共用方式為


管理 匯報 發行者的憑證和安全性

適用於:Configuration Manager (目前的分支)

下列程式可協助您在更新伺服器上設定證書存儲、在用戶端計算機上設定自我簽署憑證,以及設定 群組原則 以允許電腦上的 Windows Update 代理程序掃描已發佈的更新。

在更新伺服器上設定證書存儲

匯報 Publisher 會使用數位證書來簽署其發行目錄中的更新。 在目錄可以發佈至更新伺服器之前,該憑證必須位於更新伺服器的證書存儲中,如果該計算機位於更新伺服器的遠端,則必須位於 匯報 發行者計算機的證書存儲中。

下列程式是將憑證新增至更新伺服器上證書存儲的數個可能方法之一。

設定證書存儲

  1. 在可以存取 匯報 Publisher 計算機和更新伺服器的計算機上,按兩下 [開始],按兩下 [執行],在文字框中輸入 MMC,然後按兩下 [確定] 以開啟 Microsoft Management Console (MMC) 。

  2. 依序按兩下 [檔案]、 [新增/移除嵌入式管理單元]、[ 新增]、[ 憑證]、[ 新增]、[ 計算機帳戶],然後按 [ 下一步]

  3. 取 [其他計算機],輸入更新伺服器的名稱,或按兩下 [ 瀏覽 ] 尋找更新伺服器計算機,按兩下 [ 完成],按兩下 [ 關閉],然後按下 [ 確定]

  4. 展開 [憑證 (更新伺服器名稱) ],展開 [WSUS],然後按兩下 [ 憑證]

  5. 在結果窗格中,以滑鼠右鍵按兩下所需的憑證,按兩下 [ 所有工作],然後按兩下 [ 導出]

  6. 在 [憑證導出精靈] 中,使用預設設定來建立具有精靈中指定之名稱和位置的導出檔案。 此檔案必須可供更新伺服器使用,才能繼續進行下一個步驟。

  7. 以滑鼠右鍵按兩下 [信任的發行者],按兩下 [ 所有工作],然後按兩下 [ 匯入]。 使用步驟 6 中導出的檔案,完成憑證匯入精靈。

  8. 如果使用自我簽署憑證,例如 WSUS 發行者自我簽署,請以滑鼠右鍵按兩下 [受信任的跟證書授權單位],按兩下 [ 所有工作],然後按兩下 [ 匯入]。 使用步驟 6 中導出的檔案,完成憑證匯入精靈。

  9. 以滑鼠右鍵按兩下 [憑證 (更新伺服器名稱) ],按兩下 [連線到另一部計算機],輸入 匯報 發行者計算機的計算機名稱,然後按兩下 [確定]

  10. 如果 匯報 Publisher 位於更新伺服器的遠端,請重複步驟 7 到 9,將憑證匯入 匯報 發行者電腦上的證書存儲。

在用戶端電腦上設定自我簽署憑證

在用戶端電腦上,Windows Update 代理程式 (WUA) 會掃描目錄中的更新。 當代理程式在本機計算機上信任的發行者存放區中找不到該數字證書時,此程式將無法安裝更新。 如果使用自我簽署憑證來發佈更新目錄,例如 WSUS 發行者自我簽署,則憑證也必須位於本機計算機上受信任的跟證書授權單位證書存儲中,代理程式才能驗證憑證的有效性。

您可以使用數種方法之一,在用戶端計算機上設定憑證,例如使用 群組原則 和憑證匯入精靈,或使用 Certutil 工具和軟體發佈。

以下是如何在用戶端計算機上設定簽署憑證的其中一個範例。

在用戶端電腦上設定自我簽署憑證

  1. 在具有更新伺服器存取權的計算機上,按兩下 [ 開始],按兩下 [ 執行],在文本框中輸入 MMC ,然後按兩下 [ 確定 ] 以開啟 Microsoft Management Console (MMC) 。

  2. 依序按兩下 [檔案]、 [新增/移除嵌入式管理單元]、[ 新增]、[ 憑證]、[ 新增]、[ 計算機帳戶],然後按 [ 下一步]

  3. 取 [其他計算機],輸入更新伺服器的名稱,或按兩下 [ 瀏覽 ] 尋找更新伺服器計算機,按兩下 [ 完成],按兩下 [ 關閉],然後按下 [ 確定]

  4. 展開 [憑證 (更新伺服器名稱) ],展開 [WSUS],然後按兩下 [ 憑證]

  5. 以滑鼠右鍵按兩下結果窗格中的憑證,按兩下[ 所有工作],然後按兩下 [ 匯出]。 使用預設設定來完成 憑證匯出精靈 ,以使用精靈中指定的名稱和位置來建立導出憑證檔案。

  6. 使用下列其中一種方法,將用來簽署更新目錄的憑證新增至將使用WUA掃描目錄中更新的每部客戶端電腦。 在用戶端電腦上新增憑證,如下所示:

    • 對於自我簽署憑證:將憑證新增至 受信任的跟證書授權單位受信任的發行者證書 存儲。

    • 針對證書頒發機構單位 (CA) 核發的憑證:將憑證新增至 受信任的發行者證書 存儲。

    注意事項

    WUA 也會檢查是否已在本機計算機上啟用 [允許來自內部網路的已簽署內容Microsoft更新服務位置 群組原則 設定。 必須啟用此原則設定,WUA 才能掃描使用 匯報 Publisher 建立和發佈的更新。 如需啟用此 群組原則 設定的詳細資訊,請參閱如何在用戶端計算機上設定 群組原則

設定 群組原則 以允許電腦上的 WUA 掃描已發佈的更新

計算機上的 Windows Update Agent (WUA) 會掃描使用 匯報 Publisher 建立和發佈的更新之前,必須啟用原則設定,以允許來自內部網路Microsoft更新服務位置的已簽署內容。 啟用原則設定時,如果更新是在本機計算機的 受信任發行者 證書存儲中簽署,WUA 就會接受透過內部網路位置接收的更新。 有數種方法可在環境中的計算機上設定 群組原則。

對於不在網域上的計算機,可以設定登錄機碼設定,以允許來自內部網路Microsoft更新服務位置的已簽署內容。

下列程式提供基本步驟,可用來為網域上的電腦設定 群組原則,以及在不在網域的計算機上設定登錄機碼值。

若要設定 群組原則 以允許 WUA 掃描已發佈的更新

  1. 開啟 群組原則 物件 編輯器 Microsoft管理控制台 (MMC) 嵌入式管理單元,讓具有適當安全性許可權的使用者設定 群組原則。

  2. 按兩下 [瀏覽],然後選取連結至網站的網域、OU 或 GPO,其中設定的 群組原則 會傳播至所需的用戶端電腦。 依 按兩下 [確定]、[ 完成]、[ 關閉],然後按兩下 [ 確定]

  3. 展開主控台樹中選取的原則設定,依序展開 [計算機設定]、[系統管理範本] 和 [Windows 元件],然後按兩下 [Windows Update]

  4. 在結果窗格中,以滑鼠右鍵按兩下 [ 允許來自內部網路的已簽署內容Microsoft更新服務位置],依序按兩下 [ 屬性]、[ 啟用],然後按兩下 [ 確定]