Tutorial: Configuración de un punto de actualización de software para usar TLS/SSL con un certificado PKI
Se aplica a: Configuration Manager (rama actual)
La configuración de servidores de Windows Server Update Services (WSUS) y sus puntos de actualización de software (SUP) correspondientes para usar TLS/SSL puede reducir la capacidad de un posible atacante de poner en peligro de forma remota un cliente y elevar los privilegios. Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. Este artículo le guiará por los pasos necesarios para configurar cada uno de los servidores WSUS y el punto de actualización de software para usar HTTPS. Para obtener más información sobre cómo proteger WSUS, consulte el artículo Secure WSUS with the Secure Sockets Layer Protocol (Proteger WSUS con el protocolo de capa de sockets seguros ) en la documentación de WSUS.
En este tutorial, aprenderá a:
- Obtener un certificado PKI, si es necesario
- Enlace del certificado al sitio web de administración de WSUS
- Configuración de los servicios web wsus para requerir SSL
- Configuración de la aplicación WSUS para usar SSL
- Comprobación de que la conexión de consola de WSUS puede usar SSL
- Configuración del punto de actualización de software para que requiera comunicación SSL con el servidor WSUS
- Comprobación de la funcionalidad con Configuration Manager
Consideraciones y limitaciones
WSUS usa TLS/SSL para autenticar equipos cliente y servidores WSUS de bajada en el servidor WSUS ascendente. WSUS también usa TLS/SSL para cifrar los metadatos de actualización. WSUS no usa TLS/SSL para los archivos de contenido de una actualización. Los archivos de contenido están firmados y el hash del archivo se incluye en los metadatos de la actualización. Antes de que el cliente descargue e instale los archivos, se comprueban tanto la firma digital como el hash. Si se produce un error en una comprobación, no se instalará la actualización.
Tenga en cuenta las siguientes limitaciones al usar TLS/SSL para proteger una implementación de WSUS:
- El uso de TLS/SSL aumenta la carga de trabajo del servidor. Debe esperar una pequeña pérdida de rendimiento al cifrar todos los metadatos que se envían a través de la red.
- Si usa WSUS con una base de datos remota de SQL Server, la conexión entre el servidor WSUS y el servidor de base de datos no está protegida por TLS/SSL. Si la conexión de base de datos debe estar protegida, tenga en cuenta las siguientes recomendaciones:
- Mueva la base de datos WSUS al servidor WSUS.
- Mueva el servidor de base de datos remoto y el servidor WSUS a una red privada.
- Implemente la seguridad del protocolo de Internet (IPsec) para ayudar a proteger el tráfico de red.
Al configurar los servidores WSUS y sus puntos de actualización de software para usar TLS/SSL, es posible que desee realizar los cambios de las jerarquías de Configuration Manager de gran tamaño. Si decide realizar la fase de estos cambios, comience en la parte inferior de la jerarquía y avance hacia arriba hasta el sitio de administración central.
Requisitos previos
En este tutorial se describe el método más común para obtener un certificado para su uso con Internet Information Services (IIS). Sea cual sea el método que use su organización, asegúrese de que el certificado cumple los requisitos de certificado PKI para un punto de actualización de software de Configuration Manager. Al igual que con cualquier certificado, los dispositivos que se comunican con el servidor WSUS deben confiar en la entidad de certificación.
- Un servidor WSUS con el rol de punto de actualización de software instalado
- Compruebe que ha seguido los procedimientos recomendados para deshabilitar el reciclaje y configurar los límites de memoria para WSUS antes de habilitar TLS/SSL.
- Una de las dos opciones siguientes:
- Un certificado PKI adecuado ya en el almacén de certificados personal del servidor WSUS.
- La capacidad de solicitar y obtener un certificado PKI adecuado para el servidor WSUS de la entidad de certificación raíz (CA) de empresa.
- De forma predeterminada, la mayoría de las plantillas de certificado, incluida la plantilla de certificado WebServer, solo se emitirán a los administradores de dominio. Si el usuario que ha iniciado sesión no es un administrador de dominio, tendrá que conceder a su cuenta de usuario el permiso Inscribir en la plantilla de certificado.
Obtener el certificado de la entidad de certificación si es necesario
Si ya tiene un certificado adecuado en el almacén de certificados personal del servidor WSUS, omita esta sección y comience con la sección Enlazar el certificado . Para enviar una solicitud de certificado a la ca interna para instalar un nuevo certificado, siga las instrucciones de esta sección.
En el servidor WSUS, abra un símbolo del sistema administrativo y ejecute
certlm.msc
. La cuenta de usuario debe ser un administrador local para administrar certificados para el equipo local.Aparece la herramienta Administrador de certificados para el dispositivo local.
Expanda Personal y haga clic con el botón derecho en Certificados.
Seleccione Todas las tareas y, a continuación, Solicitar nuevo certificado.
Elija Siguiente para comenzar la inscripción de certificados.
Elija el tipo de certificado que se va a inscribir. El propósito del certificado es Autenticación de servidor y la plantilla de certificado de Microsoft que se va a usar es Servidor web o una plantilla personalizada que tiene autenticación de servidor especificada como Uso mejorado de claves. Es posible que se le pida información adicional para inscribir el certificado. Normalmente, especificará la siguiente información como mínimo:
- Nombre común: En la pestaña Asunto , establezca el valor en el FQDN del servidor WSUS.
- Nombre descriptivo: En la pestaña General , establezca el valor en un nombre descriptivo para ayudarle a identificar el certificado más adelante.
Seleccione Inscribir yfinalizar para completar la inscripción.
Abra el certificado si desea ver detalles al respecto, como la huella digital del certificado.
Sugerencia
Si el servidor WSUS está accesible desde Internet, necesitará el FQDN externo en el asunto o el nombre alternativo del firmante (SAN) en el certificado.
Enlace del certificado al sitio de administración de WSUS
Una vez que tenga el certificado en el almacén de certificados personal del servidor WSUS, conéctelo al sitio de administración de WSUS en IIS.
En el servidor WSUS, abra el Administrador de Internet Information Services (IIS).
Vaya a Administración de WSUS de sitios>.
Seleccione Enlaces en el menú de acciones o haciendo clic con el botón derecho en el sitio.
En la ventana Enlaces de sitio , seleccione la línea para https y, a continuación, seleccione Editar....
- No quite el enlace de sitio HTTP. WSUS usa HTTP para los archivos de contenido de actualización.
En la opción Certificado SSL , elija el certificado que se va a enlazar al sitio de administración de WSUS. El nombre descriptivo del certificado se muestra en el menú desplegable. Si no se especificó un nombre descriptivo, se muestra el campo del
IssuedTo
certificado. Si no está seguro de qué certificado usar, seleccione Ver y compruebe que la huella digital coincide con la que obtuvo.Seleccione Aceptar cuando haya terminado y, a continuación, Cerrar para salir de los enlaces de sitio. Mantenga abierto el Administrador de Internet Information Services (IIS) para los pasos siguientes.
Configuración de los servicios web wsus para requerir SSL
En el Administrador de IIS en el servidor WSUS, vaya a Administración de WSUS de sitios>.
Expanda el sitio de administración de WSUS para ver la lista de servicios web y directorios virtuales para WSUS.
Para cada uno de los siguientes servicios web wsus:
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Realice los cambios siguientes:
- Seleccione Configuración de SSL.
- Habilite la opción Requerir SSL .
- Compruebe que la opción Certificados de cliente está establecida en Omitir.
- Seleccione Aplicar.
No establezca la configuración ssl en el sitio de administración de WSUS de nivel superior, ya que ciertas funciones, como el contenido, deben usar HTTP.
Configuración de la aplicación WSUS para usar SSL
Una vez que los servicios web se establecen para requerir SSL, es necesario notificar a la aplicación WSUS para que pueda realizar alguna configuración adicional para admitir el cambio.
Abra un símbolo del sistema de administración en el servidor WSUS. La cuenta de usuario que ejecuta este comando debe ser miembro del grupo Administradores de WSUS o del grupo administradores local.
Cambie el directorio a la carpeta tools para WSUS:
cd "c:\Program Files\Update Services\Tools"
Configure WSUS para usar SSL con el siguiente comando:
WsusUtil.exe configuressl server.contoso.com
Donde server.contoso.com es el FQDN del servidor WSUS.
WsusUtil devuelve la dirección URL del servidor WSUS con el número de puerto especificado al final. El puerto será 8531 (valor predeterminado) o 443. Compruebe que la dirección URL devuelta es la que esperaba. Si se ha escrito algo mal, puede volver a ejecutar el comando.
Sugerencia
Si el servidor WSUS está accesible desde Internet, especifique el FQDN externo al ejecutar WsusUtil.exe configuressl
.
Comprobación de que la consola de WSUS se puede conectar mediante SSL
La consola de WSUS usa el servicio web ApiRemoting30 para la conexión. El punto de actualización de software (SUP) de Configuration Manager también usa este mismo servicio web para indicar a WSUS que realice ciertas acciones, como:
- Inicio de una sincronización de actualizaciones de software
- Establecimiento del servidor ascendente adecuado para WSUS, que depende de dónde resida el sitio del SUP en la jerarquía de Configuration Manager
- Agregar o quitar productos y clasificaciones para la sincronización del servidor WSUS de nivel superior de la jerarquía.
- Eliminación de actualizaciones expiradas
Abra la consola de WSUS para comprobar que puede usar una conexión SSL al servicio web ApiRemoting30 del servidor WSUS. Probaremos algunos de los otros servicios web más adelante.
Abra la consola de WSUS y seleccione ActionConnect to Server (Conectar> con el servidor).
Escriba el FQDN del servidor WSUS para la opción Nombre del servidor .
Elija el número de puerto devuelto en la dirección URL de WSUSutil.
La opción Usar capa de sockets seguros (SSL) para conectarse a este servidor se habilita automáticamente cuando se elige 8531 (valor predeterminado) o 443.
Si el servidor de sitio de Configuration Manager es remoto desde el punto de actualización de software, inicie la consola WSUS desde el servidor de sitio y compruebe que la consola de WSUS se puede conectar a través de SSL.
- Si la consola remota de WSUS no se puede conectar, es probable que indique un problema con la confianza en el certificado, la resolución de nombres o el puerto bloqueado.
Configuración del punto de actualización de software para que requiera comunicación SSL con el servidor WSUS
Una vez que WSUS esté configurado para usar TLS/SSL, deberá actualizar el punto de actualización de software de Configuration Manager correspondiente para que también requiera SSL. Cuando realice este cambio, Configuration Manager hará lo siguiente:
- Compruebe que puede configurar el servidor WSUS para el punto de actualización de software.
- Indique a los clientes que usen el puerto SSL cuando se les indique que examinen en este servidor WSUS.
Para configurar el punto de actualización de software para que requiera comunicación SSL con el servidor WSUS, siga estos pasos:
Abra la consola de Configuration Manager y conéctese al sitio de administración central o al servidor de sitio principal para el punto de actualización de software que necesita editar.
Vaya a Administración>Información general Servidores>de configuración de>sitio y Roles de sistema de sitio.
Seleccione el servidor de sistema de sitio donde está instalado WSUS y, a continuación, seleccione el rol de sistema de sitio de punto de actualización de software.
En la cinta de opciones, elija Propiedades.
Habilite la opción Requerir comunicación SSL con el servidor WSUS .
En la WCM.log del sitio, verá las siguientes entradas al aplicar el cambio:
SCF change notification triggered. Populating config from SCF Setting new configuration state to 1 (WSUS_CONFIG_PENDING) ... Attempting connection to local WSUS server Successfully connected to local WSUS server ... Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
Se han editado ejemplos de archivos de registro para quitar información innecesaria para este escenario.
Comprobación de la funcionalidad con Configuration Manager
Comprobación de que el servidor de sitio puede sincronizar actualizaciones
Conecte la consola de Configuration Manager al sitio de nivel superior.
Vaya a Software Library>Overview>Software UpdatesAll Software Updates (Actualizaciones de software todas las actualizaciones de software).>
En la cinta de opciones, seleccione Sincronizar actualizaciones de software.
Seleccione Sí en la notificación que le pregunta si desea iniciar una sincronización en todo el sitio para las actualizaciones de software.
- Desde que cambió la configuración de WSUS, se producirá una sincronización de actualizaciones de software completa en lugar de una sincronización diferencial.
Abra el wsyncmgr.log del sitio. Si va a supervisar un sitio secundario, tendrá que esperar a que el sitio primario finalice primero la sincronización. Compruebe que el servidor se sincroniza correctamente revisando el registro de entradas similares a las siguientes:
Starting Sync ... Full sync required due to changes in main WSUS server location. ... Found active SUP SERVER.CONTOSO.COM from SCF File. ... https://SERVER.CONTOSO.COM:8531 ... Done synchronizing WSUS Server SERVER.CONTOSO.COM ... sync: Starting SMS database synchronization ... Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
Comprobación de que un cliente puede buscar actualizaciones
Al cambiar el punto de actualización de software para requerir SSL, los clientes de Configuration Manager reciben la dirección URL de WSUS actualizada cuando realiza una solicitud de ubicación para un punto de actualización de software. Al probar un cliente, podemos:
- Determine si el cliente confía en el certificado del servidor WSUS.
- Si SimpleAuthWebService y ClientWebService para WSUS son funcionales.
- Que el directorio virtual de contenido de WSUS es funcional, si el cliente ha tenido que obtener un CLUF durante el examen
Identifique un cliente que examina el punto de actualización de software que ha cambiado recientemente para usar TLS/SSL. Use Ejecutar scripts con el siguiente script de PowerShell si necesita ayuda para identificar un cliente:
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath Write-Host "LastGoodSUP- $last" Write-Host "CurrentSUP- $current"
Sugerencia
Abra este script en el centro de comunidad. Para obtener más información, consulte Vínculos directos a elementos del centro de la comunidad.
Ejecute un ciclo de examen de actualización de software en el cliente de prueba. Puede forzar un examen con el siguiente script de PowerShell:
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
Sugerencia
Abra este script en el centro de comunidad. Para obtener más información, consulte Vínculos directos a elementos del centro de la comunidad.
Revise la ScanAgent.log del cliente para comprobar que se ha recibido el mensaje para examinar el punto de actualización de software.
Message received: '<?xml version='1.0' ?> <UpdateSourceMessage MessageType='ScanByUpdateSource'> <ForceScan>TRUE</ForceScan> <UpdateSourceIDs> <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID> </UpdateSourceIDs> </UpdateSourceMessage>'
Revise el LocationServices.log para comprobar que el cliente ve la dirección URL de WSUS correcta. LocationServices.log
WSUSLocationReply : <WSUSLocationReply SchemaVersion="1 ... <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM" ... </WSUSLocationReply>
Revise el WUAHandler.log para comprobar que el cliente puede examinar correctamente.
Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531 ... Successfully completed scan.
Anclaje de certificados TLS para dispositivos que examinan servidores WSUS configurados con HTTPS
(Introducido en 2103)
A partir de Configuration Manager 2103, puede aumentar aún más la seguridad de los exámenes HTTPS en WSUS mediante la aplicación del anclaje de certificados. Para habilitar completamente este comportamiento, agregue certificados para los servidores WSUS al nuevo WindowsServerUpdateServices
almacén de certificados en los clientes y asegúrese de que el anclaje de certificados está habilitado a través de la configuración de cliente. Para obtener más información sobre los cambios en el Agente de Windows Update, consulte Examen de cambios y certificados que agregan seguridad para dispositivos Windows mediante WSUS para actualizaciones: Microsoft Tech Community.
Requisitos previos para aplicar el anclaje de certificados TLS para el cliente de Windows Update
- Versión 2103 de Configuration Manager
- Asegúrese de que los servidores WSUS y los puntos de actualización de software están configurados para usar TLS/SSL.
- Agregar los certificados de los servidores WSUS al nuevo
WindowsServerUpdateServices
almacén de certificados en los clientes- Cuando se usa el anclaje de certificados con una puerta de enlace de administración en la nube (CMG), el
WindowsServerUpdateServices
almacén necesita el certificado de CMG. Si los clientes cambian de Internet a VPN, los certificados de servidor CMG y WSUS son necesarios en elWindowsServerUpdateServices
almacén.
- Cuando se usa el anclaje de certificados con una puerta de enlace de administración en la nube (CMG), el
Nota:
Los exámenes de actualizaciones de software para dispositivos seguirán ejecutándose correctamente con el valor predeterminado de Sí para aplicar el anclaje de certificados TLS para el cliente de Windows Update para detectar actualizaciones . Esto incluye exámenes a través de HTTP y HTTPS. El anclaje de certificados no surte efecto hasta que un certificado esté en el almacén del WindowsServerUpdateServices
cliente y el servidor WSUS esté configurado para usar TLS/SSL.
Habilitación o deshabilitación del anclaje de certificados TLS para dispositivos que examinan servidores WSUS configurados con HTTPS
- En la consola de Configuration Manager, vaya aConfiguración del cliente deadministración>.
- Elija la configuración de cliente predeterminada o un conjunto personalizado de configuración de cliente y, a continuación, seleccione Propiedades en la cinta de opciones.
- Seleccione la pestaña Actualizaciones de software en la configuración de cliente.
- Elija una de las siguientes opciones para aplicar el anclaje de certificados TLS para el cliente de Windows Update para detectar actualizaciones :
- No: No habilite la aplicación del anclaje de certificados TLS para el examen de WSUS.
- Sí: permite la aplicación del anclaje de certificados TLS para dispositivos durante el examen de WSUS (valor predeterminado)
- Compruebe que los clientes pueden buscar actualizaciones.