Tutoriel : Configurer un point de mise à jour logicielle pour utiliser TLS/SSL avec un certificat PKI

S’applique à : Configuration Manager (Current Branch)

La configuration de serveurs WSUS (Windows Server Update Services) et de leurs points de mise à jour logicielle correspondants de façon à utiliser le protocole TLS/SSL peut réduire la capacité d’un pirate potentiel à compromettre à distance un client et à élever les privilèges. Pour être certains que les meilleurs protocoles de sécurité sont en place, nous vous recommandons vivement d’utiliser le protocole TLS/SSL afin d’aider à sécuriser votre infrastructure de mise à jour logicielle. Cet article vous guide tout au long des étapes nécessaires à la configuration de chacun de vos serveurs WSUS et du point de mise à jour logicielle de façon à utiliser le protocole HTTPS. Pour plus d’informations sur la sécurisation des services WSUS, consultez l’article Sécuriser WSUS avec le protocole SSL dans la documentation WSUS.

Ce didacticiel présente les procédures suivantes :

  • Obtenir un certificat PKI si nécessaire
  • Lier le certificat au site web d’administration WSUS
  • Configurer les services web WSUS pour exiger SSL
  • Configurer l’application WSUS pour utiliser SSL
  • Vérifier que la connexion à la console WSUS peut utiliser SSL
  • Configurer le point de mise à jour logicielle pour exiger des communications SSL avec le serveur WSUS
  • Vérifier la fonctionnalité avec Configuration Manager

Considérations et limitations

WSUS utilise TLS/SSL pour authentifier les ordinateurs clients et les serveurs WSUS en aval auprès du serveur WSUS en amont. WSUS utilise également TLS/SSL pour chiffrer les métadonnées de mise à jour. WSUS n’utilise pas TLS/SSL pour les fichiers de contenu d’une mise à jour. Les fichiers de contenu sont signés, et le hachage du fichier est inclus dans les métadonnées de la mise à jour. Avant que les fichiers ne soient téléchargés et installés par le client, la signature numérique et le hachage sont vérifiés. Si l’une des vérifications échoue, la mise à jour n’est pas installée.

Tenez compte des limitations suivantes lorsque vous utilisez TLS/SSL pour sécuriser un déploiement WSUS :

  • L’utilisation de TLS/SSL augmente la charge de travail du serveur. Vous devez vous attendre à une faible perte de performances due au chiffrement de toutes les métadonnées envoyées sur le réseau.
  • Si vous utilisez WSUS avec une base de données SQL Server distante, la connexion entre le serveur WSUS et le serveur de base de données n’est pas sécurisée par TLS/SSL. Si la connexion à la base de données doit être sécurisée, tenez compte des recommandations suivantes :
    • Déplacez la base de données WSUS sur le serveur WSUS.
    • Déplacez le serveur de base de données distant et le serveur WSUS sur un réseau privé.
    • Déployez le protocole IPsec (Internet Protocol security) pour sécuriser le trafic réseau.

Quand vous configurez des serveurs WSUS et leurs points de mise à jour logicielle pour utiliser TLS/SSL, vous souhaiterez peut-être prendre en compte les modifications pour les hiérarchies Configuration Manager volumineuses. Dans ce cas, commencez au bas de la hiérarchie et remontez jusqu’au site d’administration centrale.

Prérequis

Ce tutoriel décrit la méthode la plus courante pour obtenir un certificat à utiliser avec Internet Information Services (IIS). Quelle que soit la méthode utilisée par votre organisation, assurez-vous que le certificat répond aux exigences de certificat PKI pour un point de mise à jour logicielle Configuration Manager. Comme pour n’importe quel certificat, l’autorité de certification doit être approuvée par les appareils communiquant avec le serveur WSUS.

  • Un serveur WSUS sur lequel est installé le rôle de point de mise à jour logicielle
  • Vérifiez que vous avez respecté les bonnes pratiques en matière de désactivation du recyclage et de la configuration des limites de mémoire pour WSUS avant d’activer TLS/SSL.
  • Utilisez l’une des deux options suivantes :
    • Un certificat PKI approprié déjà présent dans le magasin de certificats Personnel du serveur WSUS.
    • La capacité à demander et à obtenir un certificat PKI approprié pour le serveur WSUS auprès de votre autorité de certification racine d’entreprise.
      • Par défaut, la plupart des modèles de certificats, y compris le modèle de certificat WebServer, ne sont émis que pour les administrateurs de domaine. Si l’utilisateur connecté n’est pas administrateur de domaine, son compte d’utilisateur doit disposer de l’autorisation Inscrire sur le modèle de certificat.

Obtenir le certificat auprès de l’autorité de certification si nécessaire

Si vous avez déjà un certificat approprié dans le magasin de certificats Personnel du serveur WSUS, ignorez cette section et commencez par la section Lier le certificat. Pour envoyer une demande de certificat à votre autorité de certification interne en vue d’installer un nouveau certificat, suivez les instructions de cette section.

  1. À partir du serveur WSUS, ouvrez une invite de commandes d’administration et exécutez certlm.msc. Votre compte d’utilisateur doit être un administrateur local pour gérer les certificats de l’ordinateur local.

    L’outil Gestionnaire de certificats pour l’appareil local s’affiche.

  2. Développez Personnel et cliquez avec le bouton droit sur Certificats.

  3. Sélectionnez Toutes les tâches, puis Demander un nouveau certificat.

  4. Choisissez Suivant pour commencer l’inscription du certificat.

  5. Choisissez le type de certificat à inscrire. Le rôle du certificat est Authentification du serveur et le modèle de certificat Microsoft à utiliser est Serveur web ou un modèle personnalisé qui a Authentification du serveur spécifiée comme Utilisation avancée de la clé. Vous pouvez être invité à fournir des informations supplémentaires pour inscrire le certificat. En règle générale, vous spécifiez au minimum les informations suivantes :

    • Nom commun : sous l’onglet Objet, affectez comme valeur le nom de domaine complet du serveur WSUS.
    • Nom convivial : sous l’onglet Général, affectez comme valeur un nom descriptif pour vous aider à identifier le certificat ultérieurement.

    Fenêtre Propriétés du certificat pour spécifier plus d’informations pour l’inscription

  6. Sélectionnez Inscrire puis Terminer pour terminer l’inscription.

  7. Ouvrez le certificat si vous souhaitez en afficher les détails, tels que son empreinte numérique.

Conseil

Si votre serveur WSUS est accessible sur Internet, vous aurez besoin du nom de domaine complet externe mentionné dans l’Objet ou l’Autre nom de l’objet (SAN) de votre certificat.

Lier le certificat au site d’administration WSUS

Une fois que vous avez le certificat dans le magasin de certificats personnel du serveur WSUS, liez-le au site d’administration WSUS dans IIS.

  1. Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).

  2. Accédez à Sites > Administration WSUS.

  3. Sélectionnez Liaisons dans le menu d’action ou en cliquant avec le bouton droit sur le site.

  4. Dans la fenêtre Liaisons de sites, sélectionnez la ligne correspondant à https, puis sélectionnez Modifier.

    • Ne supprimez pas la liaison de site HTTP. WSUS utilise HTTP pour les fichiers de contenu de mise à jour.
  5. Sous l’option Certificat SSL, choisissez le certificat à lier au site d’administration WSUS. Le nom convivial du certificat est affiché dans le menu déroulant. Si aucun nom convivial n’a été spécifié, le champ IssuedTo du certificat est affiché. Si vous n’êtes pas sûr du certificat à utiliser, sélectionnez Afficher et vérifiez que l’empreinte correspond à celle que vous avez obtenue.

    Fenêtre Modifier la liaison de site avec la sélection de certificat SSL

  6. Sélectionnez OK une fois que vous avez terminé, puis Fermer pour quitter les liaisons de sites. Laissez le Gestionnaire des services Internet (IIS) ouvert pour les étapes suivantes.

Configurer les services web WSUS pour exiger SSL

  1. Dans le Gestionnaire des services Internet sur le serveur WSUS, accédez à Sites > Administration WSUS.

  2. Développez le site d’administration WSUS pour afficher la liste des services web et des répertoires virtuels pour WSUS.

  3. Pour chacun des services web WSUS suivants :

    • ApiRemoting30
    • ClientWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService

    Effectuez les modifications suivantes :

    1. Sélectionnez Paramètres SSL.
    2. Activez l’option Exiger SSL.
    3. Vérifiez que l’option Certificats clients a la valeur Ignorer.
    4. Sélectionnez Appliquer.

Ne définissez pas les paramètres SSL sur le site d’administration WSUS de niveau supérieur, car certaines fonctions, telles que le contenu, doivent utiliser le protocole HTTP.

Configurer l’application WSUS pour utiliser SSL

Une fois que les services web sont configurés pour exiger SSL, l’application WSUS doit être notifiée afin de pouvoir effectuer une configuration supplémentaire pour prendre en charge la modification.

  1. Ouvrez une invite de commandes d’administration sur le serveur WSUS. Le compte d’utilisateur qui exécute cette commande doit être membre du groupe Administrateurs WSUS ou du groupe Administrateurs local.

  2. Accédez au dossier d’outils pour WSUS :

    cd "c:\Program Files\Update Services\Tools"

  3. Configurez WSUS de façon à utiliser SSL avec la commande suivante :

    WsusUtil.exe configuressl server.contoso.com

    server.contoso.com est le nom de domaine complet du serveur WSUS.

  4. WsusUtil retourne l’URL du serveur WSUS avec le numéro de port spécifié à la fin. Le port est 8531 (valeur par défaut) ou 443. Vérifiez que l’URL retournée correspond à ce que vous attendiez. En cas d’erreur de frappe, vous pouvez réexécuter la commande.

    La commande wsusutil configuressl qui retourne l’URL HTTPS pour WSUS

Conseil

Si votre serveur WSUS est accessible sur Internet, spécifiez le nom de domaine complet externe lors de l’exécution de WsusUtil.exe configuressl.

Vérifier que la console WSUS peut se connecter à l’aide de SSL

La console WSUS utilise le service web ApiRemoting30 pour la connexion. Le point de mise à jour logicielle Configuration Manager utilise également ce même service web pour demander à WSUS d’effectuer certaines actions, telles que :

  • Lancement d’une synchronisation de mise à jour logicielle
  • Définition du serveur en amont approprié pour WSUS, qui dépend de l’endroit où se trouve le site du point de mise à jour logicielle dans votre hiérarchie Configuration Manager
  • Ajout ou suppression de produits et de classifications pour la synchronisation à partir du serveur WSUS de niveau supérieur de la hiérarchie
  • Suppression des mises à jour expirées

Ouvrez la console WSUS pour vérifier que vous pouvez utiliser une connexion SSL au service web ApiRemoting30 du serveur WSUS. Nous testerons plus tard certains autres services web.

  1. Ouvrez la console WSUS et sélectionnez Action > Se connecter au serveur.

  2. Entrez le nom de domaine complet du serveur WSUS pour l’option Nom du serveur.

  3. Choisissez le Numéro de port retourné dans l’URL à partir de WSUSutil.

  4. L’option Utiliser SSL (Secure Sockets Layer) pour établir une connexion à ce serveur s’active automatiquement quand vous choisissez 8531 (par défaut) ou 443.

    Se connecter à la console WSUS par le biais du port HTTPS

  5. Si votre serveur de site Configuration Manager est distant du point de mise à jour logicielle, lancez la console WSUS à partir du serveur de site et vérifiez que la console WSUS peut se connecter via SSL.

    • Si la console WSUS distante ne peut pas se connecter, cela indique probablement un problème lié à l’approbation du certificat, à la résolution de noms ou au blocage du port.

Configurer le point de mise à jour logicielle pour exiger des communications SSL avec le serveur WSUS

Une fois que WSUS est configuré pour utiliser TLS/SSL, vous devez mettre à jour le point de mise à jour logicielle Configuration Manager correspondant pour exiger également SSL. Lorsque vous apportez cette modification, Configuration Manager :

  • Vérifie qu’il peut configurer le serveur WSUS pour le point de mise à jour logicielle.
  • Fait en sorte que les clients utilisent le port SSL lorsqu’ils sont invités à analyser ce serveur WSUS.

Pour configurer le point de mise à jour logicielle afin d’exiger des communications SSL avec le serveur WSUS, effectuez les étapes suivantes :

  1. Ouvrez la console Configuration Manager et connectez-vous à votre site d’administration centrale ou au serveur de site principal pour le point de mise à jour logicielle que vous devez modifier.

  2. Accédez à Administration > Vue d’ensemble > Configuration du site > Serveurs et rôles de système de site.

  3. Sélectionnez le serveur de système de site sur lequel WSUS est installé, puis sélectionnez le rôle de système de site du point de mise à jour logicielle.

  4. Dans le ruban, choisissez Propriétés.

  5. Activez l’option Exiger des communications SSL avec le serveur WSUS.

    Propriétés SUP montrant l’option Exiger des communications SSL avec le serveur WSUS

  6. Dans le fichier WCM. log du site, les entrées suivantes s’affichent lorsque vous appliquez la modification :

    SCF change notification triggered.
    Populating config from SCF
    Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
    ...
    Attempting connection to local WSUS server
    Successfully connected to local WSUS server
    ...
    Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
    

Les exemples de fichiers journaux ont été modifiés afin de supprimer les informations inutiles pour ce scénario.

Vérifier la fonctionnalité avec Configuration Manager

Vérifier que le serveur de site peut synchroniser les mises à jour

  1. Connectez la console Configuration Manager au site de niveau supérieur.

  2. Accédez à Bibliothèque de logiciels > Vue d’ensemble > Mises à jour logicielles > Toutes les mises à jour logicielles.

  3. Dans le ruban, sélectionnez Synchroniser les mises à jour logicielles.

  4. Sélectionnez Oui en réponse à la notification qui vous demande si vous souhaitez lancer une synchronisation à l’échelle du site pour les mises à jour logicielles.

    • Étant donné que la configuration WSUS a changé, une synchronisation complète des mises à jour logicielles se produit au lieu d’une synchronisation Delta.
  5. Ouvrez le fichier wsyncmgr.log du site. Si vous supervisez un site enfant, vous devez attendre la fin de la synchronisation du site parent. Vérifiez que le serveur est correctement synchronisé en recherchant des entrées similaires à ce qui suit dans le journal :

    Starting Sync
    ...
    Full sync required due to changes in main WSUS server location.
    ...
    Found active SUP SERVER.CONTOSO.COM from SCF File.
    ...
    https://SERVER.CONTOSO.COM:8531
    ...
    Done synchronizing WSUS Server SERVER.CONTOSO.COM
    ...
    sync: Starting SMS database synchronization
    ...
    Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
    

Vérifier qu’un client peut rechercher des mises à jour

Lorsque vous modifiez le point de mise à jour logicielle pour exiger SSL, les clients Configuration Manager reçoivent l’URL WSUS mise à jour lorsqu’ils effectuent une demande d’emplacement pour un point de mise à jour logicielle. En testant un client, nous pouvons :

  • Déterminer si le client approuve le certificat du serveur WSUS.
  • Déterminer si le SimpleAuthWebService et le ClientWebService pour WSUS sont fonctionnels.
  • Déterminer que le répertoire virtuel de contenu WSUS est fonctionnel, si le client obtient un CLUF pendant l’analyse.
  1. Identifier un client qui effectue une recherche sur le point de mise à jour logicielle récemment modifié pour utiliser TLS/SSL. Utilisez Exécuter des scripts avec le script PowerShell ci-dessous si vous avez besoin d’aide pour identifier un client :

    $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
    $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
    Write-Host "LastGoodSUP- $last"
    Write-Host "CurrentSUP- $current"
    

    Conseil

    Ouvrez ce script dans le hub Communauté. Pour plus d’informations, consultez Liens directs vers les éléments du hub Communauté.

  2. Exécutez un cycle d’analyse des mises à jour logicielles sur votre client test. Vous pouvez forcer une analyse avec le script PowerShell suivant :

    Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
    

    Conseil

    Ouvrez ce script dans le hub Communauté. Pour plus d’informations, consultez Liens directs vers les éléments du hub Communauté.

  3. Passez en revue le fichier ScanAgent.log du client pour vérifier que le message relatif à l’analyse du point de mise à jour logicielle a été reçu.

    Message received: '<?xml version='1.0' ?>
    <UpdateSourceMessage MessageType='ScanByUpdateSource'>
       <ForceScan>TRUE</ForceScan>
       <UpdateSourceIDs>
             <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
       </UpdateSourceIDs>
     </UpdateSourceMessage>'
    
  4. Consultez le fichier LocationServices.log pour vérifier que le client voit l’URL WSUS correcte. LocationServices.log

    WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
    ...
    <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
    ...
    </WSUSLocationReply>
    
  5. Consultez le fichier WUAHandler.log pour vérifier que le client peut effectuer une analyse.

    Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
    ...
    Successfully completed scan.
    

Épinglage de certificat TLS pour les appareils analysant les serveurs WSUS configurés avec HTTPS

(Introduit dans la version 2103)

À partir de Configuration Manager 2103, vous pouvez renforcer davantage la sécurité des analyses HTTPS par rapport à WSUS en appliquant l’épinglage de certificat. Pour activer totalement ce comportement, ajoutez des certificats pour vos serveurs WSUS au nouveau magasin de certificats WindowsServerUpdateServices sur vos clients, et veillez à activer l’épinglage de certificat via les Paramètres du client. Pour plus d’informations sur les modifications apportées à l’Agent Windows Update, consultez Les modifications et certificats d’analyse ajoutent de la sécurité aux appareils Windows qui utilisent WSUS pour les mises à jour - Communauté Microsoft Tech.

Conditions préalables à l’application de l’épinglage de certificat TLS pour le client Windows Update

  • Configuration Manager version 2103
  • Vérifiez que vos serveurs WSUS et vos points de mise à jour logicielle sont configurés pour utiliser TLS/SSL
  • Ajoutez les certificats pour vos serveurs WSUS au nouveau magasin de certificats WindowsServerUpdateServices de vos clients

Notes

Les recherches de mises à jour logicielles pour les appareils continuent de s’exécuter avec succès en utilisant la valeur par défaut Oui pour le paramètre client Appliquer l'épinglage de certificat TLS pour le client Windows Update afin de détecter les mises à jour . Cela comprend les recherches via HTTP et HTTPS. L’épinglage de certificat ne prend pas effet tant qu’un certificat se trouve dans le magasin WindowsServerUpdateServices du client et que le serveur WSUS n’est pas configuré pour utiliser TLS/SSL.

Activer ou désactiver l’épinglage de certificat TLS pour les appareils analysant les serveurs WSUS configurés avec HTTPS

  1. Dans la console Configuration Manager, accédez à Administration > Paramètres client.
  2. Choisissez les Paramètres client par défaut ou un ensemble personnalisé de paramètres client, puis sélectionnez Propriétés dans le ruban.
  3. Sélectionnez l’onglet Mises à jour logicielles dans les Paramètres du client
  4. Choisissez l’une des options suivantes pour le paramètre Appliquer l’épinglage de certificat TLS pour le client Windows Update afin de détecter les mises à jour :
    • Non : désactive l’application de l’épinglage de certificat TLS pour l’analyse de WSUS
    • Oui : active l’application de l’épinglage de certificat TLS pour les appareils pendant l’analyse de WSUS (par défaut)
  5. Vérifiez que les clients peuvent rechercher des mises à jour.

Étapes suivantes

Déployer des mises à jour logicielles