Sign in with Microsoft
New to Microsoft? Create an account.

摘要

本文介绍如何在 Microsoft System Center 2012 R2 环境中启用传输层安全 (TLS) 协议版本 1.2。

更多信息

若要在 System Center 环境中启用 TLS 协议版本 1.2,请执行以下步骤:

  1. 从发布中安装更新

    备注

    • 在应用更新汇总 14 之前,安装所有 System Center 组件的最新更新汇总。

  2. 在应用更新之前,请确保安装程序的功能与之前相同。 例如,检查是否可以启动控制台。

  3. 更改 配置设置 以启用 TLS 1.2。

  4. 确保所有必需SQL Server服务都在运行。


安装更新

更新活动

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

确保为 Windows Server 2012 R2 安装所有当前安全更新

确保在所有 System Center 组件上安装.NET Framework 4.6

安装支持 TLS 1.2 的所需SQL Server更新

安装所需的 System Center 2012 R2 更新

没有

没有

确保 CA 签名的证书是 SHA1 或 SHA2


1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 服务管理自动化 (SMA)
6 服务提供商基础 (SPF)
7Service Manager (SM)


更改配置设置

配置更新

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

在 Windows 上设置为仅使用 TLS 1.2 协议

在 System Center 上设置为仅使用 TLS 1.2 协议

其他设置

没有


.NET Framework 

确保在所有 System Center 组件上安装.NET Framework 4.6。 为此,请按照以下说明操作

TLS 1.2 支持

安装支持 TLS 1.2 的所需SQL Server更新。 为此,请参阅 Microsoft 知识库中的以下文章:

3135244 对 Microsoft SQL Server 的 TLS 1.2 支持


所需的 System Center 2012 R2 更新

SQL Server 2012 本机客户端 11.0 应安装在以下所有 System Center 组件上。

组件

作用

Operations Manager

管理服务器和 Web 控制台

Virtual Machine Manager

(不需要)

Orchestrator

管理服务器

Data Protection Manager

管理服务器

Service Manager

管理服务器


若要下载并安装 Microsoft SQL Server 2012 Native Client 11.0,请参阅此 Microsoft 下载中心网页

对于 System Center Operations Manager 和 Service Manager,必须在所有管理服务器上安装 ODBC 11.0ODBC 13.0

从以下知识库文章安装所需的 System Center 2012 R2 更新:

4043306 Microsoft System Center 2012 R2 更新汇总 14 的说明
 

组件

2012 R2

Operations Manager

System Center 2012 R2 Operations Manager 的更新汇总 14

Service Manager

System Center 2012 R2 Service Manager更新汇总 14

Orchestrator

System Center 2012 R2 Orchestrator 的更新汇总 14

Data Protection Manager

System Center 2012 R2 Data Protection Manager 的更新汇总 14


注意 请确保展开文件内容,并在相应的角色上安装 MSP 文件,数据保护管理器除外。 对于 Data Protection Manager,请安装.exe文件。

SHA1 和 SHA2 证书

System Center 组件现在同时生成 SHA1 和 SHA2 自签名证书。 这是启用 TLS 1.2 所必需的。 如果使用 CA 签名的证书,请确保证书为 SHA1 或 SHA2。

将 Windows 设置为仅使用 TLS 1.2

使用以下方法之一将 Windows 配置为仅使用 TLS 1.2 协议。

方法 1:手动修改注册表

重要: 请仔细执行本部分中的步骤。 如果修改注册表不正确,可能会出现严重问题。 在修改注册表之前,在出现问题时备份注册表以进行还原

使用以下步骤在系统范围内启用/禁用所有 SCHANNEL 协议。 建议为传入通信启用 TLS 1.2 协议,并为所有传出通信启用 TLS 1.2、TLS 1.1 和 TLS 1.0 协议。

备注 进行这些注册表更改不会影响 Kerberos 或 NTLM 协议的使用。

  1. 启动注册表编辑器。 为此,请右键单击“开始”,在“运行”框中键入 regedit,然后选择“确定”。

  2. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. 右键单击 协议 密钥,指向 “新建”,然后单击 “密钥”。

    注册表

  4. 键入 SSL 3,然后按 Enter。

  5. 重复步骤 3 和步骤 4,为 TLS 0、TLS 1.1 和 TLS 1.2 创建密钥。 这些密钥类似于目录。

  6. 每个 SSL 3TLS 1.0、TLS 1.1TLS 1.2 密钥下创建客户端密钥和服务器密钥。

  7. 若要启用协议,请在每个客户端和服务器密钥下创建 DWORD 值,如下所示:

    DisabledByDefault [Value = 0]
    已启用 [Value = 1]
    若要禁用协议,请更改每个客户端和服务器密钥下的 DWORD 值,如下所示:

    DisabledByDefault [Value = 1]
    已启用 [Value = 0]

  8. “文件” 菜单上,选择“退出”。


方法 2:自动修改注册表

在管理员模式下运行以下Windows PowerShell脚本,自动将 Windows 配置为仅使用 TLS 1.2 协议:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

将 System Center 设置为仅使用 TLS 1.2

将 System Center 设置为仅使用 TLS 1.2 协议。 为此,请首先确保满足所有先决条件。 然后,在 System Center 组件和安装代理的所有其他服务器上配置以下设置。

使用以下方法之一。

方法 1:手动修改注册表

重要: 请仔细执行本部分中的步骤。 如果修改注册表不正确,可能会出现严重问题。 在修改注册表之前,在出现问题时备份注册表以进行还原

若要启用安装以支持 TLS 1.2 协议,请执行以下步骤:

  1. 启动注册表编辑器。 为此,请右键单击“开始”,在“运行”框中键入 regedit,然后选择“确定”。

  2. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. 在此键下创建以下 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  4. 找到以下注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. 在此键下创建以下 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  6. 重启系统。


方法 2:自动修改注册表

在管理员模式下运行以下Windows PowerShell脚本,自动将 System Center 配置为仅使用 TLS 1.2 协议:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

其他设置

Operations Manager

管理包

导入 System Center 2012 R2 Operations Manager 的管理包。 安装服务器更新后,这些内容位于以下目录中:

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

ACS 设置

对于审核收集服务 (ACS) ,必须在注册表中进行其他更改。 ACS 使用 DSN 与数据库建立连接。 必须更新 DSN 设置,使其适用于 TLS 1.2。

  1. 在注册表中找到 ODBC 的以下子项。

    注意 DSN 的默认名称是 OpsMgrAC

    ODBC.INI子项

  2. ODBC 数据源 子项中,选择 DSN 名称 OpsMgrAC 的条目。 这包含要用于数据库连接的 ODBC 驱动程序的名称。 如果已安装 ODBC 11.0,请将此名称更改为 ODBC Driver 11 以供SQL Server。 或者,如果安装了 ODBC 13.0,请将此名称更改为 ODBC Driver 13 以进行SQL Server

    ODBC 数据源子项

  3. OpsMgrAC 子项中,更新已安装的 ODBS 版本的 驱动程序 条目。

    OpsMgrAC 子项

    • 如果安装了 ODBC 11.0,请将 驱动程序 条目更改为 %WINDIR%\system32\msodbcsql11.dll

    • 如果安装了 ODBC 13.0,请将 驱动程序 条目更改为 %WINDIR%\system32\msodbcsql13.dll

    • 或者,在记事本或其他文本编辑器中创建并保存以下 .reg 文件。 若要运行保存的 .reg 文件,请双击该文件。

      对于 ODBC 11.0,请创建以下 ODBC 11.0.reg 文件:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 数据源]“OpsMgrAC”=“ODBC Driver 11 for SQL Server” [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] “Driver”=“%WINDIR%\\system32\\msodbcsql11.dll”

      对于 ODBC 13.0,请创建以下 ODBC 13.0.reg 文件:[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 数据源] “OpsMgrAC”=“ODBC Driver 13 for SQL Server” [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] “Driver”=“%WINDIR%\\system32\\msodbcsql13.dll”

Linux 中的 TLS 强化

按照相应网站上的说明在 Red HatApache 环境中配置 TLS 1.2。

Data Protection Manager

若要使数据保护管理器能够与 TLS 1.2 协同工作以备份到云,请在 Data Protection Manager 服务器上启用这些步骤。 

Orchestrator

安装 Orchestrator 更新后,请根据这些准则使用现有数据库重新配置 Orchestrator 数据库。

Service Manager

安装Service Manager更新之前,请安装所需的包并重新配置注册表项值,如 KB 4024037的“安装前”说明部分中所述。

此外,如果使用 System Center Operations Manager 监视System Center Service Manager,请更新到适用于 TLS 1.2 支持的监视管理包的最新版本 (v 7.5.7487.89) 。

服务管理自动化 (SMA)

如果使用 System Center Operations Manager 监视服务管理自动化 (SMA) ,请更新到最新版本的 TLS 1.2 支持监视管理包:

System Center 2012 R2 Orchestrator 的 System Center 管理包 - 服务管理自动化

第三方联系信息免责声明

Microsoft 提供了第三方联系信息,以帮助你查找有关此主题的其他信息。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对语言质量的满意程度如何?
哪些因素影响了你的体验?

谢谢您的反馈!

×