Управление сертификатами и безопасностью в Updates PublisherManage certificates and security for Updates Publisher

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Указанные ниже процедуры помогут настроить хранилище сертификатов на сервере обновлений, самозаверяющий сертификат на клиентском компьютере и групповую политику, чтобы разрешить агенту обновления Windows на компьютерах проверить опубликованные обновления.The following procedures can help you to configure the certificate store on the update server, configure a self-signing certificate on the client computer, and to configure the Group Policy to allow the Windows Update Agent on computers to scan for published updates.

Настройка хранилища сертификатов на сервере обновленийConfigure the certificate store on the update server

Для подписывания обновлений в публикуемых каталогах Updates Publisher использует цифровой сертификат.Updates Publisher uses a digital certificate to sign the updates in the catalogs it publishes. Перед публикацией каталога на сервере обновлений убедитесь, что сертификат находится в хранилище сертификатов на сервере обновлений и в хранилище сертификатов на компьютере с Updates Publisher (если этот компьютер расположен удаленно от сервера обновлений).Before a catalog can be published to the update server, that certificate must be in the certificate store on the update server, and in the certificate store of the Updates Publisher computer if that computer is remote from the update server.

Ниже описан один из нескольких возможных способов добавления сертификата в хранилище сертификатов на сервере обновлений.The following procedure is one of several possible methods to add the certificate to the certificate store on the update server.

Настройка хранилища сертификатовTo configure the certificate store

  1. На компьютере с доступом к компьютеру с Updates Publisher и к серверу обновлений щелкните Пуск, Выполнить, в текстовом поле введите MMC и нажмите кнопку ОК, чтобы открыть консоль управления (MMC).On a computer that can access both the Updates Publisher computer and the update server, Click Start, click Run, type MMC in the text box, and then click OK to open the Microsoft Management Console (MMC).

  2. Последовательно щелкните Файл > Добавить или удалить оснастку > Добавить > Сертификаты > Добавить, выберите Учетная запись компьютера, а затем нажмите кнопку Далее.Click File, click Add/Remove Snap-in, click Add, click Certificates, click Add, select Computer account, and then click Next.

  3. Выберите Другой компьютер, введите имя сервера обновлений или щелкните Обзор, чтобы найти компьютер с сервером обновлений, а затем последовательно щелкните Готово > Закрыть и нажмите кнопку ОК.Select Another computer, type the name of the update server or click Browse to find the update server computer, click Finish, click Close, and then click OK.

  4. Разверните область Сертификаты (имя сервера обновления), после чего разверните область WSUS и щелкните Сертификаты.Expand Certificates (update server name), expand WSUS, and then click Certificates.

  5. В области результатов щелкните нужный сертификат правой кнопкой мыши и в контекстном меню выберите Все задачи, а затем щелкните Экспорт.In the results pane, right-click the desired certificate, click All Tasks, and then click Export.

  6. Используйте параметры по умолчанию в мастере экспорта сертификатов, чтобы создать экспортируемый файл с именем и местоположением, указанными в мастере.In the Certificate Export Wizard, use the default settings to create an export file with the name and location specified in the wizard. Прежде чем перейти к следующему шагу, убедитесь, что этот файл доступен на сервере обновлений.This file must be available to the update server before proceeding to the next step.

  7. Щелкните правой кнопкой мыши Доверенные издатели, Все задачи, а затем щелкните Импорт.Right-click Trusted Publishers, click All Tasks, and then click Import. Завершите работу мастера импорта сертификатов, используя экспортируемый файл из шага 6.Complete the Certificate Import Wizard using the exported file from step 6.

  8. Если используется самозаверяющий сертификат, такой как WSUS Publishers Self-signed, щелкните правой кнопкой мыши Доверенные корневые центры сертификации, Все задачи и выберите Импорт.If a self-signed certificate is used, such as WSUS Publishers Self-signed, right-click Trusted Root Certification Authorities, click All Tasks, and then click Import. Завершите работу мастера импорта сертификатов, используя экспортируемый файл из шага 6.Complete the Certificate Import Wizard using the exported file from step 6.

  9. Щелкните правой кнопкой мыши Сертификаты (имя сервера обновления), выберите Подключиться к другому компьютеру, а затем введите имя компьютера для компьютера с Updates Publisher и нажмите кнопку ОК.Right-click Certificates (update server name), click Connect to another computer, enter the computer name for the Updates Publisher computer, and click OK.

  10. Если Updates Publisher расположен удаленно от сервера обновлений, повторите действия, указанные в шагах 7–9, чтобы импортировать сертификат в хранилище сертификатов на компьютер с Updates Publisher.If Updates Publisher is remote from the update server, repeat steps 7 through 9 to import the certificate to the certificate store on the Updates Publisher computer.

Настройка самозаверяющего сертификата на клиентских компьютерахConfigure a self-signing certificate on client computers

На клиентских компьютерах агент обновления Windows (WUA) сканирует каталог на предмет обновлений.On client computers, the Windows Update Agent (WUA) will scan for the updates from the catalog. Процесс обновления завершится сбоем, если агент не сможет найти цифровой сертификат в хранилище надежных издателей на локальном компьютере.This process will fail to install updates when the agent cannot locate that digital certificate in the Trusted Publishers store on the local computer. Если для публикации каталога обновления использовался самозаверяющий сертификат, например WSUS Publishers Self-signed, этот сертификат должен также присутствовать в хранилище "Доверенные корневые центры сертификации" на локальном компьютере, чтобы агент мог проверить действительность этого сертификата.If a self-signed certificate was used to publishing the updates catalog, such as WSUS Publishers Self-signed, the certificate must also be in the Trusted Root Certification Authorities certificate store on the local computer so that the agent can verify the validity of the certificate.

Вы можете использовать один из методов настройки сертификатов на клиентских компьютерах, например применить групповую политику и мастер импорта сертификатов или средство Certutil и распространение программного обеспечения.You can use one of several methods for configuring certificates on client computers, like using Group Policy and the Certificate Import Wizard or by using the Certutil tool and software distribution.

Далее указан один из примеров настройки сертификата подписи на клиентских компьютерах.The following is provided as one example of how to configure the signing certificate on client computers.

Настройка самозаверяющего сертификата на клиентских компьютерахTo configure a self-signing certificate on client computers

  1. На компьютере с доступом к серверу обновлений щелкните Пуск, Выполнить, в текстовом поле введите MMC и нажмите кнопку ОК, чтобы открыть консоль управления (MMC).On a computer with access to the update server, click Start, click Run, type MMC in the text box, and then click OK to open the Microsoft Management Console (MMC).

  2. Последовательно щелкните Файл > Добавить или удалить оснастку > Добавить > Сертификаты > Добавить, выберите Учетная запись компьютера, а затем нажмите кнопку Далее.Click File, click Add/Remove Snap-in, click Add, click Certificates, click Add, select Computer account, and then click Next.

  3. Выберите Другой компьютер, введите имя сервера обновлений или щелкните Обзор, чтобы найти компьютер с сервером обновлений, а затем последовательно щелкните Готово > Закрыть и нажмите кнопку ОК.Select Another computer, type the name of the update server or click Browse to find the update server computer, click Finish, click Close, and then click OK.

  4. Разверните область Сертификаты (имя сервера обновления), после чего разверните область WSUS и щелкните Сертификаты.Expand Certificates (update server name), expand WSUS, and then click Certificates.

  5. В области результатов щелкните сертификат правой кнопкой мыши и в контекстном меню выберите Все задачи, а затем щелкните Экспорт.Right-click the certificate in the results pane, click All Tasks, and then click Export. Завершите работу мастера экспорта сертификатов, используя параметры по умолчанию, чтобы создать экспортируемый файл сертификата с именем и местоположением, указанными в мастере.Complete the Certificate Export Wizard using the default settings to create an export certificate file with the name and location specified in the wizard.

  6. Используйте один из указанных ниже методов, чтобы добавить сертификат, используемый для подписи каталога обновлений, на каждом клиентском компьютере, который будет использовать агент обновления Windows для поиска обновлений в каталоге.Use one of the following methods to add the certificate used to sign the updates catalog to each client computer that will use WUA to scan for the updates in the catalog. Добавьте сертификат на клиентский компьютер, как показано ниже.Add the certificate on the client computer as follows:

    • Самозаверяющие сертификаты. Добавьте сертификат в хранилища сертификатов доверенных корневых центров сертификации и доверенных издателей.For self-signed certificates: Add the certificate to the Trusted Root Certification Authorities and Trusted Publishers certificate stores.

    • Сертификаты, выданные центром сертификации. Добавьте сертификат в хранилище сертификатов доверенных издателей.For certification authority (CA) issued certificates: Add the certificate to the Trusted Publishers certificate store.

    Nota

    WUA также проверяет, включен ли на локальном компьютере параметр групповой политики Allow signed content from intranet Microsoft update service location (Разрешить прием содержимого с подписью из службы обновления Майкрософт в интрасети).The WUA also checks whether the Allow signed content from intranet Microsoft update service location Group Policy setting is enabled on the local computer. Этот параметр политики должен быть включен, чтобы агент обновления Windows искал обновления, созданные и опубликованные с помощью Updates Publisher.This policy setting must be enabled for WUA to scan for the updates that were created and published with Updates Publisher. Дополнительные сведения о включении этого параметра групповой политики см. в статье [Настройка групповой политики на клиентских компьютерах] (https://technet.microsoft.com/library/bb530967.aspx(d=robot).For more information about enabling this Group Policy setting, see [How to Configure the Group Policy on Client Computers](https://technet.microsoft.com/library/bb530967.aspx(d=robot).

Настройка групповой политики для разрешения WUA выполнить на компьютерах проверку опубликованных обновленийConfiguring Group Policy to allow WUA on computers to scan for published updates

Необходимо включить параметр политики Allow signed content from an intranet Microsoft update service location (Разрешить прием содержимого с подписью из службы обновления Майкрософт в интрасети), прежде чем агент обновления Windows сможет проверить обновления, созданные и опубликованные с помощью Updates Publisher.Before the Windows Update Agent (WUA) on computers will scan for updates that were created and published with Updates Publisher, a policy setting must be enabled to allow signed content from an intranet Microsoft update service location. Если эта политика включена, агент WUA будет принимать обновления, полученные через расположение в интрасети, если обновления подписаны в хранилище сертификатов доверенных издателей на локальном компьютере.When the policy setting is enabled, WUA will accept updates received through an intranet location if the updates are signed in the Trusted Publishers certificate store on the local computer. Существует несколько способов настройки групповой политики на компьютерах в среде.There are several methods for configuring Group Policy on computers in the environment.

Для компьютеров вне домена можно включить параметр раздела реестра Allow signed content from an intranet Microsoft Update service location (Разрешить прием содержимого с подписью из службы обновления Майкрософт в интрасети).For computers that are not on the domain, a registry key setting can be configured that allows signed content from an intranet Microsoft Update service location.

В указанных ниже процедурах приводятся основные шаги, которые можно использовать для настройки групповой политики на компьютерах в домене и значения ключа реестра на компьютерах вне домена.The following procedures provide the basic steps that can be used to configure Group Policy for computers on the domain and a registry key value on computers that are not on the domain.

Настройка групповой политики для разрешения WUA выполнить проверку опубликованных обновленийTo configure Group Policy to allow WUA to scan for published updates

  1. Откройте оснастку консоли управления (MMC) редактора объектов групповой политики, используя соответствующие права безопасности пользователя для настройки групповой политики.Open the Group Policy Object Editor Microsoft Management Console (MMC) snap-in with a user that has the appropriate security rights to configure Group Policy.

  2. Щелкните Обзор и выберите домен, подразделение или групповою политику, связанные с сайтом, на котором настроенные параметры групповой политики будут распространены на нужные клиентские компьютеры.Click Browse and select the domain, OU, or GPOs linked to the site where the configured Group Policy will propagate to the desired client computers. Нажмите кнопку ОК, щелкните Готово, Закрыть, а затем нажмите кнопку ОК еще раз.Click OK, click Finish, click Close, and then click OK.

  3. Разверните выбранный параметр политики в дереве консоли и последовательно разверните Конфигурация компьютера, Административные шаблоны и Компоненты Windows, а затем щелкните Центр обновления Windows.Expand the selected policy setting in the console tree, expand Computer Configuration, expand Administrative Templates, expand Windows Components, and then click Windows Update.

  4. В области результатов щелкните правой кнопкой мыши Allow signed content from intranet Microsoft update service location (Разрешить прием содержимого с подписью из службы обновления Майкрософт в интрасети), выберите Свойства, Включено и нажмите кнопку ОК.In the results pane, right-click Allow signed content from intranet Microsoft update service location, click Properties, click Enabled, and then click OK.