Почему я должен распространять мой сертификат подписи кода, подписанный ЦС, с GPO?
У меня есть корпоративная PKI. Мой выдающий ЦС является частью моей Active Directory.
Для издателя пакетов Windows я выдал сертификат подписи кода, который обычно должен быть действительным внутри всей моей структуры AD (он подписан моим выдающим ЦС). Тем не менее мне нужно импортировать сертификат подписи кода для каждого компьютера, на котором я хочу развернуть сторонние обновления с помощью WPP.
Любые идеи, почему WSUS не будет доверять пакетам WPP, если сертификат подписи кода не импортируется локально на локальном компьютере ?
Это требование документируется в Установка Доверительных отношений и в другом месте. Ключевой пункт - то, что определенный сертификат для подписывания кода, используемый сторонними пакетами WSUS, должен быть в Доверяемом хранилище Издателей, это не просто вопрос пакетов, подписываемых никакой действительный сертификат.
Примечание в особенности следующий параграф:
Важный Включающая локальная публикация имеет последствия безопасности; Ваши клиенты и серверы обновления будут теперь доверять коду, подписанному с сертификатом выше. Из соображений безопасности, если Вы принимаете решение включить локальную публикацию, мы настоятельно рекомендуем ограничить доступ к закрытому ключу сертификата для подписывания кода и что Вы настраиваете свой сервер обновления для использования SSL для всей связи.
В основном, если бы клиент Windows Update принял пакеты с каким-либо действительным сертификатом, клиенты были бы уязвимы для атак "человек посередине" против Вашего сервера WSUS, или против самого Windows Update. По умолчанию только пакеты, подписанные Microsoft, приняты. Необходимо сказать клиентам, что они также должны принять пакеты, которые Вы подписали, который Вы делаете путем импорта, который хранит определенный сертификат в Доверяемых Издателей.
Примечание, что в сценарии предприятия PKI, корневой сертификат обычно автоматически экспортируется в клиенты через групповую политику, но это просто дает ему тот же уровень доверия как любой другой распознанный центр сертификации. Windows не рассматривает сертификаты, выпущенные Вашим CA никто по-другому к другим сертификатам.