適用于 System Center 2016 的 TLS 1.2 通訊協定支援部署指南

摘要

本文說明如何在 Microsoft System Center 2016 環境中啟用傳輸層安全性(TLS)通訊協定版本1.2。

其他相關資訊

若要在系統中心環境中啟用 TLS 協定版本1.2,請遵循下列步驟:

  1. 從發行版本本安裝更新注意事項

    • 服務管理自動化(SMA)和服務提供者基礎(SPF)必須升級至其最新的更新彙總套件,因為 UR4 沒有這些元件的任何更新。

    • 若為服務管理自動化(SMA),請升級至更新彙總套件 1,也就是從這個 MICROSOFT 下載中心網頁PDATE SMA 管理套件(MP)。

    • 針對服務提供者基礎(SPF),請升級至更新彙總套件 2

    • 系統中心虛擬機器管理員(SCVMM)應升級至至少更新彙總套件 3

  2. 確定設定在您套用更新之前的功能是否正常。 例如,請檢查您是否可以啟動主控台。

  3. 變更設定以啟用 TLS 1.2。

  4. 請確定所有必要的 SQL Server 服務都在執行中。

安裝更新

更新活動

SCOM1

SCVMM2

SCDPM3

SCO4

SMA500

SPF6

SM7

確認已針對 Windows Server 2012 R2 或 Windows Server 2016 安裝所有目前的安全性更新 

Yes

Yes

Yes

Yes

Yes

Yes

確認已在所有 System Center 元件上安裝 .NET Framework 4。6

 

Yes

 

Yes

Yes

Yes

Yes

Yes

安裝支援 TLS 1.2 的必要 SQL Server 更新

Yes

Yes

Yes

Yes

Yes

Yes

安裝所需的 System Center 2016 更新

Yes

確認 CA 簽署的憑證為 SHA1 或 SHA2

Yes

Yes

Yes

Yes

Yes

Yes

1 系統中心作業管理員(SCOM) 2 系統中心虛擬機器管理員(SCVMM) 3 系統中心資料保護管理員(SCDPM) 4 System Center Orchestrator (SCO) 500 服務管理自動化(SMA) 6 服務提供者基礎(SPF) 7 服務管理員(SM)

變更設定

配置更新

SCOM1

SCVMM2

SCDPM3

SCO4

SMA500

SPF6

SM7

在 Windows 上設定為僅使用 TLS 1.2 通訊協定

Yes

Yes

Yes

Yes

Yes

Yes

將系統中心設定為僅使用 TLS 1.2 通訊協定

Yes

Yes

Yes

Yes

Yes

Yes

其他設定

Yes

.NET Framework 

請確認已在所有 System Center 元件上安裝 .NET Framework 4.6。 若要這樣做,請依照下列指示進行。

TLS 1.2 支援

安裝支援 TLS 1.2 的必要 SQL Server 更新。 若要這樣做,請參閱 Microsoft 知識庫中的下列文章:

3135244 Microsoft SQL Server 的 TLS 1.2 支援

所需的 System Center 2016 更新

您應該在所有下列 System Center 元件上安裝 SQL Server 2012 原生用戶端11.0。

元件

角色

所需的 SQL 驅動程式

Operations Manager

管理伺服器與網頁主控台

SQL Server 2012 原生用戶端11.0 或適用于 SQL Server 18 的 Microsoft OLE DB 驅動程式(建議使用)。

注意: Operations Manager 2016 UR9 及更新版本支援 SQL Server 18 版 Microsoft OLE DB 驅動程式。

Virtual Machine Manager

(不需要)

(不需要)

Orchestrator

管理伺服器

SQL Server 2012 原生用戶端11.0 或適用于 SQL Server 18 的 Microsoft OLE DB 驅動程式(建議使用)。

注意: Orchestrator 2016 UR8 及更新版本支援 SQL Server 18 版 Microsoft OLE DB 驅動程式。

Data Protection Manager

管理伺服器

SQL Server 2012 原生用戶端11。0

Service Manager

管理伺服器

SQL Server 2012 原生用戶端11.0 或適用于 SQL Server 18 的 Microsoft OLE DB 驅動程式(建議使用)。

注意: Service Manager 2016 UR9 及更新版本支援適用于 SQL Server 18 for SQL Server 的 Microsoft OLE DB 驅動程式。

若要下載並安裝 Microsoft SQL Server 2012 原生用戶端11.0,請參閱此 Microsoft 下載中心網頁

若要下載並安裝 Microsoft OLE DB 驅動程式18,請參閱此 Microsoft 下載中心網頁

針對 System Center Operations Manager 和 Service Manager,您必須在所有管理伺服器上安裝ODBC 11.0odbc 13.0

從下列知識庫文章安裝所需的 System Center 2016 更新:

4043305 Microsoft System Center 2016 更新彙總套件4的說明  

元件

2016

Operations Manager

System Center 2016 Operations Manager 的更新彙總套件 4

Service Manager

System Center 2016 Service Manager更新彙總套件 4

Orchestrator

System Center 2016 Orchestrator 的更新彙總套件 4

Data Protection Manager

系統中心2016的 [更新彙總套件 4 ] 資料保護管理員

注意: 請確定您已展開檔案內容,並在對應的角色上安裝 MSP 檔案。

SHA1 與 SHA2 憑證

系統中心元件現在會產生 SHA1 與 SHA2 自我簽署的憑證。 若要啟用 TLS 1.2,必須這麼做。 如果您使用的是 CA 簽署的憑證,請確認憑證是 SHA1 或 SHA2。

將 Windows 設定為僅使用 TLS 1。2

使用下列其中一種方法,將 Windows 設定為僅使用 TLS 1.2 通訊協定。

方法1:手動修改登錄

重要 請仔細按照本節中的步驟進行。 如果您不正確地修改註冊,可能會發生嚴重問題。 修改前,請先備份登錄,以進行還原,以防發生案例問題。

使用下列步驟來啟用/停用整個整個系統的 SCHANNEL 通訊協定。 我們建議您為內送通訊啟用 TLS 1.2 通訊協定;並針對所有待發通訊啟用 TLS 1.2、TLS 1.1 及 TLS 1.0 協定。

注意: 變更這些登錄不會影響 Kerberos 或 NTLM 通訊協定的使用。

  1. 啟動 [登錄編輯程式]。 若要這樣做,請以滑鼠右鍵按一下 [開始],在 [執行] 方塊中輸入Regedit ,然後按一下[確定]

  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. 以滑鼠右鍵按一下通訊協定的索引鍵,指向 [新增],然後按一下 [金鑰]。 Registry

  4. 輸入 [ SSL 3],然後按 enter。

  5. 重複步驟3和4,建立 TLS 0、TLS 1.1 和 TLS 1.2 的金鑰。 這些按鍵會類似目錄。

  6. 在每個SSL 3tls 1.0tls 1.1Tls 1.2金鑰下,建立用戶端金鑰和伺服器金鑰。

  7. 若要啟用通訊協定,請在每個用戶端和伺服器金鑰下建立 DWORD 值,如下所示:

    DisabledByDefault [值 = 0] 已啟用 [Value = 1] 若要停用通訊協定,請在每個用戶端和伺服器金鑰下變更 DWORD 值,如下所示:

    DisabledByDefault [Value = 1] 已啟用 [Value = 0]

  8. 按一下 [檔案] 功能表的 [結束]

方法2:自動修改註冊表

在系統管理員模式中執行下列 Windows PowerShell 腳本,自動將 Windows 設定為僅使用 TLS 1.2 通訊協定:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

將系統中心設定為僅使用 TLS 1。2

將系統中心設定為僅使用 TLS 1.2 通訊協定。 若要這樣做,請先確定已滿足所有先決條件。 然後,在系統中心元件以及安裝了代理的所有其他伺服器上,進行下列設定。

使用下列其中一種方法。

方法1:手動修改登錄

重要 請仔細按照本節中的步驟進行。 如果您不正確地修改註冊,可能會發生嚴重問題。 修改前,請先備份登錄,以進行還原,以防發生案例問題。

若要讓安裝支援 TLS 1.2 通訊協定,請遵循下列步驟:

  1. 啟動 [登錄編輯程式]。 若要這樣做,請以滑鼠右鍵按一下 [開始],在 [執行] 方塊中輸入Regedit ,然後按一下[確定]

  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. 在此索引鍵下建立下列 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  4. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. 在此索引鍵下建立下列 DWORD 值:

    SchUseStrongCrypto [Value = 1]

  6. 重新開機系統。

方法2:自動修改註冊表

在系統管理員模式中執行下列 Windows PowerShell 腳本,自動將 System Center 設定為僅使用 TLS 1.2 通訊協定:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

其他設定

Operations Manager

管理套件

匯入 System Center 2016 Operations Manager 的管理套件。 這些內容會在您安裝伺服器更新之後位於下列目錄中:

\Program Files\Microsoft System Center 2016 \ Operations Manager\Server\Management Pack for Update 匯總

ACS 設定

針對審核收集服務(ACS),您必須在註冊表中進行其他變更。 ACS 使用 DSN 來連線至資料庫。 您必須更新 DSN 設定,才能使其能夠正常運作 TLS 1.2。

  1. 在登錄中找到 [ODBC] 的下列子項。 注意: 預設的 DSN 名稱是OpsMgrACODBC.INI subkey

  2. 在 [ ODBC 資料來源] 子項中,選取 DSN 名稱的專案, OpsMgrAC。 這包含要用於資料庫連線的 ODBC 驅動程式的名稱。 如果您已安裝 ODBC 11.0,請將此名稱變更為Odbc Driver 11 FOR SQL Server。 或者,如果您已安裝 ODBC 13.0,請將此名稱變更為Odbc Driver 13 FOR SQL ServerODBC Data Sources subkey

  3. OpsMgrAC子項中,更新已安裝之 ODBS 版本的驅動程式專案。 OpsMgrAC subkey

    • 如果已安裝 ODBC 11.0,請將驅動程式專案變更為 [ %WINDIR%\system32\msodbcsql11.dll]。

    • 如果已安裝 ODBC 13.0,請將驅動程式專案變更為 [ %WINDIR%\system32\msodbcsql13.dll]。

    • 或者,您也可以在記事本或其他文字編輯器中建立及儲存下列 .reg 檔案。 若要執行已儲存的 .reg 檔案,請按兩下該檔案。 針對ODBC 11.0,請建立下列 odbc 11.0 .reg 檔案:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 11 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql11.dll" 針對ODBC 13.0,建立下列 odbc 13.0 .reg 檔案:   [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources] "OpsMgrAC"="ODBC Driver 13 for SQL Server" [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"

Linux 中的 TLS 加強功能

依照適當的網站上的指示,在紅帽Apache環境中設定 TLS 1.2。

Data Protection Manager

若要讓資料保護管理員搭配 TLS 1.2 來備份到雲端,請在資料保護管理員伺服器上啟用這些步驟

Orchestrator

安裝 Orchestrator 更新之後,請依照這些指導方針,使用現有的資料庫來重新配置 orchestrator 資料庫。

 

協力廠商連絡資訊免責聲明

Microsoft 提供協力廠商連絡資訊,以協助您尋找有關此主題的其他資訊。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×