Teil 22: Installation von SCUP 2011 vorbereiten

Für die Verteilung von Drittanbieter-Updates hat Microsoft den SCUP 2011 (System Center Updates Publisher) im Portfolio. Die folgenden Schritte machen ausschließlich Sinn bei der Verwendung von System Center Essentials 2010 oder System Center Cofiguration Manager bis Version 2012 R2. Der SCUP 2011 funktioniert nicht mit WSUS alleine und wird auch so nicht lizenziert. In den folgenden Teilen beschreibe ich die notwendigen Schritte bis zum Veröffentlichen der Updates am WSUS, wo diese aber nicht sichtbar werden. SCE 2010 und ConfigMgr 2012 R2 werden (noch) nicht beschrieben.

Installation von SCUP 2011 vorbereiten – Schritte:

  • Zertifikatsvorlage für Code Signing konfigurieren
  • Haimann SCUP Code Signing-Zertifikat anfordern
  • SCUP_CodeSigning-Zertifikat am WSUS-Server importieren
  • Gruppenrichtlinie für die Verteilung des SCUP_CodeSigning-Zertifikats konfigurieren
  • Gruppenrichtlinie Windows Updates konfigurieren
  • Auf CLIENT004 die Verteilung des Zertifikats überprüfen

Zertifikatsvorlage für Code Signing konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    SCUP-001
  5. Im Detailbereich die Zertifikatsvorlage Code Signing rechts anklicken und im Kontextmenü Duplicate Template anklicken
    SCUP-002
  6. Properties of New Template
    1. Reiter General
      1. Template display name: Haimann SCUP Code Signing
      2. Validity period: 5 years
        SCUP-003
    2. Reiter Request Handling
      1. Allow private key to be exported aktivieren
      2. Do the following when the subject is enrolled and when the private key associated with this certificate is used: Prompt the user during enrollment
        SCUP-004
    3. Reiter Subject Name
      1. Subject name format: Common name
        SCUP-005
    4. Reiter Security
      1. Authenticated Users
      2. Allow > Read, Enroll > OK
        SCUP-007
  7. Certificate Templates Console schließen
    SCUP-008
  8. In der Certification Authority-Konsole Certificate Templates rechts anklicken und im Kontextmenü New > Certificate Template to Issue anklicken
    SCUP-009
  9. Enable Certificate Template
    1. Haimann SCUP Code Signing > OK
      SCUP-010
  10. Certification Authority-Konsole schließen
    SCUP-011
  11. Von SERVER01 abmelden

Haimann SCUP Code Signing-Zertifikat anfordern

  1. Als Administrator an SERVER02 anmelden
  2. MMC als Administrator starten
  3. Das Certificate-Snap-in für My user account hinzufügen
    SCUP-012
  4. Certificates – Current User erweitern
  5. Den Ordner Personal rechts anklicken und im Kontextmenü All Tasks > Request New Certificate… anklicken
    SCUP-013
  6. Certificate Enrollment
    1. Before You Begin > Next
      SCUP-014
    2. Select Certificate Enrollment Policy > Next
      SCUP-015
    3. Request Certificates
      1. Haimann SCUP Code Signing > Enroll
        SCUP-016
    4. Certificate Installation Results > Finish
      SCUP-017
  7. Das erstellte Zertifikat rechts anklicken und im Kontextmenü All Tasks > Export… anklicken
    SCUP-019
  8. Certificate Export Wizard
    1. Welcome… > Next
      SCUP-020
    2. Export Private Key
      1. Yes, export the private key > Next
        SCUP-021
    3. Export File Format > Next
      SCUP-022
    4. Security
      1. Password: Password1 > Next
        SCUP-023
    5. File to Export
      1. File name: D:\Sourcen\SCUP_CodeSigning.pfx > Next
        SCUP-024
    6. Completing the Certificate Export Wizard > Finish
      SCUP-025
  9. Das Zertifikat nach D:\Sourcen\SCUP_CodeSigning.cer ohne Key exportieren
    SCUP-026
  10. Alle Fenster schließen

SCUP_CodeSigning-Zertifikat am WSUS-Server importieren

  1. Folgende Schritte auf SERVER02 durchführen
  2. MMC als Administrator starten
  3. Certificates-Snap-in für Computer account hinzufügen
    SCUP-036
  4. Certificates (Local Computer) erweitern
  5. Trusted Publishers rechts anklicken und im Kontextmenü All Tasks > Import… anklicken
    SCUP-037
  6. Certificate Import Wizard
    1. Welcome… > Next
      SCUP-038
    2. File to Import
      1. File name: D:\Sourcen\SCUP_CodeSigning.cer > Next
        SCUP-039
    3. Certificate Store > Next
      SCUP-039a
    4. Completing the Certificate Import Wizard > Finish
      SCUP-039b
  7. MMC schließen
    SCUP-039c

Gruppenrichtlinie für die Verteilung des SCUP_CodeSigning-Zertifikats konfigurieren

  1. Folgende Schritte auf SERVER02 durchführen
  2. Server Manager > Local Server > Tools > Group Policy Management
  3. haimann.local > Group Policy Objects erweitern
  4. GPO Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
    SCUP-027
  5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
  6. Trusted Publishers rechts anklicken und im Kontextmenü Import… anklicken
    SCUP-028
  7. Certificate Import Wizard
    1. Welcome… > Next
      SCUP-029
    2. File to Import
      1. File name: D:\Sourcen\SCUP_CodeSigning.cer > Next
        SCUP-030
    3. Certificate Store > Next
      SCUP-031
    4. Completing the Certificate Import Wizard > Finish
      SCUP-032
  8. Das Zertifikat unter Trusted Publishers
    SCUP-033

Gruppenrichtlinie Windows Updates konfigurieren

  1. Computer Configuration\Policies\Administrative Templates\Windows Components erweitern
  2. Windows Update anklicken
  3. Allow signed updates from an intranet Microsoft update service location aktivieren > OK
    SCUP-082
  4. Group Policy Management Editor schließen
    SCUP-083
  5. Group Policy Management schließen

 Auf CLIENT004 die Verteilung des Zertifikats überprüfen

  1. Als Markus an CLIENT004 anmelden
  2. MMC als Administrator starten
  3. Das Zertifikate-Snap-In für Computerkonto hinzufügen
    SCUP-034
  4. Zertifikate\Vertrauenswürdige Herausgeber erweitern
  5. Zertifikate anklicken
    SCUP-035
  6. Alle Fenster schließen

 

2 Gedanken zu „Teil 22: Installation von SCUP 2011 vorbereiten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert