Назад | Перейти на главную страницу

IIS в Server Core - включить SSL для WSUS

Пытаюсь развернуть WSUS4. Я стараюсь поступать правильно и использовать серверное ядро.

Проблема в том, что я застрял при включении SSL.

При использовании IIS Remote Manager кнопки «Сертификаты сервера» нет.

Я где-то читал, что могу использовать certutil для импорта сертификата.

Проблема в том, что я не могу создать файл .pfx. «Экспорт закрытого ключа» неактивен.

Есть идеи, как это сделать?

Вы на правильном пути. Вы должны использовать certutil.exe чтобы создать сертификат, вы увидите его в раскрывающемся списке в Управлении IIS в окне редактирования привязок.

Вместо импорта закрытого ключа используйте возможность certutil.exe чтобы сгенерировать и сохранить закрытый ключ в хранилище сертификатов Windows, а затем сопоставить его с выданным сертификатом.

Для этого одна из болевых точек - создание request.inf файл. Вот пример, который работал у меня на Windows Server 2012 R2 Core для WSUS. Заполните полное доменное имя именем вашего сервера.

[Version]

Signature="$Windows NT$"

[NewRequest]

Subject = "CN=FQDN"
Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
RequestType = PKCS10

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication

[Extensions]

[RequestAttributes]

CertificateTemplate = Machine

В командной строке главного сервера в папке, где request.inf есть, запустить:

certreq -new request.inf machine.req

Затем отправьте machine.req файл в ваш CA. Если у вас есть Windows Enterprise CA, вы можете сделать это с помощью этой команды:

certutil -submit -adminforcemachine machine.req machine.cer

Когда вы получите сертификат (из корпоративного центра сертификации или стороннего производителя), импортируйте его в хранилище сертификатов.

certreq -accept machine.cer

Затем перейдите в диспетчер IIS на рабочей станции администратора, подключитесь к серверу WSUS и привяжите Администрирование WSUS сайт к вашему сертификату.

Затем вы можете включить «Требовать SSL» для:

  • APIRemoting30
  • ClientWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService

Не делайте этого для других виртуальных папок.

Согласно документации, вы должны запустить это на сервере WSUS:

"C:\Program Files\Update Services\Tools\wsusutil" configuressl <certificate>

Но я не уверен, что это необходимо.

Надеюсь это поможет!

Джеффри Фокс