サイト サーバーとリモート サイト システムで TLS 1.2 を有効にする方法

適用対象: Configuration Manager (Current Branch)

Configuration Manager 環境で TLS 1.2 を有効にする場合は、まずクライアントで TLS 1.2 を有効にします 。 次に、サイト サーバーとリモート サイト システムで TLS 1.2 を 2 番目に有効にします。 最後に、サーバー側で古いプロトコルを無効にする前に、クライアントとサイト システムの通信をテストします。 サイト サーバーとリモート サイト システムで TLS 1.2 を有効にするには、次のタスクが必要です。

  • オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する
  • TLS 1.2 をサポート.NET Frameworkを更新して構成する
  • クライアント SQL Serverコンポーネントの更新
  • 更新Windows Server Update Services (WSUS)

特定の Configuration Manager の機能とシナリオの依存関係の詳細については 、「TLS 1.2の有効化について」を参照してください。

オペレーティング システム レベルで SChannel のプロトコルとして TLS 1.2 が有効になっているか確認する

TLS 1.2 は既定で有効になっています。 したがって、有効にするには、これらのキーを変更する必要はありません。 Protocols TLS 1.0 および TLS 1.1 を無効にするには、これらの記事の残りのガイダンスに従い、TLS 1.2 が有効な場合にのみ環境が動作する確認を行った後に変更を加えます。

「トランスポート層HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsセキュリティ (TLS) のベスト プラクティス」に示すように、レジストリ サブキーの設定を確認.NET Framework。

TLS 1.2 をサポート.NET Frameworkを更新して構成する

.NET のバージョンを決定する

まず、インストールされている .NET のバージョンを確認します。 詳細については、「インストールされている Microsoft .NET Framework のバージョンおよび Service Pack のレベルを確認する」を参照してください。

.NET 更新プログラムのインストール

強力な暗号化を有効にできるよう、.NET 更新プログラムをインストールします。 一部のバージョンの.NET Framework暗号化を有効にするには更新が必要になる場合があります。 次のガイドラインを使用してください:

  • NET Framework 4.6.2 以降では、TLS 1.1 および TLS 1.2 がサポートされています。 レジストリ設定を確認しますが、追加の変更は必要ありません。

    注意

    バージョン 2107 より、Configuration Manager では、サイト サーバー、特定のサイト システム、クライアント、コンソールに対して Microsoft .NET Framework バージョン 4.6.2 が必要です。 環境で可能な場合は、.NET バージョン 4.8 の最新バージョンをインストールします。

  • NET Framework 4.6 以前のバージョンを更新して、TLS 1.1 および TLS 1.2 をサポートします。 詳細については、「.NET Framework のバージョンおよび依存関係」を参照してください。

  • Windows 8.1、Windows Server 2012 R2、または Windows Server 2012 で .NET Framework 4.5.1 または 4.5.2 を使用している場合は、.Net Framework 4.5.1 および 4.5.2 の最新のセキュリティ更新プログラムをインストールして、TLS 1.2 を正しく有効にすることを強くお勧めします。

    参考までに、TLS 1.2 は最初に .Net Framework 4.5.1 および 4.5.2 に導入され、次の修正プログラムのロールアップが適用されました。

強力な暗号化用に構成する

強力な.NET Frameworkをサポートするサーバーを構成します。 レジストリ設定 SchUseStrongCrypto をに設定します DWORD:00000001。 この値は RC4 ストリーム暗号を無効にし、再起動が必要です。 この設定の詳細については、「 Microsoft Security Advisory 296038」 を参照してください

TLS 1.2 が有効なシステムとネットワークを介して通信するコンピューターで、次のレジストリ キーを設定してください。 たとえば、Configuration Manager クライアント、サイト サーバーにインストールされていないリモート サイト システムの役割、サイト サーバー自体などです。

32 ビットの OS で実行されている 32 ビット アプリケーションと、64 ビット OS で実行されている 64 ビット アプリケーションの場合は、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64 ビット OS で実行されている 32 ビット アプリケーションの場合、次のサブキー値を更新します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

注意

この SchUseStrongCrypto 設定では、.NET で TLS 1.1 と TLS 1.2 を使用できます。 この SystemDefaultTlsVersions 設定では、.NET で OS 構成を使用できます。 詳細については、「TLS のベスト プラクティス」を参照.NET Framework

クライアント SQL Serverコンポーネントの更新

Microsoft SQL Server 2016 以降では、TLS 1.1 および TLS 1.2 がサポートされています。 以前のバージョンと依存ライブラリでは、更新が必要になる場合があります。 詳細については、「KB 3135244: TLS 1.2 のサポート」を参照Microsoft SQL Server。

セカンダリ サイト サーバーでは、少なくとも SQL Server 2016 Express with Service Pack 2 (13.2.50.26) 以降を使用する必要があります。

SQL Server Native Client

注意

KB 3135244クライアント コンポーネントの要件SQL Server説明します。

また、2012 SP4 (11.*.7001.0 SQL Server Native Clientバージョン 2012 SP4 SQL Serverバージョンにも更新してください。 この要件は前提条件 チェック (警告) です

Configuration Manager は、次SQL Server Native Clientのサイト システムの役割に基SQL Server Native Clientを使用します。

  • サイト データベース サーバー
  • サイト サーバー: サーバーの全体管理サイト、プライマリ サイト、またはセカンダリ サイト
  • 管理ポイント
  • デバイス管理ポイント
  • 状態移行ポイント
  • SMS プロバイダー
  • ソフトウェアの更新ポイント
  • マルチキャストが有効な配布ポイント
  • 資産インテリジェンス更新サービス ポイント
  • レポート サービス ポイント
  • 登録ポイント
  • Endpoint Protectionポイント
  • サービス接続ポイント
  • 証明書登録ポイント
  • データ ウェアハウス サービス ポイント

更新Windows Server Update Services (WSUS)

以前のバージョンの WSUS で TLS 1.2 をサポートするには、WSUS サーバーに次の更新プログラムをインストールします。

  • 更新プログラムを実行している WSUS サーバー Windows Server 2012更新プログラムまたは4022721のロールアップ更新プログラムをインストールします。

  • R2 で実行されている WSUS サーバー Windows Server 2012、更新プログラムまたは4022720のロールアップ更新プログラムをインストールします。

WSUS ではWindows Server 2016 TLS 1.2 が既定でサポートされています。 TLS 1.2 更新プログラムは、R2 WSUS Windows Server 2012およびWindows Server 2012でのみ必要です。

次の手順