Как включить TLS 1.2 для клиентов

Применяется к: Диспетчер конфигурации (текущая ветвь)

При включите TLS 1.2 для среды Configuration Manager, начните с обеспечения того, чтобы клиенты были способны и правильно настроены на использование TLS 1.2, прежде чем ввести TLS 1.2 и отключить старые протоколы на серверах сайтов и удаленных системах сайтов. Для включения TLS 1.2 для клиентов существует три задачи:

  • Обновление Windows и WinHTTP
  • Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы
  • Обновление и настройка платформа .NET Framework для поддержки TLS 1.2

Дополнительные сведения о зависимости для определенных функций и сценариев Configuration Manager см. в дополнительных сведениях о включаемом TLS 1.2.

Обновление Windows и WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016, а также более поздние версии Windows поддерживают TLS 1.2 для клиентских-серверных коммуникаций над WinHTTP.

Более ранние версии Windows, например Windows 7 или Windows Server 2012, не позволяют по умолчанию использовать TLS 1.1 или TLS 1.2 для безопасной связи с помощью WinHTTP. Для этих более ранних версий Windows установите обновление 3140245, чтобы включить приведенное ниже значение реестра, которое можно установить, чтобы добавить TLS 1.1 и TLS 1.2 в список безопасных протоколов по умолчанию для WinHTTP. С установленным исправлением создайте следующие значения реестра:

Важно!

Включить эти параметры для всех клиентов, запускающих более ранние версии Windows перед включением TLS 1.2 и отключением старых протоколов на серверах Configuration Manager. В противном случае их можно непреднамеренно осиротеть.

Проверьте значение DefaultSecureProtocols параметра реестра, например:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Если вы измените это значение, перезапустите компьютер.

В примере выше показано значение 0xAA0 параметра WinHTTP. DefaultSecureProtocols Обновление, чтобы включить TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows перечисляет гексадецимальное значение для каждого протокола. По умолчанию в Windows это значение включает 0x0A0 SSL 3.0 и TLS 1.0 для WinHTTP. В вышеуказанной примере сохраняется значение по умолчанию, а также включается TLS 1.1 и TLS 1.2 для WinHTTP. Эта конфигурация гарантирует, что изменение не ломает любое другое приложение, которое по-прежнему может полагаться на SSL 3.0 или TLS 1.0. Значение можно использовать только для того, чтобы включить 0xA00 TLS 1.1 и TLS 1.2. Диспетчер конфигурации поддерживает самый безопасный протокол, Windows переговоры между обоими устройствами.

Чтобы полностью отключить SSL 3.0 и TLS 1.0, используйте параметр отключенных протоколов SChannel в Windows. Дополнительные сведения см. в руб. Ограничение использования определенных криптографических алгоритмов и протоколов в Schannel.dll.

Убедитесь, что TLS 1.2 включен в качестве протокола для SChannel на уровне операционной системы

По большей части использование протокола контролируется на трех уровнях: на уровне операционной системы, на уровне платформы или платформы и на уровне приложения. Протокол TLS 1.2 включен по умолчанию на уровне операционной системы. После того как вы убедитесь, что значения реестра .NET настроены для включения TLS 1.2 и убедитесь, что среда правильно использует TLS 1.2 в сети, SChannel\Protocols может потребоваться изменить раздел реестра, чтобы отключить старые, менее безопасные протоколы. Дополнительные сведения об отключении TLS 1.0 и 1.1 см. в разделе "Настройка протоколов Schannel" в реестре Windows.

Обновление и настройка платформа .NET Framework для поддержки TLS 1.2

Определение версии .NET

Сначала определите установленные версии .NET. Дополнительные сведения см. в дополнительных сведениях о том, какие версии и уровни пакетов платформа .NET Framework установлены.

Установка обновлений .NET

Установите обновления .NET, чтобы можно было включить мощную криптографию. Для некоторых версий платформа .NET Framework могут потребоваться обновления для обеспечения сильной криптографии. Используйте следующие рекомендации:

  • Net Framework 4.6.2 и более поздние поддерживает TLS 1.1 и TLS 1.2. Подтвердим параметры реестра, но никаких дополнительных изменений не требуется.

    Примечание

    Начиная с версии 2107, configuration Manager требует от Microsoft платформа .NET Framework версии 4.6.2 для серверов сайтов, определенных систем сайта, клиентов и консоли. По возможности в вашей среде установите последнюю версию версии .NET 4.8.

  • Обновление NET Framework 4.6 и более ранних версий для поддержки TLS 1.1 и TLS 1.2. Дополнительные сведения см. в платформа .NET Framework версиях и зависимостей.

  • Если вы используете платформа .NET Framework 4.5.1 или 4.5.2 в Windows 8.1, Windows Server 2012 R2 или Windows Server 2012, настоятельно рекомендуется установить последние обновления безопасности для .Net Framework 4.5.1 и 4.5.2 для обеспечения правильного включения TLS 1.2.

    Для справки TLS 1.2 впервые была представлена в .Net Framework 4.5.1 и 4.5.2 со следующими вкатами hotfix:

Настройка для сильной криптографии

Настройте платформа .NET Framework для поддержки сильной криптографии. Установите SchUseStrongCrypto параметр реестра DWORD:00000001 . Это значение отключает шифр потока RC4 и требует перезапуска. Дополнительные сведения об этом параметре см. в 296038.

Обязательно установите следующие клавиши реестра на любом компьютере, который взаимодействует по сети с поддержкой TLS 1.2. Например, клиенты Configuration Manager, роли удаленной системы сайта, не установленные на сервере сайта, и сам сервер сайта.

Для 32-битных приложений, работающих на 32-битных OSs и для 64-битных приложений, работающих на 64-битных OSs, обновив следующие значения subkey:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Для 32-битных приложений, работающих на 64-битной OSS, обновим следующие значения subkey:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Примечание

Параметр SchUseStrongCrypto позволяет .NET использовать TLS 1.1 и TLS 1.2. Параметр SystemDefaultTlsVersions позволяет .NET использовать конфигурацию ОС. Дополнительные сведения см. в методе TLS с платформа .NET Framework.

Дальнейшие действия