Como habilitar o TLS 1.2
Aplica-se ao: Gerenciador de Configurações (Ramificação Atual)
O TLS (Transport Layer Security), como o SSL (Secure Sockets Layer), é um protocolo de criptografia destinado a manter os dados seguros ao ser transferido por uma rede. Esses artigos descrevem as etapas necessárias para garantir que Configuration Manager comunicação segura use o protocolo TLS 1.2. Esses artigos também descrevem os requisitos de atualização para componentes comumente usados e solução de problemas comuns.
Habilitando o TLS 1.2
Configuration Manager depende de muitos componentes diferentes para comunicação segura. O protocolo usado para uma determinada conexão depende dos recursos dos componentes relevantes no lado do cliente e do servidor. Se algum componente estiver desatualizado ou não estiver configurado corretamente, a comunicação poderá usar um protocolo mais antigo e menos seguro. Para habilitar corretamente Configuration Manager dar suporte ao TLS 1.2 para todas as comunicações seguras, você deve habilitar o TLS 1.2 para todos os componentes necessários. Os componentes necessários dependem do ambiente e dos recursos Configuration Manager que você usa.
Importante
Inicie esse processo com os clientes, especialmente as versões anteriores do Windows. Antes de habilitar o TLS 1.2 e desabilitar os protocolos mais antigos nos servidores Configuration Manager, verifique se todos os clientes dão suporte ao TLS 1.2. Caso contrário, os clientes não podem se comunicar com os servidores e podem ficar órfãos.
Tarefas para clientes Configuration Manager, servidores de site e sistemas de sites remotos
Para habilitar o TLS 1.2 para componentes que Configuration Manager dependem para uma comunicação segura, você precisará fazer várias tarefas nos clientes e nos servidores do site.
Habilitar o TLS 1.2 para clientes Configuration Manager
- Atualizar o Windows e o WinHTTP em Windows 8.0, Windows Server 2012 (não-R2) e anterior
- Verifique se o TLS 1.2 está habilitado como um protocolo para sChannel no nível do sistema operacional
- Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2
Habilitar o TLS 1.2 para servidores de site Configuration Manager e sistemas de sites remotos
- Verifique se o TLS 1.2 está habilitado como um protocolo para sChannel no nível do sistema operacional
- Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2
- Atualizar SQL Server e o SQL Server Native Client
- Atualizar Windows Server Update Services (WSUS)
Recursos e dependências de cenário
Esta seção descreve as dependências de recursos e cenários Configuration Manager específicos. Para determinar as próximas etapas, localize os itens que se aplicam ao seu ambiente.
| Recurso ou cenário | Atualizar tarefas |
|---|---|
| Servidores de site (central, primário ou secundário) |
-
Atualizar .NET Framework – Verificar configurações fortes de criptografia |
| Servidor de banco de dados do site | Atualizar SQL Server e seus componentes cliente |
| Servidores de site secundários | Atualizar SQL Server e seus componentes cliente para uma versão compatível do SQL Server Express |
| Funções do sistema de sites |
-
Atualizar .NET Framework e verificar configurações fortes de criptografia - Atualize SQL Server e seus componentes cliente em funções que o exigem, incluindo o SQL Server Native Client |
| Ponto de serviços de relatório |
-
Atualizar .NET Framework no servidor do site, nos servidores SQL Server Reporting Services e em qualquer computador com o console - Reinicie o serviço de SMS_Executive conforme necessário |
| Ponto de atualização de software | Atualizar o WSUS |
| Gateway de gerenciamento de nuvem | Impor o TLS 1.2 |
| console Configuration Manager |
-
Atualizar .NET Framework – Verificar configurações fortes de criptografia |
| Configuration Manager cliente com funções do sistema de sites HTTPS | Atualizar o Windows para dar suporte ao TLS 1.2 para comunicações cliente-servidor usando WinHTTP |
| Centro de Software |
-
Atualizar .NET Framework – Verificar configurações fortes de criptografia |
| Clientes do Windows 7 | Antes de habilitar o TLS 1.2 em qualquer componente do servidor, atualize o Windows para dar suporte ao TLS 1.2 para comunicações cliente-servidor usando WinHTTP. Se você habilitar o TLS 1.2 em componentes de servidor primeiro, poderá órfão versões anteriores de clientes. |
Perguntas frequentes
Por que usar o TLS 1.2 com Configuration Manager?
O TLS 1.2 é mais seguro do que os protocolos criptográficos anteriores, como SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1. Essencialmente, o TLS 1.2 mantém os dados sendo transferidos por toda a rede mais seguros.
Onde Configuration Manager usa protocolos de criptografia como o TLS 1.2?
Há basicamente cinco áreas que Configuration Manager usa protocolos de criptografia como o TLS 1.2:
- Comunicações do cliente com funções de servidor de site baseadas em IIS quando a função é configurada para usar HTTPS. Exemplos dessas funções incluem pontos de distribuição, pontos de atualização de software e pontos de gerenciamento.
- Ponto de gerenciamento, comunicações do Sms Executive e do Provedor de SMS com SQL. Configuration Manager sempre criptografa SQL Server comunicações.
- Servidor de Site para comunicações WSUS se o WSUS estiver configurado para usar HTTPS.
- O Configuration Manager console para SQL Server Reporting Services (SSRS) se o SSRS estiver configurado para usar HTTPS.
- Qualquer conexão com serviços baseados na Internet. Exemplos incluem o CMG (gateway de gerenciamento de nuvem), a sincronização do ponto de conexão de serviço e a sincronização dos metadados de atualização do Microsoft Update.
O que determina qual protocolo de criptografia é usado?
O HTTPS sempre negociará a versão de protocolo mais alta com suporte do cliente e do servidor em uma conversa criptografada. Ao estabelecer uma conexão, o cliente envia uma mensagem ao servidor com seu protocolo mais alto disponível. Se o servidor der suporte à mesma versão, ele enviará uma mensagem usando essa versão. Essa versão negociada é a usada para a conexão. Se o servidor não der suporte à versão apresentada pelo cliente, a mensagem do servidor especificará a versão mais alta que ele pode usar. Para obter mais informações sobre o protocolo TLS Handshake, consulte Estabelecendo uma sessão segura usando o TLS.
O que determina qual versão de protocolo o cliente e o servidor podem usar?
Geralmente, os seguintes itens podem determinar qual versão do protocolo é usada:
- O aplicativo pode ditar quais versões de protocolo específicas negociar.
- A melhor prática determina evitar versões de protocolo específicas de codificação dura no nível do aplicativo e seguir a configuração definida no nível do protocolo do sistema operacional e do componente.
- Configuration Manager segue essa prática recomendada.
- Para aplicativos gravados usando o .NET Framework, as versões de protocolo padrão dependem da versão da estrutura em que foram compiladas.
- As versões do .NET antes do 4.6.3 não incluíram o TLS 1.1 e 1.2 na lista de protocolos para negociação, por padrão.
- Os aplicativos que usam o WinHTTP para comunicações HTTPS, como o cliente Configuration Manager, dependem da versão do sistema operacional, nível de patch e configuração para suporte à versão do protocolo.
Recursos adicionais
- Referência técnica de controles criptográficos
- Práticas recomendadas de TLS (segurança de camada de transporte) com o .NET Framework
- KB 3135244: suporte ao TLS 1.2 para Microsoft SQL Server