Hallo zusammen,
ich werde euch hier kurz zeigen wie Ihr die Kommunikation der Clients zum WSUS-Server auf SSL umstellt. Diese Umstellung werden wir in drei Schritten durchführen.
Voraussetzung:
– SSL-Zertifikat für den Computer / Server muss vorhanden sein !
Übersicht:
1. Freigabe des Ports in der Firewall
2. Konfiguration des IIS
3. Freischaltung über die Kommandozeile
4. Übernahme in die Gruppenrichtlinien & Konfiguration der MMC
1. Freigabe des Ports in der Firewall
Start > Ausführen > wf.msc
Start > Systemsteuerung > Verwaltung > Windows-Firewall mit erweiterter Sicherheit
Im MMC-Snapin die Option „Eingehende Regeln“ auswählen, die Regel „Windows Server Update Services (HTTPS)“ suchen und aktivieren!
Über CMD (administrative Privilegien): netsh advfirewall firewall set rule name=“Windows Server Update Services (https)“ new enable=yes
2. Konfiguration IIS (IIS 7.0)
Öffnen Sie auf dem WSUS-Server den Internetinformationsdienste-Manager.
Erweitern Sie Sites, und erweitern Sie dann die Website für den WSUS-Server. Beim Installieren von WSUS wurde möglicherweise die Standardwebsite ausgewählt, es wird jedoch empfohlen, die benutzerdefinierte WSUS-Verwaltungswebsite zu verwenden.
An die HTTPS-Bindung der Webseite muss noch das Zertifikat angebunden werden. Dies machen Sie über den folgenden Weg:
Führen Sie auf der WSUS-Website in den virtuellen Verzeichnissen APIRemoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService und SimpleAuthWebService die folgenden Schritte aus:
Doppelklicken Sie in der Ansicht „Features“ auf SSL-Einstellungen. Wählen Sie auf der Seite SSL-EinstellungenSSL erforderlich aus. Klicken Sie im Bereich Aktionen auf Anwenden.
Schließen Sie das Dialogfeld Internetinformationsdienste-Manager.
3. Freischaltung über die Kommandozeile
Wechseln Sie in den Pfad „C:\Program Files\Update Services\Tools“ und führen Sie folgenden Befehl aus:
WSUSUtil.exe configuressl FQDN
Das Ergebnis sollte dann folgendermaßen lauten: URL: https://FQDN:8531
4. Übernahme in die Gruppenrichtlinien
Änderungen am Internen Updateservice können Sie unter der folgenden Adresse im Gruppenrichtlinienverwaltungs-Editor (in der eigens erstellten WSUS-Richtline, nicht Bestandteil dieses Tutorials) durchführen: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update > Internen Pfad für Microsoft Updatedienst angeben
Nun nur noch einen rechtsklick auf „Update Services“ in der WSUS-Management-Konsole und „Verbindung mit dem Server herstellen“ wählen.