2022年2月5日土曜日

ソフトウェア更新ポイント、及びWSUS のSSL 化について

ソフトウェア更新ポイント、及びWSUS のSSL 化についてですが、まずその目的を理解する必要があります。

ここでは簡単のため、主にWSUS サーバーにフォーカスして説明いたします。

WSUS はスタンドアロン構成とリモート構成の2パターンが主にあります。

この内、リモート構成の場合にSSL 化の検討が必要となるかと思います。

これはリモート構成の場合、2拠点間のWSUS の同期時にデータを暗号化するかどうか、という点を検討する必要があるからとなります。

また、クライアントとサーバー間でのデータのやり取りについても同様のことが言えます。

また、WSUS は公開情報にもある通り、メタデータ(WSUS コンソールに表示される情報のデータとお考えください)については、暗号化の対象となりますが、更新プログラムのコンテンツファイル自体は、暗号化の対象となりません。

WSUS をSSL 化する場合、より具体的にはサーバー証明書を導入する場合は、このサーバー証明書を利用して、WSUS はコンテンツファイルに署名をします。(より具体的にいうと、WSUS サーバーは秘密鍵を使ってファイルを署名し、クライアントは公開鍵によってそのファイルの正当性を検証できるようにします)

これに加え、更新プログラムのファイルハッシュを生成し、そのデータをクライアントに送り、クライアントはダウンロードした更新プログラムのファイルハッシュを生成して、サーバーから送られてきたファイルハッシュを比較し、同一であれば、その更新プログラムは正しいものと判断し、更新プログラムのインストールを開始します。

つまり、WSUS をSSL 化することにより、クライアントが更新プログラムをWSUS のサーバー証明書を利用することで検証することができるようになります。

これらの手順について、以下に簡単にまとめました。

基本的には、公開情報にある以下のリンクを見れば導入が可能となりますが、その中であまり具体的に案内がない箇所にフォーカスして手順を記載してありますので、ご参考いただければと思います。

手順 2 - WSUS を構成する | Microsoft Docs


また、WSUS のSSL 化は、Configuration Manager のソフトウェア更新ポイントをTLS/SSL を利用するように構成する手順の一部でもありますので、今回は、下記の公開情報も参考にして、WSUS のSSL 化からソフトウェア更新ポイントのTLS/SSL 化までを試してみたいと思います。

PKI 証明書チュートリアルで TLS/SSL を使用するソフトウェア更新ポイントを構成する - Configuration Manager | Microsoft Docs


しかしながら、上記のWSUS をSSL 化する公開情報で、大前提となる証明書テンプレートの生成方法から、導入までの手順が、かなり分かりづらいものとなっておりますので、下記では、その手順を画面付きで記載してありますので、ご参考にしていただければと思います。


事前準備:ドメインコントローラー上でのサーバー証明書の作成


■概要

ここでは、WSUS サーバーが所属しているドメインのドメインコントローラー上で証明書テンプレートを利用して、証明書を生成する手順を示します。


■手順

1-1) [サーバーマネージャー] > [ツール] > [証明機関] (*1)をクリックします。

*1) 証明機関はデフォルトで役割が存在しないので、役割の追加をしてください。

1-2) [certsrv] で、[証明書テンプレート] を右クリックし、[管理] をクリックします。


1-3) [証明書テンプレート コンソール] 画面で、[Web サーバー] を右クリックし、[テンプレートの複製] をクリックします。


1-4) [新しいテンプレートのプロパティ] の[全般] タブにある、[テンプレートの表示名] に、[WSUS-SUP] と入力します。


1-5) [新しいテンプレートのプロパティ] 画面で、[要求処理] タブをクリックし、[秘密キーのエクスポートを許可する] をクリックします。


1-6) [新しいテンプレートのプロパティ] で、[セキュリティ] タブをクリックし、[Enterprise Admins] グループをクリックして、登録のアクセス許可を外します。



1-7) [新しいテンプレートのプロパティ] で、[追加] をクリックします。

1-8) [ユーザー、コンピューター、サービス アカウントまたはグループの選択] で、[オブジェクトの種類] から[コンピューター] にチェックをつけてOK を押します。



1-9) [ユーザー、コンピューター、サービス アカウントまたはグループの選択] に戻り、WSUS のサーバー名を指定して、[名前の確認] を押し、CM サーバー、もしくはWSUS サーバーが指定できたら、OK を押します。



1-10) [新しいテンプレートのプロパティ] で、1-9) で指定したWSUS サーバーを選択し、[アクセス許可] で、[登録] にチェックを入れてOK を押します。


1-11) [証明書テンプレート  コンソール] で、[WSUS-SUP] テンプレートが追加されたことを確認し、画面を閉じます。


1-12) [certsrv] で、[証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] をクリックします。


1-13) [証明書テンプレートの選択] 画面で、[WSUS-SUP] を選択します。


1-14) [certsrv] で、[WSUS-SUP] が追加されたことを確認します。


事前準備はここまでとなります。
ここまで準備ができれば、後は下記の公開情報の通りに手順を踏めば、WSUS のSSL 化ができます。

PKI 証明書チュートリアルで TLS/SSL を使用するソフトウェア更新ポイントを構成する - Configuration Manager | Microsoft Docs

作成したテンプレートを利用して証明書要求をサーバーからドメインコントローラーに対して行い、IIS に証明書をバインドする手順となります。
確認方法として、MECM のログを確認することになりますが、問題なく確認できるかと思います。

投稿者 時刻: 0 件のコメント:
ラベル: , , , ,
登録: 投稿 (Atom)