Freigeben über

Einrichten von TLS 1.2 für Orchestrator

In diesem Artikel wird beschrieben, wie das TLS-Protokoll (Transport Security Layer) Version 1.2 mit System Center – Orchestrator eingerichtet wird.

Bevor Sie anfangen

  • Orchestrator sollte Version 2016 mit Updaterollup 4 oder höher, 2019 oder 2022 ausführen.
  • Sicherheitsupdates sollten auf dem Orchestrator auf dem neuesten Stand sein.
  • System Center-Updates sollten auf dem neuesten Stand sein.
  • Der SQL Server 2012 Native-Client 11.0 oder höher sollte auf dem Orchestrator-Verwaltungsserver installiert werden. Informationen zum Herunterladen und Installieren von des Microsoft SQL Server 2012 Native-Clients 11.0 finden Sie auf dieser Microsoft Download Center-Webseite.
  • Orchestrator sollte die .NET-Version 4.6 ausführen. Führen Sie diese Anweisungen aus, um zu ermitteln, welche .NET-Version installiert ist.
  • Um mit TLS 1.2 zu arbeiten, generieren System Center-Komponenten SHA1‑ oder SHA2-selbstsignierte Zertifikate. Wenn SSL-Zertifikate von einer Zertifizierungsstelle (ZS) verwendet werden, sollten sie SHA1 oder SHA2 nutzen.
  • Installieren Sie die SQL Server-Version, die TLS 1.2 unterstützt. SQL Server 2016 oder höher unterstützt TLS 1.2.

Installieren eines SQL Server-Updates für TLS 1.2-Support

  1. Öffnen Sie KB 3135244.
  2. Herunterladen und installieren des Updates für Ihre Version von SQL Server.
    • Sie benötigen dieses Update nicht, wenn Sie SQL Server 2016 oder höher ausführen.
    • SQL Server 2008 R2 bietet keinen Support für TLS 1.2.

Konfigurieren und Verwenden von TLS 1.2

  1. Konfigurieren von Orchestrator für die Verwendung von TLS 1.2

    a) Starten Sie den Registrierungs-Editor im Orchestrator. Klicken Sie dazu mit der rechten Maustaste auf Start, geben Sie regedit in das Feld „Ausführen“ ein, und wählen Sie dann OK aus.

    Lokalisieren Sie den folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    c. Erstellen Sie den DWORD „SchUseStrongCrypto“ [Wert=1] unter diesem Schlüssel.

    d. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NetFramework\v4.0.30319.

    e. Erstellen Sie den DWORD „SchUseStrongCrypto“ [Wert=1] unter diesem Schlüssel.

    f. Legen Sie fest, dass System Center nur TLS 1.2 verwendet.

    Bevor Sie die Registrierung in diesem Schritt ändern, sichern Sie sie, falls Sie sie später wiederherstellen müssen. Legen Sie anschließend die folgenden Registrierungsschlüsselwerte fest:

    Werte für 64-Bit-Betriebssysteme

    Pfad Registrierungsschlüssel value
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727 SystemDefaultTlsVersions dword:00000001
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v2.0.50727 SystemDefaultTlsVersions dword:00000001
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001

    Werte für 32-Bit-Betriebssysteme

    Pfad Registrierungsschlüssel value
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 SystemDefaultTlsVersions dword:00000001
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v2.0.50727 SystemDefaultTlsVersions dword:00000001

  2. Legen Sie fest, dass Windows nur TLS 1.2 verwendet.

    Methode 1: Manuelle Bearbeitung der Registrierung

    Wichtig

    Wenn Ihnen beim Bearbeiten der Registrierung ein Fehler unterläuft, können Sie schwerwiegende Probleme verursachen. Sichern Sie zunächst die Registrierung, damit Sie sie wiederherstellen können, wenn ein Problem auftritt.

    Führen Sie die folgenden Schritte aus, um alle SCHANNEL-Protokolle im gesamten System zu aktivieren oder zu deaktivieren.

    Hinweis

    Sie sollten das TLS 1.2-Protokoll für die gesamte eingehende Kommunikation aktivieren. Aktivieren Sie die Protokolle TLS 1.2, TLS 1.1 und TLS 1.0 für die gesamte ausgehende Kommunikation. Registrierungsänderungen wirken sich nicht auf die Verwendung des Kerberos-Protokolls oder des NTLM-Protokolls aus.

    a) Starten Sie den Registrierungs-Editor. Klicken Sie dazu mit der rechten Maustaste auf Start, geben Sie regedit in das Feld „Ausführen“ ein, und wählen Sie dann OK aus.

    b. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

    c. Klicken Sie mit der rechten Maustaste auf Protokoll, und zeigen Sie auf Neu>Schlüssel.

    Neuer Registrierungsschlüssel

    d. Geben Sie SSL 3.0 ein.

    e. Wiederholen Sie die vorherigen beiden Schritte zum Erstellen von Schlüsseln für TLS 0, TLS 1.1 und TLS 1.2. Diese Schlüssel ähneln Verzeichnissen.

    f. Erstellen Sie einen Clientschlüssel und einen Serverschlüssel unter den einzelnen Schlüsseln für SSL 3.0, TLS 1.0, TLS 1.1 und TLS 1.2.

    g. Erstellen Sie zum Aktivieren eines Protokolls wie folgt den DWORD-Wert unter jedem Client- und Serverschlüssel:

    • DeaktiviertAlsStandard [Wert = 0]
    • Aktiviert [Wert = 1]

    h. Ändern Sie zum Deaktivieren eines Protokolls wie folgt den DWORD-Wert unter jedem Client- und Serverschlüssel:

    • DisabledByDefault [Wert = 1]
    • Aktiviert [Wert = 0]

    i. Wählen Sie Datei>Beenden aus.

    Methode 2: Automatische Bearbeitung der Registrierung

    Führen Sie das folgende Windows PowerShell-Skript im Administratormodus aus, um Windows automatisch so zu konfigurieren, dass nur das TLS-Protokoll 1.2 verwendet wird.

    $ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
    foreach ($key in $ProtocolSubKeyList)
    {
        $currentRegPath = $registryPath + $Protocol + "\" + $key
        Write-Output "Current Registry Path: `"$currentRegPath`""

        if (!(Test-Path $currentRegPath))
        {
            Write-Output " `'$key`' not found: Creating new Registry Key"
            New-Item -Path $currentRegPath -Force | out-Null
        }
        if ($Protocol -eq "TLS 1.2")
        {
            Write-Output " Enabling - TLS 1.2"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
        }
        else
        {
            Write-Output " Disabling - $Protocol"
            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
            New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
        }
        Write-Output " "
    }
}

  3. Installieren Sie die folgenden Updates für alle Service Manager-Rollen. Aktualisieren Sie Rollen auf Verwaltungsservern, Azure Data Warehouse-Servern, im Self-Service-Portal und in Analystenkonsolen (einschließlich der auf den Orchestrator-Runbookservern installierten Analystenkonsolen).

    Betriebssystem Erforderliches Update
    Windows 8.1 und Windows Server 2012 R2 3154520 Unterstützung für Standardversionen des TLS-Systems in .NET Framework 3.5 unter Windows 8.1 und Windows Server 2012 R2
    Windows Server 2012 3154519 Unterstützung für Standardversionen des TLS-Systems in .NET Framework 3.5 unter Windows Server 2012
    Windows 7 SP1 und Windows Server 2008 R2 SP1 3154518 Unterstützung für Standardversionen des TLS-Systems in .NET Framework 3.5.1 unter Windows 7 SP1 und Windows Server 2008 R2 SP1
    Windows 10 und Windows Server 2016 3154521 Hotfixrollup 3154521 für das .NET Framework 4.5.2 und 4.5.1 unter Windows

    3156421 Kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 10. Mai 2016

  4. Starten Sie den Computer neu.

Hinweis

Nachdem Sie Microsoft System Center Orchestrator so eingestellt haben, dass nur das TLS 1.2-Protokoll für Verbindungen verwendet wird, funktionieren die Integrationspakete nicht mehr. Zur Behebung dieses Problems führen Sie die folgenden Schritte aus:

  1. Starten Sie den Registrierungs-Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft.NETFramework\v4.0.30319
  3. Überprüfen Sie, ob der Wert „SystemDefaultTlsVersions“ vorhanden ist. – Wenn der Wert vorhanden ist, stellen Sie sicher, dass die Daten auf 1 festgelegt sind. – Wenn der Wert nicht vorhanden ist, erstellen Sie einen DWORD-Wert (32-Bit), und geben Sie die folgenden Werte an: Name: SystemDefaultTlsVersions Value data: 1
  4. Klicken Sie auf OK.

Weitere Informationen finden Sie in diesem KB-Artikel.

Nächste Schritte

Weitere Informationen zum TLS 1.2-Protokoll.