Delen via


TLS 1.2 inschakelen

Van toepassing op: Configuration Manager (Current Branch)

Transport Layer Security (TLS), net als Secure Sockets Layer (SSL), is een versleutelingsprotocol dat is bedoeld om gegevens veilig te houden wanneer ze worden overgedragen via een netwerk. In deze artikelen worden de stappen beschreven die nodig zijn om ervoor te zorgen dat Configuration Manager beveiligde communicatie gebruikmaakt van het TLS 1.2-protocol. In deze artikelen worden ook updatevereisten beschreven voor veelgebruikte onderdelen en het oplossen van veelvoorkomende problemen.

TLS 1.2 inschakelen

Configuration Manager is afhankelijk van veel verschillende onderdelen voor veilige communicatie. Het protocol dat voor een bepaalde verbinding wordt gebruikt, is afhankelijk van de mogelijkheden van de relevante onderdelen aan de client- en serverzijde. Als een onderdeel verouderd is of niet goed is geconfigureerd, gebruikt de communicatie mogelijk een ouder, minder veilig protocol. Als u wilt dat Configuration Manager TLS 1.2 voor alle beveiligde communicatie ondersteunt, moet u TLS 1.2 inschakelen voor alle vereiste onderdelen. De vereiste onderdelen zijn afhankelijk van uw omgeving en de Configuration Manager functies die u gebruikt.

Belangrijk

Start dit proces met de clients, met name eerdere versies van Windows. Voordat u TLS 1.2 inschakelt en de oudere protocollen op de Configuration Manager servers uitschakelt, moet u ervoor zorgen dat alle clients TLS 1.2 ondersteunen. Anders kunnen de clients niet communiceren met de servers en kunnen ze zwevend zijn.

Taken voor Configuration Manager clients, siteservers en externe sitesystemen

Als u TLS 1.2 wilt inschakelen voor onderdelen waar Configuration Manager afhankelijk van is voor veilige communicatie, moet u meerdere taken uitvoeren op zowel de clients als de siteservers.

TLS 1.2 inschakelen voor Configuration Manager-clients

TLS 1.2 inschakelen voor Configuration Manager siteservers en externe sitesystemen

Functies en scenarioafhankelijkheden

In deze sectie worden de afhankelijkheden voor specifieke Configuration Manager functies en scenario's beschreven. Zoek de items die van toepassing zijn op uw omgeving om de volgende stappen te bepalen.

Functie of scenario Taken bijwerken
Siteservers (centraal, primair of secundair) - .NET Framework bijwerken
- Sterke cryptografie-instellingen controleren
Sitedatabaseserver SQL Server en de bijbehorende clientonderdelen bijwerken
Secundaire siteservers SQL Server en de bijbehorende clientonderdelen bijwerken naar een compatibele versie van SQL Server Express
Sitesysteemrollen - .NET Framework bijwerken en sterke cryptografie-instellingen controleren
- Werk SQL Server en de bijbehorende clientonderdelen bij voor rollen waarvoor dit is vereist, inclusief de SQL Server Native Client
Reporting Services-punt - Werk .NET Framework op de siteserver, de SQL Server Reporting Services servers en elke computer bij met de console
- Start de SMS_Executive-service zo nodig opnieuw op
Software-updatepunt WSUS bijwerken
Cloudbeheergateway TLS 1.2 afdwingen
Configuration Manager console - .NET Framework bijwerken
- Sterke cryptografie-instellingen controleren
Configuration Manager client met HTTPS-sitesysteemrollen Windows bijwerken ter ondersteuning van TLS 1.2 voor client-servercommunicatie met behulp van WinHTTP
Software Center - .NET Framework bijwerken
- Sterke cryptografie-instellingen controleren
Windows 7-clients Voordat u TLS 1.2 inschakelt op serveronderdelen, moet u Windows bijwerken om TLS 1.2 te ondersteunen voor client-servercommunicatie met behulp van WinHTTP. Als u TLS 1.2 eerst op serveronderdelen inschakelt, kunt u eerdere versies van clients zweven.

Veelgestelde vragen

Waarom TLS 1.2 gebruiken met Configuration Manager?

TLS 1.2 is veiliger dan de vorige cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. In wezen zorgt TLS 1.2 ervoor dat gegevens via het netwerk beter worden overgedragen.

Waar gebruikt Configuration Manager versleutelingsprotocollen zoals TLS 1.2?

Er zijn in feite vijf gebieden die Configuration Manager gebruikmaakt van versleutelingsprotocollen zoals TLS 1.2:

  • Clientcommunicatie naar op IIS gebaseerde siteserverfuncties wanneer de rol is geconfigureerd voor het gebruik van HTTPS. Voorbeelden van deze rollen zijn distributiepunten, software-updatepunten en beheerpunten.
  • Communicatie tussen beheerpunt, SMS Executive en SMS-provider met SQL. Configuration Manager versleutelt altijd SQL Server communicatie.
  • Communicatie tussen siteserver en WSUS als WSUS is geconfigureerd voor het gebruik van HTTPS.
  • De Configuration Manager console naar SQL Server Reporting Services (SSRS) als SSRS is geconfigureerd voor het gebruik van HTTPS.
  • Alle verbindingen met internetservices. Voorbeelden hiervan zijn de cloudbeheergateway (CMG), de synchronisatie van het serviceverbindingspunt en de synchronisatie van metagegevens van updates van Microsoft Update.

Wat bepaalt welk versleutelingsprotocol wordt gebruikt?

HTTPS onderhandelt altijd over de hoogste protocolversie die wordt ondersteund door zowel de client als de server in een versleuteld gesprek. Bij het tot stand brengen van een verbinding verzendt de client een bericht naar de server met het hoogst beschikbare protocol. Als de server dezelfde versie ondersteunt, wordt er een bericht verzonden met behulp van die versie. Deze onderhandelde versie is de versie die wordt gebruikt voor de verbinding. Als de server de versie van de client niet ondersteunt, geeft het serverbericht de hoogste versie op die kan worden gebruikt. Zie Een beveiligde sessie tot stand brengen met behulp van TLS voor meer informatie over het TLS Handshake-protocol.

Wat bepaalt welke protocolversie de client en server kunnen gebruiken?

Over het algemeen kunnen de volgende items bepalen welke protocolversie wordt gebruikt:

  • De toepassing kan dicteren welke specifieke protocolversies moeten worden onderhandeld.
    • Best practice dicteert het coderen van specifieke protocolversies op toepassingsniveau en het volgen van de configuratie die is gedefinieerd op het niveau van het onderdeel en het besturingssysteemprotocol.
    • Configuration Manager volgt deze aanbevolen procedure.
  • Voor toepassingen die zijn geschreven met de .NET Framework, zijn de standaardprotocolversies afhankelijk van de versie van het framework waarop ze zijn gecompileerd.
    • .NET-versies vóór 4.6.3 bevatten tls 1.1 en 1.2 niet standaard in de lijst met protocollen voor onderhandeling.
  • Toepassingen die Gebruikmaken van WinHTTP voor HTTPS-communicatie, zoals de Configuration Manager-client, zijn afhankelijk van de versie van het besturingssysteem, het patchniveau en de configuratie voor ondersteuning van protocolversies.

Aanvullende bronnen

Volgende stappen