TLS 1.2 を有効にする方法

  • [アーティクル]

適用対象: Configuration Manager (Current Branch)

トランスポート層セキュリティ (TLS) は、Secure Sockets Layer (SSL) と同様に、ネットワーク上で転送される際にデータを安全に保つために意図された暗号化プロトコルです。 これらの記事では、Configuration Manager のセキュリティで保護された通信が TLS 1.2 プロトコルを使用するために必要な手順について説明します。 これらの記事では、一般的に使用されるコンポーネントの更新要件と、一般的な問題のトラブルシューティングについて説明します。

TLS 1.2 の有効化

Configuration Manager は、セキュリティで保護された通信を行うさまざまなコンポーネントに依存しています。 特定の接続に使用されるプロトコルは、クライアント側とサーバー側の両方の関連コンポーネントの機能によって異なります。 コンポーネントが古い場合、または適切に構成されていない場合、通信は古く安全性の低いプロトコルを使用する可能性があります。 Configuration Manager がすべてのセキュリティで保護された通信に対して TLS 1.2 をサポートするように正しく有効にするには、必要なすべてのコンポーネントに対して TLS 1.2 を有効にする必要があります。 必要なコンポーネントは、使用する環境と、使用する Configuration Manager の機能によって異なります。

重要

クライアント、特に以前のバージョンのクライアントでこのプロセスを開始Windows。 TLS 1.2 を有効にし、Configuration Manager サーバーで古いプロトコルを無効にする前に、すべてのクライアントが TLS 1.2 をサポートしてください。 それ以外の場合、クライアントはサーバーと通信できないので、孤立することができます。

Configuration Manager クライアント、サイト サーバー、リモート サイト システムのタスク

Configuration Manager がセキュリティで保護された通信のために依存しているコンポーネントに対して TLS 1.2 を有効にするには、クライアントとサイト サーバーの両方で複数のタスクを実行する必要があります。

Configuration Manager クライアントで TLS 1.2 を有効にする

Configuration Manager サイト サーバーとリモート サイト システムで TLS 1.2 を有効にする

機能とシナリオの依存関係

このセクションでは、特定の Configuration Manager の機能とシナリオの依存関係について説明します。 次の手順を確認するには、環境に適用するアイテムを探します。

機能またはシナリオ タスクの更新
サイト サーバー (中央、プライマリ、またはセカンダリ) - 更新.NET Framework
- 強力な暗号化設定を確認する
サイト データベース サーバー クライアント SQL Serverコンポーネントを更新する
セカンダリ サイト サーバー クライアント SQL Serverコンポーネントを準拠バージョンのクライアント コンポーネントに更新SQL Server Express
サイト システムの役割 - 暗号化.NET Framework更新し、強力な暗号化設定を確認する
- 必要SQL Serverロール上のクライアント コンポーネントとそのクライアント コンポーネントを更新します (SQL Server Native Client
レポート サービス ポイント - サイト .NET Frameworkサーバー、SQL Server Reporting Services、コンソールを使用して任意のコンピューターの更新を行う
- 必要に応じてSMS_Executiveサービスを再起動する
ソフトウェアの更新ポイント WSUS の更新
クラウド管理ゲートウェイ TLS 1.2 の適用
Configuration Manager コンソール - 更新.NET Framework
- 強力な暗号化設定を確認する
HTTPS サイト システムの役割を持つ Configuration Manager クライアント WinHTTP Windows使用してクライアント/サーバー通信用の TLS 1.2 をサポートする更新プログラムを更新します。
ソフトウェア センター - 更新.NET Framework
- 強力な暗号化設定を確認する
Windows 7 クライアント サーバー コンポーネントで TLS 1.2 を有効にする前に、Windows を更新して、WinHTTP を使用したクライアント/サーバー通信の TLS 1.2 をサポートします。 最初にサーバー コンポーネントで TLS 1.2 を有効にした場合は、以前のバージョンのクライアントを孤立できます。

よく寄せられる質問

構成マネージャーで TLS 1.2 を使用する理由

TLS 1.2 は、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 などの以前の暗号化プロトコルよりも安全です。 基本的に、TLS 1.2 はネットワーク全体でデータの転送を安全に維持します。

Configuration Manager は TLS 1.2 のような暗号化プロトコルをどこで使用しますか?

Configuration Manager が TLS 1.2 などの暗号化プロトコルを使用する領域は基本的に 5 種類です。

  • HTTPS を使用するように役割が構成されている場合、IIS ベースのサイト サーバーの役割へのクライアント通信。 これらの役割の例には、配布ポイント、ソフトウェア更新ポイント、および管理ポイントがあります。
  • 管理ポイント、SMS エグゼクティブ、SMS プロバイダーとの通信SQL。 Configuration Manager は、常に通信SQL Server暗号化します。
  • HTTPS を使用するように WSUS が構成されている場合、サイト サーバーから WSUS への通信。
  • SSRS が HTTPS を使用するようにSQL Server Reporting Services構成されている場合は、構成マネージャー コンソールで [SSRS] (SSRS) を使用できます。
  • インターネット ベースのサービスへの接続。 たとえば、クラウド管理ゲートウェイ (CMG)、サービス接続ポイントの同期、Microsoft Update からの更新メタデータの同期が含まれます。

使用する暗号化プロトコルは何によって決めるのですか?

HTTPS は、暗号化された会話でクライアントとサーバーの両方でサポートされている最高のプロトコル バージョンを常にネゴシエートします。 接続を確立すると、クライアントは使用可能なプロトコルが最も高いサーバーにメッセージを送信します。 サーバーが同じバージョンをサポートしている場合は、そのバージョンを使用してメッセージを送信します。 このネゴシエートされたバージョンは、接続に使用されるバージョンです。 サーバーがクライアントによって提示されたバージョンをサポートしない場合、サーバー メッセージは使用できる最高バージョンを指定します。 TLS ハンドシェイク プロトコルの詳細については、「TLS を使用した セキュリティで保護されたセッションの確立」を参照してください

クライアントとサーバーで使用できるプロトコル のバージョンを決定する方法

一般に、使用するプロトコルのバージョンは、次の項目で確認できます。

  • アプリケーションは、ネゴシエートする特定のプロトコル バージョンを指定できます。
    • ベスト プラクティスでは、アプリケーション レベルで特定のプロトコル バージョンをハード コーディングしないようにし、コンポーネントおよび OS プロトコル レベルで定義された構成に従う必要があります。
    • Configuration Manager は、このベスト プラクティスに従います。
  • .NET Frameworkを使用して記述されたアプリケーションの場合、既定のプロトコル バージョンは、コンパイルされたフレームワークのバージョンによって異なっています。
    • 4.6.3 より前の .NET バージョンでは、既定では、ネゴシエーション用のプロトコルの一覧に TLS 1.1 と 1.2 は含めなかった。
  • WinHTTP を使用して HTTPS 通信を行うアプリケーション (Configuration Manager クライアントなど) は、プロトコル バージョンサポートの OS バージョン、パッチ レベル、および構成によって異なります。

その他のリソース

次の手順