Comment activer TLS 1.2

S’applique à : Gestionnaire de configuration (branche actuelle)

Tls (Transport Layer Security), comme SSL (Secure Sockets Layer), est un protocole de chiffrement destiné à sécuriser les données lors du transfert sur un réseau. Ces articles décrivent les étapes nécessaires pour s’assurer que Configuration Manager communication sécurisée utilise le protocole TLS 1.2. Ces articles décrivent également les exigences de mise à jour pour les composants couramment utilisés et la résolution des problèmes courants.

Activation de TLS 1.2

Configuration Manager s’appuie sur de nombreux composants différents pour une communication sécurisée. Le protocole utilisé pour une connexion donnée dépend des fonctionnalités des composants appropriés côté client et côté serveur. Si un composant n’est pas à jour ou n’est pas correctement configuré, la communication peut utiliser un protocole plus ancien et moins sécurisé. Pour activer correctement Configuration Manager afin de prendre en charge TLS 1.2 pour toutes les communications sécurisées, vous devez activer TLS 1.2 pour tous les composants requis. Les composants requis dépendent de votre environnement et des fonctionnalités Configuration Manager que vous utilisez.

Importante

Démarrez ce processus avec les clients, en particulier les versions précédentes de Windows. Avant d’activer TLS 1.2 et de désactiver les anciens protocoles sur les serveurs Configuration Manager, assurez-vous que tous les clients prennent en charge TLS 1.2. Sinon, les clients ne peuvent pas communiquer avec les serveurs et peuvent être orphelins.

Tâches pour les clients Configuration Manager, les serveurs de site et les systèmes de site distants

Pour activer TLS 1.2 pour les composants dont Configuration Manager dépend pour une communication sécurisée, vous devez effectuer plusieurs tâches sur les clients et les serveurs de site.

Activer TLS 1.2 pour les clients Configuration Manager

• Mettre à jour Windows et WinHTTP sur Windows 8.0, Windows Server 2012 (non-R2) et versions antérieures
• Vérifiez que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
• Mettre à jour et configurer le .NET Framework pour prendre en charge TLS 1.2

Activer TLS 1.2 pour Configuration Manager serveurs de site et systèmes de site distants

• Vérifiez que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
• Mettre à jour et configurer le .NET Framework pour prendre en charge TLS 1.2
• Mettre à jour SQL Server et le SQL Server Native Client
• Update Windows Server Update Services (WSUS)

Fonctionnalités et dépendances de scénario

Cette section décrit les dépendances pour des fonctionnalités et des scénarios Configuration Manager spécifiques. Pour déterminer les étapes suivantes, recherchez les éléments qui s’appliquent à votre environnement.

Fonctionnalité ou scénario	Tâches de mise à jour
Serveurs de site (central, principal ou secondaire)	- Mettre à jour le .NET Framework - Vérifier les paramètres de chiffrement fort
Serveur de base de données de site	Mettre à jour SQL Server et ses composants clients
Serveurs de site secondaires	Mettre à jour SQL Server et ses composants clients vers une version conforme de SQL Server Express
Rôles de système de site	- Mettre à jour .NET Framework et vérifier les paramètres de chiffrement forts - Mettre à jour SQL Server et ses composants clients sur les rôles qui en ont besoin, y compris les SQL Server Native Client
Point Reporting Services	- Mettre à jour .NET Framework sur le serveur de site, les serveurs SQL Server Reporting Services et tout ordinateur avec la console - Redémarrez le service SMS_Executive si nécessaire
Point de mise à jour logicielle	Mettre à jour WSUS
Passerelle de gestion cloud	Appliquer TLS 1.2
console Configuration Manager	- Mettre à jour le .NET Framework - Vérifier les paramètres de chiffrement fort
Configuration Manager client avec des rôles de système de site HTTPS	Mettre à jour Windows pour prendre en charge TLS 1.2 pour les communications client-serveur à l’aide de WinHTTP
Centre logiciel	- Mettre à jour le .NET Framework - Vérifier les paramètres de chiffrement fort
Clients Windows 7	Avant d’activer TLS 1.2 sur tous les composants serveur, mettez à jour Windows pour prendre en charge TLS 1.2 pour les communications client-serveur à l’aide de WinHTTP. Si vous activez d’abord TLS 1.2 sur les composants serveur, vous pouvez orpheliner les versions antérieures des clients.

Questions fréquemment posées

Pourquoi utiliser TLS 1.2 avec Configuration Manager ?

TLS 1.2 est plus sécurisé que les protocoles de chiffrement précédents tels que SSL 2.0, SSL 3.0, TLS 1.0 et TLS 1.1. Essentiellement, TLS 1.2 sécurise davantage les données transférées sur le réseau.

Où Configuration Manager utiliser des protocoles de chiffrement tels que TLS 1.2 ?

Il existe essentiellement cinq domaines qui Configuration Manager utilise des protocoles de chiffrement tels que TLS 1.2 :

• Communications du client vers les rôles de serveur de site IIS lorsque le rôle est configuré pour utiliser HTTPS. Les points de distribution, les points de mise à jour logicielle et les points de gestion sont des exemples de ces rôles.
• Communications du point de gestion, de l’exécutif SMS et du fournisseur SMS avec SQL. Configuration Manager chiffre toujours les communications SQL Server.
• Communications de serveur de site à WSUS si WSUS est configuré pour utiliser HTTPS.
• La console Configuration Manager à SQL Server Reporting Services (SSRS) si SSRS est configuré pour utiliser HTTPS.
• Toutes les connexions aux services Basés sur Internet. Par exemple, la passerelle de gestion cloud (CMG), la synchronisation du point de connexion de service et la synchronisation des métadonnées de mise à jour à partir de Microsoft Update.

Qu’est-ce qui détermine le protocole de chiffrement utilisé ?

HTTPS négocie toujours la version de protocole la plus élevée prise en charge par le client et le serveur dans une conversation chiffrée. Lors de l’établissement d’une connexion, le client envoie un message au serveur avec son protocole le plus élevé disponible. Si le serveur prend en charge la même version, il envoie un message à l’aide de cette version. Cette version négociée est celle utilisée pour la connexion. Si le serveur ne prend pas en charge la version présentée par le client, le message du serveur spécifie la version la plus élevée qu’il peut utiliser. Pour plus d’informations sur le protocole d’établissement d’une liaison TLS, consultez Établissement d’une session sécurisée à l’aide de TLS.

Qu’est-ce qui détermine la version de protocole que le client et le serveur peuvent utiliser ?

En règle générale, les éléments suivants peuvent déterminer la version du protocole utilisée :

• L’application peut dicter les versions de protocole spécifiques à négocier.
  • Les bonnes pratiques dictent d’éviter de coder en dur des versions de protocole spécifiques au niveau de l’application et de suivre la configuration définie au niveau du composant et du protocole du système d’exploitation.
  • Configuration Manager suivez cette bonne pratique.
• Pour les applications écrites à l’aide du .NET Framework, les versions de protocole par défaut dépendent de la version du framework sur laquelle elles ont été compilées.
  • Les versions .NET antérieures à la version 4.6.3 n’incluaient pas TLS 1.1 et 1.2 dans la liste des protocoles de négociation, par défaut.
• Les applications qui utilisent WinHTTP pour les communications HTTPS, comme le client Configuration Manager, dépendent de la version du système d’exploitation, du niveau de correctif et de la configuration pour la prise en charge des versions de protocole.

Ressources supplémentaires

• Référence technique des contrôles cryptographiques
• Meilleures pratiques en matière de sécurité de la couche de transport (TLS) avec le .NET Framework
• 3135244 de la base de connaissances : prise en charge de TLS 1.2 pour Microsoft SQL Server

Prochaines étapes

• Activer TLS 1.2 sur clients
• Activer TLS 1.2 sur les serveurs de site