文档介绍:我们在部署与规划一文中已经提到过,每一个完成的更新程序包含两部分:元数据和更新文件。元数据只是提供有关更新的信息,体积往往远小于更新文件,微软只是对元数据的通讯进行加密;但是,微软通过对于每一个更新文件进行散列值计算,并将此散列值跟随元数据通讯一起进行加密传输,从而确保所下载的更新文件的完整性。
在部署WSUS使用SSL时,你需要考虑以下两点:
部署SSL会增加WSUS服务器的工作负荷。在WSUS服务器上部署SSL时,会导致WSUS服务器大概10%的性能损耗,在你部署和规划WSUS服务器时必须预先考虑这一点;
如果你使用远程SQL数据库服务器存放WSUS的数据库,WSUS服务器和SQL数据库服务器之间的通讯并不会进行加密。WSUS服务器只会加密和客户端计算机或下游WSUS服务器之间的元数据通讯;如果需要对WSUS服务器和SQL数据库服务器之间的通讯进行加密时,你需要采用额外的方式,例如部署IPSec安全策略。
部 署WSUS服务器使用SSL的过程非常简单,你只需要在WSUS服务器上安装证书并配置IIS要求进行加密通信,然后将客户端计算机和下游WSUS服务器 配置为信任此WSUS服务器的服务器证书并访问WSUS服务器的SSL服务即可。但是部署WSUS服务器使用SSL时,WSUS服务器需要两个端口来提供 服务:一个端口用于提供加密元数据的HTTPS服务;一个端口用于提供未加密的更新文件下载的HTTP服务。当你在IIS中配置使用证书时,请一定要记住 以下四点:
1、不能将整个WSUS Web站点都设置为需要SSL。这意味着和WSUS Web站点的所有通讯都会进行加密,但是WSUS只会加密元数据通讯,这样当客户端计算机或者下游WSUS服务器试图向WSUS服务器下载更新文件时,由于没有用于提供HTTP下载服务的端口,下载将失败;
2、为了确保WSUS Web站点的安全,你需要对以下虚拟目录配置为要求SSL连接:
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
WSUSAdmin(此虚拟目录用于访问WSUS管理控制台,对此虚拟目录要求SSL后,你需要修改WSUS管理控制台的链接使用SSL连接);
ClientWebService
但是为了让WSUS正常工作,你不能对以下虚拟目录要求SSL连接:
Content
ReportingWebService
SelfUpdate
3、你可以配置IIS在任意端口上使用SSL,但是,HTTP通讯的端口是根据你的SSL端口来进行设置的:
如果配置SSL使用标准SSL端口TCP 443,则WSUS会自动配置HTTP通讯使用标准HTTP服务端口TCP 80。建议你总是使用标准的SSL端口;
如果配置SSL使用其他任意端口,则WSUS会将此SSL端口前的那个端口用于HTTP通讯,这是不可配置的。例如,如果将端口8531用于SSL通讯,则WSUS会将8530 用于HTTP。
4、 在配置WSUS服务器采用SSL连接之后,你需要告知客户端计算机或者下游WSUS服务器使用SSL连接和此WSUS服务器进行通讯。对于客户端计算机的 告知是通过修改应用到客户端计算机的组策略中的Intranet更新服务位置来实现;而对于下游WSUS服务器的告知,则是通过修改其同步选项来实现。另外,你需要考虑以下重要事项:
在告知客户端计算机或下游WSUS服务器时,你必须正确提供访问此WSUS服务器的SSL端口的URL地址。如果使用非标准的SSL端口,则必须在URL中包括该端口。例如,使用非标准的SSL端口8531时,你提供给客户端计算机或下游WSUS服务器的URL地址为 https://wsus-ssl-servername:8531;而使用标准的SSL端口443时,你提供的URL地址则为https://wsus-ssl-servername;
对于客户端计算机,你必须将颁发WSUS服务器SSL所使用的服务器证书的证书颁发机构的CA证书导入本地计算机的受信任根CA存储或自动更新服务的受信任根CA存储中;对于下游WSUS服务器,则是导入本地计算机的受信任根CA存储或Windows Server Update Service的受信任根CA存储中。
客户端计算机或下游WSUS服务器必须信任WSUS服务器在IIS中绑定到WSUS Web站点的证书。
 
配置WSUS Web站点使用SSL
首先需要为WSUS Web站点安装服务器证书。在Internet信息服务管理控制台中,展开本地计算机下的网站,然后右击WSUS Web站点(在此是默认网站),选择属性,然后点击目录安全性标签,你可以看到,此Web站点尚未安装