Migrer un serveur WSUS en SSL
Bonjour à tous,
Avec l’arrivé de Windows 10 anniversary, il vous faut un serveur WSUS en SSL.
Nous allons voir comment faire aujourd’hui pour passer un serveur WSUS sur disponible en HTTP vers le protocole HTTPS avec la création d’un certificat de domaine.
Donc, pour cela, il vous faut :
– un domaine (AD DS, AD CS),
– un serveur ayant le rôle WSUS installé et configuré,
– un pc de test.
Sur le serveur WSUS :
1 – Se connecter,
2 – Ouvrir la console de gestion des services Internet (IIS)
3 – Générer un certificat SSL
3.1 – Développer votre serveur et cliquer sur « Certificats de serveur »
3.2 – Cliquer sur « Créer un certificat de domaine… »
3.3 – Remplir les informations demandées pour la génération de votre certificat
3.4 – Choisir l’autorité de certification de votre domaine (CA) ainsi que le nom convivial
4 – Lier le certificat nouvellement créé sur la carte réseau :
4.1 – Dans la console IIS, développer votre serveur, développer « Sites« , sélectionner « Administration WSUS » et cliquer sur « Liaisons… »
4.2 – Sélectionner « https » et cliquer sur « Modifier »
4.3 – Dans la liste déroulante des « Certificat SSL », sélectionner le certificat que vous venez de créer et valider, puis fermer la fenêtre des liaisons
5 – Forcer l’encryption SSL sur les applications virtuelles suivantes :
– ApiRemoting30
– ClientWebService
– DSSAuthWebService
– ServerSyncWebService
– SimpleAuthWebService
5.1 – Ouvrir les paramètres SSL
5.2 – Cocher la case « Exiger SSL » et cliquer ensuite sur « Appliquer »
5.3 – Configuration enregistré
Refaire les manipulations 5.1 à 5.3 pour chaque application virtuelle listé au point 5.
6 – Exécuter une commande pour informer le WSUS d’utiliser le SSL
6.1 – Ouvrir une invite de commande en mode Administrateur
6.2 – Changer de répertoire d’exécution
cd "c:\Program Files\Update Services\Tools"
6.3 – Exécuter la commande suivante en remplaçant le FQDN par votre serveur :
WsusUtil.exe configuressl monserveurwsus.mondomain.tld
6.4 – Redémarrer votre serveur pour être sûrs de l’application des modifications
shutdown -f -r -t 0
7 – Configurer vos clients pour se connecter au WSUS via SSL par stratégies de groupe (GPO):
7.1 – Sur votre contrôleur de domaine, lancer le « Gestionnaire de serveur« , cliquer sur « Outils » puis sur « gestion des stratégies de groupe »
7.3 – Le paramètre à modifier se trouve « Configuration ordinateur« \ »Stratégies« \ »Modèles d’administration« \ »Composants Windows« \ »Windows Update » et c’est le paramètre « Spécifier l’emplacement intranet du service de mise à jour Microsoft »
7.4 – Modifier « Configurer le service de Mise à jour … » ainsi que « Configurer le serveur intranet de statistiques » en spécifiant le l’url de votre serveur,
si votre serveur WSUS est monserveurwsus.mondomain.tld, vous devrez saisir https://monserveurwsus.mondomain.tld:8531
8 – Sur le contrôleur de domaine, ouvrir une invite de commande et taper
gpupdate /force
9 – Sur la poste client, ouvrir une invite de commande et taper
gpupdate /force
10 – Confirmation que la stratégie s’est bien appliqué à votre poste, vous pouvez ouvrir une invite de commande et taper la commande suivate pour confirmation :
REG QUERY HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer
[Ajout d’une modif sur le web.config du serveur wsus]
Source :
http://jackstromberg.com/2013/11/enabling-ssl-on-windows-server-update-services-wsus/
https://technet.microsoft.com/fr-fr/library/bb633246.aspx
https://support.microsoft.com/en-us/kb/3159706
Bonjour et merci pour ce tuto fantastique 😉
Une petite question, pourquoi sur certain postes W10 pro x64 je ne trouve pas la clé de registre
REG QUERY HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
Enfin je m’explique je la trouve mais à part un sous dossier AU il n’y
a rien …
-> Erreur : Erreur : le système n’a pas trouvé la clé ou la valeur de Registre spécifiée.
Ces postes me posent des soucis de mise à jour, je ne peux pas y créer de valeurs (j’ai toutes les autorisations).
Windows 10 gère t il différemment cette clé ?
Bonjour,
En effet au moment de cet article le poste sur lequel j’avais fait mes tests était sous windows 8 ou 8.1. Ils ont du changer le chemin vers la clé pour Windows 10 je n’ai hélas pas l’information.
Si je trouve je vous tiens au courant ici.
Bonjour,
En faisant la migration, je n’arrive plus à accéder à la console. Le ssl certificat pour ce serveur n’est pas valide.
Comment résoudre cela?
Merci
Bonjour,
J’ai le même soucis que nanard094cs.
Connaitriez vous un moyen de résoudre ce problème ?
Bien à vous
Bonjour,
La cause la plus probable est que le nom du certificat ne soit pas -> exactement <– le non Netbios du serveur.
Ex. :
Serveur : SRV-TOTO
Nom du certificat ("Délivré à" sur IIS) : SRV-TOTO
Bien à vous,
Muriel
Pas assez précise dans ma réponse précédente…
Si vous utilisez le serveur avec son nom long :
Ex. :
Serveur : SRV-TOTO.coucou-truc.lan
Alors le nom du certificat doit là encore être exactement le même : SRV-TOTO.coucou-truc.lan
Bien sûr l’adresse dans la GPO doit correspondre aussi, sinon vous aurez également une erreur avec Windows Update sur les clients.
Si ça ne fonctionne toujours pas, eh bien c’est que l’erreur est ailleurs ^^ Mais c’est plus rare 🙂
Bien à vous,
Muriel