この記事では、System Center - Orchestrator を使用してトランスポート セキュリティ層 (TLS) プロトコル バージョン 1.3 を設定する方法について説明します。
開始する前に
Orchestrator 用に TLS 1.3 を設定する前の考慮事項を次に示します。
- オーケストレーターはバージョン 2022 または 2025 を実行している必要があります。
- Orchestrator では、セキュリティ修正プログラムを最新の状態にする必要があります。
- System Center の更新プログラムは最新である必要があります。
- SQL Server 2012 Native Client 11.0 以降を Orchestrator 管理サーバーにインストールする必要があります。 Microsoft SQL Server 2012 Native Client 11.0 をダウンロードしてインストールするには、この Microsoft ダウンロード センターの Web ページ 参照してください。
- オーケストレーターは .NET バージョン 4.6 を実行している必要があります。 これらの手順 従って インストールされている .NET のバージョンを確認します。
- TLS 1.3 を使用するには、System Center コンポーネントによって SHA1 または SHA2 自己署名証明書が生成されます。 証明機関 (CA) の SSL 証明書を使用する場合は、SHA1 または SHA2 を使用する必要があります。
- TLS 1.3 をサポートする SQL Server バージョンをインストールします。 SQL Server 2022 以降では、TLS 1.3 がサポートされています。
TLS 1.3 サポート用の SQL Server 更新プログラムをインストールする
重要
TDS 接続に対して TLS 1.3 がサポートされている場合でも、SQL Server サテライト サービスを起動するために TLS 1.2 が必要です。 マシンで TLS 1.2 を無効にしないでください。
SQL Server バージョンの更新プログラム ダウンロードしてインストールします。
注
- SQL Server 2019 (15.x) 以前のバージョンでは、TLS 1.3 はサポートされていません。
TLS 1.3 の構成と使用
TLS 1.3 を構成して使用するには、次の手順に従います。
TLS 1.3 を使用するように Orchestrator を構成します。
a. Orchestrator でレジストリ エディターを起動します。 これを行うには、 Startを右クリックし、[実行] ボックスに「 regedit 」と入力し、 OK を選択します。
b.次のレジストリ サブキーを見つけます:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319。c. このキーの下に DWORD SchUseStrongCrypto [Value=1] を作成します。
d. 次のレジストリ サブキーを見つけます:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NetFramework\v4.0.30319。え このキーの下に DWORD SchUseStrongCrypto [Value=1] を作成します。
f. TLS 1.3 のみを使用するように System Center を設定します。
この手順でレジストリを変更する前に、後で復元する必要がある場合に備えてレジストリをバックアップします。 その後、次のレジストリ キー値を設定します。
64 ビット オペレーティング システムの値
パス レジストリ キー [値] HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727システムデフォルトTLSバージョン dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727システムデフォルトTLSバージョン dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319システムデフォルトTLSバージョン dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319システムデフォルトTLSバージョン dword:00000001 TLS 1.3 のみを使用するように Windows を構成するには、次の方法を使用します。
方法 1: 手動でレジストリを変更する
重要
レジストリの変更の方法を誤った場合、深刻な問題が発生することがあります。 開始する前に、レジストリをバックアップして、問題が発生した場合に復元できるようにします。
システム全体のすべての SCHANNEL プロトコルを有効または無効にするには、次の手順に従います。
注
受信通信には TLS 1.3 プロトコルを有効にすることをお勧めします。 すべての送信通信に対して TLS 1.3、TLS 1.2、TLS 1.1、TLS 1.0 のプロトコルを有効にします。 レジストリの変更は、Kerberos プロトコルまたは NTLM プロトコルの使用には影響しません。
a. レジストリ エディターを起動します。 これを行うには、 [スタート] ボタンを右クリックし、[ファイル名を指定して実行] ボックスに 「regedit 」と入力し、 [OK] を選択します。
b。 次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsc. [プロトコル] を右クリックし、 [新規]>[キー] をポイントします。
d. 「SSL 3.0」と入力します。
え 前の 2 つの手順を繰り返して、TLS 0、TLS 1.1、TLS 1.2、TLS 1.3 のキーを作成します。 これらのキーはディレクトリに似ています。
f. SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3 の各キーの下にクライアント キーとサーバー キーを作成します。
ジー プロトコルを有効にするには、次のように、各クライアントとサーバー キーの下に DWORD 値を作成します。
- デフォルトで無効 [値 = 0]
- 有効 [値 = 1]
h. プロトコルを無効にするには、次のように、各クライアントとサーバー キーの下の DWORD 値を変更します。
- DisabledByDefault [値 = 1]
- 有効 [値 = 0]
一. [ファイル]>[終了] を選択します。
方法 2: レジストリを自動的に変更する
管理者モードで次の Windows PowerShell スクリプトを実行し、TLS 1.3 プロトコルのみを使用するように Windows を自動的に構成します。
$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2", “TLS 1.3”) $ProtocolSubKeyList = @("Client", "Server") $DisabledByDefault = "DisabledByDefault" $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\" foreach ($Protocol in $ProtocolList) { foreach ($key in $ProtocolSubKeyList) { $currentRegPath = $registryPath + $Protocol + "\" + $key Write-Output "Current Registry Path: `"$currentRegPath`"" if (!(Test-Path $currentRegPath)) { Write-Output " `'$key`' not found: Creating new Registry Key" New-Item -Path $currentRegPath -Force | out-Null } if ($Protocol -eq "TLS 1.3") { Write-Output " Enabling - TLS 1.3" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null } else { Write-Output " Disabling - $Protocol" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null } Write-Output " " } }すべての Service Manager ロールに次の更新プログラムをインストールします。 管理サーバー、Azure Data Warehouse サーバー、Self-Service ポータル、アナリスト コンソール (Orchestrator Runbook サーバーにインストールされているアナリスト コンソールを含む) のロールを更新します。
オペレーティング システム 必要な更新 Windows 8.1 および Windows Server 2012 R2 3154520 Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 に含まれる TLS システムの既定のバージョンのサポート Windows Server 2012 3154519 Windows Server 2012 の .NET Framework 3.5 に含まれる TLS システムの既定のバージョンのサポート Windows 7 SP1 および Windows Server 2008 R2 SP1 3154518 Windows 7 SP1 および Server 2008 R2 SP1 の .NET Framework 3.5.1 に含まれる TLS システムの既定のバージョンのサポート Windows 10 および Windows Server 2016 3154521 Windows の .NET Framework 4.5.2 および 4.5.1 に対する修正プログラム ロールアップ 3154521
2016年5月10日、Windows 10 バージョン 1511 および Windows Server 2016 Technical Preview 4 用累積更新プログラム 3156421コンピューターを再起動します。
注
接続に TLS 1.3 プロトコルのみを使用するように Microsoft System Center Orchestrator を設定すると、統合パックは動作を停止します。
この問題を解決するには、次の手順に従ってください。
- レジストリ エディターを起動します。
- 次のレジストリ サブキーを見つけます。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319- SystemDefaultTlsVersions 値が存在するかどうかを確認します。 - 値が存在する場合は、そのデータが 1 に設定されていることを確認します。 - 値が存在しない場合は、DWORD (32 ビット) 値を作成し、次の値を指定します:Name: SystemDefaultTlsVersions 値データ: 1
- [OK] を選択します。
詳細については、この KB 記事 参照してください。
次のステップ
TLS 1.2 プロトコルの詳細については を参照してください。