SCCMでSSLを使用するようにソフトウェア更新ポイントを構成

このガイドでは、SCCMでSSLを使用するようにソフトウェアアップデートポイントを構成する方法を紹介します。 WSUSサーバーとそれに関連するSUPサーバーをSSLを使用するようにセットアップすると、クライアントシステムを侵害したり、特権エスカレーションにつながる可能性のあるリモート攻撃のリスクを最小限に抑えることにより、セキュリティを強化します。
構成マネージャーでは、SUPサイトシステムの役割は、WSUSロールがインストールされているサーバーに常にインストールされます。ソフトウェア更新ポイント(SUP)の役割は、WSUSと統合され、製品カテゴリ、更新分類、サポート言語などの同期設定を管理します。最終目標は、SCCMのクライアントにソフトウェアの更新を展開することです。
リモートサーバーでWSUを実行している場合、SSLを有効にしてトラフィックを暗号化することにより、SCCMとリモートWSUSサーバー間のトラフィックを保護できます。要するに、WSUSサーバーへのSSL通信が必要になるように、ソフトウェアアップデートポイントを構成します。
パッチでサードパーティのアプリケーションをインストールして更新する
ガイドの1つで、SCCMインフラストラクチャのPKI証明書の実装について説明しました。 PKI証明書をまだ構成していない場合、これらのガイドはあなたを支援し、組織のエンタープライズルート認証局を設定するためのインストールプロセスも含まれます。
前提条件
SSLでSUPをセットアップするために、次の要件が整っていることを確認してください。
1.ソフトウェア更新ポイントロールがインストールされているWSUSサーバー。
2。すべてのWSUSサーバーを含むADのセキュリティグループ。
3.証明書を生成するために認証局に必要なアクセス。
4.作業PKI証明書は、すでにWSUSサーバーの個人証明書ストアにあります。そうでない場合は、このガイドでカバーされている手順を使用して作成できます。
5.エンタープライズルート証明書局(CA)からWSUSサーバーの適切なPKI証明書を要求して取得する機能。
- SCCMの完全な管理者の役割許可。
前提条件を通過した後、SCCMでSSLを使用するようにソフトウェア更新ポイントを構成する手順を進めましょう。このプロセスには、WSUS用のWebサーバー証明書テンプレートの作成、SUP(WSUS)サーバーの証明書の登録、最後にSSLモードで動作するSUPのセットアップが含まれます。プロセス全体を個別のステップに分解し、簡単に従うことができます。
ステップ1:SUP/WSUのSSL証明書テンプレートを作成します
WSUS/SUPサーバーのSSL通信を有効にするには、証明書当局内から生成および発行する必要があります。証明書当局を起動し、証明書テンプレートを右クリックし、管理を選択します。
SUP/WSUのSSL証明書テンプレートを作成します
証明書テンプレートコンソールで、Webサーバーを右クリックして、複製テンプレートを選択します。
Webサーバー - 複製テンプレート
証明書テンプレートの一般的なタブで、テンプレートの表示名を指定し、証明書の有効期間を設定します。
テンプレート名と有効性を構成します
互換性タブで、次の互換性の選択が有効になっていることを確認してください。
*認証機関:Windows Server 2003
*証明書の受信者:Windows XP/Server 2003
適用をクリックします。
SSL証明書の互換性
リクエスト処理タブを選択し、秘密キーのエクスポートを許可するチェックボックスを選択します。
証明書リクエスト処理
セキュリティタブに移動すると、Enterprise Admins Groupの登録権限を削除できます。変更を行うときは、適用をクリックします。
セットアップSUP SSL証明書セキュリティ権限
セキュリティタブに移動し、追加をクリックし、WSUS/SUPサーバーに関連付けられているグループを選択し、登録を割り当てて、このグループに許可を読み取ります。 適用をクリックしてOK。
証明書テンプレートコンソールを閉じます。
セットアップSUP SSL証明書アクセス許可
ステップ2:証明書テンプレートを発行します
前のステップでSUP/WSUS用に構成された証明書テンプレートが発行される準備ができました。 WSUSサーバーに登録する前に発行する必要があります。 Certifical Authority Consoleで、証明書テンプレートを右クリックして、発行する証明書テンプレートを選択します。
WSUS SUP証明書テンプレートを発行します
次に、ステップ1で作成したWSUS SSL証明書テンプレートを選択します。OKをクリックします。
WSUS SUP証明書テンプレートを発行します
ステップ3:SUP/WSUSサーバーでSSL証明書をリクエストと登録
このステップでは、WSUS/SUPロールを実行しているサーバーでSSL証明書をリクエストする方法を紹介します。 WSUS/SUPサーバーにサインインし、CERTLM.MSCコマンドを実行して証明書コンソールを起動します。証明書コンソールで、個人>証明書に移動します。右クリックして新しい証明書リクエストを選択します。
SUP/WSUSサーバーでSSL証明書をリクエストします
これで、証明書の登録プロセスを実行します。 リクエスト証明書ウィンドウで、WSUS/SUP用に作成したSSL証明書を選択し、この証明書に登録するには詳細情報が必要です。
選択WSUS Webサーバー証明書を選択します
証明書のプロパティウィンドウで、件名タブに移動します。代替名セクション内で、型をDNSとして選択し、WSUS/SUPサーバーのFQDNを入力します。 追加ボタンをクリックして、DNSの下のエントリを表示します。 適用をクリックします。
WSUS Webサーバー証明書を構成します
一般的なタブタブに切り替えて、値を説明名に設定して、後で証明書を特定するのに役立ちます。 OKをクリックして適用します。
証明書のフレンドリー名を指定します
登録を選択してから完了して登録を完了します。証明書は現在、WSUSサーバーの個人証明書ストアにあります。
WSUS SUPサーバーのSSL証明書の登録
ステップ4:SSL証明書をWSUS管理サイトにバインドする
WSUSサーバーの個人証明書ストアにSSL証明書を取得したら、次のステップはIISのWSUS管理サイトにバインドすることです。 WSUのIISバインディングを構成するには、以下の手順に従ってください。
WSUSサーバーでは、オープンインターネット情報サービス(IIS)マネージャー。サイトに移動> WSUS Administration。アクションメニューのいずれかからバインディングを編集するか、サイトを右クリックして選択します。
SSL証明書をWSUS管理サイトにバインドします
サイトBindingsウィンドウで、httpsを選択し、編集をクリックします。 SSL証明書オプションの下で、SSL証明書を選択してWSUS管理サイトにバインドします。証明書のフレンドリーな名前は、ドロップダウンメニューに表示されます。
完了したらOKを選択してから、サイトバインディングを終了します。
注:この時点で、HTTPサイトのバインディングを削除しないでください。 WSUSは、更新コンテンツファイルにHTTPを使用します。
WSUSのIISバインディングを構成します
ステップ5:SSLを要求するようにWSUS Webサービスを構成する
このステップでは、WSUSサーバーでホストされているWebサービスのSSL施行を有効にし、すべてのWSUS Webサービス通信がSSLを使用して安全に送信されるようにします。
WSUSサーバーのIISマネージャーで、サイト> WSUS Administrationに移動します。 WSUS管理サイトを拡張して、WSUSのWebサービスと仮想ディレクトリのリストを確認します。
以下のWSUS Webサービスのそれぞれについて、SSL設定に移動し、「SSLが必要」オプションを有効にします。
-
apiremoting30
-
ClientWebservice
-
dsauthwebservice
-
Serversyncwebservice
-
simpleauthwebservice
たとえば、以下のスクリーンショットに示すように、ApireMoting30 Webサービスを選択し、SSL設定を選択します。
SSLを要求するようにWSUS Webサービスを構成します
SSL設定ページで、必要なSSLオプションを有効にします。クライアント証明書が無視するように設定されていることを確認します。 適用を選択します。
SSLを要求するようにWSUS Webサービスを構成します
すべてのWebサービスの上記の手順を完了したら、WSUS管理コンソールを閉じます。
ステップ6:SSLを使用するようにWSUを構成します
SSLを要求するようにWebサービスを構成した後、SSLを使用するようにWSUを構成します。
1。WSUSサーバーで、管理者としてコマンドプロンプトを起動します。
2。WSUSのツールフォルダーにディレクトリを変更します: CD" C:\ Program Files \ Update Services \ Tools "
3.次のコマンドでSSLを使用するようにWSUを構成します(WSUSサーバーのFQDNを入力)
WsusUtil.exe configuressl WSUS_SERVER_FQDN
コピー
WsusUtil.exe configuressl WSUS\_SERVER\_FQDN
上記のコマンドを実行した後、wsusutilが最後に指定されたポート番号を使用してWSUSサーバーのURLを返すことに注意してください。以下の例では、その8531。
SSLを使用するようにWSUを構成します
ステップ7:WSUSコンソールがSSLを使用して接続できることを確認してください
WSUSコンソールは、ApireMoting30 Webサービスを介して接続します。このステップでは、ポート8531を介してWSUSサーバーのApiremoting30 WebサービスへのSSL接続を確立することにより、WSUS管理コンソールの機能を確認する方法を示します。
WSUSコンソールを開き、アクション> サーバーへの接続を選択します。サーバー名オプションについては、WSUSサーバーのFQDNを入力します。ポート番号を8531として選択します。このサーバーオプションに接続するセキュアソケットレイヤー(SSL)の使用は、8531(デフォルト)または443が選択されている場合に自動的に有効になります。
接続ボタンをクリックすると、WSUSとその設定にアクセスできるようになります。ここにエラーが表示されている場合は、ステップ4、5、6に戻り、手順に正しく従っているかどうかを確認してください。
確認WSUSコンソールがSSLを使用して接続できることを確認します
このステップでは、SUPがSSLを使用するように設定された後、サイトサーバーが更新を同期できるかどうかを確認します。 SCCMコンソールでは、ソフトウェアライブラリ>概要>ソフトウェア更新>すべてのソフトウェア更新に移動します。リボンから、ソフトウェアの更新を同期することを選択します。ソフトウェアの更新用にサイト全体の同期を開始するかどうかを尋ねられたら、はいを選択します。
ソフトウェア更新ポイントSSL
- サイトサーバーが更新を同期できることを確認する
サイトのwsyncmgr.logを開くと、以下にリストされている同様のエントリが見つかります。これにより、SUPがSSLを使用するように構成された後、サイトサーバーが更新を正しく同期できることが確認されます。
https://corpcm.prajwal.local:8531 SMS_WSUS_SYNC_MANAGERSynchronizing WSUS server corpcm.prajwal.localDone synchronizing WSUS Server corpcm.prajwal.local SMS_WSUS_SYNC_MANAGERSynchronizing SMS database with WSUS, default server is corpcm.prajwal.localSTATMSG: ID=6705 SEV=I LEV=M SOURCE="SMS Server" COMP="SMS_WSUS_SYNC_MANAGER"
コピー
https://corpcm.prajwal.local:8531 SMS\_WSUS\_SYNC\_MANAGER
Synchronizing WSUS server corpcm.prajwal.local
Done synchronizing WSUS Server corpcm.prajwal.local SMS\_WSUS\_SYNC\_MANAGER
Synchronizing SMS database with WSUS, default server is corpcm.prajwal.local
STATMSG: ID=6705 SEV=I LEV=M SOURCE="SMS Server" COMP="SMS\_WSUS\_SYNC\_MANAGER"
ソフトウェア更新ポイントSSLチェック
WSUSがTLS/SSLを使用するように設定されたら、SSLも必要とするために、対応するソフトウェアアップデートポイントを更新する必要があります。そのために、構成マネージャーコンソールを開き、管理> 概要> サイト構成> サーバーおよびサイトシステムの役割に移動します。ソフトウェア更新ポイントサイトシステムの役割でインストールされたサイトシステムサーバーを選択します。リボンから、プロパティを選択し、「WSUSサーバーへのSSL通信が必要」オプションを有効にします。
SSLを使用するためにソフトウェア更新ポイントを構成します
注:新しいサーバーにソフトウェア更新ポイントロールをインストールしている場合、ロールセットアップ中にSSL通信オプションを有効にすることができます。
wcm.logは、SUPがSSLモードで動作するように設定された後、以下を記録します。
Configuration successful. Will wait for 1 minute for any subscription or proxy changes SMS_WSUS_CONFIGURATION_MANAGERSetting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
コピー
Configuration successful. Will wait for 1 minute for any subscription or proxy changes SMS\_WSUS\_CONFIGURATION\_MANAGER
Setting new configuration state to 2 (WSUS\_CONFIG\_SUCCESS)
レビューwcm.logソフトウェア更新ポイントのSSLを確認する
ソフトウェアの更新ポイントを変更してSSLを要求すると、Configuration Managerクライアントがソフトウェアの更新ポイントのロケーションリクエストを行うと、更新されたWSUS URLを受信します。
以下のテストでは、クライアントがWSUSサーバーの証明書を信頼し、WSUSのClientWebserviceが正しく機能しているかどうかを確認します。
クライアントコンピューターでPowerShellを開き、以下のスクリプトを使用してソフトウェアアップデートスキャンサイクルを実行します。
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
コピー
Invoke-WMIMethod
-
Namespace root\ccm
-
Class SMS\_CLIENT
-
Name TriggerSchedule
"{00000000-0000-0000-0000-000000000113}"
クライアントコンピューターのwuahandler.logを確認して、以下のエントリを確認します。
Enabling WUA Managed server policy to use server: https://corpcm.prajwal.local:8531
コピー
Enabling WUA Managed server policy to use server: https://corpcm.prajwal.local:8531
さらに、locationServices.logを確認して、クライアントが正しいWSUS URLを確認していることを確認します。
LS Request CorrelationID {60D2E32F-807E-4D28-92E1-3180A73441DD} - WSUS Path='https://corpcm.prajwal.local:8531', Server='CORPCM.PRAJWAL.LOCAL', Version='4', LocalityEx='BOUNDARYGROUP', SUPFallbackIn='0'
コピー
LS Request CorrelationID {60D2E32F-807E-4D28-92E1-3180A73441DD} - WSUS Path='https://corpcm.prajwal.local:8531', Server='CORPCM.PRAJWAL.LOCAL', Version='4', LocalityEx='BOUNDARYGROUP', SUPFallbackIn='0'
まだ助けが必要ですか?
上記の記事でさらに支援が必要な場合、または他の技術的な問題について話し合いたい場合は、これらのオプションの一部をご覧ください。
フォーラム
電報
私に連絡してください
*÷ソースリンク:
SUPサイトシステムの役割、SCCMを持つクライアントにソフトウェアの更新を展開し、 WSUSサーバーへのSSL通信が必要、701578848488488848888488、sccm、scccの実施wcm.log、
フォーラム
、 電報、
私に連絡してください
、