Samouczek: konfigurowanie punktu aktualizacji oprogramowania w celu używania protokołu TLS/SSL z certyfikatem PKI

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Skonfigurowanie serwerów Windows Server Update Services (WSUS) i odpowiednich punktów aktualizacji oprogramowania (SUP) do korzystania z protokołu TLS/SSL może zmniejszyć możliwość zdalnego naruszenia zabezpieczeń klienta przez potencjalnego osobę atakującą i podniesienia uprawnień. Aby upewnić się, że istnieją najlepsze protokoły zabezpieczeń, zdecydowanie zalecamy użycie protokołu TLS/SSL w celu zabezpieczenia infrastruktury aktualizacji oprogramowania. W tym artykule przedstawiono kroki wymagane do skonfigurowania każdego z serwerów programu WSUS i punktu aktualizacji oprogramowania w celu korzystania z protokołu HTTPS. Aby uzyskać więcej informacji na temat zabezpieczania programu WSUS, zobacz artykuł Secure WSUS with the Secure Sockets Layer Protocol (Bezpieczny protokół WSUS z protokołem Secure Sockets Layer Protocol ) w dokumentacji programu WSUS.

W tym samouczku wykonasz następujące czynności:

• Uzyskiwanie certyfikatu infrastruktury kluczy publicznych w razie potrzeby
• Wiązanie certyfikatu z witryną sieci Web administracji programu WSUS
• Konfigurowanie usług sieci Web WSUS w celu wymagania protokołu SSL
• Konfigurowanie aplikacji WSUS do korzystania z protokołu SSL
• Sprawdź, czy połączenie konsoli programu WSUS może używać protokołu SSL
• Konfigurowanie punktu aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem WSUS
• Weryfikowanie funkcjonalności za pomocą Configuration Manager

Zagadnienia i ograniczenia

Program WSUS używa protokołu TLS/SSL do uwierzytelniania komputerów klienckich i podrzędnych serwerów WSUS na nadrzędnym serwerze WSUS. Usługa WSUS używa również protokołu TLS/SSL do szyfrowania metadanych aktualizacji. WSUS nie używa protokołu TLS/SSL dla plików zawartości aktualizacji. Pliki zawartości są podpisane, a skrót pliku znajduje się w metadanych aktualizacji. Przed pobraniem i zainstalowaniem plików przez klienta sprawdzane są zarówno podpis cyfrowy, jak i skrót. Jeśli sprawdzanie zakończy się niepowodzeniem, aktualizacja nie zostanie zainstalowana.

Podczas korzystania z protokołu TLS/SSL w celu zabezpieczenia wdrożenia programu WSUS należy wziąć pod uwagę następujące ograniczenia:

• Użycie protokołu TLS/SSL zwiększa obciążenie serwera. Należy spodziewać się niewielkiej utraty wydajności w wyniku szyfrowania wszystkich metadanych wysyłanych przez sieć.
• Jeśli używasz programu WSUS ze zdalną bazą danych SQL Server, połączenie między serwerem WSUS a serwerem bazy danych nie jest zabezpieczone przez protokół TLS/SSL. Jeśli połączenie z bazą danych musi być zabezpieczone, należy wziąć pod uwagę następujące zalecenia:
  • Przenieś bazę danych programu WSUS na serwer WSUS.
  • Przenieś zdalny serwer bazy danych i serwer WSUS do sieci prywatnej.
  • Wdróż zabezpieczenia protokołu internetowego (IPsec), aby ułatwić zabezpieczanie ruchu sieciowego.

Podczas konfigurowania serwerów WSUS i ich punktów aktualizacji oprogramowania do korzystania z protokołu TLS/SSL może być konieczne stopniowe wprowadzanie zmian dla dużych hierarchii Configuration Manager. Jeśli wybierzesz fazę tych zmian, rozpocznij od dołu hierarchii i przejdź w górę, kończąc na centralnej lokacji administracyjnej.

Wymagania wstępne

W tym samouczku opisano najczęstszą metodę uzyskiwania certyfikatu do użycia z usługami Internet Information Services (IIS). Niezależnie od metody używanej przez organizację upewnij się, że certyfikat spełnia wymagania dotyczące certyfikatu infrastruktury kluczy publicznych dla punktu aktualizacji oprogramowania Configuration Manager. Podobnie jak w przypadku każdego certyfikatu, urząd certyfikacji musi być zaufany przez urządzenia komunikujące się z serwerem WSUS.

• Serwer WSUS z zainstalowaną rolą punktu aktualizacji oprogramowania
• Przed włączeniem protokołu TLS/SSL sprawdź, czy zostały spełnione najlepsze rozwiązania dotyczące wyłączania recyklingu i konfigurowania limitów pamięci dla usług WSUS.
• Jedna z dwóch następujących opcji:
  • Odpowiedni certyfikat infrastruktury kluczy publicznych już w magazynie certyfikatów osobistych serwera WSUS.
  • Możliwość żądania i uzyskania odpowiedniego certyfikatu PKI dla serwera WSUS od głównego urzędu certyfikacji przedsiębiorstwa.
    • Domyślnie większość szablonów certyfikatów, w tym szablon certyfikatu WebServer, będzie wydawana tylko administratorom domeny. Jeśli zalogowany użytkownik nie jest administratorem domeny, jego konto użytkownika będzie musiało otrzymać uprawnienie Zarejestruj w szablonie certyfikatu.

W razie potrzeby uzyskaj certyfikat z urzędu certyfikacji

Jeśli masz już odpowiedni certyfikat w magazynie certyfikatów osobistych serwera WSUS, pomiń tę sekcję i zacznij od sekcji Wiązanie certyfikatu . Aby wysłać żądanie certyfikatu do wewnętrznego urzędu certyfikacji w celu zainstalowania nowego certyfikatu, postępuj zgodnie z instrukcjami w tej sekcji.

1. Na serwerze WSUS otwórz administracyjny wiersz polecenia i uruchom polecenie certlm.msc. Konto użytkownika musi być administratorem lokalnym, aby zarządzać certyfikatami dla komputera lokalnego.

   Zostanie wyświetlone narzędzie Menedżer certyfikatów dla urządzenia lokalnego.

2. Rozwiń pozycję Osobiste, a następnie kliknij prawym przyciskiem myszy pozycję Certyfikaty.

3. Wybierz pozycję Wszystkie zadania , a następnie zażądaj nowego certyfikatu.

4. Wybierz pozycję Dalej , aby rozpocząć rejestrację certyfikatu.

5. Wybierz typ certyfikatu do zarejestrowania. Celem certyfikatu jest uwierzytelnianie serwera , a szablon certyfikatu firmy Microsoft do użycia to serwer sieci Web lub szablon niestandardowy z uwierzytelnianiem serwera określonym jako rozszerzone użycie klucza. Może zostać wyświetlony monit o podanie dodatkowych informacji w celu zarejestrowania certyfikatu. Zazwyczaj należy określić co najmniej następujące informacje:

   • Nazwa pospolita: Na karcie Temat ustaw wartość na nazwę FQDN serwera WSUS.
   • Przyjazna nazwa: Na karcie Ogólne ustaw wartość na nazwę opisową, aby ułatwić późniejszą identyfikację certyfikatu.

   

6. Wybierz pozycję Zarejestruj, a następnie zakończ , aby ukończyć rejestrację.

7. Otwórz certyfikat, jeśli chcesz wyświetlić szczegółowe informacje na jego temat, takie jak odcisk palca certyfikatu.

Porada

Jeśli serwer WSUS jest dostępny z Internetu, w certyfikacie będzie potrzebna zewnętrzna nazwa FQDN w alternatywnej nazwie podmiotu lub podmiotu (SAN).

Wiązanie certyfikatu z lokacją administracyjną programu WSUS

Po utworzeniu certyfikatu w osobistym magazynie certyfikatów serwera WSUS powiąż go z lokacją administracji programu WSUS w usługach IIS.

1. Na serwerze WSUS otwórz Menedżera usług Internet Information Services (IIS).

2. Przejdź do obszaru Administracja usługamiWSUS lokacji>.

3. Wybierz pozycję Powiązania z menu akcji lub klikając prawym przyciskiem myszy witrynę.

4. W oknie Powiązania witryny wybierz wiersz https, a następnie wybierz pozycję Edytuj....

   • Nie usuwaj powiązania witryny HTTP. Program WSUS używa protokołu HTTP do aktualizowania plików zawartości.

5. W obszarze opcji Certyfikat SSL wybierz certyfikat, który ma być powiązany z lokacją administracji programu WSUS. Przyjazna nazwa certyfikatu jest wyświetlana w menu rozwijanym. Jeśli przyjazna nazwa nie została określona, zostanie wyświetlone pole certyfikatu IssuedTo . Jeśli nie masz pewności, którego certyfikatu użyć, wybierz pozycję Wyświetl i sprawdź, czy odcisk palca jest zgodny z uzyskanym certyfikatem.

   

6. Po zakończeniu wybierz przycisk OK , a następnie zamknij , aby zamknąć powiązania lokacji. Otwórz Menedżera usług Internet Information Services (IIS) na potrzeby kolejnych kroków.

Konfigurowanie usług sieci Web WSUS w celu wymagania protokołu SSL

1. W Menedżerze usług IIS na serwerze WSUS przejdź do obszaru Administracjausługami WSUS lokacji>.

2. Rozwiń witrynę administracji programu WSUS, aby wyświetlić listę usług internetowych i katalogów wirtualnych dla programu WSUS.

3. Dla każdej z poniższych usług sieci Web programu WSUS:

   • ApiRemoting30
   • ClientWebService
   • DSSAuthWebService
   • ServerSyncWebService
   • SimpleAuthWebService

   Wprowadź następujące zmiany:

   1. Wybierz pozycję Ustawienia protokołu SSL.
   2. Włącz opcję Wymagaj protokołu SSL .
   3. Sprawdź, czy opcja Certyfikaty klienta jest ustawiona na Ignoruj.
   4. Wybierz pozycję Zastosuj.

Nie ustawiaj ustawień protokołu SSL w lokacji administracyjnej najwyższego poziomu programu WSUS, ponieważ niektóre funkcje, takie jak zawartość, muszą używać protokołu HTTP.

Konfigurowanie aplikacji WSUS do korzystania z protokołu SSL

Gdy usługi internetowe mają wymagać protokołu SSL, należy powiadomić aplikację WSUS, aby mogła wykonać dodatkową konfigurację w celu obsługi zmiany.

1. Otwórz wiersz polecenia administratora na serwerze programu WSUS. Konto użytkownika z tym poleceniem musi być członkiem grupy Administratorzy programu WSUS lub lokalnej grupy Administratorzy.

2. Zmień katalog na folder tools dla programu WSUS:

   cd "c:\Program Files\Update Services\Tools"

3. Skonfiguruj usługę WSUS do używania protokołu SSL przy użyciu następującego polecenia:

   WsusUtil.exe configuressl server.contoso.com

   Gdzie server.contoso.com jest nazwą FQDN serwera WSUS.

4. Program WsusUtil zwraca adres URL serwera WSUS z numerem portu określonym na końcu. Port będzie mieć wartość 8531 (wartość domyślna) lub 443. Sprawdź, czy zwrócony adres URL jest oczekiwany. Jeśli coś zostało błędnie wpisane, możesz uruchomić polecenie ponownie.

   

Porada

Jeśli serwer WSUS jest dostępny z Internetu, określ zewnętrzną nazwę FQDN podczas uruchamiania WsusUtil.exe configuresslprogramu .

Sprawdź, czy konsola programu WSUS może nawiązać połączenie przy użyciu protokołu SSL

Konsola programu WSUS używa usługi internetowej ApiRemoting30 na potrzeby połączenia. Punkt aktualizacji oprogramowania Configuration Manager (SUP) używa również tej samej usługi internetowej, aby skierować usługę WSUS do podjęcia pewnych działań, takich jak:

• Inicjowanie synchronizacji aktualizacji oprogramowania
• Ustawianie odpowiedniego serwera nadrzędnego dla programu WSUS, który jest zależny od tego, gdzie znajduje się lokacja sup w hierarchii Configuration Manager
• Dodawanie lub usuwanie produktów i klasyfikacji na potrzeby synchronizacji z serwera WSUS najwyższego poziomu hierarchii.
• Usuwanie wygasłych aktualizacji

Otwórz konsolę programu WSUS, aby sprawdzić, czy można użyć połączenia SSL z usługą internetową ApiRemoting30 serwera WSUS. Później przetestujemy niektóre inne usługi internetowe.

1. Otwórz konsolę programu WSUS i wybierz pozycję Akcja>Połącz z serwerem.

2. Wprowadź nazwę FQDN serwera WSUS dla opcji Nazwa serwera .

3. Wybierz numer portu zwrócony w adresie URL z programu WSUSutil.

4. Opcja Użyj protokołu Secure Sockets Layer (SSL) w celu nawiązania połączenia z tym serwerem jest automatycznie włączana po wybraniu wartości 8531 (wartość domyślna) lub 443.

   

5. Jeśli serwer lokacji Configuration Manager jest zdalny od punktu aktualizacji oprogramowania, uruchom konsolę programu WSUS z serwera lokacji i sprawdź, czy konsola programu WSUS może nawiązać połączenie za pośrednictwem protokołu SSL.

   • Jeśli zdalna konsola programu WSUS nie może nawiązać połączenia, prawdopodobnie oznacza to problem z zaufaniem do certyfikatu, rozpoznawania nazw lub zablokowania portu.

Konfigurowanie punktu aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem WSUS

Po skonfigurowaniu programu WSUS do korzystania z protokołu TLS/SSL należy zaktualizować odpowiedni punkt aktualizacji oprogramowania Configuration Manager, aby również wymagać protokołu SSL. Po wprowadzeniu tej zmiany Configuration Manager:

• Sprawdź, czy można skonfigurować serwer WSUS dla punktu aktualizacji oprogramowania
• Bezpośrednie klientów do korzystania z portu SSL, gdy kazano im skanować na tym serwerze WSUS.

Aby skonfigurować punkt aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem WSUS, wykonaj następujące kroki:

1. Otwórz konsolę Configuration Manager i połącz się z centralną lokacją administracyjną lub serwerem lokacji głównej dla punktu aktualizacji oprogramowania, który należy edytować.

2. Przejdź do obszaru Administracja >— omówienie> serwerówkonfiguracji lokacji>i ról systemu lokacji.

3. Wybierz serwer systemu lokacji, na którym jest zainstalowany program WSUS, a następnie wybierz rolę systemu lokacji punktu aktualizacji oprogramowania.

4. Na wstążce wybierz pozycję Właściwości.

5. Włącz opcję Wymagaj komunikacji SSL z serwerem WSUS .

   

6. W pliku WCM.log witryny po zastosowaniu zmiany zostaną wyświetlone następujące wpisy:

   SCF change notification triggered.
   Populating config from SCF
   Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
   ...
   Attempting connection to local WSUS server
   Successfully connected to local WSUS server
   ...
   Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
   

Przykłady plików dziennika zostały edytowane w celu usunięcia niepotrzebnych informacji dla tego scenariusza.

Weryfikowanie funkcjonalności za pomocą Configuration Manager

Sprawdź, czy serwer lokacji może synchronizować aktualizacje

1. Połącz konsolę Configuration Manager z lokacją najwyższego poziomu.

2. Przejdź doobszaru Omówienie>biblioteki>oprogramowania Aktualizacje>Wszystkie Aktualizacje oprogramowania.

3. Na wstążce wybierz pozycję Synchronizuj Aktualizacje oprogramowania.

4. Wybierz pozycję Tak w powiadomieniu z pytaniem, czy chcesz zainicjować synchronizację aktualizacji oprogramowania w całej lokacji.

   • Ponieważ konfiguracja programu WSUS uległa zmianie, zostanie wykonana pełna synchronizacja aktualizacji oprogramowania, a nie synchronizacja różnicowa.

5. Otwórz plik wsyncmgr.log witryny. Jeśli monitorujesz lokację podrzędną, musisz poczekać, aż lokacja nadrzędna zakończy synchronizację w pierwszej kolejności. Sprawdź, czy serwer został pomyślnie zsynchronizowany, przeglądając dziennik pod kątem wpisów podobnych do następujących:

   Starting Sync
   ...
   Full sync required due to changes in main WSUS server location.
   ...
   Found active SUP SERVER.CONTOSO.COM from SCF File.
   ...
   https://SERVER.CONTOSO.COM:8531
   ...
   Done synchronizing WSUS Server SERVER.CONTOSO.COM
   ...
   sync: Starting SMS database synchronization
   ...
   Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
   

Sprawdzanie, czy klient może skanować w poszukiwaniu aktualizacji

Po zmianie punktu aktualizacji oprogramowania na wymaganie protokołu SSL klienci Configuration Manager otrzymują zaktualizowany adres URL programu WSUS podczas wykonywania żądania lokalizacji dla punktu aktualizacji oprogramowania. Testując klienta, możemy:

• Określ, czy klient ufa certyfikatowi serwera WSUS.
• Jeśli funkcje SimpleAuthWebService i ClientWebService dla usług WSUS są funkcjonalne.
• Czy katalog wirtualny zawartości programu WSUS działa, jeśli klient otrzymał umową EULA podczas skanowania

1. Zidentyfikuj klienta, który skanuje w punkcie aktualizacji oprogramowania niedawno zmienionym w celu używania protokołu TLS/SSL. Użyj polecenia Uruchom skrypty z poniższym skryptem programu PowerShell, jeśli potrzebujesz pomocy dotyczącej identyfikacji klienta:

   $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
   $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
   Write-Host "LastGoodSUP- $last"
   Write-Host "CurrentSUP- $current"
   

   Porada

   Otwórz ten skrypt w centrum społeczności. Aby uzyskać więcej informacji, zobacz Bezpośrednie linki do elementów centrum społeczności.

2. Uruchom cykl skanowania aktualizacji oprogramowania na kliencie testowym. Skanowanie można wymusić za pomocą następującego skryptu programu PowerShell:

   Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
   

   Porada

   Otwórz ten skrypt w centrum społeczności. Aby uzyskać więcej informacji, zobacz Bezpośrednie linki do elementów centrum społeczności.

3. Przejrzyj plik ScanAgent.log klienta, aby sprawdzić, czy został odebrany komunikat skanowany pod kątem punktu aktualizacji oprogramowania.

   Message received: '<?xml version='1.0' ?>
   <UpdateSourceMessage MessageType='ScanByUpdateSource'>
      <ForceScan>TRUE</ForceScan>
      <UpdateSourceIDs>
    		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
      </UpdateSourceIDs>
    </UpdateSourceMessage>'
   

4. Przejrzyj plik LocationServices.log , aby sprawdzić, czy klient widzi poprawny adres URL programu WSUS. LocationServices.log

   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
   ...
   <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
   ...
   </WSUSLocationReply>
   

5. Przejrzyj plik WUAHandler.log , aby sprawdzić, czy klient może pomyślnie przeprowadzić skanowanie.

   Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
   ...
   Successfully completed scan.
   

Przypinanie certyfikatu protokołu TLS dla urządzeń skanujących serwery WSUS skonfigurowane przez protokół HTTPS

(Wprowadzone w 2103 r.)

Począwszy od Configuration Manager 2103 roku, możesz jeszcze bardziej zwiększyć bezpieczeństwo skanów HTTPS względem usług WSUS, wymuszając przypinanie certyfikatów. Aby w pełni włączyć to zachowanie, dodaj certyfikaty dla serwerów WSUS do nowego WindowsServerUpdateServices magazynu certyfikatów na klientach i upewnij się, że przypinanie certyfikatów jest włączone za pośrednictwem ustawień klienta. Aby uzyskać więcej informacji na temat zmian w agencie Windows Update, zobacz Skanuj zmiany i certyfikaty dodaj zabezpieczenia dla urządzeń z systemem Windows przy użyciu programu WSUS dla aktualizacji — Microsoft Tech Community.

Wymagania wstępne dotyczące wymuszania przypinania certyfikatów protokołu TLS dla klienta Windows Update

• Configuration Manager wersji 2103
• Upewnij się, że serwery programu WSUS i punkty aktualizacji oprogramowania są skonfigurowane do korzystania z protokołu TLS/SSL
• Dodawanie certyfikatów dla serwerów WSUS do nowego WindowsServerUpdateServices magazynu certyfikatów na klientach
  • W przypadku korzystania z przypinania certyfikatów z bramą zarządzania chmurą (CMG) WindowsServerUpdateServices magazyn potrzebuje certyfikatu CMG. Jeśli klienci przełączają się z Internetu do sieci VPN, w WindowsServerUpdateServices magazynie są wymagane certyfikaty serwera CMG i WSUS.

Uwaga

Skanowanie aktualizacji oprogramowania dla urządzeń będzie nadal działać pomyślnie przy użyciu wartości domyślnej Tak dla wymuszania przypinania certyfikatu protokołu TLS dla klienta Windows Update w celu wykrywania ustawień klienta aktualizacji. Obejmuje to skanowanie za pośrednictwem protokołu HTTP i HTTPS. Przypinanie certyfikatu nie będzie obowiązywać, dopóki certyfikat nie znajduje się w magazynie klienta WindowsServerUpdateServices , a serwer WSUS jest skonfigurowany do używania protokołu TLS/SSL.

Włączanie lub wyłączanie przypinania certyfikatów protokołu TLS dla urządzeń skanujących serwery WSUS skonfigurowane przez protokół HTTPS

1. W konsoli Configuration Manager przejdź do pozycjiUstawienia klienta administracyjnego>.
2. Wybierz domyślne ustawienia klienta lub niestandardowy zestaw ustawień klienta, a następnie wybierz pozycję Właściwości na wstążce.
3. Wybierz kartę Aktualizacje oprogramowania w ustawieniach klienta
4. Wybierz jedną z następujących opcji dla ustawienia Wymuszaj przypinanie certyfikatu protokołu TLS dla klienta Windows Update w celu wykrywania aktualizacji:
   • Nie: nie włączaj wymuszania przypinania certyfikatów protokołu TLS na potrzeby skanowania WSUS
   • Tak: umożliwia wymuszanie przypinania certyfikatów protokołu TLS dla urządzeń podczas skanowania WSUS (ustawienie domyślne)
5. Sprawdź, czy klienci mogą skanować w poszukiwaniu aktualizacji.

Następne kroki

Wdrażanie aktualizacji oprogramowania