Nastavení protokolu TLS 1.3 pro VMM

Tento článek popisuje, jak nastavit protokol TLS (Transport Security Layer) verze 1.3 pomocí serveru system Center Virtual Machine Manager (VMM).

Poznámka:

Nástroj Virtual Machine Manager použije protokol nakonfigurovaný na úrovni operačního systému. Pokud jsou například na úrovni operačního systému povolené protokoly TLS 1.2 a TLS 1.3, nástroj Virtual Machine Manager vybere jeden ze dvou protokolů v následujícím pořadí:

1. TLS verze 1.3
2. TLS verze 1.2

Zprostředkovatel zabezpečení Schannel pak vybere upřednostňovaný ověřovací protokol, který může klient a server podporovat.

Než začnete

• Opravy zabezpečení by měly být aktuální na serveru VMM a na serveru se spuštěnou databází VMM.
• Server VMM by měl používat .NET verze 4.6 nebo novější. Podle těchto pokynů určete, která verze rozhraní .NET je nainstalovaná.
• • TLS 1.3. vyžaduje protokol TLS 1.2. a nakonfigurujte ho.
• Pro práci s protokolem TLS 1.3 generují komponenty System Center certifikáty podepsané svým držitelem SHA1 nebo SHA2. Pokud se používají certifikáty SSL z certifikátů certifikační autority (CA), měly by používat SHA1 nebo SHA2.

Konfigurace serveru VMM pro použití protokolu TLS 1.3

Zakažte všechny protokoly SCHANNEL s výjimkou protokolu TLS 1.3 a 1.2.

Ruční úprava registru

1. Otevřete Editor registru a přejděte na HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
2. Klikněte pravým tlačítkem na protokol a vyberte Nový>klíč. Zadejte klávesu a stiskněte Enter. Tímto postupem vytvoříte následující klíče:
   • SSL3
   • TLS 1.2
   • TLS 1.3
3. Po vytvoření těchto klíčů je potřeba v nich vytvořit klíče klienta a serveru .
   • V případě SSL3 vyberte Nový>klíč. Zadejte klienta a stiskněte Enter. Znovu vyberte v případě SSL3 nový>klíč. Pak zadejte Server a stiskněte Enter.
   • Opakujte akci a vytvořte klíče klienta a serveru v části TLS 1.2 a TLS 1.3.
4. Po vytvoření klíčů klienta a serveru je potřeba v nich vytvořit hodnoty DWORD, aby bylo možné povolit a zakázat protokoly. Postupujte takto:
   • Povolte protokol TLS 1.2. Uděláte to tak, že v protokolu TLS 1.2 v klíči klienta vytvoříte hodnotu DWORD DisabledByDefault a nastavíte hodnotu na 0. Teď vytvořte hodnotu DWORD Povoleno a nastavte hodnotu na 1. Pod klíčem serveru vytvořte stejné hodnoty DWORD.
   • Povolte protokol TLS 1.3. Uděláte to tak, že v protokolu TLS 1.3 v klíči klienta vytvoříte hodnotu DWORD DisabledByDefault a nastavíte hodnotu na 0. Teď vytvořte hodnotu DWORD Povoleno a nastavte hodnotu na 1. Pod klíčem serveru vytvořte stejné hodnoty DWORD.
   • Teď zakažte ostatní protokoly. Uděláte to tak, že v protokolu SSL3 a TLS 1.2 v klíči klienta vytvoříte hodnotu DWORD DisabledByDefault a nastavíte hodnotu na 1. Teď vytvořte hodnotu DWORD Povoleno a nastavte hodnotu na 0. Pod klíčem serveru vytvořte stejné hodnoty DWORD.

Úprava registru pomocí skriptu PowerShellu

Místo ruční úpravy hodnot registru můžete použít následující skript PowerShellu.

$ProtocolList       = @(""SSL 3.0", "TLS 1.2", "TLS 1.3")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault  = "DisabledByDefault"
$registryPath       = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"

foreach ($Protocol in $ProtocolList)
{
	foreach ($key in $ProtocolSubKeyList)
	{
		$currentRegPath = $registryPath + $Protocol + "\" + $key
		Write-Output "Current Registry Path: `"$currentRegPath`""

		if (!(Test-Path $currentRegPath))
		{
			Write-Output " `'$key`' not found: Creating new Registry Key"
			New-Item -Path $currentRegPath -Force | out-Null
		}
		if ($Protocol -eq "TLS 1.2")
		{
			Write-Output " Enabling - TLS 1.2"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
		}
else if ($Protocol -eq "TLS 1.3")
{
Write-Output " Enabling - TLS 1.3"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
}
		else
		{
			Write-Output " Disabling - $Protocol"
			New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
			New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
		}
		Write-Output " "
	}
}

Exit 0

Konfigurace nástroje VMM pro použití protokolu TLS 1.3

1. Otevřete editor registru na serveru VMM. Přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ . NetFramework\v4.0.30319.
2. Vytvořte hodnotu DWORD SchUseStrongCrypto a nastavte hodnotu na 1.
3. Teď přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft
   . NetFramework\v4.0.30319.
4. V tomto umístění vytvořte stejnou hodnotu DWORD SchUseStrongCrypto a nastavte hodnotu na 1.
5. Restartujte server, aby se nastavení projevilo.

Úprava registru pomocí skriptu PowerShellu

Nastavení registru můžete upravit pomocí následujícího skriptu PowerShellu.

# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null

Další kroky

• Přečtěte si další informace o protokolu TLS 1.3.
• Přečtěte si další informace o protokolu TLS 1.2.