Správa certifikátů a zabezpečení pro Aktualizace Publisher

Platí pro: Configuration Manager (Current Branch)

Následující postupy vám můžou pomoct nakonfigurovat úložiště certifikátů na aktualizačním serveru, nakonfigurovat certifikát podepsaný svým držitelem v klientském počítači a nakonfigurovat Zásady skupiny tak, aby agent služba Windows Update na počítačích mohl vyhledávat publikované aktualizace.

Konfigurace úložiště certifikátů na aktualizačním serveru

Aktualizace Publisher používá k podepsání aktualizací v katalogech, které publikuje, digitální certifikát. Před publikováním katalogu na server aktualizací musí být tento certifikát v úložišti certifikátů na serveru aktualizací a v úložišti certifikátů počítače Aktualizace Publisher, pokud je tento počítač vzdálený od serveru aktualizací.

Následující postup je jednou z několika možných metod přidání certifikátu do úložiště certifikátů na aktualizačním serveru.

Konfigurace úložiště certifikátů

1. V počítači, který má přístup k počítači Aktualizace Publisher i k aktualizačnímu serveru, klikněte na Start, klikněte na Spustit, do textového pole zadejte MMC a potom kliknutím na OK otevřete konzolu Microsoft Management Console (MMC).

2. Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Přidat, certifikáty, přidat, vyberte Účet počítače a potom klikněte na Další.

3. Vyberte Jiný počítač, zadejte název aktualizačního serveru nebo klikněte na Procházet a vyhledejte počítač serveru aktualizací, klikněte na Dokončit, klikněte na Zavřít a potom klikněte na OK.

4. Rozbalte certifikáty (název serveru aktualizace), rozbalte WSUS a klikněte na Certifikáty.

5. V podokně výsledků klikněte pravým tlačítkem na požadovaný certifikát, klikněte na Všechny úkoly a potom klikněte na Exportovat.

6. V Průvodci exportem certifikátu pomocí výchozího nastavení vytvořte soubor exportu s názvem a umístěním zadaným v průvodci. Než budete pokračovat k dalšímu kroku, musí být tento soubor dostupný pro aktualizační server.

7. Klikněte pravým tlačítkem na Důvěryhodní vydavatelé, klikněte na Všechny úkoly a potom klikněte na Importovat. Dokončete Průvodce importem certifikátu pomocí exportovaného souboru z kroku 6.

8. Pokud se používá certifikát podepsaný svým držitelem, například vydavatelé wsus podepsané svým držitelem, klikněte pravým tlačítkem na Důvěryhodné kořenové certifikační autority, klikněte na Všechny úlohy a potom klikněte na Importovat. Dokončete Průvodce importem certifikátu pomocí exportovaného souboru z kroku 6.

9. Klikněte pravým tlačítkem na Certifikáty (název serveru aktualizace), klikněte na Připojit k jinému počítači, zadejte název počítače Aktualizace Publisheru a klikněte na OK.

10. Pokud je aplikace Aktualizace Publisher vzdálená od serveru aktualizací, opakujte kroky 7 až 9 a importujte certifikát do úložiště certifikátů v počítači Aktualizace Publisher.

Konfigurace certifikátu pro podepisování svým držitelem na klientských počítačích

Na klientských počítačích bude agent služba Windows Update (WUA) vyhledávat aktualizace z katalogu. Tomuto procesu se nepodaří nainstalovat aktualizace, pokud agent nemůže najít digitální certifikát v úložišti Důvěryhodných vydavatelů v místním počítači. Pokud byl k publikování katalogu aktualizací použit certifikát podepsaný svým držitelem, například vydavatelé služby WSUS podepsané svým držitelem, musí být certifikát také v úložišti certifikátů důvěryhodných kořenových certifikačních autorit na místním počítači, aby agent mohl ověřit platnost certifikátu.

Ke konfiguraci certifikátů v klientských počítačích můžete použít jednu z několika metod, například pomocí Zásady skupiny a Průvodce importem certifikátu nebo pomocí nástroje a distribuce softwaru Certutil.

Jako jeden příklad konfigurace podpisového certifikátu na klientských počítačích najdete následující příklad.

Konfigurace certifikátu pro podepisování svým držitelem na klientských počítačích

1. V počítači s přístupem k aktualizačnímu serveru klikněte na start, klikněte na Spustit, do textového pole zadejte MMC a kliknutím na OK otevřete konzolu mmc (Microsoft Management Console).

2. Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Přidat, certifikáty, přidat, vyberte Účet počítače a potom klikněte na Další.

3. Vyberte Jiný počítač, zadejte název aktualizačního serveru nebo klikněte na Procházet a vyhledejte počítač serveru aktualizací, klikněte na Dokončit, klikněte na Zavřít a potom klikněte na OK.

4. Rozbalte certifikáty (název serveru aktualizace), rozbalte WSUS a klikněte na Certifikáty.

5. Klikněte pravým tlačítkem na certifikát v podokně výsledků, klikněte na Všechny úlohy a potom klikněte na Exportovat. Dokončete Průvodce exportem certifikátu pomocí výchozího nastavení a vytvořte soubor certifikátu exportu s názvem a umístěním zadaným v průvodci.

6. Pomocí jedné z následujících metod přidejte certifikát použitý k podepsání katalogu aktualizací do každého klientského počítače, který bude používat wua ke kontrole aktualizací v katalogu. Přidejte certifikát do klientského počítače následujícím způsobem:

   • Certifikáty podepsané svým držitelem: Přidejte certifikát do úložišť certifikátů Důvěryhodných kořenových certifikačních autorit a Důvěryhodných vydavatelů .

   • Certifikáty vydané certifikační autoritou (CA): Přidejte certifikát do úložiště certifikátů důvěryhodných vydavatelů .

   Poznámka

   WuA také zkontroluje, jestli je na místním počítači povolené nastavení Povolit podepsaný obsah z intranetu Zásady skupiny Microsoft umístění služby aktualizace. Toto nastavení zásad musí být povolené, aby služba WUA hledala aktualizace, které byly vytvořeny a publikovány pomocí aplikace Aktualizace Publisher. Další informace o povolení tohoto nastavení Zásady skupiny najdete v tématu Konfigurace Zásady skupiny v klientských počítačích.

Konfigurace Zásady skupiny, aby služba WUA na počítačích mohla vyhledávat publikované aktualizace

Než agent služba Windows Update (WUA) na počítačích vyhledá aktualizace, které byly vytvořeny a publikovány pomocí aplikace Aktualizace Publisher, musí být povolené nastavení zásad, které povolí podepsaný obsah z intranetu Microsoft umístění služby aktualizace. Pokud je nastavení zásad povolené, bude služba WUA přijímat aktualizace přijaté prostřednictvím intranetového umístění, pokud jsou aktualizace podepsané v úložišti certifikátů důvěryhodných vydavatelů na místním počítači. Existuje několik metod konfigurace Zásady skupiny na počítačích v prostředí.

Pro počítače, které nejsou v doméně, je možné nakonfigurovat nastavení klíče registru, které umožňuje podepsaný obsah z intranetu Microsoft umístění služby Update.

Následující postupy obsahují základní kroky, které lze použít ke konfiguraci Zásady skupiny pro počítače v doméně a hodnoty klíče registru v počítačích, které nejsou v doméně.

Konfigurace Zásady skupiny tak, aby služba WUA mohla vyhledávat publikované aktualizace

1. Otevřete modul snap-in konzoly MMC (Zásady skupiny Object Editor Microsoft Management Console) s uživatelem, který má příslušná práva zabezpečení ke konfiguraci Zásady skupiny.

2. Klikněte na Procházet a vyberte doménu, organizační jednotky nebo objekty zásad skupiny propojené s lokalitou, kde se nakonfigurovaná Zásady skupiny rozšíří do požadovaných klientských počítačů. Klikněte na OK, klikněte na Dokončit, na Zavřít a potom na OK.

3. Rozbalte vybrané nastavení zásad ve stromu konzoly, rozbalte Položku Konfigurace počítače, šablony pro správu, součásti systému Windows a potom klikněte na služba Windows Update.

4. V podokně výsledků klikněte pravým tlačítkem na Povolit podepsaný obsah z intranetu Microsoft umístění služby aktualizace, klikněte na Vlastnosti, na Povoleno a potom klikněte na OK.