特爱蚂蚁
管理员
帖子
1269
精华
3
无忧币 3112
积分 1305
阅读权限 255
来自 (保密)
|
发表于:2008-6-27 10:43
标题:WSUS全攻略之五 :部署WSUS使用SSL
<上一帖 |
下一帖>
WSUS服务器允许客户端计算机或下游WSUS服务器通过SSL进行身份验证,或者通过SSL加密它们之间更新元数据的通讯。注意只是加密更新元数据,WSUS服务器并不会加密更新文件。同步期间,客户端计算机或者下游WSUS服务器将元数据和更新文件通过不同的服务端口从上游WSUS服务器进行同步,这也是Microsoft Update补丁分发的方式。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�h�F5D+W�f1a
我们在部署与规划一文中已经提到过,每一个完成的更新程序包含两部分:元数据和更新文件。元数据只是提供有关更新的信息,体积往往远小于更新文件,微软只是对元数据的通讯进行加密;但是,微软通过对于每一个更新文件进行散列值计算,并将此散列值跟随元数据通讯一起进行加密传输,从而确保所下载的更新文件的完整性。 51CTO技术论坛&W�|�b.d2z X0{�l�k3{
在部署WSUS使用SSL时,你需要考虑以下两点:
1U(_�N+z�j'K
�s�A {�^�l0[7a�{2b51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离部署SSL会增加WSUS服务器的工作负荷。在WSUS服务器上部署SSL时,会导致WSUS服务器大概10%的性能损耗,在你部署和规划WSUS服务器时必须预先考虑这一点;
9j�Q1\�z4L�B�g'C�z)L�\+h51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离#N�J'[3A�M;f%{'I
如果你使用远程SQL数据库服务器存放WSUS的数据库,WSUS服务器和SQL数据库服务器之间的通讯并不会进行加密。WSUS服务器只会加密和客户端计算机或下游WSUS服务器之间的元数据通讯;如果需要对WSUS服务器和SQL数据库服务器之间的通讯进行加密时,你需要采用额外的方式,例如部署IPSec安全策略。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离4J*u
H�s�V9X(`
bbs.51cto.com o�e
l!X�m&J
部署WSUS服务器使用SSL的过程非常简单,你只需要在WSUS服务器上安装证书并配置IIS要求进行加密通信,然后将客户端计算机和下游WSUS服务器配置为信任此WSUS服务器的服务器证书并访问WSUS服务器的SSL服务即可。但是部署WSUS服务器使用SSL时,WSUS服务器需要两个端口来提供服务:一个端口用于提供加密元数据的HTTPS服务;一个端口用于提供未加密的更新文件下载的HTTP服务。当你在IIS中配置使用证书时,请一定要记住以下四点: &u%Z�`�A�x ~�u�I�B
1、不能将整个WSUS Web站点都设置为需要SSL。这意味着和WSUS Web站点的所有通讯都会进行加密,但是WSUS只会加密元数据通讯,这样当客户端计算机或者下游WSUS服务器试图向WSUS服务器下载更新文件时,由于没有用于提供HTTP下载服务的端口,下载将失败;
�\�@%A�q�h2、为了确保WSUS Web站点的安全,你需要对以下虚拟目录配置为要求SSL连接:
�b0d�\4K-A�V/U*i
+m-V�u�D�].|/g;E51CTO技术论坛SimpleAuthWebService
u�[,Z
^�^�v�m�J
)r�O�Z3M�w6l�W�v�_51CTO技术论坛DSSAuthWebService
1g#Z�?�f6j�n
�L;Q�E:p3V�~bbs.51cto.comServerSyncWebService
�m9s�m�P1Q�I51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
%b�E�n6r'n5\�g7T9bbbs.51cto.comWSUSAdmin(此虚拟目录用于访问WSUS管理控制台,对此虚拟目录要求SSL后,你需要修改WSUS管理控制台的链接使用SSL连接); 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�~2b O+}�s9m+]*J
�c�r(r/w�E0H�f5x.]bbs.51cto.comClientWebService (O�J�Z(X-m5I"U
但是为了让WSUS正常工作,你不能对以下虚拟目录要求SSL连接: bbs.51cto.com�~*A;v�E c%S"[
bbs.51cto.com�A�X�Y/S�v�U6h�q
Content
�A�E�D d+L�z�p51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com�]�Y-x&U _)y1A
ReportingWebService �t�a*^�t�S�?
N
V+U(o t+j5G�w51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离SelfUpdate
m�M�S(t&K)W�`51CTO技术论坛3、你可以配置IIS在任意端口上使用SSL,但是,HTTP通讯的端口是根据你的SSL端口来进行设置的: bbs.51cto.com"H4@�I*t&u�e�{
bbs.51cto.com%D+G�Y�z�B7`4t&T
如果配置SSL使用标准SSL端口TCP 443,则WSUS会自动配置HTTP通讯使用标准HTTP服务端口TCP 80。建议你总是使用标准的SSL端口;
�`"o7E�m�^:V�i#[�o�kbbs.51cto.com
�G�k1l4N,w51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离如果配置SSL使用其他任意端口,则WSUS会将此SSL端口前的那个端口用于HTTP通讯,这是不可配置的。例如,如果将端口8531用于SSL通讯,则WSUS会将8530 用于HTTP。
�a�G�P�J�^�Y-p7d(j+g�e�L4、在配置WSUS服务器采用SSL连接之后,你需要告知客户端计算机或者下游WSUS服务器使用SSL连接和此WSUS服务器进行通讯。对于客户端计算机的告知是通过修改应用到客户端计算机的组策略中的Intranet更新服务位置来实现;而对于下游WSUS服务器的告知,则是通过修改其同步选项来实现。另外,你需要考虑以下重要事项:
)m�t*b�V$j&v51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
�]+u5U�_�K$E�|�^在告知客户端计算机或下游WSUS服务器时,你必须正确提供访问此WSUS服务器的SSL端口的URL地址。如果使用非标准的SSL端口,则必须在URL中包括该端口。例如,使用非标准的SSL端口8531时,你提供给客户端计算机或下游WSUS服务器的URL地址为 https://wsus-ssl-servername:8531;而使用标准的SSL端口443时,你提供的URL地址则为https://wsus-ssl-servername;
�n�E'n/s�U�f8P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�K;M
O7Y�k%k
t,p8x
对于客户端计算机,你必须将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中;对于下游WSUS服务器,则是导入本地计算机的受信任根CA存储或Windows Server Update Service的受信任根CA存储中。 bbs.51cto.com6s�L�k�N5A5j
&a�X6\�i)^�}�a:|�[�cbbs.51cto.com客户端计算机或下游WSUS服务器必须信任WSUS服务器在IIS中绑定到WSUS Web站点的证书。
#p�R0w�x ~�O51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离,p2c�X
g)t�Q8X�_8P2j
�g7L-o�S%H8s0w�^bbs.51cto.com配置WSUS Web站点使用SSL
�V&|�a�e�T51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离首先需要为WSUS Web站点安装服务器证书。在Internet信息服务管理控制台中,展开本地计算机下的网站,然后右击WSUS Web站点(在此是默认网站),选择属性,然后点击目录安全性标签,你可以看到,此Web站点尚未安装证书,所以查看证书按钮不可用的。点击服务器证书按钮;
�F9D'F�g�M7x9_�l 'G�a"@ e2T�Y#}9s e
在弹出的欢迎使用Web服务器证书向导页,点击下一步;
�u%Z)a�X�s�v-t.B51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离在服务器证书页,选择新建证书,点击下一步;
.t�U8E�d2q�`�~�b51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
4v�F&d�J�r5q!@�s8i在延迟或立即请求页,选择立即将证书请求发送到联机证书颁发机构,点击下一步; 51CTO技术论坛�A#m#p�|-u0r�N�h�J�w
 bbs.51cto.com/K&X7o�}�i�m�x9m�T.{*E
在名称和安全性设置页,输入新证书的名称。在此我输入名称为WSUS Web Site,接受默认的密钥位长1024,点击下一步;
/x
X F�R:p�n�S(I'{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
6|'\�z%p�R(j v1n在单位信息页,输入你的单位和部门信息,点击下一步;
�z#P4|#g�E�W51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
0~$n4{-}�_�w3`:U�f在站点公用名称页,输入用于访问WSUS Web站点的域名。在此我的域名是wsus.winsvr.org,输入后点击下一步; 51CTO技术论坛�v�l
?�j�i.f�F�K'E�K
�K�C�H�^2[在地理信息页,输入你的地理位置信息,点击下一步;
$t�M$X2[�b,`�V#q4M�G�`51CTO技术论坛 ,e3z�p g
x�M�u$~2~
F
在SSL 端口页,指定使用的SSL端口,在此我接受默认的标准端口443,点击下一步; 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�V Y�@0s.X�m"E3D�u
�u�k�~1T/m�W�{'q�\51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离在选择证书颁发机构页,选择处理此证书请求的证书颁发机构,点击下一步;
�s�S0k�w9s�[�_bbs.51cto.com
�\�}&m�X�a:p�i51CTO技术论坛在证书请求提交页,回顾你输入的信息,点击下一步;
%Y�Z#~3l-O�z�Z(Y 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离-z d Q7S�E�A�s�r'k�@
在完成 Web 服务器证书向导页,提醒你证书已经成功安装,点击完成。 51CTO技术论坛-_#g�W+H'U
-q f�G�z"l(v(X�n @
$U�](B�W�E,R51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离现在,目录安全性标签上的查看证书按钮变得可用了,点击查看证书按钮可以查看绑定到此Web站点的服务器验证证书的详细信息,如下图所示: 51CTO技术论坛
R!w/y
P�y8z7k�D
 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�Q�@%u2~9U6w�_
�]�g9x4C.s在弹出的安全通信对话框上,勾选要求安全通信(SSL)和要求 128 位加密,然后两次点击确定返回Internet信息服务管理控制台;
�g�u�[�o0H�X�b�N5j51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 O�j-i�X�}7u2F*_
重复以上操作设置其他四个虚拟目录要求SSL,在WSUS服务器端的配置就完成了。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;F�V�d�F;s
bbs.51cto.com0`�I!l�^�s�n2V
�U�H�R5G {51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离配置客户端计算机使用SSL访问WSUS Web站点 `2E+L�U�Z8D
现在我们需要配置客户端计算机使用SSL访问WSUS站点,首先,我们需要修改部署客户端计算机所访问的Intranet更新服务位置的组策略,将其修改为访问WSUS服务器SSL端口的URL地址,如下图所示,在此我是使用的标准SSL端口,所以未在URL地址中包含SSL端口: bbs.51cto.com�x�F.L�V�w�o
9W�H-v�U6T5R(F�E)l51CTO技术论坛其次,我们需要将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中,在此我就不详细描述其导入过程了,导入后的证书如下图所示: �}0y�A�{#E�S$g,v9L
)b�e+C�w1E+F�L�f51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离此时,客户端计算机就可以通过SSL连接和WSUS服务器通讯进行自动更新了。 �{�H�E�E'P#O1`�V�]
而下游WSUS服务器的配置则更为简单,将证书导入后,你只需要在下游WSUS服务器的同步选项中配置更新源使用上游服务器的SSL端口,并勾选同步更新信息时使用SSL即可,如下图所示: �E�X�H�|�?�i�F*I�L�e2o
|
喜欢篮球和bbs的纯情小正太一枚..
|
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图