Freigeben über


Aktivieren von TLS 1.2

Gilt für: Configuration Manager (aktueller Branch)

Transport Layer Security (TLS) ist wie Secure Sockets Layer (SSL) ein Verschlüsselungsprotokoll, das die Sicherheit von Daten bei der Übertragung über ein Netzwerk gewährleisten soll. In diesen Artikeln werden schritte beschrieben, die erforderlich sind, um sicherzustellen, dass Configuration Manager sichere Kommunikation das TLS 1.2-Protokoll verwendet. In diesen Artikeln werden auch Updateanforderungen für häufig verwendete Komponenten und die Problembehandlung für häufige Probleme beschrieben.

Aktivieren von TLS 1.2

Configuration Manager setzt für die sichere Kommunikation auf viele verschiedene Komponenten. Das Protokoll, das für eine bestimmte Verbindung verwendet wird, hängt von den Funktionen der relevanten Komponenten auf Client- und Serverseite ab. Wenn eine Komponente veraltet oder nicht ordnungsgemäß konfiguriert ist, verwendet die Kommunikation möglicherweise ein älteres, weniger sicheres Protokoll. Um Configuration Manager ordnungsgemäß für die Unterstützung von TLS 1.2 für die gesamte sichere Kommunikation zu aktivieren, müssen Sie TLS 1.2 für alle erforderlichen Komponenten aktivieren. Die erforderlichen Komponenten hängen von Ihrer Umgebung und den Configuration Manager Features ab, die Sie verwenden.

Wichtig

Starten Sie diesen Prozess mit den Clients, insbesondere mit früheren Versionen von Windows. Bevor Sie TLS 1.2 aktivieren und die älteren Protokolle auf den Configuration Manager Servern deaktivieren, stellen Sie sicher, dass alle Clients TLS 1.2 unterstützen. Andernfalls können die Clients nicht mit den Servern kommunizieren und verwaist sein.

Aufgaben für Configuration Manager Clients, Standortserver und Remotestandortsysteme

Um TLS 1.2 für Komponenten zu aktivieren, von denen Configuration Manager für die sichere Kommunikation abhängt, müssen Sie mehrere Aufgaben sowohl auf den Clients als auch auf den Standortservern ausführen.

Aktivieren von TLS 1.2 für Configuration Manager Clients

Aktivieren von TLS 1.2 für Configuration Manager Standortserver und Remotestandortsysteme

Features und Szenarioabhängigkeiten

In diesem Abschnitt werden die Abhängigkeiten für bestimmte Configuration Manager Features und Szenarien beschrieben. Um die nächsten Schritte zu bestimmen, suchen Sie die Elemente, die für Ihre Umgebung gelten.

Feature oder Szenario Aktualisieren von Vorgängen
Standortserver (zentral, primär oder sekundär) - .NET Framework aktualisieren
– Überprüfen der Einstellungen für starke Kryptografie
Standortdatenbankserver Aktualisieren SQL Server und der zugehörigen Clientkomponenten
Sekundäre Standortserver Aktualisieren SQL Server und der zugehörigen Clientkomponenten auf eine kompatible Version von SQL Server Express
Standortsystemrollen - Aktualisieren .NET Framework und Überprüfen starker Kryptografieeinstellungen
- Aktualisieren SQL Server und der zugehörigen Clientkomponenten für Rollen, die dies erfordern, einschließlich der SQL Server Native Client
Reporting Services-Punkt - Aktualisieren sie .NET Framework auf dem Standortserver, den SQL Server Reporting Services-Servern und allen Computern mit der -Konsole.
– Starten Sie den SMS_Executive-Dienst nach Bedarf neu.
Softwareupdatepunkt WSUS aktualisieren
Cloudverwaltungsgateway Erzwingen von TLS 1.2
Configuration Manager-Konsole - .NET Framework aktualisieren
– Überprüfen der Einstellungen für starke Kryptografie
Configuration Manager-Client mit HTTPS-Standortsystemrollen Aktualisieren von Windows zur Unterstützung von TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP
Softwarecenter - .NET Framework aktualisieren
– Überprüfen der Einstellungen für starke Kryptografie
Windows 7-Clients Bevor Sie TLS 1.2 für Serverkomponenten aktivieren, aktualisieren Sie Windows, um TLS 1.2 für die Client-Server-Kommunikation mithilfe von WinHTTP zu unterstützen. Wenn Sie TLS 1.2 zuerst für Serverkomponenten aktivieren, können Sie frühere Versionen von Clients verwaisten.

Häufig gestellte Fragen

Gründe für die Verwendung von TLS 1.2 mit Configuration Manager

TLS 1.2 ist sicherer als die vorherigen kryptografischen Protokolle wie SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1. Im Wesentlichen sorgt TLS 1.2 dafür, dass Daten, die über das Netzwerk übertragen werden, sicherer werden.

Wo verwenden Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2?

Es gibt im Wesentlichen fünf Bereiche, in denen Configuration Manager Verschlüsselungsprotokolle wie TLS 1.2 verwenden:

  • Clientkommunikation mit IIS-basierten Standortserverrollen, wenn die Rolle für die Verwendung von HTTPS konfiguriert ist. Beispiele für diese Rollen sind Verteilungspunkte, Softwareupdatepunkte und Verwaltungspunkte.
  • Verwaltungspunkt-, SMS Executive- und SMS-Anbieterkommunikation mit SQL. Configuration Manager verschlüsselt immer SQL Server Kommunikation.
  • Kommunikation zwischen Standortserver und WSUS, wenn WSUS für die Verwendung von HTTPS konfiguriert ist.
  • Die Configuration Manager Konsole zum SQL Server Reporting Services (SSRS), wenn SSRS für die Verwendung von HTTPS konfiguriert ist.
  • Alle Verbindungen mit internetbasierten Diensten. Beispiele hierfür sind das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG), die Dienstverbindungspunktsynchronisierung und die Synchronisierung von Updatemetadaten aus Microsoft Update.

Was bestimmt, welches Verschlüsselungsprotokoll verwendet wird?

HTTPS verhandelt immer die höchste Protokollversion, die sowohl vom Client als auch vom Server in einer verschlüsselten Konversation unterstützt wird. Beim Herstellen einer Verbindung sendet der Client eine Nachricht mit dem höchsten verfügbaren Protokoll an den Server. Wenn der Server dieselbe Version unterstützt, sendet er eine Nachricht mit dieser Version. Diese ausgehandelte Version ist die Version, die für die Verbindung verwendet wird. Wenn der Server die vom Client bereitgestellte Version nicht unterstützt, wird in der Servermeldung die höchste Version angegeben, die er verwenden kann. Weitere Informationen zum TLS-Handshakeprotokoll finden Sie unter Einrichten einer sicheren Sitzung mithilfe von TLS.

Was bestimmt, welche Protokollversion der Client und Server verwenden können?

Im Allgemeinen können die folgenden Elemente bestimmen, welche Protokollversion verwendet wird:

  • Die Anwendung kann diktieren, welche spezifischen Protokollversionen ausgehandelt werden sollen.
    • Bewährte Methode schreibt vor, die Hartcodierung bestimmter Protokollversionen auf Anwendungsebene zu vermeiden und die auf Komponenten- und Betriebssystemprotokollebene definierte Konfiguration zu befolgen.
    • Configuration Manager folgt dieser bewährten Methode.
  • Bei Anwendungen, die mit dem .NET Framework geschrieben wurden, hängen die Standardprotokollversionen von der Version des Frameworks ab, auf dem sie kompiliert wurden.
    • .NET-Versionen vor 4.6.3 enthielten TLS 1.1 und 1.2 standardmäßig nicht in der Liste der Protokolle für die Aushandlung.
  • Anwendungen, die WinHTTP für die HTTPS-Kommunikation verwenden, wie der Configuration Manager-Client, hängen von der Betriebssystemversion, der Patchebene und der Konfiguration für die Unterstützung der Protokollversion ab.

Zusätzliche Ressourcen

Nächste Schritte