8
WSUS SSL Zertifikat, AD-Zertifizierungsstelle, Clients
Hallo an alle,
da ich über die einschlägige Methoden keine Antworten gefunden habe versuche ich diesen Weg:
Ausgangssituation:
WSUS Server unter Server 2019 Datacenter
SSL Verschlüsselung aktiv
Zertifikat über interne CA-Zertifizierungsstelle (Windows Server Rolle) erstellt und Server zugewiesen.
Muss ich nun per GPO dieses Zertifikat jedem Client ausrollen oder müssten die Clients selbst an der internen CA-Zertifizierungsstelle prüfen ob es ein gültiges Zertifikat gibt und dieses dann verwenden?
Ich bin der Meinung das es sinnvoll ist, wenn die Clients das Zertifikat selbstständig an der CA Stelle "hohlen" nur leider ist mir bisher nicht klar wie ich das konfigurieren soll.
Danke
da ich über die einschlägige Methoden keine Antworten gefunden habe versuche ich diesen Weg:
Ausgangssituation:
WSUS Server unter Server 2019 Datacenter
SSL Verschlüsselung aktiv
Zertifikat über interne CA-Zertifizierungsstelle (Windows Server Rolle) erstellt und Server zugewiesen.
Muss ich nun per GPO dieses Zertifikat jedem Client ausrollen oder müssten die Clients selbst an der internen CA-Zertifizierungsstelle prüfen ob es ein gültiges Zertifikat gibt und dieses dann verwenden?
Ich bin der Meinung das es sinnvoll ist, wenn die Clients das Zertifikat selbstständig an der CA Stelle "hohlen" nur leider ist mir bisher nicht klar wie ich das konfigurieren soll.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7552267439
Url: https://administrator.de/contentid/7552267439
Printed on: April 28, 2024 at 07:04 o'clock
8 Comments
Latest comment
Hallo,
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
-> Lösung: Du verteilst das Zertifikat der CA per GPO als vertrauenswürdige Zertifizierungsstelle.
Danach verbindet sich der Client mit dem WSUS, bekommt sein Zertifikat, schaut in seine Liste der vertrauenswürdigen Aussteller und vertraut dem Zertifikat.
LG
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
-> Lösung: Du verteilst das Zertifikat der CA per GPO als vertrauenswürdige Zertifizierungsstelle.
Danach verbindet sich der Client mit dem WSUS, bekommt sein Zertifikat, schaut in seine Liste der vertrauenswürdigen Aussteller und vertraut dem Zertifikat.
LG
Als wir noch den WSUS mal im Einsatz hatten, war die CA jedem Client bekannt. Nichtsdestotrotz mussten wir das WSUS-Zertifikat per Gruppenrichtlinie verteilen.
Hallo Dawnbreaker,
Da die interne CA-Stelle ein Mitgliedsserver der Domäne ist sollte der Aussteller als vertrauenswürdig angesehen werden? Oder sehe ich das falsch?
Zitat von @Dawnbreaker:
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...
... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?
Da die interne CA-Stelle ein Mitgliedsserver der Domäne ist sollte der Aussteller als vertrauenswürdig angesehen werden? Oder sehe ich das falsch?
Normalerweise wird das Root-Zertifikat einer MS CA im AD-Umfeld automatisch per GPO an alle Member verteilt.
Wenn der WSUS-Server dann ein von dieser CA ausgestelltes Zertifikat für SSL nutzt, dann ist das auf allen Member des AD automatisch vertrauenswürdig.
Das kann man recht einfach testen, indem man die URL des WSUS über Browser aufruft. Dann dürfte dort keine Zertifikatswarnung kommen.
i.A. URL wie
https://servername:8531
https://servername.domain.tld:8531
https://IP-Adresse:8531
Respektive des von Euch genutzten Ports.
E.
Edit:
Die URL des WSUS-Servers, welche man an die Clients verteilt, muss natürlich mit den im Zertifikat eingetragenen Daten übereinstimmen. Ist klar.
Wenn der WSUS-Server dann ein von dieser CA ausgestelltes Zertifikat für SSL nutzt, dann ist das auf allen Member des AD automatisch vertrauenswürdig.
Das kann man recht einfach testen, indem man die URL des WSUS über Browser aufruft. Dann dürfte dort keine Zertifikatswarnung kommen.
i.A. URL wie
https://servername:8531
https://servername.domain.tld:8531
https://IP-Adresse:8531
Respektive des von Euch genutzten Ports.
E.
Edit:
Die URL des WSUS-Servers, welche man an die Clients verteilt, muss natürlich mit den im Zertifikat eingetragenen Daten übereinstimmen. Ist klar.
Guten Morgen,
instinktiv würde man wohl annehmen, dass es so sein sollte.
Aus Erfahrung kann ich aber sagen: Ich musste bisher auch immer brav, dass Zertifikat per GPO verteilen, bevor es lief. ;)
LG
instinktiv würde man wohl annehmen, dass es so sein sollte.
Aus Erfahrung kann ich aber sagen: Ich musste bisher auch immer brav, dass Zertifikat per GPO verteilen, bevor es lief. ;)
LG
es ist am Ende vom WSUS Client abhängig ob der das Zertifikat akzeptiert oder nicht
1.) alle Clients müssen das öffentliche Zertifikat der (Root) CA haben.
2.) der WSUS Server muß ein von der CA ausgestelltes Computerzertifikat haben (Computeridentität)
3.) die Clients prüfen dann ob das Zertifikat von irgendeiner CA stammt oder self signed ist. Es gibt bei MS Tendenzen, Self signed Zertifikate nicht mehr zu akzeptieren, der OLEDB19 macht das z.B. im Standard. Anderseits haben die MS Serverdienste immer ein SElf Signed Zertifikat, das man erst durch ein CA signiertes Zertifkat ersetzen muß.
Das Beispiel mit dem Browser oben ist nicht richtig, denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht. Man kann da einzig und alleine das Zertifikat kontrollieren, ob self signed oder CA signed.
1.) alle Clients müssen das öffentliche Zertifikat der (Root) CA haben.
2.) der WSUS Server muß ein von der CA ausgestelltes Computerzertifikat haben (Computeridentität)
3.) die Clients prüfen dann ob das Zertifikat von irgendeiner CA stammt oder self signed ist. Es gibt bei MS Tendenzen, Self signed Zertifikate nicht mehr zu akzeptieren, der OLEDB19 macht das z.B. im Standard. Anderseits haben die MS Serverdienste immer ein SElf Signed Zertifikat, das man erst durch ein CA signiertes Zertifkat ersetzen muß.
Das Beispiel mit dem Browser oben ist nicht richtig, denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht. Man kann da einzig und alleine das Zertifikat kontrollieren, ob self signed oder CA signed.
Doch, ist korrekt so.
Zumindest unter Windows. Und darum geht es ja.
denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht.
Stimmt auch nicht. Das ist vollkommen Unsinn, sorry.Zumindest unter Windows. Und darum geht es ja.
Hallo,
nachdem ich das Zertifikat nochmals geprüft habe und es jetzt mit der URL
https://servername.domain.local:8531 neu erstellt wurde kann ich per Browser die URL aufrufen und es kommt keine Warnung das es unsicher ist.
-> Somit ist das erfolgreich
Die Test Clients sind am WSUS angekommen und berichten. Jedoch habe ich in den windowsupdate.log Dateien folgende Einträge die evtl. noch auf Fehler hindeuten könnten?:
Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetWUClientData:2649]
Misc *FAILED* [8024500C] EP: get client data
Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetSecondaryServicesEnabledState:2049]
Agent *FAILED* [8024500C] Method failed [CAgentServiceManager::DetectAndToggleServiceState:3020]
Agent *FAILED* [8024500C] SLS sync failed during service registration
ProtocolTalker WSUS certificate store is empty
nachdem ich das Zertifikat nochmals geprüft habe und es jetzt mit der URL
https://servername.domain.local:8531 neu erstellt wurde kann ich per Browser die URL aufrufen und es kommt keine Warnung das es unsicher ist.
-> Somit ist das erfolgreich
Die Test Clients sind am WSUS angekommen und berichten. Jedoch habe ich in den windowsupdate.log Dateien folgende Einträge die evtl. noch auf Fehler hindeuten könnten?:
Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetWUClientData:2649]
Misc *FAILED* [8024500C] EP: get client data
Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetSecondaryServicesEnabledState:2049]
Agent *FAILED* [8024500C] Method failed [CAgentServiceManager::DetectAndToggleServiceState:3020]
Agent *FAILED* [8024500C] SLS sync failed during service registration
ProtocolTalker WSUS certificate store is empty
