Jak povolit TLS 1,2 na klientechHow to enable TLS 1.2 on clients

Platí pro: Configuration Manager (Current Branch)Applies to: Configuration Manager (Current Branch)

Při povolování protokolu TLS 1,2 pro prostředí Configuration Manager Začněte tím, že zajistíte, aby klienti měli možnost používat protokol TLS 1,2 před povolením TLS 1,2 a zakázali starší protokoly na serverech lokality a vzdálených systémech lokality.When enabling TLS 1.2 for your Configuration Manager environment, start by ensuring the clients are capable and properly configured to use TLS 1.2 before enabling TLS 1.2 and disabling the older protocols on the site servers and remote site systems. Existují tři úlohy pro povolení TLS 1,2 na klientech:There are three tasks for enabling TLS 1.2 on clients:

  • Aktualizovat Windows a WinHTTPUpdate Windows and WinHTTP
  • Ujistěte se, že je protokol TLS 1,2 povolený jako protokol pro zprostředkovatele SChannel na úrovni operačního systému.Ensure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level
  • Aktualizace a konfigurace .NET Framework pro podporu TLS 1,2Update and configure the .NET Framework to support TLS 1.2

Další informace o závislostech pro konkrétní Configuration Manager funkce a scénáře najdete v tématu o povolování TLS 1,2.For more information about dependencies for specific Configuration Manager features and scenarios, see About enabling TLS 1.2.

Aktualizovat Windows a WinHTTPUpdate Windows and WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 a novější verze Windows nativně podporují protokol 1,2 TLS pro komunikaci mezi klientem a serverem přes WinHTTP.Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016, and later versions of Windows natively support TLS 1.2 for client-server communications over WinHTTP.

Starší verze Windows, třeba Windows 7 nebo Windows Server 2012, ve výchozím nastavení nepovolujte TLS 1,1 nebo TLS 1,2 standardně pro zabezpečenou komunikaci pomocí protokolu WinHTTP.Earlier versions of Windows, such as Windows 7 or Windows Server 2012, don't enable TLS 1.1 or TLS 1.2 by default for secure communications using WinHTTP. Pro tyto starší verze Windows nainstalujte Update 3140245 , aby se aktivovala níže uvedená hodnota registru, kterou je možné nastavit tak, aby se v seznamu výchozích zabezpečených protokolů pro WinHTTP přidal protokol TLS 1,1 a TLS 1,2.For these earlier versions of Windows, install Update 3140245 to enable the registry value below, which can be set to add TLS 1.1 and TLS 1.2 to the default secure protocols list for WinHTTP. Při instalaci opravy vytvořte následující hodnoty registru:With the patch installed, create the following registry values:

Důležité

Před povolením TLS 1,2 a zakázáním starších protokolů na serverech Configuration Manager povolte tato nastavení na všech klientech, kteří používají starší verze Windows.Enable these settings on all clients running earlier versions of Windows before enabling TLS 1.2 and disabling the older protocols on the Configuration Manager servers. V opačném případě je můžete omylem osamocení.Otherwise, you can inadvertently orphan them.

Ověřte hodnotu DefaultSecureProtocols nastavení registru, například:Verify the value of the DefaultSecureProtocols registry setting, for example:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Pokud tuto hodnotu změníte, restartujte počítač.If you change this value, restart the computer.

Výše uvedený příklad ukazuje hodnotu 0xAA0 pro DefaultSecureProtocols nastavení WinHTTP.The example above shows the value of 0xAA0 for the WinHTTP DefaultSecureProtocols setting. Aktualizace povolující tls 1,1 a tls 1,2 jako výchozí zabezpečené protokoly v WinHTTP v systému Windows uvádí hexadecimální hodnotu pro každý protokol.Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows lists the hexadecimal value for each protocol. Ve výchozím nastavení ve Windows je tato hodnota 0x0A0 pro WinHTTP povolená SSL 3,0 a TLS 1,0.By default in Windows, this value is 0x0A0 to enable SSL 3.0 and TLS 1.0 for WinHTTP. Následující příklad uchovává tyto výchozí hodnoty a zároveň umožňuje protokol TLS 1,1 a TLS 1,2 pro WinHTTP.The above example keeps these defaults, and also enables TLS 1.1 and TLS 1.2 for WinHTTP. Tato konfigurace zajišťuje, že změna neruší žádnou jinou aplikaci, která by mohla být závislá na protokolu SSL 3,0 nebo TLS 1,0.This configuration ensures that the change doesn't break any other application that might still rely on SSL 3.0 or TLS 1.0. Hodnotu můžete použít 0xA00 jenom k povolení tls 1,1 a tls 1,2.You can use the value of 0xA00 to only enable TLS 1.1 and TLS 1.2. Configuration Manager podporuje nejbezpečnější protokol, který systém Windows vyjednává mezi oběma zařízeními.Configuration Manager supports the most secure protocol that Windows negotiates between both devices.

Pokud chcete zcela zakázat protokol SSL 3,0 a TLS 1,0, použijte nastavení protokoly SChannel Disabled v systému Windows.If you want to completely disable SSL 3.0 and TLS 1.0, use the SChannel disabled protocols setting in Windows. Další informace najdete v tématu omezení používání určitých kryptografických algoritmů a protokolů v Schannel.dll.For more information, see Restrict the use of certain cryptographic algorithms and protocols in Schannel.dll.

Ujistěte se, že je protokol TLS 1,2 povolený jako protokol pro zprostředkovatele SChannel na úrovni operačního systému.Ensure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level

Ve výchozím nastavení je povolený protokol TLS 1,2.TLS 1.2 is enabled by default. Proto není nutné žádné změny těchto klíčů povolit.Therefore, no change to these keys is needed to enable it. Můžete provést změny v části Protocols zakázání TLS 1,0 a tls 1,1 poté, co jste postupovali podle těchto pokynů v těchto článcích, a ověříte, že prostředí funguje, pokud je povolené jenom TLS 1,2.You can make changes under Protocols to disable TLS 1.0 and TLS 1.1 after you've followed the rest of the guidance in these articles and you've verified that the environment works when only TLS 1.2 enabled.

Ověřte \SecurityProviders\SCHANNEL\Protocols nastavení podklíče registru, jak je znázorněno v doporučených postupech TLS (Transport Layer Security) s .NET Framework.Verify the \SecurityProviders\SCHANNEL\Protocols registry subkey setting, as shown in Transport layer security (TLS) best practices with the .NET Framework.

Aktualizace a konfigurace .NET Framework pro podporu TLS 1,2Update and configure the .NET Framework to support TLS 1.2

Určení verze rozhraní .NETDetermine .NET version

Nejprve určete nainstalované verze rozhraní .NET.First, determine the installed .NET versions. Další informace najdete v tématu určení, které verze a úrovně aktualizace Service pack .NET Framework jsou nainstalovány.For more information, see Determine which versions and service pack levels of .NET Framework are installed.

Nainstalovat aktualizace .NETInstall .NET updates

Nainstalujte aktualizace .NET, abyste mohli povolit silné šifrování.Install the .NET updates so you can enable strong cryptography. Některé verze .NET Framework mohou vyžadovat aktualizace pro povolení silné kryptografie.Some versions of .NET Framework might require updates to enable strong cryptography. Použijte tyto pokyny:Use these guidelines:

  • NET Framework 4.6.2 a novější podporuje TLS 1,1 a TLS 1,2.NET Framework 4.6.2 and later supports TLS 1.1 and TLS 1.2. Potvrďte nastavení registru, ale nevyžadují se žádné další změny.Confirm the registry settings, but no additional changes are required.

  • Aktualizujte rozhraní .NET Framework 4,6 a starší verze na podporu TLS 1,1 a TLS 1,2.Update NET Framework 4.6 and earlier versions to support TLS 1.1 and TLS 1.2. Další informace najdete v tématu .NET Framework verze a závislosti.For more information, see .NET Framework versions and dependencies.

  • Pokud používáte .NET Framework 4.5.1 nebo 4.5.2 v Windows 8.1 nebo Windows Serveru 2012, jsou relevantní aktualizace a podrobnosti dostupné taky z webu Stažení softwaru.If you're using .NET Framework 4.5.1 or 4.5.2 on Windows 8.1 or Windows Server 2012, the relevant updates and details are also available from the Download Center.

Konfigurace pro silné šifrováníConfigure for strong cryptography

Nakonfigurujte .NET Framework pro podporu silné kryptografie.Configure .NET Framework to support strong cryptography. Nastavte SchUseStrongCrypto nastavení registru na DWORD:00000001 .Set the SchUseStrongCrypto registry setting to DWORD:00000001. Tato hodnota zakáže šifru datového proudu RC4 a vyžaduje restart.This value disables the RC4 stream cipher and requires a restart. Další informace o tomto nastavení najdete v článku Microsoft Security advisor 296038.For more information about this setting, see Microsoft Security Advisory 296038.

Nezapomeňte nastavit následující klíče registru v jakémkoli počítači, který komunikuje v síti pomocí systému s povoleným protokolem TLS 1,2.Make sure to set the following registry keys on any computer that communicates across the network with a TLS 1.2-enabled system. Například Configuration Manager klienti, role vzdálených systémů lokality nejsou nainstalovány na serveru lokality a samotného serveru lokality.For example, Configuration Manager clients, remote site system roles not installed on the site server, and the site server itself.

Pro 32 aplikací, které běží na 32 OSs a pro 64-bitové aplikace, které běží 64 na 16bitové službě OSs, aktualizujte následující hodnoty podklíče:For 32-bit applications that are running on 32-bit OSs and for 64-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Pro 32 aplikací, které běží na 64 OSs, aktualizujte následující hodnoty podklíče:For 32-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Poznámka

SchUseStrongCryptoNastavení umožňuje rozhraní .NET používat tls 1,1 a tls 1,2.The SchUseStrongCrypto setting allows .NET to use TLS 1.1 and TLS 1.2. SystemDefaultTlsVersionsNastavení umožňuje technologii .NET používat konfiguraci operačního systému.The SystemDefaultTlsVersions setting allows .NET to use the OS configuration. Další informace najdete v tématu osvědčené postupy TLS s .NET Framework.For more information, see TLS best practices with the .NET Framework.

Další krokyNext steps