WSUS全攻略之5部署WSUS使用SSL.docx
- 文档编号:12714996
- 上传时间:2023-04-21
- 格式:DOCX
- 页数:14
- 大小:537.60KB
WSUS全攻略之5部署WSUS使用SSL.docx
《WSUS全攻略之5部署WSUS使用SSL.docx》由会员分享,可在线阅读,更多相关《WSUS全攻略之5部署WSUS使用SSL.docx(14页珍藏版)》请在冰豆网上搜索。
WSUS全攻略之5部署WSUS使用SSL
WSUS全攻略之五:
部署WSUS使用SSL
WSUS服务器允许客户端计算机或下游WSUS服务器通过SSL进行身份验证,或者通过SSL加密它们之间更新元数据的通讯。
注意只是加密更新元数据,WSUS服务器并不会加密更新文件。
同步期间,客户端计算机或者下游WSUS服务器将元数据和更新文件通过不同的服务端口从上游WSUS服务器进行同步,这也是MicrosoftUpdate补丁分发的方式。
我们在部署与规划一文中已经提到过,每一个完成的更新程序包含两部分:
元数据和更新文件。
元数据只是提供有关更新的信息,体积往往远小于更新文件,微软只是对元数据的通讯进行加密;但是,微软通过对于每一个更新文件进行散列值计算,并将此散列值跟随元数据通讯一起进行加密传输,从而确保所下载的更新文件的完整性。
在部署WSUS使用SSL时,你需要考虑以下两点:
∙部署SSL会增加WSUS服务器的工作负荷。
在WSUS服务器上部署SSL时,会导致WSUS服务器大概10%的性能损耗,在你部署和规划WSUS服务器时必须预先考虑这一点;
∙如果你使用远程SQL数据库服务器存放WSUS的数据库,WSUS服务器和SQL数据库服务器之间的通讯并不会进行加密。
WSUS服务器只会加密和客户端计算机或下游WSUS服务器之间的元数据通讯;如果需要对WSUS服务器和SQL数据库服务器之间的通讯进行加密时,你需要采用额外的方式,例如部署IPSec安全策略。
部署WSUS服务器使用SSL的过程非常简单,你只需要在WSUS服务器上安装证书并配置IIS要求进行加密通信,然后将客户端计算机和下游WSUS服务器配置为信任此WSUS服务器的服务器证书并访问WSUS服务器的SSL服务即可。
但是部署WSUS服务器使用SSL时,WSUS服务器需要两个端口来提供服务:
一个端口用于提供加密元数据的HTTPS服务;一个端口用于提供未加密的更新文件下载的HTTP服务。
当你在IIS中配置使用证书时,请一定要记住以下四点:
1、不能将整个WSUSWeb站点都设置为需要SSL。
这意味着和WSUSWeb站点的所有通讯都会进行加密,但是WSUS只会加密元数据通讯,这样当客户端计算机或者下游WSUS服务器试图向WSUS服务器下载更新文件时,由于没有用于提供HTTP下载服务的端口,下载将失败;
2、为了确保WSUSWeb站点的安全,你需要对以下虚拟目录配置为要求SSL连接:
∙SimpleAuthWebService
∙DSSAuthWebService
∙ServerSyncWebService
∙WSUSAdmin(此虚拟目录用于访问WSUS管理控制台,对此虚拟目录要求SSL后,你需要修改WSUS管理控制台的链接使用SSL连接);
∙ClientWebService
但是为了让WSUS正常工作,你不能对以下虚拟目录要求SSL连接:
∙Content
∙ReportingWebService
∙SelfUpdate
3、你可以配置IIS在任意端口上使用SSL,但是,HTTP通讯的端口是根据你的SSL端口来进行设置的:
∙如果配置SSL使用标准SSL端口TCP443,则WSUS会自动配置HTTP通讯使用标准HTTP服务端口TCP80。
建议你总是使用标准的SSL端口;
∙如果配置SSL使用其他任意端口,则WSUS会将此SSL端口前的那个端口用于HTTP通讯,这是不可配置的。
例如,如果将端口8531用于SSL通讯,则WSUS会将8530用于HTTP。
4、在配置WSUS服务器采用SSL连接之后,你需要告知客户端计算机或者下游WSUS服务器使用SSL连接和此WSUS服务器进行通讯。
对于客户端计算机的告知是通过修改应用到客户端计算机的组策略中的Intranet更新服务位置来实现;而对于下游WSUS服务器的告知,则是通过修改其同步选项来实现。
另外,你需要考虑以下重要事项:
∙在告知客户端计算机或下游WSUS服务器时,你必须正确提供访问此WSUS服务器的SSL端口的URL地址。
如果使用非标准的SSL端口,则必须在URL中包括该端口。
例如,使用非标准的SSL端口8531时,你提供给客户端计算机或下游WSUS服务器的URL地址为https:
//wsus-ssl-servername:
8531;而使用标准的SSL端口443时,你提供的URL地址则为https:
//wsus-ssl-servername;
∙对于客户端计算机,你必须将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中;对于下游WSUS服务器,则是导入本地计算机的受信任根CA存储或WindowsServerUpdateService的受信任根CA存储中。
∙客户端计算机或下游WSUS服务器必须信任WSUS服务器在IIS中绑定到WSUSWeb站点的证书。
配置WSUSWeb站点使用SSL
首先需要为WSUSWeb站点安装服务器证书。
在Internet信息服务管理控制台中,展开本地计算机下的网站,然后右击WSUSWeb站点(在此是默认网站),选择属性,然后点击目录安全性标签,你可以看到,此Web站点尚未安装证书,所以查看证书按钮不可用的。
点击服务器证书按钮;
在弹出的欢迎使用Web服务器证书向导页,点击下一步;
在服务器证书页,选择新建证书,点击下一步;
在延迟或立即请求页,选择立即将证书请求发送到联机证书颁发机构,点击下一步;
在名称和安全性设置页,输入新证书的名称。
在此我输入名称为WSUSWebSite,接受默认的密钥位长1024,点击下一步;
在单位信息页,输入你的单位和部门信息,点击下一步;
在站点公用名称页,输入用于访问WSUSWeb站点的域名。
在此我的域名是wsus.winsvr.org,输入后点击下一步;
在地理信息页,输入你的地理位置信息,点击下一步;
在SSL端口页,指定使用的SSL端口,在此我接受默认的标准端口443,点击下一步;
在选择证书颁发机构页,选择处理此证书请求的证书颁发机构,点击下一步;
在证书请求提交页,回顾你输入的信息,点击下一步;
在完成Web服务器证书向导页,提醒你证书已经成功安装,点击完成。
现在,目录安全性标签上的查看证书按钮变得可用了,点击查看证书按钮可以查看绑定到此Web站点的服务器验证证书的详细信息,如下图所示:
点击确定按钮关闭Web站点属性对话框。
现在,我们需要配置IIS对以下五个虚拟目录设置使用SSL连接:
∙SimpleAuthWebService
∙DSSAuthWebService
∙ServerSyncWebService
∙WSUSAdmin
∙ClientWebService
首先,在IIS管理控制台中右击WSUSWeb站点下的虚拟目录SimpleAuthWebService,选择属性,然后点击目录安全性标签,最后点击安全通信框架中的编辑按钮;
在弹出的安全通信对话框上,勾选要求安全通信(SSL)和要求128位加密,然后两次点击确定返回Internet信息服务管理控制台;
重复以上操作设置其他四个虚拟目录要求SSL,在WSUS服务器端的配置就完成了。
配置客户端计算机使用SSL访问WSUSWeb站点
现在我们需要配置客户端计算机使用SSL访问WSUS站点,首先,我们需要修改部署客户端计算机所访问的Intranet更新服务位置的组策略,将其修改为访问WSUS服务器SSL端口的URL地址,如下图所示,在此我是使用的标准SSL端口,所以未在URL地址中包含SSL端口:
其次,我们需要将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中,在此我就不详细描述其导入过程了,导入后的证书如下图所示:
此时,客户端计算机就可以通过SSL连接和WSUS服务器通讯进行自动更新了。
而下游WSUS服务器的配置则更为简单,将证书导入后,你只需要在下游WSUS服务器的同步选项中配置更新源使用上游服务器的SSL端口,并勾选同步更新信息时使用SSL即可,如下图所示:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WSUS 攻略 部署 使用 SSL