Správa certifikátů a zabezpečení pro Aktualizace Publisher
Platí pro: Configuration Manager (Current Branch)
Následující postupy vám můžou pomoct nakonfigurovat úložiště certifikátů na aktualizačním serveru, nakonfigurovat certifikát podepsaný svým držitelem v klientském počítači a nakonfigurovat Zásady skupiny tak, aby agent služba Windows Update na počítačích mohl vyhledávat publikované aktualizace.
Konfigurace úložiště certifikátů na aktualizačním serveru
Aktualizace Publisher používá k podepsání aktualizací v katalogech, které publikuje, digitální certifikát. Před publikováním katalogu na server aktualizací musí být tento certifikát v úložišti certifikátů na serveru aktualizací a v úložišti certifikátů počítače Aktualizace Publisher, pokud je tento počítač vzdálený od serveru aktualizací.
Následující postup je jednou z několika možných metod přidání certifikátu do úložiště certifikátů na aktualizačním serveru.
Konfigurace úložiště certifikátů
V počítači, který má přístup k počítači Aktualizace Publisher i k aktualizačnímu serveru, klikněte na Start, klikněte na Spustit, do textového pole zadejte MMC a potom kliknutím na OK otevřete konzolu Microsoft Management Console (MMC).
Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Přidat, certifikáty, přidat, vyberte Účet počítače a potom klikněte na Další.
Vyberte Jiný počítač, zadejte název aktualizačního serveru nebo klikněte na Procházet a vyhledejte počítač serveru aktualizací, klikněte na Dokončit, klikněte na Zavřít a potom klikněte na OK.
Rozbalte certifikáty (název serveru aktualizace), rozbalte WSUS a klikněte na Certifikáty.
V podokně výsledků klikněte pravým tlačítkem na požadovaný certifikát, klikněte na Všechny úkoly a potom klikněte na Exportovat.
V Průvodci exportem certifikátu pomocí výchozího nastavení vytvořte soubor exportu s názvem a umístěním zadaným v průvodci. Než budete pokračovat k dalšímu kroku, musí být tento soubor dostupný pro aktualizační server.
Klikněte pravým tlačítkem na Důvěryhodní vydavatelé, klikněte na Všechny úkoly a potom klikněte na Importovat. Dokončete Průvodce importem certifikátu pomocí exportovaného souboru z kroku 6.
Pokud se používá certifikát podepsaný svým držitelem, například vydavatelé wsus podepsané svým držitelem, klikněte pravým tlačítkem na Důvěryhodné kořenové certifikační autority, klikněte na Všechny úlohy a potom klikněte na Importovat. Dokončete Průvodce importem certifikátu pomocí exportovaného souboru z kroku 6.
Klikněte pravým tlačítkem na Certifikáty (název serveru aktualizace), klikněte na Připojit k jinému počítači, zadejte název počítače Aktualizace Publisheru a klikněte na OK.
Pokud je aplikace Aktualizace Publisher vzdálená od serveru aktualizací, opakujte kroky 7 až 9 a importujte certifikát do úložiště certifikátů v počítači Aktualizace Publisher.
Konfigurace certifikátu pro podepisování svým držitelem na klientských počítačích
Na klientských počítačích bude agent služba Windows Update (WUA) vyhledávat aktualizace z katalogu. Tomuto procesu se nepodaří nainstalovat aktualizace, pokud agent nemůže najít digitální certifikát v úložišti Důvěryhodných vydavatelů v místním počítači. Pokud byl k publikování katalogu aktualizací použit certifikát podepsaný svým držitelem, například vydavatelé služby WSUS podepsané svým držitelem, musí být certifikát také v úložišti certifikátů důvěryhodných kořenových certifikačních autorit na místním počítači, aby agent mohl ověřit platnost certifikátu.
Ke konfiguraci certifikátů v klientských počítačích můžete použít jednu z několika metod, například pomocí Zásady skupiny a Průvodce importem certifikátu nebo pomocí nástroje a distribuce softwaru Certutil.
Jako jeden příklad konfigurace podpisového certifikátu na klientských počítačích najdete následující příklad.
Konfigurace certifikátu pro podepisování svým držitelem na klientských počítačích
V počítači s přístupem k aktualizačnímu serveru klikněte na start, klikněte na Spustit, do textového pole zadejte MMC a kliknutím na OK otevřete konzolu mmc (Microsoft Management Console).
Klikněte na Soubor, klikněte na Přidat nebo odebrat modul snap-in, klikněte na Přidat, certifikáty, přidat, vyberte Účet počítače a potom klikněte na Další.
Vyberte Jiný počítač, zadejte název aktualizačního serveru nebo klikněte na Procházet a vyhledejte počítač serveru aktualizací, klikněte na Dokončit, klikněte na Zavřít a potom klikněte na OK.
Rozbalte certifikáty (název serveru aktualizace), rozbalte WSUS a klikněte na Certifikáty.
Klikněte pravým tlačítkem na certifikát v podokně výsledků, klikněte na Všechny úlohy a potom klikněte na Exportovat. Dokončete Průvodce exportem certifikátu pomocí výchozího nastavení a vytvořte soubor certifikátu exportu s názvem a umístěním zadaným v průvodci.
Pomocí jedné z následujících metod přidejte certifikát použitý k podepsání katalogu aktualizací do každého klientského počítače, který bude používat wua ke kontrole aktualizací v katalogu. Přidejte certifikát do klientského počítače následujícím způsobem:
Certifikáty podepsané svým držitelem: Přidejte certifikát do úložišť certifikátů Důvěryhodných kořenových certifikačních autorit a Důvěryhodných vydavatelů .
Certifikáty vydané certifikační autoritou (CA): Přidejte certifikát do úložiště certifikátů důvěryhodných vydavatelů .
Poznámka
WuA také zkontroluje, jestli je na místním počítači povolené nastavení Povolit podepsaný obsah z intranetu Zásady skupiny Microsoft umístění služby aktualizace. Toto nastavení zásad musí být povolené, aby služba WUA hledala aktualizace, které byly vytvořeny a publikovány pomocí aplikace Aktualizace Publisher. Další informace o povolení tohoto nastavení Zásady skupiny najdete v tématu Konfigurace Zásady skupiny v klientských počítačích.
Konfigurace Zásady skupiny, aby služba WUA na počítačích mohla vyhledávat publikované aktualizace
Než agent služba Windows Update (WUA) na počítačích vyhledá aktualizace, které byly vytvořeny a publikovány pomocí aplikace Aktualizace Publisher, musí být povolené nastavení zásad, které povolí podepsaný obsah z intranetu Microsoft umístění služby aktualizace. Pokud je nastavení zásad povolené, bude služba WUA přijímat aktualizace přijaté prostřednictvím intranetového umístění, pokud jsou aktualizace podepsané v úložišti certifikátů důvěryhodných vydavatelů na místním počítači. Existuje několik metod konfigurace Zásady skupiny na počítačích v prostředí.
Pro počítače, které nejsou v doméně, je možné nakonfigurovat nastavení klíče registru, které umožňuje podepsaný obsah z intranetu Microsoft umístění služby Update.
Následující postupy obsahují základní kroky, které lze použít ke konfiguraci Zásady skupiny pro počítače v doméně a hodnoty klíče registru v počítačích, které nejsou v doméně.
Konfigurace Zásady skupiny tak, aby služba WUA mohla vyhledávat publikované aktualizace
Otevřete modul snap-in konzoly MMC (Zásady skupiny Object Editor Microsoft Management Console) s uživatelem, který má příslušná práva zabezpečení ke konfiguraci Zásady skupiny.
Klikněte na Procházet a vyberte doménu, organizační jednotky nebo objekty zásad skupiny propojené s lokalitou, kde se nakonfigurovaná Zásady skupiny rozšíří do požadovaných klientských počítačů. Klikněte na OK, klikněte na Dokončit, na Zavřít a potom na OK.
Rozbalte vybrané nastavení zásad ve stromu konzoly, rozbalte Položku Konfigurace počítače, šablony pro správu, součásti systému Windows a potom klikněte na služba Windows Update.
V podokně výsledků klikněte pravým tlačítkem na Povolit podepsaný obsah z intranetu Microsoft umístění služby aktualizace, klikněte na Vlastnosti, na Povoleno a potom klikněte na OK.