Özet
Bu makalede, Bir Microsoft System Center 2016 ortamında Aktarım Katmanı Güvenliği (TLS) protokolü sürüm 1.2'nin nasıl etkinleştirileceği açıklanır.
Ek Bilgi
System Center ortamınızda TLS protokolü sürüm 1.2'yi etkinleştirmek için şu adımları izleyin:
-
Sürümden güncelleştirmeleri yükleyin.
Notlar-
UR4'ün bu bileşenlerde herhangi bir güncelleştirmesi olmadığından Service Management Automation (SMA) ve Service Provider Foundation (SPF) en son güncelleştirme paketine yükseltilmelidir.
-
Service Management Automation (SMA) için Güncelleştirme Paketi 1'e yükseltin ve ayrıca bu Microsoft İndirme Merkezi web sayfasından SMA yönetim paketini (MP) güncelleştirin.
-
Service Provider Foundation (SPF) için Güncelleştirme Paketi 2'ye yükseltin.
-
System Center Virtual Machine Manager (SCVMM) en az Güncelleştirme Paketi 3'e yükseltilmelidir.
-
-
Kurulumun, güncelleştirmeleri uygulamadan önceki kadar işlevsel olduğundan emin olun. Örneğin, konsolu başlatıp başlatamayacağınızı denetleyin.
-
TLS 1.2'yi etkinleştirmek için yapılandırma ayarlarını değiştirin.
-
Tüm gerekli SQL Server hizmetlerinin çalıştığından emin olun.
Güncelleştirmeleri yükleme
Etkinliği güncelleştirme |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Windows Server 2012 R2 veya Windows Server 2016 için tüm geçerli güvenlik güncelleştirmelerinin yüklü olduğundan emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
.NET Framework 4.6'nın tüm System Center bileşenlerine yüklendiğinden emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
TLS 1.2'yi destekleyen gerekli SQL Server güncelleştirmesini yükleyin |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Hayır |
Evet |
Evet |
Hayır |
Hayır |
Evet |
|
CA imzalı sertifikaların SHA1 veya SHA2 olduğundan emin olun |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Yapılandırma ayarlarını değiştirme
Yapılandırma güncelleştirmesi |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Windows'da yalnızca TLS 1.2 Protokolü kullanacak şekilde ayarlama |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
System Center'da yalnızca TLS 1.2 Protokolü kullanacak şekilde ayarlama |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Evet |
Hayır |
Evet |
Evet |
Hayır |
Hayır |
Hayır |
.NET Framework
.NET Framework 4.6'nın tüm System Center bileşenlerine yüklendiğinden emin olun. Bunu yapmak içinbu yönergeleri izleyin.
TLS 1.2 desteği
TLS 1.2'yi destekleyen gerekli SQL Server güncelleştirmesini yükleyin. Bunu yapmak için Microsoft Bilgi Bankası'ndaki aşağıdaki makaleye bakın:
3135244 Microsoft SQL Server için TLS 1.2 desteği
Gerekli System Center 2016 güncelleştirmeleri
SQL Server 2012 Yerel istemci 11.0 aşağıdaki tüm System Center bileşenlerine yüklenmelidir.
Bileşen |
Rolü |
Gerekli SQL Sürücüsü |
Operations Manager |
Yönetim Sunucusu ve Web Konsolları |
SQL Server 2012 Yerel istemci 11.0 veya SQL Server için Microsoft OLE DB Sürücüsü 18 (önerilir). Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. SQL Server için Microsoft OLE DB Sürücüsü 18, Operations Manager 2016 UR9 ve sonraki sürümlerde desteklenir. |
Virtual Machine Manager |
(Gerekli değildir) |
(Gerekli değildir) |
Orchestrator |
Yönetim Sunucusu |
SQL Server 2012 Yerel istemci 11.0 veya SQL Server için Microsoft OLE DB Sürücüsü 18 (önerilir). Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. SQL Server için Microsoft OLE DB Sürücüsü 18, Orchestrator 2016 UR8 ve üzeri sürümlerde desteklenir. |
Data Protection Manager |
Yönetim Sunucusu |
SQL Server 2012 Yerel istemci 11.0 |
Service Manager |
Yönetim Sunucusu |
SQL Server 2012 Yerel istemci 11.0 veya SQL Server için Microsoft OLE DB Sürücüsü 18 (önerilir). Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. SQL Server için Microsoft OLE DB Sürücü 18, Service Manager 2016 UR9 ve üzeri sürümlerde desteklenir. |
Microsoft SQL Server 2012 Native Client 11.0'ı indirip yüklemek için bu Microsoft İndirme Merkezi web sayfasına bakın.
Microsoft OLE DB Sürücü 18'i indirip yüklemek için bu Microsoft İndirme Merkezi web sayfasına bakın.
System Center Operations Manager ve Service Manager için tüm yönetim sunucularında ODBC 11.0 veya ODBC 13.0 yüklü olmalıdır.
Aşağıdaki Bilgi Bankası makalesinden gerekli System Center 2016 güncelleştirmelerini yükleyin:
4043305 Microsoft System Center 2016 için Güncelleştirme Paketi 4'ün Açıklaması
Bileşen |
2016 |
Operations Manager |
System Center 2016 Operations Manager için Güncelleştirme Paketi 4 |
Service Manager |
System Center 2016 Service Manager için Güncelleştirme Paketi 4 |
Orchestrator |
System Center 2016 Orchestrator için Güncelleştirme Paketi 4 |
Data Protection Manager |
System Center 2016 Data Protection Manager için Güncelleştirme Paketi 4 |
Not Dosya içeriğini genişletip MSP dosyasını ilgili role yüklediğinizden emin olun.
SHA1 ve SHA2 sertifikaları
System Center bileşenleri artık hem SHA1 hem de SHA2 otomatik olarak imzalanan sertifikalar oluşturur. TLS 1.2'yi etkinleştirmek için bu gereklidir. CA imzalı sertifikalar kullanılıyorsa sertifikaların SHA1 veya SHA2 olduğundan emin olun.
Windows'ı yalnızca TLS 1.2 kullanacak şekilde ayarlama
Windows'un yalnızca TLS 1.2 protokollerini kullanacak şekilde yapılandırılması için aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: Kayıt defterini el ile değiştirme
Önemli
Bu bölümdeki adımları dikkatle izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.
Sistem genelinde tüm SCHANNEL protokollerini etkinleştirmek/devre dışı bırakmak için aşağıdaki adımları kullanın. Gelen iletişimler için TLS 1.2 protokollerini etkinleştirmenizi öneririz; ve tüm giden iletişimler için TLS 1.2, TLS 1.1 ve TLS 1.0 protokollerini etkinleştirin.
Yükleme dosyasının doğru sürümü ve sağlaması olduğunda Algıla ve Onar bu dosyanın üzerine kopyalamaz. Bu kayıt defteri değişikliklerinin yapılması Kerberos veya NTLM protokollerinin kullanımını etkilemez.
-
Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a sağ tıklayın, Çalıştır kutusuna regedit yazın ve tamam'a tıklayın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Protokol anahtarına sağ tıklayın, Yeni'nin üzerine gelin ve anahtar'a tıklayın.
-
SSL 3 yazın ve Enter tuşuna basın.
-
TLS 0, TLS 1.1 ve TLS 1.2 için anahtar oluşturmak için 3. ve 4. adımları yineleyin. Bu anahtarlar dizinlere benzer.
-
SSL 3, TLS 1.0, TLS 1.1 ve TLS 1.2 anahtarlarının her biri altında bir İstemci anahtarı ve bir Sunucu anahtarı oluşturun.
-
Protokolü etkinleştirmek için her İstemci ve Sunucu anahtarının altında DWORD değerini aşağıdaki gibi oluşturun:
DisabledByDefault [Değer = 0]
Etkin [Değer = 1]
Bir protokolü devre dışı bırakmak için, her İstemci ve Sunucu anahtarının altındaki DWORD değerini aşağıdaki gibi değiştirin:DisabledByDefault [Değer = 1]
Etkin [Değer = 0] -
Dosya menüsünde Çıkış'a tıklayın.
Yöntem 2: Kayıt defterini otomatik olarak değiştirme
Windows'u otomatik olarak yalnızca TLS 1.2 Protokolü kullanacak şekilde yapılandırmak için Yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
System Center'ı yalnızca TLS 1.2 kullanacak şekilde ayarlama
System Center'ı yalnızca TLS 1.2 protokollerini kullanacak şekilde ayarlayın. Bunu yapmak için öncelikle tüm önkoşulların karşılandığından emin olun. Ardından, System Center bileşenlerinde ve aracıların yüklü olduğu diğer tüm sunucularda aşağıdaki ayarları yapın.
Aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: Kayıt defterini el ile değiştirme
Önemli
Bu bölümdeki adımları dikkatle izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bir sorun olması halinde değiştirmeden önce geri yükleyebilmek için kayıt defterini yedekleyin.
Yüklemeyi TLS 1.2 protokollerini destekleyecek şekilde etkinleştirmek için şu adımları izleyin:
-
Kayıt Defteri Düzenleyicisi'ni başlatın. Bunu yapmak için Başlat'a sağ tıklayın, Çalıştır kutusuna regedit yazın ve tamam'a tıklayın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Bu anahtar altında aşağıdaki DWORD değerini oluşturun:
SchUseStrongCrypto [Değer = 1]
-
Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Bu anahtar altında aşağıdaki DWORD değerini oluşturun:
SchUseStrongCrypto [Değer = 1]
-
Sistemi yeniden başlatın.
Yöntem 2: Kayıt defterini otomatik olarak değiştirme
System Center'ı yalnızca TLS 1.2 Protokolü kullanacak şekilde otomatik olarak yapılandırmak için Yönetici modunda aşağıdaki Windows PowerShell betiğini çalıştırın:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Ek ayarlar
Operations Manager
Yönetim Paketleri
System Center 2016 Operations Manager için yönetim paketlerini içeri aktarın. Bunlar, sunucu güncelleştirmesini yükledikten sonra aşağıdaki dizinde bulunur:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
ACS ayarları
Denetim Toplama Hizmetleri (ACS) için kayıt defterinde ek değişiklikler yapmanız gerekir. ACS, veritabanına bağlantı oluşturmak için DSN'yi kullanır. DSN ayarlarını TLS 1.2 için işlevsel hale getirmek için güncelleştirmeniz gerekir.
-
Kayıt defterinde ODBC için aşağıdaki alt anahtarı bulun.
Not Varsayılan DSN adı OpsMgrAC'dir. -
ODBC Veri Kaynakları alt anahtarında, DSN adı olan OpsMgrAC girişini seçin. Bu, veritabanı bağlantısı için kullanılacak ODBC sürücüsünün adını içerir. ODBC 11.0 yüklüyse, SQL Server için bu adı ODBC Sürücüsü 11 olarak değiştirin. Veya ODBC 13.0 yüklüyse, SQL Server için bu adı ODBC Sürücüsü 13 olarak değiştirin.
-
OpsMgrAC alt anahtarında, yüklü olan ODBS sürümü için Sürücü girdisini güncelleştirin.
-
ODBC 11.0 yüklüyse Sürücü girdisini%WINDIR%\system32\msodbcsql11.dllolarak değiştirin.
-
ODBC 13.0 yüklüyse Sürücü girdisini%WINDIR%\system32\msodbcsql13.dllolarak değiştirin.
-
Alternatif olarak, aşağıdaki .reg dosyasını Not Defteri'ne veya başka bir metin düzenleyicisine oluşturun ve kaydedin. Kaydedilen .reg dosyasını çalıştırmak için dosyaya çift tıklayın.
ODBC 11.0 için aşağıdaki ODBC 11.0.reg dosyasını oluşturun:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Veri Kaynakları] "OpsMgrAC"="SQL Server için ODBC Sürücüsü 11" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
ODBC 13.0 için aşağıdaki ODBC 13.0.reg dosyasını oluşturun:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Veri Kaynakları] "OpsMgrAC"="SQL Server için ODBC Sürücüsü 13" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Linux'ta TLS sağlamlaştırma
Red Hat veya Apache ortamınızda TLS 1.2'yi yapılandırmak için uygun web sitesindeki yönergeleri izleyin.
Data Protection Manager
Data Protection Manager'ın buluta yedeklemek üzere TLS 1.2 ile birlikte çalışmasını sağlamak için Data Protection Manager sunucusunda bu adımları etkinleştirin.
Orchestrator
Orchestrator güncelleştirmeleri yüklendikten sonra, mevcut veritabanını bu yönergelere göre kullanarak Orchestrator veritabanını yeniden yapılandırın.
Üçüncü taraf iletişim bildirimi
Microsoft, bu konu hakkında ek bilgi bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlar. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.