Tutorial: Configuración de un punto de actualización de software para usar TLS/SSL con un certificado PKI

Se aplica a: Configuration Manager (rama actual)

La configuración de servidores de Windows Server Update Services (WSUS) y sus puntos de actualización de software (SUP) correspondientes para usar TLS/SSL puede reducir la capacidad de un posible atacante de poner en peligro de forma remota un cliente y elevar los privilegios. Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. Este artículo le guiará por los pasos necesarios para configurar cada uno de los servidores WSUS y el punto de actualización de software para usar HTTPS. Para obtener más información sobre cómo proteger WSUS, consulte el artículo Secure WSUS with the Secure Sockets Layer Protocol (Proteger WSUS con el protocolo de capa de sockets seguros ) en la documentación de WSUS.

En este tutorial, aprenderá a:

• Obtener un certificado PKI, si es necesario
• Enlace del certificado al sitio web de administración de WSUS
• Configuración de los servicios web wsus para requerir SSL
• Configuración de la aplicación WSUS para usar SSL
• Comprobación de que la conexión de consola de WSUS puede usar SSL
• Configuración del punto de actualización de software para que requiera comunicación SSL con el servidor WSUS
• Comprobación de la funcionalidad con Configuration Manager

Consideraciones y limitaciones

WSUS usa TLS/SSL para autenticar equipos cliente y servidores WSUS de bajada en el servidor WSUS ascendente. WSUS también usa TLS/SSL para cifrar los metadatos de actualización. WSUS no usa TLS/SSL para los archivos de contenido de una actualización. Los archivos de contenido están firmados y el hash del archivo se incluye en los metadatos de la actualización. Antes de que el cliente descargue e instale los archivos, se comprueban tanto la firma digital como el hash. Si se produce un error en una comprobación, no se instalará la actualización.

Tenga en cuenta las siguientes limitaciones al usar TLS/SSL para proteger una implementación de WSUS:

• El uso de TLS/SSL aumenta la carga de trabajo del servidor. Debe esperar una pequeña pérdida de rendimiento al cifrar todos los metadatos que se envían a través de la red.
• Si usa WSUS con una base de datos SQL Server remota, la conexión entre el servidor WSUS y el servidor de base de datos no está protegida por TLS/SSL. Si la conexión de base de datos debe estar protegida, tenga en cuenta las siguientes recomendaciones:
  • Mueva la base de datos WSUS al servidor WSUS.
  • Mueva el servidor de base de datos remoto y el servidor WSUS a una red privada.
  • Implemente la seguridad del protocolo de Internet (IPsec) para ayudar a proteger el tráfico de red.

Al configurar los servidores WSUS y sus puntos de actualización de software para usar TLS/SSL, es posible que desee realizar los cambios en las jerarquías de Configuration Manager grandes. Si decide realizar la fase de estos cambios, comience en la parte inferior de la jerarquía y avance hacia arriba hasta el sitio de administración central.

Requisitos previos

En este tutorial se describe el método más común para obtener un certificado para su uso con Internet Information Services (IIS). Sea cual sea el método que use su organización, asegúrese de que el certificado cumple los requisitos del certificado PKI para un punto de actualización de software Configuration Manager. Al igual que con cualquier certificado, los dispositivos que se comunican con el servidor WSUS deben confiar en la entidad de certificación.

• Un servidor WSUS con el rol de punto de actualización de software instalado
• Compruebe que ha seguido los procedimientos recomendados para deshabilitar el reciclaje y configurar los límites de memoria para WSUS antes de habilitar TLS/SSL.
• Una de las dos opciones siguientes:
  • Un certificado PKI adecuado ya en el almacén de certificados personal del servidor WSUS.
  • La capacidad de solicitar y obtener un certificado PKI adecuado para el servidor WSUS de la entidad de certificación raíz (CA) de empresa.
    • De forma predeterminada, la mayoría de las plantillas de certificado, incluida la plantilla de certificado WebServer, solo se emitirán a los administradores de dominio. Si el usuario que ha iniciado sesión no es un administrador de dominio, tendrá que conceder a su cuenta de usuario el permiso Inscribir en la plantilla de certificado.

Obtener el certificado de la entidad de certificación si es necesario

Si ya tiene un certificado adecuado en el almacén de certificados personal del servidor WSUS, omita esta sección y comience con la sección Enlazar el certificado . Para enviar una solicitud de certificado a la ca interna para instalar un nuevo certificado, siga las instrucciones de esta sección.

1. En el servidor WSUS, abra un símbolo del sistema administrativo y ejecute certlm.msc. La cuenta de usuario debe ser un administrador local para administrar certificados para el equipo local.

   Aparece la herramienta Administrador de certificados para el dispositivo local.

2. Expanda Personal y haga clic con el botón derecho en Certificados.

3. Seleccione Todas las tareas y, a continuación, Solicitar nuevo certificado.

4. Elija Siguiente para comenzar la inscripción de certificados.

5. Elija el tipo de certificado que se va a inscribir. El propósito del certificado es Autenticación de servidor y la plantilla de certificado de Microsoft que se va a usar es Servidor web o una plantilla personalizada que tiene autenticación de servidor especificada como Uso mejorado de claves. Es posible que se le pida información adicional para inscribir el certificado. Normalmente, especificará la siguiente información como mínimo:

   • Nombre común: En la pestaña Asunto , establezca el valor en el FQDN del servidor WSUS.
   • Nombre descriptivo: En la pestaña General , establezca el valor en un nombre descriptivo para ayudarle a identificar el certificado más adelante.

   

6. Seleccione Inscribir yfinalizar para completar la inscripción.

7. Abra el certificado si desea ver detalles al respecto, como la huella digital del certificado.

Sugerencia

Si el servidor WSUS está accesible desde Internet, necesitará el FQDN externo en el asunto o el nombre alternativo del firmante (SAN) en el certificado.

Enlace del certificado al sitio de administración de WSUS

Una vez que tenga el certificado en el almacén de certificados personal del servidor WSUS, conéctelo al sitio de administración de WSUS en IIS.

1. En el servidor WSUS, abra el Administrador de Internet Information Services (IIS).

2. Vaya a Administración de WSUS de sitios>.

3. Seleccione Enlaces en el menú de acciones o haciendo clic con el botón derecho en el sitio.

4. En la ventana Enlaces de sitio , seleccione la línea para https y, a continuación, seleccione Editar....

   • No quite el enlace de sitio HTTP. WSUS usa HTTP para los archivos de contenido de actualización.

5. En la opción Certificado SSL , elija el certificado que se va a enlazar al sitio de administración de WSUS. El nombre descriptivo del certificado se muestra en el menú desplegable. Si no se especificó un nombre descriptivo, se muestra el campo del IssuedTo certificado. Si no está seguro de qué certificado usar, seleccione Ver y compruebe que la huella digital coincide con la que obtuvo.

   

6. Seleccione Aceptar cuando haya terminado y, a continuación, Cerrar para salir de los enlaces de sitio. Mantenga abierto el Administrador de Internet Information Services (IIS) para los pasos siguientes.

Configuración de los servicios web wsus para requerir SSL

1. En el Administrador de IIS en el servidor WSUS, vaya a Administración de WSUS de sitios>.

2. Expanda el sitio de administración de WSUS para ver la lista de servicios web y directorios virtuales para WSUS.

3. Para cada uno de los siguientes servicios web wsus:

   • ApiRemoting30
   • ClientWebService
   • DSSAuthWebService
   • ServerSyncWebService
   • SimpleAuthWebService

   Realice los cambios siguientes:

   1. Seleccione Configuración de SSL.
   2. Habilite la opción Requerir SSL .
   3. Compruebe que la opción Certificados de cliente está establecida en Omitir.
   4. Seleccione Aplicar.

No establezca la configuración ssl en el sitio de administración de WSUS de nivel superior, ya que ciertas funciones, como el contenido, deben usar HTTP.

Configuración de la aplicación WSUS para usar SSL

Una vez que los servicios web se establecen para requerir SSL, es necesario notificar a la aplicación WSUS para que pueda realizar alguna configuración adicional para admitir el cambio.

1. Abra un símbolo del sistema de administración en el servidor WSUS. La cuenta de usuario que ejecuta este comando debe ser miembro del grupo Administradores de WSUS o del grupo administradores local.

2. Cambie el directorio a la carpeta tools para WSUS:

   cd "c:\Program Files\Update Services\Tools"

3. Configure WSUS para usar SSL con el siguiente comando:

   WsusUtil.exe configuressl server.contoso.com

   Donde server.contoso.com es el FQDN del servidor WSUS.

4. WsusUtil devuelve la dirección URL del servidor WSUS con el número de puerto especificado al final. El puerto será 8531 (valor predeterminado) o 443. Compruebe que la dirección URL devuelta es la que esperaba. Si se ha escrito algo mal, puede volver a ejecutar el comando.

   

Sugerencia

Si el servidor WSUS está accesible desde Internet, especifique el FQDN externo al ejecutar WsusUtil.exe configuressl.

Comprobación de que la consola de WSUS se puede conectar mediante SSL

La consola de WSUS usa el servicio web ApiRemoting30 para la conexión. El punto de actualización de software (SUP) de Configuration Manager también usa este mismo servicio web para dirigir a WSUS a realizar ciertas acciones como:

• Inicio de una sincronización de actualizaciones de software
• Establecer el servidor ascendente adecuado para WSUS, que depende de dónde reside el sitio del SUP en la jerarquía de Configuration Manager
• Agregar o quitar productos y clasificaciones para la sincronización del servidor WSUS de nivel superior de la jerarquía.
• Eliminación de actualizaciones expiradas

Abra la consola de WSUS para comprobar que puede usar una conexión SSL al servicio web ApiRemoting30 del servidor WSUS. Probaremos algunos de los otros servicios web más adelante.

1. Abra la consola de WSUS y seleccione ActionConnect to Server (Conectar> con el servidor).

2. Escriba el FQDN del servidor WSUS para la opción Nombre del servidor .

3. Elija el número de puerto devuelto en la dirección URL de WSUSutil.

4. La opción Usar capa de sockets seguros (SSL) para conectarse a este servidor se habilita automáticamente cuando se elige 8531 (valor predeterminado) o 443.

   

5. Si el servidor de sitio de Configuration Manager es remoto desde el punto de actualización de software, inicie la consola de WSUS desde el servidor de sitio y compruebe que la consola de WSUS se puede conectar a través de SSL.

   • Si la consola remota de WSUS no se puede conectar, es probable que indique un problema con la confianza en el certificado, la resolución de nombres o el puerto bloqueado.

Configuración del punto de actualización de software para que requiera comunicación SSL con el servidor WSUS

Una vez que WSUS esté configurado para usar TLS/SSL, deberá actualizar el punto de actualización de software Configuration Manager correspondiente para que también requiera SSL. Al realizar este cambio, Configuration Manager hará lo siguiente:

• Compruebe que puede configurar el servidor WSUS para el punto de actualización de software.
• Indique a los clientes que usen el puerto SSL cuando se les indique que examinen en este servidor WSUS.

Para configurar el punto de actualización de software para que requiera comunicación SSL con el servidor WSUS, siga estos pasos:

1. Abra la consola Configuration Manager y conéctese al sitio de administración central o al servidor de sitio principal para el punto de actualización de software que necesita editar.

2. Vaya a Administración>Información general Servidores>de configuración de>sitio y Roles de sistema de sitio.

3. Seleccione el servidor de sistema de sitio donde está instalado WSUS y, a continuación, seleccione el rol de sistema de sitio de punto de actualización de software.

4. En la cinta de opciones, elija Propiedades.

5. Habilite la opción Requerir comunicación SSL con el servidor WSUS .

   

6. En WCM.log del sitio, verá las siguientes entradas al aplicar el cambio:

   SCF change notification triggered.
   Populating config from SCF
   Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
   ...
   Attempting connection to local WSUS server
   Successfully connected to local WSUS server
   ...
   Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
   

Se han editado ejemplos de archivos de registro para quitar información innecesaria para este escenario.

Comprobación de la funcionalidad con Configuration Manager

Comprobación de que el servidor de sitio puede sincronizar actualizaciones

1. Conecte la consola de Configuration Manager al sitio de nivel superior.

2. Vaya a Softwarede información general> de la biblioteca> desoftware Novedades>Todos los Novedades de software.

3. En la cinta de opciones, seleccione Synchronize Software Novedades (Sincronizar software Novedades).

4. Seleccione Sí en la notificación que le pregunta si desea iniciar una sincronización en todo el sitio para las actualizaciones de software.

   • Desde que cambió la configuración de WSUS, se producirá una sincronización de actualizaciones de software completa en lugar de una sincronización diferencial.

5. Abra wsyncmgr.log para el sitio. Si va a supervisar un sitio secundario, tendrá que esperar a que el sitio primario finalice primero la sincronización. Compruebe que el servidor se sincroniza correctamente revisando el registro de entradas similares a las siguientes:

   Starting Sync
   ...
   Full sync required due to changes in main WSUS server location.
   ...
   Found active SUP SERVER.CONTOSO.COM from SCF File.
   ...
   https://SERVER.CONTOSO.COM:8531
   ...
   Done synchronizing WSUS Server SERVER.CONTOSO.COM
   ...
   sync: Starting SMS database synchronization
   ...
   Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
   

Comprobación de que un cliente puede buscar actualizaciones

Al cambiar el punto de actualización de software para requerir SSL, Configuration Manager clientes reciben la dirección URL de WSUS actualizada cuando realiza una solicitud de ubicación para un punto de actualización de software. Al probar un cliente, podemos:

• Determine si el cliente confía en el certificado del servidor WSUS.
• Si SimpleAuthWebService y ClientWebService para WSUS son funcionales.
• Que el directorio virtual de contenido de WSUS es funcional, si el cliente ha tenido que obtener un CLUF durante el examen

1. Identifique un cliente que examina el punto de actualización de software que ha cambiado recientemente para usar TLS/SSL. Use Ejecutar scripts con el siguiente script de PowerShell si necesita ayuda para identificar un cliente:

   $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
   $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
   Write-Host "LastGoodSUP- $last"
   Write-Host "CurrentSUP- $current"
   

   Sugerencia

   Abra este script en el centro de comunidad. Para obtener más información, consulte Vínculos directos a elementos del centro de la comunidad.

2. Ejecute un ciclo de examen de actualización de software en el cliente de prueba. Puede forzar un examen con el siguiente script de PowerShell:

   Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
   

   Sugerencia

   Abra este script en el centro de comunidad. Para obtener más información, consulte Vínculos directos a elementos del centro de la comunidad.

3. Revise el archivo ScanAgent.log del cliente para comprobar que se ha recibido el mensaje para examinar el punto de actualización de software.

   Message received: '<?xml version='1.0' ?>
   <UpdateSourceMessage MessageType='ScanByUpdateSource'>
      <ForceScan>TRUE</ForceScan>
      <UpdateSourceIDs>
    		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
      </UpdateSourceIDs>
    </UpdateSourceMessage>'
   

4. Revise LocationServices.log para comprobar que el cliente ve la dirección URL de WSUS correcta. LocationServices.log

   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
   ...
   <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
   ...
   </WSUSLocationReply>
   

5. Revise WUAHandler.log para comprobar que el cliente puede examinar correctamente.

   Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
   ...
   Successfully completed scan.
   

Anclaje de certificados TLS para dispositivos que examinan servidores WSUS configurados con HTTPS

(Introducido en 2103)

A partir de Configuration Manager 2103, puede aumentar aún más la seguridad de los exámenes HTTPS en WSUS mediante la aplicación del anclaje de certificados. Para habilitar completamente este comportamiento, agregue certificados para los servidores WSUS al nuevo WindowsServerUpdateServices almacén de certificados en los clientes y asegúrese de que el anclaje de certificados está habilitado a través de la configuración de cliente. Para obtener más información sobre los cambios en el agente de Windows Update, consulte Examen de cambios y certificados que agregan seguridad para dispositivos Windows mediante WSUS para las actualizaciones Microsoft Tech Community.

Requisitos previos para aplicar el anclaje de certificados TLS para Windows Update cliente

• Configuration Manager versión 2103
• Asegúrese de que los servidores WSUS y los puntos de actualización de software están configurados para usar TLS/SSL.
• Agregar los certificados de los servidores WSUS al nuevo WindowsServerUpdateServices almacén de certificados en los clientes
  • Cuando se usa el anclaje de certificados con una puerta de enlace de administración en la nube (CMG), el WindowsServerUpdateServices almacén necesita el certificado de CMG. Si los clientes cambian de Internet a VPN, los certificados de servidor CMG y WSUS son necesarios en el WindowsServerUpdateServices almacén.

Nota:

Los exámenes de actualizaciones de software para dispositivos seguirán ejecutándose correctamente con el valor predeterminado de Sí para aplicar el anclaje de certificados TLS para Windows Update cliente para detectar actualizaciones. Esto incluye exámenes a través de HTTP y HTTPS. El anclaje de certificados no surte efecto hasta que un certificado esté en el almacén del WindowsServerUpdateServices cliente y el servidor WSUS esté configurado para usar TLS/SSL.

Habilitación o deshabilitación del anclaje de certificados TLS para dispositivos que examinan servidores WSUS configurados con HTTPS

1. En la consola de Configuration Manager, vaya aConfiguración del clientede administración>.
2. Elija la configuración de cliente predeterminada o un conjunto personalizado de configuración de cliente y, a continuación, seleccione Propiedades en la cinta de opciones.
3. Seleccione la pestaña Software Novedades en la configuración de cliente.
4. Elija una de las siguientes opciones para aplicar el anclaje de certificados TLS para Windows Update cliente para detectar actualizaciones:
   • No: No habilite la aplicación del anclaje de certificados TLS para el examen de WSUS.
   • Sí: permite la aplicación del anclaje de certificados TLS para dispositivos durante el examen de WSUS (valor predeterminado)
5. Compruebe que los clientes pueden buscar actualizaciones.

Siguientes pasos

Implementar actualizaciones de software