摘要
本文說明如何在 Microsoft System Center 2016 環境中啟用傳輸層安全 (TLS) 通訊協定版本 1.2。
其他相關資訊
若要在您的 System Center 環境中啟用 TLS 通訊協定版本 1.2,請遵循下列步驟:
-
從發行版本安裝更新。
附註-
服務管理自動化 (SMA) 與服務提供者 Foundation (SPF) 必須升級至最新的更新彙總套件套件,因為 UR4 沒有這些元件的任何更新。
-
對於服務管理自動化 (SMA) ,請升級至 更新彙總套件 1,並從 這個 Microsoft 下載中心網頁更新 SMA 管理套件 (MP) 。
-
若是服務提供者 Foundation (SPF) ,請升級至 更新彙總套件 2。
-
System Center Virtual Machine Manager (SCVMM) 至少應該升級到更新匯總 3。
-
-
請確定設定與您套用更新之前一樣正常運作。 例如,檢查您是否可以啟動主機。
-
變更 組態設定 以啟用 TLS 1.2。
-
確定所有必要的SQL Server服務都在執行中。
安裝更新
更新活動 |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
確認已安裝 Windows Server 2012 R2 或 Windows Server 2016 的所有目前安全性更新 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Yes |
不是 |
Yes |
Yes |
否 |
不是 |
是 |
|
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7Service Manager (SM)
變更組態設定
設定更新 |
SCOM1 |
SCVMM2 |
SCDPM3 |
SCO4 |
SMA5 |
SPF6 |
SM7 |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
Yes |
|
Yes |
不是 |
Yes |
Yes |
否 |
否 |
否 |
.NET Framework
確定所有 System Center 元件上都安裝了 .NET Framework 4.6。 若要這麼做,請依照下列指示進行。
TLS 1.2 支援
安裝支援 TLS 1.2 的必要SQL Server更新。 若要這麼做,請參閱 Microsoft 知識庫中的下列文章:
3135244 適用于 Microsoft SQL Server 的 TLS 1.2 支援
必要 System Center 2016 更新
SQL Server 2012 原生用戶端 11.0 應該安裝在下列所有 System Center 元件上。
元件 |
作用 |
必要的 SQL 驅動程式 |
Operations Manager |
管理伺服器和網頁主機 |
SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。 附註: Operations Manager 2016 UR9 及更新版本支援適用于 SQL Server 的 Microsoft OLE DB 驅動程式 18。 |
Virtual Machine Manager |
(不需要) |
(不需要) |
Orchestrator |
Management Server |
SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。 附註: 適用于 SQL Server 的 Microsoft OLE DB 驅動程式 18 支援協調器 2016 UR8 及更新版本。 |
Data Protection Manager |
Management Server |
SQL Server 2012 Native client 11.0 |
Service Manager |
Management Server |
SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。 附註: SQL Server 版 Microsoft OLE DB 驅動程式 18 支援 Service Manager 2016 UR9 及更新版本。 |
若要下載並安裝 Microsoft SQL Server 2012 Native Client 11.0,請參閱此 Microsoft 下載中心網頁。
若要下載並安裝 Microsoft OLE DB 驅動程式 18,請參閱 此 Microsoft 下載中心網頁。
對於 System Center Operations Manager 和 Service Manager,您必須在所有管理伺服器上安裝ODBC 11.0或ODBC 13.0。
從下列知識庫文章安裝必要的 System Center 2016 更新:
4043305 Microsoft System Center 2016 的更新彙總套件套件 4 說明
元件 |
2016 |
Operations Manager |
System Center 2016 Operations Manager 的更新彙總套件套件 4 |
Service Manager |
System Center 2016 的更新彙總套件 4 Service Manager |
Orchestrator |
System Center 2016 Orchestrator 的更新彙總套件套件 4 |
Data Protection Manager |
System Center 2016 Data Protection Manager 的更新彙總套件套件 4 |
注意 請確定您已展開檔案內容,並將 MSP 檔案安裝在相對應的角色上。
SHA1 和 SHA2 憑證
System Center 元件現在會產生 SHA1 和 SHA2 自我簽署憑證。 若要啟用 TLS 1.2,必須使用此功能。 如果使用 CA 簽署的憑證,請確定憑證為 SHA1 或 SHA2。
將 Windows 設定為僅使用 TLS 1.2
使用下列其中一種方法將 Windows 設定為僅使用 TLS 1.2 通訊協定。
方法 1:手動修改登錄
重要
請仔細遵循本節中的步驟。 如果您不正確地修改登錄,可能會發生嚴重問題。 修改之前,請先備份還原用的登錄,以防發生問題。
使用下列步驟啟用/停用全系統的所有 SCHANNEL 通訊協定。 建議您為傳入通訊啟用 TLS 1.2 通訊協定;並為所有外寄通訊啟用 TLS 1.2、TLS 1.1 和 TLS 1.0 通訊協定。
附註: 進行這些登錄變更並不會影響 Kerberos 或 NTLM 通訊協定的使用。
-
啟動 [登錄編輯程式]。 若要這麼做,請以滑鼠右鍵按一下[開始],在 [執行] 方塊中輸入regedit,然後按一下 [確定]。
-
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
-
以滑鼠右鍵按一下 通訊協定 金鑰,指向 [ 新增],然後按一下 [ 按鍵]。
-
輸入 SSL 3,然後按 Enter。
-
重複步驟 3 和 4,建立 TLS 0、TLS 1.1 和 TLS 1.2 的金鑰。 這些按鍵與目錄類似。
-
在每個SSL 3、TLS 1.0、TLS 1.1 和 TLS 1.2按鍵底下建立客戶端金鑰和伺服器金鑰。
-
若要啟用通訊協定,請在每個用戶端和伺服器金鑰底下建立 DWORD 值,如下所示:
DisabledByDefault [Value = 0]
已啟用 [值 = 1]
若要停用通訊協定,請變更每個用戶端和伺服器金鑰底下的 DWORD 值,如下所示:DisabledByDefault [Value = 1]
已啟用 [值 = 0] -
按一下 [檔案] 功能表的 [結束]。
方法 2:自動修改登錄
在系統管理員模式中執行下列Windows PowerShell腳本以自動設定 Windows 僅使用 TLS 1.2 通訊協定:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach($Protocol in $ProtocolList)
{
Write-Host " In 1st For loop"
foreach($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Host " Current Registry Path $currentRegPath"
if(!(Test-Path $currentRegPath))
{
Write-Host "creating the registry"
New-Item -Path $currentRegPath -Force | out-Null
}
if($Protocol -eq "TLS 1.2")
{
Write-Host "Working for TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Host "Working for other protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
}
}
}
Exit 0
將 System Center 設定為僅使用 TLS 1.2
將 System Center 設定為只使用 TLS 1.2 通訊協定。 若要這麼做,請先確認符合所有先決條件。 然後,在 System Center 元件以及安裝代理程式的所有其他伺服器上進行下列設定。
使用下列其中一種方法。
方法 1:手動修改登錄
重要
請仔細遵循本節中的步驟。 如果您不正確地修改登錄,可能會發生嚴重問題。 修改之前,請先備份還原用的登錄,以防發生問題。
若要啟用安裝以支援 TLS 1.2 通訊協定,請遵循下列步驟:
-
啟動 [登錄編輯程式]。 若要這麼做,請以滑鼠右鍵按一下[開始],在 [執行] 方塊中輸入regedit,然後按一下 [確定]。
-
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
-
在此機碼底下建立下列 DWORD 值:
SchUseStnerCrypto [Value = 1]
-
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
-
在此機碼底下建立下列 DWORD 值:
SchUseStnerCrypto [Value = 1]
-
重新開機系統。
方法 2:自動修改登錄
在系統管理員模式中執行下列Windows PowerShell腳本以自動將 System Center 設定為僅使用 TLS 1.2 通訊協定:
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
其他設定
Operations Manager
管理套件
匯入 System Center 2016 Operations Manager 的管理套件。 安裝伺服器更新之後,這些專案位於下列目錄中:
\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups
ACS 設定
若是 ACS ( (集合服務) ,您必須在登錄中進行其他變更。 ACS 會使用 DSN 連線到資料庫。 您必須更新 DSN 設定,才能讓 TLS 1.2 運作。
-
在登錄中尋找下列 ODBC 子機碼。
注意 DSN 的預設名稱是OpsMgrAC。
-
在 ODBC 資料來源 子機碼中,選取 DSN 名稱OpsMgrAC的專案。 這包含要用於資料庫連線的 ODBC 驅動程式名稱。 如果您已安裝 ODBC 11.0,請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 11。 或者,如果您已安裝 ODBC 13.0,請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 13。
-
在OpsMgrAC 子機碼中,更新已安裝 ODBS 版本的 驅動 程式專案。
-
如果已安裝 ODBC 11.0,請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql11.dll。
-
如果已安裝 ODBC 13.0,請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql13.dll。
-
或者,在記事本或其他文字編輯器中建立並儲存下列 .reg 檔案。 若要執行已儲存的 .reg 檔案,請按兩下該檔案。
若是ODBC 11.0,請建立下列 ODBC 11.0.reg 檔案:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源]「OpsMgrAC」=「ODBC Driver 11 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql11.dll」
若是ODBC 13.0,請建立下列 ODBC 13.0.reg 檔案:
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源]「OpsMgrAC」=「ODBC Driver 13 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql13.dll」
-
Linux 中的 TLS 硬化
請依照適當網站上的指示,在 您的紅帽 或 快取 環境中設定 TLS 1.2。
Data Protection Manager
若要讓 Data Protection Manager 與 TLS 1.2 共同作業以備份到雲端,請在 Data Protection Manager 伺服器上啟用這些步驟。
協調器
安裝協調器更新之後,根據這些指導方針,使用現有的資料庫重新設定協調器資料庫。
協力廠商連絡資訊免責聲明
Microsoft 提供協力廠商連絡資訊,以協助您尋找有關此主題的其他資訊。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。