Share via


Certificaten en beveiliging voor Updates Publisher beheren

Van toepassing op: Configuration Manager (current branch)

De volgende procedures kunnen u helpen bij het configureren van het certificaatarchief op de updateserver, het configureren van een zelfondertekend certificaat op de clientcomputer en het configureren van de groepsbeleid zodat de Windows Update Agent op computers kan scannen op gepubliceerde updates.

Het certificaatarchief op de updateserver configureren

Updates Publisher gebruikt een digitaal certificaat om de updates te ondertekenen in de catalogi die worden gepubliceerd. Voordat een catalogus kan worden gepubliceerd naar de updateserver, moet dat certificaat zich bevinden in het certificaatarchief op de updateserver en in het certificaatarchief van de Updates Publisher-computer als die computer extern van de updateserver is.

De volgende procedure is een van de verschillende mogelijke methoden om het certificaat toe te voegen aan het certificaatarchief op de updateserver.

Het certificaatarchief configureren

  1. Klik op een computer die toegang heeft tot zowel de Updates Publisher-computer als de updateserver op Start, klik op Uitvoeren, typ MMC in het tekstvak en klik vervolgens op OK om de Microsoft Management Console (MMC) te openen.

  2. Klik op Bestand, klik op Module toevoegen/verwijderen, klik op Toevoegen, klik op Certificaten, klik op Toevoegen, selecteer Computeraccount en klik vervolgens op Volgende.

  3. Selecteer Een andere computer, typ de naam van de updateserver of klik op Bladeren om de updateservercomputer te vinden, klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  4. Vouw Certificaten (servernaam bijwerken) uit, vouw WSUS uit en klik vervolgens op Certificaten.

  5. Klik in het resultatenvenster met de rechtermuisknop op het gewenste certificaat, klik op Alle taken en klik vervolgens op Exporteren.

  6. Gebruik in de wizard Certificaat exporteren de standaardinstellingen om een exportbestand te maken met de naam en locatie die in de wizard zijn opgegeven. Dit bestand moet beschikbaar zijn voor de updateserver voordat u doorgaat met de volgende stap.

  7. Klik met de rechtermuisknop op Vertrouwde uitgevers, klik op Alle taken en klik vervolgens op Importeren. Voltooi de wizard Certificaat importeren met behulp van het geëxporteerde bestand uit stap 6.

  8. Als een zelfondertekend certificaat wordt gebruikt, zoals WSUS Publishers Zelfondertekend, klikt u met de rechtermuisknop op Vertrouwde basiscertificeringsinstanties, klikt u op Alle taken en vervolgens op Importeren. Voltooi de wizard Certificaat importeren met behulp van het geëxporteerde bestand uit stap 6.

  9. Klik met de rechtermuisknop op Certificaten (servernaam bijwerken), klik op Verbinding maken met een andere computer, voer de computernaam in voor de Updates Publisher-computer en klik op OK.

  10. Als Updates Publisher extern is van de updateserver, herhaalt u stap 7 tot en met 9 om het certificaat te importeren in het certificaatarchief op de Updates Publisher-computer.

Een zelfondertekend certificaat configureren op clientcomputers

Op clientcomputers scant de Windows Update Agent (WUA) naar de updates uit de catalogus. Met dit proces worden geen updates geïnstalleerd wanneer de agent dat digitale certificaat niet kan vinden in het archief vertrouwde uitgevers op de lokale computer. Als een zelfondertekend certificaat is gebruikt voor het publiceren van de catalogus met updates, zoals WSUS Publishers Zelfondertekend, moet het certificaat zich ook in het certificaatarchief vertrouwde basiscertificeringsinstanties op de lokale computer bevinden, zodat de agent de geldigheid van het certificaat kan controleren.

U kunt een van de verschillende methoden gebruiken voor het configureren van certificaten op clientcomputers, zoals het gebruik van groepsbeleid en de wizard Certificaat importeren of met behulp van het hulpprogramma Certutil en softwaredistributie.

Het volgende wordt weergegeven als een voorbeeld van het configureren van het handtekeningcertificaat op clientcomputers.

Een zelfondertekend certificaat configureren op clientcomputers

  1. Klik op een computer met toegang tot de updateserver op Start, klik op Uitvoeren, typ MMC in het tekstvak en klik vervolgens op OK om de Microsoft Management Console (MMC) te openen.

  2. Klik op Bestand, klik op Module toevoegen/verwijderen, klik op Toevoegen, klik op Certificaten, klik op Toevoegen, selecteer Computeraccount en klik vervolgens op Volgende.

  3. Selecteer Een andere computer, typ de naam van de updateserver of klik op Bladeren om de updateservercomputer te vinden, klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  4. Vouw Certificaten (servernaam bijwerken) uit, vouw WSUS uit en klik vervolgens op Certificaten.

  5. Klik met de rechtermuisknop op het certificaat in het resultatenvenster, klik op Alle taken en klik vervolgens op Exporteren. Voltooi de wizard Certificaat exporteren met behulp van de standaardinstellingen om een exportcertificaatbestand te maken met de naam en locatie die in de wizard zijn opgegeven.

  6. Gebruik een van de volgende methoden om het certificaat toe te voegen dat wordt gebruikt om de catalogus met updates te ondertekenen aan elke clientcomputer die WUA gebruikt om te scannen op de updates in de catalogus. Voeg het certificaat als volgt toe op de clientcomputer:

    • Voor zelfondertekende certificaten: voeg het certificaat toe aan de certificaatarchieven Vertrouwde basiscertificeringsinstanties en Vertrouwde uitgevers .

    • Voor door de certificeringsinstantie (CA) uitgegeven certificaten: voeg het certificaat toe aan het certificaatarchief vertrouwde uitgevers .

    Opmerking

    De WUA controleert ook of de instelling Ondertekende inhoud van intranet toestaan Microsoft servicelocatie bijwerken groepsbeleid is ingeschakeld op de lokale computer. Deze beleidsinstelling moet worden ingeschakeld voor WUA om te scannen op de updates die zijn gemaakt en gepubliceerd met Updates Publisher. Zie De groepsbeleid configureren op clientcomputers voor meer informatie over het inschakelen van deze groepsbeleid instelling.

Configureren van groepsbeleid om WUA op computers toe te staan om te scannen op gepubliceerde updates

Voordat de Windows Update Agent (WUA) op computers scant op updates die zijn gemaakt en gepubliceerd met Updates Publisher, moet er een beleidsinstelling worden ingeschakeld om ondertekende inhoud van een intranet toe te staan Microsoft servicelocatie bijwerken. Wanneer de beleidsinstelling is ingeschakeld, accepteert WUA updates die zijn ontvangen via een intranetlocatie als de updates zijn aangemeld in het certificaatarchief vertrouwde uitgevers op de lokale computer. Er zijn verschillende methoden voor het configureren van groepsbeleid op computers in de omgeving.

Voor computers die zich niet in het domein bevinden, kan een registersleutelinstelling worden geconfigureerd die ondertekende inhoud van een intranet toestaat Microsoft locatie updateservice.

De volgende procedures bieden de basisstappen die kunnen worden gebruikt om groepsbeleid te configureren voor computers in het domein en een registersleutelwaarde op computers die zich niet in het domein bevinden.

Groepsbeleid configureren om WUA toe te staan om te scannen op gepubliceerde updates

  1. Open de MMC-module (groepsbeleid Object Editor Microsoft Management Console) met een gebruiker die over de juiste beveiligingsrechten beschikt om groepsbeleid te configureren.

  2. Klik op Bladeren en selecteer het domein, de organisatie-eenheid of groepsbeleidsobjecten die zijn gekoppeld aan de site waar de geconfigureerde groepsbeleid worden doorgegeven aan de gewenste clientcomputers. Klik op OK, klik op Voltooien, klik op Sluiten en klik vervolgens op OK.

  3. Vouw de geselecteerde beleidsinstelling in de consolestructuur uit, vouw Computerconfiguratie uit, vouw Beheersjablonen uit, vouw Windows-onderdelen uit en klik vervolgens op Windows Update.

  4. Klik in het resultatenvenster met de rechtermuisknop op Ondertekende inhoud van intranet toestaan Microsoft servicelocatie bijwerken, klik op Eigenschappen, klik op Ingeschakeld en klik vervolgens op OK.