Управление сертификатами и безопасностью для издателя Обновления

Относится к Configuration Manager (Current Branch)

Следующие процедуры помогут вам настроить хранилище сертификатов на сервере обновлений, настроить самозаверяющий сертификат на клиентском компьютере и настроить групповая политика, чтобы агент клиентский компонент Центра обновления Windows на компьютерах проверял наличие опубликованных обновлений.

Настройка хранилища сертификатов на сервере обновлений

Обновления Publisher использует цифровой сертификат для подписывания обновлений в каталогах, которые он публикует. Перед публикацией каталога на сервере обновлений этот сертификат должен находиться в хранилище сертификатов на сервере обновлений, а также в хранилище сертификатов компьютера издателя Обновления, если этот компьютер удален от сервера обновления.

Следующая процедура является одним из нескольких возможных методов добавления сертификата в хранилище сертификатов на сервере обновлений.

Настройка хранилища сертификатов

1. На компьютере, который может получить доступ к компьютеру издателя Обновления и серверу обновлений, нажмите кнопку Пуск, нажмите кнопку Выполнить, введите MMC в текстовом поле и нажмите кнопку ОК, чтобы открыть консоль управления Майкрософт (MMC).

2. Выберите Файл, Добавить или удалить оснастку, Добавить, Сертификаты, Добавить, Выберите Пункт Учетнаязапись компьютера, а затем нажмите кнопку Далее.

3. Выберите Другой компьютер, введите имя сервера обновлений или нажмите кнопку Обзор , чтобы найти компьютер с сервером обновления, нажмите кнопку Готово, нажмите кнопку Закрыть и нажмите кнопку ОК.

4. Разверните узел Сертификаты (имя сервера обновления),разверните узел WSUS, а затем щелкните Сертификаты.

5. В области результатов щелкните правой кнопкой мыши нужный сертификат, выберите пункт Все задачи, а затем выберите пункт Экспорт.

6. В мастере экспорта сертификатов используйте параметры по умолчанию, чтобы создать файл экспорта с именем и расположением, указанными в мастере. Перед переходом к следующему шагу этот файл должен быть доступен серверу обновления.

7. Щелкните правой кнопкой мыши доверенные издатели, выберите Пункт Все задачи, а затем — Импорт. Завершите работу мастера импорта сертификатов с помощью экспортированного файла из шага 6.

8. Если используется самозаверяющий сертификат, например самозаверяющий сертификат издателей WSUS, щелкните правой кнопкой мыши Доверенные корневые центры сертификации, выберите Все задачи, а затем — Импорт. Завершите работу мастера импорта сертификатов с помощью экспортированного файла из шага 6.

9. Щелкните правой кнопкой мыши Пункт Сертификаты (имя сервера обновления), выберите Подключиться к другому компьютеру, введите имя компьютера издателя Обновления и нажмите кнопку ОК.

10. Если издатель Обновления удален от сервера обновлений, повторите шаги 7–9, чтобы импортировать сертификат в хранилище сертификатов на компьютере издателя Обновления.

Настройка самозаверяющего сертификата на клиентских компьютерах

На клиентских компьютерах агент клиентский компонент Центра обновления Windows (WUA) будет проверять наличие обновлений из каталога. Этот процесс не сможет установить обновления, если агент не может найти этот цифровой сертификат в хранилище доверенных издателей на локальном компьютере. Если для публикации каталога обновлений использовался самозаверяющий сертификат, например самозаверяющий сертификат издателей WSUS, он также должен находиться в хранилище сертификатов доверенных корневых центров сертификации на локальном компьютере, чтобы агент смог проверить действительность сертификата.

Для настройки сертификатов на клиентских компьютерах можно использовать один из нескольких методов, например с помощью групповая политика и мастера импорта сертификатов или с помощью средства Certutil и дистрибутива программного обеспечения.

Ниже приведен пример настройки сертификата подписи на клиентских компьютерах.

Настройка самозаверяющего сертификата на клиентских компьютерах

1. На компьютере с доступом к серверу обновлений нажмите кнопку Пуск, нажмите кнопку Запустить, введите MMC в текстовое поле и нажмите кнопку ОК, чтобы открыть консоль управления Майкрософт (MMC).

2. Выберите Файл, Добавить или удалить оснастку, Добавить, Сертификаты, Добавить, Выберите Пункт Учетнаязапись компьютера, а затем нажмите кнопку Далее.

3. Выберите Другой компьютер, введите имя сервера обновлений или нажмите кнопку Обзор , чтобы найти компьютер с сервером обновления, нажмите кнопку Готово, нажмите кнопку Закрыть и нажмите кнопку ОК.

4. Разверните узел Сертификаты (имя сервера обновления),разверните узел WSUS, а затем щелкните Сертификаты.

5. Щелкните правой кнопкой мыши сертификат в области результатов, выберите Пункт Все задачи, а затем — Экспорт. Завершите работу мастера экспорта сертификатов , используя параметры по умолчанию, чтобы создать файл сертификата экспорта с именем и расположением, указанными в мастере.

6. Используйте один из следующих методов, чтобы добавить сертификат, используемый для подписи каталога обновлений, на каждый клиентский компьютер, который будет использовать WUA для проверки обновлений в каталоге. Добавьте сертификат на клиентский компьютер следующим образом:

   • Для самозаверяемых сертификатов: добавьте сертификат в хранилища доверенных корневых центров сертификации и доверенных издателей .

   • Для сертификатов, выданных центром сертификации (ЦС): добавьте сертификат в хранилище сертификатов доверенных издателей .

   Примечание.

   WUA также проверяет, включен ли параметр Разрешить подписанное содержимое из интрасети Майкрософт расположение службы обновления групповая политика на локальном компьютере. Этот параметр политики должен быть включен, чтобы WUA проверял наличие обновлений, созданных и опубликованных с помощью Обновления Publisher. Дополнительные сведения о включении этого параметра групповая политика см. в статье Настройка групповая политика на клиентских компьютерах.

Настройка групповая политика, чтобы разрешить WUA на компьютерах проверять наличие опубликованных обновлений

Прежде чем агент клиентский компонент Центра обновления Windows (WUA) на компьютерах будет проверять наличие обновлений, созданных и опубликованных с помощью издателя Обновления, необходимо включить параметр политики, разрешающий подписанное содержимое из интрасети Майкрософт расположении службы обновления. Если параметр политики включен, WUA будет принимать обновления, полученные через расположение интрасети, если обновления вошли в хранилище сертификатов доверенных издателей на локальном компьютере. Существует несколько методов настройки групповая политика на компьютерах в среде.

Для компьютеров, которые не находятся в домене, можно настроить параметр раздела реестра, который разрешает подписанное содержимое из интрасети Майкрософт расположение службы обновления.

Следующие процедуры предоставляют основные действия, которые можно использовать для настройки групповая политика для компьютеров в домене и значения раздела реестра на компьютерах, которые не находятся в домене.

Настройка групповая политика разрешения WUA на наличие опубликованных обновлений

1. Откройте оснастку редактора объектов групповая политика Майкрософт консоли управления (MMC) с пользователем, который имеет соответствующие права безопасности для настройки групповая политика.

2. Нажмите кнопку Обзор и выберите домен, подразделение или объекты групповой политики, связанные с сайтом, где настроенная групповая политика будет распространяться на нужные клиентские компьютеры. Нажмите кнопку ОК, нажмите кнопку Готово, Закрыть и нажмите кнопку ОК.

3. Разверните выбранный параметр политики в дереве консоли, разверните узел Конфигурация компьютера, Административные шаблоны, Компоненты Windows и щелкните клиентский компонент Центра обновления Windows.

4. В области результатов щелкните правой кнопкой мыши пункт Разрешить подписанное содержимое из интрасети Майкрософт расположение службы обновления, выберите свойства, выберите пункт Включено, а затем нажмите кнопку ОК.