Руководство. Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом

Статья
04/04/2023

Относится к Configuration Manager (Current Branch)

Настройка серверов Windows Server Update Services (WSUS) и их соответствующих точек обновления программного обеспечения (SUP) для использования TLS/SSL может снизить способность потенциального злоумышленника удаленно скомпрометировать клиент и повысить привилегии. Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. В этой статье описаны действия, необходимые для настройки каждого сервера WSUS и точки обновления программного обеспечения для использования ПРОТОКОЛА HTTPS. Дополнительные сведения о защите WSUS см. в статье Защита WSUS с помощью протокола протокола уровня безопасных сокетов документации по WSUS.

В этом руководстве описан порядок выполнения перечисленных ниже задач.

При необходимости получите PKI-сертификат
Привязка сертификата к веб-сайту администрирования WSUS
Настройка веб-служб WSUS для требования SSL
Настройка приложения WSUS для использования SSL
Убедитесь, что подключение к консоли WSUS может использовать SSL
Настройка точки обновления программного обеспечения для необходимости подключения SSL к серверу WSUS
Проверка функциональности с помощью Configuration Manager

Предварительные требования

В этом руководстве рассматривается наиболее распространенный способ получения сертификата для использования со службами IIS. Какой бы метод ни использовался в вашей организации, убедитесь, что сертификат соответствует требованиям сертификата PKI для точки обновления программного обеспечения Configuration Manager. Как и в случае с любым сертификатом, центр сертификации должен быть доверенным с устройств, взаимодействующих с сервером WSUS.

Сервер WSUS с установленной ролью точки обновления программного обеспечения
Перед включением TLS/SSL убедитесь, что вы следовали рекомендациям по отключению повторного использования и настройке ограничений памяти для WSUS.
Один из двух следующих вариантов:
- Соответствующий PKI-сертификат уже находится в хранилище личных сертификатов сервера WSUS.
- Возможность запрашивать и получать соответствующий PKI-сертификат для сервера WSUS из корневого центра сертификации (ЦС).
  - По умолчанию большинство шаблонов сертификатов, включая шаблон сертификата WebServer, выдаются только администраторам домена. Если пользователь, выполнивший вход, не является администратором домена, его учетной записи пользователя потребуется предоставить разрешение на регистрацию в шаблоне сертификата.

При необходимости получите сертификат из ЦС

Если у вас уже есть соответствующий сертификат в хранилище личных сертификатов сервера WSUS, пропустите этот раздел и начните с раздела Привязка сертификата . Чтобы отправить запрос на сертификат во внутренний ЦС для установки нового сертификата, следуйте инструкциям в этом разделе.

На сервере WSUS откройте командную строку администратора и выполните команду certlm.msc. Ваша учетная запись пользователя должна быть локальным администратором для управления сертификатами для локального компьютера.

Откроется средство диспетчера сертификатов для локального устройства.
Разверните узел Личный, а затем щелкните правой кнопкой мыши пункт Сертификаты.
Выберите Все задачи и запросить новый сертификат.
Нажмите кнопку Далее , чтобы начать регистрацию сертификата.
Выберите тип сертификата для регистрации. Сертификат предназначен для проверки подлинности сервера , а шаблон сертификата Майкрософт для использования — веб-сервер или пользовательский шаблон с проверкой подлинности сервера , указанным как расширенное использование ключа. Возможно, вам будет предложено ввести дополнительные сведения о регистрации сертификата. Как правило, необходимо указать как минимум следующие сведения:
- Общее имя: На вкладке Тема задайте полное доменное имя сервера WSUS.
- Понятное имя: На вкладке Общие задайте для значения описательное имя, которое поможет вам определить сертификат позже.
Нажмите кнопку Регистрация , а затем готово , чтобы завершить регистрацию.
Откройте сертификат, если вы хотите просмотреть сведения о нем, например отпечаток сертификата.

Совет

Если сервер WSUS подключен к Интернету, вам потребуется внешнее полное доменное имя в поле Subject или Subject Alternative Name (SAN) в сертификате.

Привязка сертификата к сайту администрирования WSUS

Получив сертификат в личном хранилище сертификатов сервера WSUS, привяжите его к сайту администрирования WSUS в IIS.

На сервере WSUS откройте диспетчер служб IIS.
Перейдите в разделАдминистрирование WSUSсайтов>.
Выберите Привязки в меню действий или щелкните правой кнопкой мыши сайт.
В окне Привязки сайта выберите строку https, а затем выберите Изменить....
- Не удаляйте привязку сайта HTTP. WSUS использует ПРОТОКОЛ HTTP для файлов содержимого обновления.
В разделе SSL-сертификат выберите сертификат для привязки к сайту администрирования WSUS. Понятное имя сертификата отображается в раскрывающемся меню. Если понятное имя не указано, отображается поле сертификата IssuedTo . Если вы не знаете, какой сертификат использовать, выберите Вид и убедитесь, что отпечаток соответствует полученному.
По завершении нажмите кнопку ОК , а затем — Закрыть , чтобы выйти из привязок сайта. Чтобы выполнить следующие действия, не закрывайте диспетчер служб IIS.

Настройка веб-служб WSUS для требования SSL

В диспетчере IIS на сервере WSUS перейдите в разделАдминистрирование WSUSсайтов>.
Разверните сайт администрирования WSUS, чтобы просмотреть список веб-служб и виртуальных каталогов для WSUS.
Для каждой из следующих веб-служб WSUS:
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Внесите следующие изменения:
1. Выберите Параметры SSL.
2. Включите параметр Требовать SSL .
3. Убедитесь, что для параметра Сертификаты клиента задано значение Игнорировать.
4. Нажмите Применить.

Не устанавливайте параметры SSL на сайте администрирования WSUS верхнего уровня, так как некоторые функции, такие как содержимое, должны использовать HTTP.

Настройка приложения WSUS для использования SSL

Когда веб-службам будет задано требование SSL, приложение WSUS должно быть уведомлено, чтобы он смог выполнить дополнительную настройку для поддержки изменения.

Откройте командную строку администратора на сервере WSUS. Учетная запись пользователя, выполняющая эту команду, должна быть членом группы администраторов WSUS или локальной группы администраторов.
Измените каталог на папку tools для WSUS:

cd "c:\Program Files\Update Services\Tools"
Настройте СЛУЖБЫ WSUS для использования SSL с помощью следующей команды:

WsusUtil.exe configuressl server.contoso.com

Где server.contoso.com — это полное доменное имя сервера WSUS.
WsusUtil возвращает URL-адрес сервера WSUS с номером порта, указанным в конце. Порт будет иметь значение 8531 (по умолчанию) или 443. Убедитесь, что возвращенный URL-адрес соответствует ожидаемому. Если что-то было введено неправильно, можно выполнить команду еще раз.

Совет

Если сервер WSUS подключен к Интернету, укажите внешнее полное доменное имя при запуске WsusUtil.exe configuressl.

Убедитесь, что консоль WSUS может подключаться по протоколу SSL

Консоль WSUS использует для подключения веб-службу ApiRemoting30. Configuration Manager точка обновления программного обеспечения (SUP) также использует эту же веб-службу для направления WSUS на выполнение определенных действий, таких как:

Инициализация синхронизации обновлений программного обеспечения
Настройка правильного сервера вышестоящий для WSUS, который зависит от расположения сайта SUP в иерархии Configuration Manager
Добавление или удаление продуктов и классификаций для синхронизации с сервера WSUS верхнего уровня иерархии.
Удаление просроченных обновлений

Откройте консоль WSUS, чтобы убедиться, что вы можете использовать SSL-подключение к веб-службе ApiRemoting30 сервера WSUS. Мы протестируем некоторые другие веб-службы позже.

Откройте консоль WSUS и выберите Действие>Подключиться к серверу.
Введите полное доменное имя сервера WSUS для параметра Имя сервера .
Выберите номер порта , возвращенный в URL-адресе из WSUSutil.
Параметр Использовать ssl для подключения к этому серверу автоматически включается при выборе 8531 (по умолчанию) или 443.
Если сервер сайта Configuration Manager удален от точки обновления программного обеспечения, запустите консоль WSUS с сервера сайта и убедитесь, что консоль WSUS может подключаться по протоколу SSL.
- Если удаленной консоли WSUS не удается подключиться, скорее всего, это указывает на проблему с доверием к сертификату, разрешению имен или блокировке порта.

Настройка точки обновления программного обеспечения для необходимости подключения SSL к серверу WSUS

После настройки WSUS для использования TLS/SSL необходимо обновить соответствующую Configuration Manager точку обновления программного обеспечения, чтобы также требовать ssl. При внесении этого изменения Configuration Manager:

Убедитесь, что сервер WSUS может настроить для точки обновления программного обеспечения.
Направляйте клиентам использовать SSL-порт, когда им будет предложено проверить этот сервер WSUS.

Чтобы настроить точку обновления программного обеспечения так, чтобы она требовала ssl-связь с сервером WSUS, выполните следующие действия.

Откройте консоль Configuration Manager и подключитесь к сайту центра администрирования или серверу первичного сайта для точки обновления программного обеспечения, которая требуется изменить.
Перейдите в раздел Администрирование>Общие сведения>о серверах конфигурации>сайта и ролях системы сайта.
Выберите сервер системы сайта, на котором установлены службы WSUS, а затем выберите роль системы сайта точки обновления программного обеспечения.
На ленте выберите Свойства.
Включите параметр Требовать ssl-связь с сервером WSUS .

В журнале WCM.log для сайта вы увидите следующие записи при применении изменения:

SCF change notification triggered.
Populating config from SCF
Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
...
Attempting connection to local WSUS server
Successfully connected to local WSUS server
...
Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)

Примеры файлов журнала были изменены, чтобы удалить ненужные сведения для этого сценария.

Проверка функциональности с помощью Configuration Manager

Проверка того, что сервер сайта может синхронизировать обновления

Подключите консоль Configuration Manager к сайту верхнего уровня.
Перейдите в разделОбзор>библиотеки>программного обеспечения Обновления>Все Обновления программного обеспечения.
На ленте выберите Синхронизировать программное обеспечение Обновления.
Выберите Да в уведомлении о том, хотите ли вы инициировать синхронизацию на уровне сайта для обновлений программного обеспечения.
- После изменения конфигурации WSUS будет выполняться полная синхронизация обновлений программного обеспечения, а не разностная синхронизация.
Откройте файл wsyncmgr.log для сайта. Если вы отслеживаете дочерний сайт, необходимо сначала дождаться завершения синхронизации родительского сайта. Убедитесь, что сервер успешно синхронизируется, просмотрите журнал на наличие записей, аналогичных следующим:
```
Starting Sync
...
Full sync required due to changes in main WSUS server location.
...
Found active SUP SERVER.CONTOSO.COM from SCF File.
...
https://SERVER.CONTOSO.COM:8531
...
Done synchronizing WSUS Server SERVER.CONTOSO.COM
...
sync: Starting SMS database synchronization
...
Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
```

Проверка того, что клиент может проверять наличие обновлений

При изменении точки обновления программного обеспечения на требование SSL клиенты Configuration Manager получают обновленный URL-адрес WSUS при отправке запроса на расположение для точки обновления программного обеспечения. Протестировав клиент, мы можем:

Определите, доверяет ли клиент сертификату сервера WSUS.
Если SimpleAuthWebService и ClientWebService для WSUS работают.
Что виртуальный каталог содержимого WSUS работает, если клиент получил лицензионное соглашение во время проверки

Определите клиента, который проверяет точку обновления программного обеспечения, которая недавно была изменена на использование TLS/SSL. Если вам нужна помощь с определением клиента, используйте скрипты запуска с приведенным ниже скриптом PowerShell:
```
$Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
$Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
Write-Host "LastGoodSUP- $last"
Write-Host "CurrentSUP- $current"
```
Совет

Откройте этот скрипт в центре сообщества. Дополнительные сведения см. в разделе Прямые ссылки на элементы центра сообщества.
Запустите цикл проверки обновлений программного обеспечения в тестовом клиенте. Принудительная проверка выполняется с помощью следующего сценария PowerShell:
```
Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
```
Совет

Откройте этот скрипт в центре сообщества. Дополнительные сведения см. в разделе Прямые ссылки на элементы центра сообщества.
Просмотрите файл ScanAgent.log клиента, чтобы убедиться, что сообщение для проверки на наличие точки обновления программного обеспечения получено.
```
Message received: '<?xml version='1.0' ?>
<UpdateSourceMessage MessageType='ScanByUpdateSource'>
   <ForceScan>TRUE</ForceScan>
   <UpdateSourceIDs>
 		<ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
   </UpdateSourceIDs>
 </UpdateSourceMessage>'
```

Просмотрите файл LocationServices.log , чтобы убедиться, что клиент видит правильный URL-адрес WSUS. LocationServices.log

WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
...
<LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
...
</WSUSLocationReply>

Просмотрите журнал WUAHandler.log , чтобы убедиться, что клиент может успешно сканировать.
```
Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
...
Successfully completed scan.
```

Закрепление сертификатов TLS для устройств, сканирующих серверы WSUS, настроенные по протоколу HTTPS

(Представлено в версии 2103)

Начиная с Configuration Manager 2103, вы можете дополнительно повысить безопасность проверок HTTPS для WSUS, применяя закрепление сертификата. Чтобы полностью включить это поведение, добавьте сертификаты для серверов WSUS в новое WindowsServerUpdateServices хранилище сертификатов на клиентах и убедитесь, что закрепление сертификатов включено с помощью параметров клиента. Дополнительные сведения об изменениях агента клиентский компонент Центра обновления Windows см. в статье Проверка изменений и сертификатов добавляет безопасность для устройств Windows с помощью WSUS для обновлений — Microsoft Tech Community.

Предварительные требования для принудительного закрепления сертификатов TLS для клиента клиентский компонент Центра обновления Windows

Configuration Manager версии 2103
Убедитесь, что серверы WSUS и точки обновления программного обеспечения настроены на использование TLS/SSL.
Добавление сертификатов для серверов WSUS в новое WindowsServerUpdateServices хранилище сертификатов на клиентах
- При использовании закрепления сертификатов с помощью шлюза управления облаком (CMG) хранилищу WindowsServerUpdateServices требуется сертификат CMG. Если клиенты переключаются из Интернета в VPN, в хранилище требуются WindowsServerUpdateServices сертификаты сервера CMG и WSUS.

Примечание.

Проверка обновлений программного обеспечения для устройств продолжит успешно выполняться с использованием значения по умолчанию Да для параметра Принудительное закрепление сертификата TLS для клиентский компонент Центра обновления Windows клиента для обнаружения обновлений. Сюда входят проверки по протоколу HTTP и HTTPS. Закрепление сертификата не вступают в силу, пока сертификат не находится в хранилище клиента WindowsServerUpdateServices и сервер WSUS не будет настроен на использование TLS/SSL.

Включение или отключение закрепление сертификатов TLS для устройств, сканирующих серверы WSUS, настроенные по протоколу HTTPS

В консоли Configuration Manager перейдите в раздел Администрирование>параметров клиента.
Выберите Параметры клиента по умолчанию или настраиваемый набор параметров клиента, а затем выберите Свойства на ленте.
Выберите вкладку Программное обеспечение Обновления в параметрах клиента.
Выберите один из следующих параметров для параметра Принудительное закрепление сертификата TLS для клиентский компонент Центра обновления Windows клиента для обнаружения обновлений:
- Нет. Не включайте принудительное закрепление сертификатов TLS для проверки WSUS.
- Да: включает принудительное закрепление сертификатов TLS для устройств во время сканирования WSUS (по умолчанию)
Убедитесь, что клиенты могут проверять наличие обновлений.

Дальнейшие действия

Развертывание обновлений программного обеспечения

Share via