Udostępnij za pośrednictwem

Konfigurowanie protokołu TLS 1.3 dla programu Orchestrator

W tym artykule opisano sposób konfigurowania protokołu Transport Security Layer (TLS) w wersji 1.3 przy użyciu programu System Center — Orchestrator.

Przed rozpoczęciem

Poniżej przedstawiono kilka zagadnień przed skonfigurowaniem protokołu TLS 1.3 dla programu Orchestrator:

  • Program Orchestrator powinien działać w wersji 2022 lub 2025.
  • Poprawki zabezpieczeń powinny być aktualne w programie Orchestrator.
  • Aktualizacje programu System Center powinny być aktualne.
  • Program SQL Server 2012 Native Client 11.0 lub nowszy powinien być zainstalowany na serwerze zarządzania programu Orchestrator. Aby pobrać i zainstalować program Microsoft SQL Server 2012 Native Client 11.0, zobacz tę stronę internetową Centrum pobierania Microsoft.
  • Program Orchestrator powinien mieć uruchomioną wersję 4.6 platformy .NET. Postępuj zgodnie z tymi instrukcjami , aby określić, która wersja platformy .NET jest zainstalowana.
  • Aby pracować z protokołem TLS 1.3, składniki programu System Center generują certyfikaty SHA1 lub SHA2 z podpisem własnym. Jeśli używane są certyfikaty SSL z urzędu certyfikacji, powinny używać algorytmu SHA1 lub SHA2.
  • Zainstaluj wersję programu SQL Server, która obsługuje protokół TLS 1.3. Program SQL Server 2022 lub nowszy obsługuje protokół TLS 1.3.

Instalowanie aktualizacji programu SQL Server na potrzeby obsługi protokołu TLS 1.3

Ważne

Nawet w przypadku obsługi protokołu TLS 1.3 dla połączeń TDS protokół TLS 1.2 jest nadal wymagany do uruchamiania usług satelickich programu SQL Server. Nie wyłączaj protokołu TLS 1.2 na maszynie.

Pobierz i zainstaluj aktualizację dla wersji programu SQL Server.

Uwaga

  • Program SQL Server 2019 (15.x) i starsze wersje nie obsługują protokołu TLS 1.3.

Konfigurowanie i używanie protokołu TLS 1.3

Aby skonfigurować i użyć protokołu TLS 1.3, wykonaj następujące kroki:

  1. Skonfiguruj program Orchestrator do używania protokołu TLS 1.3:

    a. Uruchom edytor rejestru w programie Orchestrator. W tym celu kliknij prawym przyciskiem myszy przycisk Start, wprowadź ciąg regedit w polu Uruchom, a następnie wybierz przycisk OK.

    b.Znajdź następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.

    c. Utwórz DWORD SchUseStrongCrypto [Value=1] pod tym kluczem.

    d. Znajdź następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NetFramework\v4.0.30319.

    e. Utwórz DWORD SchUseStrongCrypto [Value=1] pod tym kluczem.

    f. Ustaw program System Center tak, aby używał tylko protokołu TLS 1.3.

    Przed zmianą rejestru w tym kroku należy utworzyć kopię zapasową rejestru na wypadek potrzeby późniejszego przywrócenia go. Potem ustaw następujące wartości klucza rejestru.

    Wartości dla 64-bitowych systemów operacyjnych

    Ścieżka Klucz rejestru Wartość
    HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 Domyślne wersje TLS systemu dword:00000001
    HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727 Domyślne wersje TLS systemu dword:00000001
    HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 Domyślne wersje TLS systemu dword:00000001
    HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319 Domyślne wersje TLS systemu dword:00000001

  2. Użyj tych metod, aby skonfigurować system Windows do używania tylko protokołu TLS 1.3:

    Metoda 1. Ręczne modyfikowanie rejestru

    Ważne

    Nieprawidłowe zmodyfikowanie rejestru może spowodować poważne problemy. Przed rozpoczęciem utwórz kopię zapasową rejestru, aby można było go przywrócić w przypadku wystąpienia problemu.

    Aby włączyć lub wyłączyć wszystkie protokoły SCHANNEL w systemie, wykonaj następujące kroki:

    Uwaga

    Zalecamy włączenie protokołu TLS 1.3 dla komunikacji przychodzącej. Włącz protokoły TLS 1.3, TLS 1.2, TLS 1.1 i TLS 1.0 dla wszystkich komunikacji wychodzącej. Zmiany rejestru nie mają wpływu na użycie protokołu Kerberos ani protokołu NTLM.

    a. Uruchom Edytor rejestru. Aby to zrobić, kliknij prawym przyciskiem myszy przycisk Start, wpisz regedit w polu Uruchom, a następnie wybierz przycisk OK.

    b. Znajdź następujący podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

    c. Kliknij prawym przyciskiem myszy pozycję Protokół i wskaż polecenie Nowy>Klucz.

    Zrzut ekranu przedstawiający nowy klucz rejestru.

    d. Wprowadź wartość SSL 3.0.

    e. Powtórz dwa poprzednie kroki, aby utworzyć klucze dla protokołów TLS 0, TLS 1.1, TLS 1.2 i TLS 1.3. Te klucze przypominają katalogi.

    f. Utwórz klucz klienta i klucz serwera w ramach każdego z kluczy SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 i TLS 1.3.

    g. Aby włączyć protokół, utwórz wartość DWORD dla każdego klienta i klucza serwera w następujący sposób:

    • Wyłączone domyślnie [Value = 0]
    • Włączone [Wartość = 1]

    h. Aby wyłączyć protokół, zmień wartość DWORD w ramach każdego klienta i klucza serwera w następujący sposób:

    • WyłączoneDomyślnie [Value = 1]
    • Włączony [Value = 0]

    punkt i. Wybierz Plik>Zakończ.

    Metoda 2. Automatyczne modyfikowanie rejestru

    Uruchom następujący skrypt programu Windows PowerShell w trybie administratora, aby automatycznie skonfigurować system Windows do używania tylko protokołu TLS 1.3:

       $ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2", “TLS 1.3”) 

   $ProtocolSubKeyList = @("Client", "Server") 

   $DisabledByDefault  = "DisabledByDefault" 

   $registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\" 

   foreach ($Protocol in $ProtocolList) 

   { 

    foreach ($key in $ProtocolSubKeyList) 

    { 

        $currentRegPath = $registryPath + $Protocol + "\" + $key 

        Write-Output "Current Registry Path: `"$currentRegPath`"" 



        if (!(Test-Path $currentRegPath)) 

        { 

            Write-Output " `'$key`' not found: Creating new Registry Key" 

            New-Item -Path $currentRegPath -Force | out-Null 

        } 

        if ($Protocol -eq "TLS 1.3") 

        { 

            Write-Output " Enabling - TLS 1.3" 

            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null 

            New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null 

        } 

        else 

        { 

            Write-Output " Disabling - $Protocol" 

            New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null 

            New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null 

        } 

        Write-Output " " 

    } 

}

  3. Zainstaluj następujące aktualizacje we wszystkich rolach programu Service Manager. Aktualizowanie ról na serwerach zarządzania, serwerach usługi Azure Data Warehouse, portalu Self-Service i konsolach analityków (a w tym konsolach analityków zainstalowanych na serwerach Runbook programu Orchestrator).

    System operacyjny Wymagana aktualizacja
    Windows 8.1 i Windows Server 2012 R2 3154520 obsługa domyślnych wersji systemu TLS zawartych w programie .NET Framework 3.5 w systemach Windows 8.1 i Windows Server 2012 R2
    Windows Server 2012 3154519 obsługa domyślnych wersji systemu TLS w programie .NET Framework 3.5 w systemie Windows Server 2012
    Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1 3154518 wsparcie domyślnych wersji systemu TLS zawartych w programie .NET Framework 3.5.1 w systemach Windows 7 z dodatkiem SP1 i Server 2008 R2 z dodatkiem SP1
    Windows 10 i Windows Server 2016 3154521 pakiet zbiorczy poprawek dla programu .NET Framework 4.5.2 i 4.5.1 w systemie Windows

    3156421 Aktualizacja zbiorcza dla systemu Windows 10 w wersji 1511 i Windows Server 2016 Technical Preview 4: 10 maja 2016 r.

  4. Uruchom ponownie komputer.

Uwaga

Po ustawieniu programu Microsoft System Center Orchestrator do używania tylko protokołu TLS 1.3 dla połączeń pakiety integracyjne przestaną działać.

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Uruchom Edytor rejestru.
  2. Znajdź następujący podklucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319
  3. Sprawdź, czy wartość SystemDefaultTlsVersions istnieje. — Jeśli wartość istnieje, upewnij się, że jego dane są ustawione na 1. - Jeśli wartość nie istnieje, utwórz wartość DWORD (32-bitowa) i określ następujące wartości: Nazwa: SystemDefaultTlsVersions Wartość: 1
  4. Wybierz przycisk OK.

Aby uzyskać szczegółowe informacje, zobacz ten artykuł bazy wiedzy.

Następne kroki

Dowiedz się więcej o protokole TLS 1.2.