Impostare TLS per VMM
Importante
Questa versione di Virtual Machine Manager (VMM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a VMM 2022.
Questo articolo descrive come configurare la versione 1.2 del protocollo Transport Layer Security (TLS) con un server System Center Virtual Machine Manager (VMM).
Nota
Virtual Machine Manager userà il protocollo configurato a livello di sistema operativo. Ad esempio, se TLS 1.0, TLS 1.1 e TLS 1.2 sono abilitati a livello di sistema operativo, Virtual Machine Manager selezionerà uno dei tre protocolli nell'ordine di preferenza seguente:
- TLS versione 1.2
- TLS versione 1.1
- TLS versione 1.0
Il provider di servizi condivisi Schannel seleziona quindi il protocollo di autenticazione più preferito che il client e il server possono supportare.
Prima di iniziare
- VMM deve eseguire VMM 2016 con l'aggiornamento cumulativo 4 o versione successiva.
- Le correzioni di sicurezza devono essere aggiornate nel server VMM e nel server che esegue il database VMM.
- Il server VMM deve eseguire .NET versione 4.6. Seguire queste istruzioni per determinare quale versione di .NET è installata.
- Per usare TLS 1.2, i componenti di System Center generano certificati autofirmati SHA1 o SHA2. Se si usano certificati SSL provenienti da certificati CA, deve trattarsi di certificati SHA1 o SHA2.
Installa un aggiornamento di SQL Server per supportare TLS 1.2
- Aprire KB 3135244.
- Scaricare e installare l'aggiornamento per la versione di SQL Server.
- Questo aggiornamento non è necessario se si esegue SQL Server 2016.
- SQL Server 2008 R2 non supporta TLS 1.2.
Configurare il server VMM per usare TLS 1.2
Disabilitare tutti i protocolli SCHANNEL eccetto TLS 1.2.
Modificare manualmente il registro
- Aprire l'editor del Registro di sistema e passare a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Fare clic con il pulsante destro del mouse su Protocollo, selezionare Nuovo>Chiave. Immettere il tasto e premere INVIO. Seguire questa procedura per creare le chiavi seguenti:
- SSL3
- TLS 1.0
- TLS 1.1
- TLS 1.2
- Dopo aver creato queste chiavi, è necessario creare chiavi Client e Server all'interno di esse.
- Per SSL3selezionare Nuovo>Chiave. Immettere Client e premere INVIO. Di nuovo, per SSL3selezionare ancora Nuovo>Chiave. Immettere quindi Server e premere INVIO.
- Ripetere l'operazione per creare le chiavi Client e Server all'interno di TLS 1.0, TLS 1.1, e TLS 1.2.
- Dopo aver creato le chiavi client e server , è necessario creare valori DWORD sotto di essi per abilitare e disabilitare i protocolli. Procedere come segue:
- Abilitare il protocollo TLS 1.2. A tale scopo, in TLS 1.2, sotto la chiave Client, creare il valore DWORD DisabledByDefault e impostare il valore su 0. Creare ora un valore DWORD Enablede impostare il valore su 1. Creare gli stessi valori DWORD sotto la chiave Server.
- A questo punto disattivare gli altri protocolli. A tale scopo, in SSL3, TLS 1.0 e TLS 1.1, sotto la chiave Client, creare il valore DWORD DisabledByDefault e impostare il valore su 1. Creare ora un valore DWORD Abilitatoe impostare il valore su 0. Creare gli stessi valori DWORD sotto la chiave Server.
Modificare il registro di sistema con uno script PowerShell
Anziché modificare manualmente i valori del registro di sistema, è possibile usare lo script PowerShell seguente.
$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList)
{
foreach ($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Output "Current Registry Path: `"$currentRegPath`""
if (!(Test-Path $currentRegPath))
{
Write-Output " `'$key`' not found: Creating new Registry Key"
New-Item -Path $currentRegPath -Force | out-Null
}
if ($Protocol -eq "TLS 1.2")
{
Write-Output " Enabling - TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Output " Disabling - $Protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
}
Write-Output " "
}
}
Exit 0
Configurare VMM per usare TLS 1.2
- Aprire l'editor del registro di sistema nel server VMM. Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ . NetFramework\v4.0.30319.
- Creare il valore DWORD SchUseStrongCryptoe impostare il valore su 1.
- Passare ora a HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft
. NetFramework\v4.0.30319. - In questa posizione creare lo stesso valore DWORD SchUseStrongCrypto e impostare il valore su 1.
- Riavviare il server per rendere effettiva l'impostazione.
Modificare il registro di sistema con uno script PowerShell
È possibile modificare le impostazioni del registro di sistema con lo script di PowerShell seguente.
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
Passaggi successivi
Altre informazioni sul protocollo TLS 1.2.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per