Einrichten von TLS 1.3 für VMM
In diesem Artikel wird beschrieben, wie Sie transport Security Layer (TLS)-Protokollversion 1.3 mit dem System Center Virtual Machine Manager (VMM)-Server einrichten.
Hinweis
Virtual Machine Manager verwendet das auf Betriebssystemebene konfigurierte Protokoll. Wenn z. B. TLS 1.2 und TLS 1.3 auf Betriebssystemebene aktiviert sind, wählt Virtual Machine Manager eines der beiden Protokolle in der folgenden Präferenzreihenfolge aus:
- TLS Version 1.3
- TLS-Version 1.2
Der Schannel SSP wählt dann das bevorzugte Authentifizierungsprotokoll, das Client und Server unterstützen können.
Vor der Installation
- Sicherheitskorrekturen sollten auf dem VMM-Server und dem Server, auf dem die VMM-Datenbank ausgeführt wird, auf dem neuesten Stand sein.
- Der VMM-Server sollte .NET, Version 4.6 oder höher, ausführen. Folgen Sie diesen Anweisungen, um zu ermitteln, welche .NET-Version installiert ist.
- • TLS 1.3. erfordert TLS 1.2. zu konfigurieren.
- Um mit TLS 1.3 zu arbeiten, generieren System Center-Komponenten SHA1- oder SHA2-selbstsignierte Zertifikate. Wenn SSL-Zertifikate von Zertifikaten einer Zertifizierungsstelle (ZS) verwendet werden, sollte SHA1 oder SHA2 verwendet werden.
Konfigurieren des VMM-Servers für die Verwendung von TLS 1.3
Deaktivieren Sie alle SCHANNEL-Protokolle außer TLS 1.3 und 1.2.
Manuelle Bearbeitung der Registrierung
- Öffnen Sie den Registrierungs-Editor, und navigieren Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Klicken Sie mit der rechten Maustaste auf Protokoll, und wählen Sie Neu>Schlüssel aus. Geben Sie den Schlüssel ein, und drücken Sie die Eingabetaste. Führen Sie diese Prozedur aus, um ein Image zu erstellen:
- SSL3
- TLS 1.2
- TLS 1.3
- Nachdem Sie diese Schlüssel erstellt haben, müssen Sie die Schlüssel Client und Server darunter erstellen.
- Wählen Sie für SSL3 Folgendes aus: Neu>Schlüssel. Geben Sie Client ein, und drücken Sie die Eingabetaste. Wählen Sie erneut für SSL3 Folgendes aus: Neu>Schlüssel. Geben Sie Server ein, und drücken Sie dann die Eingabetaste.
- Wiederholen Sie die Aktion, um die Client- und Serverschlüssel unter TLS 1.2 und TLS 1.3 zu erstellen.
- Nachdem Sie die Client - und Serverschlüssel erstellt haben, müssen Sie unter ihnen DWORD-Werte erstellen, um Protokolle zu aktivieren und zu deaktivieren. Gehen Sie hierzu wie folgt vor:
- Aktivieren Sie das TLS 1.2-Protokoll. Erstellen Sie dazu in TLS 1.2 unter dem Clientschlüssel den DWORD-Wert DisabledByDefault, und legen Sie den Wert auf 0 fest. Erstellen Sie nun einen DWORD-Wert Aktiviert, und legen Sie den Wert auf 1 fest. Erstellen Sie die gleichen DWORD-Werte unter dem Server-Schlüssel.
- Aktivieren Sie das TLS 1.3-Protokoll. Erstellen Sie dazu in TLS 1.3 unter dem Clientschlüssel den DWORD-Wert DisabledByDefault, und legen Sie den Wert auf 0 fest. Erstellen Sie nun einen DWORD-Wert Aktiviert, und legen Sie den Wert auf 1 fest. Erstellen Sie die gleichen DWORD-Werte unter dem Server-Schlüssel.
- Deaktivieren Sie nun die anderen Protokolle. Erstellen Sie dazu in SSL3 und TLS 1.2 unter dem Clientschlüssel den DWORD-Wert DisabledByDefault, und legen Sie den Wert auf 1 fest. Erstellen Sie nun einen DWORD-Wert "Enabled ", und legen Sie den Wert auf 0 fest. Erstellen Sie die gleichen DWORD-Werte unter dem Server-Schlüssel.
Ändern der Registrierung mit einem PowerShell-Skript
Anstatt die Registrierungswerte manuell zu ändern, können Sie das folgende PowerShell-Skript verwenden.
$ProtocolList = @(""SSL 3.0", "TLS 1.2", "TLS 1.3")
$ProtocolSubKeyList = @("Client", "Server")
$DisabledByDefault = "DisabledByDefault"
$registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\"
foreach ($Protocol in $ProtocolList)
{
foreach ($key in $ProtocolSubKeyList)
{
$currentRegPath = $registryPath + $Protocol + "\" + $key
Write-Output "Current Registry Path: `"$currentRegPath`""
if (!(Test-Path $currentRegPath))
{
Write-Output " `'$key`' not found: Creating new Registry Key"
New-Item -Path $currentRegPath -Force | out-Null
}
if ($Protocol -eq "TLS 1.2")
{
Write-Output " Enabling - TLS 1.2"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
}
else if ($Protocol -eq "TLS 1.3")
{
Write-Output " Enabling - TLS 1.3"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "0" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "1" -PropertyType DWORD -Force | Out-Null
}
else
{
Write-Output " Disabling - $Protocol"
New-ItemProperty -Path $currentRegPath -Name $DisabledByDefault -Value "1" -PropertyType DWORD -Force | Out-Null
New-ItemProperty -Path $currentRegPath -Name 'Enabled' -Value "0" -PropertyType DWORD -Force | Out-Null
}
Write-Output " "
}
}
Exit 0
Konfigurieren von VMM für die Verwendung von TLS 1.3
- Öffnen Sie auf dem VMM-Server den Registrierungs-Editor. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ .NetFramework\v4.0.30319.
- Erstellen Sie den DWORD-Wert SchUseStrongCrypto, und legen Sie den Wert auf 1 fest.
- Wechseln Sie jetzt zu HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft
.NetFramework\v4.0.30319. - Erstellen Sie unter diesem Speicherort den gleichen DWORD-Wert SchUseStrongCrypto, und legen Sie den Wert auf 1 fest.
- Starten Sie das System neu, damit die Einstellungen wirksam werden.
Ändern der Registrierung mit einem PowerShell-Skript
Sie können die Registrierungseinstellungen mithilfe des folgenden PowerShell-Skripts ändern.
# Tighten up the .NET Framework
$NetRegistryPath = "HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null
$NetRegistryPath = "HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319"
New-ItemProperty -Path $NetRegistryPath -Name "SchUseStrongCrypto" -Value "1" -PropertyType DWORD -Force | Out-Null