Tutorial: Konfigurieren eines Softwareupdatepunkts für die Verwendung von TLS/SSL mit einem PKI-Zertifikat
Gilt für: Configuration Manager (Current Branch)
Das Konfigurieren von WSUS-Servern (Windows Server Update Services) und den entsprechenden Softwareupdatepunkten (SUP) für die Verwendung von TLS/SSL kann die Fähigkeit eines potenziellen Angreifers verringern, einen Client remote zu kompromittieren und Berechtigungen zu erhöhen. Um sicherzustellen, dass die besten Sicherheitsprotokolle vorhanden sind, wird dringend empfohlen, das TLS/SSL-Protokoll zum Schutz Ihrer Softwareupdateinfrastruktur zu verwenden. Dieser Artikel führt Sie durch die Schritte, die erforderlich sind, um jeden Ihrer WSUS-Server und den Softwareupdatepunkt für die Verwendung von HTTPS zu konfigurieren. Weitere Informationen zum Schützen von WSUS finden Sie im Artikel Secure WSUS mit dem Secure Sockets Layer Protocol in der WSUS-Dokumentation.
In diesem Lernprogramm wird Folgendes vermittelt:
- Abrufen eines PKI-Zertifikats bei Bedarf
- Binden des Zertifikats an die WSUS-Verwaltungswebsite
- Konfigurieren der WSUS-Webdienste für die Ssl-Anforderungen
- Konfigurieren der WSUS-Anwendung für die Verwendung von SSL
- Überprüfen, ob die WSUS-Konsolenverbindung SSL verwenden kann
- Konfigurieren des Softwareupdatepunkts für die SSL-Kommunikation mit dem WSUS-Server
- Überprüfen der Funktionalität mit Configuration Manager
Überlegungen und Einschränkungen
WSUS verwendet TLS/SSL zum Authentifizieren von Clientcomputern und WSUS-Downstreamservern beim WSUS-Upstreamserver. WSUS verwendet auch TLS/SSL, um Updatemetadaten zu verschlüsseln. WSUS verwendet tls/SSL nicht für die Inhaltsdateien eines Updates. Die Inhaltsdateien sind signiert, und der Hash der Datei ist in den Metadaten des Updates enthalten. Bevor die Dateien vom Client heruntergeladen und installiert werden, werden sowohl die digitale Signatur als auch der Hash überprüft. Wenn bei einer der Überprüfungen ein Fehler auftritt, wird das Update nicht installiert.
Beachten Sie die folgenden Einschränkungen, wenn Sie TLS/SSL zum Schützen einer WSUS-Bereitstellung verwenden:
- Die Verwendung von TLS/SSL erhöht die Serverworkload. Sie sollten mit einem kleinen Leistungsverlust rechnen, wenn alle Metadaten verschlüsselt werden, die über das Netzwerk gesendet werden.
- Wenn Sie WSUS mit einer SQL Server-Remotedatenbank verwenden, wird die Verbindung zwischen dem WSUS-Server und dem Datenbankserver nicht durch TLS/SSL geschützt. Wenn die Datenbankverbindung gesichert werden muss, sollten Sie die folgenden Empfehlungen berücksichtigen:
- Verschieben Sie die WSUS-Datenbank auf den WSUS-Server.
- Verschieben Sie den Remotedatenbankserver und den WSUS-Server in ein privates Netzwerk.
- Stellen Sie Internetprotokollsicherheit (Internet Protocol Security, IPsec) bereit, um den Netzwerkdatenverkehr zu schützen.
Wenn Sie WSUS-Server und deren Softwareupdatepunkte für die Verwendung von TLS/SSL konfigurieren, sollten Sie die Änderungen für große Configuration Manager-Hierarchien schrittweise durchführen. Wenn Sie diese Änderungen schrittweise durchführen möchten, beginnen Sie am unteren Rand der Hierarchie, und bewegen Sie sich nach oben und endet mit dem Standort der zentralen Verwaltung.
Voraussetzungen
In diesem Tutorial wird die am häufigsten verwendete Methode zum Abrufen eines Zertifikats für die Verwendung mit Internetinformationsdiensten (IIS) behandelt. Unabhängig davon, welche Methode Ihre Organisation verwendet, stellen Sie sicher, dass das Zertifikat die PKI-Zertifikatanforderungen für einen Configuration Manager-Softwareupdatepunkt erfüllt. Wie bei jedem Zertifikat muss die Zertifizierungsstelle von Geräten, die mit dem WSUS-Server kommunizieren, als vertrauenswürdig eingestuft werden.
- Ein WSUS-Server mit installierter Softwareupdatepunktrolle
- Vergewissern Sie sich, dass Sie die bewährten Methoden zum Deaktivieren der Wiederverwendung und Konfigurieren von Speichergrenzwerten für WSUS befolgt haben, bevor Sie TLS/SSL aktivieren.
- Eine der beiden folgenden Optionen:
- Ein entsprechendes PKI-Zertifikat, das sich bereits im persönlichen Zertifikatspeicher des WSUS-Servers befindet.
- Die Möglichkeit, ein geeignetes PKI-Zertifikat für den WSUS-Server von Ihrer Unternehmensstammzertifizierungsstelle (Ca) anzufordern und abzurufen.
- Standardmäßig werden die meisten Zertifikatvorlagen, einschließlich der WebServer-Zertifikatvorlage, nur für Domänenadministratoren ausstellen. Wenn der angemeldete Benutzer kein Domänenadministrator ist, muss sein Benutzerkonto die Berechtigung Registrieren für die Zertifikatvorlage erhalten.
Rufen Sie bei Bedarf das Zertifikat von der Zertifizierungsstelle ab.
Wenn Sie bereits über ein entsprechendes Zertifikat im persönlichen Zertifikatspeicher des WSUS-Servers verfügen, überspringen Sie diesen Abschnitt, und beginnen Sie mit dem Abschnitt Binden des Zertifikats . Befolgen Sie die Anweisungen in diesem Abschnitt, um eine Zertifikatanforderung an Ihre interne Zertifizierungsstelle zu senden, um ein neues Zertifikat zu installieren.
Öffnen Sie auf dem WSUS-Server eine administrative Eingabeaufforderung, und führen Sie aus
certlm.msc
. Ihr Benutzerkonto muss ein lokaler Administrator sein, um Zertifikate für den lokalen Computer zu verwalten.Das Zertifikat-Manager-Tool für das lokale Gerät wird angezeigt.
Erweitern Sie Persönlich, und klicken Sie dann mit der rechten Maustaste auf Zertifikate.
Wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.
Wählen Sie Weiter aus, um mit der Zertifikatregistrierung zu beginnen.
Wählen Sie den Typ des zu registrierenden Zertifikats aus. Der Zertifikatzweck ist Die Serverauthentifizierung , und die zu verwendende Microsoft-Zertifikatvorlage ist Webserver oder eine benutzerdefinierte Vorlage, für die die Serverauthentifizierung als Erweiterte Schlüsselverwendung angegeben ist. Möglicherweise werden Sie aufgefordert, zusätzliche Informationen zum Registrieren des Zertifikats einzugeben. In der Regel geben Sie mindestens die folgenden Informationen an:
- Trivialname: Legen Sie auf der Registerkarte Betreff den Wert auf den FQDN des WSUS-Servers fest.
- Anzeigename: Legen Sie auf der Registerkarte Allgemein den Wert auf einen beschreibenden Namen fest, damit Sie das Zertifikat später leichter identifizieren können.
Wählen Sie Registrieren und dann Fertig stellen aus, um die Registrierung abzuschließen.
Öffnen Sie das Zertifikat, wenn Sie Details dazu anzeigen möchten, z. B. den Fingerabdruck des Zertifikats.
Tipp
Wenn Ihr WSUS-Server mit Internetzugriff arbeitet, benötigen Sie den externen FQDN im Antragsteller oder im ALTERNATIVEN Antragstellernamen (Subject Alternative Name, SAN) in Ihrem Zertifikat.
Binden des Zertifikats an die WSUS-Verwaltungswebsite
Sobald Sie das Zertifikat im persönlichen Zertifikatspeicher des WSUS-Servers haben, binden Sie es an die WSUS-Verwaltungswebsite in IIS.
Öffnen Sie auf dem WSUS-Server den IIS-Manager (Internetinformationsdienste).
Wechseln Sie zu Websites>WSUS-Verwaltung.
Wählen Sie entweder im Aktionsmenü Bindungen aus, oder klicken Sie mit der rechten Maustaste auf die Website.
Wählen Sie im Fenster Websitebindungen die Zeile für https aus, und wählen Sie dann Bearbeiten... aus.
- Entfernen Sie die HTTP-Websitebindung nicht. WSUS verwendet HTTP für die Updateinhaltsdateien.
Wählen Sie unter der Option SSL-Zertifikat das Zertifikat aus, das an den WSUS-Verwaltungsstandort gebunden werden soll. Der Anzeigename des Zertifikats wird im Dropdownmenü angezeigt. Wenn kein Anzeigename angegeben wurde, wird das Feld des Zertifikats
IssuedTo
angezeigt. Wenn Sie nicht sicher sind, welches Zertifikat Sie verwenden möchten, wählen Sie Anzeigen aus, und überprüfen Sie, ob der Fingerabdruck dem Von Ihnen erworbenen Fingerabdruck entspricht.Wählen Sie OK aus, wenn Sie fertig sind, und dann Schließen , um die Websitebindungen zu beenden. Lassen Sie den Internetinformationsdienste-Manager (IIS) für die nächsten Schritte geöffnet.
Konfigurieren der WSUS-Webdienste für die Ssl-Anforderungen
Wechseln Sie im IIS-Manager auf dem WSUS-Server zu Standorte>WSUS-Verwaltung.
Erweitern Sie die WSUS-Verwaltungswebsite, damit die Liste der Webdienste und virtuellen Verzeichnisse für WSUS angezeigt wird.
Für jeden der folgenden WSUS-Webdienste:
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Nehmen Sie die folgenden Änderungen vor:
- Wählen Sie SSL-Einstellungen aus.
- Aktivieren Sie die Option SSL erforderlich .
- Vergewissern Sie sich, dass die Option Clientzertifikate auf Ignorieren festgelegt ist.
- Wählen Sie Anwenden aus.
Legen Sie die SSL-Einstellungen nicht auf der WSUS-Verwaltungswebsite der obersten Ebene fest, da bestimmte Funktionen, z. B. Inhalte, HTTP verwenden müssen.
Konfigurieren der WSUS-Anwendung für die Verwendung von SSL
Sobald für die Webdienste SSL erforderlich ist, muss die WSUS-Anwendung benachrichtigt werden, damit sie eine zusätzliche Konfiguration durchführen kann, um die Änderung zu unterstützen.
Öffnen Sie eine Administratoreingabeaufforderung auf dem WSUS-Server. Das Benutzerkonto, in dem dieser Befehl ausgeführt wird, muss Mitglied der WSUS-Administratorgruppe oder der lokalen Administratorgruppe sein.
Wechseln Sie zum Ordner tools für WSUS:
cd "c:\Program Files\Update Services\Tools"
Konfigurieren Sie WSUS für die Verwendung von SSL mit dem folgenden Befehl:
WsusUtil.exe configuressl server.contoso.com
Wobei server.contoso.com der FQDN des WSUS-Servers ist.
WsusUtil gibt die URL des WSUS-Servers mit der am Ende angegebenen Portnummer zurück. Der Port ist entweder 8531 (Standard) oder 443. Vergewissern Sie sich, dass die zurückgegebene URL ihren Erwartungen entspricht. Wenn etwas falsch eingegeben wurde, können Sie den Befehl erneut ausführen.
Tipp
Wenn Ihr WSUS-Server mit Internet verbunden ist, geben Sie den externen FQDN an, wenn Sie ausführen WsusUtil.exe configuressl
.
Vergewissern Sie sich, dass die WSUS-Konsole eine Ssl-Verbindung herstellen kann.
Die WSUS-Konsole verwendet den ApiRemoting30-Webdienst für die Verbindung. Der Configuration Manager-Softwareupdatepunkt (SUP) verwendet auch diesen Webdienst, um WSUS anweisen, bestimmte Aktionen auszuführen, z. B.:
- Initiieren einer Softwareupdatesynchronisierung
- Festlegen des richtigen Upstreamservers für WSUS, der davon abhängt, wo sich der SUP-Standort in Ihrer Configuration Manager-Hierarchie befindet
- Hinzufügen oder Entfernen von Produkten und Klassifizierungen für die Synchronisierung auf dem WSUS-Server der obersten Ebene der Hierarchie.
- Entfernen abgelaufener Updates
Öffnen Sie die WSUS-Konsole, um zu überprüfen, ob Sie eine SSL-Verbindung mit dem ApiRemoting30-Webdienst des WSUS-Servers verwenden können. Einige der anderen Webdienste werden später getestet.
Öffnen Sie die WSUS-Konsole, und wählen Sie Aktion>Verbindung mit Server herstellen aus.
Geben Sie den FQDN des WSUS-Servers für die Option Servername ein .
Wählen Sie die Portnummer aus, die in der URL von WSUSutil zurückgegeben wird.
Die Option Secure Sockets Layer (SSL) zum Herstellen einer Verbindung mit diesem Server verwenden aktiviert automatisch, wenn entweder 8531 (Standard) oder 443 ausgewählt wird.
Wenn ihr Configuration Manager-Standortserver remote vom Softwareupdatepunkt entfernt ist, starten Sie die WSUS-Konsole vom Standortserver aus, und überprüfen Sie, ob die WSUS-Konsole eine Verbindung über SSL herstellen kann.
- Wenn die WSUS-Remotekonsole keine Verbindung herstellen kann, deutet dies wahrscheinlich auf ein Problem mit dem Vertrauen des Zertifikats, der Namensauflösung oder dem blockierten Port hin.
Konfigurieren des Softwareupdatepunkts für die SSL-Kommunikation mit dem WSUS-Server
Nachdem WSUS für die Verwendung von TLS/SSL eingerichtet wurde, müssen Sie den entsprechenden Configuration Manager-Softwareupdatepunkt aktualisieren, damit auch SSL erforderlich ist. Wenn Sie diese Änderung vornehmen, führt Configuration Manager folgende Aktionen aus:
- Überprüfen, ob der WSUS-Server für den Softwareupdatepunkt konfiguriert werden kann
- Weisen Sie Clients an, den SSL-Port zu verwenden, wenn sie aufgefordert werden, mit diesem WSUS-Server zu scannen.
Führen Sie die folgenden Schritte aus, um den Softwareupdatepunkt so zu konfigurieren, dass die SSL-Kommunikation mit dem WSUS-Server erforderlich ist:
Öffnen Sie die Configuration Manager-Konsole, und stellen Sie entweder eine Verbindung mit Ihrem Standort der zentralen Verwaltung oder dem primären Standortserver für den Softwareupdatepunkt her, den Sie bearbeiten müssen.
Wechseln Sie zu Verwaltung>ÜbersichtStandortkonfigurationsserver>>und Standortsystemrollen.
Wählen Sie den Standortsystemserver aus, auf dem WSUS installiert ist, und wählen Sie dann die Standortsystemrolle Softwareupdatepunkt aus.
Wählen Sie im Menüband Eigenschaften aus.
Aktivieren Sie die Option SSL-Kommunikation mit dem WSUS-Server erforderlich .
Im WCM.log für die Website werden die folgenden Einträge angezeigt, wenn Sie die Änderung anwenden:
SCF change notification triggered. Populating config from SCF Setting new configuration state to 1 (WSUS_CONFIG_PENDING) ... Attempting connection to local WSUS server Successfully connected to local WSUS server ... Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
Protokolldateibeispiele wurden bearbeitet, um nicht benötigte Informationen für dieses Szenario zu entfernen.
Überprüfen der Funktionalität mit Configuration Manager
Überprüfen, ob der Standortserver Updates synchronisieren kann
Verbinden Sie die Configuration Manager-Konsole mit dem Standort der obersten Ebene.
Wechseln Sie zu Softwarebibliothek>Übersicht>Softwareupdates>Alle Softwareupdates.
Wählen Sie im Menüband Softwareupdates synchronisieren aus.
Wählen Sie Ja aus, wenn Sie gefragt werden, ob Sie eine standortweite Synchronisierung für Softwareupdates initiieren möchten.
- Da sich die WSUS-Konfiguration geändert hat, erfolgt anstelle einer Deltasynchronisierung eine vollständige Softwareupdatesynchronisierung.
Öffnen Sie die wsyncmgr.log für die Website. Wenn Sie einen untergeordneten Standort überwachen, müssen Sie warten, bis der übergeordnete Standort zuerst die Synchronisierung abgeschlossen hat. Überprüfen Sie, ob der Server erfolgreich synchronisiert wird, indem Sie das Protokoll auf Einträge wie die folgenden überprüfen:
Starting Sync ... Full sync required due to changes in main WSUS server location. ... Found active SUP SERVER.CONTOSO.COM from SCF File. ... https://SERVER.CONTOSO.COM:8531 ... Done synchronizing WSUS Server SERVER.CONTOSO.COM ... sync: Starting SMS database synchronization ... Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
Überprüfen, ob ein Client nach Updates suchen kann
Wenn Sie den Softwareupdatepunkt so ändern, dass SSL erforderlich ist, erhalten Configuration Manager-Clients die aktualisierte WSUS-URL, wenn eine Standortanforderung für einen Softwareupdatepunkt gestellt wird. Durch das Testen eines Clients können wir:
- Ermitteln Sie, ob der Client dem Zertifikat des WSUS-Servers vertraut.
- Wenn simpleAuthWebService und ClientWebService für WSUS funktionsfähig sind.
- Dass das virtuelle WSUS-Inhaltsverzeichnis funktionsfähig ist, wenn der Client während der Überprüfung einen Lizenzvertrag erhalten hat
Identifizieren Sie einen Client, der den Softwareupdatepunkt überprüft, der kürzlich zur Verwendung von TLS/SSL geändert wurde. Verwenden Sie Skripts ausführen mit dem folgenden PowerShell-Skript, wenn Sie Hilfe beim Identifizieren eines Clients benötigen:
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath Write-Host "LastGoodSUP- $last" Write-Host "CurrentSUP- $current"
Tipp
Öffnen Sie dieses Skript im Community Hub. Weitere Informationen finden Sie unter Direkte Links zu Community Hub-Elementen.
Führen Sie einen Überprüfungszyklus für Softwareupdates auf Ihrem Testclient aus. Sie können eine Überprüfung mit dem folgenden PowerShell-Skript erzwingen:
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
Tipp
Öffnen Sie dieses Skript im Community Hub. Weitere Informationen finden Sie unter Direkte Links zu Community Hub-Elementen.
Überprüfen Sie die ScanAgent.log des Clients, um zu überprüfen, ob die Nachricht empfangen wurde, die für den Softwareupdatepunkt überprüft werden soll.
Message received: '<?xml version='1.0' ?> <UpdateSourceMessage MessageType='ScanByUpdateSource'> <ForceScan>TRUE</ForceScan> <UpdateSourceIDs> <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID> </UpdateSourceIDs> </UpdateSourceMessage>'
Überprüfen Sie die LocationServices.log , um sicherzustellen, dass der Client die richtige WSUS-URL sieht. LocationServices.log
WSUSLocationReply : <WSUSLocationReply SchemaVersion="1 ... <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM" ... </WSUSLocationReply>
Überprüfen Sie die WUAHandler.log , um sicherzustellen, dass der Client die Überprüfung erfolgreich durchführen kann.
Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531 ... Successfully completed scan.
Anheften von TLS-Zertifikaten für Geräte, die HTTPS-konfigurierte WSUS-Server überprüfen
(Eingeführt in 2103)
Ab Configuration Manager 2103 können Sie die Sicherheit von HTTPS-Überprüfungen für WSUS weiter erhöhen, indem Sie das Anheften von Zertifikaten erzwingen. Um dieses Verhalten vollständig zu aktivieren, fügen Sie Zertifikate für Ihre WSUS-Server dem neuen WindowsServerUpdateServices
Zertifikatspeicher auf Ihren Clients hinzu, und stellen Sie sicher, dass das Anheften von Zertifikaten über die Clienteinstellungen aktiviert ist. Weitere Informationen zu den Änderungen am Windows Update-Agent finden Sie unter Scan changes and certificates add security for Windows devices using WSUS for updates ( Microsoft Tech Community).
Voraussetzungen für das Erzwingen des Anheftens von TLS-Zertifikaten für den Windows Update-Client
- Configuration Manager, Version 2103
- Stellen Sie sicher, dass Ihre WSUS-Server und Softwareupdatepunkte für die Verwendung von TLS/SSL konfiguriert sind.
- Hinzufügen der Zertifikate für Ihre WSUS-Server zum neuen
WindowsServerUpdateServices
Zertifikatspeicher auf Ihren Clients- Wenn Sie das Anheften von Zertifikaten mit einem Cloudverwaltungsgateway (CMG) verwenden, benötigt der
WindowsServerUpdateServices
Speicher das CMG-Zertifikat. Wenn Clients vom Internet zu VPN wechseln, werden sowohl die CMG- als auch die WSUS-Serverzertifikate imWindowsServerUpdateServices
Speicher benötigt.
- Wenn Sie das Anheften von Zertifikaten mit einem Cloudverwaltungsgateway (CMG) verwenden, benötigt der
Hinweis
Softwareupdatescans für Geräte werden weiterhin erfolgreich ausgeführt, wobei der Standardwert Ja für die Clienteinstellung Erzwingen von TLS-Zertifikaten für den Windows Update-Client zur Erkennung von Updates verwendet wird. Dies schließt Überprüfungen sowohl über HTTP als auch über HTTPS ein. Das Anheften des Zertifikats wird erst wirksam, wenn sich ein Zertifikat im Speicher des WindowsServerUpdateServices
Clients befindet und der WSUS-Server für die Verwendung von TLS/SSL konfiguriert ist.
Aktivieren oder Deaktivieren des ANHEFTens von TLS-Zertifikaten für Geräte, die HTTPS-konfigurierte WSUS-Server überprüfen
- Wechseln Sie in der Configuration Manager-Konsole zuVerwaltungsclienteinstellungen>.
- Wählen Sie die Standardclienteinstellungen oder einen benutzerdefinierten Satz von Clienteinstellungen aus, und wählen Sie dann Eigenschaften im Menüband aus.
- Wählen Sie in den Clienteinstellungen die Registerkarte Softwareupdates aus.
- Wählen Sie eine der folgenden Optionen für die Einstellung TLS-Zertifikatsheftung für Windows Update-Client zum Erkennen von Updates erzwingen aus:
- Nein: Aktivieren Sie die Erzwingung des ANHEFTens von TLS-Zertifikaten für die WSUS-Überprüfung nicht.
- Ja: Aktiviert die Erzwingung des Anheftens von TLS-Zertifikaten für Geräte während der WSUS-Überprüfung (Standard)
- Überprüfen Sie, ob Clients nach Updates suchen können.