WSUS für SSL-Verbindung konfigurieren

    , 03.09.2018
    Tags: , ,

    WSUS für SSL konfigurierenMicrosoft em­pfiehlt, die Kommu­nikation der Windows Server Update Services (WSUS) mit Clients und ab­hängigen WSUS-Servern über SSL abzu­sichern. Dafür müssen ein Zerti­fikat installiert, die IIS angepasst, die Clients via GPO auf die korrekte URL verwiesen und die MMC-Konsole konfiguriert werden.

    Die Kommunikation über HTTPS zwischen WSUS und den Clients bringt zwei sicherheits­relevante Ver­bes­serungen. Zum einen stellt man damit sicher, dass sich die Endgeräte mit dem richtigen WSUS-Server verbinden, weil sich dieser über ein Zertifikat ausweist. Zum anderen verschlüsselt man damit die Metadaten. Der eigentliche Content, also die Updates, laufen weiterhin über HTTP.

    Microsoft empfiehlt die Verwendung von SSL für WSUS-Server

    Gerade bei einem stark ausgelasteten WSUS-Server sollte man jedoch einkal­kulieren, dass die Ver­schlüsselung auf Kosten der Performance geht. Microsoft zufolge vermindert sich die Leistung um zirka 10 Prozent.

    Zertifikat für SSL

    Diese Anleitung geht davon aus, dass auf dem WSUS-Server bereits ein Zertifikat installiert ist. Meistens wird man dieses über eine interne Zertifizierungs­stelle ausstellen. Dieser Beitrag zeigt, wie man zu diesem Zweck bei einer Active Directory CA vorgeht.

    Laufen die WSUS unter Server Core, dann muss das Zertifikat erst von einem anderen Rechner exportiert und auf dem WSUS-Server importiert werden (siehe dazu: SSL-Zertifikat für IIS und WSUS installieren auf Server Core).

    Zertifikat an HTTPS der WSUS-Site binden

    Im nächsten Schritt bindet man das Zertifikat im IIS-Manager an das HTTPS-Protokoll der WSUS-Verwaltung. Laufen die WSUS unter Server Core, dann funktioniert dies auch remote. Für diese Aufgabe öffnet man in der linken Navigation das Kontextmenü dieser Site und führt den Befehl Bindungen bearbeiten aus.

    Zuordnung eines Zertifikats zum HTTPS-Protokoll des WSUS-Verwaltung

    Standardmäßig nutzt WSUS die Ports 8530 für HTTP und 8531 für HTTPS. Wählt man für die verschlüsselte Verbindung den üblichen SSL-Port 443, dann kommunizieren die WSUS bei HTTP über Port 80. Bei jedem anderen Port für HTTPS wählen die WSUS für HTTP einen Port, der nummerisch direkt darunter liegt.

    Kommunikation über HTTPS erzwingen

    Anschließend muss man dafür sorgen, dass die Clients den WSUS-Server künftig nur mehr über eine SSL-Verbindung ansprechen können. Dazu passt man die SSL-Einstellungen für folgende virtuelle Verzeichnisse an:

    • APIremoting30
    • ClientWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService

    Da sich nicht mehrere davon auf einmal konfigurieren lassen, markiert man jeweils eines der Verzeichnisse und klickt dann doppelt auf das Icon SSL-Einstellungen. Dort aktiviert man die Option SSL erforderlich und belässt Clientzertifikate auf Ignorieren.

    SSL-Verbindung für mehrere virtuelle Verzeichnisse von WSUS erzwingen

    Wie erwähnt, werden auf diese Weise nur die Metadaten verschlüsselt. Erzwingt man die SSL-Kommuni­kation auch für andere virtuelle Verzeichnisse wie etwa Content oder Inventory, dann können Clients keine Updates mehr beziehen.

    Zum Abschluss der Konfiguration des Servers wechselt man dort in das Verzeichnis

    %ProgramFiles%\Update Services\Tools\

    und gibt einen Befehl nach folgendem Muster ein:

    wsusutil.exe configuressl FQDN-des-Servers

    also zum Beispiel

    wsusutil.exe configuressl wsus.contoso.de

    SSL mit wsusutil auf dem Server konfigurieren

    Verbindung testen

    Nun sollte nach einem eventuell not­wendigen Neustart eine HTTPS-Verbindung zum WSUS-Server möglich sein. Ob diese funktioniert, kann man etwa testen, indem man einen Web-Browser öffnet und eine URL nach diesem Vorbild eingibt:

    https://wsus.contoso.de:8531/selfupdate/wuident.cab

    Falls man einen anderen Port konfiguriert hat, muss man diesen hier natürlich entsprechend anpassen. Bietet der Browser den Download der Datei wuident.cab an, dann war der Verbindungs­test erfolg­reich.

    GPO für Clients aktualisieren

    PCs, die Mitglied in einer Domäne sind und die ihre Updates über die WSUS beziehen sollen, wird man in den meisten Fällen den gewünschten Update-Server über Gruppenrichtlinien zuordnen (siehe dazu: Clients für WSUS konfigurieren, Computer zu Gruppen hinzufügen). Falls die entsprechenden GPOs bereits existieren, dann muss man dort http auf https ändern und die Portnummer anpassen.

    Clients im GPO auf HTTPS-Verbindung verweisen

    Nach der Aktualisierung der GPOs mittels gpupdate oder dem Neustart der Client-Rechner sollten diese in der Lage sein, den zuständigen WSUS-Server über HTTPS zu kontaktieren.

    Setzt man mehrere miteinander verbundene WSUS-Server ein, dann muss man den Downstream-Servern ebenfalls mitteilen, dass sie den über­geordneten Server nun über eine SSL-Verbindung ansprechen sollen.

    Downstream-Server für SSL-Verbindung zu root-Server konfigurieren

    Dies kann man in der WSUS-Konsole unter Optionen => Updatequelle und Proxyserver tun. Dort passt man die Port-Nummer an und aktiviert die Option SSL beim Synchronisieren der Update­infor­mationen verwenden.

    WSUS-Konsole konfigurieren

    Betreibt man bereits einen WSUS-Server ohne SSL-Konfiguration, dann wird die MMC-Konsole nach Abschluss der oben beschriebenen Arbeiten den Kontakt zum Server verlieren. Denn sie wurde ja für eine HTTP-Verbindung konfiguriert.

    WSUS-Server aus der Konsole entfernen und neu hinzufügen

    Hier behilft man sich dadurch, dass man aus dem Kontextmenü des Servers den Befehl Aus Konsole entfernen ausführt und ihn nachher wieder neu hinzufügt. Bei dieser Gelegenheit kann man dann gleich die HTTPS-Verbindung angeben.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Martin Feuerstein (Besucher) sagt:
    10. Juni 2019 - 22:10

    Falls man mit dem ggf. abweichendem SSL-Hostnamen PowerShell-Skripts z. B. zur WSUS-Bereinigung, ausführen will, schlagen diese Fehler (HTTP Status 401), wenn diese auf dem Server selbst gestartet werden.
    Ursache ist, dass der Server von localhost nicht über einen anderen Namen angesprochen werden möchte.
    Abhilfe: DisableStrictNameChecking auf 1 setzen und in BackConnectionHostNames den angesprochenen Hostnamen setzen.

    Gefunden hier: https://support.solarwinds.com/SuccessCenter/s/article/HTTP-Status-401-e... (ist aber nicht neu, betraf schon unter SBS 2003 die Sharepoint-Dienste)