Добавление сертификата веб-сервера на пользовательский веб-сайт WSUS

Добавление сертификата веб-сервера на пользовательский веб-сайт WSUS Сертификаты
На чтение 8 мин. Просмотров 35 Опубликовано
Содержание
  1. Certificate template creation
  2. Configure sccm software update point in ssl
  3. Downstream software update point
  4. Request certificate
  5. Requirements
  6. Server validation
  7. Warning
  8. Добавление сертификата веб-сервера на пользовательский веб-сайт wsus
  9. Настройка ssl на wsus-сервере
  10. Настройка ssl на клиентских компьютерах
  11. Ограничения ssl-развертываний wsus
  12. Conclusion

Certificate template creation

The first step to enable SSL communication is to create a server certificate for your server.

  • On the server that is running the Certification Authority, open the Certification Authority console (certsrv.mmc), right-click Certificate Templates and select Manage
  • The Certificate Templates management console opens
  • Right-click the Web Server template and then select Duplicate Template
  • In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected in Certification Authority
  • In the General tab, enter a template name, like ConfigMgr Web Server
    • Change the validity period if needed. As a best-practice, the longer the validity period, the less secure is your certificate
  • In the Request Handling tab, select Allow private key to be exported
    • While not mandatory, this could become useful depending on the environment
  • Choose Add, enter a group that has the WSUS/SUP server in. It can be an existing SCCM Server group. Then choose OK
    • Select the Enroll and Read permission for this group
  • Choose OK, close Certificate Templates Console
  • Back in the Certification Authority (certsrv.mmc) console, right-click Certificate Templates, select New / Certificate Template to Issue

Configure sccm software update point in ssl

  • Check the box Require SSL communication to the WSUS server
  • Once completed, it is a good idea to restart the Software Update point service to ensure communications are good under SSL.
    • To do so, browse to Monitoring/System Status/Component Status and start the Configuration Manager Service manager
    • Find SMS_WSUS_Configuration_Manager and restart it

Downstream software update point

If you are having multiple WSUS/Software Update point, here are some important notes

  • When enabling SSL on WSUS, it should always be the parent WSUS/SUP that is configured first in SSL, before moving to downstream servers
  • Downstream servers require the exact same steps as mentioned above in order to be configured to use SSL.
  • Doing it only on the primary WSUS/SUP will not make clients communicate over SSL to downstream servers.
  • When the primary Software Update point is forced to use SSL, downstream WSUS will automatically check the box Use SSL when synchronizing update information to sync using port 8531 to the parent WSUS.
Про сертификаты:  KAN-therm: Сертификаты и допуски

For more details on enabling SSL for WSUS, see Microsoft Docs.

Request certificate

The following must be done in the WSUS/SUP server. No need for standalone server, if role is installed on the primary server, it is fine.

  • Open the MMC console for a certificate of the computer
  • Under Personal/Certificates, right-click and select All tasks /Request new certificate
  • Select the web server certificate template created earlier
  • Under Alternative name, select DNS and enter the FQDN of the WSUS/SUP server, then click Add
  • Under General, it may be a good idea to add a Friendly name and description to ease management of certificates on the server
  • Hit ok and complete the wizard to create the certificate.

Requirements

  • Any SCCM version
  • Communication on port 8531 must be open on your Firewall

Server validation

  • Forcing a Synchronize is a good idea to confirm hierarchy is still working correctly
  • On the Software Library node, select All Software Updates and click on Synchronize Software Update in the ribbon

Warning

This post assume the the root CA is trusted by clients. This will be required since the certificate used should come from the same trusted source.

Добавление сертификата веб-сервера на пользовательский веб-сайт wsus

  • На сервере WSUS откройте диспетчер служб IIS.

  • Разверните узел Сайты, щелкните правой кнопкой
    мыши сайт WSUS Administration, а затем щелкните пункт
    Свойства.

  • Перейдите на вкладку Безопасность каталога, а
    затем выберите пункт Сертификат сервера.

  • На странице Добро пожаловать в мастер настройки
    сертификата веб-сервера     нажмите кнопку Далее.

  • На странице Сертификат сервера выберите пункт
    Назначение существующего сертификата, а затем нажмите кнопку
    Далее.

  • На странице Доступные сертификаты выберите
    сертификат веб-сервера, запрошенный во время настройки сайта для
    использования в основном режиме. Идентифицировать сертификат можно
    по полю Назначение, которому присвоено значение Проверка
    подлинности сервера    , а также Понятное имя, которое
    запрашивает сертификат. Нажмите кнопку Далее.

  • На странице Порт SSL настройте номер порта для
    SSL (HTTP). При использовании пользовательского веб-сайта WSUS по
    умолчанию используется порт SSL 8531. Описание пошаговых процедур
    поиска номера порта см. в разделе Определение параметров
    портов, используемых WSUS    . Нажмите кнопку Далее.

    Про сертификаты:  Шаблоны грамот и дипломов, шаблоны для портфолио, шаблоны для классного уголка и многое другое

  • На странице Сводка сертификатов нажмите кнопку
    Далее.

  • На странице Завершение работы мастера настройки
    сертификата веб-сервера     нажмите кнопку Готово.

  • Нажмите кнопку ОК, чтобы закрыть свойства
    сайта.

  • Закройте диспетчер IIS.

    • Настройка ssl на wsus-сервере

    Самое важное, что необходимо помнить при настройке
    использования SSL на WSUS-сервере, это то, что в этой конфигурации
    для сервера WSUS требуется два порта: один порт для шифрованных
    метаданных, использующих протокол HTTPS и один порт для данных,
    передаваемых по протоколу HTTP. При настройке использования SSL
    службами IIS необходимо учитывать следующие моменты.

    • Невозможно настроить обязательное использование SSL на всем
      веб-узле WSUS. Это означало бы, что весь трафик веб-узла WSUS будет
      зашифрован, однако WSUS шифрует только метаданные обновления. Если
      клиентский компьютер или другой WSUS-сервер попытается получить от
      WSUS файлы обновления через порт HTTPS, передача будет
      невозможной.

      Чтобы обеспечить максимально возможную защищенность веб-узла WSUS,
      рекомендуется настроить обязательное использование SSL только для
      следующих виртуальных корней:

      • SimpleAuthWebService
      • DSSAuthWebService
      • ServerSyncWebService
      • APIRemoting30
      • ClientWebService

      Чтобы обеспечить работу WSUS, необходимо отключить обязательное
      использование SSL для следующих виртуальных корней:

      • Содержимое
      • Данные
      • ReportingWebService
      • SelfUpdate
    • Необходимо настроить имя сервера сертификатов. Для этого
      выполните следующую команду на WSUS-сервере:

      wsusutil configuressl certificateName,

      где certificateName соответствует имени DNS WSUS-сервера.
      Например, если клиентские компьютеры будут подключаться к серверу
      https://myWSUSServer, то вместо certificateName необходимо
      указать myWSUSServer. Если клиентские компьютеры подключаются к
      узлу https://myWSUSServer.myDomain.com, то вместо
      certificateName следует указать
      myWSUSServer.myDomain.com.

    • Сертификат из центра сертификатов необходимо импортировать либо
      в хранилище «Доверенные корневые центры сертификации» локального
      компьютера, либо в хранилище «Доверенные корневые центры
      сертификации» WSUS на подчиненных WSUS-серверах. Если сертификат
      импортирован только в хранилище «Доверенные корневые центры
      сертификации» локального пользователя, то проверка подчиненного
      WSUS-сервера не будет выполняться на вышестоящем сервере. Для
      получения дополнительных сведений о сертификатах SSL см. статью
      299875 в базе знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=86176).
    • Сертификат необходимо импортировать на все компьютеры,
      обменивающиеся данными с сервером, включая все клиентские
      компьютеры, подчиненные серверы, а также компьютеры, на которых
      удаленно запущена консоль администрирования WSUS. Сертификат также
      необходимо импортировать в хранилище «Доверенные корневые центры
      сертификации» локального компьютера или в хранилище «Доверенные
      корневые центры сертификации» WSUS.
    • При настройке использования SSL службами IIS можно указать
      любой порт. Однако порт, который указан при настройке SSL,
      определяет порт, который WSUS используется для открытого трафика
      HTTP. Рассмотрим следующие примеры.
    Про сертификаты:  Курсы SEO-копирайтинга в Москве по цене 6400р: обучение с получением сертификата в МШП

    Настройка ssl на клиентских компьютерах

    При настройке клиентских компьютеров необходимо
    обратить внимание на следующие три важных предупреждения.

    • Необходимо включить URL-адрес для защищенного порта,
      прослушиваемого сервером WSUS. Поскольку нельзя требовать
      использования SSL на сервере, единственный способ обеспечить
      использование клиентскими компьютерами защищенного канала
      заключается в использовании URL-адреса с указанием протокола HTTPS.
      Если для SSL используется порт, отличный от 443, необходимо также
      включить этот порт в URL-адрес.

      Например, https://<ssl-servername> указывает,
      что WSUS-сервер использует порт 443 для трафика HTTPS, а
      https://<ssl-servername>:3051 указывает
      WSUS-сервер, который использует для SSL нестандартный порт
      3051.

      Для получения дополнительных сведений о том, как указать адрес
      WSUS-сервера на клиентских компьютерах, см. раздел «Настройка
      расположения службы Windows Update в интрасети» в главе «Настройка
      клиентов с помощью групповой политики» руководства по развертыванию
      WSUS (http://go.microsoft.com/fwlink/?LinkId=102460).

    • Сертификат на клиентских компьютерах необходимо импортировать
      либо в хранилище «Доверенные корневые центры сертификации»
      локального компьютера, либо в хранилище «Доверенные корневые центры
      сертификации» службы автоматического обновления. Если сертификат
      импортирован только в хранилище «Доверенные корневые центры
      сертификации» локального пользователя, проверка подлинности сервера
      службой автоматического обновления выполнена не будет.
    • Клиентские компьютеры должны доверять сертификату для привязки
      к WSUS-серверу в службах IIS. В зависимости от типа используемого
      сертификата, возможно, придется разрешить клиентам доверять
      сертификатам, привязанным к WSUS-серверу. Для получения
      дополнительных сведений см. раздел «Дополнительные ссылки»
      далее.

    Ограничения ssl-развертываний wsus

    Администраторы, планирующие выполнение
    SSL-развертываний WSUS, должны обратить внимание на следующие две
    проблемы.

    1. Защита развертывания WSUS с использованием шифрования SSL
      увеличивает нагрузку на сервер. Необходимо учитывать потерю
      производительности примерно на 10 процентов, связанную с
      шифрованием всех метаданных, передаваемых по сети.
    2. Если используется удаленный SQL-сервер, то соединение между
      WSUS-сервером и сервером, на котором хранится база данных, не
      защищается с помощью шифрования SSL. Если требуется защитить
      подключение к базе данных, необходимо учитывать следующие
      рекомендации:

    Conclusion

    In this article I have explained that although encryption isn’t really necessary when clients are downloading patches, it is important to be able to confirm the WSUS server’s identity. I then went on to show you how to implement SSL encryption for this purpose.

    Configuration Manager ConfMgr 2007
    Оцените статью
    Мой сертификат
    Добавить комментарий

    © 2025 Мой сертификат