Povolení protokolu TLS 1.2
Platí pro: Configuration Manager (Current Branch)
Protokol TLS (Transport Layer Security), podobně jako PROTOKOL SSL (Secure Sockets Layer), je šifrovací protokol určený k zabezpečení dat při přenosu přes síť. Tyto články popisují kroky potřebné k zajištění, aby Configuration Manager zabezpečená komunikace používala protokol TLS 1.2. Tyto články také popisují požadavky na aktualizace pro běžně používané komponenty a řešení běžných problémů.
Povolení protokolu TLS 1.2
Configuration Manager se při zabezpečené komunikaci spoléhá na mnoho různých komponent. Protokol, který se používá pro dané připojení, závisí na možnostech příslušných komponent na straně klienta i serveru. Pokud je některá součást zastaralá nebo není správně nakonfigurovaná, může komunikace používat starší a méně zabezpečený protokol. Pokud chcete správně povolit Configuration Manager podporovat protokol TLS 1.2 pro veškerou zabezpečenou komunikaci, musíte povolit protokol TLS 1.2 pro všechny požadované součásti. Požadované komponenty závisí na vašem prostředí a Configuration Manager funkcích, které používáte.
Důležité
Tento proces spusťte s klienty, zejména s předchozími verzemi Windows. Před povolením protokolu TLS 1.2 a zakázáním starších protokolů na Configuration Manager serverech se ujistěte, že všichni klienti podporují protokol TLS 1.2. Jinak klienti nemůžou komunikovat se servery a můžou být osamocený.
Úlohy pro Configuration Manager klientů, serverů lokalit a vzdálených systémů lokality
Pokud chcete povolit protokol TLS 1.2 pro komponenty, na kterých Configuration Manager závisí z hlediska zabezpečené komunikace, budete muset na klientech i serverech lokality provést několik úloh.
Povolení protokolu TLS 1.2 pro klienty Configuration Manager
- Aktualizace Windows a WinHTTP na Windows 8.0, Windows Server 2012 (bez R2) a starších verzích
- Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
- Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2
Povolení protokolu TLS 1.2 pro servery lokality Configuration Manager a vzdálené systémy lokality
- Ujistěte se, že je protokol TLS 1.2 povolený jako protokol pro SChannel na úrovni operačního systému.
- Aktualizace a konfigurace rozhraní .NET Framework pro podporu protokolu TLS 1.2
- Aktualizovat SQL Server a SQL Server Native Client
- Update Windows Server Update Services (WSUS)
Funkce a závislosti scénářů
Tato část popisuje závislosti pro konkrétní funkce a scénáře Configuration Manager. Pokud chcete zjistit další kroky, vyhledejte položky, které platí pro vaše prostředí.
| Funkce nebo scénář | Aktualizace úkolů |
|---|---|
| Servery lokality (centrální, primární nebo sekundární) | - Aktualizace rozhraní .NET Framework – Ověření nastavení silné kryptografie |
| Server databáze lokality | Aktualizace SQL Server a jeho klientských komponent |
| Servery sekundární lokality | Aktualizace SQL Server a jeho klientských komponent na vyhovující verzi SQL Server Express |
| Role systému lokality | - Aktualizace rozhraní .NET Framework a ověření nastavení silné kryptografie - Aktualizujte SQL Server a jeho klientské komponenty na rolích, které to vyžadují, včetně SQL Server Native Client |
| Bod služby Reporting Services | - Aktualizace rozhraní .NET Framework na serveru lokality, SQL Server Reporting Services serverech a všech počítačích pomocí konzoly – Podle potřeby restartujte službu SMS_Executive. |
| Bod aktualizace softwaru | Aktualizace služby WSUS |
| Brána pro správu cloudu | Vynucení protokolu TLS 1.2 |
| Configuration Manager konzola | - Aktualizace rozhraní .NET Framework – Ověření nastavení silné kryptografie |
| Configuration Manager klienta s rolemi systému lokality HTTPS | Aktualizace Windows tak, aby podporoval protokol TLS 1.2 pro komunikaci mezi klientem a serverem pomocí WinHTTP |
| Centrum softwaru | - Aktualizace rozhraní .NET Framework – Ověření nastavení silné kryptografie |
| Klienti Windows 7 | Než povolíte protokol TLS 1.2 na všech serverových komponentách, aktualizujte Windows tak, aby podporoval protokol TLS 1.2 pro komunikaci mezi klientem a serverem pomocí WinHTTP. Pokud nejprve povolíte protokol TLS 1.2 na serverových komponentách, můžete osamocit starší verze klientů. |
Nejčastější dotazy
Proč používat protokol TLS 1.2 s Configuration Manager?
TLS 1.2 je bezpečnější než předchozí kryptografické protokoly, jako jsou SSL 2.0, SSL 3.0, TLS 1.0 a TLS 1.1. Protokol TLS 1.2 v podstatě zajišťuje lepší zabezpečení dat přenášených přes síť.
Kde Configuration Manager používat šifrovací protokoly, jako je TLS 1.2?
Existuje v podstatě pět oblastí, které Configuration Manager používají šifrovací protokoly, jako je TLS 1.2:
- Komunikace klienta s rolemi serveru lokality založeného na službě IIS, pokud je tato role nakonfigurovaná tak, aby používala protokol HTTPS. Mezi tyto role patří distribuční body, body aktualizace softwaru a body správy.
- Komunikace bodu správy, sms manažera a poskytovatele sms s SQL. Configuration Manager vždy šifruje SQL Server komunikaci.
- Komunikace mezi serverem lokality a službou WSUS, pokud je služba WSUS nakonfigurovaná tak, aby používala protokol HTTPS.
- Konzola Configuration Manager SQL Server Reporting Services (SSRS), pokud je služba SSRS nakonfigurovaná tak, aby používala protokol HTTPS.
- Všechna připojení k internetovým službám. Mezi příklady patří brána pro správu cloudu (CMG), synchronizace spojovacího bodu služby a synchronizace metadat aktualizací z Microsoft Update.
Co určuje, který šifrovací protokol se použije?
HTTPS vždy vyjedná nejvyšší verzi protokolu, kterou podporuje klient i server v šifrované konverzaci. Při navazování připojení klient odešle na server zprávu s nejvyšším dostupným protokolem. Pokud server podporuje stejnou verzi, odešle zprávu s použitím této verze. Tato vyjednaná verze je ta, která se používá pro připojení. Pokud server nepodporuje verzi prezentovanou klientem, bude ve zprávě serveru uvedena nejvyšší verze, kterou může použít. Další informace o protokolu HANDShake TLS najdete v tématu Vytvoření zabezpečené relace pomocí protokolu TLS.
Co určuje, jakou verzi protokolu může klient a server používat?
Obecně platí, že následující položky můžou určit, jakou verzi protokolu se používá:
- Aplikace může diktovat, které konkrétní verze protokolu se mají vyjednat.
- Osvědčeným postupem je vyhnout se pevnému kódování konkrétních verzí protokolů na úrovni aplikace a dodržovat konfiguraci definovanou na úrovni komponenty a protokolu operačního systému.
- Configuration Manager se řídí tímto osvědčeným postupem.
- U aplikací napsaných pomocí rozhraní .NET Framework závisí výchozí verze protokolu na verzi architektury, na které byly zkompilovány.
- Verze .NET starší než 4.6.3 ve výchozím nastavení nezahrnuly protokoly TLS 1.1 a 1.2 v seznamu protokolů pro vyjednávání.
- Aplikace, které používají WinHTTP pro komunikaci HTTPS, jako je klient Configuration Manager, závisí na verzi operačního systému, úrovni oprav a konfiguraci podpory verzí protokolu.
Další zdroje informací
- Technické reference k kryptografickým ovládacím prvkům
- Osvědčené postupy protokolu TLS (Transport Layer Security) s rozhraním .NET Framework
- 3135244 KB: Podpora protokolu TLS 1.2 pro Microsoft SQL Server
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro