为System Center Update Publisher 2011部署数字证书示例

英文原文https://blogs.technet.com/b/jasonlewis/archive/2011/07/12/system-center-updates-publisher-signing-certificate-requirements-amp-step-by-step-guide.aspx

System Center Update Publisher 2011是一个可以通过System Center Configuration Manager 部署第三方软件补丁的程序: https://technet.microsoft.com/en-us/systemcenter/bb741049

为了发布软件补丁到WSUS服务器并部署软件补丁到客户端,你需要为System Center Update Publisher 2011生成一个数字证书。您可以通过System Center Update Publisher 2011界面生成一个self-signed(自签署)的数字证书,或用你已有的公钥基础设施生成数字证书。

System Center Update Publisher 2011要求数字证书满足以下要求:

1. 允许私钥被倒出

2. 有数字签名功能

3. 密钥长度为2048或更长

本文将一步一步演示如何使用Windows Server 2008 R2 certification authority (CA) 和Group Policy(组策略)为System Center Update Publisher 2011生成并部署数字证书

第一步: 在Certification Authority上创建和签发签名证书模板

  1. 在运行Certification Authority的机器上, 点击 开始 , 管理工具, Certification Authority
  2. 展开Certification Authority (CA)的名字, 选中 证书模板
  3. 右键单击 证书模板 , 然后点击 管理 打开证书模板控制台。
  4. 在结果窗格中, 右键单击在 模板显示名称 列显示 代码签名 的条目, 然后单击 复制模板 。 选择 “Windows Server 2003, Enterprise Edition(2)” 选框然后单击 确定

clip_image002[4]

  1. 新模板的属性 对话框, 常规 选项卡, 为站点服务器模板输入模板显示名称, 例如SCUPCodeSigning

clip_image004[4]

6. 单击 请求处理 选项卡, 启用 允许到处私钥

clip_image006[4]

7. 单击 使用者名称 选项卡, 选择 Active Directory 中的信息生成

clip_image008[4]

8. 单击 扩展 选项卡, 确保 密钥用法 包括 数字签名

clip_image010[4]

9. 单击 安全 选项卡, 选中Authenticated Users 授予它 读取注册 权限。

clip_image012[4]

10. 其他保留默认值。单击 确定 然后关掉 证书模板控制台。

11. 在 Certification Authority控制台上右键单击 证书模板 , 单击 新建 ,然后单击 要颁发的证书模板。

12. 在 启用证书模板 对话框, 选择刚刚新建的模板, SCUPCodeSigning, 然后单击 确定

 

第二步: 获取签名证书

1. 再加入域的机器上, 开始搜索框, 输入 mmc.exe, 然后 回车

2. 在空的 控制台 上, 单击 文件 , 然后点击 添加 /删除管理单元

3. 在 添加或删除管理单元 对话框中, 从 可用的管理单元 中选择 证书 , 单击 添加。

4. 在 证书管理单元 对话框中, 选择 我的用户帐户 , 然后单击 完成

5. 在 添加或删除管理单元 对话框中, 单击 确定

6. 在控制台上展开 证书 - 当前用户 , 展开 个人 然后单击 证书

7. 右键单击 证书 , 然后单击 所有任务 单击 申请新证书

8. 跟从 证书注册 向导选择上面新建好的证书模板, 在 属性 里面设置一个友好名称然后单击 注册 :

clip_image014[4]

9. 注册成功后, 你可以在 证书 - 当前用户 -> 个人 -> 证书 下面找到该证书。

10. 右键单击该证书然后点击 所有任务 -> 导出 。 跟随证书导出向导为第三步导出不要私钥的证书存为 scup.cer。

11. 再次导出证书, 这次在 证书导出向导 的第二页选择 是,导出私钥 , 存为 SCUPCodeSign.pfx。

clip_image016[4]

第三步: 通过组策略分发签名证书到WSUS/ConfigMgr客户端

1. 在域控制器上, 单击 开始 , 单击 管理工具 , 然后点击 组策略管理

2. 展开到你所在的域, 右键单击这个域然后选择 在这个域中创建 GPO并在此处链接

注意: 此步骤创建一个新的组策略来自定义设置相对于编辑Active Directory域服务安装的默认域策略是更好的做法。通过在域级别分发这个组策略, 该组策略将应用于域中的所有计算机。 然而, 在生产环境中, 你可以通过在组织单位级别分发组策略来限制策略只应用到选中的计算机上。

3. 在 新建 GPO 对话框中为新建组策略对象输入名称, 例如 SCUP Signing Certificate, 然后点击确定

4. 在结果窗格中, 在 链接的组策略对象 选项卡, 右键单击新建的组策略, 然后单击 编辑

5. 在 组策略管理编辑器 , 展开 计算机配置 下面的 策略 然后展开到Windows 设置/ 安全设置/ 公钥策略/ 受信任的根证书颁发机构

6. 单击 操作 菜单, 然后点击 导入 。 跟随 证书导入向导 导入在第二步生成的scup.cer。

7. 在 组策略管理编辑器 中, 展开 计算机配置 下面的 策略 , 然后展开到 Windows 设置/ 安全设置/ 公钥策略/ 受信任的发行者

8. 单击 操作 菜单, 然后点击 导入 。 跟随 证书导入向导 导入在第二步生成的scup.cer。

9. 关闭 组策略管理

注意:

这里要导入 scup.cer, 不是SCUPCodeSign.pfx。 不要将包含私钥的数字证书发布到客户端。

您需要这个证书才能够成功地将软件补丁发布到WSUS服务器。 要想策略立刻在WSUS服务器上生效, 可以运行 “gpupdate /force /target:Computer” 。

 

第四步: 在System Center Update Publisher 2011中使用签名证书

1. 打开 System Center Update Publisher 2011 控制台。

2. 单击Menu icon 然后单击Options

3. 在System Center Updates Publisher Options 对话框中选择 Update Server

4. 单击Browse 然后选择 在第二步创建导出的SCUPCodeSign.pfx。 输入密码然后单击 确定

clip_image018[4]

5. 单击OK 保存并关闭System Center Updates Publisher Options对话框

 

现在您可以通过System Center Update Publisher 2011发布更新并使用System Center Configuration Manager部署更新给用户了。

注意: 以上范例使用的 证书模板 代码签名使用者类型用户 。 如果使用的证书模板的 使用者类型计算机 , 那么在第二步, 要用计算机帐户打开证书库来申请注册证书。其他步骤是相同的。

-- 吕敏芳,杜冬梅