WSUS auf SSL umstellen

wsus ssl test

Im letzten Beitrag haben wir dein WSUS auf dem Windows 2019 Server installiert und konfiguriert. Die Windows Clients erhalten ihr Verbindungseinstellungen und Update-Zeitplan per GPO. Die Kommunikation zum WSUS läuft aktuell noch im Klartext.

Das wollen wir ändern und zumindest das Reporting/Metadaten zwischen Server und Client über SSL abwickeln. Laut Dokumentation wird trotz SSL der Download der Updates vom WSUS zum Client noch über HTTP ablaufen.

Sollten sich die WSUS Clients noch nicht sauber zum WSUS verbinden, solltet ihr euch den Beitrag zum WSUS Troubleshooting anschauen.

SSL Zertifikat einrichten und per GPO verteilen

In größeren Netzwerken wird im Active-Directory mit Sicherheit eine Zertifizierungsstelle eingerichtet sein, um schnell und einfach Serverzertifikate verwalten und ausstellen zu können. Ich habe die Active-Directory Zertifizierungsstelle in meiner Umgebung noch nicht eingerichtet und werde so mit selbstsignierten Zertifikaten arbeiten, die ich per GPO auf meinen Windows Clients verteilen werde.

Über den IIS ein selbstsignierte Zertifikat anzulegen ist wirklich die Quick-and-Dirty-Butter-und-Brot-Variante… Mit einer Zertifizierungsstelle hat man etwas mehr Möglichkeiten wie alternative Zertifikatsnamen etc. Doch hierfür oder kleine Umgebungen reicht es so aus.

Selbstsigniertes Zertifikat erstellen – IIS Manager

Als erstes erstellen wir uns im IIS Manager ein neues selbstsigniertes Zertifikat > Server Certificates. Als Namen tragen wir den Namen/Adresse ein, den/die wir in der GPO „Config WSUS location specific“ eingetragen haben. In meinem Fall „dc01.mj.local„. Ist das Zertifikat. weiter, weiter, fertigstellen.

Im folgenden Schritt öffnen wir das erstellte Zertifikat und exportieren es ohne private Key (!) als P7B-Datei.

selbstsigniertes Zertifikate über GPO verteilen

Wir wechseln in die Gruppenrichtlinien Verwaltungskonsolen und öffen das Gruppenrichtlinien Objekt (GPO) für die standortspezifischen WSUS Einstellungen „Config WSUS location specific“.

Unter „Computer Configuration > Policies > Windows Settings > Public Key Policies > Trusted Root Certificates“ importieren wir die zuvor erstellte P7B Datei.

Wo wir schon in der richtigen GPO drin sind, sollten wir auch schon die Adresse zum WSUS auf SSL anpassen!

Von „http://dc01.mj.local:8530“ auf „https://dc01.mj.local:8531“

selbstsigniertes Zertifikate im IIS für den WSUS einstellen

Als erstes müssen wir das selbstsignierte Zertifikate in der IIS Site „WSUS Administration“ hinterlegen. siehe Screenshot.

Ist das getan, müssen wir nun dafür sorgen das SSL erzwungen. Dazu passen wir die folgenden Unterseiten an.

  • APIremoting30
  • ClientWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService

Aktiviert man SSL auch für „Content“ und „Inventory“, können sich die Clients keine Updates mehr ziehen. Hört sich komisch an, ist aber so.

Sind die SSL Einstellungen im WSUS erledigt, müssen nun noch dem WSUS Dienste klar machen, dass nun nicht mehr per Klartext kommuniziert wird. Dazu führen wir die beiden folgenden Befehle aus. Achtung! „wsusutil.exe configuressl FQDN-des-Servers“ also wie folgt

cd %ProgramFiles%\Update Services\Tools\
wsusutil.exe configuressl dc01.mj.local
Wsus Ssl 15

Zum Abschluss starten wir den IIS (cmd > IISRESET) und WSUS Dienst oder einfach den gesamten Server neu. So stellen wir sicher dass die Dienste gleich mit den richtigen Einstellungen laufen.

WSUS mit den SSL Einstellungen testen

Natürlich wollen wir nun wissen, ob alle Einstellungen richtig und der WSUS nun über SSL läuft.

Wir starten die WSUS Console und entfernen die alte Verbindung. Die funktioniert nun eh nicht mehr. Anschließend legen wir die Verbindung zum WSUS per SSL an.

Um die WSUS Clients möglich schnell mit den neuen WSUS Verbindungsdaten versorgen zu können, kann man „GPUPDATE /Force“ und anschließend „wuauclt /detectnow /reportnow“ zum Beispiel über eine Softwaredeploymentlösung oder Powershell Invoke-command.

Alternativ kann man auch „https://dc01.mj.local:8531/selfupdate/wuident.cab“ aufrufen und wenn der Download angeboten wird, funktioniert der WSUS.

Weitere Beiträge über WSUS (Windows Server Update Services)