
In diesem Handbuch zeige ich Ihnen, wie Sie Software -Update -Punkte für die Verwendung von SSL in SCCM konfigurieren. Wenn Sie WSUS -Server und ihre zugehörigen SUP -Server für die Verwendung von SSL einrichten, verbessert dies die Sicherheit, indem das Risiko von Fernangriffen minimiert wird, die Kundensysteme beeinträchtigen oder zu einer Eskalation von Privilegien führen können.
Im Konfigurationsmanager wird die Rolle des SUP -Site -Systems immer auf einem Server installiert, auf dem die WSUS -Rolle installiert ist. Die Rolle des Software -Update Point (SUP) integriert sich in WSUs, um Synchronisierungseinstellungen zu verwalten, einschließlich Produktkategorien, Aktualisierungsklassifikationen und unterstützten Sprachen. Das Endziel ist es, Software -Updates für Clients mit SCCM bereitzustellen.
Wenn Sie einen WSUs auf einem Remote -Server ausgeführt haben, können Sie den Datenverkehr zwischen dem SCCM- und Remote -WSUS -Server sichern, indem Sie SSL aktivieren und damit den Datenverkehr verschlüsseln. Kurz gesagt, wir konfigurieren unseren Software -Update -Punkt so, dass sie SSL -Kommunikation zum WSUS -Server benötigen.
Installieren und Aktualisieren von Anwendungen von Drittanbietern mit Patch My PC
In einem meiner Führer habe ich die Implementierung von PKI -Zertifikaten für die SCCM -Infrastruktur behandelt. Wenn Sie PKI -Zertifikate noch nicht konfiguriert haben, werden Sie von diesen Leitfäden behilflich sein und diese auch den Installationsprozess für die Einrichtung einer Unternehmensbescheinigung für Unternehmens -Root -Zertifikate für Ihre Organisation enthalten.
Voraussetzungen
Stellen Sie sicher, dass die folgenden Anforderungen für die Einrichtung Ihrer SUP in SSL eintreten:
-
Ein WSUS -Server mit der Software -Update -Punktrolle installiert.
-
Eine Sicherheitsgruppe in AD, die alle Ihre WSUS -Server enthält.
-
Zugriff auf die Zertifikatberechtigung zur Erstellung von Zertifikaten.
-
Ein funktionierendes PKI -Zertifikat befindet sich bereits im persönlichen Zertifikatspeicher des WSUS -Servers. Wenn nicht, können Sie eine mit den in diesem Leitfaden behandelten Schritten erstellen.
-
Vollverwalter Rollenberechtigungen für SCCM.
Wenn Sie die Voraussetzungen durchlaufen haben, gehen wir mit den Schritten, um Software -Update -Punkte für die Verwendung von SSL in SCCM zu konfigurieren. Dieser Vorgang beinhaltet das Erstellen einer Webserver -Zertifikat -Vorlage für WSUs, die Einschreibung des Zertifikats auf dem SUP (WSUS) -Server (WSUS) und schließlich ein Einrichten von SUP, um im SSL -Modus zu arbeiten. Ich habe den gesamten Prozess in individuelle Schritte unterteilt, was es leicht macht, zu folgen.
Schritt 1: SSL -Zertifikatvorlage für SUP/WSUS erstellen
Um die SSL -Kommunikation für WSUs/SUP -Server zu ermöglichen, muss eine Zertifikatvorlage in der Zertifikatbehörde generiert und ausgestellt werden. Starten Sie die Zertifikatbehörde und klicken Sie mit der rechten Maustaste und wählen Sie Zertifikatvorlagen und wählen Sie verwalten.
SSL -Zertifikatvorlage für SUP/WSUS erstellen
Klicken Sie in der Konsole der Zertifikatvorlagen mit der rechten Maustaste auf Webserver und wählen Sie doppelte Vorlage.
Webserver - doppelte Vorlage
Geben Sie auf der Registerkarte Allgemeiner Zertifikat den Zertifikatvorlage den Anzeigenamen der Vorlage an und legen Sie den Zertifikatsgültigkeitszeitraum fest.
Konfigurieren Sie den Vorlagennamen und die Gültigkeit
Stellen Sie auf der Registerkarte Kompatibilität sicher, dass die folgenden Kompatibilitätsauswahlen aktiviert sind:
-
Zertifizierungsbehörde: Windows Server 2003
-
Zertifikatempfänger: Windows XP/Server 2003
Klicken Sie auf Bewerben.
SSL -Zertifikatkompatibilität
Wählen Sie die Registerkarte “Anforderungsbearbeitung” und das Kontrollkästchen “Private Taste zu erlauben, exportiert zu werden”.
Zertifikatanforderung Handhabung
Gehen Sie zur Registerkarte Sicherheit und hier können Sie die Teilnehmerberechtigungen für die Enterprise Admins -Gruppe entfernen. Klicken Sie auf Bewerber, wenn Sie die Änderungen vornehmen.
Setup SV SSL -Zertifikat Sicherheitsberechtigungen
Navigieren Sie zur Registerkarte Sicherheit, klicken Sie auf Hinzufügen, wählen Sie die Gruppe, die mit WSUs/SUP -Servern zugeordnet ist, und weisen Sie dieser Gruppe Anmelde- und Lesen von Berechtigungen zu. Klicken Sie auf Bewerber und OK.
Schließen Sie die Konsole der Zertifikatvorlagen.
Setup SV SSL -Zertifikat -Zugriffsberechtigungen
Schritt 2: Geben Sie die Zertifikatvorlage aus
Die für SUP/WSUs im vorherige Schritt konfigurierte Zertifikatvorlage ist nun ausgestellt. Es muss ausgestellt werden, bevor es auf Ihren WSUS -Servern eingeschrieben werden kann. Klicken Sie in der Konsole der Zertifikatbehörde mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Zertifikatvorlage für die Ausgabe.
Ausgeben die WSUS SUP -Zertifikatvorlage
Wählen Sie nun Ihre WSUS -SSL -Zertifikatvorlage aus, die Sie in Schritt 1 erstellt haben. Klicken Sie auf OK.
geben Sie die WSUS SUP -Zertifikat -Vorlage aus
Schritt 3: Fordern Sie das SSL -Zertifikat auf SUP/WSUS -Server an und melden Sie sich an
In diesem Schritt werde ich Ihnen zeigen, wie Sie das SSL -Zertifikat auf Servern anfordern, die WSUs/SUP -Rollen ausführen. Melden Sie sich beim WSUS/SUP -Server an und starten Sie die Zertifikatskonsole, indem Sie den Befehl certlm.msc ausführen. Gehen Sie in der Zertifikatskonsole zu Personal> Zertifikate. Klicken Sie mit der rechten Maustaste und wählen Sie ein neues Zertifikat anfordern.
Fordern Sie das SSL -Zertifikat auf SUP/WSUS -Server an
Wir werden nun den Zertifikatanmeldungsprozess durchlaufen. Wählen Sie im Fenster Anfragezertifikat das SSL -Zertifikat aus, das Sie für WSUS/SUP erstellt haben, und klicken Sie auf weitere Informationen, die für dieses Zertifikat angemeldet sind.
Wählen Sie das WSUS -Webserver -Zertifikat aus
Navigieren Sie im Fenster Zertifikateigenschaften zur Registerkarte Betreff. Wählen Sie im Abschnitt “Alternative Name den Typ” als DNS aus und geben Sie den FQDN Ihres WSUS/SUP -Servers ein. Klicken Sie auf die Schaltfläche Hinzufügen, um die Einträge unten DNS anzuzeigen. Klicken Sie auf Bewerben.
Konfigurieren Sie das WSUS -Webserver -Zertifikat
Wechseln Sie zur Registerkarte Allgemein und setzen Sie den Wert auf einen beschreibenden Namen, um das Zertifikat später zu identifizieren. Klicken Sie auf OK und bewerben Sie sich.
Geben Sie den freundlichen Namen für Zertifikat an
Wählen Sie sich einschreiben und beenden Sie und beenden Sie die Registrierung. Das Zertifikat befindet sich nun im persönlichen Zertifikatspeicher des WSUS -Servers.
Geben Sie das SSL -Zertifikat für WSUS SUP -Server an
Schritt 4: Binden Sie das SSL -Zertifikat an die WSUS -Administrationsstelle,
Sobald Sie das SSL -Zertifikat im persönlichen Zertifikatspeicher des WSUS -Servers haben, besteht der nächste Schritt darin, es an die WSUS -Administrationsstelle in IIS zu binden. Befolgen Sie die folgenden Schritte, um die IIS -Bindungen für WSUs zu konfigurieren.
Open Internet Information Services (IIS) Manager auf dem WSUS -Server. Gehen Sie zu Websites> WSUS -Verwaltung. Wählen Sie Bindungen aus entweder aus dem Aktionsmenü oder durch Klicken mit der rechten Maustaste auf der Website.
Binden Sie das SSL -Zertifikat an die WSUS -Administrationsstelle
Wählen Sie im Fenster “Site Bindings” HTTPS aus und klicken Sie auf Bearbeiten. Wählen Sie unter der Option SSL -Zertifikat das SSL -Zertifikat aus, um an die WSUS -Administrationsstelle zu binden. Der freundliche Name des Zertifikats wird im Dropdown-Menü angezeigt.
Wählen Sie OK, wenn Sie fertig sind, und nähern Sie die Site -Bindungen.
HINWEIS: Entfernen Sie zu diesem Zeitpunkt die HTTP -Site -Bindung nicht. WSUS verwendet HTTP für die Aktualisierung von Inhaltsdateien.
Konfigurieren Sie die IIS -Bindungen für WSUs
Schritt 5: Konfigurieren Sie die WSUS -Webdienste so, dass sie SSL benötigen
In diesem Schritt ermöglichen wir die SSL -Durchsetzung für Webdienste auf dem WSUS -Server, um sicherzustellen, dass alle WSUS -Webdienstkommunikationen mit SSL sicher übertragen werden.
Gehen Sie in IIS -Manager auf dem WSUS -Server zu Websites> WSUS -Verwaltung. Erweitern Sie die WSUS -Administrations -Site, um die Liste der Webdienste und virtuellen Verzeichnisse für WSUs anzuzeigen.
Gehen Sie für jede der folgenden WSUS -Webdienste zu den SSL -Einstellungen und aktivieren Sie die Option “Erfordernder SSL”.
-
Apiremoting30
-
Clientwebservice
-
DSSAuthwebservice
-
ServerSyncwebservice
-
SimpleAthwebservice
Wählen Sie beispielsweise den apiremoting30 -Webdienst aus und wählen Sie SSL -Einstellungen wie im folgenden Screenshot aus.
Konfigurieren Sie die WSUS -Webdienste, um SSL zu verlangen
Aktivieren Sie auf der Seite SSL -Einstellungen die Option SSL. Überprüfen Sie, ob die Option von Client -Zertifikaten auf Ignorierung eingestellt ist. Wählen Sie Bewerben.
Konfigurieren Sie die WSUS -Webdienste so, dass sie SSL benötigen
Sobald Sie die oben genannte Prozedur für alle Webdienste abgeschlossen haben, schließen Sie die WSUS -Administratorkonsole.
Schritt 6: Konfigurieren Sie den WSUs so, dass sie SSL verwenden, um SSL zu verwenden
Nach dem Konfigurieren der Webdienste für SSL konfigurieren wir nun den WSUs für die Verwendung von SSL.
-
Starten Sie auf dem WSUS -Server die Eingabeaufforderung als Administrator.
-
Ändern Sie das Verzeichnis in den Ordner “Tools
-
Konfigurieren Sie WSUs so, dass sie SSL mit dem folgenden Befehl verwenden (Geben Sie die FQDN des WSUS-Servers ein).
WsusUtil.exe configuressl WSUS_SERVER_FQDN
Kopie
WsusUtil.exe configuressl WSUS\_SERVER\_FQDN
Beachten Sie nach dem Ausführen des obigen Befehls, dass der WSUSutil die URL des WSUS -Servers mit der am Ende angegebenen Portnummer zurückgibt. Im folgenden Beispiel sein 8531.
Konfigurieren Sie den WSUs, um SSL zu verwenden
Schritt 7: Überprüfen Sie, ob die WSUS -Konsole mit SSL herstellen kann
Die WSUS -Konsole verbindet sich über den apiremoting30 -Webdienst. In diesem Schritt werde ich demonstrieren, wie die Funktionalität der WSUS -Administratorkonsole bestätigt wird, indem ich eine SSL -Verbindung zum APIREMOTING30 -Webdienst des WSUS -Servers über Port 8531 herstellt.
Öffnen Sie die WSUS -Konsole und wählen Sie Aktion> Verbindung zum Server aus. Geben Sie die FQDN des WSUS -Servers für die Option “Servernamen” ein. Wählen Sie die Portnummer als 8531. Die Verwendung von Secure Sockets Layer (SSL), um eine Verbindung zu dieser Serveroption herzustellen, wird automatisch aktiviert, wenn entweder 8531 (Standard) oder 443 ausgewählt werden.
Klicken Sie auf die Schaltfläche Verbinden und Sie sollten jetzt Zugriff auf die WSUs und seine Einstellungen haben. Wenn Sie hier Fehler sehen, kehren Sie zu Schritt 4, 5, 6 zurück und prüfen Sie, ob Sie die Prozedur korrekt befolgt haben.
Überprüfen Sie, ob die WSUS -Konsole mit SSL herstellen kann
In diesem Schritt werden wir überprüfen, ob der Site -Server die Updates synchronisieren kann, nachdem SUP für die Verwendung von SSL eingestellt ist. Gehen Sie in der SCCM -Konsole zu Software Library> Übersicht> Software -Updates> Alle Software -Updates. Wählen Sie aus dem Ribbon Software -Updates synchronisieren. Wählen Sie Ja, wenn Sie gefragt werden, ob Sie eine seitenweite Synchronisation für Software-Updates initiieren möchten.
Software -Update Point SSL - Überprüfen Sie, ob der Site -Server Updates synchronisieren kann
Öffnen Sie den WSYNCMGR.Log für die Website und Sie sollten die unten aufgeführten ähnlichen Einträge finden. Dies bestätigt, dass der Site -Server Updates korrekt synchronisieren kann, nachdem die SUP für die Verwendung von SSL konfiguriert wurde.
https://corpcm.prajwal.local:8531 SMS_WSUS_SYNC_MANAGERSynchronizing WSUS server corpcm.prajwal.localDone synchronizing WSUS Server corpcm.prajwal.local SMS_WSUS_SYNC_MANAGERSynchronizing SMS database with WSUS, default server is corpcm.prajwal.localSTATMSG: ID=6705 SEV=I LEV=M SOURCE="SMS Server" COMP="SMS_WSUS_SYNC_MANAGER"
Kopie
https://corpcm.prajwal.local:8531 SMS\_WSUS\_SYNC\_MANAGER
Synchronizing WSUS server corpcm.prajwal.local
Done synchronizing WSUS Server corpcm.prajwal.local SMS\_WSUS\_SYNC\_MANAGER
Synchronizing SMS database with WSUS, default server is corpcm.prajwal.local
STATMSG: ID=6705 SEV=I LEV=M SOURCE="SMS Server" COMP="SMS\_WSUS\_SYNC\_MANAGER"
Software Update Point SSL Check
Sobald WSUS für die Verwendung von TLS/SSL eingerichtet ist, müssen Sie den entsprechenden Software -Update -Punkt auch aktualisieren, um SSL zu benötigen. Öffnen Sie dazu die Konfigurations -Manager -Konsole und navigieren Sie zu Administration> Übersicht> Site -Konfiguration> Server und Site -System -Rollen. Wählen Sie den Site -Systemserver aus, der mit Software -Update -Punkte -Site -Systemrolle installiert ist. Wählen Sie im Band den Eigenschaften aus und aktivieren Sie die Option „Erforderliche SSL -Kommunikation zur WSUS -Server“.
Konfigurieren Sie Software -Aktualisierungspunkte, um SSL zu verwenden
Hinweis: Wenn Sie die Rolle der Software -Aktualisierungspunkte auf einem neuen Server installieren, können Sie die Option SSL -Kommunikation während des Rollenaufbaus aktivieren.
Der WCM.Log zeichnet Folgendes auf, nachdem SUP so eingestellt ist, dass er im SSL -Modus betrieben wird:
Configuration successful. Will wait for 1 minute for any subscription or proxy changes SMS_WSUS_CONFIGURATION_MANAGERSetting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
Kopie
Configuration successful. Will wait for 1 minute for any subscription or proxy changes SMS\_WSUS\_CONFIGURATION\_MANAGER
Setting new configuration state to 2 (WSUS\_CONFIG\_SUCCESS)
Überprüfen
Wenn Sie den Software -Update -Punkt in SSL ändern, erhalten Konfigurationsmanager -Clients die aktualisierte WSUS -URL, wenn sie eine Standortanforderung für einen Software -Update -Punkt stellt.
Die folgenden Tests überprüfen, ob die Clients dem Zertifikat des WSUS -Servers vertrauen, und SimpleAuthwebservice und der Clientwebservice für WSUs funktionieren korrekt.
Öffnen Sie die PowerShell auf dem Client -Computer und führen Sie einen Software -Update -Scan -Zyklus mit dem folgenden Skript aus:
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
Kopie
Invoke-WMIMethod
-
Namespace root\ccm
-
Class SMS\_CLIENT
-
Name TriggerSchedule
"{00000000-0000-0000-0000-000000000113}"
Überprüfen Sie den wuahandler.log auf dem Client -Computer, um die folgenden Einträge anzuzeigen.
Enabling WUA Managed server policy to use server: https://corpcm.prajwal.local:8531
Kopie
Enabling WUA Managed server policy to use server: https://corpcm.prajwal.local:8531
Überprüfen Sie außerdem die Standortservices.log, um zu überprüfen, ob der Kunde die richtige WSUS -URL sieht:
LS Request CorrelationID {60D2E32F-807E-4D28-92E1-3180A73441DD} - WSUS Path='https://corpcm.prajwal.local:8531', Server='CORPCM.PRAJWAL.LOCAL', Version='4', LocalityEx='BOUNDARYGROUP', SUPFallbackIn='0'
Kopie
LS Request CorrelationID {60D2E32F-807E-4D28-92E1-3180A73441DD} - WSUS Path='https://corpcm.prajwal.local:8531', Server='CORPCM.PRAJWAL.LOCAL', Version='4', LocalityEx='BOUNDARYGROUP', SUPFallbackIn='0'
Benötigen Sie noch Hilfe?
Wenn Sie weitere Unterstützung im obigen Artikel benötigen oder andere technische Probleme besprechen möchten, lesen Sie einige dieser Optionen.
Foren
Telegramm
Kontaktieren Sie mich
*️⃣ Quellverknüpfung:
SUP site system role, deploy software updates to clients with SCCM,
require SSL communication to the WSUS server ,
, implementation of PKI certificates for SCCM, setting up an Enterprise Root Certificate Authority, Wcm.log,
Foren
, Telegramm,
Kontaktieren Sie mich
Anwesend