Sammanfattning

Den här artikeln beskrivs hur du aktiverar Transport Layer Security (TLS) protokollversion 1.2 i en miljö med Microsoft System Center 2012 R2.

Mer Information

Gör så här om du vill aktivera TLS-protokollversion 1.2 i System Center-miljö:

  1. Installera uppdateringar från versionen.

    Kommentarer

  2. Kontrollera att inställningarna fungerar så som den var före installation av uppdateringar. Till exempel kontrollera om du kan starta konsolen.

  3. Ändra inställningarna om du vill aktivera TLS 1.2.

  4. Kontrollera att alla nödvändiga tjänster för SQL Server körs.


Installera uppdateringar

Uppdatera aktivitet

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Kontrollera att alla aktuella uppdateringar har installerats för Windows Server 2012 R2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Kontrollera att.NET Framework 4.6 installeras på alla System Center-komponenter

Ja

 

Ja

 

Ja

Ja

Ja

Ja

Ja

Uppdateringen krävs SQL Server som stöder TLS 1.2

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Installera nödvändiga uppdateringar för System Center 2012 R2

Ja

Nej.

Ja

Ja

Nej.

Nej.

Ja

Kontrollera att CA-signerat certifikat är SHA1 och SHA2

Ja

Ja

Ja

Ja

Ja

Ja

Ja


1System Center Operations Manager (SCOM)
2System Center Virtual Machine Manager (SCVMM)
3System Center Data Protection Manager (SCDPM)
4System Center Orchestrator (SCO)
5Service Management Automation (SMA)
6Service Provider Foundation (SPF)
7Service Manager (SM)


Ändra inställningarna för

Uppdateringen av tjänstkonfigurationen

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Inställningen i Windows endast TLS 1.2-protokollet ska användas

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Inställningen för System Center endast TLS 1.2-protokollet ska användas

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ytterligare inställningar

Ja

Nej.

Ja

Ja

Nej.

Nej.

Nej.


.NET Framework 

Kontrollera att.NET Framework 4.6 installeras på alla System Center-komponenter. Följdessa instruktionerom du vill göra detta.

Stöd för TLS 1.2

Uppdateringen krävs SQL Server som stöder TLS 1.2. Om du vill göra detta finns i följande artikel i Microsoft Knowledge Base:

3135244 1.2 TLS-stöd för Microsoft SQL Server


Nödvändiga uppdateringar för System Center 2012 R2

SQL Server 2012 Native client 11.0 bör installeras på alla följande System Center-komponenter.

Komponent

Roll

Operations Manager

Management Server och Web konsoler

Virtual Machine Manager

(Krävs inte)

Orchestrator

Management Server

Data Protection Manager

Management Server

Tjänsthanteraren

Management Server


Om du vill hämta och installera Microsoft SQL Server 2012 Native Client 11.0, finns den här webbsidan Microsoft Download Center.

För System Center Operations Manager och Service Manager, måste du ha 11.0 ODBC- eller ODBC-13.0 installerat på alla hanteringsservrar.

Installera nödvändiga uppdateringar för System Center 2012 R2 från följande artikel i Knowledge Base:

4043306 beskrivning av Samlad uppdatering 14 för Microsoft System Center 2012 R2
 

Komponent

2012 R2

Operations Manager

Update Rollup 14 för System Center 2012 R2 Operations Manager

Tjänsthanteraren

Update Rollup 14 för System Center 2012 R2 Service Manager

Orchestrator

Update Rollup 14 för System Center 2012 R2 Orchestrator

Data Protection Manager

Update Rollup 14 för System Center 2012 R2 Data Protection Manager


Obs! Kontrollera att du expandera innehållet i filen och installerar MSP-filen på motsvarande roll, utom Data Protection Manager. Data Protection Manager installera .exe-filen.

SHA1 och SHA2 certifikat

System Center-komponenter skapar nu både SHA1 och SHA2 självsignerade certifikat. Detta krävs för att aktivera TLS 1.2. Om CA-signerat certifikat används kontrollerar du att certifikaten inte SHA1 och SHA2.

Konfigurera Windows så att endast TLS 1.2

Använd någon av följande metoder för att konfigurera Windows att använda endast protokollet TLS 1.2.

Metod 1: Ändra registret manuellt

Viktigt

Följ noga anvisningarna i detta avsnitt. Om du ändrar registret på felaktigt sätt kan det uppstå allvarliga problem. Innan du ändrar den, Säkerhetskopiera registret för återställning om problem uppstår.

Gör följande om du vill aktivera/inaktivera alla SCHANNEL-protokoll hela systemet. Vi rekommenderar att du aktiverar TLS 1.2-protokollet för inkommande kommunikation och aktivera protokollen TLS 1.2 TLS 1.1 och TLS 1.0 för all utgående kommunikation.

Obs! Att göra dessa ändringar i registret påverkar inte användningen av Kerberos eller NTLM-protokoll.

  1. Starta Registereditorn. Genom att högerklicka på Start, Skriv regedit i rutan Kör och klicka på OK.

  2. Leta upp följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Högerklicka på nyckeln protokoll , peka på Nyttoch klicka sedan på nyckel.

    Registret

  4. Ange SSL-3och tryck på RETUR.

  5. Upprepa steg 3 och 4 för att skapa nycklar för TLS 0, TLS 1.1 och 1.2 TLS. Dessa nycklar liknar kataloger.

  6. Skapa en klient och en Server -nyckel under respektive 3 SSL, TLS 1.0, TLS 1.1och 1.2 TLS -nycklar.

  7. Aktivera ett protokoll genom att skapa DWORD-värdet under varje nyckel för klienten och servern så här:

    DisabledByDefault [värde = 0]
    Aktiverad [värde = 1]
    Inaktivera ett protokoll genom att ändra DWORD-värdet under varje nyckel för klienten och servern så här:

    DisabledByDefault [värde = 1]
    Aktiverad [värde = 0]

  8. Välj AvslutaArkiv -menyn.


Metod 2: Ändra registret automatiskt

Kör du följande Windows PowerShell-skript i administratörsläge för att automatiskt konfigurera Windows att använda endast TLS 1.2-protokollet:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Ange System Center att använda endast TLS 1.2

Ange System Center till används endast protokollet TLS 1.2. Genom att först se till att alla förutsättningar är uppfyllda. Konfigurera följande inställningar på System Center-komponenter och andra servrar som agenter har installerats.

Använd någon av följande metoder.

Metod 1: Ändra registret manuellt

Viktigt

Följ noga anvisningarna i detta avsnitt. Om du ändrar registret på felaktigt sätt kan det uppstå allvarliga problem. Innan du ändrar den, Säkerhetskopiera registret för återställning om problem uppstår.

Gör så här om du vill aktivera installationen så att den stöder TLS 1.2-protokollet:

  1. Starta Registereditorn. Genom att högerklicka på Start, Skriv regedit i rutan Kör och klicka på OK.

  2. Leta upp följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Skapa följande DWORD-värde under denna nyckel:

    SchUseStrongCrypto [värde = 1]

  4. Leta upp följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Skapa följande DWORD-värde under denna nyckel:

    SchUseStrongCrypto [värde = 1]

  6. Starta om systemet.


Metod 2: Ändra registret automatiskt

Kör du följande Windows PowerShell-skript i administratörsläge för att automatiskt konfigurera System Center om du vill använda endast TLS 1.2-protokollet:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ytterligare inställningar

Operations Manager

Management Pack

Importera hanteringspaket för System Center 2012 R2 Operations Manager. Dessa finns i följande katalog efter installation av uppdatering server:

\Program\Microsoft system Center 2012 R2\Operations Manager\Server\Management paket för samlade uppdateringar

ACS-inställningar

För granskning Collection Services (ACS) måste du göra ytterligare ändringar i registret. ACS använder DSN för att skapa anslutningar till databasen. Du måste uppdatera DSN-inställningarna så att de fungerar för TLS 1.2.

  1. Leta upp följande undernyckel för ODBC i registret.

    Obs! Standardnamnet för DSN är OpsMgrAC.

    ODBC. INI-undernyckeln

  2. Välj posten för DSN-namnet OpsMgrACi undernyckeln för ODBC-datakällor . Detta innehåller namnet på den ODBC-drivrutin som ska användas för databasanslutningen. Om du har ODBC 11.0 installerat ändra namnet till 11 av ODBC-drivrutinen för SQL Server. Eller om du har en ODBC-13.0 installerat kan ändra det här namnet till 13 av ODBC-drivrutinen för SQL Server.

    Undernyckeln för ODBC-datakällor

  3. Uppdatera posten för drivrutinen för ODBS-version som är installerad i undernyckeln OpsMgrAC .

    OpsMgrAC-undernyckeln

    • Om ODBC-11.0 installeras, ändra posten drivrutin till %WINDIR%\system32\msodbcsql11.dll.

    • Om ODBC-13.0 är installerat, kan du ändra posten drivrutin till %WINDIR%\system32\msodbcsql13.dll.

    • Du kan också skapa och spara följande REG-filen i anteckningar eller någon annan textredigerare. Dubbelklicka på filen om du vill köra sparade REG-filen.

      Skapa följande ODBC-11.0.reg fil för ODBC 11.0:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"

      Skapa följande ODBC-13.0.reg fil för ODBC-13.0: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS-tjänsthärdning i Linux

Följ instruktionerna på webbplatsen för lämpligt att konfigurera TLS 1.2 i Red Hat eller Apache miljön.

Data Protection Manager

Aktivera dessa steg på Data Protection Manager-server om du vill aktivera Data Protection Manager ska fungera tillsammans med TLS 1.2 säkerhetskopiera till molnet.

Orchestrator

Efter Orchestrator uppdateringar installeras, konfigurera Orchestrator-databasen med hjälp av den befintliga databasen enligt dessa riktlinjer.

Tjänsthanteraren

Före Service Manager installeras, installera de nödvändiga paketen och konfigurera om registernyckelvärdena som beskrivs i den ” Före installationen ”instruktionsavsnittet KB 4024037 .

, Även om du övervakar System Center Service Manager med hjälp av System Center Operations Manager, uppdatera till den senaste versionen (v 7.5.7487.89) av övervakning Management Pack för TLS 1.2 support:

Microsoft System Center Management Pack för System Center Service Manager

Service Management Automation (SMA)

Om du övervakar Service Management Automation (SMA) med hjälp av System Center Operations Manager, uppdatera till den senaste versionen av övervakning Management Pack för TLS 1.2-stöd:

System Center Management Pack för System Center 2012 R2 Orchestrator - Service Management Automation

Ansvarsfriskrivning för tredje parts kontakt

Microsoft tillhandahåller kontaktinformation för tredje part som hjälper dig att hitta ytterligare information om detta ämne. Denna information kan ändras utan föregående meddelande. Microsoft kan inte garantera riktigheten av tredje parts kontaktinformation.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?

Tack för din feedback!

×