Come abilitare TLS 1.2
Si applica a: Configuration Manager (Current Branch)
Transport Layer Security (TLS), come SSL (Secure Sockets Layer), è un protocollo di crittografia destinato a proteggere i dati durante il trasferimento in rete. Questi articoli descrivono i passaggi necessari per garantire che Configuration Manager comunicazione sicura usi il protocollo TLS 1.2. Questi articoli descrivono anche i requisiti di aggiornamento per i componenti di uso comune e la risoluzione dei problemi comuni.
Abilitazione di TLS 1.2
Configuration Manager si basa su molti componenti diversi per la comunicazione sicura. Il protocollo usato per una determinata connessione dipende dalle funzionalità dei componenti pertinenti sul lato client e sul lato server. Se un componente non è aggiornato o non è configurato correttamente, la comunicazione potrebbe usare un protocollo meno recente e meno sicuro. Per abilitare correttamente Configuration Manager per supportare TLS 1.2 per tutte le comunicazioni sicure, è necessario abilitare TLS 1.2 per tutti i componenti necessari. I componenti necessari dipendono dall'ambiente e dalle funzionalità Configuration Manager usate.
Importante
Avviare questo processo con i client, in particolare le versioni precedenti di Windows. Prima di abilitare TLS 1.2 e disabilitare i protocolli meno recenti nei server Configuration Manager, assicurarsi che tutti i client supportano TLS 1.2. In caso contrario, i client non possono comunicare con i server e possono essere orfani.
Attività per client Configuration Manager, server del sito e sistemi del sito remoto
Per abilitare TLS 1.2 per i componenti da cui Configuration Manager dipende per la comunicazione sicura, è necessario eseguire più attività sia nei client che nei server del sito.
Abilitare TLS 1.2 per i client Configuration Manager
- Aggiornare Windows e WinHTTP in Windows 8.0, Windows Server 2012 (non R2) e versioni precedenti
- Assicurarsi che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo
- Aggiornare e configurare .NET Framework per supportare TLS 1.2
Abilitare TLS 1.2 per Configuration Manager server del sito e sistemi del sito remoto
- Assicurarsi che TLS 1.2 sia abilitato come protocollo per SChannel a livello di sistema operativo
- Aggiornare e configurare .NET Framework per supportare TLS 1.2
- Aggiornare SQL Server e il SQL Server Native Client
- Aggiornare Windows Server Update Services (WSUS)
Funzionalità e dipendenze dello scenario
Questa sezione descrive le dipendenze per funzionalità e scenari Configuration Manager specifici. Per determinare i passaggi successivi, individuare gli elementi applicabili all'ambiente.
| Funzionalità o scenario | Aggiornamento di attività |
|---|---|
| Server del sito (centrale, primario o secondario) | - Aggiornare .NET Framework - Verificare le impostazioni di crittografia avanzate |
| Server di database del sito | Aggiornare SQL Server e i relativi componenti client |
| Server del sito secondario | Aggiornare SQL Server e i relativi componenti client a una versione conforme di SQL Server Express |
| Ruoli del sistema del sito | - Aggiornare .NET Framework e verificare le impostazioni di crittografia avanzate - Aggiornare SQL Server e i relativi componenti client nei ruoli che lo richiedono, inclusi i SQL Server Native Client |
| Punto di Reporting Services | - Aggiornare .NET Framework nel server del sito, nei server SQL Server Reporting Services e in qualsiasi computer con la console - Riavviare il servizio SMS_Executive in base alle esigenze |
| Punto di aggiornamento software | Aggiornare WSUS |
| Gateway di gestione cloud | Applicare TLS 1.2 |
| console Configuration Manager | - Aggiornare .NET Framework - Verificare le impostazioni di crittografia avanzate |
| Configuration Manager client con ruoli del sistema del sito HTTPS | Aggiornare Windows per supportare TLS 1.2 per le comunicazioni client-server tramite WinHTTP |
| Software Center | - Aggiornare .NET Framework - Verificare le impostazioni di crittografia avanzate |
| Client Windows 7 | Prima di abilitare TLS 1.2 in qualsiasi componente del server, aggiornare Windows per supportare TLS 1.2 per le comunicazioni client-server tramite WinHTTP. Se si abilita prima TLS 1.2 nei componenti del server, è possibile orfanore le versioni precedenti dei client. |
Domande frequenti
Perché usare TLS 1.2 con Configuration Manager?
TLS 1.2 è più sicuro rispetto ai protocolli di crittografia precedenti, ad esempio SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. In sostanza, TLS 1.2 mantiene i dati trasferiti attraverso la rete più sicuri.
Dove Configuration Manager usano protocolli di crittografia come TLS 1.2?
Esistono fondamentalmente cinque aree che Configuration Manager usano protocolli di crittografia come TLS 1.2:
- Comunicazioni client ai ruoli del server del sito basati su IIS quando il ruolo è configurato per l'uso di HTTPS. Esempi di questi ruoli includono punti di distribuzione, punti di aggiornamento software e punti di gestione.
- Punto di gestione, SMS Executive e comunicazioni del provider SMS con SQL. Configuration Manager crittografa sempre le comunicazioni SQL Server.
- Comunicazioni da server del sito a WSUS se WSUS è configurato per l'uso di HTTPS.
- La console Configuration Manager da SQL Server Reporting Services (SSRS) se SSRS è configurato per l'uso di HTTPS.
- Tutte le connessioni ai servizi basati su Internet. Gli esempi includono cloud management gateway (CMG), la sincronizzazione del punto di connessione del servizio e la sincronizzazione dei metadati di aggiornamento da Microsoft Update.
Cosa determina quale protocollo di crittografia viene usato?
HTTPS negozierà sempre la versione del protocollo più alta supportata sia dal client che dal server in una conversazione crittografata. Quando si stabilisce una connessione, il client invia un messaggio al server con il protocollo più alto disponibile. Se il server supporta la stessa versione, invia un messaggio usando tale versione. Questa versione negoziata è quella usata per la connessione. Se il server non supporta la versione presentata dal client, il messaggio del server specifica la versione più alta che può usare. Per altre informazioni sul protocollo Handshake TLS, vedere Stabilire una sessione sicura tramite TLS.
Cosa determina quale versione del protocollo può essere usata dal client e dal server?
In genere, gli elementi seguenti possono determinare quale versione del protocollo viene usata:
- L'applicazione può determinare quali versioni del protocollo specifiche negoziare.
- La procedura consigliata prevede di evitare la codifica hardcode di versioni di protocollo specifiche a livello di applicazione e di seguire la configurazione definita a livello di componente e di protocollo del sistema operativo.
- Configuration Manager segue questa procedura consigliata.
- Per le applicazioni scritte con .NET Framework, le versioni del protocollo predefinite dipendono dalla versione del framework su cui sono state compilate.
- Per impostazione predefinita, le versioni .NET precedenti alla 4.6.3 non includevano TLS 1.1 e 1.2 nell'elenco dei protocolli per la negoziazione.
- Le applicazioni che usano WinHTTP per le comunicazioni HTTPS, ad esempio il client Configuration Manager, dipendono dalla versione del sistema operativo, dal livello di patch e dalla configurazione per il supporto della versione del protocollo.
Risorse aggiuntive
- Informazioni di riferimento tecniche sui controlli crittografici
- Procedure consigliate per la sicurezza del livello di trasporto (TLS) con .NET Framework
- KB 3135244: supporto TLS 1.2 per Microsoft SQL Server
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per