Im Internet gibt es viele Anleitungen, die beschreiben, wie man einen WSUS-Server mit einem SSL-Zertifikat versieht. Jedoch ist dort immer nur die Rede von selbst erstellten Zertifikaten und damit einhergehend auch grundsätzlich von einem internen Namen. Geht man nun strikt nach der Anleitung, verwendet aber stattdessen ein öffentliches Zertifikat, so scheitert es spätestens beim Verbinden der Serverkonsole (MMC) auf die neue Zugriffs-URL.
In diesem Tutorial gehe ich davon aus, dass das Zertifikat bereits im Zertifikatsspeicher des WSUS liegt. Im Anschluss sind folgende Schritte zu tätigen:
Setzen des Zertifikats
- Wir öffnen den IIS Manager
- Erweitern die Baumstruktur links auf folgenden Pfad:
[Servername] -> Sites -> WSUS Administration - Während WSUS Administration markiert ist, kann rechts unter Actions auf Bindings… geklickt werden.
- Nun kann auf das https-Binding doppelgeklickt werden.
- Unten in der Rubrik SSL certificate kann im DropDown-Menü nun das Zertifikat ausgewählt werden, das zuvor eingespielt wurde.
- Anschließend können die offenen Fenster mit OK und Close geschlossen werden.
Erzwingen von SSL-Verbindungen
- Erneut im IIS Manager angekommen erweitern die Baumstruktur links auf folgenden Pfad:
[Servername] -> Sites -> WSUS Administration ( - Darunter sind folgende Applications für uns nun von Belang:
ApiRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService - Nacheinander markieren wir nun jede dieser Applikationen, um anschließend auf SSL Settings zu gehen und folgende Einstellungen vorzunehmen:
[X] Require SSL
Client certificates: (o) Ignore - Damit wäre dieser Schritt erledigt. Sollte zum Zeitpunkt der Tätigkeiten der WSUS Manager geöffnet gewesen sein, wird dieser nun meckern.
WSUS für SSL konfigurieren
- Nun öffnen wir ein Konsolenfenster als Administrator
- Dort angekommen navigieren wir zu folgendem Pfad: „C:\Program Files\Update Services\Tools“
- Nun führen wir folgenden Befehl aus: WSUSUtil.exe ConfigureSSL [Zukünftige URL]
Bsp: WSUSUtil.exe ConfigureSSL wsus.domain.tld
Der Serverkonsole den lokalen Zugriff ermöglichen
Nun kommen wir zum Knackpunkt. Die Serverkonsole kann sich standardmäßig nur auf den internen Namen verbinden. Nach den vorhergehenden Änderungen wäre nun aber eigentlich die URL zum erneuten Verbinden der WSUS Managementkonsole einzugeben. Die Lösung hierfür konnte im TechNet von Microsoft (unten verlinkt) gefunden werden:
- Wir öffnen den Registry-Editor und navigieren zu folgendem Pfad: „HKLM\System\CurrentControlSet\Controls\Lsa\MSV1_0“
- Nun rechtsklicken wir auf den Key MSV1_0 und klicken dann auf New -> Multi-String Value. Als Name geben wir BackConnectionHostNames ein.
- Nach der Anlegung öffnen wir nochmals den Wert, um als Value data die zukünftige URL einzutragen.
- Anschließend kann das Fenster per Klick auf OK bestätigt und der Registry Editor wieder geschlossen werden.
Die Serverkonsole erneut verbinden
Abschließend können wir auf der Serverkonsole die aktuelle Verbindung auf den „alten“ FQDN schließen und anschließend auf die neue URL verbinden.
Quellen:
Problemlösung mit der externen URL: https://social.technet.microsoft.com/Forums/windowsserver/en-US/84033ed9-f7aa-4676-a68a-01607eb1f160/wsus-not-working-properly-with-ssl?forum=winserverwsus