Um die Verbindung zwischen dem WSUS-Server und den Clients zu verschlüsseln, muss man dessen Webdienste mit einem SSL-Zertifikat absichern. Der WSUS wickelt sämtliche Kommunikation über die Webdienste, die im IIS betrieben werden, ab.
Hierzu muss man in die IIS-Konsole navigieren und dort ein Serverzertifikat erstellen/anfordern. Hierzu darf, zumindest unter Windows Server 2016, leider kein selbstsigniertes Zertifikat aus dem IIS verwendet werden! Das heißt man benötigt eine Cerificate Authority. Wenn man die Zertifizierungsstelle auf einem Server installiert hat, kann man diese ohne Probleme wie im Folgenden beschrieben verwenden.
Dort erstellt man ein Serverzertifikat mit Hilfe des Assistenten den man über „Serverzertifikate“ und dann „Domänenzertifikat erstellen“ erreicht:
Im folgenden Fenster müssen die Daten für die Zertifikatserstellung angegeben werden. Wichtig ist, dass der gemeinsame Name dem Servernamen entsprechen muss! Beispielsweise so:
Bei der Auswahl der Onlinezertifizierungsstelle muss man entsprechend dem Namen des DC und der CA die Eingaben vornehmen, beispielsweise so:
- Online-Zertifizierungsstelle: domain-dc-ca\dc
- Anzeigename: WSUS (kann frei gewählt werden)
Nach der Erstellung des Zertifikates steht dieses in der Serverzertifikate-Übersicht:
Nun muss man die Bindung für die Site „WSUS-Verwaltung“ wie folgt übernehmen und für den Port 8531 das erstellte Zertifikat, das in diesem Beispiel „WSUS“ heißt, auswählen:
Bei den SSL-Einstellungen der untergeordneten Sites bzw. Ordner muss man „SSL erforderlich“ anhaken und die Clientzertifikate auf „Ignorieren“ setzen. Folgende Sites/Ordner müssen in dieser Art konfiguriert werden:
- ApiRemoting30, ClientWebService, DssAuthWebService, ServerSyncWebService, SimpleAuthWebService
Zum Abschluss muss man nun den WSUS-Server in der WSUS-Konsole/MMC neu hinzufügen, da er nicht mehr ohne Verschlüsselung erreichbar ist, was sich erst mal so bemerkbar macht:
Hierzu einfach die bisherige Server-Verbindung über die Aktion „Aus der Konsole entfernen“ löschen.
Über das Kontextmenü den Punkt „Verbindung mit dem Server herstellen“ auswählen und bei Servername „WSUS“ eintragen und SSL anhaken und den Port dann auf 8531 belassen:
Die Verwaltungskonsole kann nun genutzt werden. Wenn man bereits eine GPO benutzt hat um die Clients dazu zu bringen sich mit dem WSUS zu verbinden, so muss man in dieser den Pfad natürlich auch noch auf die https-Variante anpassen.