Hantera certifikat och säkerhet för Uppdateringar Publisher

Gäller för: Konfigurationshanteraren (current branch)

Följande procedurer kan hjälpa dig att konfigurera certifikatarkivet på uppdateringsservern, konfigurera ett självsigneringscertifikat på klientdatorn och konfigurera grupprincip så att Windows Update Agent på datorer kan söka efter publicerade uppdateringar.

Konfigurera certifikatarkivet på uppdateringsservern

Uppdateringar Publisher använder ett digitalt certifikat för att signera uppdateringarna i de kataloger som publiceras. Innan en katalog kan publiceras till uppdateringsservern måste certifikatet finnas i certifikatarkivet på uppdateringsservern och i certifikatarkivet på Uppdateringar Publisher-datorn om datorn är fjärransluten från uppdateringsservern.

Följande procedur är en av flera möjliga metoder för att lägga till certifikatet i certifikatarkivet på uppdateringsservern.

Så här konfigurerar du certifikatarkivet

1. På en dator som har åtkomst till både Uppdateringar Publisher-datorn och uppdateringsservern klickar du på Start, klickar på Kör, skriver MMC i textrutan och klickar sedan på OK för att öppna Microsoft Management Console (MMC).

2. Klicka på Arkiv, klicka på Lägg till/ta bort snapin-modul, klicka på Lägg till, klicka på Certifikat, klicka på Lägg till, välj Datorkonto och klicka sedan på Nästa.

3. Välj En annan dator, skriv namnet på uppdateringsservern eller klicka på Bläddra för att hitta uppdateringsserverdatorn, klicka på Slutför, klicka på Stäng och klicka sedan på OK.

4. Expandera Certifikat (uppdatera servernamn), expandera WSUS och klicka sedan på Certifikat.

5. Högerklicka på önskat certifikat i resultatfönstret, klicka på Alla aktiviteter och klicka sedan på Exportera.

6. I guiden Exportera certifikat använder du standardinställningarna för att skapa en exportfil med det namn och den plats som anges i guiden. Den här filen måste vara tillgänglig för uppdateringsservern innan du fortsätter till nästa steg.

7. Högerklicka på Betrodda utgivare, klicka på Alla uppgifter och klicka sedan på Importera. Slutför guiden Importera certifikat med hjälp av den exporterade filen från steg 6.

8. Om ett självsignerat certifikat används, till exempel självsignerade WSUS-utgivare, högerklickar du på Betrodda rotcertifikatutfärdare, klickar på Alla uppgifter och klickar sedan på Importera. Slutför guiden Importera certifikat med hjälp av den exporterade filen från steg 6.

9. Högerklicka på Certifikat (uppdatera servernamn), klicka på Anslut till en annan dator, ange datornamnet för Uppdateringar Publisher-datorn och klicka på OK.

10. Om Uppdateringar Publisher är fjärransluten från uppdateringsservern upprepar du steg 7 till 9 för att importera certifikatet till certifikatarkivet på Uppdateringar Publisher-datorn.

Konfigurera ett självsigneringscertifikat på klientdatorer

På klientdatorer söker Windows Update Agent (WUA) efter uppdateringarna från katalogen. Den här processen misslyckas med att installera uppdateringar när agenten inte kan hitta det digitala certifikatet i arkivet Betrodda utgivare på den lokala datorn. Om ett självsignerat certifikat användes för att publicera uppdateringskatalogen, till exempel självsignerade WSUS-utgivare, måste certifikatet också finnas i certifikatarkivet Betrodda rotcertifikatutfärdare på den lokala datorn så att agenten kan verifiera certifikatets giltighet.

Du kan använda någon av flera metoder för att konfigurera certifikat på klientdatorer, till exempel med hjälp av grupprincip och guiden Importera certifikat eller med hjälp av certutil-verktyget och programvarudistributionen.

Följande anges som ett exempel på hur du konfigurerar signeringscertifikatet på klientdatorer.

Så här konfigurerar du ett självsigneringscertifikat på klientdatorer

1. Klicka på Start på en dator med åtkomst till uppdateringsservern, klicka på Kör, skriv MMC i textrutan och klicka sedan på OK för att öppna Microsoft Management Console (MMC).

2. Klicka på Arkiv, klicka på Lägg till/ta bort snapin-modul, klicka på Lägg till, klicka på Certifikat, klicka på Lägg till, välj Datorkonto och klicka sedan på Nästa.

3. Välj En annan dator, skriv namnet på uppdateringsservern eller klicka på Bläddra för att hitta uppdateringsserverdatorn, klicka på Slutför, klicka på Stäng och klicka sedan på OK.

4. Expandera Certifikat (uppdatera servernamn), expandera WSUS och klicka sedan på Certifikat.

5. Högerklicka på certifikatet i resultatfönstret, klicka på Alla aktiviteter och klicka sedan på Exportera. Slutför guiden Exportera certifikat med standardinställningarna för att skapa en exportcertifikatfil med det namn och den plats som anges i guiden.

6. Använd någon av följande metoder för att lägga till certifikatet som används för att signera uppdateringskatalogen på varje klientdator som ska använda WUA för att söka efter uppdateringarna i katalogen. Lägg till certifikatet på klientdatorn på följande sätt:

   • För självsignerade certifikat: Lägg till certifikatet i certifikatarkiven Betrodda rotcertifikatutfärdare och Betrodda utgivare .

   • För certifikatutfärdare (CA) utfärdade certifikat: Lägg till certifikatet i certifikatarkivet Betrodda utgivare .

   Obs!

   WUA kontrollerar också om inställningen Tillåt signerat innehåll från intranätet Microsoft uppdatera tjänstplats grupprincip är aktiverad på den lokala datorn. Den här principinställningen måste vara aktiverad för att WUA ska kunna söka efter uppdateringar som har skapats och publicerats med Uppdateringar Publisher. Mer information om hur du aktiverar den här inställningen för grupprincip finns i Konfigurera grupprincip på klientdatorer.

Konfigurera grupprincip så att WUA på datorer kan söka efter publicerade uppdateringar

Innan Windows Update Agent (WUA) på datorer söker efter uppdateringar som har skapats och publicerats med Uppdateringar Publisher måste en principinställning aktiveras för att tillåta signerat innehåll från ett intranät Microsoft uppdatera tjänstplatsen. När principinställningen är aktiverad accepterar WUA uppdateringar som tas emot via en intranätplats om uppdateringarna är signerade i certifikatarkivet Betrodda utgivare på den lokala datorn. Det finns flera metoder för att konfigurera grupprincip på datorer i miljön.

För datorer som inte finns i domänen kan en registernyckelinställning konfigureras som tillåter signerat innehåll från ett intranät Microsoft Uppdatera tjänstplats.

Följande procedurer innehåller de grundläggande stegen som kan användas för att konfigurera grupprincip för datorer i domänen och ett registernyckelvärde på datorer som inte finns i domänen.

Så här konfigurerar du grupprincip så att WUA kan söka efter publicerade uppdateringar

1. Öppna snapin-modulen grupprincip Object Editor Microsoft Management Console (MMC) med en användare som har rätt säkerhetsbehörighet för att konfigurera grupprincip.

2. Klicka på Bläddra och välj domänen, organisationsenheten eller grupprincipobjekten som är länkade till den plats där den konfigurerade grupprincip ska spridas till önskade klientdatorer. Klicka på OK, klicka på Slutför, klicka på Stäng och klicka sedan på OK.

3. Expandera den valda principinställningen i konsolträdet, expandera Datorkonfiguration, expandera Administrativa mallar, expandera Windows-komponenter och klicka sedan på Windows Update.

4. Högerklicka på Tillåt signerat innehåll från intranätet Microsoft uppdatera tjänstens plats i resultatfönstret, klicka på Egenskaper, klicka på Aktiverad och klicka sedan på OK.