Så här aktiverar du TLS 1.2 på klienter
Gäller för: Configuration Manager (aktuell gren)
När du aktiverar TLS 1.2 för din Configuration Manager miljö börjar du med att se till att klienterna är kompatibla och korrekt konfigurerade att använda TLS 1.2 innan du aktiverar TLS 1.2 och inaktiverar de äldre protokollen på platsservrarna och fjärrplatssystemen. Det finns tre uppgifter för att aktivera TLS 1.2 på klienter:
- Uppdatera Windows och WinHTTP
- Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå
- Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
Mer information om beroenden för specifika Configuration Manager funktioner och scenarier finns i Om att aktivera TLS 1.2.
Uppdatera Windows och WinHTTP
Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 och senare versioner av Windows stöder internt TLS 1.2 för klient-serverkommunikation via WinHTTP.
Tidigare versioner av Windows, till exempel Windows 7 eller Windows Server 2012, aktiverar inte TLS 1.1 eller TLS 1.2 som standard för säker kommunikation med WinHTTP. För dessa tidigare versioner av Windows installerar du Update 3140245 för att aktivera registervärdet nedan, som kan anges för att lägga till TLS 1.1 och TLS 1.2 i standardlistan över säkra protokoll för WinHTTP. När korrigeringen är installerad skapar du följande registervärden:
Viktigt
Aktivera de här inställningarna på alla klienter som kör tidigare versioner av Windows innan du aktiverar TLS 1.2 och inaktiverar de äldre protokollen på Configuration Manager-servrarna. Annars kan du oavsiktligt ta bort dem.
Kontrollera värdet för registerinställningen DefaultSecureProtocols
, till exempel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
DefaultSecureProtocols = (DWORD): 0xAA0
Om du ändrar det här värdet startar du om datorn.
Exemplet ovan visar värdet 0xAA0
för för WinHTTP-inställningen DefaultSecureProtocols
.
Uppdatera för att aktivera TLS 1.1 och TLS 1.2 som standardsäkerhetsprotokoll i WinHTTP i Windows visar hexadecimalt värde för varje protokoll. Som standard i Windows är 0x0A0
det här värdet att aktivera SSL 3.0 och TLS 1.0 för WinHTTP. Exemplet ovan behåller dessa standardvärden och aktiverar även TLS 1.1 och TLS 1.2 för WinHTTP. Den här konfigurationen säkerställer att ändringen inte bryter något annat program som fortfarande kan förlita sig på SSL 3.0 eller TLS 1.0. Du kan använda värdet 0xA00
för att endast aktivera TLS 1.1 och TLS 1.2. Configuration Manager stöder det säkraste protokollet som Windows förhandlar mellan båda enheterna.
Om du vill inaktivera SSL 3.0 och TLS 1.0 fullständigt använder du inställningen SChannel disabled protocols i Windows. Mer information finns i Begränsa användningen av vissa kryptografiska algoritmer och protokoll i Schannel.dll.
Kontrollera att TLS 1.2 är aktiverat som ett protokoll för SChannel på operativsystemnivå
För det mesta styrs protokollanvändningen på tre nivåer, operativsystemnivå, ramverks- eller plattformsnivå och programnivå. TLS 1.2 är aktiverat som standard på operativsystemnivå. När du har kontrollerat att .NET-registervärdena har angetts för att aktivera TLS 1.2 och kontrollera att miljön använder TLS 1.2 på nätverket korrekt, kanske du vill redigera registernyckeln SChannel\Protocols
för att inaktivera äldre, mindre säkra protokoll. Mer information om hur du inaktiverar TLS 1.0 och 1.1 finns i Konfigurera Schannel-protokoll i Windows-registret.
Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2
Fastställa .NET-version
Bestäm först de installerade .NET-versionerna. Mer information finns i Fastställ vilka versioner och Service Pack-nivåer för .NET Framework som är installerade.
Installera .NET-uppdateringar
Installera .NET-uppdateringarna så att du kan aktivera stark kryptografi. Vissa versioner av .NET Framework kan kräva uppdateringar för att aktivera stark kryptografi. Använd följande riktlinjer:
NET Framework 4.6.2 och senare stöder TLS 1.1 och TLS 1.2. Bekräfta registerinställningarna, men inga ytterligare ändringar krävs.
Obs!
Från och med version 2107 kräver Configuration Manager Microsoft .NET Framework version 4.6.2 för platsservrar, specifika platssystem, klienter och konsolen. Om möjligt i din miljö installerar du den senaste versionen av .NET version 4.8.
Uppdatera NET Framework 4.6 och tidigare versioner för att stödja TLS 1.1 och TLS 1.2. Mer information finns i Versioner och beroenden för .NET Framework.
Om du använder .NET Framework 4.5.1 eller 4.5.2 på Windows 8.1, Windows Server 2012 R2 eller Windows Server 2012 rekommenderar vi starkt att du installerar de senaste säkerhetsuppdateringarna för .Net Framework 4.5.1 och 4.5.2 för att säkerställa att TLS 1.2 kan aktiveras korrekt.
Som referens introducerades TLS 1.2 först i .Net Framework 4.5.1 och 4.5.2 med följande sammanslagningar av snabbkorrigeringar:
- För Windows 8.1 och Server 2012 R2: Sammanslagning av snabbkorrigeringar 3099842
- För Windows Server 2012: Sammanslagning av snabbkorrigeringar 3099844
Konfigurera för stark kryptografi
Konfigurera .NET Framework för att stödja stark kryptografi. Ange registerinställningen SchUseStrongCrypto
till DWORD:00000001
. Det här värdet inaktiverar RC4-ström chiffer och kräver en omstart. Mer information om den här inställningen finns i Microsoft Security Advisory 296038.
Se till att ange följande registernycklar på alla datorer som kommunicerar i nätverket med ett TLS 1.2-aktiverat system. Till exempel Configuration Manager klienter, fjärrplatssystemroller som inte är installerade på platsservern och själva platsservern.
För 32-bitarsprogram som körs på 32-bitars operativsystem och för 64-bitarsprogram som körs på 64-bitars operativsystem uppdaterar du följande undernyckelvärden:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
För 32-bitars applikationer som körs på 64-bitars operativsystem uppdaterar du följande värden för undernyckeln:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions" = dword:00000001
"SchUseStrongCrypto" = dword:00000001
Obs!
Med SchUseStrongCrypto
inställningen kan .NET använda TLS 1.1 och TLS 1.2. Med SystemDefaultTlsVersions
inställningen kan .NET använda OS-konfigurationen. Mer information finns i Metodtips för TLS med .NET Framework.