Jak włączyć protokół TLS 1,2 na serwerach lokacji i zdalnych systemach lokacjiHow to enable TLS 1.2 on the site servers and remote site systems

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (Current Branch)

Po włączeniu protokołu TLS 1,2 dla środowiska Configuration Manager należy najpierw rozpocząć od włączenia protokołu tls 1,2 dla klientów .When enabling TLS 1.2 for your Configuration Manager environment, start with enabling TLS 1.2 for the clients first. Następnie Włącz protokół TLS 1,2 na serwerach lokacji i zdalnych systemach lokacji.Then, enable TLS 1.2 on the site servers and remote site systems second. Na koniec Przetestuj klienta programu, aby umożliwić komunikację systemu lokacji przed ewentualnym wyłączeniem starszych protokołów po stronie serwera.Finally, test client to site system communications before potentially disabling the older protocols on the server side. Do włączenia protokołu TLS 1,2 na serwerach lokacji i zdalnych systemach lokacji są odpowiednie następujące zadania:The following tasks are needed for enabling TLS 1.2 on the site servers and remote site systems:

  • Upewnij się, że protokół TLS 1,2 jest włączony jako protokół dla dostawcy SChannel na poziomie systemu operacyjnegoEnsure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level
  • Aktualizowanie i Konfigurowanie .NET Framework do obsługi protokołu TLS 1,2Update and configure the .NET Framework to support TLS 1.2
  • Aktualizowanie SQL Server i składników klientaUpdate SQL Server and client components
  • Aktualizacja Windows Server Update Services (WSUS)Update Windows Server Update Services (WSUS)

Aby uzyskać więcej informacji na temat zależności określonych funkcji Configuration Manager i scenariuszy, zobacz Informacje o włączaniu protokołu TLS 1,2.For more information about dependencies for specific Configuration Manager features and scenarios, see About enabling TLS 1.2.

Upewnij się, że protokół TLS 1,2 jest włączony jako protokół dla dostawcy SChannel na poziomie systemu operacyjnegoEnsure that TLS 1.2 is enabled as a protocol for SChannel at the operating system level

Protokół TLS 1,2 jest domyślnie włączony.TLS 1.2 is enabled by default. W związku z tym nie trzeba zmieniać tych kluczy, aby je włączyć.Therefore, no change to these keys is needed to enable it. Możesz wprowadzić zmiany w obszarze, Protocols Aby wyłączyć protokoły tls 1,0 i tls 1,1 po wykonaniu pozostałej części wskazówek w tych artykułach, a także sprawdzić, czy środowisko działa po włączeniu tylko protokołu TLS 1,2.You can make changes under Protocols to disable TLS 1.0 and TLS 1.1 after you've followed the rest of the guidance in these articles and you've verified that the environment works when only TLS 1.2 enabled.

Sprawdź \SecurityProviders\SCHANNEL\Protocols Ustawienia podklucza rejestru, jak pokazano w najlepszych rozwiązaniach w zakresie protokołu TLS (Transport Layer Security) w .NET Framework.Verify the \SecurityProviders\SCHANNEL\Protocols registry subkey setting, as shown in Transport layer security (TLS) best practices with the .NET Framework.

Aktualizowanie i Konfigurowanie .NET Framework do obsługi protokołu TLS 1,2Update and configure the .NET Framework to support TLS 1.2

Określanie wersji platformy .NETDetermine .NET version

Najpierw Ustal zainstalowane wersje platformy .NET.First, determine the installed .NET versions. Aby uzyskać więcej informacji, zobacz Jak ustalić, które wersje i poziomy dodatku Service Pack programu Microsoft .NET Framework są zainstalowane.For more information, see How to determine which versions and service pack levels of the Microsoft .NET Framework are installed.

Zainstaluj aktualizacje .NETInstall .NET updates

Zainstaluj aktualizacje platformy .NET, aby umożliwić korzystanie z mocnej kryptografii.Install the .NET updates so you can enable strong cryptography. Niektóre wersje .NET Framework mogą wymagać aktualizacji, aby umożliwić silną kryptografię.Some versions of .NET Framework might require updates to enable strong cryptography. Skorzystaj z następujących wskazówek:Use these guidelines:

  • Program NET Framework 4.6.2 i nowsze obsługuje protokoły TLS 1,1 i TLS 1,2.NET Framework 4.6.2 and later supports TLS 1.1 and TLS 1.2. Potwierdź ustawienia rejestru, ale nie są wymagane żadne dodatkowe zmiany.Confirm the registry settings, but no additional changes are required.

  • Zaktualizuj środowisko .NET Framework 4,6 i wcześniejsze wersje, aby obsługiwały protokoły TLS 1,1 i TLS 1,2.Update NET Framework 4.6 and earlier versions to support TLS 1.1 and TLS 1.2. Aby uzyskać więcej informacji, zobacz .NET Framework wersje i zależności.For more information, see .NET Framework versions and dependencies.

  • W przypadku korzystania z .NET Framework 4.5.1 lub 4.5.2 w systemie Windows 8.1 lub Windows Server 2012 odpowiednie aktualizacje i szczegóły są również dostępne w Centrum pobierania.If you're using .NET Framework 4.5.1 or 4.5.2 on Windows 8.1 or Windows Server 2012, the relevant updates and details are also available from the Download Center.

Konfigurowanie na potrzeby mocnej kryptografiiConfigure for strong cryptography

Skonfiguruj .NET Framework, aby obsługiwały silne kryptografie.Configure .NET Framework to support strong cryptography. Ustaw wartość SchUseStrongCrypto Ustawienia rejestru DWORD:00000001 .Set the SchUseStrongCrypto registry setting to DWORD:00000001. Ta wartość wyłącza szyfr strumienia RC4 i wymaga ponownego uruchomienia.This value disables the RC4 stream cipher and requires a restart. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Poradnik zabezpieczeń firmy Microsoft 296038.For more information about this setting, see Microsoft Security Advisory 296038.

Pamiętaj, aby ustawić następujące klucze rejestru na dowolnym komputerze, który komunikuje się w sieci z systemem z obsługą protokołu TLS 1,2.Make sure to set the following registry keys on any computer that communicates across the network with a TLS 1.2-enabled system. Na przykład Configuration Manager Klienci, role zdalnego systemu lokacji nie są zainstalowane na serwerze lokacji i sam serwer lokacji.For example, Configuration Manager clients, remote site system roles not installed on the site server, and the site server itself.

W przypadku aplikacji 32-bitowych, które działają na 32-bitowym serwerze OSs i dla aplikacji 64-bitowych uruchomionych w 64-bitowym serwerze OSs, zaktualizuj następujące wartości podkluczy:For 32-bit applications that are running on 32-bit OSs and for 64-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

W przypadku aplikacji 32-bitowych, które działają na 64-bitowym serwerze OSs, zaktualizuj następujące wartości podkluczy:For 32-bit applications that are running on 64-bit OSs, update the following subkey values:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Uwaga

SchUseStrongCryptoUstawienie umożliwia platformie .NET korzystanie z protokołów tls 1,1 i tls 1,2.The SchUseStrongCrypto setting allows .NET to use TLS 1.1 and TLS 1.2. SystemDefaultTlsVersionsUstawienie umożliwia .net używanie konfiguracji systemu operacyjnego.The SystemDefaultTlsVersions setting allows .NET to use the OS configuration. Aby uzyskać więcej informacji, zobacz najlepsze rozwiązania TLS z .NET Framework.For more information, see TLS best practices with the .NET Framework.

Aktualizowanie SQL Server i składników klientaUpdate SQL Server and client components

Microsoft SQL Server 2016 i nowsze obsługują protokoły TLS 1,1 i TLS 1,2.Microsoft SQL Server 2016 and later support TLS 1.1 and TLS 1.2. Wcześniejsze wersje i biblioteki zależne mogą wymagać aktualizacji.Earlier versions and dependent libraries might require updates. Aby uzyskać więcej informacji, zobacz artykuł KB 3135244: obsługa protokołu TLS 1,2 dla Microsoft SQL Server.For more information, see KB 3135244: TLS 1.2 support for Microsoft SQL Server.

Serwery lokacji dodatkowej muszą korzystać z co najmniej SQL Server 2016 Express z dodatkiem Service Pack 2 (13.2.50.26) lub nowszym.Secondary site servers need to use at least SQL Server 2016 Express with Service Pack 2 (13.2.50.26) or later.

SQL Server Native ClientSQL Server Native Client

Uwaga

W KB 3135244 opisano również wymagania dotyczące składników klienta SQL Server.KB 3135244 also describes requirements for SQL Server client components.

Upewnij się, że Zaktualizowano także SQL Server Native Client do co najmniej wersji SQL Server 2012 SP4 (11. *. 7001.0).Make sure to also update the SQL Server Native Client to at least version SQL Server 2012 SP4 (11.*.7001.0). Począwszy od wersji 1810, to wymaganie jest sprawdzaniem wymagań wstępnych (ostrzeżenie).Starting in version 1810, this requirement is a prerequisite check (warning).

Configuration Manager używa SQL Server Native Client w następujących rolach systemu lokacji:Configuration Manager uses SQL Server Native Client on the following site system roles:

  • Serwer bazy danych lokacjiSite database server
  • Serwer lokacji: Centralna lokacja administracyjna, lokacja główna lub lokacja dodatkowaSite server: central administration site, primary site, or secondary site
  • Punkt zarządzaniaManagement point
  • Punkt zarządzania urządzeniamiDevice management point
  • punkt migracji stanuState migration point
  • dostawcy programu SMSSMS Provider
  • Punkt aktualizacji oprogramowaniaSoftware update point
  • Punkt dystrybucji z obsługą multiemisjiMulticast-enabled distribution point
  • Analiza zasobów aktualizacji punktu usługiAsset Intelligence update service point
  • Punkt usług raportowaniaReporting services point
  • Usługa sieci Web katalogu aplikacjiApplication catalog web service
  • Punkt rejestracjiEnrollment point
  • Punkt ochrony punktu końcowegoEndpoint Protection point
  • Punkt połączenia usługiService connection point
  • Punkt rejestracji certyfikatuCertificate registration point
  • Punkt usługi magazynu danychData warehouse service point

Aktualizacja Windows Server Update Services (WSUS)Update Windows Server Update Services (WSUS)

Aby zapewnić obsługę protokołu TLS 1,2 we wcześniejszych wersjach programu WSUS, zainstaluj na serwerze programu WSUS następującą aktualizację:To support TLS 1.2 in earlier versions of WSUS, install the following update on the WSUS server:

  • W przypadku serwera WSUS z systemem Windows Server 2012 zainstaluj aktualizację update 4022721 lub nowszą aktualizację zbiorczą.For WSUS server that's running Windows Server 2012, install update 4022721 or a later rollup update.
  • W przypadku serwera WSUS z systemem Windows Server 2012 R2 zainstaluj aktualizację update 4022720 lub nowszą aktualizację zbiorczą.For WSUS server that's running Windows Server 2012 R2, install update 4022720 or a later rollup update.

Począwszy od systemu Windows Server 2016, protokół TLS 1,2 jest domyślnie obsługiwany dla usług WSUS.Starting in Windows Server 2016, TLS 1.2 is supported by default for WSUS. Aktualizacje protokołu TLS 1,2 są niezbędne tylko w przypadku serwerów WSUS systemu Windows Server 2012 i Windows Server 2012 R2.TLS 1.2 updates are only needed on Windows Server 2012 and Windows Server 2012 R2 WSUS servers.

Następne krokiNext steps