Я пытался проработать руководство Microsoft, чтобы включить SSL на нашем сервере WSUS, и столкнулся с несколькими проблемами. Похоже, мне удалось настроить сервер WSUS для работы с SSL, поскольку тип подключения на консоли WSUS показывает «Локальный / SSL».
Моя проблема в том, что когда я пытаюсь щелкнуть поле «Проверить наличие обновлений» на тестовом ноутбуке, он автоматически выдаст ошибку 80072F8F. Я провел много исследований, и все, кажется, указывает на ошибку в моем сертификате. У меня нет глубоких знаний о сертификатах, поэтому вот что я сделал до сих пор:
1) На сервере WSUS открыл IIS, создал сертификат домена, но поле «Выбрать» было неактивным при попытке указать ЦС. В итоге я вручную ввел CAname \ servername
2) Установите привязку в IIS для использования вновь созданного сертификата через порт 8531
3) «Обязательный» SSL для всех виртуальных каталогов согласно документации.
4) Выполните wsusutil.ext / configuressl (подтвержденный https привязан к fqdn: 8531)
5) Настроен объект групповой политики WSUS для указания на https: // fqdn_of_wsus_server: 8531
После того, как я сделал все это, я перезагрузил сервер WSUS и открыл консоль WSUS, и у меня возникла ошибка подключения. Я открыл консоль MMC и добавил оснастку «Сертификаты». По какой-то причине корневой сертификат CA моего CA и сертификат домена, который я создал ранее в IIS, находились в хранилище промежуточного CA. Я обнаружил, что когда я переместил сертификат корневого ЦС моего ЦС в доверенный корневой ЦС, загрузилась консоль WSUS.
Вернувшись на свой тестовый ноутбук, я запустил gpupdate / force и перезагрузил компьютер. Когда я запускаю регистрацию через wuauclt.ese / detectnow или через пользовательский интерфейс обновления Windows, я получаю сообщение об ошибке. Проверил журнал WindowsUpdate.log на клиентском компьютере и в основном говорит, что не смог попасть https: // fqdn_of_wsus_server: 8531 / selfupdate / wuident.cab, но ручной переход по этому URL-адресу на клиентском компьютере выполняется успешно, и я могу загрузить этот cab-файл.
Я попытался поместить сертификат корневого ЦС в хранилище доверенных корневых ЦС клиентских машин, сохранив при этом сертификат домена, сгенерированный ранее в IIS, в промежуточном хранилище ЦС, но это не сработало. Я почти уверен, что сбил меня с толку с SSL. Любые указатели будут оценены, так как я просмотрел много руководств в Интернете, и все они говорят похожие вещи, но я думаю, что это недоразумение с моей стороны, поэтому, если кто-то может немного упростить его для новичка.
Вы не упомянули, какой сервер используете, но я предполагаю, что вы используете 2012 R2.
Было недавнее обновление (KB3159706), который изменяет способ создания SSL-соединений WSUS, и вам нужно вручную отредактировать некоторые вещи, чтобы заставить его работать.
.NET 4.5 -> WCF ->)C:\Program Files\Update Services\WebServices\ClientWebService\Web.config (необходимо стать владельцем файла, чтобы отредактировать его).В bindingConfiguration нужно отредактировать 2 раза в <endpoint address=""> раздел следующим образом: bindingConfiguration="SSL" и добавить multipleSiteBindingsEnabled="true" в строку ниже, как показано
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true">
Все это необходимо всем, кто хочет использовать SSL с WSUS на сервере 2012 с установленным упомянутым КБ. Я потратил 3 дня на поиски этого ... Приятно знать Microsoft!