İstemcilerde TLS 1.2'yi etkinleştirme

Şunlar için geçerlidir: Configuration Manager (Geçerli Dal)

Configuration Manager ortamınız için TLS 1.2'yi etkinleştirirken, TLS 1.2'yi etkinleştirmeden ve site sunucularında ve uzak site sistemlerinde eski protokolleri devre dışı bırakmadan önce istemcilerin TLS 1.2'yi kullanacak şekilde yetenekli ve düzgün yapılandırıldığından emin olarak işe başlayın. İstemcilerde TLS 1.2'yi etkinleştirmek için üç görev vardır:

• Windows ve Win'i güncelleştirmeHTTP
• TLS 1.2'nin işletim sistemi düzeyinde SChannel için bir protokol olarak etkinleştirildiğinden emin olun
• .NET Framework TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma

Belirli Configuration Manager özellikleri ve senaryoları için bağımlılıklar hakkında daha fazla bilgi için bkz. TLS 1.2'yi etkinleştirme hakkında.

Windows ve Win'i güncelleştirmeHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016 ve sonraki Windows sürümleri, WinHTTP üzerinden istemci-sunucu iletişimi için TLS 1.2'yi yerel olarak destekler.

Windows 7 veya Windows Server 2012 gibi önceki Windows sürümleri, WinHTTP kullanan güvenli iletişimler için varsayılan olarak TLS 1.1 veya TLS 1.2'yi etkinleştirmez. Windows'un bu önceki sürümlerinde, aşağıdaki kayıt defteri değerini etkinleştirmek için Güncelleştirme 3140245 yükleyin. Bu değer, WinHTTP için varsayılan güvenli protokoller listesine TLS 1.1 ve TLS 1.2 ekleyecek şekilde ayarlanabilir. Düzeltme eki yüklendikten sonra aşağıdaki kayıt defteri değerlerini oluşturun:

Önemli

TLS 1.2'yi etkinleştirmeden ve Configuration Manager sunucularında eski protokolleri devre dışı bırakmadan önce windows'un önceki sürümlerini çalıştıran tüm istemcilerde bu ayarları etkinleştirin. Aksi takdirde, istemeden onları yalnız kalabilirsiniz.

Kayıt defteri ayarının DefaultSecureProtocols değerini doğrulayın, örneğin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Bu değeri değiştirirseniz bilgisayarı yeniden başlatın.

Yukarıdaki örnekte WinHTTP DefaultSecureProtocols ayarının değeri 0xAA0 gösterilmektedir. Windows'da WinHTTP'da varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme , her protokolün onaltılık değerini listeler. Windows'da varsayılan olarak bu 0x0A0 değer, WinHTTP için SSL 3.0 ve TLS 1.0'ı etkinleştirmektir. Yukarıdaki örnek bu varsayılan değerleri korur ve ayrıca WinHTTP için TLS 1.1 ve TLS 1.2'yi etkinleştirir. Bu yapılandırma, değişikliğin SSL 3.0 veya TLS 1.0'ı kullanmaya devam eden diğer uygulamaları bozmamasını sağlar. değerini 0xA00 yalnızca TLS 1.1 ve TLS 1.2'yi etkinleştirmek için kullanabilirsiniz. Configuration Manager, Windows'un her iki cihaz arasında anlaşma yaptığı en güvenli protokolü destekler.

SSL 3.0 ve TLS 1.0'ı tamamen devre dışı bırakmak istiyorsanız, Windows'da SChannel devre dışı protokoller ayarını kullanın. Daha fazla bilgi için bkz. Schannel.dll'da belirli şifreleme algoritmalarının ve protokollerinin kullanımını kısıtlama .

TLS 1.2'nin işletim sistemi düzeyinde SChannel için bir protokol olarak etkinleştirildiğinden emin olun

Çoğu zaman protokol kullanımı işletim sistemi düzeyi, çerçeve veya platform düzeyi ve uygulama düzeyi gibi üç düzeyde denetlenmektedir. TLS 1.2 varsayılan olarak işletim sistemi düzeyinde etkindir. .NET kayıt defteri değerlerinin TLS 1.2'yi etkinleştirecek şekilde ayarlandığından ve ortamın ağdaki TLS 1.2'yi düzgün bir şekilde kullandığınızdan emin olduktan sonra, daha eski, daha az güvenli protokolleri devre dışı bırakmak için kayıt defteri anahtarını düzenlemek SChannel\Protocols isteyebilirsiniz. TLS 1.0 ve 1.1'i devre dışı bırakma hakkında daha fazla bilgi için bkz . Windows Kayıt Defteri'nde Schannel protokollerini yapılandırma.

.NET Framework TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma

.NET sürümünü belirleme

İlk olarak, yüklü .NET sürümlerini belirleyin. Daha fazla bilgi için bkz. hangi .NET Framework sürümlerinin ve hizmet paketi düzeylerinin yüklendiğini belirleme.

.NET güncelleştirmelerini yükleme

Güçlü şifrelemeyi etkinleştirebilmeniz için .NET güncelleştirmelerini yükleyin. bazı .NET Framework sürümleri güçlü şifrelemeyi etkinleştirmek için güncelleştirmeler gerektirebilir. Şu yönergeleri kullanın:

• NET Framework 4.6.2 ve üzeri TLS 1.1 ve TLS 1.2'i destekler. Kayıt defteri ayarlarını onaylayın, ancak ek değişiklik gerekmez.

  Not

  Sürüm 2107'den başlayarak, Configuration Manager site sunucuları, belirli site sistemleri, istemciler ve konsol için Microsoft .NET Framework sürüm 4.6.2 gerektirir. Ortamınızda mümkünse.NET sürüm 4.8'in en son sürümünü yükleyin.

• NET Framework 4.6 ve önceki sürümleri TLS 1.1 ve TLS 1.2'yi destekleyecek şekilde güncelleştirin. Daha fazla bilgi için bkz. .NET Framework sürümleri ve bağımlılıkları.

• Windows 8.1 Windows Server 2012, R2 veya Windows Server 2012 üzerinde .NET Framework 4.5.1 veya 4.5.2 kullanıyorsanız, TLS 1.2'nin düzgün etkinleştirildiğinden emin olmak için .Net Framework 4.5.1 ve 4.5.2 için en son güvenlik güncelleştirmelerini yüklemeniz kesinlikle önerilir.

  Başvurunuz için TLS 1.2 ilk olarak .Net Framework 4.5.1 ve 4.5.2'ye aşağıdaki düzeltme toplamalarıyla sunulmuştur:

  • Windows 8.1 ve Server 2012 R2 için: Düzeltme paketi 3099842
  • Windows Server 2012 için: Düzeltme paketi 3099844

Güçlü şifreleme için yapılandırma

güçlü şifrelemeyi desteklemek için .NET Framework yapılandırın. SchUseStrongCrypto Kayıt defteri ayarını olarak DWORD:00000001ayarlayın. Bu değer RC4 akış şifrelemesini devre dışı bırakır ve yeniden başlatma gerektirir. Bu ayar hakkında daha fazla bilgi için bkz. güvenlik önerisi 296038 Microsoft.

TLS 1.2 özellikli bir sistemle ağ üzerinden iletişim kuran herhangi bir bilgisayarda aşağıdaki kayıt defteri anahtarlarını ayarladığınızdan emin olun. Örneğin, Configuration Manager istemcileri, site sunucusunda yüklü olmayan uzak site sistemi rolleri ve site sunucusunun kendisi.

32 bit işletim sistemi üzerinde çalışan 32 bit uygulamalar ve 64 bit işletim sisteminde çalışan 64 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

64 bit işletim sistemleri üzerinde çalışan 32 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Not

Bu SchUseStrongCrypto ayar .NET'in TLS 1.1 ve TLS 1.2 kullanmasına olanak tanır. Bu SystemDefaultTlsVersions ayar .NET'in işletim sistemi yapılandırmasını kullanmasına izin verir. Daha fazla bilgi için bkz. .NET Framework ile en iyi TLS yöntemleri.

Sonraki adımlar

• Site sunucularında ve uzak site sistemlerinde TLS 1.2'yi etkinleştirme
• TLS 1.2'yi etkinleştirirken sık karşılaşılan sorunlar