Come abilitare TLS 1.2 nei server del sito e nei sistemi del sito remoti

Si applica a: Configuration Manager (Current Branch)

Quando si abilita TLS 1.2 per l'ambiente di Configuration Manager, iniziare con l'abilitazione di TLS 1.2 per i client. Abilitare poi TLS 1.2 nei server del sito e nei sistemi del sito remoti. Infine, testare le comunicazioni da client a sistema del sito prima di disabilitare potenzialmente i protocolli meno recenti sul lato server. Per abilitare TLS 1.2 nei server del sito e nei sistemi del sito remoti, sono necessarie le attività seguenti:

  • Assicurarsi che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo
  • Aggiornare e configurare .NET Framework per il supporto di TLS 1.2
  • Aggiornare SQL Server e i componenti client
  • Aggiornare Windows Server Update Services (WSUS)

Per altre informazioni sulle dipendenze per funzionalità e scenari specifici di Configuration Manager, vedere informazioni sull'abilitazione di TLS 1.2.

Assicurarsi che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo

TLS 1.2 è abilitato per impostazione predefinita, quindi non è necessario apportare modifiche a queste chiavi per abilitarlo. È possibile apportare modifiche in Protocols per disabilitare TLS 1.0 e TLS 1.1 dopo aver seguito il resto delle indicazioni fornite in questi articoli e aver verificato che l'ambiente funzioni quando è abilitato solo TLS 1.2.

Verificare l'impostazione della sottochiave del Registro di sistema \SecurityProviders\SCHANNEL\Protocols, come illustrato in Procedure consigliate per Transport Layer Security (TLS) con .NET Framework.

Aggiornare e configurare .NET Framework per il supporto di TLS 1.2

Determinare la versione di .NET

Determinare prima di tutto le versioni di .NET installate. Per altre informazioni, vedere Determinare le versioni e i livelli di Service Pack .NET Framework installati.

Installare gli aggiornamenti di .NET

Installare gli aggiornamenti di .NET in modo da poter abilitare la crittografia avanzata. Alcune versioni di .NET Framework potrebbero richiedere aggiornamenti per abilitare la crittografia complessa. Usare queste linee guida:

  • NET Framework 4.6.2 e versioni successive supportano TLS 1.1 e TLS 1.2. Confermare le impostazioni del Registro di sistema, ma non sono richieste modifiche aggiuntive.

    Nota

    A partire dalla versione 2107, Gestione configurazione richiede Microsoft .NET Framework versione 4.6.2 per server del sito, sistemi del sito specifici, client e console. Se possibile nell'ambiente in uso, installare la versione più recente di .NET versione 4.8.

  • Aggiornare NET Framework 4.6 e versioni precedenti per supportare TLS 1.1 e TLS 1.2. Per altre informazioni, vedere .NET Framework versioni e dipendenze.

  • Se si usa .NET Framework 4.5.1 o 4.5.2 in Windows 8.1 o Windows Server 2012, gli aggiornamenti pertinenti e i dettagli sono disponibili anche nell'Area download.

Configurare la crittografia complessa

Configurare .NET Framework per supportare la crittografia complessa. Configurare l'impostazione del Registro di sistema SchUseStrongCrypto su DWORD:00000001, che disabilita la crittografia a flusso RC4 e richiede un riavvio. Per altre informazioni su questa impostazione, vedere Avviso di sicurezza Microsoft 296038.

Assicurarsi di impostare le chiavi del Registro di sistema seguenti in qualsiasi computer che comunica attraverso la rete con un sistema abilitato per TLS 1.2, ad esempio i client di Configuration Manager, i ruoli del sistema del sito remoto non installati nel server del sito e il server del sito stesso.

Per le applicazioni a 32 bit in esecuzione in sistemi operativi a 32 bit e per le applicazioni a 64 bit in esecuzione in sistemi operativi a 64 bit, aggiornare i valore di sottochiave seguenti:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Per le applicazioni a 32 bit in esecuzione in sistemi operativi a 64 bit, aggiornare i valori di sottochiave seguenti:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Nota

L'impostazione SchUseStrongCrypto consente a .NET di usare TLS 1.1 e TLS 1.2. L'impostazione SystemDefaultTlsVersions consente a .NET di usare la configurazione del sistema operativo. Per altre informazioni, vedere Procedure consigliate per Transport Layer Security (TLS) con .NET Framework.

Aggiornare SQL Server e i componenti client

Microsoft SQL Server 2016 e versioni successive supportano TLS 1.1 e TLS 1.2. Le versioni precedenti e le librerie dipendenti potrebbero richiedere aggiornamenti. Per altre informazioni, vedere KB 3135244: Supporto di TLS 1.2 per Microsoft SQL Server.

Per i server del sito secondario è necessario usare almeno SQL Server 2016 Express con Service Pack 2 (13.2.50.26) o versione successiva.

SQL Server Native Client

Nota

L'articolo KB 3135244 descrive anche i requisiti per i componenti client di SQL Server.

Assicurarsi di aggiornare anche SQL Server Native Client almeno alla versione SQL Server 2012 SP4 (11.*.7001.0). Questo requisito è un controllo dei prerequisiti (avviso).

Configuration Manager usa SQL Server Native Client nei seguenti ruoli del sistema del sito:

  • Server di database del sito
  • Server del sito: sito di amministrazione centrale, sito primario o sito secondario
  • Punto di gestione
  • Punto di gestione dei dispositivi
  • Punto di migrazione stato
  • Provider SMS
  • Punto di aggiornamento software
  • Punto di distribuzione abilitato per multicast
  • Punto di servizio aggiornamento AI
  • Punto di Reporting Services
  • Punto di registrazione
  • Punto di Endpoint Protection
  • punto di connessione del servizio
  • Punto di registrazione certificati
  • Punto di servizio del data warehouse

Aggiornare Windows Server Update Services (WSUS)

Per supportare TLS 1.2 nelle versioni precedenti di WSUS, installare l'aggiornamento seguente nel server WSUS:

  • Per il server WSUS che esegue Windows Server 2012, installare l'aggiornamento 4022721 o un aggiornamento cumulativo successivo.

  • Per il server WSUS che esegue Windows Server 2012 R2, installare l'aggiornamento 4022720 o un aggiornamento cumulativo successivo.

A partire da Windows Server 2016, TLS 1.2 è supportato per impostazione predefinita per WSUS. Gli aggiornamenti di TLS 1.2 sono necessari solo nei server WSUS Windows Server 2012 e Windows Server 2012 R2.

Passaggi successivi