如何启用 TLS 1.2
适用于:Configuration Manager (Current Branch)
传输层安全性 (TLS) (如安全套接字层 (SSL) )是一种加密协议,旨在保护通过网络传输时的数据安全。 这些文章介绍了确保 Configuration Manager 安全通信使用 TLS 1.2 协议所需的步骤。 这些文章还介绍了常用组件的更新要求和常见问题疑难解答。
启用 TLS 1.2
Configuration Manager 依赖许多不同的组件进行安全通信。 用于给定连接的协议取决于客户端和服务器端相关组件的功能。 如果任何组件过期或未正确配置,则通信可能会使用安全性较低且较旧的协议。 若要正确启用 Configuration Manager 支持所有安全通信的 TLS 1.2,必须启用所有必需组件的 TLS 1.2。 所需组件取决于你的环境和你使用的 Configuration Manager 功能。
重要
使用客户端启动此过程,尤其是早期版本的 Windows。 在启用 TLS 1.2 和禁用 Configuration Manager 服务器上较早的协议之前,请确保所有客户端都支持 TLS 1.2。 否则,客户端无法与服务器通信,并且可能会孤立。
Configuration Manager 客户端、站点服务器和远程站点系统的任务
若要为 Configuration Manager 用于安全通信所依赖的组件启用 TLS 1.2,需要在客户端和站点服务器上执行多个任务。
为 Configuration Manager 客户端启用 TLS 1.2
- 更新 Windows.0 上的 Windows 8 和 WinHTTP,Windows Server 2012 (R2) 及更早版本
- 确保 TLS 1.2 在操作系统级别作为 SChannel 协议启用
- 更新和配置.NET Framework以支持 TLS 1.2
为 Configuration Manager 站点服务器和远程站点系统启用 TLS 1.2
- 确保 TLS 1.2 在操作系统级别作为 SChannel 协议启用
- 更新和配置.NET Framework以支持 TLS 1.2
- 更新SQL Server和SQL Server Native Client
- 更新Windows Server Update Services (WSUS)
功能和方案依赖项
本节介绍特定 Configuration Manager 功能和方案的依赖关系。 若要确定下一步,请找到适用于您的环境的项目。
| 功能或方案 | 更新任务 |
|---|---|
| 站点服务器 (中心服务器、主服务器或辅助服务器) | - 更新.NET Framework - 验证强加密设置 |
| 网站数据库服务器 | 更新SQL Server及其客户端组件 |
| 辅助站点服务器 | 将 SQL Server 及其客户端组件更新为兼容版本的 SQL Server Express |
| 网站系统角色 | - 更新.NET Framework验证强加密设置 - 在SQL Server角色上更新客户端组件及其客户端组件,包括SQL Server Native Client |
| 报告服务点 | - 使用.NET Framework更新站点服务器、SQL Server Reporting Services服务器和任何计算机上的内容 - 必要时SMS_Executive服务 |
| 软件更新点 | 更新 WSUS |
| 云管理网关 | 强制实施 TLS 1.2 |
| Configuration Manager 控制台 | - 更新.NET Framework - 验证强加密设置 |
| 具有 HTTPS 站点系统角色的 Configuration Manager 客户端 | 更新Windows WinHTTP 支持客户端-服务器通信的 TLS 1.2 |
| 软件中心 | - 更新.NET Framework - 验证强加密设置 |
| Windows 7 个客户端 | 在任何 服务器组件上启用 TLS 1.2 之前,Windows WinHTTP 为客户端-服务器通信支持 TLS 1.2。 如果首先在服务器组件上启用 TLS 1.2,可以孤立早期版本的客户端。 |
常见问题
为什么要将 TLS 1.2 与 Configuration Manager 一同使用?
TLS 1.2 比以前的加密协议(如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 实质上,TLS 1.2 使跨网络传输的数据更加安全。
Configuration Manager 在何处使用 TLS 1.2 等加密协议?
Configuration Manager 基本上有五个方面使用 TLS 1.2 等加密协议:
- 当角色配置为使用 HTTPS 时,与基于 IIS 的站点服务器角色的客户端通信。 这些角色的示例包括分发点、软件更新点和管理点。
- 管理点、SMS 主管和 SMS 提供商与 SQL。 Configuration Manager 始终加密SQL Server通信。
- 如果 WSUS 配置为使用 HTTPS,则站点服务器到 WSUS 的通信。
- 配置管理器控制台,SQL Server Reporting Services (SSRS) SSRS 配置为使用 HTTPS 时配置 SSRS。
- 与基于 Internet 的服务的任何连接。 示例包括云管理网关 (CMG) 、服务连接点同步以及 Microsoft 更新更新元数据的同步。
什么决定使用哪个加密协议?
HTTPS 将始终协商客户端和服务器在加密对话中支持的最高协议版本。 建立连接后,客户端会使用其最高可用协议向服务器发送消息。 如果服务器支持同一版本,它将使用该版本发送邮件。 此协商版本用于连接。 如果服务器不支持客户端提供的版本,则服务器消息将指定它可以使用的最高版本。 有关 TLS 握手协议的信息,请参阅 使用 TLS 建立安全会话。
客户端和服务器可以使用的协议版本是什么?
通常,以下项可以确定所使用的协议版本:
- 应用程序可以规定要协商的特定协议版本。
- 最佳做法规定避免在应用程序级别对特定协议版本进行硬编码,并遵循在组件和操作系统协议级别定义的配置。
- Configuration Manager 遵循此最佳做法。
- 对于使用 .NET Framework 编写的应用程序,默认协议版本取决于编译时所基于的框架版本。
- 默认情况下,4.6.3 以前的 .NET 版本未在协商协议列表中包含 TLS 1.1 和 1.2。
- 使用 WinHTTP 进行 HTTPS 通信的应用程序(如 Configuration Manager 客户端)取决于操作系统版本、修补程序级别和协议版本支持的配置。