Partilhar via

Gerir certificados e segurança para atualizações Publisher

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

Os seguintes procedimentos podem ajudá-lo a configurar a loja de certificados no servidor de atualização, configurar um certificado de auto-assinatura no computador cliente e configurar a Política de Grupo para permitir que o Agente de Atualização Windows nos computadores procure atualizações publicadas.

Configure a loja de certificados no servidor de atualização

Atualizações Publisher usa um certificado digital para assinar as atualizações nos catálogos que publica. Antes de um catálogo poder ser publicado no servidor de atualização, esse certificado deve estar na loja de certificados no servidor de atualização e na loja de certificados Publisher computador se esse computador estiver afastado do servidor de atualização.

O procedimento a seguir é um dos vários métodos possíveis para adicionar o certificado à loja de certificados no servidor de atualização.

Para configurar a loja de certificados

  1. Num computador que pode aceder tanto às Atualizações Publisher computador como ao servidor de atualização, clique em Iniciar, clique em Executar, digite MMC na caixa de texto e, em seguida, clique em OK para abrir a Consola de Gestão da Microsoft (MMC).

  2. Clique em Ficheiro, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione conta de Computador e, em seguida, clique em Seguinte.

  3. Selecione Outro computador, digite o nome do servidor de atualização ou clique em navegar para encontrar o computador do servidor de atualização, clique em Terminar, clique em Fechar e, em seguida, clique em OK.

  4. Expandir Certificados (nome do servidor de atualização), expandir a WSUS e, em seguida, clicar em Certificados.

  5. No painel de resultados, clique com o certificado pretendido, clique em Todas as Tarefas e, em seguida, clique em Exportação.

  6. No Assistente de Exportação de Certificados, utilize as definições predefinidas para criar um ficheiro de exportação com o nome e localização especificados no assistente. Este ficheiro deve estar disponível para o servidor de atualização antes de avançar para o passo seguinte.

  7. Clique com o botão direito Editores Fidedignos, clique em Todas as Tarefas e, em seguida, clique em Importar. Preencha o Certificado De Importação Assistente utilizando o ficheiro exportado a partir do passo 6.

  8. Se for utilizado um certificado auto-assinado, como WSUS Publishers Auto-assinado, clique à direita Nas Autoridades de Certificação de Raiz Fidedigna, clique em Todas as Tarefas e, em seguida, clique em Importar. Preencha o Certificado De Importação Assistente utilizando o ficheiro exportado a partir do passo 6.

  9. Clique com o botão direito Certificados (nome do servidor de atualização), clique Ligação para outro computador, introduza o nome do computador para as atualizações Publisher computador e clique em OK.

  10. Se as atualizações Publisher estiver afastada do servidor de atualização, repita os passos 7 a 9 para importar o certificado para a loja de certificados no computador Publisher Atualizações.

Configurar um certificado de auto-assinatura em computadores clientes

Nos computadores clientes, o Windows Update Agent (WUA) irá procurar as atualizações do catálogo. Este processo não instalará atualizações quando o agente não conseguir localizar esse certificado digital na loja Trusted Publishers no computador local. Se um certificado auto-assinado foi utilizado para a publicação do catálogo de atualizações, como a WSUS Publishers Auto-assinada, o certificado também deve estar na loja de certificados trusted Root Certification Authorities no computador local para que o agente possa verificar a validade do certificado.

Pode utilizar um de vários métodos para configurar certificados em computadores clientes, como utilizar a Política de Grupo e o Assistente de Importação de Certificados ou utilizando a ferramenta Certutil e distribuição de software.

O seguinte é fornecido como um exemplo de como configurar o certificado de assinatura em computadores clientes.

Para configurar um certificado de auto-assinatura em computadores clientes

  1. Num computador com acesso ao servidor de atualização, clique em Iniciar, clique em Executar, digite MMC na caixa de texto e, em seguida, clique em OK para abrir a Consola de Gestão da Microsoft (MMC).

  2. Clique em Ficheiro, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione conta de Computador e, em seguida, clique em Seguinte.

  3. Selecione Outro computador, digite o nome do servidor de atualização ou clique em navegar para encontrar o computador do servidor de atualização, clique em Terminar, clique em Fechar e, em seguida, clique em OK.

  4. Expandir Certificados (nome do servidor de atualização), expandir a WSUS e, em seguida, clicar em Certificados.

  5. Clique com o botão direito no certificado de resultados, clique em Todas as Tarefas e, em seguida, clique em Exportação. Preencha o Assistente de Exportação de Certificados utilizando as definições predefinidas para criar um ficheiro de certificado de exportação com o nome e localização especificados no assistente.

  6. Utilize um dos seguintes métodos para adicionar o certificado utilizado para assinar o catálogo de atualizações a cada computador cliente que utilizará a WUA para verificar as atualizações do catálogo. Adicione o certificado no computador cliente da seguinte forma:

    • Para certificados auto-assinados: Adicione o certificado às autoridades de certificação de raiz fidedignas e lojas de certificados Trusted Publishers.

    • Para certificados emitidos pela autoridade de certificação (CA): Adicione o certificado à loja de certificados Trusted Publishers.

    Nota

    A WUA também verifica se o conteúdo assinado por Permitir a partir da localização do serviço de atualização intranet Microsoft Está ativado no computador local. Esta definição de política tem de estar ativada para que o WUA procure atualizações criadas e publicadas com o Updates Publisher. Para obter mais informações sobre a definição de Política de Grupo, consulte Como Configurar a Política de Grupo nos Computadores clientes.

Configurar a Política de Grupo para permitir que a WUA nos computadores procure atualizações publicadas

Antes do Windows Update Agent (WUA) nos computadores irá procurar atualizações que foram criadas e publicadas com atualizações Publisher, deve ser ativada uma definição de política para permitir o conteúdo assinado a partir de uma localização do serviço de atualização intranet Microsoft. Quando a definição de política estiver ativada, a WUA aceitará as atualizações recebidas através de uma localização intranet se as atualizações forem assinadas na loja de certificados Trusted Publishers no computador local. Existem vários métodos para configurar a Política de Grupo em computadores no ambiente.

Para computadores que não estão no domínio, pode ser configurada uma definição de chave de registo que permita o conteúdo assinado a partir de uma localização do serviço de serviços intranet Microsoft Update.

Os seguintes procedimentos fornecem os passos básicos que podem ser usados para configurar a Política de Grupo para computadores no domínio e um valor chave de registo em computadores que não estão no domínio.

Para configurar a Política de Grupo para permitir que a WUA digitalize para atualizações publicadas

  1. Abra o snap-in microsoft Management Console (MMC) do Editor de Objetos de Política do Grupo com um utilizador que tenha os direitos de segurança adequados para configurar a Política de Grupo.

  2. Clique em Navegar e selecione o domínio, OU ou GPOs ligados ao site onde a Política de Grupo configurada se propagará aos computadores clientes pretendidos. Clique em OK, clique em Terminar, clique em Fechar e, em seguida, clique em OK.

  3. Expandir a definição de política selecionada na árvore da consola, expandir a configuração do computador, expandir modelos administrativos, expandir Windows componentes, e, em seguida, clicar Windows Update.

  4. No painel de resultados, clique à direita Permita o conteúdo assinado a partir do local do serviço de atualização intranet Microsoft, clique em Propriedades, clique em Ativado e, em seguida, clique em OK.