如何启用 TLS 1.2
适用于:Configuration Manager (Current Branch)
传输层安全性 (TLS) (如安全套接字层 (SSL) )是一种加密协议,旨在确保通过网络传输数据时的安全性。 这些文章介绍了确保Configuration Manager安全通信使用 TLS 1.2 协议所需的步骤。 这些文章还介绍了常用组件的更新要求以及排查常见问题。
启用 TLS 1.2
Configuration Manager依赖于许多不同的组件进行安全通信。 用于给定连接的协议取决于客户端和服务器端相关组件的功能。 如果任何组件已过期或配置不正确,则通信可能使用较旧、安全性较低的协议。 若要正确启用Configuration Manager以支持 TLS 1.2 进行所有安全通信,必须为所有必需的组件启用 TLS 1.2。 所需的组件取决于你的环境和你使用的Configuration Manager功能。
重要
使用客户端(尤其是以前版本的 Windows)启动此过程。 在启用 TLS 1.2 并在Configuration Manager服务器上禁用旧协议之前,请确保所有客户端都支持 TLS 1.2。 否则,客户端无法与服务器通信,并且可能会孤立。
Configuration Manager客户端、站点服务器和远程站点系统的任务
若要为Configuration Manager依赖的组件启用 TLS 1.2 以实现安全通信,需要在客户端和站点服务器上执行多个任务。
为Configuration Manager客户端启用 TLS 1.2
- 更新 Windows 8.0 上的 Windows 和 WinHTTP,Windows Server 2012 (非 R2) 及更早版本
- 确保在 OS 级别将 TLS 1.2 作为 SChannel 的协议启用
- 更新和配置.NET Framework以支持 TLS 1.2
为Configuration Manager站点服务器和远程站点系统启用 TLS 1.2
- 确保在 OS 级别将 TLS 1.2 作为 SChannel 的协议启用
- 更新和配置.NET Framework以支持 TLS 1.2
- 更新SQL Server和SQL Server Native Client
- 更新Windows Server Update Services (WSUS)
功能和方案依赖项
本部分介绍特定Configuration Manager功能和方案的依赖项。 若要确定后续步骤,请找到适用于环境的项。
| 功能或方案 | 更新任务 |
|---|---|
| 站点服务器 (中央、主要或辅助) | - 更新.NET Framework - 验证强加密设置 |
| 站点数据库服务器 | 更新SQL Server及其客户端组件 |
| 辅助站点服务器 | 将SQL Server及其客户端组件更新为兼容版本的 SQL Server Express |
| 站点系统角色 | - 更新.NET Framework并验证强加密设置 - 在需要SQL Server的角色上更新SQL Server及其客户端组件,包括SQL Server Native Client |
| Reporting Services 点 | - 使用控制台更新站点服务器、SQL Server Reporting Services服务器和任何计算机上的.NET Framework - 根据需要重启SMS_Executive服务 |
| 软件更新点 | 更新 WSUS |
| 云管理网关 | 强制实施 TLS 1.2 |
| Configuration Manager控制台 | - 更新.NET Framework - 验证强加密设置 |
| Configuration Manager具有 HTTPS 站点系统角色的客户端 | 使用 WinHTTP 更新 Windows 以支持客户端-服务器通信的 TLS 1.2 |
| 软件中心 | - 更新.NET Framework - 验证强加密设置 |
| Windows 7 客户端 | 在任何 服务器组件上启用 TLS 1.2 之前, 请使用 WinHTTP 更新 Windows 以支持用于客户端-服务器通信的 TLS 1.2。 如果首先在服务器组件上启用 TLS 1.2,则可以孤立早期版本的客户端。 |
常见问题解答
为什么将 TLS 1.2 与 Configuration Manager 配合使用?
TLS 1.2 比以前的加密协议(例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1)更安全。 从本质上讲,TLS 1.2 使跨网络传输的数据更安全。
Configuration Manager在何处使用 TLS 1.2 等加密协议?
Configuration Manager基本上有五个区域使用 TLS 1.2 等加密协议:
- 当角色配置为使用 HTTPS 时,客户端与基于 IIS 的站点服务器角色通信。 这些角色的示例包括分发点、软件更新点和管理点。
- 管理点、SMS 执行和 SMS 提供程序与 SQL 通信。 Configuration Manager始终加密SQL Server通信。
- 如果 WSUS 配置为使用 HTTPS,则站点服务器到 WSUS 通信。
- 如果 SSRS 配置为使用 HTTPS,Configuration Manager控制台SQL Server Reporting Services (SSRS) 。
- 与基于 Internet 的服务的任何连接。 示例包括云管理网关 (CMG) 、服务连接点同步以及从 Microsoft Update 同步更新元数据。
什么决定了使用哪种加密协议?
HTTPS 将始终协商客户端和服务器在加密会话中支持的最高协议版本。 建立连接时,客户端会使用其最高可用协议向服务器发送消息。 如果服务器支持同一版本,则会使用该版本发送消息。 此协商版本是用于连接的版本。 如果服务器不支持客户端提供的版本,则服务器消息将指定它可以使用的最高版本。 有关 TLS 握手协议的详细信息,请参阅 使用 TLS 建立安全会话。
什么决定了客户端和服务器可以使用哪个协议版本?
通常,以下项可以确定使用的协议版本:
- 应用程序可以指定要协商的特定协议版本。
- 最佳做法要求避免在应用程序级别对特定协议版本进行硬编码,并遵循在组件和 OS 协议级别定义的配置。
- Configuration Manager遵循此最佳做法。
- 对于使用 .NET Framework 编写的应用程序,默认协议版本取决于编译它们的框架版本。
- 默认情况下,4.6.3 之前的 .NET 版本在用于协商的协议列表中不包含 TLS 1.1 和 1.2。
- 使用 WinHTTP 进行 HTTPS 通信的应用程序(如 Configuration Manager 客户端)取决于操作系统版本、修补程序级别和协议版本支持配置。
其他资源
后续步骤
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈