Sunny schrieb on 16.12.10 um 10:38:27:
Ja bitte. Wurde das Zertifikat mit SelfCert erstellt?
Nein, ich habe das Zertifikat mit LUP erstellt.
Zu LUP gibt es hier eine recht gute Hilfe:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).Ich versuche mal kurz die Vorgehensweise zu beschreiben:
LUP versucht nach der Installation die Verbindung zum WSUS-Server herzustellen und sucht ein Zertifikat.
Wird keins gefunden kann man ein Zertifikat importieren oder eins selbst erstellen. Dieses Zertifikat kann dann als Datei exportiert werden.
Danach muss das Zertifikat verteilt werden. Ich habe das über GPO gemacht.
Als erstes muss unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Updates "signierte Inhalte aus internen Speicherort für Microsoft-Updatedienst zulassen" aktiviert werden.
Danach kann das Zertifikat hinzugefügt werden, ebenfalls unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien
öffentlicher Schlüssel (Public Key Policies)".
Das Zertifikat muss sowohl in den Speicher "Vertrauenswürdige Herausgeber" als auch "Vertrauenswürdige Stammzertifizierungsstellen"
In den Eigenschaften soll das Zertifikat nur für Zweck: Codesignatur aktiviert werden.
Das Problem bei Windows Server 2003 besteht nnur darin, dass man Speicher "Vertrauenswürdige Herausgeber" nicht konfigurieren kann.
Ich habe zum Glück einen W2008 Server im Zugriff, über den die GPO konfiguriert werden kann, die Richtlinien für öffentlich Schlüssel funktionieren auch mit Windows XP.
Alternativ kann man sich auch mit Windows 7 und den Remote-Verwaltungstools für Windows 7 behelfen.
Soweit nur kurz den Ablauf wie ich ihn noch im Kopf habe