Administración de certificados y seguridad para Novedades Publisher

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Los procedimientos siguientes pueden ayudarle a configurar el almacén de certificados en el servidor de actualizaciones, configurar un certificado de firma automática en el equipo cliente y configurar el directiva de grupo para permitir que el agente de Windows Update en los equipos busque actualizaciones publicadas.

Configuración del almacén de certificados en el servidor de actualizaciones

Novedades Publisher usa un certificado digital para firmar las actualizaciones en los catálogos que publica. Antes de que se pueda publicar un catálogo en el servidor de actualizaciones, ese certificado debe estar en el almacén de certificados en el servidor de actualizaciones y en el almacén de certificados del equipo del publicador de Novedades si ese equipo es remoto desde el servidor de actualizaciones.

El siguiente procedimiento es uno de los varios métodos posibles para agregar el certificado al almacén de certificados en el servidor de actualizaciones.

Para configurar el almacén de certificados

  1. En un equipo que puede acceder tanto al equipo Novedades Publisher como al servidor de actualizaciones, haga clic en Inicio, haga clic en Ejecutar, escriba MMC en el cuadro de texto y, a continuación, haga clic en Aceptar para abrir la consola de administración de Microsoft (MMC).

  2. Haga clic en Archivo, haga clic en Agregar o quitar complemento, haga clic en Agregar, en Certificados, en Agregar, seleccione Cuenta de equipoy, a continuación, haga clic en Siguiente.

  3. Seleccione Otro equipo, escriba el nombre del servidor de actualizaciones o haga clic en Examinar para buscar el equipo del servidor de actualizaciones, haga clic en Finalizar, en Cerrary, a continuación, en Aceptar.

  4. Expanda Certificados (actualizar el nombre del servidor), expanda WSUS y, a continuación, haga clic en Certificados.

  5. En el panel de resultados, haga clic con el botón derecho en el certificado deseado, haga clic en Todas las tareasy, a continuación, haga clic en Exportar.

  6. En el Asistente para exportación de certificados, use la configuración predeterminada para crear un archivo de exportación con el nombre y la ubicación especificados en el asistente. Este archivo debe estar disponible para el servidor de actualizaciones antes de continuar con el paso siguiente.

  7. Haga clic con el botón derecho en Publicadores de confianza, haga clic en Todas las tareasy, a continuación, haga clic en Importar. Complete el Asistente para importación de certificados con el archivo exportado del paso 6.

  8. Si se usa un certificado autofirmado, como publicadores wsusos autofirmados, haga clic con el botón derecho en Entidades de certificación raíz de confianza, haga clic en Todas las tareasy, a continuación, haga clic en Importar. Complete el Asistente para importación de certificados con el archivo exportado del paso 6.

  9. Haga clic con el botón derecho en Certificados (actualizar nombre del servidor), haga clic en Conectar a otro equipo, escriba el nombre del equipo del publicador Novedades y haga clic en Aceptar.

  10. Si Novedades publisher es remoto desde el servidor de actualizaciones, repita los pasos del 7 al 9 para importar el certificado al almacén de certificados en el equipo del publicador de Novedades.

Configuración de un certificado de autofirmación en equipos cliente

En los equipos cliente, el agente de Windows Update (WUA) buscará las actualizaciones del catálogo. Este proceso no podrá instalar las actualizaciones cuando el agente no pueda localizar ese certificado digital en el almacén de publicadores de confianza en el equipo local. Si se usó un certificado autofirmado para publicar el catálogo de actualizaciones, como publicadores de WSUS autofirmados, el certificado también debe estar en el almacén de certificados entidades de certificación raíz de confianza del equipo local para que el agente pueda comprobar la validez del certificado.

Puede usar uno de varios métodos para configurar certificados en equipos cliente, como usar directiva de grupo y el Asistente para importación de certificados o mediante la herramienta Certutil y la distribución de software.

A continuación se proporciona un ejemplo de cómo configurar el certificado de firma en los equipos cliente.

Para configurar un certificado de firma automática en equipos cliente

  1. En un equipo con acceso al servidor de actualizaciones, haga clic en Inicio, en Ejecutar, escriba MMC en el cuadro de texto y, a continuación, haga clic en Aceptar para abrir la consola de administración de Microsoft (MMC).

  2. Haga clic en Archivo, haga clic en Agregar o quitar complemento, haga clic en Agregar, en Certificados, en Agregar, seleccione Cuenta de equipoy, a continuación, haga clic en Siguiente.

  3. Seleccione Otro equipo, escriba el nombre del servidor de actualizaciones o haga clic en Examinar para buscar el equipo del servidor de actualizaciones, haga clic en Finalizar, en Cerrary, a continuación, en Aceptar.

  4. Expanda Certificados (actualizar el nombre del servidor), expanda WSUS y, a continuación, haga clic en Certificados.

  5. Haga clic con el botón derecho en el certificado en el panel de resultados, haga clic en Todas las tareasy, a continuación, haga clic en Exportar. Complete el Asistente para exportación de certificados con la configuración predeterminada para crear un archivo de certificado de exportación con el nombre y la ubicación especificados en el asistente.

  6. Use uno de los métodos siguientes para agregar el certificado usado para firmar el catálogo de actualizaciones en cada equipo cliente que usará WUA para buscar las actualizaciones en el catálogo. Agregue el certificado en el equipo cliente de la siguiente manera:

    • Para certificados autofirmados: agregue el certificado a los almacenes de certificados Entidades de certificación raíz de confianza y Editores de confianza .

    • Para certificados emitidos por entidad de certificación (CA): agregue el certificado al almacén de certificados de publicadores de confianza .

    Nota:

    Wua también comprueba si la opción Permitir contenido firmado desde la intranet Microsoft actualizar la ubicación del servicio directiva de grupo está habilitada en el equipo local. Esta configuración de directiva debe estar habilitada para que WUA busque las actualizaciones que se crearon y publicaron con Novedades Publisher. Para obtener más información sobre cómo habilitar esta configuración de directiva de grupo, consulte Configuración de la directiva de grupo en equipos cliente.

Configuración de directiva de grupo para permitir que WUA en equipos busque actualizaciones publicadas

Antes de que el Agente de Windows Update (WUA) en los equipos busque actualizaciones que se crearon y publicaron con Novedades Publisher, se debe habilitar una configuración de directiva para permitir el contenido firmado desde una intranet Microsoft ubicación del servicio de actualización. Cuando la configuración de directiva está habilitada, WUA aceptará las actualizaciones recibidas a través de una ubicación de intranet si las actualizaciones están firmadas en el almacén de certificados editores de confianza del equipo local. Hay varios métodos para configurar directiva de grupo en equipos del entorno.

Para los equipos que no están en el dominio, se puede configurar una configuración de clave del Registro que permite el contenido firmado desde una intranet Microsoft ubicación del servicio Update.

Los procedimientos siguientes proporcionan los pasos básicos que se pueden usar para configurar directiva de grupo para equipos del dominio y un valor de clave del Registro en equipos que no están en el dominio.

Para configurar directiva de grupo para permitir que WUA busque actualizaciones publicadas

  1. Abra el complemento directiva de grupo Editor de objetos Microsoft Management Console (MMC) con un usuario que tenga los derechos de seguridad adecuados para configurar directiva de grupo.

  2. Haga clic en Examinar y seleccione el dominio, la unidad organizativa o los GPO vinculados al sitio donde se propagará el directiva de grupo configurado a los equipos cliente deseados. Haga clic en Aceptar, en Finalizar, en Cerrary, a continuación, en Aceptar.

  3. Expanda la configuración de directiva seleccionada en el árbol de consola, expanda Configuración del equipo, Plantillas administrativas, Componentes de Windows y, a continuación, haga clic en Windows Update.

  4. En el panel de resultados, haga clic con el botón derecho en Permitir contenido firmado desde la intranet Microsoft actualizar la ubicación del servicio, haga clic en Propiedades, haga clic en Habilitadoy, a continuación, haga clic en Aceptar.