Habilitación de TLS 1.2
Se aplica a: Configuration Manager (rama actual)
Seguridad de la capa de transporte (TLS), como Capa de sockets seguros (SSL), es un protocolo de cifrado diseñado para mantener los datos seguros cuando se transfieren a través de una red. En estos artículos se describen los pasos necesarios para asegurarse de que Configuration Manager comunicación segura usa el protocolo TLS 1.2. En estos artículos también se describen los requisitos de actualización de los componentes de uso común y la solución de problemas comunes.
Habilitación de TLS 1.2
Configuration Manager se basa en muchos componentes diferentes para una comunicación segura. El protocolo que se usa para una conexión determinada depende de las capacidades de los componentes pertinentes tanto en el lado cliente como en el servidor. Si algún componente está obsoleto o no está configurado correctamente, la comunicación podría usar un protocolo más antiguo y menos seguro. Para habilitar correctamente Configuration Manager para admitir TLS 1.2 para todas las comunicaciones seguras, debe habilitar TLS 1.2 para todos los componentes necesarios. Los componentes necesarios dependen del entorno y de las características Configuration Manager que use.
Importante
Inicie este proceso con los clientes, especialmente las versiones anteriores de Windows. Antes de habilitar TLS 1.2 y deshabilitar los protocolos anteriores en los servidores Configuration Manager, asegúrese de que todos los clientes admiten TLS 1.2. De lo contrario, los clientes no se pueden comunicar con los servidores y pueden quedar huérfanos.
Tareas para Configuration Manager clientes, servidores de sitio y sistemas de sitio remotos
Para habilitar TLS 1.2 para los componentes de los que Configuration Manager depende para una comunicación segura, deberá realizar varias tareas tanto en los clientes como en los servidores de sitio.
Habilitación de TLS 1.2 para clientes Configuration Manager
- Actualizar Windows y WinHTTP en Windows 8.0, Windows Server 2012 (distinto de R2) y versiones anteriores
- Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo.
- Actualización y configuración de .NET Framework para admitir TLS 1.2
Habilitación de TLS 1.2 para Configuration Manager servidores de sitio y sistemas de sitio remotos
- Asegúrese de que TLS 1.2 está habilitado como protocolo para SChannel en el nivel de sistema operativo.
- Actualización y configuración de .NET Framework para admitir TLS 1.2
- Actualice SQL Server y el SQL Server Native Client
- Actualizar Windows Server Update Services (WSUS)
Características y dependencias de escenarios
En esta sección se describen las dependencias de características y escenarios específicos de Configuration Manager. Para determinar los pasos siguientes, busque los elementos que se aplican al entorno.
Característica o escenario | Actualizar tareas |
---|---|
Servidores de sitio (central, principal o secundario) |
-
Actualización de .NET Framework - Comprobación de la configuración de criptografía segura |
Servidor de base de datos de sitio | Actualizar SQL Server y sus componentes de cliente |
Servidores de sitio secundarios | Actualice SQL Server y sus componentes de cliente a una versión compatible de SQL Server Express |
Roles de sistema de sitio |
-
Actualización de .NET Framework y comprobación de una configuración de criptografía segura - Actualice SQL Server y sus componentes de cliente en los roles que lo requieran, incluidos los SQL Server Native Client |
Punto de Reporting Services |
-
Actualice .NET Framework en el servidor de sitio, los servidores SQL Server Reporting Services y cualquier equipo con la consola. : reinicie el servicio de SMS_Executive según sea necesario. |
Punto de actualización de software | Actualización de WSUS |
Puerta de enlace de administración en la nube | Exigir TLS 1.2 |
consola de Configuration Manager |
-
Actualización de .NET Framework - Comprobación de la configuración de criptografía segura |
Configuration Manager cliente con roles de sistema de sitio HTTPS | Actualización de Windows para admitir TLS 1.2 para las comunicaciones cliente-servidor mediante WinHTTP |
Centro de software |
-
Actualización de .NET Framework - Comprobación de la configuración de criptografía segura |
Clientes de Windows 7 | Antes de habilitar TLS 1.2 en cualquier componente de servidor, actualice Windows para que admita TLS 1.2 para las comunicaciones cliente-servidor mediante WinHTTP. Si primero habilita TLS 1.2 en los componentes del servidor, puede huérfanos las versiones anteriores de los clientes. |
Preguntas frecuentes
¿Por qué usar TLS 1.2 con Configuration Manager?
TLS 1.2 es más seguro que los protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1. Básicamente, TLS 1.2 mantiene más seguros los datos que se transfieren a través de la red.
¿Dónde Configuration Manager usar protocolos de cifrado como TLS 1.2?
Básicamente hay cinco áreas que Configuration Manager usan protocolos de cifrado como TLS 1.2:
- Comunicaciones de cliente a roles de servidor de sitio basados en IIS cuando el rol está configurado para usar HTTPS. Algunos ejemplos de estos roles son puntos de distribución, puntos de actualización de software y puntos de administración.
- Comunicaciones de punto de administración, SMS Executive y proveedor de SMS con SQL. Configuration Manager siempre cifra las comunicaciones SQL Server.
- Comunicaciones del servidor de sitio a WSUS si WSUS está configurado para usar HTTPS.
- La consola Configuration Manager para SQL Server Reporting Services (SSRS) si SSRS está configurado para usar HTTPS.
- Cualquier conexión a servicios basados en Internet. Entre los ejemplos se incluyen la puerta de enlace de administración en la nube (CMG), la sincronización del punto de conexión de servicio y la sincronización de metadatos de actualización de Microsoft Update.
¿Qué determina qué protocolo de cifrado se usa?
HTTPS siempre negociará la versión de protocolo más alta compatible con el cliente y el servidor en una conversación cifrada. Al establecer una conexión, el cliente envía un mensaje al servidor con su protocolo más alto disponible. Si el servidor admite la misma versión, envía un mensaje con esa versión. Esta versión negociada es la que se usa para la conexión. Si el servidor no admite la versión presentada por el cliente, el mensaje del servidor especificará la versión más alta que pueda usar. Para obtener más información sobre el protocolo de protocolo de protocolo de enlace TLS, consulte Establecer una sesión segura mediante TLS.
¿Qué determina qué versión del protocolo pueden usar el cliente y el servidor?
Por lo general, los siguientes elementos pueden determinar qué versión de protocolo se usa:
- La aplicación puede dictar qué versiones de protocolo específicas negociar.
- El procedimiento recomendado dicta evitar codificar de forma rígida versiones de protocolo específicas en el nivel de aplicación y seguir la configuración definida en el nivel de componente y protocolo del sistema operativo.
- Configuration Manager sigue este procedimiento recomendado.
- En el caso de las aplicaciones escritas con .NET Framework, las versiones de protocolo predeterminadas dependen de la versión del marco en el que se compilaron.
- Las versiones de .NET anteriores a la 4.6.3 no incluyeban TLS 1.1 y 1.2 en la lista de protocolos para la negociación de forma predeterminada.
- Las aplicaciones que usan WinHTTP para las comunicaciones HTTPS, como el cliente Configuration Manager, dependen de la versión del sistema operativo, el nivel de revisión y la configuración para la compatibilidad con la versión del protocolo.
Recursos adicionales
- Referencia técnica de controles criptográficos
- Procedimientos recomendados de seguridad de la capa de transporte (TLS) con .NET Framework
- KB 3135244: compatibilidad con TLS 1.2 para Microsoft SQL Server