Udostępnij za pośrednictwem


Jak włączyć protokół TLS 1.2

Dotyczy: Configuration Manager (bieżąca gałąź)

Transport Layer Security (TLS), taki jak Secure Sockets Layer (SSL), to protokół szyfrowania, który ma zapewnić bezpieczeństwo danych podczas przesyłania za pośrednictwem sieci. W tych artykułach opisano kroki wymagane do zapewnienia, że Configuration Manager bezpiecznej komunikacji korzysta z protokołu TLS 1.2. W tych artykułach opisano również wymagania dotyczące aktualizacji często używanych składników i rozwiązywanie typowych problemów.

Włączanie protokołu TLS 1.2

Configuration Manager opiera się na wielu różnych składnikach bezpiecznej komunikacji. Protokół używany dla danego połączenia zależy od możliwości odpowiednich składników po stronie klienta i serwera. Jeśli jakikolwiek składnik jest nieaktualny lub nie jest prawidłowo skonfigurowany, komunikacja może używać starszego, mniej bezpiecznego protokołu. Aby poprawnie włączyć Configuration Manager obsługę protokołu TLS 1.2 dla całej bezpiecznej komunikacji, należy włączyć protokół TLS 1.2 dla wszystkich wymaganych składników. Wymagane składniki zależą od środowiska i funkcji Configuration Manager, których używasz.

Ważna

Uruchom ten proces z klientami, zwłaszcza z poprzednimi wersjami systemu Windows. Przed włączeniem protokołu TLS 1.2 i wyłączeniem starszych protokołów na serwerach Configuration Manager upewnij się, że wszyscy klienci obsługują protokół TLS 1.2. W przeciwnym razie klienci nie mogą komunikować się z serwerami i mogą zostać oddzieloni.

Zadania Configuration Manager klientów, serwerów lokacji i zdalnych systemów lokacji

Aby włączyć protokół TLS 1.2 dla składników, od których Configuration Manager zależy bezpieczna komunikacja, należy wykonać wiele zadań zarówno na klientach, jak i na serwerach lokacji.

Włączanie protokołu TLS 1.2 dla klientów Configuration Manager

Włączanie protokołu TLS 1.2 dla serwerów lokacji Configuration Manager i zdalnych systemów lokacji

Funkcje i zależności scenariuszy

W tej sekcji opisano zależności dla określonych funkcji i scenariuszy Configuration Manager. Aby określić kolejne kroki, znajdź elementy, które mają zastosowanie do środowiska.

Funkcja lub scenariusz Aktualizowanie zadań
Serwery lokacji (centralne, podstawowe lub pomocnicze) - Aktualizowanie .NET Framework
— Weryfikowanie silnych ustawień kryptografii
Serwer bazy danych lokacji Aktualizowanie SQL Server i jej składników klienta
Serwery lokacji dodatkowej Zaktualizuj SQL Server i jej składniki klienta do zgodnej wersji SQL Server Express
Role systemu lokacji - Aktualizowanie .NET Framework i weryfikowanie silnych ustawień kryptografii
- Zaktualizuj SQL Server i jej składniki klienta na wymaganych rolach, w tym SQL Server Native Client
Punkt usług raportowania - Zaktualizuj .NET Framework na serwerze lokacji, serwerach SQL Server Reporting Services i dowolnym komputerze z konsolą
— w razie potrzeby uruchom ponownie usługę SMS_Executive
Punkt aktualizacji oprogramowania Aktualizowanie programu WSUS
Brama zarządzania chmurą Wymuszanie protokołu TLS 1.2
konsola Configuration Manager - Aktualizowanie .NET Framework
— Weryfikowanie silnych ustawień kryptografii
Configuration Manager klienta z rolami systemu lokacji HTTPS Zaktualizuj system Windows, aby obsługiwał protokół TLS 1.2 dla komunikacji klient-serwer przy użyciu protokołu WinHTTP
Centrum oprogramowania - Aktualizowanie .NET Framework
— Weryfikowanie silnych ustawień kryptografii
Klienci systemu Windows 7 Przed włączeniem protokołu TLS 1.2 na dowolnych składnikach serwera zaktualizuj system Windows, aby obsługiwał protokół TLS 1.2 dla komunikacji klient-serwer przy użyciu protokołu WinHTTP. Jeśli najpierw włączysz protokół TLS 1.2 dla składników serwera, możesz odłączyć wcześniejsze wersje klientów.

Często zadawane pytania

Dlaczego warto używać protokołu TLS 1.2 z Configuration Manager?

Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Zasadniczo protokół TLS 1.2 zapewnia większe bezpieczeństwo danych przesyłanych przez sieć.

Gdzie Configuration Manager używać protokołów szyfrowania, takich jak TLS 1.2?

Istnieje zasadniczo pięć obszarów, w których Configuration Manager używa protokołów szyfrowania, takich jak TLS 1.2:

  • Komunikacja klienta z rolami serwera lokacji opartymi na usługach IIS, gdy rola jest skonfigurowana do używania protokołu HTTPS. Przykłady tych ról obejmują punkty dystrybucji, punkty aktualizacji oprogramowania i punkty zarządzania.
  • Punkt zarządzania, program SMS Executive i komunikacja dostawcy programu SMS z usługą SQL. Configuration Manager zawsze szyfruje komunikację SQL Server.
  • Komunikacja między serwerem lokacji a usługą WSUS, jeśli program WSUS jest skonfigurowany do używania protokołu HTTPS.
  • Konsola Configuration Manager do SQL Server Reporting Services (SSRS), jeśli usługa SSRS jest skonfigurowana do używania protokołu HTTPS.
  • Wszelkie połączenia z usługami internetowymi. Przykłady obejmują bramę zarządzania chmurą (CMG), synchronizację punktów połączenia z usługą i synchronizację metadanych aktualizacji z Microsoft Update.

Co określa, który protokół szyfrowania jest używany?

Protokół HTTPS zawsze będzie negocjował najwyższą wersję protokołu obsługiwaną zarówno przez klienta, jak i serwer w zaszyfrowanej konwersacji. Po nawiązaniu połączenia klient wysyła komunikat do serwera z najwyższym dostępnym protokołem. Jeśli serwer obsługuje tę samą wersję, wysyła komunikat przy użyciu tej wersji. Ta wynegocjowana wersja jest używana na potrzeby połączenia. Jeśli serwer nie obsługuje wersji przedstawionej przez klienta, komunikat serwera określi najwyższą wersję, która może być używana. Aby uzyskać więcej informacji o protokole uzgadniania protokołu TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.

Co określa, której wersji protokołu może używać klient i serwer?

Ogólnie rzecz biorąc, następujące elementy mogą określić, która wersja protokołu jest używana:

  • Aplikacja może określać określone wersje protokołów do negocjacji.
    • Najlepszym rozwiązaniem jest unikanie twardego kodowania określonych wersji protokołów na poziomie aplikacji oraz przestrzeganie konfiguracji zdefiniowanej na poziomie składnika i protokołu systemu operacyjnego.
    • Configuration Manager jest zgodne z tym najlepszym rozwiązaniem.
  • W przypadku aplikacji napisanych przy użyciu .NET Framework domyślne wersje protokołów zależą od wersji struktury, na podstawie których zostały skompilowane.
    • Wersje platformy .NET przed 4.6.3 domyślnie nie zawierały protokołów TLS 1.1 i 1.2 na liście protokołów do negocjacji.
  • Aplikacje korzystające z protokołu WinHTTP do komunikacji HTTPS, takie jak klient Configuration Manager, zależą od wersji systemu operacyjnego, poziomu poprawek i konfiguracji obsługi wersji protokołu.

Dodatkowe materiały

Następne kroki