Özet
Bu makalede, Microsoft System Center 2012 R2 ortamında Aktarım Katmanı Güvenliği (TLS) protokolü sürüm 1.2'nin nasıl etkinleştirileceği açıklanır.
Ek Bilgi
System Center ortamınızda TLS protokolü sürüm 1.2'yi etkinleştirmek için şu adımları izleyin:
-
Sürümden güncelleştirmeleri yükleyin.
Notlar-
Güncelleştirme Paketi 14'ü uygulamadan önce tüm System Center bileşenleri için en son güncelleştirme paketini yükleyin.
-
Data Protection Manager ve Virtual Machine Manager için Güncelleştirme Paketi 13'ü yükleyin.
-
Service Management Automation için Güncelleştirme Paketi 7'yi yükleyin.
-
System Center Orchestrator için Güncelleştirme Paketi 8'i yükleyin.
-
Service Provider Foundation için Güncelleştirme Paketi 12'yi yükleyin.
-
Service Manager için Güncelleştirme Paketi 9'u yükleyin.
-
-
-
Kurulumun, güncelleştirmeleri uygulamadan önceki kadar işlevsel olduğundan emin olun. Örneğin, konsolu başlatıp başlatamayacağınızı denetleyin.
-
TLS 1.2'yi etkinleştirmek için yapılandırma ayarlarını değiştirin.
-
Tüm gerekli SQL Server hizmetlerinin çalıştığından emin olun.
Güncelleştirmeleri yükleme
Etkinliği güncelleştirme |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Windows Server 2012 R2 için tüm geçerli güvenlik güncelleştirmelerinin yüklendiğinden emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
.NET Framework 4.6'nın tüm System Center bileşenlerine yüklendiğinden emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
TLS 1.2'yi destekleyen gerekli SQL Server güncelleştirmesini yükleyin |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Hayır |
Evet |
Evet |
Hayır |
Hayır |
Evet |
|
CA imzalı sertifikaların SHA1 veya SHA2 olduğundan emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Yapılandırma ayarlarını değiştirme
Yapılandırma güncelleştirmesi |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Windows'da yalnızca TLS 1.2 Protokolü kullanacak şekilde ayarlama |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
System Center'da yalnızca TLS 1.2 Protokolü kullanacak şekilde ayarlama |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Hayır |
Evet |
Evet |
Hayır |
Hayır |
Hayır |
.NET Framework
.NET Framework 4.6'nın tüm System Center bileşenlerine yüklendiğinden emin olun. Bunu yapmak içinbu yönergeleri izleyin.
TLS 1.2 desteği
TLS 1.2'yi destekleyen gerekli SQL Server güncelleştirmesini yükleyin. Bunu yapmak için Microsoft Bilgi Bankası'ndaki aşağıdaki makaleye bakın:
3135244 Microsoft SQL Server için TLS 1.2 desteği
Gerekli System Center 2012 R2 güncelleştirmeleri
SQL Server 2012 Yerel istemci 11.0 aşağıdaki tüm System Center bileşenlerine yüklenmelidir.
Bileşen |
Rolü |
Operations Manager |
Yönetim Sunucusu ve Web Konsolları |
Virtual Machine Manager |
(Gerekli değildir) |
Orchestrator |
Yönetim Sunucusu |
Data Protection Manager |
Yönetim Sunucusu |
Service Manager |
Yönetim Sunucusu |
Microsoft SQL Server 2012 Native Client 11.0'ı indirip yüklemek için bu Microsoft İndirme Merkezi web sayfasına bakın.
System Center Operations Manager ve Service Manager için tüm yönetim sunucularında ODBC 11.0 veya ODBC 13.0 yüklü olmalıdır.
Aşağıdaki Bilgi Bankası makalesinden gerekli System Center 2012 R2 güncelleştirmelerini yükleyin:
4043306 Microsoft System Center 2012 R2 için Güncelleştirme Paketi 14'ün Açıklaması
Bileşen |
2012 R2 |
Operations Manager |
System Center 2012 R2 Operations Manager için Güncelleştirme Paketi 14 |
Service Manager |
System Center 2012 R2 Service Manager için Güncelleştirme Paketi 14 |
Orchestrator |
System Center 2012 R2 Orchestrator için Güncelleştirme Paketi 14 |
Data Protection Manager |
System Center 2012 R2 Data Protection Manager için Güncelleştirme Paketi 14 |
Not Dosya içeriğini genişletip MSP dosyasını Data Protection Manager dışında ilgili role yüklediğinizden emin olun. Data Protection Manager için .exe dosyasını yükleyin.
SHA1 ve SHA2 sertifikaları
System Center bileşenleri artık hem SHA1 hem de SHA2 otomatik olarak imzalanan sertifikalar oluşturur. TLS 1.2'yi etkinleştirmek için bu gereklidir. CA imzalı sertifikalar kullanılıyorsa sertifikaların SHA1 veya SHA2 olduğundan emin olun.
Windows'ı yalnızca TLS 1.2 kullanacak şekilde ayarlama
Windows'un yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırılması için aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: Kayıt defterini el ile değiştirme
Önemli: Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.
Sistem genelinde tüm SCHANNEL protokollerini etkinleştirmek/devre dışı bırakmak için aşağıdaki adımları kullanın. Gelen iletişimler için TLS 1.2 protokolünü etkinleştirmenizi ve tüm giden iletişimler için TLS 1.2, TLS 1.1 ve TLS 1.0 protokollerini etkinleştirmenizi öneririz.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu kayıt defteri değişikliklerinin yapılması Kerberos veya NTLM protokollerinin kullanımını etkilemez.
-
Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a sağ tıklayın, Çalıştır kutusuna regedit yazın ve tamam'ı seçin.
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Protokol anahtarına sağ tıklayın, Yeni'nin üzerine gelin ve anahtar'a tıklayın.
-
SSL 3 yazın ve Enter tuşuna basın.
-
TLS 0, TLS 1.1 ve TLS 1.2 için anahtar oluşturmak için 3. ve 4. adımları yineleyin. Bu anahtarlar dizinlere benzer.
-
SSL 3, TLS 1.0, TLS 1.1 ve TLS 1.2 anahtarlarının her biri altında bir İstemci anahtarı ve bir Sunucu anahtarı oluşturun.
-
Protokolü etkinleştirmek için her İstemci ve Sunucu anahtarının altında DWORD değerini aşağıdaki gibi oluşturun:
DisabledByDefault [Değer = 0]
Etkin [Değer = 1]
Bir protokolü devre dışı bırakmak için, her İstemci ve Sunucu anahtarının altındaki DWORD değerini aşağıdaki gibi değiştirin:DisabledByDefault [Değer = 1]
Etkin [Değer = 0] -
Dosya menüsünde Çıkış'ı seçin.
Yöntem 2: Kayıt defterini otomatik olarak değiştirme
Windows'u otomatik olarak yalnızca TLS 1.2 Protokolü kullanacak şekilde yapılandırmak için Yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
System Center'ı yalnızca TLS 1.2 kullanacak şekilde ayarlama
System Center'ı yalnızca TLS 1.2 protokollerini kullanacak şekilde ayarlayın. Bunu yapmak için öncelikle tüm önkoşulların karşılandığından emin olun. Ardından, System Center bileşenlerinde ve aracıların yüklü olduğu diğer tüm sunucularda aşağıdaki ayarları yapılandırın.
Aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: Kayıt defterini el ile değiştirme
Önemli: Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.
Yüklemeyi TLS 1.2 protokollerini destekleyecek şekilde etkinleştirmek için şu adımları izleyin:
-
Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a sağ tıklayın, Çalıştır kutusuna regedit yazın ve tamam'ı seçin.
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Bu anahtar altında aşağıdaki DWORD değerini oluşturun:
SchUseStrongCrypto [Değer = 1]
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Bu anahtar altında aşağıdaki DWORD değerini oluşturun:
SchUseStrongCrypto [Değer = 1]
-
Sistemi yeniden başlatın.
Yöntem 2: Kayıt defterini otomatik olarak değiştirme
System Center'ı yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için Yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Ek ayarlar
Operations Manager
Yönetim paketleri
System Center 2012 R2 Operations Manager için yönetim paketlerini içeri aktarın. Bunlar, sunucu güncelleştirmesini yükledikten sonra aşağıdaki dizinde bulunur:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
ACS ayarları
Denetim Toplama Hizmetleri (ACS) için kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.
-
Kayıt defterinde ODBC için aşağıdaki alt anahtarı bulun.
Not Varsayılan DSN adı OpsMgrAC'dir. -
ODBC Veri Kaynakları alt anahtarında, DSN adı olan OpsMgrAC girişini seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 11.0 yüklüyse, SQL Server için bu adı ODBC Sürücüsü 11 olarak değiştirin. Veya ODBC 13.0 yüklüyse, SQL Server için bu adı ODBC Sürücüsü 13 olarak değiştirin.
-
OpsMgrAC alt anahtarında, yüklü olan ODBS sürümü için Sürücü girdisini güncelleştirin.
-
ODBC 11.0 yüklüyse Sürücü girdisini%WINDIR%\system32\msodbcsql11.dllolarak değiştirin.
-
ODBC 13.0 yüklüyse Sürücü girdisini%WINDIR%\system32\msodbcsql13.dllolarak değiştirin.
-
Alternatif olarak, aşağıdaki .reg dosyasını Not Defteri'ne veya başka bir metin düzenleyicisine oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.
ODBC 11.0 için aşağıdaki ODBC 11.0.reg dosyasını oluşturun:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Veri Kaynakları] "OpsMgrAC"="SQL Server için ODBC Sürücüsü 11" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
ODBC 13.0 için şu ODBC 13.0.reg dosyasını oluşturun: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Veri Kaynakları] "OpsMgrAC"="SQL Server için ODBC Sürücüsü 13" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Linux'ta TLS sağlamlaştırma
Red Hat veya Apache ortamınızda TLS 1.2'yi yapılandırmak için uygun web sitesindeki yönergeleri izleyin.
Data Protection Manager
Data Protection Manager'ın buluta yedeklemek üzere TLS 1.2 ile birlikte çalışmasını sağlamak için Data Protection Manager sunucusunda bu adımları etkinleştirin.
Orchestrator
Orchestrator güncelleştirmeleri yüklendikten sonra, mevcut veritabanını bu yönergelere göre kullanarak Orchestrator veritabanını yeniden yapılandırın.
Service Manager
Service Manager güncelleştirmeleri yüklenmeden önce, kb 4024037 "Yüklemeden önce" yönergeleri bölümünde açıklandığı gibi gerekli paketleri yükleyin ve kayıt defteri anahtarı değerlerini yeniden yapılandırın.
Ayrıca, System Center Service Manager System Center Operations Manager kullanarak izliyorsanız, TLS 1.2 desteği için İzleme Yönetim Paketi'nin en son sürümüne (v 7.5.7487.89) güncelleştirin.
Hizmet Yönetimi Otomasyonu (SMA)
System Center Operations Manager'ı kullanarak Service Management Automation'ı (SMA) izliyorsanız, TLS 1.2 desteği için İzleme Yönetim Paketi'nin en son sürümüne güncelleştirin:
System Center 2012 R2 Orchestrator için System Center Yönetim Paketi - Hizmet Yönetimi Otomasyonu
Üçüncü taraf iletişim bildirimi
Microsoft, bu konu hakkında ek bilgi bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlar. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.