A Transport Layer Security 1,2 implementálásaHow to implement Transport Layer Security 1.2

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

Ez a témakör azt ismerteti, hogyan engedélyezhető a Transport Layer Security (TLS) protokoll 1,2-es verziója System Center Operations Manager felügyeleti csoportokhoz.This topic describes how to enable Transport Layer Security (TLS) protocol version 1.2 for a System Center Operations Manager management groups.

A TLS protokoll 1,2-es verziójának engedélyezéséhez hajtsa végre a következő lépéseket:Perform the following steps to enable TLS protocol version 1.2:

Megjegyzés

A SQL Server (ajánlott) Microsoft OLE DB-illesztőprogram a Operations Manager 2016 UR9 és újabb verziókban is támogatott.Microsoft OLE DB Driver 18 for SQL Server (recommended) is supported with Operations Manager 2016 UR9 and later.

  1. Telepítse a SQL Server 2012 natív ügyfél 11,0 -es vagy a Microsoft OLE DB illesztőprogramját a SQL Serverhoz az összes felügyeleti kiszolgálón és a webkonzol-kiszolgálón.Install SQL Server 2012 Native Client 11.0 or Microsoft OLE DB Driver 18 for SQL Server on all management servers and the Web console server.
  1. Telepítse SQL Server 2012 natív ügyfél 11,0 -et az összes felügyeleti kiszolgálóra és a webkonzol-kiszolgálóra.Install SQL Server 2012 Native Client 11.0 on all management servers and the Web console server.
  1. Telepítse a .NET-keretrendszer 4,6 -es telepítését az összes felügyeleti kiszolgálón, az átjárókiszolgáló, a webkonzol-kiszolgáló és a Operations Manager-adatbázisokat és Jelentéskészítő kiszolgálói szerepkört futtató SQL Server.Install .NET Framework 4.6 on all management servers, gateway servers, Web console server, and SQL Server hosting the Operations Manager databases and Reporting server role.
  2. Telepítse a TLS 1,2-et támogató kötelező SQL Server frissítést .Install the Required SQL Server update that supports TLS 1.2.
  3. Az odbc 11,0 vagy az ODBC 13,0 telepítése az összes felügyeleti kiszolgálón.Install ODBC 11.0 or ODBC 13.0 on all management servers.
  4. A System Center 2016 – Operations Manager esetén telepítse a 4-es vagy újabb kumulatív frissítést.For System Center 2016 - Operations Manager, install Update Rollup 4 or later.
  5. Konfigurálja a Windowst úgy, hogy csak a TLS 1,2-et használja.Configure Windows to only use TLS 1.2.
  6. Konfigurálja a Operations Managert úgy, hogy csak a TLS 1,2-et használja.Configure Operations Manager to only use TLS 1.2.

A Operations Manager SHA1-és SHA2 önaláírt tanúsítványokat hoz létre.Operations Manager generates SHA1 and SHA2 self-signed certificates. Ez a TLS 1,2 engedélyezéséhez szükséges.This is required to enable TLS 1.2. Ha a HITELESÍTÉSSZOLGÁLTATÓ által aláírt tanúsítványokat használ, győződjön meg arról, hogy a tanúsítványok SHA1 vagy SHA2.If CA-signed certificates are used, make sure that the certificates are either SHA1 or SHA2.

Megjegyzés

Ha a biztonsági szabályzatok korlátozzák a TLS 1,0-et és 1,1-et, az új Operations Manager 2016 felügyeleti kiszolgáló, az átjárókiszolgáló, a webkonzol és a Reporting Services szerepkör telepítése sikertelen lesz, mert a telepítési adathordozó nem tartalmazza a TLS 1,2 támogatásához szükséges frissítéseket.If your security policies restrict TLS 1.0 and 1.1, installing a new Operations Manager 2016 management server, gateway server, Web console, and Reporting services role will fail because the setup media does not include the updates to support TLS 1.2. A szerepkörök telepítésének egyetlen módja a TLS 1,0 engedélyezése a rendszeren, a 4. kumulatív frissítés alkalmazása, majd a TLS 1,2 engedélyezése a rendszeren.The only way you can install these roles is by enabling TLS 1.0 on the system, apply Update Rollup 4, and then enable TLS 1.2 on the system. Ez a korlátozás nem vonatkozik a Operations Manager 1801-es verzióra.This limitation does not apply to Operations Manager version 1801.

A Windows konfigurálása a TLS 1,2 protokoll használatáraConfigure Windows to only use TLS 1.2 protocol

A következő módszerek egyikével konfigurálja a Windowst úgy, hogy csak a TLS 1,2 protokollt használja.Use one of the following methods to configure Windows to use only the TLS 1.2 protocol.

1. módszer: a beállításjegyzék manuális módosításaMethod 1: Manually modify the registry

Fontos

Kövesse a szakasz lépéseit körültekintően.Follow the steps in this section carefully. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat.Serious problems might occur if you modify the registry incorrectly. A módosítás előtt biztonsági mentést készíthet a beállításjegyzékből, ha probléma merül fel.Before you modify it, back up the registry for restoration in case problems occur.

A következő lépésekkel engedélyezheti vagy tilthatja le az összes SCHANNEL-protokollt.Use the following steps to enable/disable all SCHANNEL protocols system-wide. Javasoljuk, hogy engedélyezze a TLS 1,2 protokollt a bejövő kommunikációhoz; és engedélyezze a TLS 1,2, TLS 1,1 és TLS 1,0 protokollokat minden kimenő kommunikációhoz.We recommend that you enable the TLS 1.2 protocol for incoming communications; and enable the TLS 1.2, TLS 1.1, and TLS 1.0 protocols for all outgoing communications.

Megjegyzés

A beállításjegyzék módosítása nem befolyásolja a Kerberos vagy az NTLM protokollok használatát.Making these registry changes does not affect the use of Kerberos or NTLM protocols.

  1. Helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal jelentkezzen be a kiszolgálóra.Log on to the server by using an account that has local administrative credentials.

  2. Indítsa el a Beállításszerkesztőt úgy, hogy a jobb gombbal a Startgombra kattint, írja be a Regedit kifejezést a Futtatás szövegmezőbe, majd kattintson az OKgombra.Start Registry Editor by right-clicking Start, type regedit in the Run textbox, and then click OK.

  3. Keresse meg a következő beállításkulcsot: HKEY_LOCAL_MACHINE \system\currentcontrolset\control\securityproviders\schannel\protocols.Locate the following registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

  4. Hozzon létre egy alkulcsot az ssl 2,0, az SSL 3,0, a tls 1,0, a TLS 1,1és a TLS 1,2 protokollok alatt.Create a subkey under Protocols for SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, and TLS 1.2.

  5. Hozzon létre egy ügyfél -és kiszolgálói alkulcsot a korábban létrehozott egyes protokoll-verziókban.Create a Client and Server subkey under each protocol version subkey you created earlier. Például a TLS 1,0 alkulcsa a HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0 \ Client és a HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0 \ kiszolgálólenne.For example, the sub-key for TLS 1.0 would be HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client and HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

  6. Az egyes protokollok letiltásához hozza létre a következő DWORD-értékeket a kiszolgáló és az ügyfélterületen:To disable each protocol, create the following DWORD values under Server and Client:

    • Engedélyezve [érték = 0]Enabled [Value = 0]
    • DisabledByDefault [érték = 1]DisabledByDefault [Value = 1]
  7. A TLS 1,2 protokoll engedélyezéséhez hozza létre a következő DWORD értékeket a HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 \ Client és a HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 \ kiszolgálóterületen:To enable the TLS 1.2 protocol, create the following DWORD values under HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client and HKLM\System\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

    • Engedélyezve [érték = 1]Enabled [Value = 1]
    • DisabledByDefault [érték = 0]DisabledByDefault [Value = 0]
  8. Zárja be a beállításszerkesztőt.Close the Registry Editor.

2. módszer: a beállításjegyzék automatikus módosításaMethod 2: Automatically modify the registry

Futtassa a következő Windows PowerShell-parancsfájlt rendszergazdai módban, hogy automatikusan konfigurálja a Windowst úgy, hogy csak a TLS 1,2 protokollt használja.Run the following Windows PowerShell script in Administrator mode to automatically configure Windows to use only the TLS 1.2 Protocol.

$ProtocolList       = @("SSL 2.0","SSL 3.0","TLS 1.0", "TLS 1.1", "TLS 1.2")  
$ProtocolSubKeyList = @("Client", "Server")  
$DisabledByDefault = "DisabledByDefault"  
$Enabled = "Enabled"  
$registryPath = "HKLM:\\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"  

foreach($Protocol in $ProtocolList)  
{  
    Write-Host " In 1st For loop"  
    foreach($key in $ProtocolSubKeyList)  
    {  
        $currentRegPath = $registryPath + $Protocol + "\" + $key  
        Write-Host " Current Registry Path $currentRegPath"  

        if(!(Test-Path $currentRegPath))  
        {  
            Write-Host "creating the registry"  
            New-Item -Path $currentRegPath -Force | out-Null        
        }  
        if($Protocol -eq "TLS 1.2")  
        {  
            Write-Host "Working for TLS 1.2"  
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null  
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "1" -PropertyType DWORD -Force | Out-Null  

        }  
        else  
        {  
            Write-Host "Working for other protocol"  
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null  
            New-ItemProperty -Path $currentRegPath -Name $Enabled -Value "0" -PropertyType DWORD -Force | Out-Null   
        }   
    }  
}  

Exit 0

Operations Manager konfigurálása csak TLS 1,2 használatáraConfigure Operations Manager to use only TLS 1.2

A Operations Manager összes előfeltételének konfigurálását követően hajtsa végre a következő lépéseket az összes felügyeleti kiszolgálón, a webkonzol szerepkört futtató kiszolgálón, valamint az ügynököt futtató Windows-számítógépeken.After completing the configuration of all prerequisites for Operations Manager, perform the following steps on all management servers, the server hosting the Web console role, and on any Windows computer the agent is installed on.

Fontos

Kövesse a szakasz lépéseit körültekintően.Follow the steps in this section carefully. A beállításjegyzék nem megfelelő módosítása súlyos hibákat okozhat.Serious problems might occur if you modify the registry incorrectly. A módosítások elvégzése előtt biztonsági mentést készíthet a beállításjegyzékből, ha probléma merül fel.Before making any modifications, back up the registry for restoration in case problems occur.

A beállításjegyzék manuális módosításaManually modify the registry

  1. Helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal jelentkezzen be a kiszolgálóra.Log on to the server by using an account that has local administrative credentials.
  2. Indítsa el a Beállításszerkesztőt úgy, hogy a jobb gombbal a Startgombra kattint, írja be a Regedit kifejezést a Futtatás szövegmezőbe, majd kattintson az OKgombra.Start Registry Editor by right-clicking Start, type regedit in the Run textbox, and then click OK.
  3. Keresse meg a következő beállításkulcsot: HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft \ . NETFramework\v4.0.30319.Locate the following registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
  4. Hozza létre az 1értékkel rendelkező alatt DWORD értéket.Create the DWORD value SchUseStrongCrypto under this subkey with a value of 1.
  5. Keresse meg a következő beállításkulcsot: HKEY_LOCAL_MACHINE \software\wow6432node\microsoft \ . NETFramework\v4.0.30319.Locate the following registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
  6. Hozza létre az 1értékkel rendelkező alatt DWORD értéket.Create the DWORD value SchUseStrongCrypto under this subkey with a value of 1.
  7. A beállítások érvénybe léptetéséhez indítsa újra a rendszert.Restart the system for the settings to take effect.

A beállításjegyzék automatikus módosításaAutomatically modify the registry

Futtassa a következő Windows PowerShell-parancsfájlt rendszergazdai módban, hogy automatikusan konfigurálja a Operations Managert csak a TLS 1,2 protokoll használatára.Run the following Windows PowerShell script in Administrator mode to automatically configure Operations Manager to use only the TLS 1.2 Protocol.

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

További beállításokAdditional settings

Ha ez megvalósítható a System Center 2016 – Operations Manager esetében, a 4. kumulatív frissítés alkalmazása után importálja a jelen kumulatív csomagban található felügyeleti csomagokat a következő könyvtárba: \Program Files\Microsoft System Center 2016 \ Operations Manager\Server\Management Packs for kumulatív frissítés.If this is being implemented for System Center 2016 - Operations Manager, after applying Update Rollup 4, be sure to import the management packs that are included in this rollup located in the following directory: \Program Files\Microsoft System Center 2016\Operations Manager\Server\Management Packs for Update Rollups.

Ha a Linux Server támogatott verzióját figyeli a Operations Manager használatával, kövesse a disztribúciójának megfelelő webhelyén található utasításokat a TLS 1,2 konfigurálásához.If you are monitoring a supported version of Linux server with Operations Manager, follow the instructions on the appropriate website for your distro to configure TLS 1.2.

Naplózási szolgáltatásokAudit Collection Services

Naplózási szolgáltatások (ACS) esetében további módosításokat kell végeznie a beállításjegyzékben az ACS-gyűjtő kiszolgálón.For Audit Collection Services (ACS), you must make additional changes in the registry on ACS Collector server. Az ACS az DSN használatával teszi elérhetővé az adatbázishoz való kapcsolódást.ACS uses the DSN to make connections to the database. Az DSN-beállításokat frissíteni kell, hogy azok működőképesek legyenek a TLS 1,2-hez.You must update DSN settings to make them functional for TLS 1.2.

  1. Helyi rendszergazdai hitelesítő adatokkal rendelkező fiókkal jelentkezzen be a kiszolgálóra.Log on to the server by using an account that has local administrative credentials.

  2. Indítsa el a Beállításszerkesztőt úgy, hogy a jobb gombbal a Startgombra kattint, írja be a Regedit kifejezést a Futtatás szövegmezőbe, majd kattintson az OKgombra.Start Registry Editor by right-clicking Start, type regedit in the Run textbox, and then click OK.

  3. Keresse meg a következő ODBC-alkulcsot a OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI \opsmgrac.Locate the following ODBC subkey for OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

    Megjegyzés

    Az DSN alapértelmezett neve OpsMgrAC.The default name of DSN is OpsMgrAC.

  4. Az ODBC-adatforrások alkulcsa alatt válassza ki a OpsMgrACDSN nevét.Under ODBC Data Sources subkey, select the DSN name OpsMgrAC. Ez tartalmazza az adatbázis-kapcsolódáshoz használandó ODBC-illesztő nevét.This contains the name of ODBC driver to be used for the database connection. Ha telepítve van az ODBC 11,0, módosítsa ezt a nevet a SQL Server ODBC-illesztő 11-ös verziójában, vagy ha telepítve van az ODBC 13,0, módosítsa ezt a nevet a SQL Server ODBC-illesztő 13verziójában.If you have ODBC 11.0 installed, change this name to ODBC Driver 11 for SQL Server, or if you have ODBC 13.0 installed, change this name to ODBC Driver 13 for SQL Server.

  5. A OpsMgrAC alkulcs alatt frissítse a telepített ODBS-verzió illesztőprogramját .Under the OpsMgrAC subkey, update the Driver for the ODBS version that is installed.

    • Ha az ODBC 11,0 telepítve van, módosítsa az illesztőprogram-bejegyzést a következőre:% WINDIR% \system32\msodbcsql11.dll.If ODBC 11.0 is installed, change the Driver entry to %WINDIR%\system32\msodbcsql11.dll.
    • Ha az ODBC 13,0 telepítve van, módosítsa az illesztőprogram-bejegyzést a következőre:% WINDIR% \system32\msodbcsql13.dll.If ODBC 13.0 is installed, change the Driver entry to %WINDIR%\system32\msodbcsql13.dll.

    Másik lehetőségként hozza létre és mentse a következő. reg fájlt a Jegyzettömbben vagy más szövegszerkesztőben.Alternatively, create and save the following .reg file in Notepad or another text editor. A mentett. reg fájl futtatásához kattintson duplán a fájlra.To run the saved .reg file, double-click the file.

    • ODBC 11,0 esetén hozza létre a következő ODBC 11.0. reg fájlt:For ODBC 11.0, create the following ODBC 11.0.reg file:

      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 11 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\\system32\\msodbcsql11.dll"
      
    • Az ODBC 13,0 esetében hozza létre a következő ODBC-fájlt:For ODBC 13.0, create the following ODBC 13.0.reg file:

      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
      "OpsMgrAC"="ODBC Driver 13 for SQL Server"
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
      "Driver"="%WINDIR%\\system32\\msodbcsql13.dll"
      

Következő lépésekNext steps