Решено Заканчивается сертификат WSUS PP. Не могу создать новый (РЕШЕНО)

S

Sveta_NA

Почетный гость
Добрый день!
На новой работе в сети с доменом поверх WSUS настроен WSUS Package Publisher (WSUSPP)
Все это установлено на Windows Server 2019 Core

Через Windows Admin Center я увидела что скоро заканчивается срок действия сертификата WSUSPP.
В домене есть свой центр сертификации Issuing CA c готовым шаблоном CodeSign for WSUSPP
Я хочу выпустить новый сертификат, но не поняла - как сделать запрос к ЦС?

Добавляю в консоль mmc оснастку "Сертификаты", выбираю для "учётной записи компьютера", выбираю сервер на котором установлен WSUSPP, но потом не понимаю где там делать запрос?
Ни в папке "Личные", ни в папке "WSUS", ни в одной другой папке с сертификатами при переходе в меню "Все задачи" - нет меню "Запросить Новый Сертификат" - только поиск и импорт
 
Или powershell

Итак, если у вас возникает ошибка Verification of file signature failed for file, или любая другая похожая:

  1. Генерируем в локальном центре сертификации Code Signing сертификат для нашего WSUS, где установлен Package Publisher. Закрытый ключ должен быть экспортируемым.
  2. Экспортируем сертификат с закрытым ключом и добавляем его в Package Publisher после ввода секретного ключа. Перезапускаем службу WSUS.
  3. Экспортируем без закрытого ключа и распространяем на клиентские машины.
  4. Обновляем и устанавливаем любые приложения централизованно и наслаждаемся жизнью.
 
Sveta_NA сказал(а):
Добрый день!
На новой работе в сети с доменом поверх WSUS настроен WSUS Package Publisher (WSUSPP)
Все это установлено на Windows Server 2019 Core

Через Windows Admin Center я увидела что скоро заканчивается срок действия сертификата WSUSPP.
В домене есть свой центр сертификации Issuing CA c готовым шаблоном CodeSign for WSUSPP
Я хочу выпустить новый сертификат, но не поняла - как сделать запрос к ЦС?

Добавляю в консоль mmc оснастку "Сертификаты", выбираю для "учётной записи компьютера", выбираю сервер на котором установлен WSUSPP, но потом не понимаю где там делать запрос?
Ни в папке "Личные", ни в папке "WSUS", ни в одной другой папке с сертификатами при переходе в меню "Все задачи" - нет меню "Запросить Новый Сертификат" - только поиск и импорт
Нажмите, чтобы раскрыть...
А из оснастки его же нельзя перевыпустить, как к примеру в Microsoft Exchange
 
NanoSuit сказал(а):
Или powershell

Итак, если у вас возникает ошибка Verification of file signature failed for file, или любая другая похожая:

  1. Генерируем в локальном центре сертификации Code Signing сертификат для нашего WSUS, где установлен Package Publisher. Закрытый ключ должен быть экспортируемым.
  2. Экспортируем сертификат с закрытым ключом и добавляем его в Package Publisher после ввода секретного ключа. Перезапускаем службу WSUS.
  3. Экспортируем без закрытого ключа и распространяем на клиентские машины.
  4. Обновляем и устанавливаем любые приложения централизованно и наслаждаемся жизнью.
Нажмите, чтобы раскрыть...
У меня пока что не возникает ошибок, потому что я не могу выполнить пункт №1 в вашем сообщении. Чтобы сгенерировать сертификат в ЦС мне надо сначала сделать запрос. А запрос я не могу сделать, потому что в оснастке "Сертификаты" на сервере WSUS я не вижу где пункт "Запрсить новый сертификат". Или можно сгенерировать без запроса?
 
Попробуйте через powershell

Вот пример, отсюда
$cert = Get-ChildItem -Path cert:\LocalMachine\My\EEDEF61D4FF6EDBAAD538BB08CCAADDC3EE28FF
PS C:\>$enrollResult = Get-Certificate -Template SslWebServer -DnsName www.contoso.com -Url https://www.contoso.com/policy/service.svc -Credential $cert -CertStoreLocation cert:\LocalMachine\Mycert
 
GoodWIN сказал(а):
А это с WSUSPP открыта оснастка ?
Нажмите, чтобы раскрыть...
напрямую на на сервере WSUSPP я не могу открыть эту оснастку - она не запускается на Windows Server Core
Я запускаю на админском компе через mmc - Сертификаты - для компьютера и указываю имя сервера где WSUS
 
Sveta_NA сказал(а):
напрямую на на сервере WSUSPP я не могу открыть эту оснастку - она не запускается на Windows Server Core
Я запускаю на админском компе через mmc - Сертификаты - для компьютера и указываю имя сервера где WSUS
Нажмите, чтобы раскрыть...
А при открытии mmc выбираете что ? Выберите УЗ компьютера, Если так выбрать как я показал будет ли виден сертификат WSUSPP
1646395457634.png
 
NanoSuit сказал(а):
А при открытии mmc выбираете что ? Выберите УЗ компьютера, Если так выбрать как я показал будет ли виден сертификат WSUSPP
Посмотреть вложение 11375
Нажмите, чтобы раскрыть...

Да, выбираю именно учетную запись компьютера (сервер на котором WSUSPP) и подключаюсь к нему. Вот оснастка "сертификаты" открытая именно для этого сервера

Безымянный.jpg
 
Добавила сегодня роль Certificate Enrollment Web Service, смогла зайти на веб-морду ЦС. Но когда делаю запрос сертификата, то выпадает всего два шаблона на выбор, хотя их там в ЦС десяток, включая нужный мне WSUSPP. Как сделать чтобы они здесь появились?
Безымянный2.jpg
 
Прав может не хватает? Решил посмотреть как у себя
1646474849918.png
 
Где то там - оснастка центра управления сертификатами
1646474977014.png
 
DOC сказал(а):
Прав может не хватает? Решил посмотреть как у себя
Нажмите, чтобы раскрыть...

Открывала веб-морду под правами обычного админа и админа домена. Под обычным - виден только один шаблон, под доменным - два.
В настройках шаблона WSUSPP на вкладке безопасность добавила пользователя с полными правами на шаблон - под этим пользователем вообще не видно ни одного шаблона

1.jpg
 
Последнее редактирование модератором:
Для ответа нужно войти/зарегистрироваться
Назад
Верх