我尝试按照 Microsoft 指南在我们的 WSUS 服务器上启用 SSL,但遇到了一些问题。看来我能够将 WSUS 服务器设置为使用 SSL 运行,因为 WSUS 控制台上的连接类型显示“本地/SSL”。
我的问题是,当我尝试在测试笔记本电脑上单击“检查更新”框时,它会自动出错,错误代码为 80072F8F。我做了很多研究,似乎一切都指向我的证书错误。我对证书没有深入的了解,所以下面是我到目前为止所做的:
1) 在 WSUS 服务器上,打开 IIS,创建域证书,但在尝试指定 CA 时,“选择”框显示为灰色。我最终手动输入了 CAname\servername
2)在 IIS 中设置绑定以在端口 8531 下使用新生成的证书
3) 根据文档要求,所有虚拟目录均需使用 SSL
4)运行 wsusutil.ext /configuressl(确认 https 已绑定到 fqdn:8531)
5) 配置 WSUS GPO 指向https://fqdn_of_wsus_server:8531
完成所有操作后,我重新启动了 WSUS 服务器并打开了 WSUS 控制台,但出现了连接错误。我打开了 MMC 控制台并添加了证书管理单元。出于某种原因,我的 CA 的根 CA 证书和我之前在 IIS 中创建的域证书位于中间 CA 存储中。我发现,当我将我的 CA 的根 CA 证书移动到我的受信任的根 CA 时,WSUS 控制台已加载。
回到我的测试笔记本电脑上,我运行了 gpupdate /force 并重新启动了机器。当我通过 wuauclt.ese /detectnow 或通过 Windows 更新 UI 触发签到时,我收到错误。检查了客户端计算机上的 WindowsUpdate.log,它基本上说它无法命中https://fqdn_of_wsus_server:8531/selfupdate/wuident.cab,但在客户端计算机上手动导航到该 URL 成功,并且我能够下载该 cab 文件。
我尝试将我的根 CA 证书放入客户端计算机受信任的根 CA 存储中,同时将我之前在 IIS 上生成的域证书保留在中间 CA 存储中,但这样做没有奏效。我确信我对 SSL 的内容完全搞混了。任何指点都将不胜感激,因为我已经在网上浏览了很多指南,它们都说了类似的事情,但我认为这是我的误解,所以如果有人可以为初学者稍微简化一下。
答案1
您没有提到您正在使用哪个服务器,但我假设您使用的是 2012 R2。
最近的更新(KB3159706)改变了 WSUS SSL 连接的建立方式,您需要手动编辑一些内容才能使其正常工作。
- 您需要安装 HTTP 激活服务器角色 (
.NET 4.5 -> WCF ->) - 您需要编辑该文件
C:\Program Files\Update Services\WebServices\ClientWebService\Web.config(需要取得该文件的所有权才能编辑它)。
需要在以下部分bindingConfiguration编辑2次:并添加到下面的行中,如下所示<endpoint address="">bindingConfiguration="SSL"multipleSiteBindingsEnabled="true"
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true">
- 重启服务器
对于想要在安装了上述 KB 的 Server 2012 上使用 WSUS 的 SSL 的每个人来说,这一切都是必需的。我花了 3 天时间研究才找到这个……很高兴认识微软!