適用于 System Center 2012 R2 的 TLS 1.2 通訊協定支援部署指南

摘要

本文說明如何在 Microsoft System Center 2012 R2 環境中啟用傳輸層安全性 (TLS) 通訊協定版本 1.2。

其他相關資訊

若要在您的 System Center 環境中啟用 TLS 通訊協定版本 1.2，請遵循下列步驟：

從發行版本安裝更新。

附註
- 套用更新彙總套件 14 之前，請先安裝所有 System Center 元件的最新更新彙總套件套件。
  - 若是 Data Protection Manager 和 Virtual Machine Manager，請安裝更新彙總套件 13。
  - 若是服務管理自動化，請安裝更新彙總套件 7。
  - 若是 System Center Orchestrator，請安裝更新彙總套件 8。
  - 若是服務提供者基礎，請安裝更新彙總套件 12。
  - 針對Service Manager，請安裝更新彙總套件套件 9。
請確定設定與您套用更新之前一樣正常運作。例如，檢查您是否可以啟動主機。
變更組態設定以啟用 TLS 1.2。
確定所有必要的SQL Server服務都在執行中。

安裝更新

更新活動	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
確認已安裝 Windows Server 2012 R2 的所有目前安全性更新	Yes	Yes	Yes	Yes	Yes	Yes	Yes
確認所有 System Center 元件上都安裝了 .NET Framework 4.6	Yes	Yes	Yes	Yes	Yes	Yes	Yes
安裝支援 TLS 1.2 的必要SQL Server更新	Yes	Yes	Yes	Yes	Yes	Yes	Yes
安裝必要的 System Center 2012 R2 更新	Yes	不是	Yes	Yes	否	不是	是
確定 CA 簽署的憑證是 SHA1 或 SHA2	Yes	Yes	Yes	Yes	Yes	Yes	Yes

¹ System Center Operations Manager (SCOM)
² System Center Virtual Machine Manager (SCVMM)
³ System Center Data Protection Manager (SCDPM)
⁴ System Center Orchestrator (SCO)
⁵ Service Management Automation (SMA)
⁶ Service Provider Foundation (SPF)
⁷Service Manager (SM)

變更組態設定

設定更新	SCOM¹	SCVMM²	SCDPM³	SCO⁴	SMA⁵	SPF⁶	SM⁷
設定 Windows 上僅使用 TLS 1.2 通訊協定	Yes	Yes	Yes	Yes	Yes	Yes	Yes
將 System Center 設定為僅使用 TLS 1.2 通訊協定	Yes	Yes	Yes	Yes	Yes	Yes	Yes
其他設定	Yes	不是	Yes	Yes	否	否	否

.NET Framework

確定所有 System Center 元件上都安裝了 .NET Framework 4.6。若要這麼做，請依照下列指示進行。

TLS 1.2 支援

安裝支援 TLS 1.2 的必要SQL Server更新。若要這麼做，請參閱 Microsoft 知識庫中的下列文章：

3135244 適用于 Microsoft SQL Server 的 TLS 1.2 支援

必要 System Center 2012 R2 更新

SQL Server 2012 原生用戶端 11.0 應該安裝在下列所有 System Center 元件上。

元件	作用
Operations Manager	管理伺服器和網頁主機
Virtual Machine Manager	(不需要)
Orchestrator	Management Server
Data Protection Manager	Management Server
Service Manager	Management Server

若要下載並安裝 Microsoft SQL Server 2012 Native Client 11.0，請參閱此 Microsoft 下載中心網頁。

對於 System Center Operations Manager 和 Service Manager，您必須在所有管理伺服器上安裝ODBC 11.0或ODBC 13.0。

從下列知識庫文章安裝必要的 System Center 2012 R2 更新：

4043306 適用于 Microsoft System Center 2012 R2 的更新彙總套件套件 14 說明

元件	2012 R2
Operations Manager	System Center 2012 R2 Operations Manager 的更新彙總套件套件 14
Service Manager	System Center 2012 R2 更新匯總 14 Service Manager
Orchestrator	System Center 2012 R2 Orchestrator 的更新彙總套件套件 14
Data Protection Manager	System Center 2012 R2 Data Protection Manager 的更新彙總套件套件 14

注意請確定您已展開檔案內容，並將 MSP 檔案安裝在相對應的角色上，但 Data Protection Manager 除外。若是 Data Protection Manager，請安裝.exe檔案。

SHA1 和 SHA2 憑證

System Center 元件現在會產生 SHA1 和 SHA2 自我簽署憑證。若要啟用 TLS 1.2，必須使用此功能。如果使用 CA 簽署的憑證，請確定憑證為 SHA1 或 SHA2。

將 Windows 設定為僅使用 TLS 1.2

使用下列其中一種方法將 Windows 設定為僅使用 TLS 1.2 通訊協定。

方法 1：手動修改登錄

重要: 請仔細遵循本節中的步驟。如果您不正確地修改登錄，可能會發生嚴重問題。修改之前，請先備份還原用的登錄，以防發生問題。

使用下列步驟啟用/停用全系統的所有 SCHANNEL 通訊協定。建議您為傳入通訊啟用 TLS 1.2 通訊協定，並為所有外寄通訊啟用 TLS 1.2、TLS 1.1 和 TLS 1.0 通訊協定。

附註： 進行這些登錄變更並不會影響 Kerberos 或 NTLM 通訊協定的使用。

啟動 [登錄編輯程式]。若要這樣做，請以滑鼠右鍵按一下[開始]，在 [執行] 方塊中輸入regedit，然後選取 [確定]。
找出下列登錄子機碼：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
以滑鼠右鍵按一下 通訊協定 金鑰，指向 [ 新增]，然後按一下 [ 按鍵]。
輸入 SSL 3，然後按 Enter。
重複步驟 3 和 4，建立 TLS 0、TLS 1.1 和 TLS 1.2 的金鑰。這些按鍵與目錄類似。
在每個SSL 3、TLS 1.0、TLS 1.1 和 TLS 1.2按鍵底下建立客戶端金鑰和伺服器金鑰。
若要啟用通訊協定，請在每個用戶端和伺服器金鑰底下建立 DWORD 值，如下所示：

DisabledByDefault [Value = 0]
已啟用 [值 = 1]
若要停用通訊協定，請變更每個用戶端和伺服器金鑰底下的 DWORD 值，如下所示：

DisabledByDefault [Value = 1]
已啟用 [值 = 0]
在 [ 檔案] 功能表上，選取 [結束]。

方法 2：自動修改登錄

在系統管理員模式中執行下列Windows PowerShell腳本以自動設定 Windows 僅使用 TLS 1.2 通訊協定：

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

將 System Center 設定為僅使用 TLS 1.2

將 System Center 設定為只使用 TLS 1.2 通訊協定。若要這麼做，請先確認符合所有先決條件。然後，在 System Center 元件以及安裝代理程式的所有其他伺服器上設定下列設定。

使用下列其中一種方法。

方法 1：手動修改登錄

重要: 請仔細遵循本節中的步驟。如果您不正確地修改登錄，可能會發生嚴重問題。修改之前，請先備份還原用的登錄，以防發生問題。

若要啟用安裝以支援 TLS 1.2 通訊協定，請遵循下列步驟：

啟動 [登錄編輯程式]。若要這樣做，請以滑鼠右鍵按一下[開始]，在 [執行] 方塊中輸入regedit，然後選取 [確定]。
找出下列登錄子機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
在此機碼底下建立下列 DWORD 值：

SchUseStnerCrypto [Value = 1]
找出下列登錄子機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
在此機碼底下建立下列 DWORD 值：

SchUseStnerCrypto [Value = 1]
重新開機系統。

方法 2：自動修改登錄

在系統管理員模式中執行下列Windows PowerShell腳本以自動將 System Center 設定為僅使用 TLS 1.2 通訊協定：

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

其他設定

Operations Manager

管理套件

匯入 System Center 2012 R2 Operations Manager 的管理套件。安裝伺服器更新之後，這些專案位於下列目錄中：

\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server\Management Packs for Update Rollups

ACS 設定

若是 ACS ( (集合服務) ，您必須在登錄中進行其他變更。 ACS 會使用 DSN 連線到資料庫。您必須更新 DSN 設定，才能讓 TLS 1.2 運作。

在登錄中尋找下列 ODBC 子機碼。

注意 DSN 的預設名稱是OpsMgrAC。
在 ODBC 資料來源 子機碼中，選取 DSN 名稱OpsMgrAC的專案。這包含要用於資料庫連線的 ODBC 驅動程式名稱。如果您已安裝 ODBC 11.0，請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 11。或者，如果您已安裝 ODBC 13.0，請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 13。
在OpsMgrAC 子機碼中，更新已安裝 ODBS 版本的驅動程式專案。
- 如果已安裝 ODBC 11.0，請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql11.dll。
- 如果已安裝 ODBC 13.0，請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql13.dll。
- 或者，在記事本或其他文字編輯器中建立並儲存下列 .reg 檔案。若要執行已儲存的 .reg 檔案，請按兩下該檔案。
  
  若是ODBC 11.0，請建立下列 ODBC 11.0.reg 檔案：
  [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源]「OpsMgrAC」=「ODBC Driver 11 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql11.dll」
  
  若是ODBC 13.0，請建立下列 ODBC 13.0.reg 檔案：[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源] 「OpsMgrAC」=「ODBC Driver 13 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql13.dll」

Linux 中的 TLS 硬化

請依照適當網站上的指示，在您的紅帽或快取環境中設定 TLS 1.2。

Data Protection Manager

若要讓 Data Protection Manager 與 TLS 1.2 共同作業以備份到雲端，請在 Data Protection Manager 伺服器上啟用這些步驟。

Orchestrator

安裝協調器更新之後，根據這些指導方針，使用現有的資料庫重新設定協調器資料庫。

Service Manager

安裝Service Manager更新之前，請先安裝必要的套件並重新設定登錄機碼值，如KB 4024037的指示一節所述。

此外，如果您使用 System Center Operations Manager 監控System Center Service Manager，請更新至最新版本的 (v 7.5.7487.89) TLS 1.2 的監控管理套件支援。

服務管理自動化 (SMA)

如果您使用 System Center Operations Manager 監控服務管理自動化 (SMA) ，請更新至最新版的 TLS 1.2 監控管理套件支援：

System Center Management Pack for System Center 2012 R2 Orchestrator - 服務管理自動化

協力廠商連絡資訊免責聲明

Microsoft 提供協力廠商連絡資訊，以協助您尋找有關此主題的其他資訊。此連絡資訊若有變更，恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。