Implementera Transport Layer Security 1.2

Den här artikeln beskriver hur du aktiverar TLS-protokollversion 1.2 (Transport Layer Security) för en System Center Operations Manager-hanteringsgrupp.

Anteckning

Operations Manager använder det protokoll som konfigurerats på operativsystemnivå. Om TLS 1.0, TLS 1.1 och TLS 1.2 till exempel är aktiverade på operativsystemnivå väljer Operations Manager något av de tre protokollen i följande inställningsordning:

1. TLS version 1.2
2. TLS version 1.1
3. TLS-version 1.0

Schannel SSP väljer sedan det mest föredragna autentiseringsprotokollet som klienten och servern kan stödja.

Utför följande steg för att aktivera TLS-protokoll version 1.2:

1. Installera Microsoft OLE DB Driver version 18.2 till 18.6.7 eller senare på alla hanteringsservrar och webbkonsolservern.
2. Installera .NET Framework 4.6 på alla hanteringsservrar, gatewayservrar, webbkonsolserver och SQL Server som är värd för Operations Manager-databaserna och rapporteringsserverrollen.
3. Installera den nödvändiga SQL Server uppdatering som stöder TLS 1.2.
4. Installera ODBC Driver version 17.3 till 17.10.5 eller senare på alla hanteringsservrar.
5. Konfigurera Windows att endast använda TLS 1.2.
6. Konfigurera Operations Manager att endast använda TLS 1.2.

Operations Manager genererar självsignerade SHA1- och SHA2-certifikat. Detta krävs för att aktivera TLS 1.2. Om CA-signerade certifikat används kontrollerar du att certifikaten antingen är SHA1 eller SHA2.

Konfigurera Windows-operativsystem för att endast använda TLS 1.2-protokoll

Använd någon av följande metoder för att konfigurera Windows att endast använda TLS 1.2-protokollet.

Metod 1: Ändra registret manuellt

Viktigt

Följ stegen i det här avsnittet noggrant. Allvarliga problem kan inträffa om du ändrar registret på felaktigt sätt. Innan du ändrar det ska du säkerhetskopiera registret för återställning ifall det uppstår problem.

Använd följande steg för att aktivera/inaktivera alla SCHANNEL-protokoll i hela systemet. Vi rekommenderar att du aktiverar TLS 1.2-protokollet för all inkommande kommunikation och utgående kommunikation.

Anteckning

Att göra dessa registerändringar påverkar inte användningen av Kerberos- eller NTLM-protokoll.

1. Logga in på servern med ett konto som har lokala administrativa autentiseringsuppgifter.

2. Starta register Editor genom att välja och hålla start, ange regedit i textrutan Kör och välj OK.

3. Leta upp följande registerundernyckel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.

4. Skapa en undernyckel under Protokoll för SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 och TLS 1.2.

5. Skapa en klient- och serverundernyckel under varje protokollversionsundernyckel som du skapade tidigare. Till exempel skulle undernyckeln för TLS 1.0 vara HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client och HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server.

6. Om du vill inaktivera varje protokoll skapar du följande DWORD-värden under Server och Klient:

   • Aktiverad [Värde = 0]
   • DisabledByDefault [Värde = 1]

7. Om du vill aktivera TLS 1.2-protokollet skapar du följande DWORD-värden under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client och HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server:

   • Aktiverad [Värde = 1]
   • DisabledByDefault [Värde = 0]

8. Stäng Registereditorn.

Metod 2: Ändra registret automatiskt

Kör följande Windows PowerShell skript som administratör för att automatiskt konfigurera Windows-operativsystemet så att det endast använder TLS 1.2-protokollet:

$ProtocolList       = @("SSL 2.0", "SSL 3.0", "TLS 1.0", "TLS 1.1", "TLS 1.2")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Konfigurera Operations Manager att endast använda TLS 1.2

När du har slutfört konfigurationen av alla krav för Operations Manager utför du följande steg på alla hanteringsservrar, servern som är värd för webbkonsolrollen och på alla Windows-datorer som agenten är installerad på.

Viktigt

Följ stegen i det här avsnittet noggrant. Allvarliga problem kan inträffa om du ändrar registret på felaktigt sätt. Innan du gör några ändringar säkerhetskopierar du registret för återställning om det skulle uppstå problem.

Ändra registret manuellt

1. Logga in på servern med ett konto som har lokala administrativa autentiseringsuppgifter.
2. Starta registry Editor genom att välja och hålla Start, ange regedit i textrutan Kör och välj sedan OK.
3. Leta upp följande registerundernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319.
4. Skapa DWORD-värdet SchUseStrongCrypto under den här undernyckeln med värdet 1.
5. Leta upp följande registerundernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319.
6. Skapa DWORD-värdet SchUseStrongCrypto under den här undernyckeln med värdet 1.
7. Starta om systemet så att inställningarna börjar gälla.

Ändra registret automatiskt

Kör följande Windows PowerShell skript i administratörsläge för att automatiskt konfigurera Operations Manager så att endast TLS 1.2-protokollet används:

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Ytterligare inställningar

Om du övervakar en version av Linux-servern som stöds med Operations Manager följer du anvisningarna på lämplig webbplats för distributionen för att konfigurera TLS 1.2.

Gransknings- och insamlingstjänst

För Gransknings- och insamlingstjänster (ACS) måste du göra ytterligare ändringar i registret på ACS Collector-servern. ACS använder DSN för att upprätta anslutningar till databasen. Du måste uppdatera DSN-inställningarna för att de ska fungera för TLS 1.2.

1. Logga in på servern med ett konto som har lokala administrativa autentiseringsuppgifter.

2. Starta registret Editor genom att välja och hålla Start, ange regedit i textrutan Kör och välj OK.

3. Leta upp följande ODBC-undernyckel för OpsMgrAC: HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC.

   Anteckning

   Standardnamnet för DSN är OpsMgrAC.

4. Under undernyckeln ODBC-datakällor väljer du DSN-namnet OpsMgrAC. Detta innehåller namnet på ODBC-drivrutinen som ska användas för databasanslutningen. Om du har ODBC 17 installerat ändrar du det här namnet till ODBC-drivrutin 17 för SQL Server.

5. Under OpsMgrAC-undernyckeln uppdaterar du drivrutinen för odbc-versionen som är installerad.

   • Om ODBC 17 är installerat ändrar du posten Drivrutin till %WINDIR%\system32\msodbcsql17.dll.

   Registerfil

   Du kan också skapa och spara följande .reg fil i Anteckningar eller en annan textredigerare. Om du vill köra den sparade .reg filen dubbelklickar du på filen.

   • För ODBC 17 skapar du följande ODBC-17.reg fil:

     Windows Registry Editor Version 5.00
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources]
     "OpsMgrAC"="ODBC Driver 17 for SQL Server"
     
     [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC]
     "Driver"="%WINDIR%\system32\msodbcsql17.dll"
     

   PowerShell

   Du kan också köra följande PowerShell-kommandon för att automatisera ändringen.

   • Kör följande PowerShell-kommandon för ODBC 17:

     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\OpsMgrAC" -Name "Driver" -Value "%WINDIR%\system32\msodbcsql17.dll" -PropertyType STRING -Force | Out-Null
     New-ItemProperty -Path "HKLM:\SOFTWARE\ODBC\ODBC.INI\ODBC Data Sources" -Name "OpsMgrAC" -Value "ODBC Driver 17 for SQL Server" -PropertyType STRING -Force | Out-Null
     

Nästa steg

• En fullständig förteckning över använda portar, kommunikationsriktning och information om huruvida portarna kan konfigureras finns i Konfigurera en brandvägg för Operations Manager.

• En övergripande granskning av hur data mellan komponenter i en hanteringsgrupp skyddas finns i Autentisering och datakryptering i Operations Manager.