适用于 System Center 2016 的 TLS 1.2 协议支持部署指南

摘要

本文介绍如何在 Microsoft System Center 2016 环境中启用传输层安全(TLS)协议版本1.2。

更多信息

若要在 System Center 环境中启用 TLS 协议版本1.2,请按照下列步骤操作:

  1. 从发布安装更新注意

    • 服务管理自动化(SMA)和服务提供商基础(SPF)必须升级到其最新的更新汇总,因为 UR4 没有对这些组件的任何更新。

    • 对于服务管理自动化(SMA),升级到更新汇总 1,还可升级到此 Microsoft 下载中心网页中的 SMA 管理包(MP) pdate。

    • 对于服务提供商基础(SPF),升级到更新汇总 2

    • System Center Virtual Machine Manager (SCVMM)应升级到至少更新汇总 3

  2. 确保设置与应用更新前的功能相同。 例如,检查是否可以启动控制台。

  3. 配置设置更改为启用 TLS 1.2。

  4. 请确保所有所需的 SQL Server 服务均在运行。

安装更新

更新活动

SCOM1

SCVMM2

SCDPM3

SCO

SMA

SPF6

SM7

请确保为 windows Server 2012 R2 或 Windows Server 2016 安装所有当前安全更新 

确保已在所有 System Center 组件上安装 .NET Framework 4。6

 

 

安装支持 TLS 1.2 的必需 SQL Server 更新

安装所需的 System Center 2016 更新

确保 CA 签名的证书为 SHA1 或 SHA2

1 System Center Operations Manager (SCOM) 2 System Center Virtual Machine Manager (SCVMM) 3 System Center Data Protection Manager (SCDPM) System Center Orchestrator (SCO) 服务管理自动化(SMA) 6 服务提供商基础(SPF) 7 服务管理器(SM)

更改配置设置

配置更新

SCOM1

SCVMM2

SCDPM3

SCO

SMA

SPF6

SM7

将 Windows 设置为仅使用 TLS 1.2 协议

将 System Center 设置为仅使用 TLS 1.2 协议

其他设置

.NET Framework 

确保在所有 System Center 组件上均已安装 .NET Framework 4.6。 若要执行此操作,请按照以下说明操作。

TLS 1.2 支持

安装支持 TLS 1.2 的必需 SQL Server 更新。 若要执行此操作,请参阅 Microsoft 知识库中的以下文章:

3135244 适用于 Microsoft SQL Server 的 TLS 1.2 支持

所需的 System Center 2016 更新

SQL Server 2012 本机客户端11.0 应安装在所有下列 System Center 组件上。

组件

任务

所需的 SQL 驱动程序

Operations Manager

管理服务器和 Web 控制台

SQL Server 2012 本机客户端11.0 或 Microsoft OLE DB 驱动程序 18 for SQL Server (推荐)。

注意 Operations Manager 2016 UR9 和更高版本支持 Microsoft OLE DB 驱动程序 18 for SQL Server 18。

Virtual Machine Manager

(不是必需的)

(不是必需的)

Orchestrator

管理服务器

SQL Server 2012 本机客户端11.0 或 Microsoft OLE DB 驱动程序 18 for SQL Server (推荐)。

注意 Orchestrator 2016 UR8 和更高版本支持 Microsoft OLE DB 驱动程序 18 for SQL Server 18。

Data Protection Manager

管理服务器

SQL Server 2012 本机客户端11。0

Service Manager

管理服务器

SQL Server 2012 本机客户端11.0 或 Microsoft OLE DB 驱动程序 18 for SQL Server (推荐)。

注意 Service Manager 2016 UR9 及更高版本支持 Microsoft OLE DB 驱动程序 18 for SQL Server 18。

若要下载并安装 Microsoft SQL Server 2012 本机客户端11.0,请参阅此 Microsoft 下载中心网页

若要下载并安装 Microsoft OLE DB 驱动程序18,请参阅此 Microsoft 下载中心网页

对于 System Center Operations Manager 和 Service Manager,必须在所有管理服务器上安装odbc 11.0odbc 13.0

从以下知识文库文章安装所需的 System Center 2016 更新:

4043305 Microsoft System Center 2016 更新汇总4的说明  

组件

2016

Operations Manager

System Center 2016 Operations Manager 的累积更新 4

Service Manager

System Center 2016 服务管理器的累积更新 4

Orchestrator

System Center 2016 Orchestrator 的更新汇总 4

Data Protection Manager

System Center 2016 数据保护管理器的累积更新 4

注意 请确保展开文件内容,并在相应的角色上安装 MSP 文件。

SHA1 和 SHA2 证书

System Center 组件现在会生成 SHA1 和 SHA2 自签名证书。 这是启用 TLS 1.2 所必需的。 如果使用 CA 签名的证书,请确保证书为 SHA1 或 SHA2。

将 Windows 设置为仅使用 TLS 1。2

使用以下方法之一将 Windows 配置为仅使用 TLS 1.2 协议。

方法1:手动修改注册表

重要说明 请仔细按本部分中的步骤操作。 如果您错误地修改了注册表,可能会出现严重问题。 修改之前,请备份注册表以进行还原,以防出现问题。

使用以下步骤在系统范围内启用/禁用所有 SCHANNEL 协议。 我们建议你为传入通信启用 TLS 1.2 协议;并为所有传出通信启用 TLS 1.2、TLS 1.1 和 TLS 1.0 协议。

注意 对这些注册表进行的更改不会影响 Kerberos 或 NTLM 协议的使用。

  1. 启动注册表编辑器。 若要执行此操作,请右键单击 "开始",在 "运行" 框中键入Regedit ,然后单击"确定"

  2. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. 右键单击该协议项,指向 "新建",然后单击 ""。 注册表

  4. 键入 " SSL 3",然后按 Enter。

  5. 重复步骤3和4以创建 TLS 0、TLS 1.1 和 TLS 1.2 的键。 这些键类似于目录。

  6. 在每个SSL 3tls 1.0tls 1.1Tls 1.2密钥下创建一个客户端密钥和一个服务器密钥。

  7. 若要启用某个协议,请在每个客户端和服务器密钥下创建 DWORD 值,如下所示:

    DisabledByDefault [Value = 0] 已启用 [值 = 1] 若要禁用某个协议,请在每个客户端和服务器密钥下更改 DWORD 值,如下所示:

    DisabledByDefault [Value = 1] 已启用 [值 = 0]

  8. 在 "文件" 菜单上,单击 "退出"。

方法2:自动修改注册表

在管理员模式下运行以下 Windows PowerShell 脚本,以自动将 Windows 配置为仅使用 TLS 1.2 协议:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

将 System Center 设置为仅使用 TLS 1。2

将 System Center 设置为仅使用 TLS 1.2 协议。 若要执行此操作,首先请确保满足所有先决条件。 然后,在 System Center 组件以及安装了代理的所有其他服务器上进行以下设置。

使用下列方法之一。

方法1:手动修改注册表

重要说明 请仔细按本部分中的步骤操作。 如果您错误地修改了注册表,可能会出现严重问题。 修改之前,请备份注册表以进行还原,以防出现问题。

若要启用安装以支持 TLS 1.2 协议,请按照下列步骤操作:

  1. 启动注册表编辑器。 若要执行此操作,请右键单击 "开始",在 "运行" 框中键入Regedit ,然后单击"确定"

  2. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. 在此项下创建以下 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  4. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. 在此项下创建以下 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  6. 重新启动系统。

方法2:自动修改注册表

在管理员模式下运行以下 Windows PowerShell 脚本,以自动将 System Center 配置为仅使用 TLS 1.2 协议:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

其他设置

Operations Manager

管理包

导入 System Center 2016 Operations Manager 的管理包。 安装服务器更新后,这些内容位于以下目录中:

\Program Files\Microsoft System Center 2016 \ Manager\Server\Management Pack for Update 汇总的操作

ACS 设置

对于审核收集服务(ACS),你必须在注册表中进行其他更改。 ACS 使用 DSN 建立与数据库的连接。 必须更新 DSN 设置才能使其能够正常运行 TLS 1.2。

  1. 在注册表中找到 ODBC 的以下子项。 注意 DSN 的默认名称为OpsMgrACODBC。INI 子项

  2. 在 " ODBC 数据源" 子项中,选择 DSN 名称的条目OpsMgrAC。 这包含要用于数据库连接的 ODBC 驱动程序的名称。 如果安装了 ODBC 11.0,请将此名称更改为SQL Server 的 ODBC Driver 11。 或者,如果安装了 ODBC 13.0,请将此名称更改为ODBC 驱动程序 13 FOR SQL ServerODBC 数据源的子项

  3. OpsMgrAC子项中,更新已安装的 ODBS 版本的驱动程序条目。 OpsMgrAC 子键

    • 如果安装了 ODBC 11.0,请将驱动程序条目更改为%WINDIR%\system32\msodbcsql11.dll

    • 如果安装了 ODBC 13.0,请将驱动程序条目更改为%WINDIR%\system32\msodbcsql13.dll

    • 或者,也可以在记事本或其他文本编辑器中创建和保存以下 .reg 文件。 若要运行已保存的 .reg 文件,请双击该文件。 对于ODBC 11.0,请创建以下 ODBC 11.0 文件:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" 对于ODBC 13.0,请创建以下 ODBC 13.0 文件:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Linux 中的 TLS 强化

按照相应网站上的说明在红 HatApache环境中配置 TLS 1.2。

Data Protection Manager

若要使数据保护管理器能够与 TLS 1.2 一起备份到云,请在数据保护管理器服务器上启用这些步骤

Orchestrator

安装 Orchestrator 更新后,根据这些指南使用现有数据库重新配置 orchestrator 数据库。

 

第三方联系信息免责声明

Microsoft 提供了第三方联系信息,以帮助你查找有关此主题的其他信息。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×