Hướng dẫn Triển khai Hỗ trợ Giao thức TLS 1.2 cho System Center 2012 R2

Tóm tắt

Bài viết này mô tả cách bật giao thức Transport Layer Security (TLS) phiên bản 1.2 trong môi trường Microsoft System Center 2012 R2.

Thông tin Bổ sung

Để bật giao thức TLS phiên bản 1.2 trong môi trường Trung tâm Hệ thống, hãy làm theo các bước sau:

Cài đặt các bản cập nhật từ bản phát hành.

Ghi chú
- Cài đặt bản tổng hợp cập nhật mới nhất cho tất cả các cấu phần Trung tâm Hệ thống trước khi bạn áp dụng Bản tổng hợp Cập nhật 14.
  - Đối với Trình quản lý Bảo vệ Dữ liệu và Trình quản lý Máy Ảo, hãy cài đặt Bản tổng hợp Cập nhật 13.
  - Đối với Tự động hóa Quản lý Dịch vụ, hãy cài đặt Bản cập nhật Tổng hợp 7.
  - Đối với System Center Orchestrator, cài đặt Bản cập nhật Tổng hợp 8.
  - Đối với Service Provider Foundation, cài đặt Bản cập nhật Tổng hợp 12.
  - Đối với Trình quản lý Dịch vụ, hãy cài đặt Bản cập nhật Tổng hợp 9.
Đảm bảo rằng thiết lập hoạt động như trước khi bạn áp dụng các bản cập nhật. Ví dụ: kiểm tra xem bạn có thể khởi động bảng điều khiển hay không.
Thay đổi cài đặt cấu hình để bật TLS 1.2.
Đảm bảo rằng tất cả các dịch SQL Server vụ bắt buộc đều đang chạy.

Cài đặt bản cập nhật

Cập nhật hoạt động	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Đảm bảo rằng tất cả các bản cập nhật bảo mật hiện tại đều được cài đặt cho Windows Server 2012 R2	Có	Có	Có	Có	Có	Có	Có
Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống	Có	Có	Có	Có	Có	Có	Có
Cài đặt bản cập SQL Server bắt buộc hỗ trợ TLS 1.2	Có	Có	Có	Có	Có	Có	Có
Cài đặt các bản cập nhật System Center 2012 R2 bắt buộc	Có	Không	Có	Có	Không	Không	Có
Hãy đảm bảo chứng chỉ CA đã ký là SHA1 hoặc SHA2	Có	Có	Có	Có	Có	Có	Có

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷ Service Manager (SM)

Thay đổi cài đặt cấu hình

Cập nhật cấu hình	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
Cài đặt trên Windows để chỉ sử dụng Giao thức TLS 1.2	Có	Có	Có	Có	Có	Có	Có
Cài đặt trên Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2	Có	Có	Có	Có	Có	Có	Có
Cài đặt bổ sung	Có	Không	Có	Có	Không	Không	Không

.NET Framework

Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống. Để thực hiện việc này, hãy làmtheo các hướng dẫn sau.

Hỗ trợ TLS 1.2

Cài đặt bản cập SQL Server bắt buộc có hỗ trợ TLS 1.2. Để thực hiện điều này, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:

3135244 Hỗ trợ TLS 1.2 cho Microsoft SQL Server

Bản cập nhật System Center 2012 R2 bắt buộc

SQL Server 2012 Native client 11.0 phải được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống sau.

Cấu phần	Vai trò
Trình quản lý Hoạt động	Máy chủ Quản lý và Bảng điều khiển Web
Trình quản lý Máy Ảo	(Không bắt buộc)
Orchestrator	Máy chủ Quản lý
Trình quản lý Bảo vệ Dữ liệu	Máy chủ Quản lý
Trình quản lý Dịch vụ	Máy chủ Quản lý

Để tải xuống và cài đặt Microsoft SQL Server 2012 Native Client 11.0, hãy xem trang web Trung tâm Tải xuống của Microsoft này.

Đối với System Center Operations Manager và Service Manager, bạn phải cài đặt ODBC 11.0 hoặc ODBC 13.0 trên tất cả các máy chủ quản lý.

Cài đặt các bản cập nhật System Center 2012 R2 bắt buộc từ bài viết Cơ sở Kiến thức sau đây:

4043306 Mô tả Về Bản tổng hợp Cập nhật 14 cho Trung tâm Hệ thống Microsoft 2012 R2

Cấu phần	2012 R2
Trình quản lý Hoạt động	Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Operations Manager
Trình quản lý Dịch vụ	Bản cập nhật Tổng hợp 14 dành cho System Center 2012 R2 Service Manager
Orchestrator	Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Orchestrator
Trình quản lý Bảo vệ Dữ liệu	Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Data Protection Manager

Lưu ý Hãy đảm bảo rằng bạn mở rộng nội dung tệp và cài đặt tệp MSP trên vai trò tương ứng, ngoại trừ Trình quản lý Bảo vệ Dữ liệu. Đối với Trình quản lý Bảo vệ Dữ liệu, hãy cài .exe tệp.

Chứng chỉ SHA1 và SHA2

Các cấu phần Trung tâm Hệ thống giờ đây tạo ra cả chứng chỉ tự ký SHA1 và SHA2. Điều này là bắt buộc để bật TLS 1.2. Nếu CA ký chứng chỉ được sử dụng, hãy đảm bảo rằng chứng chỉ là SHA1 hoặc SHA2.

Đặt Windows để chỉ sử dụng TLS 1.2

Sử dụng một trong các phương pháp sau đây để đặt cấu hình Windows chỉ sử dụng giao thức TLS 1.2.

Phương pháp 1: Sửa đổi thủ công sổ đăng ký

Quan trọng: Thực hiện theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.

Sử dụng các bước sau để bật/tắt tất cả giao thức SCHANNEL trên toàn hệ thống. Chúng tôi khuyên bạn nên bật giao thức TLS 1.2 cho thông tin liên lạc đến và bật giao thức TLS 1.2, TLS 1.1 và TLS 1.0 cho tất cả các thông tin liên lạc gửi đi.

Chú ý Việc thực hiện các thay đổi trong sổ đăng ký này không ảnh hưởng đến việc sử dụng giao thức Kerberos hoặc NTLM.

Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi chọn OK.
Định vị khóa đăng ký phụ sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Bấm chuột phải vào phím Protocol , trỏ tới Mới, rồi bấm Khóa.
Nhập SSL 3, rồi nhấn Enter.
Lặp lại bước 3 và 4 để tạo khóa cho TLS 0, TLS 1.1 và TLS 1.2. Những phím này giống như các thư mục.
Tạo khóa Máy khách và khóa Máy chủ bên dưới mỗi khóa SSL 3, TLS 1.0, TLS 1.1 và TLS 1.2 .
Để bật giao thức, hãy tạo giá trị DWORD bên dưới mỗi khóa Client và Server như sau:

DisabledByDefault [Giá trị = 0]
Đã bật [Giá trị = 1]
Để vô hiệu hóa một giao thức, hãy thay đổi giá trị DWORD bên dưới mỗi khóa Client và Server như sau:

DisabledByDefault [Giá trị = 1]
Đã bật [Giá trị = 0]
Trên menu Tệp , chọn Thoát.

Phương pháp 2: Tự động sửa đổi sổ đăng ký

Chạy tập lệnh Windows PowerShell sau đây trong chế độ Người quản trị để tự động đặt cấu hình Windows để chỉ sử dụng Giao thức TLS 1.2:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

Đặt Trung tâm Hệ thống để chỉ sử dụng TLS 1.2

Đặt Trung tâm Hệ thống để chỉ sử dụng giao thức TLS 1.2. Để làm điều này, trước tiên hãy đảm bảo rằng tất cả các điều kiện tiên quyết được đáp ứng. Sau đó, đặt cấu hình các cài đặt sau trên các cấu phần Trung tâm Hệ thống và tất cả các máy chủ khác mà tác nhân được cài đặt.

Sử dụng một trong các phương pháp sau.

Phương pháp 1: Sửa đổi thủ công sổ đăng ký

Quan trọng: Thực hiện theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.

Để cho phép cài đặt hỗ trợ giao thức TLS 1.2, hãy làm theo các bước sau:

Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi chọn OK.
Định vị khóa đăng ký phụ sau:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
Tạo giá trị DWORD sau dưới khóa này:

SchUseStrongCrypto [Giá trị = 1]
Định vị khóa đăng ký phụ sau:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
Tạo giá trị DWORD sau dưới khóa này:

SchUseStrongCrypto [Giá trị = 1]
Khởi động lại hệ thống.

Phương pháp 2: Tự động sửa đổi sổ đăng ký

Chạy tập lệnh sau Windows PowerShell chế độ Người quản trị để tự động đặt cấu hình Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Cài đặt bổ sung

Trình quản lý Hoạt động

Gói quản lý

Nhập gói quản lý cho System Center 2012 R2 Operations Manager. Các bản cập nhật này nằm trong thư mục sau sau khi bạn cài đặt bản cập nhật máy chủ:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

Cài đặt ACS

Đối với Dịch vụ Thu thập Kiểm tra (ACS), bạn phải thực hiện thay đổi bổ sung trong sổ đăng ký. ACS sử dụng DSN để tạo kết nối với cơ sở dữ liệu. Bạn phải cập nhật cài đặt DSN để thiết đặt hoạt động cho TLS 1.2.

Định vị khóa phụ sau đây cho ODBC trong sổ đăng ký.

Lưu ý Tên mặc định của DSN là OpsMgrAC.
Trong khóa phụ Nguồn Dữ liệu ODBC , chọn mục nhập cho tên DSN, OpsMgrAC. Thông tin này chứa tên của trình điều khiển ODBC sẽ được sử dụng cho kết nối cơ sở dữ liệu. Nếu bạn đã cài đặt ODBC 11.0, hãy thay đổi tên này thành Trình điều khiển ODBC 11 để SQL Server. Hoặc nếu bạn đã cài đặt ODBC 13.0, hãy thay đổi tên này thành Trình điều khiển ODBC 13 để SQL Server.
Trong khóa phụ OpsMgrAC , cập nhật mục Nhập Trình điều khiển cho phiên bản ODBS được cài đặt.
- Nếu ODBC 11.0 được cài đặt, hãy thay đổi mục nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql11.dll.
- Nếu ODBC 13.0 được cài đặt, hãy thay đổi mục Nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql13.dll.
- Ngoài ra, hãy tạo và lưu tệp .reg sau đây trong Notepad hoặc trình soạn thảo văn bản khác. Để chạy tệp .reg đã lưu, bấm đúp vào tệp.
  
  Đối với ODBC 11.0, hãy tạo tệp ODBC 11.0.reg sau đây:
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
  
  Đối với ODBC 13.0, hãy tạo tệp ODBC 13.0.reg sau đây: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="Trình điều khiển ODBC 13 cho SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Làm cứng TLS trong Linux

Làm theo các hướng dẫn trên trang web thích hợp để cấu hình TLS 1.2 trong môi trường Red Hat hoặc Apache của bạn.

Trình quản lý Bảo vệ Dữ liệu

Để cho phép Trình quản lý Bảo vệ Dữ liệu làm việc cùng với TLS 1.2 để sao lưu lên đám mây, hãy bật các bước này trên máy chủ Trình quản lý Bảo vệ Dữ liệu.

Orchestrator

Sau khi cài đặt bản cập nhật Orchestrator, hãy đặt cấu hình lại cơ sở dữ liệu Orchestrator bằng cách sử dụng cơ sở dữ liệu hiện có theo các hướng dẫn này.

Trình quản lý Dịch vụ

Trước khi các bản cập nhật trình quản lý dịch vụ được cài đặt, cài đặt các gói bắt buộc và cấu hình lại giá trị khóa đăng ký, như được mô tả trong phần hướng dẫn "Trước khi cài đặt" của KB 4024037.

Ngoài ra, nếu bạn đang giám sát Trình quản lý Dịch vụ Trung tâm Hệ thống bằng cách sử dụng System Center Operations Manager, hãy cập nhật lên phiên bản mới nhất (v 7.5.7487.89) của Gói Quản lý Giám sát cho hỗ trợ TLS 1.2.

Tự động hóa Quản lý Dịch vụ (SMA)

Nếu bạn đang giám sát Tự động hóa Quản lý Dịch vụ (SMA) bằng cách sử dụng Trình quản lý Vận hành Trung tâm Hệ thống, hãy cập nhật lên phiên bản mới nhất của Gói Quản lý Giám sát cho TLS 1.2 hỗ trợ:

System Center Management Pack for System Center 2012 R2 Orchestrator - Service Management Automation

Tuyên bố miễn trừ trách nhiệm liên hệ bên thứ ba

Microsoft cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm thêm thông tin về chủ đề này. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba.