Acerca de cómo implementé Package Publisher y un problema cuya solución no pude encontrar en Internet
No se puede verificar la firma del archivo \\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab
La verificación de la firma del archivo falló para el archivo: \\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab
De alguna manera, me asignaron la tarea de implementar un servidor de actualización en nuestra grilla pequeña para 1000 máquinas. En general, la administración no es mi tarea principal, y durante los últimos dos años he visto ventanas en mis ojos solo en vacaciones muy grandes. Pero el querido servicio de TI dijo: "Lo necesitas para los guardias de seguridad, así que hazlo".
Entonces, habiendo reunido mi voluntad en un puño, fui a leer los manuales de implementación de WSUS. Y si todo es simple, claro, y todos los problemas que podrían surgir ya han sido encontrados por alguien y han sido descritos en los foros, entonces surgieron muchas preguntas con Package Publisher.
¿Por qué era necesario en absoluto? Porque era necesario actualizar centralmente no solo el sistema y las aplicaciones de Microsoft, sino también los de terceros, en particular Firefox. Y solo en aquellas máquinas en las que ya está instalado. (Como alternativa, también se consideró LUP, la funcionalidad es casi la misma, pero las personas amables en los foros dijeron que ya no es compatible y se integra con WinServ2016 mucho más difícil).
Entonces, WSUS ha sido implementado. Por qué debería amar Windows es "Siguiente -> Siguiente -> Listo, eres una delicia". Es hora de Package Publisher. Todos los enlaces que, en principio, están en Internet para él, conducen
aquí . También hay un enlace a git, que describe el proceso de instalación en detalle. A saber: descargue el archivo, descomprímalo, ejecute "Wsus Package Publisher.exe".
En linukha me acostumbré a clonar repositorios en github. Pero por lo que no deberías amar Windows, no todo funciona allí. Si descarga el repositorio simplemente haciendo clic en el botón verde, entonces, horror, no habrá un archivo EXE en el archivo. En serio, intenté durante 20 minutos averiguar cuál era la captura y dónde la perdí. Resultó que solo necesita descargar una
versión específica.
Instalación complacida, o más bien su ausencia. El EXE-shnik se inicia sin ninguna instalación, encuentra WSUS (implementado en la misma máquina) y cuando se conecta a él, muestra un mensaje sobre la falta de un certificado y la imposibilidad de publicar actualizaciones.
Es lógico suponer que el siguiente paso es alimentar el certificado WSUS Package Publisher (Herramientas -> Certificado). Puede generar un autofirmado. Pero realmente no quería hacer eso. Además, un colega desplegó recientemente un servidor de certificación local. Curiosamente, el botón de descarga del certificado se activa solo
después de ingresar una frase de contraseña . "Cerrar". Después de comprobar en la consola mmc que el certificado que necesitaba estaba en el contenedor "WSUS", y todos los asociados con "editores de confianza" y "autoridades de certificación raíz de confianza", esperaba sinceramente que después de reiniciar WSUS, estaría feliz. Si!
Al crear una actualización (puede leer sobre cómo hacer esto para Firefox
aquí ), el último paso es un error: "La verificación de la firma del archivo falló para el archivo:
\\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab "(No se puede verificar la firma del archivo ...). Google dice que la razón es que el certificado no es suficiente en el contenedor de "autoridades de certificados raíz de confianza". ¡Pero él estaba allí! ¡Y no solo él! Donde simplemente no intenté ponerlo. De nada sirvió.
Después de una hora y media de intentos fallidos, me di por vencido y decidí seguir usando el certificado WPP autofirmado. No creas lo que vi yendo a la consola mmc.
Se genera un certificado especial para firmar el código.Es decir, el certificado
debe generarse específicamente para firmar el código . Más importante aún, ¡la
clave privada debe ser exportable ! Y luego es una cuestión técnica, con la ayuda de GPO para distribuir la cadena de certificados en las máquinas de red (aquí ya sin una clave privada), y puede instalar y actualizar centralmente cualquier aplicación.
Entonces, si obtiene una
verificación de la firma del archivo falló por error de
archivo , o cualquier otro similar:
- Generamos un certificado para nuestro WSUS donde Package Publisher está instalado en la Autoridad de certificación de firma de código local. La clave privada debe ser exportable.
- Exportamos el certificado con la clave privada y lo agregamos al Editor del paquete después de ingresar la clave secreta. Reiniciando WSUS.
- Exportamos sin una clave privada y distribuimos a las máquinas del cliente.
- Actualizamos e instalamos cualquier aplicación centralmente y disfrutamos de la vida.