Gerir certificados e segurança para o Updates PublisherManage certificates and security for Updates Publisher

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Os procedimentos seguintes podem ajudá-lo a configurar o arquivo de certificados no servidor de atualização, configure um certificado autoassinado no computador cliente e configurar a política de grupo para permitir que o Windows Update Agent nos computadores para verificar a existência de atualizações publicado.The following procedures can help you to configure the certificate store on the update server, configure a self-signing certificate on the client computer, and to configure the Group Policy to allow the Windows Update Agent on computers to scan for published updates.

Configurar o arquivo de certificados no servidor de atualizaçãoConfigure the certificate store on the update server

Publicador de atualizações utiliza um certificado digital para assinar as atualizações de catálogos publica.Updates Publisher uses a digital certificate to sign the updates in the catalogs it publishes. Antes de um catálogo pode ser publicado para o servidor de atualização, se o certificado tem de ser no arquivo de certificados no servidor de atualização e no arquivo de certificados do computador Updates Publisher esteja remoto a partir do servidor de atualização nesse computador.Before a catalog can be published to the update server, that certificate must be in the certificate store on the update server, and in the certificate store of the Updates Publisher computer if that computer is remote from the update server.

O procedimento seguinte é um dos vários métodos possíveis para adicionar o certificado ao arquivo de certificados no servidor de atualização.The following procedure is one of several possible methods to add the certificate to the certificate store on the update server.

Para configurar o arquivo de certificadosTo configure the certificate store

  1. Num computador que pode aceder ao computador do Updates Publisher e o servidor de atualização, clique em iniciar, clique em executar, tipo MMC na caixa de texto e, em seguida, clique em OK para abrir a consola de gestão da Microsoft (MMC).On a computer that can access both the Updates Publisher computer and the update server, Click Start, click Run, type MMC in the text box, and then click OK to open the Microsoft Management Console (MMC).

  2. Clique em ficheiro, clique em Adicionar/Remover Snap-in, clique em adicionar, clique em certificados, clique em adicionar, selecione conta de computadore, em seguida, clique em seguinte.Click File, click Add/Remove Snap-in, click Add, click Certificates, click Add, select Computer account, and then click Next.

  3. Selecione noutro computador, escreva o nome do servidor de atualização ou clique em procurar para localizar o computador do servidor de atualização, clique em concluir, clique em fechare, em seguida, clique em OK.Select Another computer, type the name of the update server or click Browse to find the update server computer, click Finish, click Close, and then click OK.

  4. Expanda certificados (nome do servidor de atualização) * *, expanda **WSUSe, em seguida, clique em certificados.Expand Certificates (update server name), expand WSUS, and then click Certificates.

  5. No painel de resultados, clique no certificado pretendido, clique em todas as tarefase, em seguida, clique em exportar.In the results pane, right-click the desired certificate, click All Tasks, and then click Export.

  6. No Assistente para exportar certificados, utilize as predefinições para criar um ficheiro de exportação com o nome e a localização especificada no assistente.In the Certificate Export Wizard, use the default settings to create an export file with the name and location specified in the wizard. Este ficheiro tem de estar disponível para o servidor de atualização antes de avançar para o passo seguinte.This file must be available to the update server before proceeding to the next step.

  7. Clique com botão direito fabricantes fidedignos, clique em todas as tarefase, em seguida, clique em importação.Right-click Trusted Publishers, click All Tasks, and then click Import. Conclua o Assistente de importação de certificados utilizando o ficheiro exportado no passo 6.Complete the Certificate Import Wizard using the exported file from step 6.

  8. Se for utilizado um certificado autoassinado, tal como WSUS Publishers autoassinado, faça duplo clique autoridades de certificação de raiz fidedigna, clique em todas as tarefase, em seguida, clique em importação.If a self-signed certificate is used, such as WSUS Publishers Self-signed, right-click Trusted Root Certification Authorities, click All Tasks, and then click Import. Conclua o Assistente de importação de certificados utilizando o ficheiro exportado no passo 6.Complete the Certificate Import Wizard using the exported file from step 6.

  9. Clique com botão direito certificados (nome do servidor de atualização) * *, clique em **ligar a outro computador, introduza o nome do computador para o computador do Updates Publisher e clique em OK.Right-click Certificates (update server name), click Connect to another computer, enter the computer name for the Updates Publisher computer, and click OK.

  10. Se for remoto a partir do servidor de atualização Updates Publisher, repita os passos 7 a 9 para importar o certificado ao arquivo de certificados no computador do Updates Publisher.If Updates Publisher is remote from the update server, repeat steps 7 through 9 to import the certificate to the certificate store on the Updates Publisher computer.

Configurar um certificado autoassinado em computadores clienteConfigure a self-signing certificate on client computers

Em computadores cliente, o Windows Update Agent (WUA) irá procurar as atualizações do catálogo.On client computers, the Windows Update Agent (WUA) will scan for the updates from the catalog. Este processo irá falhar instalar atualizações quando o agente não é possível localizar o certificado digital no arquivo fabricantes fidedignos no computador local.This process will fail to install updates when the agent cannot locate that digital certificate in the Trusted Publishers store on the local computer. Se um certificado autoassinado utilizado para publicar as atualizações do catálogo, tais como WSUS Publishers autoassinado, o certificado também tem de estar no arquivo de certificados de autoridades de certificação de raiz fidedigna no computador local para que o agente pode verificar a validade do certificado.If a self-signed certificate was used to publishing the updates catalog, such as WSUS Publishers Self-signed, the certificate must also be in the Trusted Root Certification Authorities certificate store on the local computer so that the agent can verify the validity of the certificate.

Pode utilizar um dos vários métodos para configurar certificados nos computadores cliente, utilizando a política de grupo e o Assistente para importar certificados ou utilizando a Certutil ferramenta e distribuição de software.You can use one of several methods for configuring certificates on client computers, like using Group Policy and the Certificate Import Wizard or by using the Certutil tool and software distribution.

O seguinte é fornecido como um exemplo de como configurar o certificado de assinatura em computadores cliente.The following is provided as one example of how to configure the signing certificate on client computers.

Para configurar um certificado autoassinado em computadores clienteTo configure a self-signing certificate on client computers

  1. Num computador com acesso ao servidor de atualização, clique em iniciar, clique em executar, tipo MMC na caixa de texto e, em seguida, clique em OK para abrir a consola de gestão da Microsoft (MMC).On a computer with access to the update server, click Start, click Run, type MMC in the text box, and then click OK to open the Microsoft Management Console (MMC).

  2. Clique em ficheiro, clique em Adicionar/Remover Snap-in, clique em adicionar, clique em certificados, clique em adicionar, selecione conta de computadore, em seguida, clique em seguinte.Click File, click Add/Remove Snap-in, click Add, click Certificates, click Add, select Computer account, and then click Next.

  3. Selecione noutro computador, escreva o nome do servidor de atualização ou clique em procurar para localizar o computador do servidor de atualização, clique em concluir, clique em fechare, em seguida, clique em OK.Select Another computer, type the name of the update server or click Browse to find the update server computer, click Finish, click Close, and then click OK.

  4. Expanda certificados (nome do servidor de atualização) * *, expanda **WSUSe, em seguida, clique em certificados.Expand Certificates (update server name), expand WSUS, and then click Certificates.

  5. Clique com o botão direito do certificado no painel de resultados, clique em todas as tarefase, em seguida, clique em exportar.Right-click the certificate in the results pane, click All Tasks, and then click Export. Concluir o Assistente para exportar certificados utilizando as predefinições para criar um ficheiro de exportação de certificado com o nome e a localização especificada no assistente.Complete the Certificate Export Wizard using the default settings to create an export certificate file with the name and location specified in the wizard.

  6. Utilize um dos seguintes métodos para adicionar o certificado utilizado para assinar o catálogo de atualizações para cada computador cliente que irá utilizar o WUA para analisar as atualizações no catálogo.Use one of the following methods to add the certificate used to sign the updates catalog to each client computer that will use WUA to scan for the updates in the catalog. Adicione o certificado no computador cliente da seguinte forma:Add the certificate on the client computer as follows:

    • Para certificados autoassinados: Adicionar o certificado para o autoridades de certificação de raiz fidedigna e fabricantes fidedignos arquivos de certificados.For self-signed certificates: Add the certificate to the Trusted Root Certification Authorities and Trusted Publishers certificate stores.

    • Para certificados de emitidos a autoridade de certificação (AC): Adicionar o certificado para o fabricantes fidedignos arquivo de certificados.For certification authority (CA) issued certificates: Add the certificate to the Trusted Publishers certificate store.

    Nota

    O WUA também verifica se o permitir conteúdo assinado da localização de serviço de atualização de Microsoft na intranet definição de política de grupo está ativada no computador local.The WUA also checks whether the Allow signed content from intranet Microsoft update service location Group Policy setting is enabled on the local computer. Esta definição de política tem de estar ativada para que o WUA procure atualizações criadas e publicadas com o Updates Publisher.This policy setting must be enabled for WUA to scan for the updates that were created and published with Updates Publisher. Para obter mais informações sobre como ativar esta definição de política de grupo, consulte [como configurar a política de grupo nos computadores cliente] (https://technet.microsoft.com/library/bb530967.aspx(d=robot).For more information about enabling this Group Policy setting, see [How to Configure the Group Policy on Client Computers](https://technet.microsoft.com/library/bb530967.aspx(d=robot).

Configurar a política de grupo para permitir que o WUA nos computadores para procurar atualizações publicadasConfiguring Group Policy to allow WUA on computers to scan for published updates

Antes do Windows Update Agent (WUA) em computadores irá procurar as atualizações que foram criadas e publicadas com o Updates Publisher, uma definição de política tem de estar ativada para permitir conteúdo assinado da localização do serviço intranet Microsoft update.Before the Windows Update Agent (WUA) on computers will scan for updates that were created and published with Updates Publisher, a policy setting must be enabled to allow signed content from an intranet Microsoft update service location. A definição de política é ativada, o WUA aceita as atualizações recebidas através de uma localização de intranet se as atualizações forem assinadas no fabricantes fidedignos arquivo de certificados no computador local.When the policy setting is enabled, WUA will accept updates received through an intranet location if the updates are signed in the Trusted Publishers certificate store on the local computer. Existem vários métodos para configurar a política de grupo nos computadores no ambiente.There are several methods for configuring Group Policy on computers in the environment.

Para computadores que não estão no domínio, pode ser configurada uma definição de chave de registo que permite conteúdo assinado da localização de serviço do Microsoft Update da intranet.For computers that are not on the domain, a registry key setting can be configured that allows signed content from an intranet Microsoft Update service location.

Os procedimentos seguintes fornecem os passos básicos que podem ser utilizados para configurar política de grupo de computadores no domínio e um valor de chave de registo em computadores que não estão no domínio.The following procedures provide the basic steps that can be used to configure Group Policy for computers on the domain and a registry key value on computers that are not on the domain.

Para configurar a política de grupo para permitir que o WUA procure publicados atualizaçõesTo configure Group Policy to allow WUA to scan for published updates

  1. Abra o snap-in do grupo política objeto Editor gestão consola Microsoft (MMC) com um utilizador que tem os direitos de segurança adequados para configurar a política de grupo.Open the Group Policy Object Editor Microsoft Management Console (MMC) snap-in with a user that has the appropriate security rights to configure Group Policy.

  2. Clique em procurar e selecione o domínio, UO ou GPOs ligados a sites onde a política de grupo configurada serão propagadas aos computadores cliente pretendido.Click Browse and select the domain, OU, or GPOs linked to the site where the configured Group Policy will propagate to the desired client computers. Clique em OK, clique em concluir, clique em fechare, em seguida, clique em OK.Click OK, click Finish, click Close, and then click OK.

  3. Expanda a definição de política selecionado na árvore da consola, expanda configuração do computador, expanda modelos administrativos, expanda componentes do Windowse, em seguida, clique em Windows Update.Expand the selected policy setting in the console tree, expand Computer Configuration, expand Administrative Templates, expand Windows Components, and then click Windows Update.

  4. No painel de resultados, faça duplo clique permitir conteúdo assinado da localização de serviço de atualização de Microsoft na intranet, clique em propriedades, clique em ativadoe, em seguida, clique em OK.In the results pane, right-click Allow signed content from intranet Microsoft update service location, click Properties, click Enabled, and then click OK.