Zertifikat für LUP importieren.

[codantos 0]

Hallo liebe Community, ich habe folgendes Anliegen und hoffe Ihr könnt mir dabei helfen.

 

Ist Zustand:

WinSrv2K3- Standard

WSUS

LUP für Updateverteilung von Drittanbietern (Adobe, Autodesk, Java, usw.) an die Gesamtstruktur.

Problem:

Das von LUP hergestellte Zertifikat hat NUR eine 512 Bit Verschlüsselung.

WSUS verarbeitet nur Daten mit einer Verschlüsselung von mindestens 1024 Bit, sodass die Updates, die WSUS von LUP empfängt nicht verteilt werden können.

Frage:

Hat jemand eine Idee wie ich ein Zertifikat mit 1024, oder sogar 2048 Bit Verschlüsselung für LUP importiere?

Für eine detaillierte Anleitung wäre ich sehr dankbar.

[NorbertFe 1.997]

Nimm WPP, der kann das und noch einiges mehr als der LUP.

https://wsuspackagepublisher.codeplex.com/

 

Bye

Norbert

[Sunny61 805]

Und auf wsus.de findest Du noch das ein oder andere hilfreiche HowTo zum Thema Local Update Publishing: http://www.wsus.de/lup Auch zum WPP ist etwas dabei.

[codantos 0]

Moin moin,

 

den WPP haben wir uns mal angeschaut, und den werden wir wohl alternativ nutzen. Leider haben wir mit dem das gleiche Problem. Er erstellt ein Zertifikat mit einer Verschlüsselungsstärke von nur 512Bit. Das wird kontinuierlich von all unseren Systemen abgelehnt. Wenn wir ein neues Zertifikat nach der Anleitung von WPP erstellen wollen, scheitert es bereits am Schritt 5. Dort wird uns Codesignatur in den Vorlagen des ADs nicht angezeigt. Wenn wir dennoch alle anzeigen lassen, sehen wir dass unsere Zertifizierungsstelle diese Art der Vorlage nicht unterstützt. Es ist ein Windows Server 2003 Standard. Benötigen wir für den Zweck Codesignatur die Enterprise/Datacenter - Edition?

[Sunny61 805]

Er erstellt ein Zertifikat mit einer Verschlüsselungsstärke von nur 512Bit. Das wird kontinuierlich von all unseren Systemen abgelehnt. Wenn wir ein neues Zertifikat nach der Anleitung von WPP erstellen wollen, scheitert es bereits am Schritt 5. Dort wird uns Codesignatur in den Vorlagen des ADs nicht angezeigt. Wenn wir dennoch alle anzeigen lassen, sehen wir dass unsere Zertifizierungsstelle diese Art der Vorlage nicht unterstützt. Es ist ein Windows Server 2003 Standard. Benötigen wir für den Zweck Codesignatur die Enterprise/Datacenter - Edition?

Wenn Du von deiner eigenen PKI ein Zertifikat dafür benötigst, muß es eine Enterprise Version von W2003 sein.

 

Kannst Du den WSUS nicht auf einen W2008R2 oder höher installieren? Dort dann auch den WPP installieren und das Zertifikat vom WPP ausrollen. Außerdem benötigst Du um das Zertifikat erfolgreich per GPO ausrollen zu können, sowieso die 'neue' GPMC. Ansonsten ist manuelles importieren des Zertifikates auf jeder Maschine in 2 Stores angesagt. Ja, es gibt eine EXE die man scripten kann, bei mir hat allerdings noch nie ein Import funktioniert.

[NorbertFe 1.997]

Wenn nur Zertifikate mit 512bit Verschlüsselung erzeugt werden, dann ist entweder der Server nicht aktuell gepatcht oder eure CA. ;)

 

Bye

Norbert

[codantos 0]

Hallo Sunny61,

 

 

Wenn Du von deiner eigenen PKI ein Zertifikat dafür benötigst, muss es eine Enterprise Version von W2003 sein.

 

 

Genau die Antwort hat uns gefehlt. Vielen Dank dafür.

 

Unser WSUS läuft auf einem Windows Server 2008 R2 Standard x64 und der WPP ebenfalls. Dort erhalten wir ebenfalls nur ein 512Bit verschlüsseltes Zertifikat. Nur die CA ist auf dem Windows Server 2003 Standard x86 installiert. Alle Windows-Updates sind aber nachgezogen worden. Habt Ihr evtl. noch eine Idee?

Vielen Dank im Voraus.
 

[Sunny61 805]

Welche genaue Version hat der WSUS auf dem W2008R2SP1? Lt. WSUS-FAQ No. 44 http://wsus.de/faq muß es die Vers. .262 sein. Unbedingt auf der Startseite vom WSUS nachlesen!

 

Wenn auch der W2008R2SP1 up2date ist, darf der WPP kein Zertifikat mehr mit 512Bit Verschlüsselung ausgeben.

[codantos 0]

Vielen Dank für den Hinweis mit dem WSUS Update. Dies hat unser Problem gelöst.

[Sunny61 805]

Vielen Dank für den Hinweis mit dem WSUS Update. Dies hat unser Problem gelöst.

Freut mich für Dich und Danke für die Rückmeldung. ;)

[codantos 0]

Hallo nochmal,

 

die Erstellung des Zertifikates (2048 Bit) hat nun funktioniert und wir haben dieses auch in der Domäne verteilen können. Die 3rd-Party Updates werden von den Clients auch akzeptiert und problemlos installiert. Die Verteilung dieser Updates über die Replikatserver an anderen Standorten mit Domänen zu denen wir bidirektionale transitive Vertrauensstellungen führen, klappt jedoch nicht. Dort ist dem WindowsUpdate Log der Clients immer folgende Fehlermeldung zu entnehmen:

WARNING: Digital Signatures on file 
C:\Windows\SoftwareDistribution\Download\61069a9fb443132875ecc065673e310f\AdbeRdrUpd1019_MUI.cab 
are not trusted: Error 0x800b0109

Das gleiche Zertifikat haben wir in den Gruppenrichtlinien der jeweiligen Domänen ebenfalls verteilt. Es ist durch die Clients auch angewendet worden.

Was ist da fehlerhaft konfiguriert?

Vielen Dank im Voraus.

[Sunny61 805]

Das Zertifikat ist auch an *allen* erforderlichen Stellen in der vertrauten Domain auf den Clients installiert?

Die Fehlermeldung ist ziemlich eindeutig ein Zertifikatsproblem.