Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается настройка протокола TLS версии 1.3 с помощью System Center — Orchestrator.
Перед началом работы
Ниже приведены некоторые рекомендации перед настройкой TLS 1.3 для Orchestrator:
- Оркестратор должен работать под управлением версии 2022 или 2025.
- Исправления безопасности должны быть актуальными в Orchestrator.
- Обновления System Center должны быть актуальными.
- Sql Server 2012 Native Client 11.0 или более поздней версии должен быть установлен на сервере управления Orchestrator. Чтобы скачать и установить Microsoft SQL Server 2012 Native Client 11.0, ознакомьтесь с этой веб-страницей Центра загрузки Майкрософт.
- Оркестратор должен работать под управлением .NET версии 4.6. Следуйте этим инструкциям , чтобы определить, какая версия .NET установлена.
- Для работы с TLS 1.3 компоненты System Center создают самозаверяющие сертификаты SHA1 или SHA2. Если используются SSL-сертификаты из центра сертификации (ЦС), они должны использовать SHA1 или SHA2.
- Установите версию SQL Server, поддерживающую TLS 1.3. SQL Server 2022 или более поздней версии поддерживает TLS 1.3.
Установка обновления SQL Server для поддержки TLS 1.3
Внимание
Даже при поддержке TLS 1.3 для подключений TDS протокол TLS 1.2 по-прежнему требуется для запуска вспомогательных служб SQL Server. Не отключайте TLS 1.2 на компьютере.
Скачайте и установите обновление для версии SQL Server.
Примечание.
- SQL Server 2019 (15.x) и более ранних версий не поддерживает TLS 1.3.
Настройка и использование TLS 1.3
Чтобы настроить и использовать TLS 1.3, выполните следующие действия.
Настройка Orchestrator для использования TLS 1.3:
a. Запустите редактор реестра в Orchestrator. Для этого нажмите правой кнопкой мыши кнопку " Пуск", введите regedit в поле "Запуск" и нажмите кнопку "ОК".
b.Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319с. Создайте DWORD SchUseStrongCrypto [Value=1] под этим ключом.
д. Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NetFramework\v4.0.30319д) Создайте DWORD SchUseStrongCrypto [Value=1] под этим ключом.
е) Задайте для System Center только TLS 1.3.
Перед изменением реестра на этом шаге создайте резервную копию реестра на случай, если вам потребуется восстановить его позже. Затем установите следующие параметры раздела реестра.
Значения для 64-разрядных операционных систем
Путь Ключ реестра Значение HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727Системные версии TLS по умолчанию dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727Системные версии TLS по умолчанию dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319Системные версии TLS по умолчанию dword:00000001 HKEY\_LOCAL\_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319Системные версии TLS по умолчанию dword:00000001 Используйте эти методы для настройки Windows для использования только TLS 1.3:
Метод 1. Изменение реестра вручную
Внимание
При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде чем приступить к работе, создайте резервную копию реестра, чтобы восстановить его при возникновении проблемы.
Чтобы включить или отключить все протоколы SCHANNEL в системе, выполните следующие действия.
Примечание.
Рекомендуется включить протокол TLS 1.3 для входящих сообщений. Включите протоколы TLS 1.3, TLS 1.2, TLS 1.1 и TLS 1.0 для всех исходящих сообщений. Изменения реестра не влияют на использование протокола Kerberos или протокола NTLM.
a. Откройте редактор реестра. Для этого щелкните правой кнопкой мыши Пуск, введите regedit в поле "Выполнить" и щелкните ОК.
б. Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocolsс. Щелкните правой кнопкой мыши Протокол и выберите Новый>ключ.
д. Введите SSL 3.0.
д) Повторите предыдущие два шага, чтобы создать ключи для TLS 0, TLS 1.1, TLS 1.2 и TLS 1.3. Эти ключи напоминают каталоги.
е) Создайте ключ клиента и ключ сервера под каждым ключом SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 и TLS 1.3.
ж. Чтобы включить протокол, создайте значение DWORD для каждого ключа клиента и сервера следующим образом:
- ОтключеноПоУмолчанию [значение = 0]
- Включено [значение = 1]
х. Чтобы отключить протокол, измените значение DWORD под каждым ключом клиента и сервера следующим образом:
- ОтключеноПоУмолчанию [Значение = 1]
- Включено [Value = 0]
и. Выберите Файл>Выход.
Метод 2. Автоматическое изменение реестра
Выполните следующий скрипт Windows PowerShell в режиме администратора, чтобы автоматически настроить Windows для использования только протокола TLS 1.3:
$ProtocolList = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2", “TLS 1.3”) $ProtocolSubKeyList = @("Client", "Server") $DisabledByDefault = "DisabledByDefault" $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\" foreach ($Protocol in $ProtocolList) { foreach ($key in $ProtocolSubKeyList) { $currentRegPath = $registryPath + $Protocol + "\" + $key Write-Output "Current Registry Path: `"$currentRegPath`"" if (!(Test-Path $currentRegPath)) { Write-Output " `'$key`' not found: Creating new Registry Key" New-Item -Path $currentRegPath -Force | out-Null } if ($Protocol -eq "TLS 1.3") { Write-Output " Enabling - TLS 1.3" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null } else { Write-Output " Disabling - $Protocol" New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null } Write-Output " " } }Установите следующие обновления для всех ролей Service Manager. Обновите роли на серверах управления, серверах хранилища данных Azure, портале самообслуживания и консолях Analyst (включая консоли Analyst, установленные на серверах Orchestrator Runbook).
Операционная система Требуемое обновление Windows 8.1 и Windows Server 2012 R2 3154520 Поддержка версий TLS по умолчанию, включенных в платформу .NET Framework 3.5 в Windows 8.1 и Windows Server 2012 R2 Windows Server 2012 3154519 Поддержка системных версий TLS по умолчанию, которые включены в платформe .NET Framework 3.5 на Windows Server 2012 Windows 7 с пакетом обновления 1 и Windows Server 2008 R2 с пакетом обновления 1 3154518 поддержка системных версий TLS по умолчанию, включенных в платформе .NET Framework 3.5.1 на Windows 7 с пакетом обновления 1 (SP1) и Server 2008 R2 с пакетом обновления 1 (SP1) Windows 10 и Windows Server 2016 накопительный пакет исправлений 3154521 для платформы .NET Framework 4.5.2 и 4.5.1 на Windows
3156421 накопительное обновление для Windows 10 версии 1511 и Windows Server 2016 Technical Preview 4: 10 мая 2016 г.Перезагрузите компьютер.
Примечание.
После настройки Microsoft System Center Orchestrator использовать только протокол TLS 1.3 для подключений, пакеты интеграции перестают работать.
Чтобы устранить проблему, выполните указанные ниже действия.
- Откройте редактор реестра.
- Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319- Проверьте, существует ли значение SystemDefaultTlsVersions. — Если значение существует, убедитесь, что для его данных задано значение 1. — Если значение не существует, создайте значение DWORD (32-разрядное) и укажите следующие параметры: Имя: SystemDefaultTlsVersions Данные значения: 1
- Нажмите ОК.
Для получения подробной информации см. эту статью базы знаний.
Следующие шаги
Дополнительные сведения о протоколе TLS 1.2.