为System Center Update Publisher 2011部署数字证书示例

为System Center Update Publisher 2011部署数字证书示例

  • Comments 2
  • Likes

英文原文http://blogs.technet.com/b/jasonlewis/archive/2011/07/12/system-center-updates-publisher-signing-certificate-requirements-amp-step-by-step-guide.aspx

System Center Update Publisher 2011是一个可以通过System Center Configuration Manager 部署第三方软件补丁的程序: http://technet.microsoft.com/en-us/systemcenter/bb741049

为了发布软件补丁到WSUS服务器并部署软件补丁到客户端,你需要为System Center Update Publisher 2011生成一个数字证书。您可以通过System Center Update Publisher 2011界面生成一个self-signed(自签署)的数字证书,或用你已有的公钥基础设施生成数字证书

System Center Update Publisher 2011要求数字证书满足以下要求:

1.    允许私钥被倒出

2.    有数字签名功能

3.    密钥长度为2048或更长

本文将一步一步演示如何使用Windows Server 2008 R2 certification authority (CA) Group Policy(组策略)System Center Update Publisher 2011生成并部署数字证书

第一步: Certification Authority上创建和签发签名证书模板

  1. 在运行Certification Authority的机器上, 点击 开始, 管理工具, Certification Authority
  2. 展开Certification Authority (CA)的名字, 选中证书模板
  3. 右键单击 证书模板, 然后点击管理打开证书模板控制台。
  4. 在结果窗格中, 右键单击在模板显示名称 列显示代码签名的条目, 然后单击 复制模板。 选择 “Windows Server 2003 Enterprise Edition2选框然后单击 确定

clip_image002[4]

  1. 新模板的属性对话框, 常规选项卡, 为站点服务器模板输入模板显示名称, 例如SCUPCodeSigning

clip_image004[4]

6.    单击请求处理 选项卡, 启用允许到处私钥

clip_image006[4]

7.    单击使用者名称选项卡, 选择 Active Directory 中的信息生成

clip_image008[4]

8.    单击扩展选项卡, 确保密钥用法包括数字签名

clip_image010[4]

9.    单击安全选项卡, 选中Authenticated Users 授予它读取注册权限。

clip_image012[4]

10. 其他保留默认值。单击 确定然后关掉 证书模板控制台。

11. Certification Authority控制台上右键单击 证书模板, 单击 新建,然后单击 要颁发的证书模板。

12. 启用证书模板对话框, 选择刚刚新建的模板, SCUPCodeSigning, 然后单击确定

 

第二步: 获取签名证书

1.    再加入域的机器上, 开始搜索框, 输入 mmc.exe, 然后回车

2.    在空的控制台, 单击 文件, 然后点击添加/删除管理单元

3.    添加或删除管理单元对话框中, 可用的管理单元中选择证书, 单击添加。

4.    证书管理单元对话框中, 选择我的用户帐户, 然后单击完成

5.    添加或删除管理单元对话框中, 单击确定

6.    在控制台上展开  证书- 当前用户, 展开个人然后单击证书

7.    右键单击证书, 然后单击 所有任务单击 申请新证书

8.    跟从证书注册向导选择上面新建好的证书模板, 属性里面设置一个友好名称然后单击注册:

clip_image014[4]

9.    注册成功后, 你可以在证书- 当前用户-> 个人-> 证书下面找到该证书。

10. 右键单击该证书然后点击 所有任务-> 导出。 跟随证书导出向导为第三步导出不要私钥的证书存为 scup.cer

11. 再次导出证书, 这次在证书导出向导的第二页选择是,导出私钥, 存为 SCUPCodeSign.pfx

clip_image016[4]

第三步: 通过组策略分发签名证书到WSUS/ConfigMgr客户端

1.    在域控制器上, 单击 开始, 单击管理工具, 然后点击组策略管理

2.    展开到你所在的域, 右键单击这个域然后选择 在这个域中创建GPO并在此处链接

注意: 此步骤创建一个新的组策略来自定义设置相对于编辑Active Directory域服务安装的默认域策略是更好的做法。通过在域级别分发这个组策略, 该组策略将应用于域中的所有计算机。 然而, 在生产环境中, 你可以通过在组织单位级别分发组策略来限制策略只应用到选中的计算机上。

3.    新建GPO 对话框中为新建组策略对象输入名称,  例如 SCUP Signing Certificate, 然后点击确定

4.    在结果窗格中, 链接的组策略对象选项卡, 右键单击新建的组策略, 然后单击编辑

5.    组策略管理编辑器, 展开计算机配置下面的策略然后展开到Windows 设置/ 安全设置/ 公钥策略/ 受信任的根证书颁发机构

6.    单击操作菜单, 然后点击导入。 跟随证书导入向导导入在第二步生成的scup.cer

7.    组策略管理编辑器, 展开计算机配置下面的策略, 然后展开到 Windows 设置/ 安全设置/ 公钥策略/ 受信任的发行者

8.    单击操作菜单, 然后点击导入。 跟随证书导入向导导入在第二步生成的scup.cer

9.    关闭组策略管理

注意:

这里要导入 scup.cer, 不是SCUPCodeSign.pfx。 不要将包含私钥的数字证书发布到客户端。

您需要这个证书才能够成功地将软件补丁发布到WSUS服务器。 要想策略立刻在WSUS服务器上生效, 可以运行 “gpupdate /force /target:Computer”

 

第四步: System Center Update Publisher 2011中使用签名证书

1.    打开 System Center Update Publisher 2011 控制台。

2.    单击Menu icon 然后单击Options

3.    System Center Updates Publisher Options 对话框中选择 Update Server

4.    单击Browse 然后选择 在第二步创建导出的SCUPCodeSign.pfx。 输入密码然后单击确定

clip_image018[4]

5.    单击OK 保存并关闭System Center Updates Publisher Options对话框

 

现在您可以通过System Center Update Publisher 2011发布更新并使用System Center Configuration Manager部署更新给用户了。

注意: 以上范例使用的 证书模板代码签名使用者类型用户。 如果使用的证书模板的使用者类型计算机, 那么在第二步, 要用计算机帐户打开证书库来申请注册证书。其他步骤是相同的。

-- 吕敏芳,杜冬梅

Comments
  • 我已经把数字签名证书在服务端和客户端都已经安装好了,SCUP服务端的补丁也发布成功了,在WSUS的目录中也看到了相关的补丁,有关组策略中WINDOWS UPDATE有关启用的都启用了,客户端收收到更新,日志也没有发现错误,有没有排错工具,以下连接是发的求助帖

    social.microsoft.com/.../76093551-61e2-48ab-b323-4469ce23d73b

  • System Center Update Publisher 2011 这个我也没有搞定,能否留个联系方式交流一下!

    或者有个指导配置手册等等的。

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment