Я пытаюсь развернуть WSUS4. Я пытаюсь поступить правильно и использовать ядро сервера.
Проблема в том, что я застрял при включении SSL.
При использовании IIS Remote Manager нет " Кнопка Server Ceritificates.
Я где-то читал, что могу использовать certutil для импорта сертификата.
Проблема: я не могу сгенерировать файл .pfx. «Экспорт закрытого ключа» неактивен.
Есть идеи, как это сделать?
Вы на правильном пути. Вы должны использовать certutil.exe для создания сертификата, тогда вы увидите его в раскрывающемся списке в Управлении IIS в окне редактирования привязок.
Вместо импорта закрытого ключа используйте возможность certutil.exe генерировать и сохранять закрытый ключ в хранилище сертификатов Windows, а затем сопоставлять его с выданным сертификатом.
Для этого одной проблемой является создание запроса .inf файл. Вот пример, который работал у меня на Windows Server 2012 R2 Core для WSUS. Введите в полное доменное имя имя вашего сервера.
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=FQDN"
Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
RequestType = PKCS10
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[Extensions]
[RequestAttributes]
CertificateTemplate = Machine
В командной строке главного сервера в папке, где находится request.inf , запустите:
certreq -new request.inf machine.req
Затем отправьте machine.req в ваш центр сертификации. Если у вас есть корпоративный ЦС Windows, вы можете сделать это с помощью следующей команды:
certutil -submit -adminforcemachine machine.req machine.cer
Когда вы получите сертификат (от корпоративного ЦС или стороннего центра), импортируйте его в хранилище сертификатов.
certreq -accept machine.cer
Затем войдите в Диспетчер IIS на рабочей станции администратора, подключитесь к серверу WSUS и привяжите сайт администрирования WSUS к своему сертификату.
Затем вы можете включить «Требовать SSL» для:
Не делайте этого для других виртуальных папок.
Согласно документации, вы должны запустить это на сервере WSUS:
"C:\Program Files\Update Services\Tools\wsusutil" configuressl <certificate>
Но я не уверен, что это необходимо.
Надеюсь, это поможет!
Джеффри Фокс