Compartilhar via

Gerir certificados e segurança do Atualizações Publisher

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

Os procedimentos seguintes podem ajudá-lo a configurar o arquivo de certificados no servidor de atualização, a configurar um certificado de assinatura automática no computador cliente e a configurar o Política de Grupo para permitir que o Agente do Windows Update nos computadores procure atualizações publicadas.

Configurar o arquivo de certificados no servidor de atualização

Atualizações Publisher utiliza um certificado digital para assinar as atualizações nos catálogos que publica. Antes de um catálogo poder ser publicado no servidor de atualização, esse certificado tem de estar no arquivo de certificados no servidor de atualização e no arquivo de certificados do computador Atualizações Publisher se esse computador for remoto do servidor de atualização.

O procedimento seguinte é um dos vários métodos possíveis para adicionar o certificado ao arquivo de certificados no servidor de atualização.

Para configurar o arquivo de certificados

  1. Num computador que possa aceder ao computador Atualizações Publisher e ao servidor de atualização, clique em Iniciar, clique em Executar, escreva MMC na caixa de texto e, em seguida, clique em OK para abrir a Consola de Gestão da Microsoft (MMC).

  2. Clique em Ficheiro, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione Conta de computador e, em seguida, clique em Seguinte.

  3. SelecioneOutro computador, escreva o nome do servidor de atualização ou clique em Procurar para localizar o computador do servidor de atualização, clique em Concluir, clique em Fechar e, em seguida, clique em OK.

  4. Expanda Certificados (atualizar nome do servidor), expanda WSUS e, em seguida, clique em Certificados.

  5. No painel de resultados, clique com o botão direito do rato no certificado pretendido, clique em Todas as Tarefas e, em seguida, clique em Exportar.

  6. No Assistente de Exportação de Certificados, utilize as predefinições para criar um ficheiro de exportação com o nome e a localização especificados no assistente. Este ficheiro tem de estar disponível para o servidor de atualização antes de avançar para o passo seguinte.

  7. Clique com o botão direito do rato em Fabricantes Fidedignos, clique em Todas as Tarefas e, em seguida, clique em Importar. Conclua o Assistente de Importação de Certificados com o ficheiro exportado do passo 6.

  8. Se for utilizado um certificado autoassinado, como Editores WSUS Autoassinados, clique com o botão direito do rato em Autoridades de Certificação de Raiz Fidedigna, clique em Todas as Tarefas e, em seguida, clique em Importar. Conclua o Assistente de Importação de Certificados com o ficheiro exportado do passo 6.

  9. Clique com o botão direito do rato em Certificados (atualizar nome do servidor), clique em Ligar a outro computador, introduza o nome do computador do Atualizações publisher e clique em OK.

  10. Se Atualizações Publisher for remoto do servidor de atualização, repita os passos 7 a 9 para importar o certificado para o arquivo de certificados no computador Atualizações Publisher.

Configurar um certificado de assinatura automática em computadores cliente

Nos computadores cliente, o Agente de Windows Update (WUA) irá procurar as atualizações do catálogo. Este processo não conseguirá instalar atualizações quando o agente não conseguir localizar esse certificado digital no arquivo fabricantes fidedignos no computador local. Se tiver sido utilizado um certificado autoassinado para publicar o catálogo de atualizações, como o Autoassinado WSUS Publishers, o certificado também tem de estar no arquivo de certificados autoridades de certificação de raiz fidedigna no computador local para que o agente possa verificar a validade do certificado.

Pode utilizar um de vários métodos para configurar certificados em computadores cliente, como utilizar Política de Grupo e o Assistente de Importação de Certificados ou através da ferramenta Certutil e distribuição de software.

O seguinte é fornecido como um exemplo de como configurar o certificado de assinatura em computadores cliente.

Para configurar um certificado de assinatura automática em computadores cliente

  1. Num computador com acesso ao servidor de atualização, clique em Iniciar, clique em Executar, escreva MMC na caixa de texto e, em seguida, clique em OK para abrir a Consola de Gestão da Microsoft (MMC).

  2. Clique em Ficheiro, clique em Adicionar/Remover Snap-in, clique em Adicionar, clique em Certificados, clique em Adicionar, selecione Conta de computador e, em seguida, clique em Seguinte.

  3. SelecioneOutro computador, escreva o nome do servidor de atualização ou clique em Procurar para localizar o computador do servidor de atualização, clique em Concluir, clique em Fechar e, em seguida, clique em OK.

  4. Expanda Certificados (atualizar nome do servidor), expanda WSUS e, em seguida, clique em Certificados.

  5. Clique com o botão direito do rato no certificado no painel de resultados, clique em Todas as Tarefas e, em seguida, clique em Exportar. Conclua o Assistente de Exportação de Certificados com as predefinições para criar um ficheiro de certificado de exportação com o nome e a localização especificados no assistente.

  6. Utilize um dos seguintes métodos para adicionar o certificado utilizado para assinar o catálogo de atualizações a cada computador cliente que irá utilizar o WUA para procurar as atualizações no catálogo. Adicione o certificado no computador cliente da seguinte forma:

    • Para certificados autoassinados: adicione o certificado aos arquivos de certificados Autoridades de Certificação de Raiz Fidedigna e Fabricantes Fidedignos .

    • Para certificados emitidos pela autoridade de certificação (AC): adicione o certificado ao arquivo de certificados fabricantes fidedignos .

    Observação

    O WUA também verifica se a definição Permitir conteúdo assinado da localização do serviço de atualização da Microsoft na intranet Política de Grupo está ativada no computador local. Esta definição de política tem de estar ativada para que o WUA analise as atualizações que foram criadas e publicadas com o Atualizações Publisher. Para obter mais informações sobre como ativar esta definição de Política de Grupo, veja Como Configurar o Política de Grupo em Computadores Cliente.

Configurar Política de Grupo para permitir que o WUA nos computadores procure atualizações publicadas

Antes de o Agente do Windows Update (WUA) nos computadores procurar atualizações que foram criadas e publicadas com o Atualizações Publisher, tem de ser ativada uma definição de política para permitir conteúdo assinado a partir de uma localização do serviço de atualização da Microsoft na intranet. Quando a definição de política estiver ativada, o WUA aceitará as atualizações recebidas através de uma localização da intranet se as atualizações tiverem sessão iniciada no arquivo de certificados Fabricantes Fidedignos no computador local. Existem vários métodos para configurar Política de Grupo em computadores no ambiente.

Para computadores que não estejam no domínio, pode ser configurada uma definição de chave de registo que permite o conteúdo assinado a partir de uma localização do serviço Microsoft Update na intranet.

Os procedimentos seguintes fornecem os passos básicos que podem ser utilizados para configurar Política de Grupo para computadores no domínio e um valor de chave de registo em computadores que não estão no domínio.

Para configurar Política de Grupo para permitir que o WUA procure atualizações publicadas

  1. Abra o snap-in Política de Grupo Object Editor Consola de Gestão da Microsoft (MMC) com um utilizador que tenha os direitos de segurança adequados para configurar Política de Grupo.

  2. Clique em Procurar e selecione o domínio, UO ou GPOs ligados ao site onde o Política de Grupo configurado será propagado para os computadores cliente pretendidos. Clique em OK, clique em Concluir, clique em Fechar e, em seguida, clique em OK.

  3. Expanda a definição de política selecionada na árvore da consola, expanda Configuração do Computador, expanda Modelos Administrativos, expanda Componentes do Windows e, em seguida, clique em Windows Update.

  4. No painel de resultados, clique com o botão direito do rato em Permitir conteúdo assinado a partir da localização do serviço de atualização da Microsoft na intranet, clique em Propriedades, clique em Ativado e, em seguida, clique em OK.