A Frissítések Publisher tanúsítványainak és biztonságának kezelése

A következőre vonatkozik: Configuration Manager (aktuális ág)

Az alábbi eljárások segítségével konfigurálhatja a tanúsítványtárolót a frissítési kiszolgálón, konfigurálhat egy önaláíró tanúsítványt az ügyfélszámítógépen, és konfigurálhatja a Csoportházirend, hogy a számítógépeken lévő Windows Update-ügynök számára engedélyezze a közzétett frissítések keresését.

A tanúsítványtároló konfigurálása a frissítési kiszolgálón

Frissítések Publisher digitális tanúsítvánnyal írja alá a frissítéseket a közzétett katalógusokban. Ahhoz, hogy a katalógus közzétehető legyen a frissítési kiszolgálón, a tanúsítványnak a frissítési kiszolgálón, valamint a Frissítések Publisher számítógép tanúsítványtárolójában kell lennie, ha a számítógép távol van a frissítési kiszolgálótól.

Az alábbi eljárás az egyik lehetséges módszer a tanúsítvány frissítési kiszolgálón lévő tanúsítványtárolóhoz való hozzáadására.

A tanúsítványtároló konfigurálása

1. Az Frissítések Publishert és a frissítési kiszolgálót egyaránt elérő számítógépeken kattintson a Start gombra, kattintson a Futtatás parancsra, írja be az MMC kifejezést a szövegmezőbe, majd kattintson az OK gombra a Microsoft Felügyeleti konzol (MMC) megnyitásához.

2. Kattintson a Fájl, majd a Beépülő modul hozzáadása/eltávolítása, majd a Hozzáadás, majd a Tanúsítványok, majd a Hozzáadás, majd a Számítógépfiók elemre, végül a Tovább gombra.

3. Válassza a Másik számítógép lehetőséget, írja be a frissítési kiszolgáló nevét, vagy kattintson a Tallózás gombra a frissítési kiszolgáló számítógépének megkereséséhez, kattintson a Befejezés, majd a Bezárás, majd az OK gombra.

4. Bontsa ki a Tanúsítványok (kiszolgálónév frissítése) elemet, bontsa ki a WSUS elemet, majd kattintson a Tanúsítványok elemre.

5. Az eredmények ablaktábláján kattintson a jobb gombbal a kívánt tanúsítványra, kattintson a Minden feladat, majd az Exportálás parancsra.

6. A Tanúsítványexportáló varázslóban az alapértelmezett beállításokkal hozzon létre egy exportálási fájlt a varázslóban megadott névvel és hellyel. A fájlnak elérhetőnek kell lennie a frissítési kiszolgáló számára, mielőtt továbblép a következő lépésre.

7. Kattintson a jobb gombbal a Megbízható közzétevők elemre, kattintson a Minden feladat, majd az Importálás parancsra. Fejezze be a Tanúsítványimportálás varázslót a 6. lépésben exportált fájllal.

8. Ha önaláírt tanúsítványt használ, például A WSUS-közzétevők önaláírtak, kattintson a jobb gombbal a Megbízható legfelső szintű hitelesítésszolgáltatók elemre, kattintson a Minden feladat, majd az Importálás parancsra. Fejezze be a Tanúsítványimportálás varázslót a 6. lépésben exportált fájllal.

9. Kattintson a jobb gombbal a Tanúsítványok (kiszolgálónév frissítése) elemre, kattintson a Csatlakozás másik számítógéphez parancsra, adja meg a Frissítések Publisher számítógép nevét, majd kattintson az OK gombra.

10. Ha Frissítések Publisher távol van a frissítési kiszolgálótól, ismételje meg a 7–9. lépést a tanúsítvány importálásához a Frissítések Publisher számítógép tanúsítványtárolójába.

Önaláíró tanúsítvány konfigurálása ügyfélszámítógépeken

Az ügyfélszámítógépeken a Windows Update-ügynök (WUA) megkeresi a frissítéseket a katalógusból. Ez a folyamat nem fogja tudni telepíteni a frissítéseket, ha az ügynök nem találja a digitális tanúsítványt a megbízható közzétevők tárolójában a helyi számítógépen. Ha önaláírt tanúsítványt használtak a frissítési katalógus közzétételéhez, például a WSUS-közzétevők önaláírtak, a tanúsítványnak a helyi számítógépen található megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójában kell lennie, hogy az ügynök ellenőrizni tudja a tanúsítvány érvényességét.

A tanúsítványok ügyfélszámítógépeken való konfigurálására számos módszer közül választhat, például a Csoportházirend és a Tanúsítványimportáló varázslóval, vagy a Certutil eszközzel és a szoftverterjesztéssel.

Az alábbiak az aláíró tanúsítvány ügyfélszámítógépeken való konfigurálásának egyik példájaként szolgálnak.

Önaláíró tanúsítvány konfigurálása ügyfélszámítógépeken

1. A frissítési kiszolgálóhoz hozzáféréssel rendelkező számítógépeken kattintson a Start gombra, kattintson a Futtatás parancsra, írja be az MMC kifejezést a szövegmezőbe, majd kattintson az OK gombra a Microsoft Management Console (MMC) megnyitásához.

2. Kattintson a Fájl, majd a Beépülő modul hozzáadása/eltávolítása, majd a Hozzáadás, majd a Tanúsítványok, majd a Hozzáadás, majd a Számítógépfiók elemre, végül a Tovább gombra.

3. Válassza a Másik számítógép lehetőséget, írja be a frissítési kiszolgáló nevét, vagy kattintson a Tallózás gombra a frissítési kiszolgáló számítógépének megkereséséhez, kattintson a Befejezés, majd a Bezárás, majd az OK gombra.

4. Bontsa ki a Tanúsítványok (kiszolgálónév frissítése) elemet, bontsa ki a WSUS elemet, majd kattintson a Tanúsítványok elemre.

5. Kattintson a jobb gombbal a tanúsítványra az eredmények ablaktábláján, kattintson a Minden feladat, majd az Exportálás parancsra. Végezze el a Tanúsítványexportáló varázslót az alapértelmezett beállításokkal, és hozzon létre egy exportálási tanúsítványfájlt a varázslóban megadott névvel és hellyel.

6. Az alábbi módszerek egyikével adja hozzá a frissítéskatalógus aláírásához használt tanúsítványt minden olyan ügyfélszámítógéphez, amely a WUA használatával fogja megkeresni a katalógusban lévő frissítéseket. Adja hozzá a tanúsítványt az ügyfélszámítógéphez az alábbiak szerint:

   • Önaláírt tanúsítványok esetén: Adja hozzá a tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatókhoz és a megbízható közzétevők tanúsítványtárolóihoz .

   • Hitelesítésszolgáltató által kibocsátott tanúsítványok esetén: Adja hozzá a tanúsítványt a Megbízható közzétevők tanúsítványtárolójához.

   Megjegyzés:

   A WUA azt is ellenőrzi, hogy az Intranetről származó aláírt tartalom engedélyezése Microsoft frissítési szolgáltatás helyének Csoportházirend beállítás engedélyezve van-e a helyi számítógépen. Ezt a házirend-beállítást engedélyezni kell a WUA számára a Frissítések Publisherrel létrehozott és közzétett frissítések kereséséhez. További információ a Csoportházirend beállítás engedélyezéséről: How to Configure the Csoportházirend on Client Computers (A Csoportházirend konfigurálása ügyfélszámítógépeken).

A Csoportházirend konfigurálása a WUA engedélyezéséhez a számítógépeken a közzétett frissítések kereséséhez

Mielőtt a számítógépeken futó Windows Update Agent (WUA) megkeresi az Frissítések Publisherrel létrehozott és közzétett frissítéseket, engedélyezni kell egy házirend-beállítást, amely engedélyezi az intranetes Microsoft frissítési szolgáltatás helyről származó aláírt tartalmakat. Ha a házirend-beállítás engedélyezve van, a WUA egy intranetes helyen keresztül fogadott frissítéseket fogad, ha a frissítések be vannak jelentkezve a megbízható közzétevők tanúsítványtárolójába a helyi számítógépen. A környezet számítógépein számos módon konfigurálható a Csoportházirend.

A tartományon nem szereplő számítógépek esetében konfigurálható egy beállításkulcs-beállítás, amely lehetővé teszi az intranetről származó aláírt tartalmak Microsoft Frissítési szolgáltatás helyről.

Az alábbi eljárások ismertetik azokat az alapvető lépéseket, amelyekkel konfigurálható a tartomány számítógépeinek Csoportházirend, valamint egy beállításkulcs-értéket a tartományon nem szereplő számítógépeken.

A Csoportházirend konfigurálása a WUA által közzétett frissítések keresésének engedélyezéséhez

1. Nyissa meg az Csoportházirend Object Editor Microsoft Management Console (MMC) beépülő modult egy olyan felhasználóval, aki rendelkezik a Csoportházirend konfigurálásához szükséges biztonsági jogosultságokkal.

2. Kattintson a Tallózás gombra, és válassza ki azt a tartományt, szervezeti egységet vagy csoportházirend-objektumot, amely ahhoz a helyhez van társítva, ahol a konfigurált Csoportházirend propagálja a kívánt ügyfélszámítógépeken. Kattintson az OK gombra, kattintson a Befejezés, majd a Bezárás, majd az OK gombra.

3. Bontsa ki a kiválasztott házirend-beállítást a konzolfán, bontsa ki a Számítógép konfigurációja, a Felügyeleti sablonok, a Windows-összetevők csomópontot, majd kattintson a Windows Update.

4. Az eredmények ablaktábláján kattintson a jobb gombbal az Intranetről származó aláírt tartalom engedélyezése Microsoft frissítési szolgáltatás helyére, kattintson a Tulajdonságok, majd az Engedélyezve, majd az OK gombra.