Sign in with Microsoft
New to Microsoft? Create an account.

摘要

本文說明如何在 Microsoft System Center 2016 環境中啟用傳輸層安全 (TLS) 通訊協定版本 1.2。

其他相關資訊

若要在您的 System Center 環境中啟用 TLS 通訊協定版本 1.2,請遵循下列步驟:

  1. 從發行版本安裝更新

    附註

    • 服務管理自動化 (SMA) 與服務提供者 Foundation (SPF) 必須升級至最新的更新彙總套件套件,因為 UR4 沒有這些元件的任何更新。

    • 對於服務管理自動化 (SMA) ,請升級至 更新彙總套件 1,並從 這個 Microsoft 下載中心網頁更新 SMA 管理套件 (MP) 。

    • 若是服務提供者 Foundation (SPF) ,請升級至 更新彙總套件 2

    • System Center Virtual Machine Manager (SCVMM) 至少應該升級到更新匯總 3

  2. 請確定設定與您套用更新之前一樣正常運作。 例如,檢查您是否可以啟動主機。

  3. 變更 組態設定 以啟用 TLS 1.2。

  4. 確定所有必要的SQL Server服務都在執行中。


安裝更新

更新活動

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

確認已安裝 Windows Server 2012 R2 或 Windows Server 2016 的所有目前安全性更新 

Yes

Yes

Yes

Yes

Yes

Yes

Yes

確認所有 System Center 元件上都安裝了 .NET Framework 4.6

Yes

Yes

Yes

Yes

Yes

Yes

Yes

安裝支援 TLS 1.2 的必要SQL Server更新

Yes

Yes

Yes

Yes

Yes

Yes

Yes

安裝必要的 System Center 2016 更新

Yes

不是

Yes

Yes

不是

確定 CA 簽署的憑證是 SHA1 或 SHA2

Yes

Yes

Yes

Yes

Yes

Yes

Yes


1 System Center Operations Manager (SCOM)
2 System Center Virtual Machine Manager (SCVMM)
3 System Center Data Protection Manager (SCDPM)
4 System Center Orchestrator (SCO)
5 Service Management Automation (SMA)
6 Service Provider Foundation (SPF)
7Service Manager (SM)


變更組態設定

設定更新

SCOM1

SCVMM2

SCDPM3

SCO4

SMA5

SPF6

SM7

設定 Windows 上僅使用 TLS 1.2 通訊協定

Yes

Yes

Yes

Yes

Yes

Yes

Yes

將 System Center 設定為僅使用 TLS 1.2 通訊協定

Yes

Yes

Yes

Yes

Yes

Yes

Yes

其他設定

Yes

不是

Yes

Yes


.NET Framework 

確定所有 System Center 元件上都安裝了 .NET Framework 4.6。 若要這麼做,請依照下列指示進行


TLS 1.2 支援

安裝支援 TLS 1.2 的必要SQL Server更新。 若要這麼做,請參閱 Microsoft 知識庫中的下列文章:

3135244 適用于 Microsoft SQL Server 的 TLS 1.2 支援


必要 System Center 2016 更新

SQL Server 2012 原生用戶端 11.0 應該安裝在下列所有 System Center 元件上。

元件

作用

必要的 SQL 驅動程式

Operations Manager

管理伺服器和網頁主機

SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。

附註: Operations Manager 2016 UR9 及更新版本支援適用于 SQL Server 的 Microsoft OLE DB 驅動程式 18。

Virtual Machine Manager

(不需要)

(不需要)

Orchestrator

Management Server

SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。

附註: 適用于 SQL Server 的 Microsoft OLE DB 驅動程式 18 支援協調器 2016 UR8 及更新版本。

Data Protection Manager

Management Server

SQL Server 2012 Native client 11.0

Service Manager

Management Server

SQL Server 2012 Native client 11.0 或 Microsoft OLE DB Driver 18,適用于SQL Server (建議) 。

附註: SQL Server 版 Microsoft OLE DB 驅動程式 18 支援 Service Manager 2016 UR9 及更新版本。


若要下載並安裝 Microsoft SQL Server 2012 Native Client 11.0,請參閱此 Microsoft 下載中心網頁

若要下載並安裝 Microsoft OLE DB 驅動程式 18,請參閱 此 Microsoft 下載中心網頁

對於 System Center Operations Manager 和 Service Manager,您必須在所有管理伺服器上安裝ODBC 11.0ODBC 13.0

從下列知識庫文章安裝必要的 System Center 2016 更新:

4043305 Microsoft System Center 2016 的更新彙總套件套件 4 說明
 

元件

2016

Operations Manager

System Center 2016 Operations Manager 的更新彙總套件套件 4

Service Manager

System Center 2016 的更新彙總套件 4 Service Manager

Orchestrator

System Center 2016 Orchestrator 的更新彙總套件套件 4

Data Protection Manager

System Center 2016 Data Protection Manager 的更新彙總套件套件 4


注意 請確定您已展開檔案內容,並將 MSP 檔案安裝在相對應的角色上。


SHA1 和 SHA2 憑證

System Center 元件現在會產生 SHA1 和 SHA2 自我簽署憑證。 若要啟用 TLS 1.2,必須使用此功能。 如果使用 CA 簽署的憑證,請確定憑證為 SHA1 或 SHA2。

將 Windows 設定為僅使用 TLS 1.2

使用下列其中一種方法將 Windows 設定為僅使用 TLS 1.2 通訊協定。

方法 1:手動修改登錄

重要
請仔細遵循本節中的步驟。 如果您不正確地修改登錄,可能會發生嚴重問題。 修改之前,請先備份還原用的登錄,以防發生問題。

使用下列步驟啟用/停用全系統的所有 SCHANNEL 通訊協定。 建議您為傳入通訊啟用 TLS 1.2 通訊協定;並為所有外寄通訊啟用 TLS 1.2、TLS 1.1 和 TLS 1.0 通訊協定。

附註: 進行這些登錄變更並不會影響 Kerberos 或 NTLM 通訊協定的使用。

  1. 啟動 [登錄編輯程式]。 若要這麼做,請以滑鼠右鍵按一下[開始],在 [執行] 方塊中輸入regedit,然後按一下 [確定]

  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

  3. 以滑鼠右鍵按一下 通訊協定 金鑰,指向 [ 新增],然後按一下 [ 按鍵]

    註冊 表

  4. 輸入 SSL 3,然後按 Enter。

  5. 重複步驟 3 和 4,建立 TLS 0、TLS 1.1 和 TLS 1.2 的金鑰。 這些按鍵與目錄類似。

  6. 在每個SSL 3TLS 1.0、TLS 1.1 和 TLS 1.2按鍵底下建立客戶端金鑰和伺服器金鑰。

  7. 若要啟用通訊協定,請在每個用戶端和伺服器金鑰底下建立 DWORD 值,如下所示:

    DisabledByDefault [Value = 0]
    已啟用 [值 = 1]
    若要停用通訊協定,請變更每個用戶端和伺服器金鑰底下的 DWORD 值,如下所示:

    DisabledByDefault [Value = 1]
    已啟用 [值 = 0]

  8. 按一下 [檔案] 功能表的 [結束]


方法 2:自動修改登錄

在系統管理員模式中執行下列Windows PowerShell腳本以自動設定 Windows 僅使用 TLS 1.2 通訊協定:

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$Enabled = "Enabled"
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach($Protocol in $ProtocolList)
{
    Write-Host " In 1st For loop"
	foreach($key in $ProtocolSubKeyList)
	{		
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Host " Current Registry Path $currentRegPath"
		
		if(!(Test-Path $currentRegPath))
		{
		    Write-Host "creating the registry"
			New-Item -Path $currentRegPath -Force | out-Null			
		}
		if($Protocol -eq "TLS 1.2")
		{
		    Write-Host "Working for TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null
		
		}
		else
		{
		    Write-Host "Working for other protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null
		}	
	}
}

Exit 0

將 System Center 設定為僅使用 TLS 1.2

將 System Center 設定為只使用 TLS 1.2 通訊協定。 若要這麼做,請先確認符合所有先決條件。 然後,在 System Center 元件以及安裝代理程式的所有其他伺服器上進行下列設定。

使用下列其中一種方法。

方法 1:手動修改登錄

重要
請仔細遵循本節中的步驟。 如果您不正確地修改登錄,可能會發生嚴重問題。 修改之前,請先備份還原用的登錄,以防發生問題。

若要啟用安裝以支援 TLS 1.2 通訊協定,請遵循下列步驟:

  1. 啟動 [登錄編輯程式]。 若要這麼做,請以滑鼠右鍵按一下[開始],在 [執行] 方塊中輸入regedit,然後按一下 [確定]

  2. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

  3. 在此機碼底下建立下列 DWORD 值:

    SchUseStnerCrypto [Value = 1]

  4. 找出下列登錄子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

  5. 在此機碼底下建立下列 DWORD 值:

    SchUseStnerCrypto [Value = 1]

  6. 重新開機系統。


方法 2:自動修改登錄

在系統管理員模式中執行下列Windows PowerShell腳本以自動將 System Center 設定為僅使用 TLS 1.2 通訊協定:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

其他設定

Operations Manager

管理套件

匯入 System Center 2016 Operations Manager 的管理套件。 安裝伺服器更新之後,這些專案位於下列目錄中:

\Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups

ACS 設定

若是 ACS ( (集合服務) ,您必須在登錄中進行其他變更。 ACS 會使用 DSN 連線到資料庫。 您必須更新 DSN 設定,才能讓 TLS 1.2 運作。

  1. 在登錄中尋找下列 ODBC 子機碼。

    注意 DSN 的預設名稱是OpsMgrAC

    ODBC.INI子機碼

  2. ODBC 資料來源 子機碼中,選取 DSN 名稱OpsMgrAC的專案。 這包含要用於資料庫連線的 ODBC 驅動程式名稱。 如果您已安裝 ODBC 11.0,請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 11。 或者,如果您已安裝 ODBC 13.0,請將此名稱變更為適用于 SQL Server 的 ODBC 驅動程式 13

    ODBC 資料來源子機碼

  3. OpsMgrAC 子機碼中,更新已安裝 ODBS 版本的 驅動 程式專案。

    OpsMgrAC 子機碼

    • 如果已安裝 ODBC 11.0,請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql11.dll

    • 如果已安裝 ODBC 13.0,請將 [驅動 程式] 專案變更為%WINDIR%\system32\msodbcsql13.dll

    • 或者,在記事本或其他文字編輯器中建立並儲存下列 .reg 檔案。 若要執行已儲存的 .reg 檔案,請按兩下該檔案。

      若是ODBC 11.0,請建立下列 ODBC 11.0.reg 檔案:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源]「OpsMgrAC」=「ODBC Driver 11 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql11.dll」

      若是ODBC 13.0,請建立下列 ODBC 13.0.reg 檔案:
        [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC 資料來源]「OpsMgrAC」=「ODBC Driver 13 for SQL Server」 [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC] 「Driver」=「%WINDIR%\\system32\\msodbcsql13.dll」

Linux 中的 TLS 硬化

請依照適當網站上的指示,在 您的紅帽快取 環境中設定 TLS 1.2。


Data Protection Manager

若要讓 Data Protection Manager 與 TLS 1.2 共同作業以備份到雲端,請在 Data Protection Manager 伺服器上啟用這些步驟


協調器

安裝協調器更新之後,根據這些指導方針,使用現有的資料庫重新設定協調器資料庫。

協力廠商連絡資訊免責聲明

Microsoft 提供協力廠商連絡資訊,以協助您尋找有關此主題的其他資訊。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?

感謝您的意見反應!

×