Normales Thema Zertifikat für selbsignierte Updates wird nicht akzeptiert (Gelesen: 1908 mal)
Co_chise
WSUS Neuling
Offline


I love WSUS!

Beiträge: 5
Mitglied seit: 26.08.20
Zertifikat für selbsignierte Updates wird nicht akzeptiert
26.08.20 um 22:31:08
Beitrag drucken  
Hallo,
Mein Zertifikat von WPP ist abgelaufen. Nun habe ich ein neues Code-Signing Zertifikat erstellt. (Selber) Ich habe es per GPO an die beiden entsprechenden Orte importiert.
Allerdings wenn ich anschliessend WSUSUTIL checkhealth ausführe, wird der Event 10072 (Der WSUS-Server ist für die Verwendung eines Paketsignaturzertifikats konfiguriert, dieses Zertifikat wurde jedoch nicht gefunden.) und 12012 Der API-Remoting-Webdienst ist nicht funktionsfähig. im Eventvwr aufgeführt.

Wie verklickere ich dem WSUS dass er nun ein neues Zertifikat hat?

Danke für eure Tipps!
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #1 - 28.08.20 um 14:04:02
Beitrag drucken  
Zuerst mal bitte Details liefern. Für wen ist das Zertifikat? Für den WPP oder für die https Nutzung des WSUS? Der Unterschied ist klein, aber fein.
  
Zum Seitenanfang
 
Co_chise
WSUS Neuling
Offline


I love WSUS!

Beiträge: 5
Mitglied seit: 26.08.20
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #2 - 01.09.20 um 09:52:37
Beitrag drucken  
Nett, wie man hier begrüsst wird.  Zwinkernd Das Zertifikat wird für den WPP gebraucht. Steht übrigens in meinem Post.
Die https-Nutzung läuft. Es geht hier wirklich nur um das Zertifikat um WPP Zugriff zu geben.

Gruss,
Co_chise
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #3 - 01.09.20 um 11:13:37
Beitrag drucken  
Wenn es nur um das WPP-Zertifikat geht, dann ist wsusutil checkhealth überflüssig und fehl am Platz. Und der WSUS hat auch kein neues Zertifikat, sondern der WPP nutzt ein Zertifikat für die Signierung von Softwarepaketen.

Worauf soll der WPP denn Zugriff haben? Der WPP signiert mit dem Zertifikat die bereits erstellten und die zukünftigen Pakete. Das neue Zertifikat muss an diesen beiden Stellen liegen:

(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).


WPP starten, kommt eine Fehlermeldung? Prüf doch manuell nach, ob im lokalen Zertifikatsspeicher des Computers das Zertifikat auch korrekt installiert ist.

BTW: Diese Anleitung könnte auch helfen: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Co_chise
WSUS Neuling
Offline


I love WSUS!

Beiträge: 5
Mitglied seit: 26.08.20
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #4 - 02.09.20 um 13:53:50
Beitrag drucken  
Danke für die Unterstützung und den Hinweis. Ich muss vielleicht noch präzisieren: WPP hat in der Kombi mit WSUS bis zum 20.07.20 wunderbar funktioniert. An diesem Tag ist aber nach 5 Jahren das Codesigning-Zertifikat abgelaufen. Und dieses würde ich halt nun gerne ersetzen. unentschlossen

Ich habe das neue Zertifikat auf dem Server genau an den von dir erwähnten Stellen hinterlegt. Ich habe es auch per GPO verteilt.

Nur beruft sich der WSUS/WPP immer noch auf das verflossene Zertifikat. Das neue Zert. wird ignoriert. Und genau diese Information habe ich ich mit "wsutil.exe checkhealth" rausgefunden:

Eintrag im Eventvwr nach Ausführung des Tools (Ereignis 10062):
Das WSUS-Paketsignaturzertifikat ist am 20.07.2020 15:33:22 abgelaufen. Um WSUS
zum Signieren lokaler Updatepakete zu verwenden, ersetzen Sie das Zertifikat durch ein neues Zertifikat.
Alternativ können Sie das abgelaufene Zertifikat entfernen, damit dieser Fehler nicht mehr angezeigt wird.


Entferne ich das abgelaufene Zert., lautet die Meldung sinngemäss, dass kein Zertifikat installiert ist.

Btw. Die Anleitung im von Dir beigefügten Link ist imho outdatet. Ich kann im WPP keine Zertifikate mehr erstellen...

Grüsse Co_chise

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #5 - 02.09.20 um 14:21:50
Beitrag drucken  
Den IIS hast Du bereits komplett neu gestartet? Oder besser den kompletten Server neu starten.
  
Zum Seitenanfang
 
Co_chise
WSUS Neuling
Offline


I love WSUS!

Beiträge: 5
Mitglied seit: 26.08.20
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #6 - 02.09.20 um 14:35:29
Beitrag drucken  
Ja, den kompletten Server (btw. Win2012R2)

Ich habe gestern noch folgenden Link gefunden:
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

aber beim Ausführen des ersten Powershell-Codes erhalte ich eine Fehlermeldung.   Griesgrämig
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #7 - 02.09.20 um 18:07:05
Beitrag drucken  
Bei Fehlermeldungen die geheim sind, kann dir wohl nur der Geheimdienst helfen. Smiley
  
Zum Seitenanfang
 
Co_chise
WSUS Neuling
Offline


I love WSUS!

Beiträge: 5
Mitglied seit: 26.08.20
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #8 - 03.09.20 um 16:38:03
Beitrag drucken  
ups, ja klar! Die Fehlermeldung ist im Anhang.

Ich führe dieses Powershell mit erhöhter Berechtigung aus. Der angemeldete Benutzer ist Domänen-Admin, WSUS-Administrator und WSUS-Reporter. Müsste als eigentlich genügend Berechtigungen haben...

Grüsse Co_chise
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Zertifikat für selbsignierte Updates wird nicht akzeptiert
Antwort #9 - 08.09.20 um 08:10:11
Beitrag drucken  
Führst Du das auch wirklich auf dem WSUS direkt in einer administrativen Powershell aus? Auf meinem WSUS habe ich die ersten 3 Zeilen erfolgreich getestet.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden