravku za sve sistemske komponente pre nego što primenite zbirnu ispravku 14.
  - Za Upravljač zaštitom podataka i upravljač virtuelnim mašinama instalirajte zbirnu ispravku 13.
  - Za automatizaciju upravljanja uslugama instalirajte zbirnu ispravku 7.
  - Za System Center Orchestrator instalirajte zbirnu ispravku 8.
  - Za Service Provider Foundation, instalirajte zbirnu ispravku 12.
  - Za upravljač uslugama instalirajte zbirnu ispravku 9.
Uverite se da je instalacija funkcionalna kao i pre nego što ste primenili ispravke. Na primer, proverite da li možete da pokrenete konzolu.
Promenite postavke konfiguracije da biste omogućili TLS 1.2.
Uverite se da su SQL Server pokrenute sve potrebne usluge.

Instaliranje ispravki

Ažuriranje aktivnosti	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Uverite se da su sve trenutne bezbednosne ispravke instalirane za Windows Server 2012 R2	Da	Da	Da	Da	Da	Da	Da
Uverite se da je .NET Framework 4.6 instaliran na svim sistemskim komponentama centra	Da	Da	Da	Da	Da	Da	Da
Instalirajte neophodnu SQL Server koja podržava TLS 1.2	Da	Da	Da	Da	Da	Da	Da
Instaliranje potrebnih ispravki za System Center 2012 R2	Da	Ne	Da	Da	Ne	Ne	Da
Uverite se da su ca-potpisani certifikati SHA1 ili SHA2	Da	Da	Da	Da	Da	Da	Da

¹ System Center Operations Manager (SCOM)² System Center Virtual Machine Manager (SCVMM)³ System Center Data Protection Manager (SCDPM)⁴ System Center Orchestrator (SCO)⁵ Service Management Automation (SMA)⁶ Service Provider Foundation (SPF)⁷ Service Manager (SM)

Promena postavki konfiguracije

Ažuriranje konfiguracije	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Podešavanje operativnog sistema Windows tako da koristi samo TLS 1.2 protokol	Da	Da	Da	Da	Da	Da	Da
Postavka u sistemu Center za korišćenje samo TLS 1.2 protokola	Da	Da	Da	Da	Da	Da	Da
Dodatne postavke	Da	Ne	Da	Da	Ne	Ne	Ne

.NET Framework

Uverite se da .NET Framework 4.6 instaliran na svim komponentama sistema System Center. Da biste to uradili, pratiteova uputstva.

Podrška za TLS 1.2

Instalirajte neophodnu SQL Server koja podržava TLS 1.2. Da biste to uradili, pogledajte sledeći članak u Microsoft bazi znanja:

3135244 TLS 1.2 podrška za Microsoft SQL Server

Obavezne ispravke za System Center 2012 R2

SQL Server 2012 Native Client 11.0 trebalo bi da bude instaliran na svim sledećim system Center komponentama.

Komponenta	Ulogu
Operations Manager	Management Server i veb konzole
Upravljač virtuelnim mašinama	(Nije neophodno)
Orchestrator	Management Server
Upravljač zaštitom podataka	Management Server
Service Manager	Management Server

Da biste preuzeli i instalirali Microsoft SQL Server 2012 Native Client 11.0, pogledajte ovu veb stranicu Centra za preuzimanje.

Za System Center Operations Manager i Service Manager morate imati ODBC 11.0 ili ODBC 13.0 instaliran na svim serverima za upravljanje.

Instalirajte potrebne ispravke za System Center 2012 R2 iz sledećeg članka baze znanja:

4043306 Opis zbirne ispravke 14 za Microsoft System Center 2012 R2

Komponenta	2012 R2
Operations Manager	Zbirna ispravka 14 za System Center 2012 R2 Operations Manager
Service Manager	Zbirna ispravka 14 za System Center 2012 R2 Service Manager
Orchestrator	Zbirna ispravka 14 za System Center 2012 R2 Orchestrator
Upravljač zaštitom podataka	Zbirna ispravka 14 za System Center 2012 R2 Data Protection Manager

Beleške Uverite se da ste razvili sadržaj datoteke i instalirali MSP datoteku na odgovarajuću ulogu, osim upravljača zaštitom podataka. Za Upravljač zaštitom podataka instalirajte datoteku .exe podataka.

SHA1 i SHA2 certifikati

Sistemske komponente centra sada generišu i SHA1 i SHA2 samopotpisane certifikate. Ovo je neophodno da biste omogućili TLS 1.2. Ako se koriste certifikati potpisani pomoću ca, uverite se da su certifikati SHA1 ili SHA2.

Podesite Windows da koristi samo TLS 1.2

Koristite jedan od sledećih metoda da biste konfigurisali Windows tako da koristi samo TLS 1.2 protokol.

1. metod: Ručno menjanje registratora

Važno: Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.

Koristite sledeće korake da biste omogućili/onemogućili sve SCHANNEL protokole na nivou sistema. Preporučujemo da omogućite TLS 1.2 protokol za dolazne komunikacije i omogućite TLS 1.2, TLS 1.1 i TLS 1.0 protokole za sve odlazne komunikacije.

Beleške Ove promene registratora ne utiču na korišćenje Kerberos ili NTLM protokola.

Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.
Pronađite sledeći potključ registratora:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Kliknite desnim tasterom miša na ključ Protokol , postavite pokazivač na stavku Novo, a zatim izaberite stavku Ključ.
Otkucajte SSL 3, a zatim pritisnite taster Enter.
Ponovite 3. i 4. korak da biste kreirali ključeve za TLS 0, TLS 1.1 i TLS 1.2. Ovi ključevi podsećaju na direktorijume.
Kreirajte ključ klijenta i ključ servera ispod svakog SSL 3, TLS 1.0, TLS 1.1 i TLS 1.2 tastera .
Da biste omogućili protokol, kreirajte vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:

DisabledByDefault [Vrednost = 0] Omogućeno [Vrednost = 1] Da biste onemogućili protokol, promenite vrednost DWORD u okviru svakog klijenta i ključa servera na sledeći način:

DisabledByDefault [Vrednost = 1] Omogućeno [Vrednost = 0]
U meniju Datoteka izaberite stavku Izađi.

2. metod: Automatsko menjanje registratora

Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali Windows da koristi samo TLS 1.2 protokol:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Podesite system Center tako da koristi samo TLS 1.2

Podesite System Center da koristi samo TLS 1.2 protokol. Da biste to uradili, prvo proverite da li su ispunjeni svi preduslovi. Zatim konfigurišite sledeće postavke na sistemskim center komponentama i svim drugim serverima na kojima su agenti instalirani.

Koristite jedan od sledećih metoda.

1. metod: Ručno menjanje registratora

Važno: Pažljivo pratite korake u ovom odeljku. Može doći do ozbiljnih problema ako neispravno izmenite registrator. Pre nego što ga izmenite, napravite rezervnu kopiju registratora da biste mogli da ga vratite u slučaju da dođe do problema.

Da biste omogućili instalaciju da podrži TLS 1.2 protokol, pratite ove korake:

Pokrenite uređivač registratora. Da biste to uradili, kliknite desnim tasterom miša na dugme Start, otkucajte regedit u polju Pokreni, a zatim kliknite na dugme U redu.
Pronađite sledeći potključ registratora:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Kreirajte sledeću DWORD vrednost u okviru ovog ključa:

SchUseStrongCrypto [Vrednost = 1]
Pronađite sledeći potključ registratora:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Kreirajte sledeću DWORD vrednost u okviru ovog ključa:

SchUseStrongCrypto [Vrednost = 1]
Ponovo pokrenite sistem.

2. metod: Automatsko menjanje registratora

Pokrenite sledeću Windows PowerShell u režimu administratora da biste automatski konfigurisali system Center tako da koristi samo TLS 1.2 protokol:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Dodatne postavke

Operations Manager

Paketi za upravljanje

Uvezite pakete za upravljanje za System Center 2012 R2 Operations Manager. One se nalaze u sledećem direktorijumu kada instalirate ispravku servera:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs za zbirne ispravke

ACS postavke

Za usluge kolekcije nadzora (ACS), morate da izvršite dodatne promene u registratoru. ACS koristi DSN za povezivanje sa bazom podataka. Morate da ažurirate DSN postavke da bi funkcionisale za TLS 1.2.

Pronađite sledeći potključ za ODBC u registratoru.Beleške Podrazumevano ime DSN-a je OpsMgrAC.
U potključu ODBC izvori podataka izaberite unos za DSN ime, OpsMgrAC. Ovo sadrži ime ODBC upravljačkog programa koji će se koristiti za vezu sa bazom podataka. Ako imate instaliran ODBC 11.0, promenite ovo ime u ODBC upravljački program 11 za SQL Server. Ili, ako imate instaliran ODBC 13.0, promenite ovo ime u ODBC upravljački program 13 za SQL Server.
U potključu OpsMgrAC ažurirajte unos upravljačkog programa za instaliranu ODBS verziju.
- Ako je instaliran ODBC 11.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql11.dll.
- Ako je instaliran ODBC 13.0, promenite unos upravljačkog programa u %WINDIR%\system32\msodbcsql13.dll.
- Druga mogućnost je da kreirate i sačuvate sledeću .reg datoteku u programu Notepad ili drugom uređivaču teksta. Da biste pokrenuli sačuvanu .reg datoteku, kliknite dvaput na datoteku.Za ODBC 11.0 kreirajte sledeću ODBC 11.0.reg datoteku: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Za ODBC 13.0 kreirajte sledeću ODBC 13.0.reg datoteku: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC izvori podataka] "OpsMgrAC"="ODBC Upravljački program 13 za SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS ojacavanje u Linux-u

Pratite uputstva na odgovarajućoj veb lokaciji da biste konfigurisali TLS 1.2 u Okruženju Red Hat ili Apache .

Upravljač zaštitom podataka

Da biste upravljaču za zaštitu podataka omogućili da radi zajedno sa sistemom TLS 1.2 i napravi rezervnu kopiju u oblaku, omogućite ove korake na serveru upravljača zaštitom podataka.

Orchestrator

Kada se ispravke orchestratora instaliraju, ponovo konfigurišite Orchestrator bazu podataka pomoću postojeće baze podataka prema ovim uputstvima.

Service Manager

Pre nego što se instaliraju ispravke upravljača uslugama, instalirajte potrebne pakete i ponovo konfigurišite vrednosti ključa registratora, kao što je opisano u odeljku "Pre instalacije" u KB 4024037.

Takođe, ako nadgledate System Center Service Manager pomoću System Center Operations Manager, ažurirajte na najnoviju verziju (v 7.5.7487.89) za podršku za Monitoring Management Pack za TLS 1.2.

Automatizacija upravljanja uslugama (SMA)

Ako nadgledate automatizaciju upravljanja uslugama (SMA) koristeći System Center Operations Manager, ažurirajte na najnoviju verziju Monitoring Management Pack za podršku za TLS 1.2:

System Center Management Pack za System Center 2012 R2 Orchestrator – Automatizacija upravljanja uslugama

Odricanje odgovornosti za kontakt nezavisnog proizvođača

Microsoft obezbeđuje kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete dodatne informacije o ovoj temi. Ove kontakt informacije mogu da se promene bez obaveštenja. Microsoft ne garantuje tačnost kontakt informacija nezavisnih proizvođača.