Windows Server - WSUS'te SSL Kullanımı #5
Merhaba.
Bu konuda WSUS'i SSL hizmetimiz ile birlikte nasıl kullanabileceğimizden bahsedeceğim.
Demo için yukarıdaki ortamı kullanacağım. CA makinesine ADCS'i yükleyip yapılandırdım. WSUS'in kurulum ve konfigürasyonlarını serinin önceki konularında anlatmıştım. Bu konuya direkt link ile eriştiyseniz, öncelikle eski konulara göz atmanızı öneririm.
Benim ortamımda WSUS, DC makinesine kurulu olduğundan dolayı bu makine üzerinde IIS konsolunu çalıştırıyorum. Sol taraftaki Connections alanından DC isimli makineyi seçip Server Certificates'e çift tıklıyorum.
Bu makinede ADDS yüklü olduğundan dolayı makineye ait bir sertifikamız mevcut. Eğer makinenizde sertifika yoksa, sağ taraftan Create Domain Certificate'e tıklayıp adımları takip ederek bir sertifika edinebilirsiniz.
WSUS makinesi için 1 adet Server Certificate edinmeniz ve bunu kullanmanız önerilir. SSL konfigürasyonunun ilerleyen adımlarında kullanacağımız WsusUtil aracı ile IIS konsolunda gördüğümüz sertifikayı WSUS'e tanımlamamız gerekecek. IIS konsolundan oluşturduğumuz sertifikaların tamamının üzerinde Common Name bilgisi olarak sistemin DNS adı yer alacağından (örn: dc.vatanci.int) birden çok sertifika oluşturduğunuzda WSUS'te hangisini kullanmak istediğinizi belirtemeyeceğiniz için muhtemelen SSL konfigürasyonunda başarısız olacaksınız. Bu nedenle ben de yeni bir sertifika oluşturmadan, hazırda bulunan Domain Controller sertifikam ile devam edeceğim.
IIS konsolundan sol taraftaki Sites alanını genişletip WSUS Administration'a bir kez tıklayıp sağ taraftaki Actions kısmından Bindings'e tıklıyorum. https'i seçip Edit'e tıkladıktan sonra karşıma gelen Edit Site Binding penceresindeki SSL Certificate kısmından sunucumun sertifikasını seçip OK butonuna tıklayıp pencereyi kapatıyorum.
WSUS Administration'un altında yer alan ApiRemoting30, ClientWebService, DssAuthWebService, ServerSyncWebService ve SimpleAuthWebService için SSL kullanımını zorunlu hale getirmemiz gerekecek. Bu servislerin ayarlarına tek tek erişip SSL Settings ayarını açıp Require SSL checkbox'ını işaretledikten sonra pencerenin sağ tarafında yer alan Apply yazısına tıklıyorum.
WSUS'te SSL'i henüz konfigüre etmediğimiz için IIS tarafında yaptığımız değişiklikler nedeniyle WSUS konsolu hata verecektir.
SSL Sertifikamızı WSUS'e tanımlamak için CMD ya da PowerShell konsolunu çalıştırıp "C:\Program Files\Update Services\Tools" dizinine erişip "WsusUtil.exe configuressl ServerCN" komutunu veriyorum.
Bu komutu uyguladıktan sonra Update Services konsolunu tekrar açıyorum. SSL'i yapılandırmadan önce Connection kısmındaki port bilgisi 8530 idi. Yapılandırmadan sonra bu port 8531 olarak güncellendi.
Group Policy üzerinden uyguladığımız poliçedeki sunucu adı ve portunun yer aldığı bilgileri güncellemememiz gerekiyor. Bu nedenle Group Policy konsolunundan Default Domain Policy'i açıp Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update'e erişiyorum. (Daha önceden bu poliçeyi kullanarak konfigürasyon yapmıştık. WSUS için kendi ortamınızda özel bir poliçe uyguladıysanız, bu güncellemeyi ilgili poliçe üzerinden gerçekleştiriniz.)
Specify intranet Microsoft update service location poliçesini açıp sunucu bilgilerimin yer aldığı alanlara https://dc.vatanci.int:8531 yazıp Do not enforce TLS certificate pinnig for Windows Update client for detecting updates ayarının checkbox'ındaki onayı kaldırıyorum.
Ve artık SSL destekli WSUS, hizmet verebilir duruma geldi.