我正在尝试部署WSUS4。 我试图做正确的事情,并使用服务器核心。
问题是我坚持启用SSL。
使用IIS远程pipe理器时,不存在“服务器证书”button。
我读了一些地方,我可以使用certutil导入证书。
问题是:我无法生成.pfx文件。 “导出私钥”显示为灰色。
任何想法如何做到这一点?
你在正确的轨道上。 您必须使用certutil.exe来创build证书,然后在编辑绑定窗口的IISpipe理下拉列表中看到它。
而不是导入私钥,使用certutil.exe的function来生成私钥并将其保存在Windows证书库中,然后将其与颁发的证书进行匹配。
要做到这一点,一个难点就是创buildrequest.inf文件。 以下是适用于WSUS的Windows Server 2012 R2 Core上的示例。 用您的服务器的名称填写FQDN。
[Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=FQDN" Exportable = FALSE KeyLength = 2048 KeySpec = 1 KeyUsage = 0xA0 MachineKeySet = True ProviderName = "Microsoft RSA SChannel Cryptographic Provider" RequestType = PKCS10 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication OID=1.3.6.1.5.5.7.3.2 ; Client Authentication [Extensions] [RequestAttributes] CertificateTemplate = Machine 在核心服务器的命令提示符处,在request.inf所在的文件夹中,运行:
certutil -new request.inf machine.req
然后,将machine.req文件提交给您的CA. 如果您有Windows Enterprise CA,可以使用以下命令执行此操作:
certutil -submit -adminforcemachine machine.req machine.cer
当您从企业CA或第三方获取证书时,将其导入证书存储区。
certutil -accept machine.cer
然后,进入pipe理工作站上的IISpipe理器,连接到WSUS服务器,并将WSUSpipe理站点绑定到您的证书。
然后,您可以启用“要求SSL”:
不要为任何其他虚拟文件夹。
根据文档,你应该在WSUS服务器上运行这个:
"C:\Program Files\Update Services\Tools\wsusutil" configuressl <certificate>
但是,我不确定这是必要的。
希望这可以帮助!
杰弗里·福克斯