Configuración de certificados para WSUS

En esta ocasión, os voy a mostrar cómo configurar WSUS para hacer uso de cifrado mediante SSL. Para ello, es necesario añadir un certificado a su Web Site dentro de IIS, de manera que pueda ser cifrado el tráfico con los clientes mediante HTTPS.

Los siguientes pasos detallan el proceso:

  • Abrir la consola de gestión de IIS.
  • Desplegar el nodo con el nombre del servidor.
  • Desplegar el nodo Sites.
  • Hacer click con el botón derecho sobre el WSUS Administration y pulsar sobre Edit Bindings

  • Pulsar sobre Add…

  • Pulsar Select para seleccionar un certificado

  • Pulsar OK para confirmar el certificado a usar para las comunicaciones a través del puerto 8531.
  • Pulsar Close para cerrar la edición de los Bindings.

Es importante remarcar que no es posible configurar el Web Site de WSUS entero para que requiera SSL, ya que podría cifrarse todo el tráfico. WSUS cifra sólo los metadatos de las actualizaciones.
Por tanto, SSL debe ser sólo requerido para los siguientes virtual roots:

  • SimpleAuthWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • APIRemoting30
  • ClientWebService

No se debe requerir el uso de SSL para los siguientes virtual roots:

  • Content
  • Inventory
  • ReportingWebService
  • SelfUpdate

Por defecto, el uso de SSL está desactivado. Para activar el uso de SSL en los virtual roots señalados anteriormente, seguir los siguientes pasos:

  • Acceder a la consola de IIS, desplegar el nodo del Web Site WSUS Administration.
  • Acceder a cada uno de los virtual roots.
  • Hacer doble click sobre SSL Settings

  • Seleccionar la casilla Require SSL

  • Una vez se ha configurado el Web Site de WSUS para que funcione con WSUS, es necesario configurar WSUS para que tome nota de este cambio y comience a utilizar el puerto 8531. Para ello, se debe abrir una consola de comandos como administrador, acceder al directorio de instalación de WSUS y escribir el siguiente comando: Wsusutil.exe configuressl [FQDN del servidor].

  • A continuación, se comprueba que la consola de WSUS conecta correctamente con el Web Site. Para ello se abre la consola de WSUS.