共用方式為

管理更新發行者的憑證和安全性

  • 發行項

適用於:Configuration Manager (目前的分支)

下列程式可協助您在補救伺服器上設定憑證存放區、在用戶端電腦上設定自我簽署憑證,以及設定群組原則以允許電腦上的 Windows Update Agent 掃描已發佈的更新。

在補救伺服器上設定憑證存放區

更新發行者會使用數位憑證來簽署其發行目錄中的更新。 在目錄可以發佈至補救伺服器之前,該憑證必須位於補救伺服器的憑證存放區中,如果該電腦位於補救伺服器的遠端,則必須位於更新發行者電腦的憑證存放區中。

下列程式是將憑證新增至補救伺服器上憑證存放區的數個可能方法之一。

設定憑證存放區

  1. 在可以存取 更新 Publisher 電腦和補救伺服器的電腦上,按一下 [開始],按一下 [執行],在文字方塊中輸入MMC,然後按一下 [確定] 以開啟 Microsoft Management Console (MMC) 。

  2. 依序按一下 [檔案]、 [新增/移除嵌入式管理單元]、[ 新增]、[ 憑證]、[ 新增]、[ 電腦帳戶],然後按 [ 下一步]

  3. 取 [其他電腦],輸入補救伺服器的名稱,或按一下 [ 流覽 ] 尋找補救伺服器電腦,按一下 [ 完成],按一下 [ 關閉],然後按一下 [ 確定]

  4. 展開 [憑證 (補救伺服器名稱) ],展開 [WSUS],然後按一下 [ 憑證]

  5. 在結果窗格中,以滑鼠右鍵按一下所需的憑證,按一下 [ 所有工作],然後按一下 [ 匯出]

  6. 在 [憑證匯出精靈] 中,使用預設設定來建立具有精靈中指定之名稱和位置的匯出檔案。 此檔案必須可供補救伺服器使用,才能繼續進行下一個步驟。

  7. 以滑鼠右鍵按一下 [信任的發行者],按一下 [ 所有工作],然後按一下 [ 匯入]。 使用步驟 6 中匯出的檔案,完成憑證匯入精靈。

  8. 如果使用自我簽署憑證,例如 WSUS 發行者自我簽署,請以滑鼠右鍵按一下 [受信任的根憑證授權單位],按一下 [ 所有工作],然後按一下 [ 匯入]。 使用步驟 6 中匯出的檔案,完成憑證匯入精靈。

  9. 以滑鼠右鍵按一下[憑證 (補救伺服器名稱) ],按一下 [連線到另一部電腦],輸入更新發行者電腦的電腦名稱稱,然後按一下 [確定]

  10. 如果 更新 Publisher 位於補救伺服器的遠端,請重複步驟 7 到 9,將憑證匯入更新發行者電腦上的憑證存放區。

在用戶端電腦上設定自我簽署憑證

在用戶端電腦上,Windows Update代理程式 (WUA) 會掃描目錄中的更新。 當代理程式在本機電腦上信任的發行者存放區中找不到該數位憑證時,此程式將無法安裝更新。 如果使用自我簽署憑證來發佈更新目錄,例如 WSUS 發行者自我簽署,則憑證也必須位於本機電腦上受信任的根憑證授權單位憑證存放區中,代理程式才能驗證憑證的有效性。

您可以使用數種方法之一,在用戶端電腦上設定憑證,例如使用群組原則和憑證匯入精靈,或使用 Certutil 工具和軟體發佈。

以下是如何在用戶端電腦上設定簽署憑證的其中一個範例。

在用戶端電腦上設定自我簽署憑證

  1. 在可存取補救伺服器的電腦上,按一下 [開始],按一下 [執行],在文字方塊中輸入MMC,然後按一下 [確定] 以開啟 Microsoft Management Console (MMC) 。

  2. 依序按一下 [檔案]、 [新增/移除嵌入式管理單元]、[ 新增]、[ 憑證]、[ 新增]、[ 電腦帳戶],然後按 [ 下一步]

  3. 取 [其他電腦],輸入補救伺服器的名稱,或按一下 [ 流覽 ] 尋找補救伺服器電腦,按一下 [ 完成],按一下 [ 關閉],然後按一下 [ 確定]

  4. 展開 [憑證 (補救伺服器名稱) ],展開 [WSUS],然後按一下 [ 憑證]

  5. 以滑鼠右鍵按一下結果窗格中的憑證,按一下 [ 所有工作],然後按一下 [ 匯出]。 使用預設設定來完成憑 證匯出精靈 ,以使用精靈中指定的名稱和位置來建立匯出憑證檔案。

  6. 使用下列其中一種方法,將用來簽署更新目錄的憑證新增至將使用 WUA 掃描目錄中更新的每部用戶端電腦。 在用戶端電腦上新增憑證,如下所示:

    • 對於自我簽署憑證:將憑證新增至 受信任的根憑證授權 單位和 受信任的發行者證書 存儲。

    • 針對憑證授權單位單位 (CA) 核發的憑證:將憑證新增至 受信任的發行者證書 存儲。

    注意事項

    WUA 也會檢查是否已在本機電腦上啟用 [允許來自內部網路的已簽署內容Microsoft更新服務位置群組原則設定。 必須啟用此原則設定,WUA 才能掃描使用 更新 Publisher 建立和發佈的更新。 如需啟用此群組原則設定的詳細資訊,請參閱如何在用戶端電腦上設定群組原則

設定群組原則以允許電腦上的 WUA 掃描已發佈的更新

電腦上的 Windows Update Agent (WUA) 會掃描使用 更新 Publisher 建立和發佈的更新之前,必須先啟用原則設定,以允許來自內部網路Microsoft更新服務位置的已簽署內容。 啟用原則設定時,如果更新是在本機電腦的 受信任發行者 憑證存放區中簽署,WUA 就會接受透過內部網路位置接收的更新。 有數種方法可在環境中的電腦上設定群組原則。

對於不在網域上的電腦,可以設定登錄機碼設定,以允許來自內部網路Microsoft更新服務位置的已簽署內容。

下列程式提供基本步驟,可用來為網域上的電腦設定群組原則,以及在不在網域的電腦上設定登錄機碼值。

若要設定群組原則以允許 WUA 掃描已發佈的更新

  1. 使用具有設定群組原則適當安全性許可權的使用者,開啟 群組原則 物件編輯器Microsoft管理主控台 (MMC) 嵌入式管理單元。

  2. 按一下[流覽],然後選取連結至已設定群組原則將傳播至所需用戶端電腦之網站的網域、OU 或 GPO。 依 按一下 [確定]、[ 完成]、[ 關閉],然後按一下 [ 確定]

  3. 展開主控台樹中選取的原則設定,依序展開 [電腦設定]、[系統管理範本] 和 [Windows 元件],然後按一下[Windows Update]。

  4. 在結果窗格中,以滑鼠右鍵按一下 [允許來自內部網路的已簽署內容Microsoft更新服務位置],依序按一下 [屬性]、[已啟用],然後按一下 [確定]