Вопросы Теги

IIS в ядре сервера - включить SSL для WSUS

Я пытаюсь развернуть WSUS4. Я пытаюсь поступить правильно и использовать ядро ​​сервера.

Проблема в том, что я застрял при включении SSL.

При использовании IIS Remote Manager нет " Кнопка Server Ceritificates.

Я где-то читал, что могу использовать certutil для импорта сертификата.

Проблема: я не могу сгенерировать файл .pfx. «Экспорт закрытого ключа» неактивен.

Есть идеи, как это сделать?

0
задан 22 June 2017 в 18:05
1 ответ

Вы на правильном пути. Вы должны использовать certutil.exe для создания сертификата, тогда вы увидите его в раскрывающемся списке в Управлении IIS в окне редактирования привязок.

Вместо импорта закрытого ключа используйте возможность certutil.exe генерировать и сохранять закрытый ключ в хранилище сертификатов Windows, а затем сопоставлять его с выданным сертификатом.

Для этого одной проблемой является создание запроса .inf файл. Вот пример, который работал у меня на Windows Server 2012 R2 Core для WSUS. Введите в полное доменное имя имя вашего сервера. 

[Version]

Signature="$Windows NT$"

[NewRequest]

Subject = "CN=FQDN"
Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
RequestType = PKCS10

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

[Extensions]

[RequestAttributes]

CertificateTemplate = Machine

В командной строке главного сервера в папке, где находится request.inf , запустите: 

certreq -new request.inf machine.req

Затем отправьте machine.req в ваш центр сертификации. Если у вас есть корпоративный ЦС Windows, вы можете сделать это с помощью следующей команды: 

certutil -submit -adminforcemachine machine.req machine.cer

Когда вы получите сертификат (от корпоративного ЦС или стороннего центра), импортируйте его в хранилище сертификатов. 

certreq -accept machine.cer

Затем войдите в Диспетчер IIS на рабочей станции администратора, подключитесь к серверу WSUS и привяжите сайт администрирования WSUS к своему сертификату.

Затем вы можете включить «Требовать SSL» для:

  • APIRemoting30
  • ClientWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService

Не делайте этого для других виртуальных папок.

Согласно документации, вы должны запустить это на сервере WSUS: 

"C:\Program Files\Update Services\Tools\wsusutil" configuressl <certificate>

Но я не уверен, что это необходимо.

Надеюсь, это поможет!

Джеффри Фокс

2
ответ дан 4 December 2019 в 13:31

Теги

Похожие вопросы