我正在使用自签名证书在我们的 WSUS 服务器上设置 SSL,但遇到了麻烦。具体来说,在运行selfssl /n:CN=server.domain.local /t /v:365并确保需要客户端证书在以下目录中选择:
- 简单认证Web服务
- 服务器同步Web服务
- DSSS认证Web服务
- 客户端Web服务
- APIRemoting30
运行时我收到事件 120[2-5]2 wsusutil.exe checkhealth。基本上,我需要证书的每个目录都无法工作。我遗漏了什么?
答案1
“需要客户端证书”不是需要 SSL,而是需要客户拥有证书本身才能向服务器进行身份验证。然后,您需要 IIS 证书映射或 AD 证书映射,以便客户端能够成功进行身份验证。我猜这里的情况并非如此。
另外,使用自签名证书将要求该证书得到所有客户端的信任(即安装到受信任的根 CA 存储中)。
将其设置为需要 SSL,然后忽略客户端证书,一切都应该没问题。
答案2
不必担心这些健康检查。WSUS 基本上是“ping”自身,并且自我测试功能既不处理虚拟主机名 (wsus.server.domain.local) 上托管的 WSUS,也不处理 SSL 端口 (https://服务器.域名.local)。我已经让 WSUS 在仅 SSL 配置下运行了一年,没有出现任何问题;除了应用程序日志中的那些事件。
尝试为 WSUS 配置几个客户端并监控配置,如果遇到问题请告诉我。