Sicherheit wird heute groß geschrieben, weshalb dann nicht innerhalb des eigenen LAN so viel wie möglich verschlüsseln? Fangen wir bei der Kommunikation zwischen dem WSUS und den Clients/Servern an.
Ausgangsposition ist ein WSUS 3.0 SP2 Vers. 6.2.9200.16384 (Juni 2013) installiert auf einem Windows Server 2012, der gleichzeitig auch Domain Controller (DC) ist.
Auf einem Windows Server 2012 wird der WSUS ungefragt und ohne Änderungsmöglichkeiten auf Port 8530 installiert. Jetzt müssen wir nur noch die Kommunikation verschlüsseln, dafür wird der Port 8531 benutzt.
Hierzu wird eine eigene Zertifizierungsstelle (CA) benötigt. Eine CA ist schnell installiert. Die nötigen Installationsschritte werden hier beschrieben:
Abbildung 1
Active Directory-Zertifikatdienste in den Rollen auswählen und die Verwaltungstools natürlich gleich mit installieren.
Abbildung 2
Weitere Features werden nicht benötigt.
Abbildung 3
Zusätzlich muss “Zertifizierungsstellen-Webregistrierung“ mit ausgewählt werden. Natürlich auch die Verwaltungstools hinzufügen.
Abbildung 4
Abbildung 5
Ein letztes Mal prüfen.
Abbildung 6
Die Installation war erfolgreich.
Abbildung 7
Es sind Nachinstallationen erforderlich.
Abbildung 8
Es beginnt die Phase der CA-Konfiguration.
Abbildung 9
Abbildung 10
Es wird eine Unternehmenszertifizierungsstelle.
Abbildung 11
In diesem Fall wird eine Stammzertifizierungsstelle ausgewählt.
Abbildung 12
Einen neuen privaten Schlüssel erstellen.
Abbildung 13
Die Schlüssellänge auf 4096 erhöhen. Der Rest ist Standard.
Abbildung 14
Den Namen der CA kann jeder anpassen wie er möchte. Hier bleibt alles beim vorgegebenen Standard.
Abbildung 15
Die Gültigkeit des Zertifikats auf 30 Jahre ändern.
Abbildung 16
Diese Einstellungen am besten beim Standard belassen.
Bei einer SYSTEMSTATE-Sicherung wird die CA ebenfalls mitgesichert.
In diesem Artikel enthält weitere Information zu diesem Thema: http://blogs.technet.com/b/pki/archive/2013/03/22/windows-server-2012-active-directory-certificate-services-system-state-backup-and-restore.aspx
Abbildung 17
Erneute letzte Kontrolle und auf Konfigurieren klicken.
Abbildung 18
Die Installation ist erfolgreich abgeschlossen.
Abbildung 19
Jetzt kann der WSUS Kommunikation ‘verschlüsselt‘ werden.
Dazu wird der Internetinformationsdienste Manager (IIS) gestartet.
Auf der linken Seite den Server auswählen und rechts Serverzertifikate mit Doppelklick öffnen.
Abbildung 20
Ganz Rechts im Aktionsbereich “Domänenzertifikat erstellen“ auswählen.
Abbildung 21
Bei Gemeinsamer Name muss der Name des Servers eingetragen werden.
Die weiteren Felder können nach eigenen Wünschen gefüllt werden.
Abbildung 22
Über Auswählen die eigene CA hinzufügen und dem Zertifikat einen passenden Namen geben.
Abbildung 23
Das Zertifikat wurde erfolgreich erstellt.
Abbildung 24
Erscheint die folgende Fehlermeldung, hilft es den Dienst CertSvc (Active Directory-Zertifikatdienste) neu zu starten.
Die Anforderung 4 wurde abgelehnt, da Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613). Die Anforderung war für CN=W2012, OU=IT, O=Contoso.com, L=München, S=Bayern, C=DE. Weitere Informationen: Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats
Ganz links die Sites erweitern und die WSUS-Verwaltung wählen. Auf der rechten Seite im Aktionsbereich die Bindungen für die WSUS-Verwaltung auswählen.
Abbildung 25
Hier das soeben erstellte Zertifikat auswählen. Wer möchte, kann es sich auch nochmal anzeigen lassen.
Abbildung 26
Jetzt muss auf diesen Virtuellen Seiten noch die SSL-Verschlüsselung aktiviert werden.
ApiRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService
Abbildung 27
Mit einem Doppelklick auf die jeweilige Seite wechseln. Die SSL-Einstellungen auf der Startseite öffnen und SSL erforderlich aktivieren. Der Rest kann so bleiben. Rechts im Aktionsbereich auf Übernehmen klicken. Für jede der o.g. Seiten muss dies Konfiguration wiederholt werden.
Abbildung 28
Ab sofort kann nur noch über SSL (Port 8531) eine Verbindung zum WSUS aufgebaut werden.
Deshalb muss auch der Port in der WSUS.MSC geändert werden.
Über Port 8530 kann keine Verbindung mehr zum WSUS aufgebaut werden!
Abbildung 29
Zuvor muss der WSUS noch wissen, dass er nur noch über SSL zu erreichen ist. Dazu benötigen wir das Tool WSUSUtil.exe, das liegt im Programm-Ordner vom WSUS: C:\Program Files\Update Services\Tools. Eine administrative Commandline starten und folgenden Befehl absetzen: WSUSUtil.exe ConfigureSSL <Name des Zertifikat>.
Nachzulesen im Technet Artikel Secure WSUS 3.0 SP2 Deployment.
Wichtiger Auszug aus dem Artikel:
Where certificateName is the DNS name of the WSUS server. For example, if clients will connect to https://myWSUSServer, then certificateName should be myWSUSServer. If clients will connect to https://myWSUSServer.myDomain.com, then certificateName should be myWSUSServer.myDomain.com.
Der exakte Befehl für das hier beschriebene HowTo: WSUSUtil.exe ConfigureSSL W2012 [ENTER]
Es wird nach Eingabe des Befehls auch gleich die neue URL für die Gruppenrichtlinie angezeigt.
Abbildung 30
In der WSUS.MSC einen Rechtsklick auf den Servernamen, aus Konsole entfernen auswählen und gleich wieder neu hinzufügen. Diesmal den Haken setzen bei ‚Verbindung mit diesem Server über SSL herstellen‘ und auf Verbinden klicken.
Abbildung 31
In der WSUS.MSC wird nun auch angezeigt, dass die Verbindung über Port 8531 mit SSL aufgebaut wurde.
Abbildung 32
Achtung!
Die neue veränderte URL muss natürlich noch in die Gruppenrichtlinie eingetragen werden.
Ist das erledigt, wurde ein weiterer Teil zur Sicherheit beigetragen.
Da Clients und Server alle ~90 Minuten (+-30 Minuten) die Gruppenrichtlinien aktualisieren, sollte innerhalb kürzester Zeit die Veränderung auf allen Clients/Servern angekommen sein.
Winfried Sonntag