Jak povolit TLS 1,2How to enable TLS 1.2

Platí pro: Configuration Manager (Current Branch)Applies to: Configuration Manager (Current Branch)

Protokol TLS (Transport Layer Security), jako je například SSL (Secure Sockets Layer) (SSL), je šifrovací protokol určený k zajištění zabezpečení dat při přenosu přes síť.Transport Layer Security (TLS), like Secure Sockets Layer (SSL), is an encryption protocol intended to keep data secure when being transferred over a network. Tyto články popisují kroky potřebné k tomu, aby Configuration Manager zabezpečená komunikace používala protokol TLS 1,2.These articles describe steps required to ensure that Configuration Manager secure communication uses the TLS 1.2 protocol. Tyto články také popisují požadavky na aktualizace pro běžně používané komponenty a odstraňování běžných problémů.These articles also describe update requirements for commonly used components and troubleshooting common problems.

Povolení TLS 1,2Enabling TLS 1.2

Configuration Manager spoléhá na řadu různých komponent pro zabezpečenou komunikaci.Configuration Manager relies on a number of different components for secure communication. Protokol použitý pro dané připojení závisí na schopnostech relevantních součástí na straně klienta i serveru.The protocol that's used for a given connection depends on the capabilities of the relevant components on both the client and server side. Pokud je nějaká součást neaktuální nebo není správně nakonfigurovaná, může komunikace používat starší, méně zabezpečený protokol.If any component is out-of-date or not properly configured, the communication might use an older, less secure protocol. Aby bylo možné správně povolit Configuration Manager pro podporu TLS 1,2 pro veškerou zabezpečenou komunikaci, je nutné povolit TLS 1,2 pro všechny požadované součásti.To correctly enable Configuration Manager to support TLS 1.2 for all secure communications, you must enable TLS 1.2 for all required components. Požadované komponenty závisí na vašem prostředí a Configuration Managerch funkcích, které používáte.The required components depend on your environment and the Configuration Manager features that you use.

Důležité

Tento proces spusťte s klienty, zejména s předchozími verzemi Windows.Start this process with the clients, especially previous versions of Windows. Než povolíte protokol TLS 1,2 a zakážete starší protokoly na serverech Configuration Manager, ujistěte se, že všichni klienti podporují protokol TLS 1,2.Before enabling TLS 1.2 and disabling the older protocols on the Configuration Manager servers, make sure that all clients support TLS 1.2. V opačném případě klienti nemůžou komunikovat se servery a můžou být osamocení.Otherwise, the clients can't communicate with the servers and can be orphaned.

Úlohy pro klienty Configuration Manager, servery lokality a vzdálené systémy lokalityTasks for Configuration Manager clients, site servers, and remote site systems

Pokud chcete povolit TLS 1,2 pro součásti, na kterých Configuration Manager závisí na zabezpečené komunikaci, budete muset provést několik úloh na klientech i serverech lokality.To enable TLS 1.2 for components that Configuration Manager depends on for secure communication, you'll need to do multiple tasks on both the clients and the site servers.

Povolit TLS 1,2 pro klienty Configuration ManagerEnable TLS 1.2 for Configuration Manager clients

Povolit TLS 1,2 pro Configuration Manager servery lokality a systémy vzdálené lokalityEnable TLS 1.2 for Configuration Manager site servers and remote site systems

Závislosti funkcí a scénářůFeatures and scenario dependencies

Tato část popisuje závislosti pro konkrétní Configuration Manager funkce a scénáře.This section describes the dependencies for specific Configuration Manager features and scenarios. Chcete-li určit další kroky, vyhledejte položky, které se vztahují k vašemu prostředí.To determine the next steps, locate the items that apply to your environment.

Funkce nebo scénářFeature or scenario Aktualizovat úkolyUpdate tasks
Servery lokality (střední, primární nebo sekundární)Site servers (central, primary, or secondary) - aktualizace .NET Framework- Update .NET Framework
-Ověřit nastavení silné kryptografie- Verify strong cryptography settings
Server databáze lokalitySite database server Aktualizace SQL Server a jejích klientských komponentUpdate SQL Server and its client components
Servery sekundární lokalitySecondary site servers Aktualizace SQL Server a jejích klientských komponent na odpovídající verzi SQL ExpressUpdate SQL Server and its client components to a compliant version of SQL Express
Role systému lokalitySite system roles - aktualizovat .NET Framework a ověřit nastavení silné kryptografie- Update .NET Framework and verify strong cryptography settings
- aktualizovat SQL Server a jeho součásti klienta v rolích, které to vyžadují, včetně SQL Server Native Client- Update SQL Server and its client components on roles that require it, including the SQL Server Native Client
Bod služby Reporting servicesReporting services point - aktualizace .NET Framework na serveru lokality, na serverech služby SQL Reporting Services a na jakémkoli počítači s konzolou nástroje- Update .NET Framework on the site server, the SQL Reporting Services servers, and any computer with the console
– Restartujte službu SMS_Executive podle potřeby.- Restart the SMS_Executive service as necessary
Bod aktualizace softwaruSoftware update point Aktualizace služby WSUSUpdate WSUS
Brána pro správu clouduCloud management gateway Vynutilit TLS 1,2Enforce TLS 1.2
Konzola nástroje Configuration ManagerConfiguration Manager console - aktualizace .NET Framework- Update .NET Framework
-Ověřit nastavení silné kryptografie- Verify strong cryptography settings
Configuration Manager klienta s rolemi systému lokality HTTPSConfiguration Manager client with HTTPS site system roles Aktualizace Windows pro podporu TLS 1,2 pro komunikaci mezi klientem a serverem pomocí WinHTTPUpdate Windows to support TLS 1.2 for client-server communications by using WinHTTP
Centrum softwaruSoftware Center - aktualizace .NET Framework- Update .NET Framework
-Ověřit nastavení silné kryptografie- Verify strong cryptography settings
Klienti se systémem Windows 7Windows 7 clients Než povolíte protokol TLS 1,2 na všech součástech serveru, aktualizujte systém Windows tak, aby podporoval TLS 1,2 pro komunikaci mezi klientem a serverem pomocí protokolu WinHTTP.Before you enable TLS 1.2 on any server components, update Windows to support TLS 1.2 for client-server communications by using WinHTTP. Pokud zapnete protokol TLS 1,2 na součástech serveru jako první, můžete starší verze klientů osamocení.If you enable TLS 1.2 on server components first, you can orphan earlier versions of clients.

Nejčastější dotazyFrequently asked questions

Proč používat TLS 1,2 s Configuration Manager?Why use TLS 1.2 with Configuration Manager?

TLS 1,2 je bezpečnější než u předchozích kryptografických protokolů, jako jsou SSL 2,0, SSL 3,0, TLS 1,0 a TLS 1,1.TLS 1.2 is more secure than the previous cryptographic protocols such as SSL 2.0, SSL 3.0, TLS 1.0, and TLS 1.1. TLS 1,2 v podstatě udržuje data přenášená přes síť bezpečnější.Essentially, TLS 1.2 keeps data being transferred across the network more secure.

Kde Configuration Manager používat šifrovací protokoly jako TLS 1,2?Where does Configuration Manager use encryption protocols like TLS 1.2?

K dispozici jsou v podstatě pět oblastí, které Configuration Manager používá šifrovací protokoly jako TLS 1,2:There are basically five areas that Configuration Manager uses encryption protocols like TLS 1.2:

  • Komunikace klientů s rolemi serveru lokality založené na službě IIS, je-li role nakonfigurována pro použití protokolu HTTPS.Client communications to IIS-based site server roles when the role is configured to use HTTPS. Mezi tyto role patří distribuční body, body aktualizace softwaru a body správy.Examples of these roles include distribution points, software update points, and management points.
  • Komunikace s SQL bodem správy, SMS Executive a poskytovatele SMS.Management point, SMS Executive, and SMS Provider communications with SQL. Configuration Manager vždy šifruje komunikaci SQL.Configuration Manager always encrypts SQL communications.
  • Komunikace mezi serverem lokality WSUS, pokud je služba WSUS nakonfigurovaná na používání protokolu HTTPS.Site Server to WSUS communications if WSUS is configured to use HTTPS.
  • Konzola Configuration Manager do služby SQL Reporting Services (SSRS), pokud je služba SSRS nakonfigurovaná tak, aby používala protokol HTTPS.The Configuration Manager console to SQL Reporting Services (SSRS) if SSRS is configured to use HTTPS.
  • Veškerá připojení k internetovým službám.Any connections to internet-based services. Mezi příklady patří brána pro správu cloudu (CMG), spojovací bod služby a synchronizace metadat aktualizace z Microsoft Update.Examples include the cloud management gateway (CMG), the service connection point sync, and sync of update metadata from Microsoft Update.

Co určuje, který šifrovací protokol se používá?What determines which encryption protocol is used?

Protokol HTTPS bude vždy vyjednávat nejvyšší verzi protokolu, která je podporována klientem i serverem v zašifrované konverzaci.HTTPS will always negotiate the highest protocol version that is supported by both the client and server in an encrypted conversation. Po navázání připojení pošle klient zprávu serveru s nejvyšším dostupným protokolem.On establishing a connection, the client sends a message to the server with its highest available protocol. Pokud server podporuje stejnou verzi, pošle zprávu pomocí této verze.If the server supports the same version, it sends a message using that version. Tato dohodnutá verze je ta, která se používá pro připojení.This negotiated version is the one that is used for the connection. Pokud server nepodporuje verzi, kterou prezentuje klient, bude serverová zpráva určovat nejvyšší verzi, kterou může použít.If the server doesn't support the version presented by the client, the server message will specify the highest version it can use. Další informace o protokolu TLS handshake najdete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.For more information about the TLS Handshake protocol, see Establishing a Secure Session by using TLS.

Co určuje, kterou verzi protokolu může klient a server použít?What determines which protocol version the client and server can use?

Obecně platí, že následující položky mohou určit, která verze protokolu se používá:Generally, the following items can determine which protocol version is used:

  • Aplikace může určit, které konkrétní verze protokolu budou vyjednány.The application can dictate which specific protocol versions to negotiate.
    • Osvědčeným postupem je vyhýbat se tomu, aby na úrovni aplikace byly závislé verze protokolu specifické pro hardwarové kódování a aby následovala konfigurace definovaná na úrovni protokolu součásti a operačního systému.Best practice dictates to avoid hard coding specific protocol versions at the application level and to follow the configuration defined at the component and operating system protocol level.
    • Configuration Manager tímto osvědčeným postupem.Configuration Manager follows this best practice.
  • Pro aplikace napsané pomocí .NET Framework jsou výchozí verze protokolů závislé na verzi rozhraní .NET Framework, na které byly zkompilovány.For applications written using the .NET Framework, the default protocol versions depend on the version of the framework they were compiled upon.
    • Verze .NET před 4.6.3 nezahrnovaly TLS 1,1 a 1,2 v seznamu protokolů pro vyjednávání ve výchozím nastavení..NET versions before 4.6.3 did not include TLS 1.1 and 1.2 in the list of protocols for negotiation, by default.
  • Aplikace, které používají protokol WinHTTP pro komunikaci pomocí protokolu HTTPS, jako je například klient Configuration Manager, závisí na verzi operačního systému, na úrovni oprav a konfiguraci pro podporu verze protokolu.Applications that use WinHTTP for HTTPS communications, like the Configuration Manager client, depend on the operating system version, patch level and configuration for protocol version support.

Další materiály a zdroje informacíAdditional resources

Další krokyNext steps