Einrichten von TLS für Orchestrator
Wichtig
Diese Version von Orchestrator hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Orchestrator 2019 durchzuführen.
In diesem Artikel wird beschrieben, wie Sie tls-Protokollversion 1.2 (Transport Security Layer) mit System Center – Orchestrator einrichten.
Vor der Installation
- Orchestrator sollte Version 2016 mit Updaterollup 4 oder höher/1801/1807/2019 ausführen.
- Sicherheitskorrekturen sollten auf dem Orchestrator auf dem neuesten Stand sein.
- System Center Updates sollten auf dem neuesten Stand sein.
- SQL Server 2012 Native Client 11.0 oder höher muss auf dem Orchestrator-Verwaltungsserver installiert sein. Informationen zum Herunterladen und Installieren von Microsoft SQL Server 2012 Native Client 11.0 finden Sie auf dieser Microsoft Download Center-Webseite.
- Orchestrator sollte .NET Version 4.6 ausführen. Befolgen Sie diese Anweisungen, um zu bestimmen, welche .NET-Version installiert ist.
- Um mit TLS 1.2 zu arbeiten, generieren System Center-Komponenten selbstsignierte SHA1- oder SHA2-Zertifikate. Wenn SSL-Zertifikate von Zertifikaten einer Zertifizierungsstelle verwendet werden, sollten sie SHA1 und SHA2 verwenden.
- Installieren Sie die SQL Serverversion, die TLS 1.2 unterstützt. SQL Server 2016 oder höher unterstützt TLS 1.2.
Installieren eines SQL Server-Updates zur Unterstützung von TSL 1.2
- Öffnen Sie KB 3135244.
- Laden Sie das Update für Ihre SQL Server-Version herunter, und installieren Sie es.
- Sie benötigen dieses Update nicht, wenn Sie SQL Server 2016 oder höher ausführen.
- SQL Server 2008 R2 unterstützt nicht TLS 1.2.
Konfigurieren und Verwenden von TLS 1.2
Konfigurieren von Orchestrator für die Verwendung von TLS 1.2
a. Starten Sie den Registrierungs-Editor auf dem Orchestrator. Klicken Sie hierzu mit der rechten Maustaste auf Starten,geben Sie regedit in das Feld Ausführen ein, und wählen Sie dann OKaus.
b. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ . NetFrameword\v4.0.30319.
c. Erstellen Sie DWORD SchUseStrongCrypto [Value=1] unter diesem Schlüssel.
d. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft.NetFrameword\v4.0.30319.
e. Erstellen Sie DWORD SchUseStrongCrypto [Value=1] unter diesem Schlüssel.
f. Legen Sie System Center so fest, dass nur TLS 1.2 verwendet wird.
Bevor Sie die Registrierung in diesem Schritt ändern, sichern Sie die Registrierung, falls Sie sie später wiederherstellen müssen. Legen Sie dann die folgenden Registrierungsschlüsselwerte fest.
Werte für 64-Bit-Betriebssysteme
Pfad Registrierungsschlüssel Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727 SystemDefaultTlsVersions dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727 SystemDefaultTlsVersions dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001 Werte für 32-Bit-Betriebssysteme
Pfad Registrierungsschlüssel Wert HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\ v2.0.50727 SystemDefaultTlsVersions dword:00000001 Legen Sie Windows so fest, dass nur TLS 1.2 verwendet wird.
Methode 1: Manuelle Bearbeitung der Registrierung
Wichtig
Führen Sie die Schritte in diesem Abschnitt sorgfältig aus. Sie können schwerwiegende Probleme verursachen, wenn Sie die Registrierung falsch ändern. Bevor Sie beginnen, sichern Sie die Registrierung, damit Sie sie wiederherstellen können, wenn ein Problem auftritt.
Verwenden Sie die folgenden Schritte, um alle SCHANNEL-Protokolle im gesamten System zu aktivieren oder zu deaktivieren.
Hinweis
Es wird empfohlen, das TLS 1.2-Protokoll für eingehende Kommunikation zu aktivieren. Aktivieren Sie die Protokolle TLS 1.2, TLS 1.1 und TLS 1.0 für die gesamte ausgehende Kommunikation. Registrierungsänderungen wirken sich nicht auf die Verwendung des Kerberos- oder NTLM-Protokolls aus.
a. Starten Sie den Registrierungs-Editor. Klicken Sie hierzu mit der rechten Maustaste auf Starten,geben Sie regedit in das Feld Ausführen ein, und wählen Sie dann OKaus.
b. Suchen Sie nach dem folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsc. Klicken Sie mit der rechten Maustaste auf Protokoll, und zeigen Sie auf NeuerSchlüssel.

d. Geben Sie SSL 3.0 ein.
e. Wiederholen Sie die beiden vorherigen Schritte, um Schlüssel für TLS 0, TLS 1.1 und TLS 1.2 zu erstellen. Diese Schlüssel ähneln Verzeichnissen.
f. Erstellen Sie unter jedem der Schlüssel SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2 einen Clientschlüssel und einen Serverschlüssel.
g. Um ein Protokoll zu aktivieren, erstellen Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:
- DisabledByDefault [Wert = 0]
- Enabled [Wert = 1]
h. Um ein Protokoll zu deaktivieren, ändern Sie den DWORD-Wert unter jedem Client- und Serverschlüssel wie folgt:
- DisabledByDefault [Wert = 1]
- Enabled [Wert = 0]
i. Wählen Sie Dateibeenden aus.
Methode 2: Automatische Bearbeitung der Registrierung
Führen Sie das Windows PowerShell Skript im Administratormodus aus, um Windows automatisch so zu konfigurieren, dass nur das TLS 1.2-Protokoll verwendet wird:
$ProtocolList = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2") $ProtocolSubKeyList = @("Client", "Server") $DisabledByDefault = "DisabledByDefault" $Enabled = "Enabled" $registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\" foreach($Protocol in $ProtocolList) { Write-Host " In 1st For loop" foreach($key in $ProtocolSubKeyList) { $currentRegPath = $registryPath + $Protocol + "\" + $key Write-Host " Current Registry Path $currentRegPath" if(!(Test-Path $currentRegPath)) { Write-Host "creating the registry" New-Item -Path $currentRegPath -Force | out-Null } if($Protocol -eq "TLS 1.2") { Write-Host "Working for TLS 1.2" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null } else { Write-Host "Working for other protocol" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null } } } Exit 0Installieren Sie die folgenden Updates auf allen Service Manager Rollen. Aktualisieren Von Rollen auf Verwaltungsservern, Azure Data Warehouse-Servern, dem Self-Service-Portal und Analyst-Konsolen (einschließlich der auf den Orchestrator Runbook-Servern installierten Analyst-Konsolen).
Betriebssystem Erforderliches Update Windows 8.1 und Windows Server 2012 R2 3154520 Unterstützung für TLS-System-Standardversionen, die in .NET Framework 3.5 auf Windows 8.1 und Windows Server 2012 R2 enthalten sind Windows Server 2012 3154519 Unterstützung für TLS-System-Standardversionen, die in .NET Framework 3.5 auf der Windows Server 2012 Windows 7 SP1 und Windows Server 2008 R2 SP1 3154518 Unterstützung für STANDARDversionen des TLS-Systems, die in .NET Framework 3.5.1 unter Windows 7 SP1 und Server 2008 R2 SP1 enthalten sind Windows 10 und Windows Server 2016 3154521 Hotfixrollup 3154521 für .NET Framework 4.5.2 und 4.5.1 auf Windows
3156421 kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016Starten Sie den Computer neu.
Hinweis
Nachdem Sie microsoft System Center Orchestrator so festgelegt haben, dass nur das TLS 1.2-Protokoll für Verbindungen verwendet wird, funktionieren die Integrationspakete nicht mehr. Zur Behebung dieses Problems führen Sie die folgenden Schritte aus:
- Starten Sie den Registrierungs-Editor.
- Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319
- Überprüfen Sie, ob der SystemDefaultTlsVersions-Wert vorhanden ist. – Wenn der Wert vorhanden ist, stellen Sie sicher, dass die Daten auf 1 festgelegt sind. – Wenn der Wert nicht vorhanden ist, erstellen Sie einen DWORD-Wert (32-Bit), und geben Sie die folgenden Werte an: Name: SystemDefaultTlsVersions Value data: 1
- Klicken Sie auf OK.
Ausführliche Informationen finden Sie in diesem KB-Artikel.
Nächste Schritte
Hier erhalten Sie weitere Informationen zum TLS 1.2-Protokoll.