SSL nachträglich für WSUS konfigurieren

[Robinho1986 1]

Hallo,

 

gerne würde ich für den bestehenden WSUS nachträglich SSL konfigurieren. Im Zuge dessen bin ich auf folgende Anleitung gestoßen:

 

So konfigurieren Sie SSL auf dem WSUS-Server mithilfe von IIS 7.0

1. Öffnen Sie auf dem WSUS-Server den Internetinformationsdienste-Manager.

2. Erweitern Sie Sites, und erweitern Sie dann die Website für den WSUS-Server. Beim Installieren von WSUS wurde möglicherweise die Standardwebsite ausgewählt, es wird jedoch empfohlen, die benutzerdefinierte WSUS-Verwaltungswebsite zu verwenden.

3. Führen Sie auf der WSUS-Website in den virtuellen Verzeichnissen APIRemoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService und SimpleAuthWebService die folgenden Schritte aus:

   1. Doppelklicken Sie in der Ansicht „Features“ auf SSL-Einstellungen.
       
   2. Wählen Sie auf der Seite SSL-EinstellungenSSL erforderlich aus.
       
   3. Klicken Sie im Bereich Aktionen auf Anwenden.
       

4. Schließen Sie das Dialogfeld Internetinformationsdienste-Manager.

5. Führen Sie unter <WSUS-Installationsordner>\Tools folgenden Befehl aus: WSUSUtil.exe configuressl <Intranet-FQDN des Softwareupdatepunkt-Standortsystems>.

 

Eigentlich sollte es zu keinen Problemen kommen oder wie seht Ihr das? Sry, bin immer vorsichtig wenn ich neue Dinge probiere :).

 

Gruß

 

 

[Sunny61 833]

Dieses HowTo funktioniert: http://www.wsus.de/ssl_kommunikation

[Robinho1986 1]

ok, mein WSUS ist Server 2008 R2 und kein Domänencontroller. Ich werde dies in der Testumgebung mal testen.

[Sunny61 833]

ok, mein WSUS ist Server 2008 R2 und kein Domänencontroller. Ich werde dies in der Testumgebung mal testen.

Genau. Welche Anleitung hattest Du gefunden?

[Robinho1986 1]

ich hatte nur diese gefunden https://technet.microsoft.com/de-de/library/bb633246.aspx, in der Testumgebung war nach Ausführung keine Verbindung mehr mit dem WSUS möglich :).

[Sunny61 833]

ich hatte nur diese gefunden https://technet.microsoft.com/de-de/library/bb633246.aspx, in der Testumgebung war nach Ausführung keine Verbindung mehr mit dem WSUS möglich :).

Du hast auch anschließend den Server neu in der Konsole hinzugefügt? SSL anhaken nicht vergessen. ;)

[Robinho1986 1]

habe den Server entfernt und versucht neu anzubinden, leider ohne Erfolg. Naja ich werde noch etwas "spielen" melde mich wieder.

[Dunkelmann 96]

Moin,

 

an den neuen Port (WSUS-Konsole und Windows Firewall) gedacht?

[Sunny61 833]

habe den Server entfernt und versucht neu anzubinden, leider ohne Erfolg. Naja ich werde noch etwas "spielen" melde mich wieder.

Genau, am besten einfach nur 'spielen'.

Wenn Du exakt nach der Anleitung vorgehst, funktioniert das einwandfrei.

[Robinho1986 1]

wenn ich die Zertifizierungsstelle auf einem WSUS-Test-Server installiere, welcher in der Produktiv-Domäne hängt, sollte dies keine negative Auswirkunden haben oder?

bearbeitet 29. Juli 2015 von Robinho1986

[Sunny61 833]

wenn ich die Zertifizierungsstelle auf einem Test-Server, welcher in der Produktiv-Domäne hängt, installiere, sollte dies keine negative Auswirkunden haben oder?

IMHO nein.

[Dunkelmann 96]

wenn ich die Zertifizierungsstelle auf einem WSUS-Test-Server installiere, welcher in der Produktiv-Domäne hängt, sollte dies keine negative Auswirkunden haben oder?

Natürlich hat das Auswirkungen. Du installierst eine Enterprise CA - das macht man nicht mal so nebenbei

[Robinho1986 1]

ihr macht mir Angst :(, der Enterprise CA würde auf einem WSUS liegen und soll nur zur SSL Verschlüsselung von IIS/WSUS dienen. Normalerweise sollte doch die restliche Domäne davon unberührt bleiben? Ist es denn zwingend notwendig SSL zu aktivieren?

bearbeitet 29. Juli 2015 von Robinho1986

[Dunkelmann 96]

Eine Enterprise CA wird im AD veröffentlich - noch Fragen?

 

SSL am WSUS ist ein Sicherheitsfeature, wenn das auf einer unsicheren PKI aufbaut gibt es keinen Sicherheitsgewinn, sondern nur zusätzliche Sicherheitslücken und potentielle Supportbaustellen durch die suboptimal konfigurierte PKI.