通过

管理 汇报 发布服务器的证书和安全性

  • 项目

适用于: Configuration Manager(current branch)

以下过程可帮助你在更新服务器上配置证书存储,在客户端计算机上配置自签名证书,以及配置组策略以允许计算机上的 Windows 更新 代理扫描已发布的更新。

在更新服务器上配置证书存储

汇报 Publisher 使用数字证书对发布目录中的更新进行签名。 在目录可以发布到更新服务器之前,该证书必须位于更新服务器上的证书存储中,如果该计算机远离更新服务器,则该证书必须位于 汇报 Publisher 计算机的证书存储中。

以下过程是将证书添加到更新服务器上的证书存储的几种可能方法之一。

配置证书存储

  1. 在可以访问 汇报 Publisher 计算机和更新服务器的计算机上,单击“开始”,单击“运行”,在文本框中键入 MMC,然后单击“确定”打开Microsoft管理控制台 (MMC) 。

  2. 依次单击“ 文件”、“ 添加/删除管理单元”、“ 添加”、“ 证书”、“ 添加”、“ 计算机帐户”和“ 下一步”。

  3. 选择“ 另一台计算机”,键入更新服务器的名称,或单击“ 浏览 ”查找更新服务器计算机,单击“ 完成”,单击“ 关闭”,然后单击“ 确定”。

  4. 展开 “证书” (更新服务器名称) ,展开 “WSUS”,然后单击“ 证书”。

  5. 在结果窗格中,右键单击所需的证书,单击“ 所有任务”,然后单击“ 导出”。

  6. 在证书导出向导中,使用默认设置创建具有向导中指定的名称和位置的导出文件。 在继续执行下一步之前,此文件必须可供更新服务器使用。

  7. 右键单击“ 受信任的发布者”,单击“ 所有任务”,然后单击“ 导入”。 使用步骤 6 中导出的文件完成证书导入向导。

  8. 如果使用自签名证书(例如 WSUS 发布服务器自签名),请右键单击“ 受信任的根证书颁发机构”,单击“ 所有任务”,然后单击“ 导入”。 使用步骤 6 中导出的文件完成证书导入向导。

  9. 右键单击“证书” (更新服务器名称) ,单击“连接到另一台计算机”,输入汇报 Publisher 计算机的计算机名称,然后单击“确定”。

  10. 如果汇报发布服务器远离更新服务器,请重复步骤 7 到 9,将证书导入汇报发布服务器上的证书存储。

在客户端计算机上配置自签名证书

在客户端计算机上,Windows 更新代理 (WUA) 将从目录中扫描更新。 当代理在本地计算机上的受信任发布服务器存储中找不到该数字证书时,此过程将无法安装更新。 如果使用自签名证书发布更新目录(如 WSUS 发布者自签名),则证书还必须位于本地计算机上的受信任的根证书颁发机构证书存储中,以便代理可以验证证书的有效性。

可以使用多种方法之一在客户端计算机上配置证书,例如使用 组策略 和证书导入向导或使用 Certutil 工具和软件分发。

下面是有关如何在客户端计算机上配置签名证书的一个示例。

在客户端计算机上配置自签名证书

  1. 在有权访问更新服务器的计算机上,依次单击“开始”、“运行”,在文本框中键入 MMC,然后单击“确定”打开Microsoft管理控制台 (MMC) 。

  2. 依次单击“ 文件”、“ 添加/删除管理单元”、“ 添加”、“ 证书”、“ 添加”、“ 计算机帐户”和“ 下一步”。

  3. 选择“ 另一台计算机”,键入更新服务器的名称,或单击“ 浏览 ”查找更新服务器计算机,单击“ 完成”,单击“ 关闭”,然后单击“ 确定”。

  4. 展开 “证书” (更新服务器名称) ,展开 “WSUS”,然后单击“ 证书”。

  5. 右键单击结果窗格中的证书,单击“ 所有任务”,然后单击“ 导出”。 使用默认设置完成 证书导出向导 ,使用向导中指定的名称和位置创建导出证书文件。

  6. 使用以下方法之一将用于对更新目录进行签名的证书添加到将使用 WUA 扫描目录中的更新的每台客户端计算机。 在客户端计算机上添加证书,如下所示:

    • 对于自签名证书:将证书添加到 受信任的根证书颁发机构受信任的发布者 证书存储。

    • 对于证书颁发机构 (CA) 颁发的证书:将证书添加到 受信任的发布者 证书存储。

    注意

    WUA 还会检查是否在本地计算机上启用了“允许来自 Intranet Microsoft更新服务位置组策略”设置。 必须启用此策略设置,WUA 才能扫描使用 汇报 Publisher 创建和发布的更新。 有关启用此组策略设置的详细信息,请参阅如何在客户端计算机上配置组策略

配置组策略以允许计算机上的 WUA 扫描已发布的更新

在计算机上的 Windows 更新 代理 (WUA) 扫描使用 汇报 Publisher 创建和发布的更新之前,必须启用策略设置,以允许从 Intranet Microsoft更新服务位置签名内容。 启用策略设置后,如果更新在本地计算机上的 受信任发布者 证书存储中签名,则 WUA 将接受通过 Intranet 位置接收的更新。 有多种方法可用于在环境中的计算机上配置组策略。

对于不在域中的计算机,可以配置一个注册表项设置,以允许从 Intranet Microsoft更新服务位置签名内容。

以下过程提供了可用于为域上的计算机配置组策略的基本步骤,并在不在域上的计算机上配置注册表项值。

配置组策略以允许 WUA 扫描已发布的更新

  1. (MMC) 管理单元中打开组策略对象编辑器Microsoft管理控制台,用户具有配置组策略的适当安全权限。

  2. 单击“浏览”,然后选择已配置组策略将传播到所需客户端计算机的站点的域、OU 或 GPO。 依次单击“ 确定”、“ 完成”、“ 关闭”和“ 确定”。

  3. 在控制台树中展开所选策略设置,依次展开“计算机配置”、“管理模板”和“Windows 组件”,然后单击“Windows 更新”。

  4. 在结果窗格中,右键单击“允许来自 Intranet Microsoft更新服务位置的签名内容”,依次单击“属性”、“已启用”和“确定”。