HowTo > Kommunikation zwischen WSUS und Clients mit SSL verschlüsseln


Sicherheit wird heute groß geschrieben, weshalb dann nicht innerhalb des eigenen LAN so viel wie möglich verschlüsseln? Fangen wir bei der Kommunikation zwischen dem WSUS und den Clients/Servern an.

Ausgangsposition ist ein WSUS 3.0 SP2 Vers. 6.2.9200.16384 (Juni 2013) installiert auf einem Windows Server 2012, der gleichzeitig auch Domain Controller (DC) ist.

Auf einem Windows Server 2012 wird der WSUS ungefragt und ohne Änderungsmöglichkeiten auf Port 8530 installiert. Jetzt müssen wir nur noch die Kommunikation verschlüsseln, dafür wird der Port 8531 benutzt.

Hierzu wird eine eigene Zertifizierungsstelle (CA) benötigt. Eine CA ist schnell installiert. Die nötigen Installationsschritte  werden hier beschrieben:

Hier klicken um das Bild zu vergrößern
Abbildung 1

Active Directory-Zertifikatdienste in den Rollen auswählen und die Verwaltungstools natürlich gleich mit installieren.
 

Hier klicken um das Bild zu vergrößern
Abbildung 2

Weitere Features werden nicht benötigt.
 

Hier klicken um das Bild zu vergrößern
Abbildung 3

Zusätzlich muss “Zertifizierungsstellen-Webregistrierung“ mit ausgewählt werden. Natürlich auch die Verwaltungstools hinzufügen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 4
 

Hier klicken um das Bild zu vergrößern
Abbildung 5

Ein letztes Mal prüfen.


Hier klicken um das Bild zu vergrößern
Abbildung 6

Die Installation war erfolgreich.


Hier klicken um das Bild zu vergrößern
Abbildung 7

Es sind Nachinstallationen erforderlich.
 

Hier klicken um das Bild zu vergrößern
Abbildung 8

Es beginnt die Phase der CA-Konfiguration.


Hier klicken um das Bild zu vergrößern
Abbildung 9

 

Hier klicken um das Bild zu vergrößern
Abbildung 10

Es wird eine Unternehmenszertifizierungsstelle.
 

Hier klicken um das Bild zu vergrößern
Abbildung 11

In diesem Fall wird eine Stammzertifizierungsstelle ausgewählt.
 

Hier klicken um das Bild zu vergrößern
Abbildung 12

Einen neuen privaten Schlüssel erstellen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 13

Die Schlüssellänge auf 4096 erhöhen. Der Rest ist Standard.
 

Hier klicken um das Bild zu vergrößern
Abbildung 14

Den Namen der CA kann jeder anpassen wie er möchte. Hier bleibt alles beim vorgegebenen Standard.
 

Hier klicken um das Bild zu vergrößern
Abbildung 15

Die Gültigkeit des Zertifikats auf 30 Jahre ändern.


Hier klicken um das Bild zu vergrößern
Abbildung 16

Diese Einstellungen am besten beim Standard belassen.
Bei einer SYSTEMSTATE-Sicherung wird die CA ebenfalls mitgesichert.

In diesem Artikel enthält weitere Information zu diesem Thema: http://blogs.technet.com/b/pki/archive/2013/03/22/windows-server-2012-active-directory-certificate-services-system-state-backup-and-restore.aspx


Hier klicken um das Bild zu vergrößern
Abbildung 17

Erneute letzte Kontrolle und auf Konfigurieren klicken.
 

Hier klicken um das Bild zu vergrößern
Abbildung 18

Die Installation ist erfolgreich abgeschlossen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 19

Jetzt kann der WSUS Kommunikation ‘verschlüsselt‘ werden.
Dazu wird der Internetinformationsdienste Manager (IIS) gestartet.
Auf der linken Seite den Server auswählen und rechts Serverzertifikate mit Doppelklick öffnen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 20

Ganz Rechts im Aktionsbereich “Domänenzertifikat erstellen“ auswählen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 21

Bei Gemeinsamer Name muss der Name des Servers eingetragen werden.
Die weiteren Felder können nach eigenen Wünschen gefüllt werden.
 

Hier klicken um das Bild zu vergrößern
Abbildung 22

Über Auswählen die eigene CA hinzufügen und dem Zertifikat einen passenden Namen geben.
 

Hier klicken um das Bild zu vergrößern
Abbildung 23

Das Zertifikat wurde erfolgreich erstellt.
 

Hier klicken um das Bild zu vergrößern
Abbildung 24

Erscheint die folgende Fehlermeldung, hilft es den Dienst CertSvc (Active Directory-Zertifikatdienste) neu zu starten.

Die Anforderung 4 wurde abgelehnt, da Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613). Die Anforderung war für CN=W2012, OU=IT, O=Contoso.com, L=München, S=Bayern, C=DE. Weitere Informationen: Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats

Ganz links die Sites erweitern und die WSUS-Verwaltung wählen. Auf der rechten Seite im Aktionsbereich die Bindungen für die WSUS-Verwaltung auswählen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 25


Hier das soeben erstellte Zertifikat auswählen. Wer möchte, kann es sich auch nochmal anzeigen lassen.
 

Hier klicken um das Bild zu vergrößern
Abbildung 26

Jetzt muss auf diesen Virtuellen Seiten noch die SSL-Verschlüsselung aktiviert werden.

ApiRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService


Hier klicken um das Bild zu vergrößern
Abbildung 27

Mit einem Doppelklick auf die jeweilige Seite wechseln. Die SSL-Einstellungen auf der Startseite öffnen und SSL erforderlich aktivieren. Der Rest kann so bleiben. Rechts im Aktionsbereich auf Übernehmen klicken. Für jede der o.g. Seiten muss dies Konfiguration wiederholt werden.
 

Hier klicken um das Bild zu vergrößern
Abbildung 28

Ab sofort kann nur noch über SSL (Port 8531) eine Verbindung zum WSUS aufgebaut werden.
Deshalb muss auch der Port in der WSUS.MSC geändert werden.
Über Port 8530 kann keine Verbindung mehr zum WSUS aufgebaut werden!


Hier klicken um das Bild zu vergrößern
Abbildung 29

Zuvor muss der WSUS noch wissen, dass er nur noch über SSL zu erreichen ist. Dazu benötigen wir das Tool WSUSUtil.exe, das liegt im Programm-Ordner vom WSUS: C:\Program Files\Update Services\Tools. Eine administrative Commandline starten und folgenden Befehl absetzen: WSUSUtil.exe ConfigureSSL <Name des Zertifikat>.
Nachzulesen im Technet Artikel Secure WSUS 3.0 SP2 Deployment.

Wichtiger Auszug aus dem Artikel:
Where certificateName is the DNS name of the WSUS server. For example, if clients will connect to https://myWSUSServer, then certificateName should be myWSUSServer. If clients will connect to https://myWSUSServer.myDomain.com, then certificateName should be myWSUSServer.myDomain.com.

Der exakte Befehl für das hier beschriebene HowTo: WSUSUtil.exe ConfigureSSL W2012 [ENTER]

Es wird nach Eingabe des Befehls auch gleich die neue URL für die Gruppenrichtlinie angezeigt.
 

Hier klicken um das Bild zu vergrößern
Abbildung 30

In der WSUS.MSC einen Rechtsklick auf den Servernamen, aus Konsole entfernen auswählen und gleich wieder neu hinzufügen. Diesmal  den Haken setzen bei ‚Verbindung mit diesem Server über SSL herstellen‘ und auf Verbinden klicken.


Hier klicken um das Bild zu vergrößern
Abbildung 31

In der WSUS.MSC wird nun auch angezeigt, dass die Verbindung über Port 8531 mit SSL aufgebaut wurde.
 

Hier klicken um das Bild zu vergrößern
Abbildung 32

Achtung!
Die neue veränderte URL muss natürlich noch in die Gruppenrichtlinie eingetragen werden.
Ist das erledigt, wurde ein weiterer Teil zur Sicherheit beigetragen.

Da Clients und Server alle ~90 Minuten (+-30 Minuten) die Gruppenrichtlinien aktualisieren, sollte innerhalb kürzester Zeit die Veränderung auf allen Clients/Servern angekommen sein.
 


Winfried Sonntag

MVP Software Packaging, Deployment & Servicing
http://mvp.microsoft.com/de-de/mvp/Winfried%20Sonntag-33802