Gerenciar certificados e segurança para Atualizações Publisher
Aplica-se a: Gerenciador de Configurações (branch atual)
Os procedimentos a seguir podem ajudá-lo a configurar o repositório de certificados no servidor de atualização, configurar um certificado de autoassinamento no computador cliente e configurar o Política de Grupo para permitir que o Agente Windows Update nos computadores examine as atualizações publicadas.
Configurar o repositório de certificados no servidor de atualização
Atualizações Publisher usa um certificado digital para assinar as atualizações nos catálogos publicados. Antes que um catálogo possa ser publicado no servidor de atualização, esse certificado deve estar no repositório de certificados no servidor de atualização e no repositório de certificados do Atualizações computador Publisher se esse computador for remoto do servidor de atualização.
O procedimento a seguir é um dos vários métodos possíveis para adicionar o certificado ao repositório de certificados no servidor de atualização.
Para configurar o repositório de certificados
Em um computador que pode acessar o computador Atualizações Publisher e o servidor de atualização, clique em Iniciar, clique em Executar, digite MMC na caixa de texto e clique em OK para abrir o MMC (Console de Gerenciamento de Microsoft).
Clique em Arquivo, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione Conta de computador e clique em Avançar.
Selecione Outro computador, digite o nome do servidor de atualização ou clique em Procurar para localizar o computador do servidor de atualização, clique em Concluir, clique em Fechar e clique em OK.
Expanda Certificados (atualizar nome do servidor), expanda WSUS e clique em Certificados.
No painel de resultados, clique com o botão direito do mouse no certificado desejado, clique em Todas as Tarefas e clique em Exportar.
No Assistente de Exportação de Certificados, use as configurações padrão para criar um arquivo de exportação com o nome e o local especificados no assistente. Esse arquivo deve estar disponível para o servidor de atualização antes de prosseguir para a próxima etapa.
Clique com o botão direito do mouse em Editores Confiáveis, clique em Todas as Tarefas e clique em Importar. Conclua o Assistente de Importação de Certificado usando o arquivo exportado da etapa 6.
Se um certificado autoassinado for usado, como editores do WSUS autoassinados, clique com o botão direito do mouse em Autoridades de Certificação raiz confiáveis, clique em Todas as Tarefas e clique em Importar. Conclua o Assistente de Importação de Certificado usando o arquivo exportado da etapa 6.
Clique com o botão direito do mouse em Certificados (atualizar nome do servidor), clique em Conectar a outro computador, insira o nome do computador para o computador Atualizações Publisher e clique em OK.
Se Atualizações Publisher estiver remoto do servidor de atualização, repita as etapas 7 a 9 para importar o certificado para o repositório de certificados no computador Atualizações Publisher.
Configurar um certificado de autoassinamento em computadores cliente
Em computadores cliente, o WUA (Agente Windows Update) examinará as atualizações do catálogo. Esse processo não instalará atualizações quando o agente não conseguir localizar esse certificado digital no repositório Editores Confiáveis no computador local. Se um certificado autoassinado foi usado para publicar o catálogo de atualizações, como o autoassinado WSUS Publishers, o certificado também deverá estar no repositório de certificados Autoridades de Certificação Raiz Confiáveis no computador local para que o agente possa verificar a validade do certificado.
Você pode usar um dos vários métodos para configurar certificados em computadores cliente, como usar Política de Grupo e o Assistente de Importação de Certificados ou usando a ferramenta Certutil e a distribuição de software.
O seguinte é fornecido como um exemplo de como configurar o certificado de assinatura em computadores cliente.
Para configurar um certificado de autoassinamento em computadores cliente
Em um computador com acesso ao servidor de atualização, clique em Iniciar, clique em Executar, digite MMC na caixa de texto e clique em OK para abrir o MMC (Console de Gerenciamento de Microsoft).
Clique em Arquivo, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione Conta de computador e clique em Avançar.
Selecione Outro computador, digite o nome do servidor de atualização ou clique em Procurar para localizar o computador do servidor de atualização, clique em Concluir, clique em Fechar e clique em OK.
Expanda Certificados (atualizar nome do servidor), expanda WSUS e clique em Certificados.
Clique com o botão direito do mouse no certificado no painel de resultados, clique em Todas as Tarefas e clique em Exportar. Conclua o Assistente de Exportação de Certificados usando as configurações padrão para criar um arquivo de certificado de exportação com o nome e o local especificados no assistente.
Use um dos métodos a seguir para adicionar o certificado usado para assinar o catálogo de atualizações a cada computador cliente que usará o WUA para verificar as atualizações no catálogo. Adicione o certificado no computador cliente da seguinte maneira:
Para certificados autoassinados: adicione o certificado aos repositórios de certificados autoridades de certificação raiz confiáveis e editores confiáveis .
Para certificados emitidos pela autoridade de certificação (AC): adicione o certificado ao repositório de certificados de Editores Confiáveis .
Observação
O WUA também verifica se a configuração Permitir conteúdo assinado da intranet Microsoft atualizar o local do serviço Política de Grupo está habilitada no computador local. Essa configuração de política deve ser habilitada para que o WUA examine as atualizações que foram criadas e publicadas com Atualizações Publisher. Para obter mais informações sobre como habilitar essa configuração de Política de Grupo, consulte Como configurar o Política de Grupo em Computadores Cliente.
Configurar Política de Grupo para permitir que o WUA nos computadores examine as atualizações publicadas
Antes que o WUA (Agente de Windows Update) em computadores examine as atualizações criadas e publicadas com Atualizações Publisher, uma configuração de política deve ser habilitada para permitir o conteúdo assinado de uma intranet Microsoft o local do serviço de atualização. Quando a configuração da política estiver habilitada, o WUA aceitará as atualizações recebidas por meio de um local de intranet se as atualizações forem assinadas no repositório de certificados Editores Confiáveis no computador local. Há vários métodos para configurar Política de Grupo em computadores no ambiente.
Para computadores que não estão no domínio, uma configuração de chave do registro pode ser configurada que permite o conteúdo assinado de uma intranet Microsoft Atualizar local do serviço.
Os procedimentos a seguir fornecem as etapas básicas que podem ser usadas para configurar Política de Grupo para computadores no domínio e um valor de chave de registro em computadores que não estão no domínio.
Para configurar Política de Grupo para permitir que o WUA examine as atualizações publicadas
Abra o snap-in Política de Grupo Editor de Objetos Microsoft Console de Gerenciamento (MMC) com um usuário que tenha os direitos de segurança apropriados para configurar Política de Grupo.
Clique em Procurar e selecione o domínio, OU ou GPOs vinculados ao site em que o Política de Grupo configurado se propagará para os computadores cliente desejados. Clique em OK, clique em Concluir, clique em Fechar e clique em OK.
Expanda a configuração de política selecionada na árvore do console, expanda Configuração do Computador, expanda Modelos Administrativos, expanda Componentes do Windows e clique em Windows Update.
No painel de resultados, clique com o botão direito do mouse em Permitir conteúdo assinado da intranet Microsoft atualizar o local do serviço, clique em Propriedades, clique em Habilitado e clique em OK.