Die Kommunikation zwischen WSUS und Clients verschlüsseln

Sicherheit wird heute groß geschrieben, weshalb dann nicht innerhalb des eigenen LAN so viel wie möglich verschlüsseln? Fangen wir bei der Kommunikation zwischen dem WSUS und den Clients/Servern an.
Ausgangsposition ist ein WSUS 3.0 SP2 Vers. 6.2.9200.16384 (Juni 2013) installiert auf einem Windows Server 2012, der gleichzeitig auch Domain Controller (DC) ist.

Auf einem Windows Server 2012 wird der WSUS ungefragt und ohne Änderungsmöglichkeiten auf Port 8530 installiert. Jetzt müssen wir nur noch die Kommunikation verschlüsseln, dafür wird der Port 8531 benutzt.

Hierzu wird eine eigene Zertifizierungsstelle (CA) benötigt. Eine CA ist schnell installiert. Die nötigen Installationsschritte  werden hier beschrieben:

Abbildung 1

Active Directory-Zertifikatdienste in den Rollen auswählen und die Verwaltungstools natürlich gleich mit installieren.

Abbildung 2

Weitere Features werden nicht benötigt.

Abbildung 3

Zusätzlich muss “Zertifizierungsstellen-Webregistrierung“ mit ausgewählt werden. Natürlich auch die Verwaltungstools hinzufügen.

Abbildung 4

Abbildung 5

Ein letztes Mal prüfen.

Abbildung 6

Die Installation war erfolgreich.

Abbildung 7

Es sind Nachinstallationen erforderlich.

Abbildung 8

Es beginnt die Phase der CA-Konfiguration.

Abbildung 9

Abbildung 10

Es wird eine Unternehmenszertifizierungsstelle.

Abbildung 11

In diesem Fall wird eine Stammzertifizierungsstelle ausgewählt.

Abbildung 12

Einen neuen privaten Schlüssel erstellen.

Abbildung 13

Die Schlüssellänge auf 4096 erhöhen. Der Rest ist Standard.

Abbildung 14

Den Namen der CA kann jeder anpassen wie er möchte. Hier bleibt alles beim vorgegebenen Standard.

Abbildung 15

Die Gültigkeit des Zertifikats auf 30 Jahre ändern.

Abbildung 16

Diese Einstellungen am besten beim Standard belassen.
Bei einer SYSTEMSTATE-Sicherung wird die CA ebenfalls mitgesichert.

In diesem Artikel enthält weitere Information zu diesem Thema: http://blogs.technet.com/b/pki/archive/2013/03/22/windows-server-2012-active-directory-certificate-services-system-state-backup-and-restore.aspx

Abbildung 17

Erneute letzte Kontrolle und auf Konfigurieren klicken.

Abbildung 18

Die Installation ist erfolgreich abgeschlossen.

Abbildung 19

Jetzt kann der WSUS Kommunikation ‘verschlüsselt‘ werden. Dazu wird der Internetinformationsdienste Manager (IIS) gestartet. Auf der linken Seite den Server auswählen und rechts Serverzertifikate mit Doppelklick öffnen.

Abbildung 20

Ganz Rechts im Aktionsbereich “Domänenzertifikat erstellen“ auswählen.

Abbildung 21

Bei Gemeinsamer Name muss der Name des Servers eingetragen werden.
Die weiteren Felder können nach eigenen Wünschen gefüllt werden.

Abbildung 22

Über Auswählen die eigene CA hinzufügen und dem Zertifikat einen passenden Namen geben.

Abbildung 23

Das Zertifikat wurde erfolgreich erstellt.

Abbildung 24

Erscheint die folgende Fehlermeldung, hilft es den Dienst CertSvc (Active Directory-Zertifikatdienste) neu zu starten.

Die Anforderung 4 wurde abgelehnt, da Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613). Die Anforderung war für CN=W2012, OU=IT, O=Contoso.com, L=München, S=Bayern, C=DE. Weitere Informationen: Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats

Ganz links die Sites erweitern und die WSUS-Verwaltung wählen. Auf der rechten Seite im Aktionsbereich die Bindungen für die WSUS-Verwaltung auswählen.

Abbildung 25

Hier das soeben erstellte Zertifikat auswählen. Wer möchte, kann es sich auch nochmal anzeigen lassen.

Abbildung 26

Jetzt muss auf diesen Virtuellen Seiten noch die SSL-Verschlüsselung aktiviert werden.

• ApiRemoting30
• ClientWebService
• DSSAuthWebService
• ServerSyncWebService
• SimpleAuthWebService

Abbildung 27

Mit einem Doppelklick auf die jeweilige Seite wechseln. Die SSL-Einstellungen auf der Startseite öffnen und SSL erforderlich aktivieren. Der Rest kann so bleiben. Rechts im Aktionsbereich auf Übernehmen klicken. Für jede der o.g. Seiten muss dies Konfiguration wiederholt werden.

Abbildung 28

Ab sofort kann nur noch über SSL (Port 8531) eine Verbindung zum WSUS aufgebaut werden.
Deshalb muss auch der Port in der WSUS.MSC geändert werden.
Über Port 8530 kann keine Verbindung mehr zum WSUS aufgebaut werden!

Abbildung 29

Zuvor muss der WSUS noch wissen, dass er nur noch über SSL zu erreichen ist. Dazu benötigen wir das Tool WSUSUtil.exe, das liegt im Programm-Ordner vom WSUS: C:\Program Files\Update Services\Tools. Eine administrative Commandline starten und folgenden Befehl absetzen: WSUSUtil.exe ConfigureSSL <Name des Zertifikat>.
Nachzulesen im Technet Artikel Secure WSUS 3.0 SP2 Deployment.

Wichtiger Auszug aus dem Artikel:
Where certificateName is the DNS name of the WSUS server. For example, if clients will connect to https://myWSUSServer, then certificateName should be myWSUSServer. If clients will connect to https://myWSUSServer.myDomain.com, then certificateName should be myWSUSServer.myDomain.com.

Der exakte Befehl für das hier beschriebene HowTo: WSUSUtil.exe ConfigureSSL W2012 [ENTER]

Es wird nach Eingabe des Befehls auch gleich die neue URL für die Gruppenrichtlinie angezeigt.

Abbildung 30

In der WSUS.MSC einen Rechtsklick auf den Servernamen, aus Konsole entfernen auswählen und gleich wieder neu hinzufügen. Diesmal  den Haken setzen bei ‚Verbindung mit diesem Server über SSL herstellen‘ und auf Verbinden klicken.

Abbildung 31

In der WSUS.MSC wird nun auch angezeigt, dass die Verbindung über Port 8531 mit SSL aufgebaut wurde.

Abbildung 32

Achtung!
Die neue veränderte URL muss natürlich noch in die Gruppenrichtlinie eingetragen werden.
Ist das erledigt, wurde ein weiterer Teil zur Sicherheit beigetragen.

Da Clients und Server alle ca. 90 Minuten (+-30 Minuten) die Gruppenrichtlinien aktualisieren, sollte innerhalb kurzer Zeit die Veränderung auf allen Clients/Servern angekommen sein.