首页业界动态基础网络服务高级网络服务网络技术相关下载 登录论坛 @联系我们
WinSVR.ORG > 信息 > 基础网络服务 > WSUS > WSUS全攻略之五 :部署WSUS使用SSL
现在时间是: 2017-12-14 06:43
WSUS全攻略之五 :部署WSUS使用SSL

(2006-01-20 13:47)

WSUS全攻略之五 :部署WSUS使用SSL

 

WSUS服务器允许客户端计算机或下游WSUS服务器通过SSL进行身份验证,或者通过SSL加密它们之间更新元数据的通讯。注意只是加密更新元数据,WSUS服务器并不会加密更新文件。同步期间,客户端计算机或者下游WSUS服务器将元数据和更新文件通过不同的服务端口从上游WSUS服务器进行同步,这也是Microsoft Update补丁分发的方式。

我们在部署与规划一文中已经提到过,每一个完成的更新程序包含两部分:元数据更新文件。元数据只是提供有关更新的信息,体积往往远小于更新文件,微软只是对元数据的通讯进行加密;但是,微软通过对于每一个更新文件进行散列值计算,并将此散列值跟随元数据通讯一起进行加密传输,从而确保所下载的更新文件的完整性。

在部署WSUS使用SSL时,你需要考虑以下两点:

  • 部署SSL会增加WSUS服务器的工作负荷。在WSUS服务器上部署SSL时,会导致WSUS服务器大概10%的性能损耗,在你部署和规划WSUS服务器时必须预先考虑这一点;

  • 如果你使用远程SQL数据库服务器存放WSUS的数据库,WSUS服务器和SQL数据库服务器之间的通讯并不会进行加密。WSUS服务器只会加密和客户端计算机或下游WSUS服务器之间的元数据通讯;如果需要对WSUS服务器和SQL数据库服务器之间的通讯进行加密时,你需要采用额外的方式,例如部署IPSec安全策略。

 

部署WSUS服务器使用SSL的过程非常简单,你只需要在WSUS服务器上安装证书并配置IIS要求进行加密通信,然后将客户端计算机和下游WSUS服务器配置为信任此WSUS服务器的服务器证书并访问WSUS服务器的SSL服务即可。但是部署WSUS服务器使用SSL时,WSUS服务器需要两个端口来提供服务:一个端口用于提供加密元数据的HTTPS服务;一个端口用于提供未加密的更新文件下载的HTTP服务。当你在IIS中配置使用证书时,请一定要记住以下四点:

1、不能将整个WSUS Web站点都设置为需要SSL。这意味着和WSUS Web站点的所有通讯都会进行加密,但是WSUS只会加密元数据通讯,这样当客户端计算机或者下游WSUS服务器试图向WSUS服务器下载更新文件时,由于没有用于提供HTTP下载服务的端口,下载将失败;

2、为了确保WSUS Web站点的安全,你需要对以下虚拟目录配置为要求SSL连接:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • WSUSAdmin(此虚拟目录用于访问WSUS管理控制台,对此虚拟目录要求SSL后,你需要修改WSUS管理控制台的链接使用SSL连接);

  • ClientWebService

但是为了让WSUS正常工作,你不能对以下虚拟目录要求SSL连接:

  • Content

  • ReportingWebService

  • SelfUpdate

3、你可以配置IIS在任意端口上使用SSL,但是,HTTP通讯的端口是根据你的SSL端口来进行设置的:

  • 如果配置SSL使用标准SSL端口TCP 443,则WSUS会自动配置HTTP通讯使用标准HTTP服务端口TCP 80。建议你总是使用标准的SSL端口

  • 如果配置SSL使用其他任意端口,则WSUS会将此SSL端口前的那个端口用于HTTP通讯,这是不可配置的。例如,如果将端口8531用于SSL通讯,则WSUS会将8530 用于HTTP。

4、在配置WSUS服务器采用SSL连接之后,你需要告知客户端计算机或者下游WSUS服务器使用SSL连接和此WSUS服务器进行通讯。对于客户端计算机的告知是通过修改应用到客户端计算机的组策略中的Intranet更新服务位置来实现;而对于下游WSUS服务器的告知,则是通过修改其同步选项来实现。另外,你需要考虑以下重要事项:

  • 在告知客户端计算机或下游WSUS服务器时,你必须正确提供访问此WSUS服务器的SSL端口的URL地址。如果使用非标准的SSL端口,则必须在URL中包括该端口。例如,使用非标准的SSL端口8531时,你提供给客户端计算机或下游WSUS服务器的URL地址为 https://wsus-ssl-servername:8531;而使用标准的SSL端口443时,你提供的URL地址则为https://wsus-ssl-servername;

  • 对于客户端计算机,你必须将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中;对于下游WSUS服务器,则是导入本地计算机的受信任根CA存储或Windows Server Update Service的受信任根CA存储中。

  • 客户端计算机或下游WSUS服务器必须信任WSUS服务器在IIS中绑定到WSUS Web站点的证书。



作者:风间子
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:WSUS全攻略之四 :链式WSUS部署
下一篇:WSUS全攻略之六 :使用命令行工具管理WSUS服务器
相关信息:

WSUS全攻略之六 :使用命令行工具管理WSUS服务器
微软大中华区安全组文章合集 - 帮你搞定 WSUS
WSUS全攻略之四 :链式WSUS部署
WSUS全攻略之二 :安装WSUS
WSUS全攻略之一:部署与规划

热点信息 TOP 10
WSUS全攻略之一:部署与规划
WSUS全攻略之三:WSUS操作指南
WSUS全攻略之二 :安装WSUS
WSUS全攻略之六 :使用命令行工具管理WSUS服务器
WSUS全攻略之五 :部署WSUS使用SSL
[公告] WSUS 3.0 SP1 正式发布
WSUS全攻略之四 :链式WSUS部署
[公告] WSUS 3.0 SP2 正式发布
微软大中华区安全组文章合集 - 帮你搞定 WSUS

搜索 SEARCH
关键字:
包含:
搜索于:

Powered by: WinSVR.ORG
Copyright © 2006-2017 WinSVR.ORG, All Rights Reserved.