Um einen WSUS-Server von HTTP auf HTTPS-Kommunikation umzustellen braucht es nur ein paar Schritte.
Starten Sie den Server-Manager
Dort aus den Tools den IIS-Manager:
1 Generieren des Server-Zertifikates
Wählen Sie auf den linken Seite den Server aus. Dann machen Sie einen Doppelklick auf die Serverzertifikate
Normalerweise erhalten Sie nun eine leere Liste.
Ganz rechts im Aktionen-Feld wählen Sie nun "Domänenzertifikat erstellen..."
Dies gilt nur wenn Sie eine eigene PKI betreiben! Ansonsten bitte entsprechend ein "Selbstsigniertes Zertifikat" erstellen oder eine offizielle "Zertifikatsanforderung erstellen..."
Hinweis: ein selbsterstelltes Zertifikat müssen Sie z.B. via GPO an die WSUS-Clients ausbringen!
Füllen Sie die Felder entsprechend aus. Achten Sie darauf, dass der "Gemeinsame Name" dem Name ihres Servers entspricht.
Wählen Sie im nächsten Schritt ihre Zertifizierungsstelle und vergeben Sie einen beliebigen Anzeigename des Zertifikats:
Nach dem Abschließen des Assistenten sollte das Zertifikat angezeigt werden:
2 Binden des Zertifikates an den Web-Server
Klappen Sie auf der linken Seite den Server auf, markieren Sie die WSUS-Verwaltung und klicken Sie im rechten Aktionen-Feld auf die "Bindungen..."
Markieren Sie den "https"-Eintrag, klicken Sie auf "Bearbeiten..."
Im folgenden Dialog wählen Sie das soeben erstellte SSL-Zertifikat aus der Drop-Down-Liste und bestätigen Sie mit "Ok" und mit "Schließen".
3 Erzwingen der SSL-Verschlüsselung für die virtuellen Verzeichnisse
Wiederholen Sie die Schritte dieses Abschnitts für alle folgenden virtuellen Verzeichnisse:
- ApiRemoting30
- ClientWebService
- DSSAuthWebService
- ServerSyncWebService
- SimpleAuthWebService
Markieren Sie im linken Teil das entsprechende Verzeichnis und doppelklicken Sie im Hauptfenster auf die "SSL-Einstellungen":
Aktivieren Sie den Haken "SSL erforderlich". Lassen Sie die Clientzertifikate auf "Ignorieren" und klicken Sie rechts auf "Übernehmen":
Wiederholen Sie diese Schritte für die anderen vier oben genannten virtuellen Verzeichnisse.
4 WSUS mittels Tools umstellen
Starten Sie bitte eine administrative Eingabeaufforderung:
+
Geben Sie folgende Befehle ein: (wobei Sie selbstverständlich myserver.mydomain.local durch den FQDN Ihres Servers ersetzen)
cd “c:\Program Files\Update Services\Tools”
WSUSUtil.exe configuressl myserver.mydomain.local
Starten Sie den WSUS-Server nun neu.
Nach dem Start sollte die WSUS-Konsole in der Übersicht bei "Verbindung" als Typ "Lokal/SSL" anzeigen
5 Gruppenrichtlinien anpassen
Passen Sie zuletzt die Gruppenrichtlinien Ihrer Domäne ensprechend an:
Sie finden den zugehörigen Eintrag unter Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update
Hier die Werte im Eintrag "Internen Pfad für den Microsoft Updatedienst angeben" sowohl für den Updatedienst als auch für den Statistikserver auf https://myserver.mydomain.local:8531
setzen
Wenn Sie nun an einer Testmaschine den Befehl gpupdate /force
ausführen und neu starten, sollte in der Datei C:\Windows\WindowsUpdate.log der neue Server zu sehen sein.