Протокол TLS 1,2 – посібник із розгортання служби для системного центру 2016

Загальні відомості

У цій статті розповідається про те, як увімкнути протокол TLS Security Layer (https) версії 1,2 у середовищі Microsoft System Center 2016.

Додаткові відомості

Щоб увімкнути протокол TLS версії 1,2 у середовищі системного центру, виконайте наведені нижче дії.

  1. Інсталюйте оновлення з випуску. Примітки

  2. Переконайтеся, що параметри налаштування функціонують так само, як і раніше, ніж ви застосували оновлення. Наприклад, перевірте, чи можна почати консоль.

  3. Змініть Параметри конфігурації , щоб АКТИВУВАТИ протокол TLS 1,2.

  4. Переконайтеся, що запущено всі потрібні служби SQL Server.

Інсталяція оновлень

Оновлення дій

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Переконайтеся, що інстальовано всі поточні оновлення системи безпеки для windows Server 2012 R2 або Windows Server 2016 

Так

Так

Так

Так

Так

Так

Так

Переконайтеся, що .NET Framework 4,6 інстальовано для всіх компонентів системного центру.

Так

 

Так

 

Так

Так

Так

Так

Так

Інсталюйте необхідне оновлення SQL Server, що підтримує протокол TLS 1,2

Так

Так

Так

Так

Так

Так

Так

Інсталюйте оновлення необхідного системного центру 2016

Так

Ні

Так

Так

Ні

Ні

Так

Переконайтеся, що сертифікати, підписані в CA, – це SHA1 або SHA2

Так

Так

Так

Так

Так

Так

Так

1 Диспетчер операцій "системний центр" (SCOM) 2 Диспетчер віртуальних машин у системному центрі (SCVMM) 3 Диспетчер захисту даних системного центру (SCDPM) 4 Центр Оркестров системного центру (ШОС) 5 Автоматизація керування службами (SMA) 6 Фундація постачальника послуг (SPF) 7 Диспетчер служби (см)

Змінення параметрів конфігурації

Оновлення конфігурації

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

Настроювання в ОС Windows для використання лише протоколу TLS 1,2

Так

Так

Так

Так

Так

Так

Так

Параметр "системний центр" для використання лише протоколу TLS 1,2

Так

Так

Так

Так

Так

Так

Так

Додаткові параметри

Так

Ні

Так

Так

Ні

Ні

Ні

.NET Framework 

Переконайтеся, що .NET Framework 4,6 інстальовано для всіх компонентів системного центру. Щоб виконати ці дії, дотримуйтеся наведенихнижче вказівок.

Підтримка TLS 1,2

Інсталюйте необхідне оновлення SQL Server, яке підтримує TLS 1,2. Щоб виконати цю дію, ознайомтеся з наведена нижче стаття в базі знань Microsoft Knowledge Base:

3135244 Підтримка TLS 1,2 для Microsoft SQL Server

Оновлення обов'язкових системних центрів 2016

Сервер SQL Server 11,0 2012, який має бути інстальовано на основі всіх цих компонентів системного центру.

Компонент

Роль

Обов'язковий драйвер SQL

Диспетчер операцій

Керування сервером сервера та веб-консолями

SQL Server 2012 рідний клієнт 11,0 або Microsoft OLE DB драйвер 18 для SQL Server (рекомендовано).

Примітка. Драйвер Microsoft OLE DB 18 для SQL Server підтримується диспетчером операцій 2016 UR9 і пізнішими версіями.

Диспетчер віртуальних машин

(Не обов'язково)

(Не обов'язково)

Orchestrator

Сервер керування

SQL Server 2012 рідний клієнт 11,0 або Microsoft OLE DB драйвер 18 для SQL Server (рекомендовано).

Примітка. Драйвер Microsoft OLE DB 18 для сервера SQL Server підтримується з Оркестровором 2016 UR8 і пізнішими версіями.

Диспетчер захисту даних

Сервер керування

Клієнт SQL Server 2012 для корінних клієнтів 11,0

Диспетчер служби

Сервер керування

SQL Server 2012 рідний клієнт 11,0 або Microsoft OLE DB драйвер 18 для SQL Server (рекомендовано).

Примітка. Драйвер Microsoft OLE DB 18 для SQL Server підтримується диспетчером служб 2016 UR9 і пізнішими версіями.

Щоб завантажити та інсталювати Microsoft SQL Server 2012 рідний клієнт 11,0, ознайомтеся з цією веб-сторінкою центру завантажень Microsoft.

Щоб завантажити та інсталювати драйвер Microsoft OLE DB 18, ознайомтеся з цією веб-сторінкою центру завантажень Microsoft.

Для диспетчера операцій системного центру та диспетчера служб потрібно мати odbc 11,0 або ODBC 13,0 , інстальовану на всіх серверах керування.

Інсталюйте оновлення необхідного системного центру 2016 з наведеної нижче статті бази знань:

4043305 Опис зведеного оновлення 4 для системи Microsoft System Center 2016  

Компонент

2016

Диспетчер операцій

Зведене оновлення 4 для системного центру 2016 Operations Manager

Диспетчер служби

Зведене оновлення 4 для системного центру 2016 Service Manager

Orchestrator

Зведене оновлення 4 для системного центру 2016 оркестроратор

Диспетчер захисту даних

Зведене оновлення 4 для системного центру 2016 (диспетчер захисту даних)

Примітка. Переконайтеся, що ви розширюєте вміст файлу та інсталюєте файл MSP у відповідній ролі.

Сертифікати SHA1 та SHA2

Компоненти системних центрів тепер створюють сертифікати SHA1 і SHA2 із власним підписами. Для цього потрібно ввімкнути протокол TLS 1,2. Якщо використовується сертифікат CA-підписано, переконайтеся, що сертифікати є SHA1 або SHA2.

Настроювання Windows для використання тільки TLS 1,2

Скористайтеся одним із наведених нижче способів Настроювання Windows, щоб використовувати лише протокол TLS 1,2.

Метод 1: змінення реєстру уручну

Важливо! Уважно виконуйте кроки в цьому розділі. Неправильне змінення реєстру може призвести до серйозних проблем. Перш ніж вносити зміни, поверніться до реєстру для відновлення в разі виникнення проблем із інцидентом.

Виконайте наведені нижче дії, щоб увімкнути або вимкнути всі протоколи SCHANNEL System-Wide. Радимо ввімкнути протокол TLS 1,2 для вхідних повідомлень; і ввімкніть TLS 1,2, TLS 1,1 і TLS 1,0 протоколи для всіх вихідних повідомлень.

Примітка. Внесення цих змін до реєстру не впливає на використання протоколів Kerberos або NTLM.

  1. Запустіть редактор реєстру. Щоб виконати цю дію, клацніть правою кнопкою миші кнопку Пуск, введіть Regedit у поле виконати , а потім натисніть кнопку OK.

  2. Знайдіть наведений нижче підрозділ реєстру.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. Клацніть правою кнопкою миші ключ протоколу , укажіть на пункт створити, а потім виберіть пункт клавіша. Registry

  4. Введіть SSL 3, а потім натисніть клавішу ВВІД.

  5. Повторіть кроки 3 та 4, щоб створити клавіші для TLS 0, TLS 1,1 і TLS 1,2. Ці клавіші нагадують каталоги.

  6. Створіть ключ клієнта та ключ сервера під кожним із SSL 3, TLS 1,0, TLS 1,1і ключами TLS 1,2 .

  7. Щоб увімкнути протокол, створіть значення DWORD в розділі для кожного ключа клієнта та сервера, виконавши наведені нижче дії.

    DisabledByDefault [значення = 0] Ввімкнуто [Value = 1] Щоб вимкнути протокол, змініть значення DWORD в розділі для кожного ключа клієнта та сервера, виконавши наведені нижче дії.

    DisabledByDefault [значення = 1] Ввімкнуто [Value = 0]

  8. У меню файл виберіть пункт вийти.

Метод 2: автоматичне змінення реєстру

Виконайте такі сценарії Windows PowerShell у режимі адміністратора, щоб автоматично налаштувати Windows, щоб використовувати лише протокол TLS 1,2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Установлення системного центру для використання тільки TLS 1,2

Настройте системний центр, щоб використовувати лише протокол TLS 1,2. Для цього спочатку переконайтеся, що всі попередні вимоги виконано. Потім виконайте наведені нижче настройки для компонентів системних центрів і всіх інших серверів, на яких інстальовано агенти.

Скористайтеся одним із наведених нижче способів.

Метод 1: змінення реєстру уручну

Важливо! Уважно виконуйте кроки в цьому розділі. Неправильне змінення реєстру може призвести до серйозних проблем. Перш ніж вносити зміни, поверніться до реєстру для відновлення в разі виникнення проблем із інцидентом.

Щоб увімкнути інсталяцію для підтримки протоколу TLS 1,2, виконайте наведені нижче дії.

  1. Запустіть редактор реєстру. Щоб виконати цю дію, клацніть правою кнопкою миші кнопку Пуск, введіть Regedit у поле виконати , а потім натисніть кнопку OK.

  2. Знайдіть наведений нижче підрозділ реєстру.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. Створіть наведений нижче значення типу DWORD для цього розділу:

    SchUseStrongCrypto [значення = 1]

  4. Знайдіть наведений нижче підрозділ реєстру.

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. Створіть наведений нижче значення типу DWORD для цього розділу:

    SchUseStrongCrypto [значення = 1]

  6. Перезавантажити систему.

Метод 2: автоматичне змінення реєстру

Виконайте такі сценарії Windows PowerShell у режимі адміністратора, щоб автоматично настроїти системний центр, щоб використовувати лише протокол TLS 1,2.

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Додаткові параметри

Диспетчер операцій

Пакети керування

Імпортуйте пакети керування для диспетчера операцій у центрі 2016. Ці дані містяться в цьому каталозі після інсталяції оновлення сервера:

\Program Files\Microsoft System Center 2016 \ дії Manager\Server\Management пакетів оновлень для зведеного оновлення

Параметри АСУ

Для служб збирання аудиту (СКС) потрібно внести додаткові зміни в реєстрі. СКС використовує DSN для підключення до бази даних. Щоб зробити їх функціональним для TLS 1,2, потрібно оновити параметри DSN.

  1. Знайдіть наведений нижче підрозділ для ODBC в реєстрі. Примітка. Стандартне ім'я DSN – Opsmgrac. ODBC. INI підрозділ.

  2. У підрозділі " джерела даних ODBC " виберіть запис для імені DSN, " Opsmgrac". Ця назва містить ім'я драйвера ODBC, який використовуватиметься для підключення до бази даних. Якщо у вас інстальовано ODBC 11,0, змініть це ім'я на драйвер ODBC для SQL Server. Або, якщо у вас інстальовано ODBC 13,0, змініть це ім'я на драйвер ODBC 13 для SQL Server. Підрозділ з джерел даних ODBC

  3. У підрозділі Opsmgrac оновіть запис драйвера для встановленої версії odbs. OpsMgrAC підрозділ

    • Якщо програму ODBC 11,0 інстальовано, змініть запис драйвера на %WINDIR%\system32. dll.

    • Якщо програму ODBC 13,0 інстальовано, змініть запис драйвера на %WINDIR%\system32: DLL.

    • Крім того, можна створити та зберегти такий REG-файл у блокноті або іншому текстовому редакторі. Щоб запустити збережений файл REG, двічі клацніть його. Для odbc 11,0створіть наведений нижче файл ODBC 11.0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" Для odbc 13,0створіть наведений нижче файл ODBC 13.0. reg:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

TLS – затвердіння в Linux

Дотримуйтеся вказівок на відповідному веб-сайті, щоб налаштувати TLS 1,2 на червоній капелюсі або середовищі Apache .

Диспетчер захисту даних

Щоб активувати Диспетчер захисту даних, щоб працювати разом із протоколом TLS 1,2 для резервного копіювання до хмари, увімкніть ці кроки на сервері диспетчера захисту даних.

Orchestrator

Після інсталяції оновлень оркестровки, настройте базу даних для оркестровки, використовуючи наявну базу даних відповідно до цих рекомендацій.

 

Відмова від стороннього контакту

Корпорація Майкрософт надає контактну інформацію третьої сторони, щоб допомогти вам отримати додаткові відомості про цю тему. Ця Контактна інформація може змінюватися без попереднього повідомлення. Корпорація Майкрософт не гарантує точність контактної інформації сторонніх постачальників.

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×