Så här aktiverar du TLS 1.2
Gäller för: Configuration Manager (aktuell gren)
TLS (Transport Layer Security), som SSL (Secure Sockets Layer), är ett krypteringsprotokoll som är avsett att skydda data när de överförs via ett nätverk. I de här artiklarna beskrivs de steg som krävs för att säkerställa att Configuration Manager säker kommunikation använder TLS 1.2-protokollet. I de här artiklarna beskrivs även uppdateringskrav för vanliga komponenter och felsökning av vanliga problem.
Aktivera TLS 1.2
Configuration Manager förlitar sig på många olika komponenter för säker kommunikation. Det protokoll som används för en viss anslutning beror på funktionerna i relevanta komponenter på både klient- och serversidan. Om någon komponent är inaktuell eller inte är korrekt konfigurerad kan kommunikationen använda ett äldre, mindre säkert protokoll. Om du vill aktivera Configuration Manager för att stödja TLS 1.2 för all säker kommunikation måste du aktivera TLS 1.2 för alla nödvändiga komponenter. Vilka komponenter som krävs beror på din miljö och de Configuration Manager funktioner som du använder.
Viktigt
Starta den här processen med klienterna, särskilt tidigare versioner av Windows. Kontrollera att alla klienter stöder TLS 1.2 innan du aktiverar TLS 1.2 och inaktiverar äldre protokoll på de Configuration Manager servrarna. Annars kan klienterna inte kommunicera med servrarna och kan bli överblivna.
Uppgifter för Configuration Manager klienter, platsservrar och fjärrplatssystem
Om du vill aktivera TLS 1.2 för komponenter som Configuration Manager är beroende av för säker kommunikation måste du utföra flera uppgifter på både klienterna och platsservrarna.
Aktivera TLS 1.2 för Configuration Manager klienter
- Uppdatera Windows och WinHTTP på Windows 8.0, Windows Server 2012 (icke-R2) och tidigare
- Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på OS-nivå
- Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
Aktivera TLS 1.2 för Configuration Manager platsservrar och fjärrplatssystem
- Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på OS-nivå
- Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
- Uppdatera SQL Server och SQL Server Native Client
- Uppdatera Windows Server Update Services (WSUS)
Funktioner och scenarioberoenden
I det här avsnittet beskrivs beroenden för specifika Configuration Manager funktioner och scenarier. Leta upp de objekt som gäller för din miljö för att fastställa nästa steg.
Funktion eller scenario | Uppdatera uppgifter |
---|---|
Platsservrar (centrala, primära eller sekundära) |
-
Uppdatera .NET Framework – Verifiera starka kryptografiinställningar |
Platsdatabasserver | Uppdatera SQL Server och dess klientkomponenter |
Sekundära platsservrar | Uppdatera SQL Server och dess klientkomponenter till en kompatibel version av SQL Server Express |
Platssystemroller |
-
Uppdatera .NET Framework och verifiera starka kryptografiinställningar - Uppdatera SQL Server och dess klientkomponenter för roller som kräver det, inklusive SQL Server Native Client |
Reporting Services-plats |
-
Uppdatera .NET Framework på platsservern, SQL Server Reporting Services-servrarna och alla datorer med konsolen – Starta om SMS_Executive-tjänsten efter behov |
Programuppdateringsplats | Uppdatera WSUS |
Molnhanteringsgateway | Framtvinga TLS 1.2 |
Configuration Manager-konsolen |
-
Uppdatera .NET Framework – Verifiera starka kryptografiinställningar |
Configuration Manager klient med HTTPS-platssystemroller | Uppdatera Windows för att stödja TLS 1.2 för klient-serverkommunikation med hjälp av WinHTTP |
Software Center |
-
Uppdatera .NET Framework – Verifiera starka kryptografiinställningar |
Windows 7-klienter | Innan du aktiverar TLS 1.2 på alla serverkomponenter uppdaterar du Windows för att stödja TLS 1.2 för klient-serverkommunikation med hjälp av WinHTTP. Om du aktiverar TLS 1.2 på serverkomponenter först kan du överblivna tidigare versioner av klienter. |
Vanliga frågor och svar
Varför ska du använda TLS 1.2 med Configuration Manager?
TLS 1.2 är säkrare än de tidigare kryptografiska protokollen, till exempel SSL 2.0, SSL 3.0, TLS 1.0 och TLS 1.1. I princip håller TLS 1.2 data som överförs över nätverket säkrare.
Var använder Configuration Manager krypteringsprotokoll som TLS 1.2?
Det finns i princip fem områden som Configuration Manager använder krypteringsprotokoll som TLS 1.2:
- Klientkommunikation till IIS-baserade platsserverroller när rollen är konfigurerad att använda HTTPS. Exempel på dessa roller är distributionsplatser, programuppdateringsplatser och hanteringsplatser.
- Hanteringsplats, SMS Executive och SMS-providerkommunikation med SQL. Configuration Manager krypterar alltid SQL Server kommunikation.
- Platsserver till WSUS-kommunikation om WSUS är konfigurerat att använda HTTPS.
- Configuration Manager-konsolen för att SQL Server Reporting Services (SSRS) om SSRS har konfigurerats att använda HTTPS.
- Alla anslutningar till Internetbaserade tjänster. Exempel är molnhanteringsgatewayen (CMG), synkroniseringen av tjänstanslutningspunkten och synkronisering av uppdateringsmetadata från Microsoft Update.
Vad avgör vilket krypteringsprotokoll som används?
HTTPS förhandlar alltid om den högsta protokollversionen som stöds av både klienten och servern i en krypterad konversation. När en anslutning upprättas skickar klienten ett meddelande till servern med sitt högsta tillgängliga protokoll. Om servern stöder samma version skickar den ett meddelande med den versionen. Den här förhandlade versionen är den som används för anslutningen. Om servern inte stöder den version som presenteras av klienten anger servermeddelandet den högsta version som den kan använda. Mer information om TLS Handshake-protokollet finns i Upprätta en säker session med hjälp av TLS.
Vad avgör vilken protokollversion klienten och servern kan använda?
I allmänhet kan följande objekt avgöra vilken protokollversion som används:
- Programmet kan bestämma vilka specifika protokollversioner som ska förhandlas.
- Bästa praxis är att undvika hårdkodning av specifika protokollversioner på programnivå och att följa konfigurationen som definierats på komponent- och OS-protokollnivå.
- Configuration Manager följer detta regelverk.
- För program som skrivits med hjälp av .NET Framework beror standardprotokollversionerna på vilken version av ramverket de kompilerades på.
- .NET-versioner före 4.6.3 inkluderade inte TLS 1.1 och 1.2 i listan över protokoll för förhandling som standard.
- Program som använder WinHTTP för HTTPS-kommunikation, t.ex. Configuration Manager-klienten, beror på operativsystemversion, korrigeringsnivå och konfiguration för stöd för protokollversion.
Ytterligare resurser
- Teknisk referens för kryptografiska kontroller
- Metodtips för TLS (Transport Layer Security) med .NET Framework
- KB 3135244: TLS 1.2-stöd för Microsoft SQL Server