TLS 1.2 inschakelen
Van toepassing op: Configuration Manager (Current Branch)
Transport Layer Security (TLS), net als Secure Sockets Layer (SSL), is een versleutelingsprotocol dat is bedoeld om gegevens veilig te houden wanneer ze worden overgedragen via een netwerk. In deze artikelen worden de stappen beschreven die nodig zijn om ervoor te zorgen dat Configuration Manager beveiligde communicatie gebruikmaakt van het TLS 1.2-protocol. In deze artikelen worden ook updatevereisten beschreven voor veelgebruikte onderdelen en het oplossen van veelvoorkomende problemen.
TLS 1.2 inschakelen
Configuration Manager is afhankelijk van veel verschillende onderdelen voor veilige communicatie. Het protocol dat voor een bepaalde verbinding wordt gebruikt, is afhankelijk van de mogelijkheden van de relevante onderdelen aan de client- en serverzijde. Als een onderdeel verouderd is of niet goed is geconfigureerd, gebruikt de communicatie mogelijk een ouder, minder veilig protocol. Als u wilt dat Configuration Manager TLS 1.2 voor alle beveiligde communicatie ondersteunt, moet u TLS 1.2 inschakelen voor alle vereiste onderdelen. De vereiste onderdelen zijn afhankelijk van uw omgeving en de Configuration Manager functies die u gebruikt.
Belangrijk
Start dit proces met de clients, met name eerdere versies van Windows. Voordat u TLS 1.2 inschakelt en de oudere protocollen op de Configuration Manager servers uitschakelt, moet u ervoor zorgen dat alle clients TLS 1.2 ondersteunen. Anders kunnen de clients niet communiceren met de servers en kunnen ze zwevend zijn.
Taken voor Configuration Manager clients, siteservers en externe sitesystemen
Als u TLS 1.2 wilt inschakelen voor onderdelen waar Configuration Manager afhankelijk van is voor veilige communicatie, moet u meerdere taken uitvoeren op zowel de clients als de siteservers.
TLS 1.2 inschakelen voor Configuration Manager-clients
- Windows en WinHTTP bijwerken op Windows 8.0, Windows Server 2012 (niet-R2) en eerder
- Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau
- De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2
TLS 1.2 inschakelen voor Configuration Manager siteservers en externe sitesystemen
- Zorg ervoor dat TLS 1.2 is ingeschakeld als protocol voor SChannel op besturingssysteemniveau
- De .NET Framework bijwerken en configureren voor ondersteuning van TLS 1.2
- SQL Server en de SQL Server Native Client bijwerken
- Windows Server Update Services (WSUS) bijwerken
Functies en scenarioafhankelijkheden
In deze sectie worden de afhankelijkheden voor specifieke Configuration Manager functies en scenario's beschreven. Zoek de items die van toepassing zijn op uw omgeving om de volgende stappen te bepalen.
| Functie of scenario | Taken bijwerken |
|---|---|
| Siteservers (centraal, primair of secundair) |
-
.NET Framework bijwerken - Sterke cryptografie-instellingen controleren |
| Sitedatabaseserver | SQL Server en de bijbehorende clientonderdelen bijwerken |
| Secundaire siteservers | SQL Server en de bijbehorende clientonderdelen bijwerken naar een compatibele versie van SQL Server Express |
| Sitesysteemrollen |
-
.NET Framework bijwerken en sterke cryptografie-instellingen controleren - Werk SQL Server en de bijbehorende clientonderdelen bij voor rollen waarvoor dit is vereist, inclusief de SQL Server Native Client |
| Reporting Services-punt |
-
Werk .NET Framework op de siteserver, de SQL Server Reporting Services servers en elke computer bij met de console - Start de SMS_Executive-service zo nodig opnieuw op |
| Software-updatepunt | WSUS bijwerken |
| Cloudbeheergateway | TLS 1.2 afdwingen |
| Configuration Manager console |
-
.NET Framework bijwerken - Sterke cryptografie-instellingen controleren |
| Configuration Manager client met HTTPS-sitesysteemrollen | Windows bijwerken ter ondersteuning van TLS 1.2 voor client-servercommunicatie met behulp van WinHTTP |
| Software Center |
-
.NET Framework bijwerken - Sterke cryptografie-instellingen controleren |
| Windows 7-clients | Voordat u TLS 1.2 inschakelt op serveronderdelen, moet u Windows bijwerken om TLS 1.2 te ondersteunen voor client-servercommunicatie met behulp van WinHTTP. Als u TLS 1.2 eerst op serveronderdelen inschakelt, kunt u eerdere versies van clients zweven. |
Veelgestelde vragen
Waarom TLS 1.2 gebruiken met Configuration Manager?
TLS 1.2 is veiliger dan de vorige cryptografische protocollen, zoals SSL 2.0, SSL 3.0, TLS 1.0 en TLS 1.1. In wezen zorgt TLS 1.2 ervoor dat gegevens via het netwerk beter worden overgedragen.
Waar gebruikt Configuration Manager versleutelingsprotocollen zoals TLS 1.2?
Er zijn in feite vijf gebieden die Configuration Manager gebruikmaakt van versleutelingsprotocollen zoals TLS 1.2:
- Clientcommunicatie naar op IIS gebaseerde siteserverfuncties wanneer de rol is geconfigureerd voor het gebruik van HTTPS. Voorbeelden van deze rollen zijn distributiepunten, software-updatepunten en beheerpunten.
- Communicatie tussen beheerpunt, SMS Executive en SMS-provider met SQL. Configuration Manager versleutelt altijd SQL Server communicatie.
- Communicatie tussen siteserver en WSUS als WSUS is geconfigureerd voor het gebruik van HTTPS.
- De Configuration Manager console naar SQL Server Reporting Services (SSRS) als SSRS is geconfigureerd voor het gebruik van HTTPS.
- Alle verbindingen met internetservices. Voorbeelden hiervan zijn de cloudbeheergateway (CMG), de synchronisatie van het serviceverbindingspunt en de synchronisatie van metagegevens van updates van Microsoft Update.
Wat bepaalt welk versleutelingsprotocol wordt gebruikt?
HTTPS onderhandelt altijd over de hoogste protocolversie die wordt ondersteund door zowel de client als de server in een versleuteld gesprek. Bij het tot stand brengen van een verbinding verzendt de client een bericht naar de server met het hoogst beschikbare protocol. Als de server dezelfde versie ondersteunt, wordt er een bericht verzonden met behulp van die versie. Deze onderhandelde versie is de versie die wordt gebruikt voor de verbinding. Als de server de versie van de client niet ondersteunt, geeft het serverbericht de hoogste versie op die kan worden gebruikt. Zie Een beveiligde sessie tot stand brengen met behulp van TLS voor meer informatie over het TLS Handshake-protocol.
Wat bepaalt welke protocolversie de client en server kunnen gebruiken?
Over het algemeen kunnen de volgende items bepalen welke protocolversie wordt gebruikt:
- De toepassing kan dicteren welke specifieke protocolversies moeten worden onderhandeld.
- Best practice dicteert het coderen van specifieke protocolversies op toepassingsniveau en het volgen van de configuratie die is gedefinieerd op het niveau van het onderdeel en het besturingssysteemprotocol.
- Configuration Manager volgt deze aanbevolen procedure.
- Voor toepassingen die zijn geschreven met de .NET Framework, zijn de standaardprotocolversies afhankelijk van de versie van het framework waarop ze zijn gecompileerd.
- .NET-versies vóór 4.6.3 bevatten tls 1.1 en 1.2 niet standaard in de lijst met protocollen voor onderhandeling.
- Toepassingen die Gebruikmaken van WinHTTP voor HTTPS-communicatie, zoals de Configuration Manager-client, zijn afhankelijk van de versie van het besturingssysteem, het patchniveau en de configuratie voor ondersteuning van protocolversies.
Aanvullende bronnen
- Technische naslaginformatie over cryptografische besturingselementen
- Best practices voor TLS (Transport Layer Security) met de .NET Framework
- KB 3135244: TLS 1.2-ondersteuning voor Microsoft SQL Server