Informationen zur Bereitstellung von Package Publisher und zu einem Problem, dessen Lösung ich im Internet nicht finden konnte
Die Signatur für die Datei \\ [Servername] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab kann nicht überprüft werden
Überprüfung der Dateisignatur für Datei fehlgeschlagen: \\ [Servername] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab
Irgendwie haben sie mir die Aufgabe gestellt, einen Update-Server in unserem kleinen Grid für 1000 Computer bereitzustellen. Im Allgemeinen ist die Verwaltung nicht meine Hauptaufgabe, und in den letzten zwei Jahren habe ich nur an sehr großen Feiertagen Fenster in meinen Augen gesehen. Aber der geliebte IT-Service sagte: "Sie brauchen es für die Sicherheitskräfte, also tun Sie es."
Nachdem ich meinen Willen zur Faust geballt hatte, las ich die WSUS-Bereitstellungshandbücher. Und wenn alles einfach und klar ist und alle Probleme, die auftreten könnten, bereits von jemandem angetroffen und lange in den Foren beschrieben wurden, stellten sich bei Package Publisher viele Fragen.
Warum wurde er überhaupt gebraucht? Weil nicht nur das Microsoft-System und die Anwendungen, sondern auch die von Drittanbietern, insbesondere Firefox, zentral aktualisiert werden mussten. Und nur auf den Maschinen, auf denen es bereits installiert ist. (Als Alternative wurde auch LUP in Betracht gezogen, die Funktionalität ist ungefähr gleich, aber freundliche Leute in den Foren sagten, dass es nicht mehr unterstützt wird und sich viel schwieriger in WinServ2016 integrieren lässt.)
WSUS wurde also bereitgestellt. Warum Sie Windows lieben sollten, ist "Weiter -> Weiter -> Fertig, Sie sind entzückend." Es ist Zeit für Package Publisher. Alle Links, die grundsätzlich im Internet zu ihm führen, führen
hierher . Es gibt auch einen Link zu git, der den Installationsprozess ausführlich beschreibt. Nämlich: Laden Sie das Archiv herunter, entpacken Sie es und führen Sie "Wsus Package Publisher.exe" aus.
In Linukha habe ich mich daran gewöhnt, Repositories in Github zu klonen. Aber für das, was Sie Windows nicht lieben sollten, funktioniert dort nicht alles. Wenn Sie das Repository herunterladen, indem Sie einfach auf die grüne Schaltfläche klicken, befindet sich, Horror, keine EXE-Datei im Archiv. Im Ernst, ich habe 20 Minuten lang versucht herauszufinden, was der Fang war und wo ich ihn verloren habe. Es stellte sich heraus, dass Sie nur eine bestimmte
Version herunterladen müssen.
Installation zufrieden, oder eher seine Abwesenheit. Der EXE-shnik wird ohne Installation gestartet, findet WSUS (auf demselben Computer bereitgestellt) und zeigt bei Verbindung eine Meldung über das Fehlen eines Zertifikats und die Unfähigkeit, Updates zu veröffentlichen.
Es ist logisch anzunehmen, dass der nächste Schritt darin besteht, das WSUS Package Publisher-Zertifikat (Tools -> Zertifikat) einzugeben. Sie können eine selbstsignierte erstellen. Aber das wollte ich wirklich nicht. Darüber hinaus hat ein Kollege kürzlich einen lokalen Zertifizierungsserver bereitgestellt. Interessanterweise wird die Schaltfläche zum Herunterladen von Zertifikaten erst
nach Eingabe einer Passphrase aktiv . "Schließen." Nachdem ich in der mmc-Konsole überprüft hatte, dass sich das von mir benötigte Zertifikat im Container „WSUS“ befand, und alle mit „vertrauenswürdigen Herausgebern“ und „vertrauenswürdigen Stammzertifizierungsstellen“ verbundenen Zertifikate, hoffte ich aufrichtig, dass ich mich nach dem Neustart von WSUS freuen würde. Ja!
Beim Erstellen eines Updates (Informationen dazu finden Sie
hier für Firefox) ist der letzte Schritt ein Fehler: „Die Überprüfung der Dateisignatur für die Datei ist fehlgeschlagen:
\\ [Servername] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab "(Signatur für die Datei kann nicht überprüft werden ...). Laut Google reicht der Grund dafür aus, dass das Zertifikat im Container "Vertrauenswürdige Stammzertifizierungsstellen" nicht ausreicht. Aber er war da! Und nicht nur er! Wo ich es einfach nicht versucht habe. Ohne Erfolg.
Nach anderthalb Stunden erfolgloser Versuche gab ich auf und beschloss, das selbstsignierte WPP-Zertifikat weiterhin zu verwenden. Glauben Sie nicht, was ich gesehen habe, als ich zur mmc-Konsole ging.
Zum Signieren des Codes wird ein spezielles Zertifikat generiert.Das heißt, das Zertifikat
muss speziell zum Signieren des Codes generiert werden . Noch wichtiger ist, dass der
private Schlüssel exportierbar sein muss ! Und dann ist es eine technische Angelegenheit, mithilfe des Gruppenrichtlinienobjekts die Zertifikatskette auf den Netzwerkcomputern zu verteilen (hier bereits ohne privaten Schlüssel), und Sie können alle Anwendungen zentral installieren und aktualisieren.
Wenn Sie also eine
Überprüfung der Dateisignatur erhalten, die aufgrund eines
Dateifehlers oder eines ähnlichen
Ereignisses fehlgeschlagen ist :
- Wir generieren ein Zertifikat für unseren WSUS, in dem Package Publisher bei der lokalen Code Signing Certificate Authority installiert ist. Der private Schlüssel muss exportierbar sein.
- Wir exportieren das Zertifikat mit dem privaten Schlüssel und fügen es nach Eingabe des geheimen Schlüssels dem Package Publisher hinzu. WSUS neu starten.
- Wir exportieren ohne privaten Schlüssel und verteilen auf Client-Maschinen.
- Wir aktualisieren und installieren jede Anwendung zentral und genießen das Leben.