9
Zertifikat für Wsus Package Publisher
Hallo zusammen,
ich stehe in meiner Testumgebung mal wieder vor einem Problem. Ich habe auf einem Windows 2012 Server die Rolle für die Zertifizierungsstelle installiert und schon etwas konfiguriert. Jetzt wollte ich das ganze eigentlich mal testen und für den Wsus Package Publisher ein Zertifikat erstellen und hinzufügen.
Importiren kann ich im WPP aber nur eine pfx - Zertifikat. Wie erstelle ich denn so ein Zertifikat über die eingerichtete Windows PKI?
Ich wäre auch dankbar darüber wenn jemand vlt ein gutes Tutorial zur Einrichtung, Konfiguration und Funktionsweise einer PKI unter Server 2012 kennt.
Vielen Dank für eure hilfe.
Grüße xoxyss
ich stehe in meiner Testumgebung mal wieder vor einem Problem. Ich habe auf einem Windows 2012 Server die Rolle für die Zertifizierungsstelle installiert und schon etwas konfiguriert. Jetzt wollte ich das ganze eigentlich mal testen und für den Wsus Package Publisher ein Zertifikat erstellen und hinzufügen.
Importiren kann ich im WPP aber nur eine pfx - Zertifikat. Wie erstelle ich denn so ein Zertifikat über die eingerichtete Windows PKI?
Ich wäre auch dankbar darüber wenn jemand vlt ein gutes Tutorial zur Einrichtung, Konfiguration und Funktionsweise einer PKI unter Server 2012 kennt.
Vielen Dank für eure hilfe.
Grüße xoxyss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 220823
Url: https://administrator.de/contentid/220823
Printed on: April 19, 2024 at 07:04 o'clock
9 Comments
Latest comment
Moin,
als erstes musst du die vorhandene Zertifikatsvorlage "Code Signing" duplizieren und dort gibt es eine Option "Privaten Schlüssel exportieren". Dort den Haken setzen und noch einen Namen für die Vorlage angeben (Bsp. WSUS Code Signing). Ich habe noch die Gültigkeitsdauer auf 5 Jahre hochgesetzt.
Nun die Zertifizierungsstelle starten und unter "... vorlagen", Rechtsklick -> Neu -> Vorlage. Dort die eben erstelle Vorlage auswählen und mit "Ok" bestätigen. Danach sollte die neue Vorlage sichtbar sein.
Zum Schluss startest du die mmc.exe ,Snapin hinzufügen, Zertifikate -> Computerkonto und mit "Fertigstellen" bestätigen. Den Baum öffnen und "eigene Zertifikate" anklicken. Darauf einen Rechtsklicken -> Aufgaben -> Anfordern.
Grüße,
Dani
als erstes musst du die vorhandene Zertifikatsvorlage "Code Signing" duplizieren und dort gibt es eine Option "Privaten Schlüssel exportieren". Dort den Haken setzen und noch einen Namen für die Vorlage angeben (Bsp. WSUS Code Signing). Ich habe noch die Gültigkeitsdauer auf 5 Jahre hochgesetzt.
Nun die Zertifizierungsstelle starten und unter "... vorlagen", Rechtsklick -> Neu -> Vorlage. Dort die eben erstelle Vorlage auswählen und mit "Ok" bestätigen. Danach sollte die neue Vorlage sichtbar sein.
Zum Schluss startest du die mmc.exe ,Snapin hinzufügen, Zertifikate -> Computerkonto und mit "Fertigstellen" bestätigen. Den Baum öffnen und "eigene Zertifikate" anklicken. Darauf einen Rechtsklicken -> Aufgaben -> Anfordern.
Grüße,
Dani
Hi.
Eine locale CA ist nicht notwendig. Einfach das Tool nutzen, wie es kommt. Es kann doch selbst das Zertifikat erstellen und einpflegen. Lediglich das Deployment zu den Clients braucht eine GPO, jedoch keine CA.
Eine locale CA ist nicht notwendig. Einfach das Tool nutzen, wie es kommt. Es kann doch selbst das Zertifikat erstellen und einpflegen. Lediglich das Deployment zu den Clients braucht eine GPO, jedoch keine CA.
Äh...und was hat das mit dem Thema zu tun? 
Das Zert. erstellt und pflegt allein die Software Wsus Package Publisher (3rd party). Auch auf 12 R2.
Das Zert. erstellt und pflegt allein die Software Wsus Package Publisher (3rd party). Auch auf 12 R2.
Soweit ich weiß spricht WPP nur die API von WSUS an. Und genau dort müsste eine hübsche Fehlermeldung erscheinen, wenn ein Self-Sigend genutzt wird.
Update, 22:32 Uhr: Wurde gefixt.
Grüße,
Dani
Update, 22:32 Uhr: Wurde gefixt.
Grüße,
Dani
Nein. Läuft problemlos.
Danke für eure Antworten. Macht es denn nicht mehr Sinn eine CA zu nutzen? Weleche Unterschiede macht es denn, wenn man ein selbstsigniertes oder eines aus der CA nimmt?
Ich wollte es jetzt mal über die CA probieren und habe wie beschrieben die Vorlage Code Signed dupliziert und konfiguriert. Soweit so gut, jetzt starte ich mmc und füge das snap-in hinzu. Allerding wird die Vorlage "Code Signed" nicht angezeit... muss ich noch irgend welche Berechtigungen einstellen? Das Zertifikat muss ich doch auch auf dem Server anfordern auf dem der WSUS läuft oder? WSUS läuft nicht auf dem DC.
Danke nochmal für eure hilfe.
Grüße xoxyss
Ich wollte es jetzt mal über die CA probieren und habe wie beschrieben die Vorlage Code Signed dupliziert und konfiguriert. Soweit so gut, jetzt starte ich mmc und füge das snap-in hinzu. Allerding wird die Vorlage "Code Signed" nicht angezeit... muss ich noch irgend welche Berechtigungen einstellen? Das Zertifikat muss ich doch auch auf dem Server anfordern auf dem der WSUS läuft oder? WSUS läuft nicht auf dem DC.
Danke nochmal für eure hilfe.
Grüße xoxyss
Du brauchst keine CA. Nutz das Programm, in 5min läuft alles. Lediglich am Client in den administrativen Vorlagen für Windows update einstellen, dass andere Signaturen zulässig sind.
Ich glaube dir das es auch ohne CA geht, für mich geht es in erster Linie aaber um den Lerneffekt ich möchte mich mit dem Thema Windows PKI beschäftigen deswegen würde ich es gerne über diese probieren.
Trotzdem danke für den Tipp. Wenn ich es nicht hin bekomme mache ich es über das selbstsigierte des WPP.
Danke nochmal.
Trotzdem danke für den Tipp. Wenn ich es nicht hin bekomme mache ich es über das selbstsigierte des WPP.
Danke nochmal.
