我正在尝试部署 WSUS4。我正在尝试做正确的事情并使用服务器核心。
问题是我无法启用 SSL。
使用 IIS 远程管理器时没有“服务器证书”按钮。
我在某处读到我可以使用 certutil 来导入证书。
问题是:我无法生成 .pfx 文件。“导出私钥”显示为灰色。
有什么想法可以做到这一点吗?
答案1
你走在正确的道路上。你必须使用证书实用程序创建证书,然后您将在编辑绑定窗口的 IIS 管理下拉菜单中看到它。
无需导入私钥,而是使用证书实用程序生成私钥并将其保存在Windows证书存储区中,然后将其与颁发的证书进行匹配。
要做到这一点,一个痛点就是创建请求信息文件。以下是在 Windows Server 2012 R2 Core 上为 WSUS 工作的示例。使用您的服务器名称填写 FQDN。
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=FQDN"
Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
RequestType = PKCS10
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[Extensions]
[RequestAttributes]
CertificateTemplate = Machine
在核心服务器的命令提示符下,在文件夹中请求信息是,运行:
certreq -new request.inf machine.req
然后,提交机器请求文件上传到您的 CA。如果您有 Windows Enterprise CA,则可以使用以下命令执行此操作:
certutil -submit -adminforcemachine machine.req machine.cer
当您获得证书(来自企业 CA 或第三方)时,将其导入证书存储区。
certreq -accept machine.cer
然后,进入管理工作站上的 IIS 管理器,连接到 WSUS 服务器,并绑定WSUS 管理站点到您的证书。
然后,您可以为以下项启用“需要 SSL”:
- APIRemoting30
- 客户端Web服务
- 授权Web服务
- 服务器同步Web服务
- 简单认证Web服务
不要对任何其他虚拟文件夹执行此操作。
根据文档,您应该在 WSUS 服务器上运行它:
"C:\Program Files\Update Services\Tools\wsusutil" configuressl <certificate>
但我不确定这是否有必要。
希望这可以帮助!
杰弗里·福克斯