Решено Заканчивается сертификат WSUS PP. Не могу создать новый (РЕШЕНО)

[Sveta_NA]

Где то там - оснастка центра управления сертификатами
Посмотреть вложение 11381

да, именно там она и есть. выбираю шаблон, делаю дубликат со всеми правами, называю его например 111 - публикую, но его нет в списке web

 

[Goblin]

Может это поможет. Сам не ставил такое

 

[DOC]

Попробовал у себя добавить шаблон подписывания кода, все появилось сразу. Браузер хром
Политик никаких не накручено ?

 

[Goblin]

What is the WSUS Signing Certificate and How to Create It

The WSUS signing certificate is a core part of publishing third-party updates to WSUS. It is required for clients to validate the updates are published from a trusted source.

patchmypc.com

 

[WishMaster]

Может это поможет. Сам не ставил такое

Похоже на правду. Но вообще перевыпускается как обычный сертификат

 

[Sveta_NA]

What is the WSUS Signing Certificate and How to Create It

The WSUS signing certificate is a core part of publishing third-party updates to WSUS. It is required for clients to validate the updates are published from a trusted source.

patchmypc.com

Спасибо за ссылку. Благодаря ей нашла там же другую инструкцию, которая помогла мне понять свою ошибку и сделать корректный запрос: https://patchmypc.com/pki-certificate-for-third-party-update-code-signing-in-sccm
А именно: Step 3: Request the WSUS Signing Certificate Template
Моя ошибка была в том, что я пыталась сделать запрос через mmc и оснастку "сертификаты" от имени компьютера на котором установлен WSUSPP. А надо было запустить на любом компьютере в домене certmgr.msc от имени пользователя у которого есть права на шаблоны и там будет и меню "Запросить новый сертификат" и далее при настройке запроса - выбор нужного шаблона. Сертификат WSUSPP создала.

Но оказалось что это только половина задачи )))
Теперь я не могу зайти в админку WSUSPP, чтобы подгрузить новый созданный сертификат, потому что похоже закончился еще и сертификат веб-сервера, где установлен WSUSPP и я не могу к нему подключиться с такой вот ошибкой:



Из-за того что сервер WSUS - это Server Windows Core, без лишних компонентов, то к IIS я могу подключиться только удаленно, а в таком варианте отсутствует меню "Сертификаты сервера", чтобы сделать новый запрос и перевыпустить самоподписанный сертификат.
Вариант через certmgr.msc тоже не подошел, потому что во-первых, эта оснастка не запускается на Server Core, а во-вторых, я так понимаю что запрос должен быть именно от этой машины, а не от пользователя домена.
Попробовала сделать через командную строку непосредственно на сервере WSUS: > New-SelfSignedCertificate -DnsName "localhost" -CertStoreLocation "cert:\LocalMachine\My"
Сертификат localhost создался, но подключение по ssl все равно не стало доверительным, ошибка при подключении к WSUSPP осталась....

 

[Diversant]

А надо было запустить на любом компьютере в домене certmgr.msc от имени пользователя у которого есть права на шаблоны и там будет и меню "Запросить новый сертификат" и далее при настройке запроса - выбор нужного шаблона.

Получается прав не хватало..

закончился еще и сертификат веб-сервера,

Попробуйте iisreset - перезапуск веб сервера.
Попробуйте получить сертификат скриптом Request-Certificate

 

[NanoSuit]

Connection failed:
The underlying connection was closed: Could not establish trust relationship for SSL/TLS secure channel

Наверное потому что самоподписный и нет доверия root CA.

 

[Sveta_NA]

Проблема решилась! Просто в диспетчере IIS забыла добавить новый самоподписанный сертификат для localhost в Bindings. После того как добавила - все заработало. Всем спасибо )