Jak włączyć protokół TLS 1.2
Dotyczy: Configuration Manager (bieżąca gałąź)
Transport Layer Security (TLS), taki jak Secure Sockets Layer (SSL), to protokół szyfrowania, który ma zapewnić bezpieczeństwo danych podczas przesyłania za pośrednictwem sieci. W tych artykułach opisano kroki wymagane do zapewnienia, że Configuration Manager bezpiecznej komunikacji korzysta z protokołu TLS 1.2. W tych artykułach opisano również wymagania dotyczące aktualizacji często używanych składników i rozwiązywanie typowych problemów.
Włączanie protokołu TLS 1.2
Configuration Manager opiera się na wielu różnych składnikach bezpiecznej komunikacji. Protokół używany dla danego połączenia zależy od możliwości odpowiednich składników po stronie klienta i serwera. Jeśli jakikolwiek składnik jest nieaktualny lub nie jest prawidłowo skonfigurowany, komunikacja może używać starszego, mniej bezpiecznego protokołu. Aby poprawnie włączyć Configuration Manager obsługę protokołu TLS 1.2 dla całej bezpiecznej komunikacji, należy włączyć protokół TLS 1.2 dla wszystkich wymaganych składników. Wymagane składniki zależą od środowiska i funkcji Configuration Manager, których używasz.
Ważna
Uruchom ten proces z klientami, zwłaszcza z poprzednimi wersjami systemu Windows. Przed włączeniem protokołu TLS 1.2 i wyłączeniem starszych protokołów na serwerach Configuration Manager upewnij się, że wszyscy klienci obsługują protokół TLS 1.2. W przeciwnym razie klienci nie mogą komunikować się z serwerami i mogą zostać oddzieloni.
Zadania Configuration Manager klientów, serwerów lokacji i zdalnych systemów lokacji
Aby włączyć protokół TLS 1.2 dla składników, od których Configuration Manager zależy bezpieczna komunikacja, należy wykonać wiele zadań zarówno na klientach, jak i na serwerach lokacji.
Włączanie protokołu TLS 1.2 dla klientów Configuration Manager
- Aktualizowanie systemów Windows i WinHTTP w Windows 8.0, Windows Server 2012 (inne niż R2) i starsze
- Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
- Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2
Włączanie protokołu TLS 1.2 dla serwerów lokacji Configuration Manager i zdalnych systemów lokacji
- Upewnij się, że protokół TLS 1.2 jest włączony jako protokół dla protokołu SChannel na poziomie systemu operacyjnego
- Aktualizowanie i konfigurowanie .NET Framework do obsługi protokołu TLS 1.2
- Aktualizowanie SQL Server i SQL Server Native Client
- Aktualizowanie Windows Server Update Services (WSUS)
Funkcje i zależności scenariuszy
W tej sekcji opisano zależności dla określonych funkcji i scenariuszy Configuration Manager. Aby określić kolejne kroki, znajdź elementy, które mają zastosowanie do środowiska.
| Funkcja lub scenariusz | Aktualizowanie zadań |
|---|---|
| Serwery lokacji (centralne, podstawowe lub pomocnicze) |
-
Aktualizowanie .NET Framework — Weryfikowanie silnych ustawień kryptografii |
| Serwer bazy danych lokacji | Aktualizowanie SQL Server i jej składników klienta |
| Serwery lokacji dodatkowej | Zaktualizuj SQL Server i jej składniki klienta do zgodnej wersji SQL Server Express |
| Role systemu lokacji |
-
Aktualizowanie .NET Framework i weryfikowanie silnych ustawień kryptografii - Zaktualizuj SQL Server i jej składniki klienta na wymaganych rolach, w tym SQL Server Native Client |
| Punkt usług raportowania |
-
Zaktualizuj .NET Framework na serwerze lokacji, serwerach SQL Server Reporting Services i dowolnym komputerze z konsolą — w razie potrzeby uruchom ponownie usługę SMS_Executive |
| Punkt aktualizacji oprogramowania | Aktualizowanie programu WSUS |
| Brama zarządzania chmurą | Wymuszanie protokołu TLS 1.2 |
| konsola Configuration Manager |
-
Aktualizowanie .NET Framework — Weryfikowanie silnych ustawień kryptografii |
| Configuration Manager klienta z rolami systemu lokacji HTTPS | Zaktualizuj system Windows, aby obsługiwał protokół TLS 1.2 dla komunikacji klient-serwer przy użyciu protokołu WinHTTP |
| Centrum oprogramowania |
-
Aktualizowanie .NET Framework — Weryfikowanie silnych ustawień kryptografii |
| Klienci systemu Windows 7 | Przed włączeniem protokołu TLS 1.2 na dowolnych składnikach serwera zaktualizuj system Windows, aby obsługiwał protokół TLS 1.2 dla komunikacji klient-serwer przy użyciu protokołu WinHTTP. Jeśli najpierw włączysz protokół TLS 1.2 dla składników serwera, możesz odłączyć wcześniejsze wersje klientów. |
Często zadawane pytania
Dlaczego warto używać protokołu TLS 1.2 z Configuration Manager?
Protokół TLS 1.2 jest bezpieczniejszy niż poprzednie protokoły kryptograficzne, takie jak SSL 2.0, SSL 3.0, TLS 1.0 i TLS 1.1. Zasadniczo protokół TLS 1.2 zapewnia większe bezpieczeństwo danych przesyłanych przez sieć.
Gdzie Configuration Manager używać protokołów szyfrowania, takich jak TLS 1.2?
Istnieje zasadniczo pięć obszarów, w których Configuration Manager używa protokołów szyfrowania, takich jak TLS 1.2:
- Komunikacja klienta z rolami serwera lokacji opartymi na usługach IIS, gdy rola jest skonfigurowana do używania protokołu HTTPS. Przykłady tych ról obejmują punkty dystrybucji, punkty aktualizacji oprogramowania i punkty zarządzania.
- Punkt zarządzania, program SMS Executive i komunikacja dostawcy programu SMS z usługą SQL. Configuration Manager zawsze szyfruje komunikację SQL Server.
- Komunikacja między serwerem lokacji a usługą WSUS, jeśli program WSUS jest skonfigurowany do używania protokołu HTTPS.
- Konsola Configuration Manager do SQL Server Reporting Services (SSRS), jeśli usługa SSRS jest skonfigurowana do używania protokołu HTTPS.
- Wszelkie połączenia z usługami internetowymi. Przykłady obejmują bramę zarządzania chmurą (CMG), synchronizację punktów połączenia z usługą i synchronizację metadanych aktualizacji z Microsoft Update.
Co określa, który protokół szyfrowania jest używany?
Protokół HTTPS zawsze będzie negocjował najwyższą wersję protokołu obsługiwaną zarówno przez klienta, jak i serwer w zaszyfrowanej konwersacji. Po nawiązaniu połączenia klient wysyła komunikat do serwera z najwyższym dostępnym protokołem. Jeśli serwer obsługuje tę samą wersję, wysyła komunikat przy użyciu tej wersji. Ta wynegocjowana wersja jest używana na potrzeby połączenia. Jeśli serwer nie obsługuje wersji przedstawionej przez klienta, komunikat serwera określi najwyższą wersję, która może być używana. Aby uzyskać więcej informacji o protokole uzgadniania protokołu TLS, zobacz Ustanawianie bezpiecznej sesji przy użyciu protokołu TLS.
Co określa, której wersji protokołu może używać klient i serwer?
Ogólnie rzecz biorąc, następujące elementy mogą określić, która wersja protokołu jest używana:
- Aplikacja może określać określone wersje protokołów do negocjacji.
- Najlepszym rozwiązaniem jest unikanie twardego kodowania określonych wersji protokołów na poziomie aplikacji oraz przestrzeganie konfiguracji zdefiniowanej na poziomie składnika i protokołu systemu operacyjnego.
- Configuration Manager jest zgodne z tym najlepszym rozwiązaniem.
- W przypadku aplikacji napisanych przy użyciu .NET Framework domyślne wersje protokołów zależą od wersji struktury, na podstawie których zostały skompilowane.
- Wersje platformy .NET przed 4.6.3 domyślnie nie zawierały protokołów TLS 1.1 i 1.2 na liście protokołów do negocjacji.
- Aplikacje korzystające z protokołu WinHTTP do komunikacji HTTPS, takie jak klient Configuration Manager, zależą od wersji systemu operacyjnego, poziomu poprawek i konfiguracji obsługi wersji protokołu.
Dodatkowe materiały
- Dokumentacja techniczna kontrolek kryptograficznych
- Najlepsze rozwiązania dotyczące zabezpieczeń warstwy transportu (TLS) dotyczące .NET Framework
- KB 3135244: obsługa protokołu TLS 1.2 dla Microsoft SQL Server