WSUS全攻略之五 部署WSUS使用SSL.doc

WSUS服务器允许客户端计算机或下游WSUS服务器通过SSL进行身份验证，或者通过SSL加密它们之间更新元数据的通讯。注意只是加密更新元数据，WSUS服务器并不会加密更新文件。同步期间，客户端计算机或者下游WSUS服务器将元数据和更新文件通过不同的服务端口从上游WSUS服务器进行同步，这也是Microsoft Update补丁分发的方式。我们在部署与规划一文中已经提到过，每一个完成的更新程序包含两部分：元数据和更新文件。元数据只是提供有关更新的信息，体积往往远小于更新文件，微软只是对元数据的通讯进行加密；但是，微软通过对于每一个更新文件进行散列值计算，并将此散列值跟随元数据通讯一起进行加密传输，从而确保所下载的更新文件的完整性。在部署WSUS使用SSL时，你需要考虑以下两点： 部署SSL会增加WSUS服务器的工作负荷。在WSUS服务器上部署SSL时，会导致WSUS服务器大概10的性能损耗，在你部署和规划WSUS服务器时必须预先考虑这一点； 如果你使用远程SQL数据库服务器存放WSUS的数据库，WSUS服务器和SQL数据库服务器之间的通讯并不会进行加密。WSUS服务器只会加密和客户端计算机或下游WSUS服务器之间的元数据通讯；如果需要对WSUS服务器和SQL数据库服务器之间的通讯进行加密时，你需要采用额外的方式，例如部署IPSec安全策略。部 署WSUS服务器使用SSL的过程非常简单，你只需要在WSUS服务器上安装证书并配置IIS要求进行加密通信，然后将客户端计算机和下游WSUS服务器 配置为信任此WSUS服务器的服务器证书并访问WSUS服务器的SSL服务即可。但是部署WSUS服务器使用SSL时，WSUS服务器需要两个端口来提供 服务：一个端口用于提供加密元数据的HTTPS服务；一个端口用于提供未加密的更新文件下载的HTTP服务。当你在IIS中配置使用证书时，请一定要记住 以下四点：1、不能将整个WSUS Web站点都设置为需要SSL。这意味着和WSUS Web站点的所有通讯都会进行加密，但是WSUS只会加密元数据通讯，这样当客户端计算机或者下游WSUS服务器试图向WSUS服务器下载更新文件时，由于没有用于提供HTTP下载服务的端口，下载将失败；2、为了确保WSUS Web站点的安全，你需要对以下虚拟目录配置为要求SSL连接： SimpleAuthWebService DSSAuthWebService ServerSyncWebService WSUSAdmin（此虚拟目录用于访问WSUS管理控制台，对此虚拟目录要求SSL后，你需要修改WSUS管理控制台的链接使用SSL连接）； ClientWebService但是为了让WSUS正常工作，你不能对以下虚拟目录要求SSL连接： Content ReportingWebService SelfUpdate3、你可以配置IIS在任意端口上使用SSL，但是，HTTP通讯的端口是根据你的SSL端口来进行设置的： 如果配置SSL使用标准SSL端口TCP 443，则WSUS会自动配置HTTP通讯使用标准HTTP服务端口TCP 80。建议你总是使用标准的SSL端口； 如果配置SSL使用其他任意端口，则WSUS会将此SSL端口前的那个端口用于HTTP通讯，这是不可配置的。例如，如果将端口8531用于SSL通讯，则WSUS会将8530 用于HTTP。4、 在配置WSUS服务器采用SSL连接之后，你需要告知客户端计算机或者下游WSUS服务器使用SSL连接和此WSUS服务器进行通讯。对于客户端计算机的 告知是通过修改应用到客户端计算机的组策略中的Intranet更新服务位置来实现；而对于下游WSUS服务器的告知，则是通过修改其同步选项来实现。另外，你需要考虑以下重要事项： 在告知客户端计算机或下游WSUS服务器时，你必须正确提供访问此WSUS服务器的SSL端口的URL地址。如果使用非标准的SSL端口，则必须在URL中包括该端口。例如，使用非标准的SSL端口8531时，你提供给客户端计算机或下游WSUS服务器的URL地址为 https:/wsus-ssl-servername:8531；而使用标准的SSL端口443时，你提供的URL地址则为https:/wsus-ssl-servername； 对于客户端计算机，你必须将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中；对于下游WSUS服务器，则是导入本地计算机的受信任根CA存储或Windows Server Update Service的受信任根CA存储中。 客户端计算机或下游WSUS服务器必须信任WSUS服务器在IIS中绑定到WSUS Web站点的证书。配置WSUS Web站点使用SSL首先需要为WSUS Web站点安装服务器证书。在Internet信息服务管理控制台中，展开本地计算机下的网站，然后右击WSUS Web站点（在此是默认网站），选择属性，然后点击目录安全性标签，你可以看到，此Web站点尚未安装证书，所以查看证书按钮不可用的。点击服务器证书按钮；在弹出的欢迎使用Web服务器证书向导页，点击下一步；在服务器证书页，选择新建证书，点击下一步；在延迟或立即请求页，选择立即将证书请求发送到联机证书颁发机构，点击下一步；在名称和安全性设置页，输入新证书的名称。在此我输入名称为WSUS Web Site，接受默认的密钥位长1024，点击下一步；在单位信息页，输入你的单位和部门信息，点击下一步；在站点公用名称页，输入用于访问WSUS Web站点的域名。在此我的域名是，输入后点击下一步；在地理信息页，输入你的地理位置信息，点击下一步；在SSL 端口页，指定使用的SSL端口，在此我接受默认的标准端口443，点击下一步；在选择证书颁发机构页，选择处理此证书请求的证书颁发机构，点击下一步；在证书请求提交页，回顾你输入的信息，点击下一步；在完成 Web 服务器证书向导页，提醒你证书已经成功安装，点击完成。现在，目录安全性标签上的查看证书按钮变得可用了，点击查看证书按钮可以查看绑定到此Web站点的服务器验证证书的详细信息，如下图所示：点击确定按钮关闭Web站点属性对话框。现在，我们需要配置IIS对以下五个虚拟目录设置使用SSL连接： SimpleAuthWebService DSSAuthWebService ServerSyncWebService WSUSAdmin ClientWebService首先，在IIS管理控制台中右击WSUS Web站点下的虚拟目录SimpleAuthWebService，选择属性，然后点击目录安全性标签，最后点击安全通信框架中的编辑按钮；在弹出的安全通信对话框上，勾选要求安全通信（SSL）和要求 128 位加密，然后两次点击确定返回Internet信息服务管理控制台；重复以上操作设置其他四个虚拟目录要求SSL，在WSUS服务器端的配置就完成了。配置客户端计算机使用SSL访问WSUS Web站点现在我们需要配置客户端计算机使用SSL访问 WSUS站点，首先，我们需要修改部署客户端计算机所访问的Intranet更新服务位置的组策略，将其修改为访问WSUS服务器SSL端口的URL地 址，如下图所示，在此我是使用的标准SSL端口，所以未在URL地址中包含SSL端口：其次，我们需要将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服