Gérer les certificats et la sécurité pour Mises à jour Publisher

  • Article

S’applique à : Gestionnaire de Configuration (branche actuelle)

Les procédures suivantes peuvent vous aider à configurer le magasin de certificats sur le serveur de mise à jour, à configurer un certificat de signature automatique sur l’ordinateur client et à configurer le stratégie de groupe pour permettre à l’agent Windows Update sur les ordinateurs d’analyser les mises à jour publiées.

Configurer le magasin de certificats sur le serveur de mise à jour

Mises à jour’éditeur utilise un certificat numérique pour signer les mises à jour dans les catalogues qu’il publie. Pour qu’un catalogue puisse être publié sur le serveur de mise à jour, ce certificat doit se trouver dans le magasin de certificats sur le serveur de mise à jour et dans le magasin de certificats de l’ordinateur Mises à jour Publisher si cet ordinateur est distant du serveur de mise à jour.

La procédure suivante est l’une des méthodes possibles pour ajouter le certificat au magasin de certificats sur le serveur de mise à jour.

Pour configurer le magasin de certificats

  1. Sur un ordinateur qui peut accéder à la fois à l’ordinateur Mises à jour Publisher et au serveur de mise à jour, cliquez sur Démarrer, sur Exécuter, tapez MMC dans la zone de texte, puis cliquez sur OK pour ouvrir la console MMC (Microsoft Management Console).

  2. Cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, sur Ajouter, sur Certificats, sur Ajouter, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

  3. Sélectionnez Un autre ordinateur, tapez le nom du serveur de mise à jour ou cliquez sur Parcourir pour rechercher l’ordinateur du serveur de mise à jour, cliquez sur Terminer, sur Fermer, puis sur OK.

  4. Développez Certificats (mettre à jour le nom du serveur),WSUS, puis cliquez sur Certificats.

  5. Dans le volet de résultats, cliquez avec le bouton droit sur le certificat souhaité, cliquez sur Toutes les tâches, puis cliquez sur Exporter.

  6. Dans l’Assistant Exportation de certificat, utilisez les paramètres par défaut pour créer un fichier d’exportation avec le nom et l’emplacement spécifiés dans l’Assistant. Ce fichier doit être disponible pour le serveur de mise à jour avant de passer à l’étape suivante.

  7. Cliquez avec le bouton droit sur Éditeurs approuvés, cliquez sur Toutes les tâches, puis sur Importer. Terminez l’Assistant Importation de certificat à l’aide du fichier exporté de l’étape 6.

  8. Si un certificat auto-signé est utilisé, tel que Éditeurs WSUS Auto-signé, cliquez avec le bouton droit sur Autorités de certification racines de confiance, cliquez sur Toutes les tâches, puis cliquez sur Importer. Terminez l’Assistant Importation de certificat à l’aide du fichier exporté de l’étape 6.

  9. Cliquez avec le bouton droit sur Certificats (nom du serveur de mise à jour), cliquez sur Se connecter à un autre ordinateur, entrez le nom de l’ordinateur Mises à jour Publisher, puis cliquez sur OK.

  10. Si Mises à jour serveur de publication est distant du serveur de mise à jour, répétez les étapes 7 à 9 pour importer le certificat dans le magasin de certificats sur l’ordinateur Mises à jour Publisher.

Configurer un certificat de signature automatique sur les ordinateurs clients

Sur les ordinateurs clients, l’agent Windows Update (WUA) recherche les mises à jour à partir du catalogue. Ce processus ne parvient pas à installer les mises à jour lorsque l’agent ne peut pas localiser ce certificat numérique dans le magasin Éditeurs approuvés sur l’ordinateur local. Si un certificat auto-signé a été utilisé pour publier le catalogue de mises à jour, tel que Les éditeurs WSUS auto-signés, le certificat doit également se trouver dans le magasin de certificats Autorités de certification racines de confiance sur l’ordinateur local afin que l’agent puisse vérifier la validité du certificat.

Vous pouvez utiliser l’une des nombreuses méthodes de configuration des certificats sur les ordinateurs clients, comme l’utilisation de stratégie de groupe et de l’Assistant Importation de certificat ou à l’aide de l’outil Certutil et de la distribution de logiciels.

Voici un exemple de configuration du certificat de signature sur les ordinateurs clients.

Pour configurer un certificat de signature automatique sur les ordinateurs clients

  1. Sur un ordinateur ayant accès au serveur de mise à jour, cliquez sur Démarrer, sur Exécuter, tapez MMC dans la zone de texte, puis cliquez sur OK pour ouvrir le Microsoft Management Console (MMC).

  2. Cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, sur Ajouter, sur Certificats, sur Ajouter, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

  3. Sélectionnez Un autre ordinateur, tapez le nom du serveur de mise à jour ou cliquez sur Parcourir pour rechercher l’ordinateur du serveur de mise à jour, cliquez sur Terminer, sur Fermer, puis sur OK.

  4. Développez Certificats (mettre à jour le nom du serveur),WSUS, puis cliquez sur Certificats.

  5. Cliquez avec le bouton droit sur le certificat dans le volet de résultats, cliquez sur Toutes les tâches, puis cliquez sur Exporter. Terminez l’Assistant Exportation de certificat à l’aide des paramètres par défaut pour créer un fichier de certificat d’exportation avec le nom et l’emplacement spécifiés dans l’Assistant.

  6. Utilisez l’une des méthodes suivantes pour ajouter le certificat utilisé pour signer le catalogue de mises à jour à chaque ordinateur client qui utilisera WUA pour rechercher les mises à jour dans le catalogue. Ajoutez le certificat sur l’ordinateur client comme suit :

    • Pour les certificats auto-signés : ajoutez le certificat aux magasins de certificats Autorités de certification racines de confiance et Éditeurs approuvés.

    • Pour les certificats émis par l’autorité de certification : ajoutez le certificat au magasin de certificats Éditeurs approuvés.

    Remarque

    L’agent WUA vérifie également si le paramètre Autoriser le contenu signé à partir de l’intranet Microsoft l’stratégie de groupe emplacement du service de mise à jour est activé sur l’ordinateur local. Ce paramètre de stratégie doit être activé pour que WUA recherche les mises à jour qui ont été créées et publiées avec Mises à jour Publisher. Pour plus d’informations sur l’activation de ce paramètre de stratégie de groupe, consultez Guide pratique pour configurer le stratégie de groupe sur les ordinateurs clients.

Configuration de stratégie de groupe pour permettre à WUA sur les ordinateurs d’analyser les mises à jour publiées

Avant que l’agent Windows Update (WUA) sur les ordinateurs recherche les mises à jour qui ont été créées et publiées avec Mises à jour Publisher, un paramètre de stratégie doit être activé pour autoriser le contenu signé à partir d’un intranet Microsoft’emplacement du service de mise à jour. Lorsque le paramètre de stratégie est activé, WUA accepte les mises à jour reçues via un emplacement intranet si les mises à jour sont signées dans le magasin de certificats Éditeurs approuvés sur l’ordinateur local. Il existe plusieurs méthodes pour configurer stratégie de groupe sur les ordinateurs de l’environnement.

Pour les ordinateurs qui ne se trouvent pas sur le domaine, un paramètre de clé de Registre peut être configuré pour autoriser le contenu signé à partir d’un intranet Microsoft’emplacement du service De mise à jour.

Les procédures suivantes fournissent les étapes de base qui peuvent être utilisées pour configurer stratégie de groupe pour les ordinateurs sur le domaine et une valeur de clé de Registre sur les ordinateurs qui ne se trouvent pas sur le domaine.

Pour configurer stratégie de groupe pour permettre à WUA de rechercher les mises à jour publiées

  1. Ouvrez le composant logiciel enfichable MMC (Éditeur d’objet stratégie de groupe Microsoft) avec un utilisateur disposant des droits de sécurité appropriés pour configurer stratégie de groupe.

  2. Cliquez sur Parcourir et sélectionnez le domaine, l’unité d’organisation ou les objets de stratégie de groupe liés au site où le stratégie de groupe configuré se propagera aux ordinateurs clients souhaités. Cliquez sur OK, sur Terminer, sur Fermer, puis sur OK.

  3. Développez le paramètre de stratégie sélectionné dans l’arborescence de la console, développez Configuration ordinateur, Modèles d’administration, Composants Windows, puis cliquez sur Windows Update.

  4. Dans le volet de résultats, cliquez avec le bouton droit sur Autoriser le contenu signé à partir de l’intranet Microsoft emplacement du service de mise à jour, cliquez sur Propriétés, sur Activé, puis sur OK.