如何啟用 TLS 1.2
適用於:Configuration Manager (目前的分支)
傳輸層安全性 (TLS) ,例如安全套接字層 (SSL) ,是一種加密通訊協定,目的是要在透過網路傳輸時保護數據的安全。 這些文章說明確保 Configuration Manager 安全通訊使用 TLS 1.2 通訊協定所需的步驟。 這些文章也會說明常用元件的更新需求,以及常見問題的疑難解答。
啟用 TLS 1.2
Configuration Manager依賴許多不同的元件來進行安全通訊。 用於指定連線的通訊協定取決於客戶端和伺服器端上相關元件的功能。 如果任何元件已過期或未正確設定,通訊可能會使用較舊、較不安全的通訊協定。 若要正確啟用 Configuration Manager 以支援所有安全通訊的 TLS 1.2,您必須為所有必要的元件啟用 TLS 1.2。 所需的元件取決於您的環境和您所使用的 Configuration Manager 功能。
重要事項
使用客戶端啟動此程式,特別是舊版 Windows。 啟用 TLS 1.2 並停用 Configuration Manager 伺服器上的舊版通訊協定之前,請確定所有用戶端都支援 TLS 1.2。 否則,客戶端無法與伺服器通訊,而且可能會遭到孤立。
Configuration Manager 用戶端、月臺伺服器和遠端站臺系統的工作
若要針對 Configuration Manager 相依於安全通訊的元件啟用 TLS 1.2,您必須在用戶端和月臺伺服器上執行多個工作。
為 Configuration Manager客戶端啟用 TLS 1.2
- 在 Windows 8.0 上更新 Windows 和 WinHTTP,Windows Server 2012 (非 R2) 及更早版本
- 確定已在OS層級啟用TLS 1.2作為 SChannel 的通訊協定
- 更新和設定 .NET Framework 以支援 TLS 1.2
為 Configuration Manager 月臺伺服器和遠端站臺系統啟用 TLS 1.2
- 確定已在OS層級啟用TLS 1.2作為 SChannel 的通訊協定
- 更新和設定 .NET Framework 以支援 TLS 1.2
- 更新 SQL Server和 SQL Server Native Client
- 更新 Windows Server Update Services (WSUS)
功能和案例相依性
本節說明特定 Configuration Manager 功能和案例的相依性。 若要判斷後續步驟,請找出套用至您環境的專案。
| 功能或案例 | 更新工作 |
|---|---|
| 月臺伺服器 (中央、主要或次要) |
-
更新 .NET Framework - 驗證強密碼編譯設定 |
| 月臺資料庫伺服器 | 更新 SQL Server 及其用戶端元件 |
| 次要月台伺服器 | 將 SQL Server 及其用戶端元件更新為相容版本的 SQL Server Express |
| 月臺系統角色 |
-
更新 .NET Framework 並驗證強式密碼編譯設定 - 在需要 SQL Server 的角色上更新 SQL Server 及其用戶端元件,包括 SQL Server Native Client |
| Reporting Services 點 |
- 使用主控台更新月臺伺服器、SQL Server Reporting Services 伺服器及任何電腦上的 .NET Framework - 視需要重新啟動SMS_Executive服務 |
| 軟體更新點 | 更新 WSUS |
| 雲端管理閘道 | 強制執行 TLS 1.2 |
| Configuration Manager 主控台 |
-
更新 .NET Framework - 驗證強密碼編譯設定 |
| Configuration Manager 具有 HTTPS 月台系統角色的用戶端 | 使用 WinHTTP 更新 Windows 以支援用戶端-伺服器通訊的 TLS 1.2 |
| 軟體中心 |
-
更新 .NET Framework - 驗證強密碼編譯設定 |
| Windows 7 用戶端 | 在 任何伺服器元件上啟用 TLS 1.2 之前,請 先使用 WinHTTP 更新 Windows 以支援 TLS 1.2 進行用戶端-伺服器通訊。 如果您先在伺服器元件上啟用 TLS 1.2,您可以孤立舊版的用戶端。 |
常見問題集
為什麼要搭配使用 TLS 1.2 與 Configuration Manager?
TLS 1.2 比先前的密碼編譯通訊協定更安全,例如 SSL 2.0、SSL 3.0、TLS 1.0 和 TLS 1.1。 基本上,TLS 1.2 可讓跨網路傳輸數據更加安全。
Configuration Manager 在何處使用 TLS 1.2 等加密通訊協定?
基本上,有五個區域 Configuration Manager 使用 TLS 1.2 等加密通訊協定:
- 當角色設定為使用 HTTPS 時,用戶端會與 IIS 型月臺伺服器角色通訊。 這些角色的範例包括發佈點、軟體更新點和管理點。
- 管理點、SMS 主管和SMS提供者與 SQL 的通訊。 Configuration Manager 一律加密 SQL Server 通訊。
- 如果 WSUS 設定為使用 HTTPS,則站臺伺服器與 WSUS 通訊。
- 如果 SSRS 設定為使用 HTTPS,Configuration Manager 主控台 SQL Server Reporting Services (SSRS) 。
- 任何以因特網為基礎的服務連線。 範例包括雲端管理閘道 (CMG) 、服務連接點同步,以及從 Microsoft Update 同步處理更新元數據。
哪些決定使用哪一種加密通訊協定?
HTTPS 一律會交涉加密交談中用戶端和伺服器所支援的最高通訊協定版本。 建立連線時,用戶端會傳送訊息給具有最高可用通訊協議的伺服器。 如果伺服器支援相同的版本,則會使用該版本傳送訊息。 此交涉版本是用於連線的版本。 如果伺服器不支援用戶端所呈現的版本,伺服器訊息會指定它可以使用的最高版本。 如需 TLS 交握通訊協定的詳細資訊,請參閱 使用 TLS 建立安全會話。
何者決定客戶端和伺服器可以使用的通訊協定版本?
一般而言,下列專案可以判斷使用的通訊協定版本:
- 應用程式可以指定要交涉的特定通訊協定版本。
- 最佳做法是避免在應用層級硬式編碼特定通訊協定版本,並遵循元件和 OS 通訊協定層級所定義的設定。
- Configuration Manager 遵循此最佳做法。
- 對於使用 .NET Framework 撰寫的應用程式,預設通訊協定版本取決於其所編譯的架構版本。
- 根據預設,4.6.3 之前的 .NET 版本未在交涉通訊協定清單中包含 TLS 1.1 和 1.2。
- 使用 WinHTTP 進行 HTTPS 通訊的應用程式,例如 Configuration Manager 客戶端,取決於作系統版本、修補程式層級,以及通訊協定版本支援的設定。