michael-itler
Goto Top

WSUS SSL Zertifikat, AD-Zertifizierungsstelle, Clients

Hallo an alle,

da ich über die einschlägige Methoden keine Antworten gefunden habe versuche ich diesen Weg:

Ausgangssituation:
WSUS Server unter Server 2019 Datacenter
SSL Verschlüsselung aktiv
Zertifikat über interne CA-Zertifizierungsstelle (Windows Server Rolle) erstellt und Server zugewiesen.

Muss ich nun per GPO dieses Zertifikat jedem Client ausrollen oder müssten die Clients selbst an der internen CA-Zertifizierungsstelle prüfen ob es ein gültiges Zertifikat gibt und dieses dann verwenden?

Ich bin der Meinung das es sinnvoll ist, wenn die Clients das Zertifikat selbstständig an der CA Stelle "hohlen" nur leider ist mir bisher nicht klar wie ich das konfigurieren soll.

Danke

Content-ID: 7552267439

Url: https://administrator.de/forum/wsus-ssl-zertifikat-ad-zertifizierungsstelle-clients-7552267439.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

Dawnbreaker
Dawnbreaker 09.11.2023 um 15:52:28 Uhr
Goto Top
Hallo,

die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...

... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?

-> Lösung: Du verteilst das Zertifikat der CA per GPO als vertrauenswürdige Zertifizierungsstelle.

Danach verbindet sich der Client mit dem WSUS, bekommt sein Zertifikat, schaut in seine Liste der vertrauenswürdigen Aussteller und vertraut dem Zertifikat.

LG
elix2k
elix2k 09.11.2023 um 15:55:22 Uhr
Goto Top
Als wir noch den WSUS mal im Einsatz hatten, war die CA jedem Client bekannt. Nichtsdestotrotz mussten wir das WSUS-Zertifikat per Gruppenrichtlinie verteilen.
Michael-ITler
Michael-ITler 09.11.2023 um 16:12:35 Uhr
Goto Top
Hallo Dawnbreaker,

Zitat von @Dawnbreaker:
die Clients könnten natürlich das Zertifikat der CA sich selbstständig abholen, ABER...

... woher sollen die Clients wissen, dass der Aussteller des Zertifikates vertrauenswürdig ist?

Da die interne CA-Stelle ein Mitgliedsserver der Domäne ist sollte der Aussteller als vertrauenswürdig angesehen werden? Oder sehe ich das falsch?
emeriks
emeriks 09.11.2023 aktualisiert um 16:28:28 Uhr
Goto Top
Normalerweise wird das Root-Zertifikat einer MS CA im AD-Umfeld automatisch per GPO an alle Member verteilt.
Wenn der WSUS-Server dann ein von dieser CA ausgestelltes Zertifikat für SSL nutzt, dann ist das auf allen Member des AD automatisch vertrauenswürdig.

Das kann man recht einfach testen, indem man die URL des WSUS über Browser aufruft. Dann dürfte dort keine Zertifikatswarnung kommen.

i.A. URL wie
https://servername:8531
https://servername.domain.tld:8531
https://IP-Adresse:8531

Respektive des von Euch genutzten Ports.

E.

Edit:
Die URL des WSUS-Servers, welche man an die Clients verteilt, muss natürlich mit den im Zertifikat eingetragenen Daten übereinstimmen. Ist klar.
Dawnbreaker
Dawnbreaker 10.11.2023 um 08:27:48 Uhr
Goto Top
Guten Morgen,

instinktiv würde man wohl annehmen, dass es so sein sollte.
Aus Erfahrung kann ich aber sagen: Ich musste bisher auch immer brav, dass Zertifikat per GPO verteilen, bevor es lief. ;)

LG
GrueneSosseMitSpeck
GrueneSosseMitSpeck 10.11.2023 um 08:47:04 Uhr
Goto Top
es ist am Ende vom WSUS Client abhängig ob der das Zertifikat akzeptiert oder nicht
1.) alle Clients müssen das öffentliche Zertifikat der (Root) CA haben.
2.) der WSUS Server muß ein von der CA ausgestelltes Computerzertifikat haben (Computeridentität)
3.) die Clients prüfen dann ob das Zertifikat von irgendeiner CA stammt oder self signed ist. Es gibt bei MS Tendenzen, Self signed Zertifikate nicht mehr zu akzeptieren, der OLEDB19 macht das z.B. im Standard. Anderseits haben die MS Serverdienste immer ein SElf Signed Zertifikat, das man erst durch ein CA signiertes Zertifkat ersetzen muß.

Das Beispiel mit dem Browser oben ist nicht richtig, denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht. Man kann da einzig und alleine das Zertifikat kontrollieren, ob self signed oder CA signed.
emeriks
emeriks 10.11.2023 aktualisiert um 09:31:33 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Das Beispiel mit dem Browser oben ist nicht richtig,
Doch, ist korrekt so.

denn Browser bringen IMMER eine Warnmeldung, wenn die CA bzw Root CA nicht auf einer im Browser hardcoded enthaltenen Whitelist steht.
Stimmt auch nicht. Das ist vollkommen Unsinn, sorry.
Zumindest unter Windows. Und darum geht es ja.
Michael-ITler
Michael-ITler 10.11.2023 um 10:21:08 Uhr
Goto Top
Hallo,

nachdem ich das Zertifikat nochmals geprüft habe und es jetzt mit der URL
https://servername.domain.local:8531 neu erstellt wurde kann ich per Browser die URL aufrufen und es kommt keine Warnung das es unsicher ist.
-> Somit ist das erfolgreich

Die Test Clients sind am WSUS angekommen und berichten. Jedoch habe ich in den windowsupdate.log Dateien folgende Einträge die evtl. noch auf Fehler hindeuten könnten?:

Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetWUClientData:2649]
Misc *FAILED* [8024500C] EP: get client data
Misc *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetSecondaryServicesEnabledState:2049]
Agent *FAILED* [8024500C] Method failed [CAgentServiceManager::DetectAndToggleServiceState:3020]
Agent *FAILED* [8024500C] SLS sync failed during service registration

ProtocolTalker WSUS certificate store is empty