Freigeben über


Verwalten von Zertifikaten und Sicherheit für Aktualisierungen Publisher

Gilt für: Configuration Manager (Current Branch)

Die folgenden Verfahren können Ihnen helfen, den Zertifikatspeicher auf dem Updateserver zu konfigurieren, ein selbstsignierende Zertifikat auf dem Clientcomputer zu konfigurieren und die Gruppenrichtlinie zu konfigurieren, damit der Windows Update-Agent auf Computern nach veröffentlichten Updates suchen kann.

Konfigurieren des Zertifikatspeichers auf dem Updateserver

Aktualisierungen Publisher verwendet ein digitales Zertifikat, um die Updates in den katalogen zu signieren, die er veröffentlicht. Bevor ein Katalog auf dem Updateserver veröffentlicht werden kann, muss sich dieses Zertifikat im Zertifikatspeicher auf dem Updateserver und im Zertifikatspeicher des Aktualisierungen Verlegercomputers befinden, wenn dieser Computer remote vom Updateserver entfernt ist.

Das folgende Verfahren ist eine von mehreren möglichen Methoden zum Hinzufügen des Zertifikats zum Zertifikatspeicher auf dem Updateserver.

So konfigurieren Sie den Zertifikatspeicher

  1. Klicken Sie auf einem Computer, der sowohl auf den Aktualisierungen Publisher-Computer als auch auf den Updateserver zugreifen kann, auf Start, klicken Sie auf Ausführen, geben Sie MMC in das Textfeld ein, und klicken Sie dann auf OK, um die Microsoft Management Console (MMC) zu öffnen.

  2. Klicken Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen, klicken Sie auf Hinzufügen, klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

  3. Wählen Sie Einen anderen Computer aus, geben Sie den Namen des Updateservers ein, oder klicken Sie auf Durchsuchen , um den Updateservercomputer zu suchen, klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  4. Erweitern Sie Zertifikate (Servername aktualisieren),erweitern Sie WSUS, und klicken Sie dann auf Zertifikate.

  5. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf das gewünschte Zertifikat, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren.

  6. Verwenden Sie im Zertifikatexport-Assistenten die Standardeinstellungen, um eine Exportdatei mit dem im Assistenten angegebenen Namen und Speicherort zu erstellen. Diese Datei muss für den Updateserver verfügbar sein, bevor Sie mit dem nächsten Schritt fortfahren können.

  7. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Herausgeber, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Schließen Sie den Zertifikatimport-Assistenten mithilfe der exportierten Datei aus Schritt 6 ab.

  8. Wenn ein selbstsigniertes Zertifikat verwendet wird, z. B . WSUS-Herausgeber selbstsigniert, klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Importieren. Schließen Sie den Zertifikatimport-Assistenten mithilfe der exportierten Datei aus Schritt 6 ab.

  9. Klicken Sie mit der rechten Maustaste auf Zertifikate (Servername aktualisieren), klicken Sie auf Verbindung mit einem anderen Computer herstellen, geben Sie den Computernamen für den Aktualisierungen Herausgebercomputer ein, und klicken Sie auf OK.

  10. Wenn Aktualisierungen Publisher remote vom Updateserver entfernt ist, wiederholen Sie die Schritte 7 bis 9, um das Zertifikat in den Zertifikatspeicher auf dem Aktualisierungen Verlegercomputer zu importieren.

Konfigurieren eines Selbstsignaturzertifikats auf Clientcomputern

Auf Clientcomputern sucht der Windows Update-Agent (WUA) nach updates aus dem Katalog. Bei diesem Vorgang können Updates nicht installiert werden, wenn der Agent dieses digitale Zertifikat nicht im Speicher für vertrauenswürdige Herausgeber auf dem lokalen Computer finden kann. Wenn ein selbstsigniertes Zertifikat zum Veröffentlichen des Aktualisierungskatalogs verwendet wurde, z. B . WSUS-Verleger selbstsigniert, muss sich das Zertifikat auch im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer befinden, damit der Agent die Gültigkeit des Zertifikats überprüfen kann.

Sie können eine von mehreren Methoden zum Konfigurieren von Zertifikaten auf Clientcomputern verwenden, z. B. mit Gruppenrichtlinie und dem Zertifikatimport-Assistenten oder mit dem Certutil-Tool und der Softwareverteilung.

Im Folgenden finden Sie ein Beispiel für die Konfiguration des Signaturzertifikats auf Clientcomputern.

So konfigurieren Sie ein Selbstsignaturzertifikat auf Clientcomputern

  1. Klicken Sie auf einem Computer mit Zugriff auf den Updateserver auf Start, klicken Sie auf Ausführen, geben Sie MMC in das Textfeld ein, und klicken Sie dann auf OK, um die Microsoft Management Console (MMC) zu öffnen.

  2. Klicken Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen, klicken Sie auf Hinzufügen, klicken Sie auf Zertifikate, klicken Sie auf Hinzufügen, wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter.

  3. Wählen Sie Einen anderen Computer aus, geben Sie den Namen des Updateservers ein, oder klicken Sie auf Durchsuchen , um den Updateservercomputer zu suchen, klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  4. Erweitern Sie Zertifikate (Servername aktualisieren),erweitern Sie WSUS, und klicken Sie dann auf Zertifikate.

  5. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf das Zertifikat, klicken Sie auf Alle Aufgaben, und klicken Sie dann auf Exportieren. Schließen Sie den Zertifikatexport-Assistenten mithilfe der Standardeinstellungen ab, um eine Exportzertifikatdatei mit dem im Assistenten angegebenen Namen und Speicherort zu erstellen.

  6. Verwenden Sie eine der folgenden Methoden, um das Zertifikat zum Signieren des Updatekatalogs auf jedem Clientcomputer hinzuzufügen, der WUA verwendet, um nach den Updates im Katalog zu suchen. Fügen Sie das Zertifikat wie folgt auf dem Clientcomputer hinzu:

    • Für selbstsignierte Zertifikate: Fügen Sie das Zertifikat den Zertifikatspeichern Vertrauenswürdige Stammzertifizierungsstellen und vertrauenswürdige Herausgeber hinzu.

    • Für von einer Zertifizierungsstelle ausgestellte Zertifikate: Fügen Sie das Zertifikat dem Zertifikatspeicher für vertrauenswürdige Herausgeber hinzu.

    Hinweis

    Der WUA überprüft auch, ob die Einstellung Signierten Inhalt aus Intranet zulassen Microsoft Updatedienstspeicherort Gruppenrichtlinie auf dem lokalen Computer aktiviert ist. Diese Richtlinieneinstellung muss aktiviert sein, damit WUA nach den Updates sucht, die mit Aktualisierungen Publisher erstellt und veröffentlicht wurden. Weitere Informationen zum Aktivieren dieser Gruppenrichtlinie Einstellung finden Sie unter Konfigurieren der Gruppenrichtlinie auf Clientcomputern.

Konfigurieren von Gruppenrichtlinie, damit WUA auf Computern nach veröffentlichten Updates suchen kann

Bevor der Windows Update-Agent (WUA) auf Computern nach Updates sucht, die mit Aktualisierungen Publisher erstellt und veröffentlicht wurden, muss eine Richtlinieneinstellung aktiviert werden, um signierte Inhalte aus einem Intranet Microsoft Updatedienstspeicherort zuzulassen. Wenn die Richtlinieneinstellung aktiviert ist, akzeptiert WUA Updates, die über einen Intranetspeicherort empfangen werden, wenn die Updates im Zertifikatspeicher für vertrauenswürdige Herausgeber auf dem lokalen Computer angemeldet sind. Es gibt mehrere Methoden zum Konfigurieren von Gruppenrichtlinie auf Computern in der Umgebung.

Für Computer, die sich nicht in der Domäne befinden, kann eine Registrierungsschlüsseleinstellung konfiguriert werden, die signierte Inhalte aus einem Intranet Microsoft Speicherort des Updatediensts zulässt.

Die folgenden Verfahren enthalten die grundlegenden Schritte, die zum Konfigurieren von Gruppenrichtlinie für Computer in der Domäne und eines Registrierungsschlüsselwerts auf Computern verwendet werden können, die sich nicht in der Domäne befinden.

So konfigurieren Sie Gruppenrichtlinie, damit WUA nach veröffentlichten Updates suchen kann

  1. Öffnen Sie das MMC-Snap-In (Gruppenrichtlinie Objekt-Editor Microsoft Management Console) mit einem Benutzer, der über die entsprechenden Sicherheitsrechte zum Konfigurieren Gruppenrichtlinie verfügt.

  2. Klicken Sie auf Durchsuchen, und wählen Sie die Domäne, Organisationseinheit oder Gruppenrichtlinienobjekte aus, die mit dem Standort verknüpft sind, an dem die konfigurierten Gruppenrichtlinie an die gewünschten Clientcomputer weitergegeben werden sollen. Klicken Sie auf OK, klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  3. Erweitern Sie die ausgewählte Richtlinieneinstellung in der Konsolenstruktur, erweitern Sie Computerkonfiguration, erweitern Sie Administrative Vorlagen, erweitern Sie Windows-Komponenten, und klicken Sie dann auf Windows Update.

  4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf Signierten Inhalt aus dem Intranet zulassen Microsoft Speicherort des Updatediensts, klicken Sie auf Eigenschaften, klicken Sie auf Aktiviert, und klicken Sie dann auf OK.