TLS 1.2 を有効にする方法

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Secure Sockets Layer (SSL) のようなトランスポート層セキュリティ (TLS) は、ネットワーク経由で転送されるときにデータをセキュリティで保護するための暗号化プロトコルです。 これらの記事では、セキュリティで保護された通信Configuration Manager TLS 1.2 プロトコルを使用するために必要な手順について説明します。 これらの記事では、一般的に使用されるコンポーネントの更新要件と、一般的な問題のトラブルシューティングについても説明します。

TLS 1.2 の有効化

Configuration Managerは、セキュリティで保護された通信のためにさまざまなコンポーネントに依存しています。 特定の接続に使用されるプロトコルは、クライアント側とサーバー側の両方の関連コンポーネントの機能によって異なります。 コンポーネントが古い場合、または正しく構成されていない場合、通信で古く、セキュリティが低いプロトコルが使用される可能性があります。 すべてのセキュリティで保護された通信で TLS 1.2 をサポートするようにConfiguration Managerを正しく有効にするには、必要なすべてのコンポーネントに対して TLS 1.2 を有効にする必要があります。 必要なコンポーネントは、環境と使用するConfiguration Manager機能によって異なります。

重要

クライアント、特に以前のバージョンの Windows でこのプロセスを開始します。 TLS 1.2 を有効にし、Configuration Manager サーバーで古いプロトコルを無効にする前に、すべてのクライアントが TLS 1.2 をサポートしていることを確認してください。 そうしないと、クライアントはサーバーと通信できないため、孤立する可能性があります。

Configuration Manager クライアント、サイト サーバー、リモート サイト システムのタスク

セキュリティで保護された通信に依存Configuration Managerコンポーネントに対して TLS 1.2 を有効にするには、クライアントとサイト サーバーの両方で複数のタスクを実行する必要があります。

Configuration Manager クライアントに対して TLS 1.2 を有効にする

Configuration Manager サイト サーバーとリモート サイト システムに対して TLS 1.2 を有効にする

機能とシナリオの依存関係

このセクションでは、特定のConfiguration Managerの機能とシナリオの依存関係について説明します。 次の手順を決定するには、環境に適用される項目を見つけます。

機能またはシナリオ タスクの更新
サイト サーバー (中央、プライマリ、またはセカンダリ) - 更新.NET Framework
- 強力な暗号化設定を確認する
サイト データベース サーバー SQL Serverとそのクライアント コンポーネントを更新する
セカンダリ サイト サーバー SQL Serverとそのクライアント コンポーネントを準拠バージョンの SQL Server Express に更新する
サイト システムの役割 - .NET Frameworkを更新し、強力な暗号化設定を確認する
- SQL Server Native Clientを含め、必要なロールに対するSQL Serverとそのクライアント コンポーネントを更新します
Reporting Services ポイント - サイト サーバー、SQL Server Reporting Services サーバー、およびコンソールを使用して任意のコンピューターの.NET Frameworkを更新する
- 必要に応じてSMS_Executive サービスを再起動します
ソフトウェアの更新ポイント WSUS を更新する
クラウド管理ゲートウェイ TLS 1.2 を適用する
Configuration Manager コンソール - 更新.NET Framework
- 強力な暗号化設定を確認する
HTTPS サイト システムの役割を持つクライアントのConfiguration Manager WinHTTP を使用してクライアントとサーバー間の通信に TLS 1.2 をサポートするように Windows を更新する
ソフトウェア センターを使用する - 更新.NET Framework
- 強力な暗号化設定を確認する
Windows 7 クライアント 任意のサーバー コンポーネントで TLS 1.2 を有効にするに、WinHTTP を使用してクライアントとサーバー間の通信に TLS 1.2 をサポートするように Windows を更新します。 最初にサーバー コンポーネントで TLS 1.2 を有効にした場合、以前のバージョンのクライアントを孤立させることができます。

よく寄せられる質問

CONFIGURATION MANAGERで TLS 1.2 を使用する理由

TLS 1.2 は、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 などの以前の暗号化プロトコルよりも安全です。 基本的に、TLS 1.2 では、ネットワーク経由でデータがより安全に転送されます。

TLS 1.2 などの暗号化プロトコルを使用Configuration Manager場所

TLS 1.2 のような暗号化プロトコルConfiguration Manager使用する領域は基本的に 5 つあります。

  • HTTPS を使用するようにロールが構成されている場合の IIS ベースのサイト サーバーロールへのクライアント通信。 これらのロールの例としては、配布ポイント、ソフトウェアの更新ポイント、管理ポイントなどがあります。
  • SQL との管理ポイント、SMS エグゼクティブ、SMS プロバイダー通信。 Configuration Managerは常にSQL Server通信を暗号化します。
  • WSUS が HTTPS を使用するように構成されている場合、サイト サーバーから WSUS への通信。
  • HTTPS を使用するように SSRS が構成されている場合にSQL Server Reporting ServicesするConfiguration Manager コンソール (SSRS)。
  • インターネット ベースのサービスへの接続。 たとえば、クラウド管理ゲートウェイ (CMG)、サービス接続ポイントの同期、Microsoft Update からの更新メタデータの同期などがあります。

使用される暗号化プロトコルは何によって決まりますか?

HTTPS は、暗号化された会話でクライアントとサーバーの両方でサポートされている最高のプロトコル バージョンを常にネゴシエートします。 接続を確立すると、クライアントは使用可能なプロトコルが最も高いメッセージをサーバーに送信します。 サーバーが同じバージョンをサポートしている場合は、そのバージョンを使用してメッセージを送信します。 このネゴシエートされたバージョンは、接続に使用されるバージョンです。 サーバーがクライアントによって提示されるバージョンをサポートしていない場合、サーバー メッセージは、使用できる最高のバージョンを指定します。 TLS ハンドシェイク プロトコルの詳細については、「TLS を使用したセキュリティで保護されたセッションの確立」を参照してください。

クライアントとサーバーで使用できるプロトコルのバージョンは何によって決まりますか?

一般に、次の項目は、使用されるプロトコルのバージョンを決定できます。

  • アプリケーションは、ネゴシエートする特定のプロトコル バージョンを決定できます。
    • ベスト プラクティスでは、アプリケーション レベルで特定のプロトコル バージョンをハード コーディングしないようにし、コンポーネントと OS プロトコル レベルで定義されている構成に従うことを規定します。
    • Configuration Managerはこのベスト プラクティスに従います。
  • .NET Frameworkを使用して記述されたアプリケーションの場合、既定のプロトコル バージョンは、コンパイルされたフレームワークのバージョンによって異なります。
    • 4.6.3 より前の .NET バージョンでは、既定では、ネゴシエーションのプロトコルの一覧に TLS 1.1 と 1.2 が含まれていませんでした。
  • Configuration Manager クライアントなど、HTTPS 通信に WinHTTP を使用するアプリケーションは、OS のバージョン、パッチ レベル、プロトコル バージョンのサポートの構成によって異なります。

その他のリソース

次の手順