Tóm tắt
Bài viết này mô tả cách bật giao thức Transport Layer Security (TLS) phiên bản 1.2 trong môi trường Microsoft System Center 2016.
Thông tin Bổ sung
Để bật giao thức TLS phiên bản 1.2 trong môi trường Trung tâm Hệ thống, hãy làm theo các bước sau:
-
Cài đặt các bản cập nhật từ bản phát hành.
Ghi chú-
Tự động hóa Quản lý Dịch vụ (SMA) và Nền tảng Nhà cung cấp Dịch vụ (SPF) phải được nâng cấp lên bản tổng hợp cập nhật gần đây nhất của họ vì UR4 không có bất kỳ bản cập nhật nào cho các cấu phần này.
-
Đối với Tự động hóa Quản lý Dịch vụ (SMA), hãy nâng cấp lên Bản tổng hợp Cập nhật 1 và cũng cập nhật gói quản lý SMA (MP) từ trang web Trung tâm Tải xuống của Microsoft này.
-
Đối với Service Provider Foundation (SPF), hãy nâng cấp lên Bản tổng hợp Cập nhật 2.
-
System Center Virtual Machine Manager (SCVMM) phải được nâng cấp lên tối thiểu bản Cập nhật Tổng hợp 3.
-
-
Đảm bảo rằng thiết lập hoạt động như trước khi bạn áp dụng các bản cập nhật. Ví dụ: kiểm tra xem bạn có thể khởi động bảng điều khiển hay không.
-
Thay đổi cài đặt cấu hình để bật TLS 1.2.
-
Đảm bảo rằng tất cả các dịch SQL Server vụ bắt buộc đều đang chạy.
Cài đặt bản cập nhật
|
Cập nhật hoạt động |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Đảm bảo rằng tất cả các bản cập nhật bảo mật hiện tại đều được cài đặt cho Windows Server 2012 R2 hoặc Windows Server 2016 |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
|
Có |
Không |
Có |
Có |
Không |
Không |
Có |
|
|
Có |
Có |
Có |
Có |
Có |
Có |
Có |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7 Service Manager (SM)
Thay đổi cài đặt cấu hình
|
Cập nhật cấu hình |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
|
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
|
Cài đặt trên Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2 |
Có |
Có |
Có |
Có |
Có |
Có |
Có |
|
Có |
Không |
Có |
Có |
Không |
Không |
Không |
.NET Framework
Đảm bảo rằng .NET Framework 4.6 được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống. Để thực hiện việc này, hãy làmtheo các hướng dẫn sau.
Hỗ trợ TLS 1.2
Cài đặt bản cập SQL Server bắt buộc có hỗ trợ TLS 1.2. Để thực hiện điều này, hãy xem bài viết sau đây trong Cơ sở Kiến thức Microsoft:
3135244 Hỗ trợ TLS 1.2 cho Microsoft SQL Server
Bản cập nhật System Center 2016 bắt buộc
SQL Server 2012 Native client 11.0 phải được cài đặt trên tất cả các cấu phần Trung tâm Hệ thống sau.
|
Cấu phần |
Vai trò |
Trình điều khiển SQL bắt buộc |
|
Trình quản lý Hoạt động |
Máy chủ Quản lý và Bảng điều khiển Web |
SQL Server 2012 Native client 11.0 hoặc Microsoft OLE DB Driver 18 dành cho SQL Server (khuyên dùng). Chú ý Microsoft OLE DB Driver 18 for SQL Server được hỗ trợ với Operations Manager 2016 UR9 trở lên. |
|
Trình quản lý Máy Ảo |
(Không bắt buộc) |
(Không bắt buộc) |
|
Orchestrator |
Máy chủ Quản lý |
SQL Server 2012 Native client 11.0 hoặc Microsoft OLE DB Driver 18 dành cho SQL Server (khuyên dùng). Chú ý Microsoft OLE DB Driver 18 for SQL Server được hỗ trợ với Orchestrator 2016 UR8 trở lên. |
|
Trình quản lý Bảo vệ Dữ liệu |
Máy chủ Quản lý |
SQL Server 2012 Native client 11.0 |
|
Trình quản lý Dịch vụ |
Máy chủ Quản lý |
SQL Server 2012 Native client 11.0 hoặc Microsoft OLE DB Driver 18 dành cho SQL Server (khuyên dùng). Chú ý Microsoft OLE DB Driver 18 for SQL Server được hỗ trợ với Service Manager 2016 UR9 trở lên. |
Để tải xuống và cài đặt Microsoft SQL Server 2012 Native Client 11.0, hãy xem trang web Trung tâm Tải xuống của Microsoft này.
Để tải xuống và cài đặt Trình điều khiển Microsoft OLE DB 18, hãy xem trang web Trung tâm Tải xuống của Microsoft này.
Đối với System Center Operations Manager và Service Manager, bạn phải cài đặt ODBC 11.0 hoặc ODBC 13.0 trên tất cả các máy chủ quản lý.
Cài đặt các bản cập nhật System Center 2016 bắt buộc từ bài viết Cơ sở Kiến thức sau đây:
4043305 Mô tả Bản tổng hợp Cập nhật 4 cho Microsoft System Center 2016
|
Cấu phần |
2016 |
|
Trình quản lý Hoạt động |
Bản cập nhật Tổng hợp 4 cho System Center 2016 Operations Manager |
|
Trình quản lý Dịch vụ |
Bản cập nhật Tổng hợp 4 cho System Center 2016 Service Manager |
|
Orchestrator |
Bản cập nhật Tổng hợp 4 cho System Center 2016 Orchestrator |
|
Trình quản lý Bảo vệ Dữ liệu |
Bản tổng hợp Cập nhật 4 cho System Center 2016 Data Protection Manager |
Lưu ý Đảm bảo rằng bạn mở rộng nội dung tệp và cài đặt tệp MSP trên vai trò tương ứng.
Chứng chỉ SHA1 và SHA2
Các cấu phần Trung tâm Hệ thống giờ đây tạo ra cả chứng chỉ tự ký SHA1 và SHA2. Điều này là bắt buộc để bật TLS 1.2. Nếu CA ký chứng chỉ được sử dụng, hãy đảm bảo rằng chứng chỉ là SHA1 hoặc SHA2.
Đặt Windows để chỉ sử dụng TLS 1.2
Sử dụng một trong các phương pháp sau đây để đặt cấu hình Windows chỉ sử dụng giao thức TLS 1.2.
Phương pháp 1: Sửa đổi thủ công sổ đăng ký
Quan trọng
Làm theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.
Sử dụng các bước sau để bật/tắt tất cả giao thức SCHANNEL trên toàn hệ thống. Chúng tôi khuyên bạn nên bật giao thức TLS 1.2 cho thông tin liên lạc đến; và bật giao thức TLS 1.2, TLS 1.1 và TLS 1.0 cho tất cả các thông tin liên lạc đi.
Chú ý Việc thực hiện các thay đổi trong sổ đăng ký này không ảnh hưởng đến việc sử dụng giao thức Kerberos hoặc NTLM.
-
Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi bấm OK.
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
Bấm chuột phải vào phím Protocol , trỏ tới Mới, rồi bấm Khóa.
-
Nhập SSL 3, rồi nhấn Enter.
-
Lặp lại bước 3 và 4 để tạo khóa cho TLS 0, TLS 1.1 và TLS 1.2. Những phím này giống như các thư mục.
-
Tạo khóa Máy khách và khóa Máy chủ bên dưới mỗi khóa SSL 3, TLS 1.0, TLS 1.1 và TLS 1.2 .
-
Để bật giao thức, hãy tạo giá trị DWORD bên dưới mỗi khóa Client và Server như sau:
DisabledByDefault [Giá trị = 0]
Đã bật [Giá trị = 1]
Để vô hiệu hóa một giao thức, hãy thay đổi giá trị DWORD bên dưới mỗi khóa Client và Server như sau:DisabledByDefault [Giá trị = 1]
Đã bật [Giá trị = 0] -
Trên menu Tệp, bấm vào Thoát.
Phương pháp 2: Tự động sửa đổi sổ đăng ký
Chạy tập lệnh Windows PowerShell sau đây trong chế độ Người quản trị để tự động đặt cấu hình Windows để chỉ sử dụng Giao thức TLS 1.2:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
Đặt Trung tâm Hệ thống để chỉ sử dụng TLS 1.2
Đặt Trung tâm Hệ thống để chỉ sử dụng giao thức TLS 1.2. Để làm điều này, trước tiên hãy đảm bảo rằng tất cả các điều kiện tiên quyết được đáp ứng. Sau đó, thực hiện các cài đặt sau trên các cấu phần Trung tâm Hệ thống và tất cả các máy chủ khác mà trên đó tác nhân được cài đặt.
Sử dụng một trong các phương pháp sau.
Phương pháp 1: Sửa đổi thủ công sổ đăng ký
Quan trọng
Làm theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố.
Để cho phép cài đặt hỗ trợ giao thức TLS 1.2, hãy làm theo các bước sau:
-
Khởi động Registry Editor. Để thực hiện điều này, hãy bấm chuột phải vào Bắt đầu, nhậpregedit trong hộp Chạy, rồi bấm OK.
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
Tạo giá trị DWORD sau dưới khóa này:
SchUseStrongCrypto [Giá trị = 1]
-
Định vị khóa đăng ký phụ sau:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
Tạo giá trị DWORD sau dưới khóa này:
SchUseStrongCrypto [Giá trị = 1]
-
Khởi động lại hệ thống.
Phương pháp 2: Tự động sửa đổi sổ đăng ký
Chạy tập lệnh sau Windows PowerShell chế độ Người quản trị để tự động đặt cấu hình Trung tâm Hệ thống để chỉ sử dụng Giao thức TLS 1.2:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Cài đặt bổ sung
Trình quản lý Hoạt động
Gói Quản lý
Nhập các gói quản lý cho System Center 2016 Operations Manager. Các bản cập nhật này nằm trong thư mục sau sau khi bạn cài đặt bản cập nhật máy chủ:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
Cài đặt ACS
Đối với Dịch vụ Thu thập Kiểm tra (ACS), bạn phải thực hiện thay đổi bổ sung trong sổ đăng ký. ACS sử dụng DSN để tạo kết nối với cơ sở dữ liệu. Bạn phải cập nhật cài đặt DSN để thiết đặt hoạt động cho TLS 1.2.
-
Định vị khóa phụ sau đây cho ODBC trong sổ đăng ký.
Lưu ý Tên mặc định của DSN là OpsMgrAC.
-
Trong khóa phụ Nguồn Dữ liệu ODBC , chọn mục nhập cho tên DSN, OpsMgrAC. Thông tin này chứa tên của trình điều khiển ODBC sẽ được sử dụng cho kết nối cơ sở dữ liệu. Nếu bạn đã cài đặt ODBC 11.0, hãy thay đổi tên này thành Trình điều khiển ODBC 11 để SQL Server. Hoặc nếu bạn đã cài đặt ODBC 13.0, hãy thay đổi tên này thành Trình điều khiển ODBC 13 để SQL Server.
-
Trong khóa phụ OpsMgrAC , cập nhật mục Nhập Trình điều khiển cho phiên bản ODBS được cài đặt.
-
Nếu ODBC 11.0 được cài đặt, hãy thay đổi mục nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql11.dll.
-
Nếu ODBC 13.0 được cài đặt, hãy thay đổi mục Nhập Trình điều khiển thành %WINDIR%\system32\msodbcsql13.dll.
-
Ngoài ra, hãy tạo và lưu tệp .reg sau đây trong Notepad hoặc trình soạn thảo văn bản khác. Để chạy tệp .reg đã lưu, bấm đúp vào tệp.
Đối với ODBC 11.0, hãy tạo tệp ODBC 11.0.reg sau đây:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
Đối với ODBC 13.0, hãy tạo tệp ODBC 13.0.reg sau đây:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\Nguồn Dữ liệu ODBC] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
-
Làm cứng TLS trong Linux
Làm theo hướng dẫn trên trang web thích hợp để đặt cấu hình TLS 1.2 trên môi trường Red Hat hoặc Apache của bạn.
Trình quản lý Bảo vệ Dữ liệu
Để cho phép Trình quản lý Bảo vệ Dữ liệu làm việc cùng với TLS 1.2 để sao lưu lên đám mây, hãy bật các bước này trên máy chủ Trình quản lý Bảo vệ Dữ liệu.
Orchestrator
Sau khi cài đặt bản cập nhật Orchestrator, hãy đặt cấu hình lại cơ sở dữ liệu Orchestrator bằng cách sử dụng cơ sở dữ liệu hiện có theo các hướng dẫn này.
Tuyên bố miễn trừ trách nhiệm liên hệ bên thứ ba
Microsoft cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm thêm thông tin về chủ đề này. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Microsoft không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba.
