Tóm tắt
Bài viết này mô tả cách bật giao thức Transport Layer Security (TLS) phiên bản 1.2 trong môi trường Microsoft System Center 2012 R2.
Thông tin Bổ sung
Để bật giao thức TLS phiên bản 1.2 trong môi trường Trung tâm Hệ thống, hãy làm theo các bước sau:
-
Cài đặt các bản cập nhật từ bản phát hành.
Ghi chú-
Cài đặt bản tổng hợp cập nhật mới nhất cho tất cả các cấu phần Trung tâm Hệ thống trước khi bạn áp dụng Bản tổng hợp Cập nhật 14.
-
Đối với Trình quản lý Bảo vệ Dữ liệu và Trình quản lý Máy Ảo, hãy cài đặt Bản tổng hợp Cập nhật 13.
-
Đối với Tự động hóa Quản lý Dịch vụ, hãy cài đặt Bản cập nhật Tổng hợp 7.
-
Đối với System Center Orchestrator, cài đặt Bản cập nhật Tổng hợp 8.
-
Đối với Service Provider Foundation, cài đặt Bản cập nhật Tổng hợp 12.
-
Đối với Trình quản lý Dịch vụ, hãy cài đặt Bản cập nhật Tổng hợp 9.
-
-
-
Đảm bảo rằng thiết lập hoạt động như trước khi bạn áp dụng các bản cập nhật. Ví dụ: kiểm tra xem bạn có thể khởi động bảng điều khiển hay không.
-
Thay đổi cài đặt cấu hình để bật TLS 1.2.
-
Đảm bảo rằng tất cả các dịch SQL Server vụ bắt buộc đều đang chạy.
Cài đặt bản cập nhật
Cập nhật hoạt động |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Đảm bảo rằng tất cả các bản cập nhật bảo mật hiện tại đều được cài đặt cho Windows Server 2012 R2 |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
Có |
Không |
Có |
Có |
Không |
Không |
Có |
|
Có |
Có |
Có |
Có |
Có |
Có |
Có |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Thay đổi cài đặt cấu hình
Cập nhật cấu hình |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
Cài đặt trên Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2 |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
Không |
Có |
Có |
Không |
Không |
Không |
.NET Framework
Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống. Để thực hiện việc này, hãy làmtheo các hướng dẫn sau.
Hỗ trợ TLS 1.2
Cài đặt bản cập SQL Server bắt buộc có hỗ trợ TLS 1.2. Để thực hiện điều này, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:
3135244 Hỗ trợ TLS 1.2 cho Microsoft SQL Server
Bản cập nhật System Center 2012 R2 bắt buộc
SQL Server 2012 Native client 11.0 phải được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống sau.
Cấu phần |
Vai trò |
Trình quản lý Hoạt động |
Máy chủ Quản lý và Bảng điều khiển Web |
Trình quản lý Máy Ảo |
(Không bắt buộc) |
Orchestrator |
Máy chủ Quản lý |
Trình quản lý Bảo vệ Dữ liệu |
Máy chủ Quản lý |
Trình quản lý Dịch vụ |
Máy chủ Quản lý |
Để tải xuống và cài đặt Microsoft SQL Server 2012 Native Client 11.0, hãy xem trang web Trung tâm Tải xuống của Microsoft này.
Đối với System Center Operations Manager và Service Manager, bạn phải cài đặt ODBC 11.0 hoặc ODBC 13.0 trên tất cả các máy chủ quản lý.
Cài đặt các bản cập nhật System Center 2012 R2 bắt buộc từ bài viết Cơ sở Kiến thức sau đây:
4043306 Mô tả Về Bản tổng hợp Cập nhật 14 cho Trung tâm Hệ thống Microsoft 2012 R2
Cấu phần |
2012 R2 |
Trình quản lý Hoạt động |
Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Operations Manager |
Trình quản lý Dịch vụ |
Bản cập nhật Tổng hợp 14 dành cho System Center 2012 R2 Service Manager |
Orchestrator |
Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Orchestrator |
Trình quản lý Bảo vệ Dữ liệu |
Bản cập nhật Tổng hợp 14 cho System Center 2012 R2 Data Protection Manager |
Lưu ý Hãy đảm bảo rằng bạn mở rộng nội dung tệp và cài đặt tệp MSP trên vai trò tương ứng, ngoại trừ Trình quản lý Bảo vệ Dữ liệu. Đối với Trình quản lý Bảo vệ Dữ liệu, hãy cài .exe tệp.
Chứng chỉ SHA1 và SHA2
Các cấu phần Trung tâm Hệ thống giờ đây tạo ra cả chứng chỉ tự ký SHA1 và SHA2. Điều này là bắt buộc để bật TLS 1.2. Nếu CA ký chứng chỉ được sử dụng, hãy đảm bảo rằng chứng chỉ là SHA1 hoặc SHA2.
Đặt Windows để chỉ sử dụng TLS 1.2
Sử dụng một trong các phương pháp sau đây để đặt cấu hình Windows chỉ sử dụng giao thức TLS 1.2.
Phương pháp 1: Sửa đổi thủ công sổ đăng ký
Quan trọng: Thực hiện theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.
Sử dụng các bước sau để bật/tắt tất cả giao thức SCHANNEL trên toàn hệ thống. Chúng tôi khuyên bạn nên bật giao thức TLS 1.2 cho thông tin liên lạc đến và bật giao thức TLS 1.2, TLS 1.1 và TLS 1.0 cho tất cả các thông tin liên lạc gửi đi.
Chú ý Việc thực hiện các thay đổi trong sổ đăng ký này không ảnh hưởng đến việc sử dụng giao thức Kerberos hoặc NTLM.
-
Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi chọn OK.
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Bấm chuột phải vào phím Protocol , trỏ tới Mới, rồi bấm Khóa.
-
Nhập SSL 3, rồi nhấn Enter.
-
Lặp lại bước 3 và 4 để tạo khóa cho TLS 0, TLS 1.1 và TLS 1.2. Những phím này giống như các thư mục.
-
Tạo khóa Máy khách và khóa Máy chủ bên dưới mỗi khóa SSL 3, TLS 1.0, TLS 1.1 và TLS 1.2 .
-
Để bật giao thức, hãy tạo giá trị DWORD bên dưới mỗi khóa Client và Server như sau:
DisabledByDefault [Giá trị = 0]
Đã bật [Giá trị = 1]
Để vô hiệu hóa một giao thức, hãy thay đổi giá trị DWORD bên dưới mỗi khóa Client và Server như sau:DisabledByDefault [Giá trị = 1]
Đã bật [Giá trị = 0] -
Trên menu Tệp , chọn Thoát.
Phương pháp 2: Tự động sửa đổi sổ đăng ký
Chạy tập lệnh Windows PowerShell sau đây trong chế độ Người quản trị để tự động đặt cấu hình Windows để chỉ sử dụng Giao thức TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Đặt Trung tâm Hệ thống để chỉ sử dụng TLS 1.2
Đặt Trung tâm Hệ thống để chỉ sử dụng giao thức TLS 1.2. Để làm điều này, trước tiên hãy đảm bảo rằng tất cả các điều kiện tiên quyết được đáp ứng. Sau đó, đặt cấu hình các cài đặt sau trên các cấu phần Trung tâm Hệ thống và tất cả các máy chủ khác mà tác nhân được cài đặt.
Sử dụng một trong các phương pháp sau.
Phương pháp 1: Sửa đổi thủ công sổ đăng ký
Quan trọng: Thực hiện theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.
Để cho phép cài đặt hỗ trợ giao thức TLS 1.2, hãy làm theo các bước sau:
-
Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi chọn OK.
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Tạo giá trị DWORD sau dưới khóa này:
SchUseStrongCrypto [Giá trị = 1]
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Tạo giá trị DWORD sau dưới khóa này:
SchUseStrongCrypto [Giá trị = 1]
-
Khởi động lại hệ thống.
Phương pháp 2: Tự động sửa đổi sổ đăng ký
Chạy tập lệnh sau Windows PowerShell chế độ Người quản trị để tự động đặt cấu hình Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Cài đặt bổ sung
Trình quản lý Hoạt động
Gói quản lý
Nhập gói quản lý cho System Center 2012 R2 Operations Manager. Các bản cập nhật này nằm trong thư mục sau sau khi bạn cài đặt bản cập nhật máy chủ:
\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups
Cài đặt ACS
Đối với Dịch vụ Thu thập Kiểm tra (ACS), bạn phải thực hiện thay đổi bổ sung trong sổ đăng ký. ACS sử dụng DSN để tạo kết nối với cơ sở dữ liệu. Bạn phải cập nhật cài đặt DSN để thiết đặt hoạt động cho TLS 1.2.
-
Định vị khóa phụ sau đây cho ODBC trong sổ đăng ký.
Lưu ý Tên mặc định của DSN là OpsMgrAC. -
Trong khóa phụ Nguồn Dữ liệu ODBC , chọn mục nhập cho tên DSN, OpsMgrAC. Thông tin này chứa tên của trình điều khiển ODBC sẽ được sử dụng cho kết nối cơ sở dữ liệu. Nếu bạn đã cài đặt ODBC 11.0, hãy thay đổi tên này thành Trình điều khiển ODBC 11 để SQL Server. Hoặc nếu bạn đã cài đặt ODBC 13.0, hãy thay đổi tên này thành Trình điều khiển ODBC 13 để SQL Server.
-
Trong khóa phụ OpsMgrAC , cập nhật mục Nhập Trình điều khiển cho phiên bản ODBS được cài đặt.
-
Nếu ODBC 11.0 được cài đặt, hãy thay đổi mục nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql11.dll.
-
Nếu ODBC 13.0 được cài đặt, hãy thay đổi mục Nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql13.dll.
-
Ngoài ra, hãy tạo và lưu tệp .reg sau đây trong Notepad hoặc trình soạn thảo văn bản khác. Để chạy tệp .reg đã lưu, bấm đúp vào tệp.
Đối với ODBC 11.0, hãy tạo tệp ODBC 11.0.reg sau đây:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Đối với ODBC 13.0, hãy tạo tệp ODBC 13.0.reg sau đây: [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="Trình điều khiển ODBC 13 cho SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Làm cứng TLS trong Linux
Làm theo các hướng dẫn trên trang web thích hợp để cấu hình TLS 1.2 trong môi trường Red Hat hoặc Apache của bạn.
Trình quản lý Bảo vệ Dữ liệu
Để cho phép Trình quản lý Bảo vệ Dữ liệu làm việc cùng với TLS 1.2 để sao lưu lên đám mây, hãy bật các bước này trên máy chủ Trình quản lý Bảo vệ Dữ liệu.
Orchestrator
Sau khi cài đặt bản cập nhật Orchestrator, hãy đặt cấu hình lại cơ sở dữ liệu Orchestrator bằng cách sử dụng cơ sở dữ liệu hiện có theo các hướng dẫn này.
Trình quản lý Dịch vụ
Trước khi các bản cập nhật trình quản lý dịch vụ được cài đặt, cài đặt các gói bắt buộc và cấu hình lại giá trị khóa đăng ký, như được mô tả trong phần hướng dẫn "Trước khi cài đặt" của KB 4024037.
Ngoài ra, nếu bạn đang giám sát Trình quản lý Dịch vụ Trung tâm Hệ thống bằng cách sử dụng System Center Operations Manager, hãy cập nhật lên phiên bản mới nhất (v 7.5.7487.89) của Gói Quản lý Giám sát cho hỗ trợ TLS 1.2.
Tự động hóa Quản lý Dịch vụ (SMA)
Nếu bạn đang giám sát Tự động hóa Quản lý Dịch vụ (SMA) bằng cách sử dụng Trình quản lý Vận hành Trung tâm Hệ thống, hãy cập nhật lên phiên bản mới nhất của Gói Quản lý Giám sát cho TLS 1.2 hỗ trợ:
System Center Management Pack for System Center 2012 R2 Orchestrator - Service Management Automation
Tuyên bố miễn trừ trách nhiệm liên hệ bên thứ ba
Microsoft cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm thêm thông tin về chủ đề này. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba.