Um einen WSUS-Server von HTTP auf HTTPS-Kommunikation umzustellen braucht es nur ein paar Schritte.

 Starten Sie den Server-Manager

01 Servermanager

Dort aus den Tools den IIS-Manager:

02 Tools IIS

1 Generieren des Server-Zertifikates

Wählen Sie auf den linken Seite den Server aus. Dann machen Sie einen Doppelklick auf die Serverzertifikate

03 Serverzertifikate

Normalerweise erhalten Sie nun eine leere Liste.

Ganz rechts im Aktionen-Feld wählen Sie nun "Domänenzertifikat erstellen..."

Dies gilt nur wenn Sie eine eigene PKI betreiben! Ansonsten bitte entsprechend ein "Selbstsigniertes Zertifikat" erstellen oder eine offizielle "Zertifikatsanforderung erstellen..."

Hinweis: ein selbsterstelltes Zertifikat müssen Sie z.B. via GPO an die WSUS-Clients ausbringen!

04 Aktionen Domzert

Füllen Sie die Felder entsprechend aus. Achten Sie darauf, dass der "Gemeinsame Name" dem Name ihres Servers entspricht.

05 Zert Assistent

Wählen Sie im nächsten Schritt ihre Zertifizierungsstelle und vergeben Sie einen beliebigen Anzeigename des Zertifikats:

06 Zertifizierungsstelle

Nach dem Abschließen des Assistenten sollte das Zertifikat angezeigt werden:

07 Zert ausgestellt

2 Binden des Zertifikates an den Web-Server

Klappen Sie auf der linken Seite den Server auf, markieren Sie die WSUS-Verwaltung und klicken Sie im rechten Aktionen-Feld auf die "Bindungen..."

08 Verwaltung Bindungen

Markieren Sie den "https"-Eintrag, klicken Sie auf "Bearbeiten..."

Im folgenden Dialog wählen Sie das soeben erstellte SSL-Zertifikat aus der Drop-Down-Liste und bestätigen Sie mit "Ok" und mit "Schließen".

09 Zertifikat angeben

3 Erzwingen der SSL-Verschlüsselung für die virtuellen Verzeichnisse

Wiederholen Sie die Schritte dieses Abschnitts für alle folgenden virtuellen Verzeichnisse:

  • ApiRemoting30
  • ClientWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService

Markieren Sie im linken Teil das entsprechende Verzeichnis und doppelklicken Sie im Hauptfenster auf die "SSL-Einstellungen":

10 Api Remoting

Aktivieren Sie den Haken "SSL erforderlich". Lassen Sie die Clientzertifikate auf "Ignorieren" und klicken Sie rechts auf "Übernehmen":

11 SSL Einstellungen

Wiederholen Sie diese Schritte für die anderen vier oben genannten virtuellen Verzeichnisse.

4 WSUS mittels Tools umstellen

Starten Sie bitte eine administrative Eingabeaufforderung:

12 admincmd+

Geben Sie folgende Befehle ein: (wobei Sie selbstverständlich myserver.mydomain.local durch den FQDN Ihres Servers ersetzen)

cd “c:\Program Files\Update Services\Tools”
WSUSUtil.exe configuressl myserver.mydomain.local

Starten Sie den WSUS-Server nun neu.

Nach dem Start sollte die WSUS-Konsole in der Übersicht bei "Verbindung" als Typ "Lokal/SSL" anzeigen

5 Gruppenrichtlinien anpassen

Passen Sie zuletzt die Gruppenrichtlinien Ihrer Domäne ensprechend an:

Sie finden den zugehörigen Eintrag unter Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update

Hier die Werte im Eintrag "Internen Pfad für den Microsoft Updatedienst angeben" sowohl für den Updatedienst als auch für den Statistikserver auf https://myserver.mydomain.local:8531 setzen

Wenn Sie nun an einer Testmaschine den Befehl gpupdate /force ausführen und neu starten, sollte in der Datei C:\Windows\WindowsUpdate.log der neue Server zu sehen sein.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok