Condividi tramite


Gestire i certificati e la sicurezza per Aggiornamenti Publisher

Si applica a: Configuration Manager (Current Branch)

Le procedure seguenti consentono di configurare l'archivio certificati nel server di aggiornamento, configurare un certificato autofirmato nel computer client e configurare il Criteri di gruppo per consentire all'agente Windows Update nei computer di analizzare gli aggiornamenti pubblicati.

Configurare l'archivio certificati nel server di aggiornamento

Aggiornamenti Publisher usa un certificato digitale per firmare gli aggiornamenti nei cataloghi pubblicati. Prima di poter pubblicare un catalogo nel server di aggiornamento, tale certificato deve trovarsi nell'archivio certificati nel server di aggiornamento e nell'archivio certificati del computer Aggiornamenti server di pubblicazione se tale computer è remoto dal server di aggiornamento.

La procedura seguente è uno dei diversi metodi possibili per aggiungere il certificato all'archivio certificati nel server di aggiornamento.

Per configurare l'archivio certificati

  1. In un computer che può accedere sia al computer Aggiornamenti Server di pubblicazione che al server di aggiornamento fare clic su Avvia, fare clic su Esegui, digitare MMC nella casella di testo e quindi fare clic su OK per aprire la console di gestione Microsoft.

  2. Fare clic su File, fare clic su Aggiungi/Rimuovi snap-in, fare clic su Aggiungi, fare clic su Certificati, fare clic su Aggiungi, selezionare Account computer e quindi fare clic su Avanti.

  3. Selezionare Un altro computer, digitare il nome del server di aggiornamento o fare clic su Sfoglia per trovare il computer del server di aggiornamento, fare clic su Fine, fare clic su Chiudi e quindi fare clic su OK.

  4. Espandere Certificati (nome del server di aggiornamento),WSUS e quindi fare clic su Certificati.

  5. Nel riquadro dei risultati fare clic con il pulsante destro del mouse sul certificato desiderato, scegliere Tutte le attività e quindi fare clic su Esporta.

  6. Nell'Esportazione guidata certificati usare le impostazioni predefinite per creare un file di esportazione con il nome e il percorso specificati nella procedura guidata. Questo file deve essere disponibile per il server di aggiornamento prima di procedere al passaggio successivo.

  7. Fare clic con il pulsante destro del mouse su Autori attendibili, scegliere Tutte le attività e quindi fare clic su Importa. Completare l'Importazione guidata certificati usando il file esportato dal passaggio 6.

  8. Se viene usato un certificato autofirma, ad esempio server di pubblicazione WSUS autofirmate, fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili, scegliere Tutte le attività e quindi fare clic su Importa. Completare l'Importazione guidata certificati usando il file esportato dal passaggio 6.

  9. Fare clic con il pulsante destro del mouse su Certificati (nome del server di aggiornamento), scegliere Connetti a un altro computer, immettere il nome del computer del server di pubblicazione Aggiornamenti e fare clic su OK.

  10. Se Aggiornamenti server di pubblicazione è remoto dal server di aggiornamento, ripetere i passaggi da 7 a 9 per importare il certificato nell'archivio certificati nel computer del server di pubblicazione Aggiornamenti.

Configurare un certificato di firma automatica nei computer client

Nei computer client, l'agente Windows Update (WUA) analizzerà gli aggiornamenti dal catalogo. Questo processo non consente di installare gli aggiornamenti quando l'agente non riesce a individuare il certificato digitale nell'archivio autori attendibili nel computer locale. Se è stato usato un certificato autofirmata per pubblicare il catalogo degli aggiornamenti, ad esempio server di pubblicazione WSUS Autofirmata, il certificato deve trovarsi anche nell'archivio certificati Autorità di certificazione radice attendibili nel computer locale in modo che l'agente possa verificare la validità del certificato.

È possibile usare uno dei diversi metodi per configurare i certificati nei computer client, ad esempio usando Criteri di gruppo e l'Importazione guidata certificati oppure usando lo strumento Certutil e la distribuzione del software.

Di seguito viene fornito un esempio di come configurare il certificato di firma nei computer client.

Per configurare un certificato di firma automatica nei computer client

  1. In un computer con accesso al server di aggiornamento fare clic sul pulsante Start, fare clic su Esegui, digitare MMC nella casella di testo e quindi fare clic su OK per aprire l'Microsoft Management Console (MMC).

  2. Fare clic su File, fare clic su Aggiungi/Rimuovi snap-in, fare clic su Aggiungi, fare clic su Certificati, fare clic su Aggiungi, selezionare Account computer e quindi fare clic su Avanti.

  3. Selezionare Un altro computer, digitare il nome del server di aggiornamento o fare clic su Sfoglia per trovare il computer del server di aggiornamento, fare clic su Fine, fare clic su Chiudi e quindi fare clic su OK.

  4. Espandere Certificati (nome del server di aggiornamento),WSUS e quindi fare clic su Certificati.

  5. Fare clic con il pulsante destro del mouse sul certificato nel riquadro dei risultati, scegliere Tutte le attività e quindi fare clic su Esporta. Completare l'Esportazione guidata certificati usando le impostazioni predefinite per creare un file di certificato di esportazione con il nome e il percorso specificati nella procedura guidata.

  6. Usare uno dei metodi seguenti per aggiungere il certificato usato per firmare il catalogo degli aggiornamenti a ogni computer client che userà WUA per cercare gli aggiornamenti nel catalogo. Aggiungere il certificato nel computer client come indicato di seguito:

    • Per i certificati autofirmati: aggiungere il certificato agli archivi certificati Autorità di certificazione radice attendibili e Autori attendibili .

    • Per i certificati rilasciati dall'autorità di certificazione(CA): aggiungere il certificato all'archivio certificati autori attendibili .

    Nota

    Wua controlla anche se l'impostazione Consenti contenuto firmato da Intranet Microsoft percorso del servizio di aggiornamento Criteri di gruppo è abilitata nel computer locale. Questa impostazione di criterio deve essere abilitata affinché WUA analizzi gli aggiornamenti creati e pubblicati con Aggiornamenti Publisher. Per altre informazioni sull'abilitazione di questa impostazione di Criteri di gruppo, vedere Come configurare il Criteri di gruppo nei computer client.

Configurazione di Criteri di gruppo per consentire a WUA nei computer di analizzare la disponibilità di aggiornamenti pubblicati

Prima che l'agente Windows Update (WUA) nei computer analizzi gli aggiornamenti creati e pubblicati con Aggiornamenti Publisher, è necessario abilitare un'impostazione dei criteri per consentire il contenuto firmato da un percorso del servizio di aggiornamento Microsoft Intranet. Quando l'impostazione dei criteri è abilitata, WUA accetterà gli aggiornamenti ricevuti tramite un percorso Intranet se gli aggiornamenti sono connessi nell'archivio certificati Autori attendibili nel computer locale. Esistono diversi metodi per configurare Criteri di gruppo nei computer nell'ambiente.

Per i computer che non si trovano nel dominio, è possibile configurare un'impostazione della chiave del Registro di sistema che consenta il contenuto firmato da un percorso del servizio Intranet Microsoft Update.

Le procedure seguenti forniscono i passaggi di base che possono essere usati per configurare Criteri di gruppo per i computer nel dominio e un valore di chiave del Registro di sistema nei computer che non si trovano nel dominio.

Per configurare Criteri di gruppo per consentire a WUA di analizzare gli aggiornamenti pubblicati

  1. Aprire lo snap-in Criteri di gruppo Object Editor Microsoft Management Console (MMC) con un utente con i diritti di sicurezza appropriati per configurare Criteri di gruppo.

  2. Fare clic su Sfoglia e selezionare il dominio, l'unità organizzativa o gli oggetti Criteri di gruppo collegati al sito in cui il Criteri di gruppo configurato verrà propagato ai computer client desiderati. Fare clic su OK, su Fine, su Chiudi e quindi su OK.

  3. Espandere l'impostazione dei criteri selezionata nell'albero della console, espandere Configurazione computer, Modelli amministrativi, Componenti di Windows e quindi fare clic su Windows Update.

  4. Nel riquadro dei risultati fare clic con il pulsante destro del mouse su Consenti contenuto firmato da Intranet Microsoft percorso del servizio di aggiornamento, scegliere Proprietà, fare clic su Abilitato e quindi fare clic su OK.