Compartilhar via


Como habilitar o TLS 1.2

Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)

O TLS (Transport Layer Security), como o SSL (Secure Sockets Layer), é um protocolo de criptografia destinado a manter os dados seguros ao ser transferido por uma rede. Esses artigos descrevem as etapas necessárias para garantir que Configuration Manager comunicação segura use o protocolo TLS 1.2. Esses artigos também descrevem os requisitos de atualização para componentes comumente usados e solução de problemas comuns.

Habilitando o TLS 1.2

Configuration Manager depende de muitos componentes diferentes para comunicação segura. O protocolo usado para uma determinada conexão depende dos recursos dos componentes relevantes no lado do cliente e do servidor. Se algum componente estiver desatualizado ou não estiver configurado corretamente, a comunicação poderá usar um protocolo mais antigo e menos seguro. Para habilitar corretamente Configuration Manager dar suporte ao TLS 1.2 para todas as comunicações seguras, você deve habilitar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do ambiente e dos recursos Configuration Manager que você usa.

Importante

Inicie esse processo com os clientes, especialmente as versões anteriores do Windows. Antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores Configuration Manager, verifique se todos os clientes dão suporte ao TLS 1.2. Caso contrário, os clientes não podem se comunicar com os servidores e podem ficar órfãos.

Tarefas para clientes Configuration Manager, servidores de site e sistemas de sites remotos

Para habilitar o TLS 1.2 para componentes que Configuration Manager dependem para uma comunicação segura, você precisará fazer várias tarefas nos clientes e nos servidores do site.

Habilitar o TLS 1.2 para clientes Configuration Manager

Habilitar o TLS 1.2 para servidores de site Configuration Manager e sistemas de sites remotos

Recursos e dependências de cenário

Esta seção descreve as dependências de recursos e cenários Configuration Manager específicos. Para determinar as próximas etapas, localize os itens que se aplicam ao seu ambiente.

Recurso ou cenário Atualizar tarefas
Servidores de site (central, primário ou secundário) - Atualizar .NET Framework
– Verificar configurações fortes de criptografia
Servidor de banco de dados do site Atualizar SQL Server e seus componentes cliente
Servidores de site secundários Atualizar SQL Server e seus componentes cliente para uma versão compatível do SQL Server Express
Funções do sistema de sites - Atualizar .NET Framework e verificar configurações fortes de criptografia
- Atualize SQL Server e seus componentes cliente em funções que o exigem, incluindo o SQL Server Native Client
Ponto de serviços de relatório - Atualizar .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com o console
- Reinicie o serviço de SMS_Executive conforme necessário
Ponto de atualização de software Atualizar o WSUS
Gateway de gerenciamento de nuvem Impor o TLS 1.2
console Configuration Manager - Atualizar .NET Framework
– Verificar configurações fortes de criptografia
Configuration Manager cliente com funções do sistema de sites HTTPS Atualizar o Windows para dar suporte ao TLS 1.2 para comunicações cliente-servidor usando WinHTTP
Centro de Software - Atualizar .NET Framework
– Verificar configurações fortes de criptografia
Clientes do Windows 7 Antes de habilitar o TLS 1.2 em qualquer componente do servidor, atualize o Windows para dar suporte ao TLS 1.2 para comunicações cliente-servidor usando WinHTTP. Se você habilitar o TLS 1.2 em componentes de servidor primeiro, poderá órfão versões anteriores de clientes.

Perguntas frequentes

Por que usar o TLS 1.2 com Configuration Manager?

O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados sendo transferidos por toda a rede mais seguros.

Onde Configuration Manager usa protocolos de criptografia como o TLS 1.2?

Há basicamente cinco áreas que Configuration Manager usa protocolos de criptografia como o TLS 1.2:

  • Comunicações do cliente com funções de servidor de site baseadas em IIS quando a função é configurada para usar HTTPS. Exemplos dessas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gerenciamento.
  • Ponto de gerenciamento, comunicações do Sms Executive e do Provedor de SMS com SQL. Configuration Manager sempre criptografa SQL Server comunicações.
  • Servidor de Site para comunicações WSUS se o WSUS estiver configurado para usar HTTPS.
  • O Configuration Manager console para SQL Server Reporting Services (SSRS) se o SSRS estiver configurado para usar HTTPS.
  • Qualquer conexão com serviços baseados na Internet. Exemplos incluem o CMG (gateway de gerenciamento de nuvem), a sincronização do ponto de conexão de serviço e a sincronização dos metadados de atualização do Microsoft Update.

O que determina qual protocolo de criptografia é usado?

O HTTPS sempre negociará a versão de protocolo mais alta com suporte do cliente e do servidor em uma conversa criptografada. Ao estabelecer uma conexão, o cliente envia uma mensagem ao servidor com seu protocolo mais alto disponível. Se o servidor der suporte à mesma versão, ele enviará uma mensagem usando essa versão. Essa versão negociada é a usada para a conexão. Se o servidor não der suporte à versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que ele pode usar. Para obter mais informações sobre o protocolo TLS Handshake, consulte Estabelecendo uma sessão segura usando o TLS.

O que determina qual versão de protocolo o cliente e o servidor podem usar?

Geralmente, os seguintes itens podem determinar qual versão do protocolo é usada:

  • O aplicativo pode ditar quais versões de protocolo específicas negociar.
    • A melhor prática determina evitar versões de protocolo específicas de codificação dura no nível do aplicativo e seguir a configuração definida no nível do protocolo do sistema operacional e do componente.
    • Configuration Manager segue essa prática recomendada.
  • Para aplicativos gravados usando o .NET Framework, as versões de protocolo padrão dependem da versão da estrutura em que foram compiladas.
    • As versões do .NET antes do 4.6.3 não incluíram o TLS 1.1 e 1.2 na lista de protocolos para negociação, por padrão.
  • Os aplicativos que usam o WinHTTP para comunicações HTTPS, como o cliente Configuration Manager, dependem da versão do sistema operacional, nível de patch e configuração para suporte à versão do protocolo.

Recursos adicionais

Próximas etapas