Geekly articles weekly

Pièges de WSUS Package Publisher

À propos de la façon dont j'ai déployé Package Publisher et d'un problème dont je n'ai pas trouvé la solution sur Internet
Impossible de vérifier la signature du fichier \\ [nom_serveur] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab
La vérification de la signature du fichier a échoué pour le fichier: \\ [nom_serveur] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab

D'une certaine manière, ils m'ont confié la tâche de déployer un serveur de mise à jour dans notre petite grille pour 1000 machines. En général, l'administration n'est pas ma tâche principale, et depuis deux ans je n'ai vu des fenêtres dans mes yeux que lors de très grosses vacances. Mais le service informatique bien-aimé a déclaré: "Vous en avez besoin pour les agents de sécurité, faites-le."

Donc, après avoir rassemblé mon testament en un poing, je suis allé lire les manuels de déploiement WSUS. Et si tout est simple, clair et que tous les problèmes qui pourraient survenir ont déjà été rencontrés par quelqu'un et ont longtemps été décrits dans les forums, de nombreuses questions se sont posées avec Package Publisher.

Pourquoi avait-il besoin de lui? Parce qu'il était nécessaire de mettre à jour de manière centralisée non seulement le système et les applications Microsoft, mais aussi ceux de tiers, en particulier Firefox. Et uniquement sur les machines sur lesquelles il est déjà installé. (Comme alternative, LUP a également été envisagé, la fonctionnalité est à peu près la même, mais les gens aimables sur les forums ont déclaré qu'elle n'était plus prise en charge et s'intégrait beaucoup plus difficile à WinServ2016.)

Ainsi, WSUS a été déployé. Pourquoi vous devriez aimer Windows est "Suivant -> Suivant -> Terminé, vous êtes ravissant." Il est temps pour Package Publisher. Tous les liens qui sont, en principe, sur Internet vers lui, mènent ici . Il existe également un lien vers git, qui décrit le processus d'installation en détail. À savoir: téléchargez l'archive, décompressez-la, exécutez «Wsus Package Publisher.exe».

Dans linukha, je me suis habitué à cloner des dépôts dans github. Mais pour ce que vous ne devriez pas aimer Windows, tout ne fonctionne pas là-bas. Si vous téléchargez le référentiel en cliquant simplement sur le bouton vert, alors, horreur, il n'y aura pas de fichier EXE dans l'archive. Sérieusement, j'ai essayé pendant 20 minutes de comprendre quelle était la capture et où je l'ai perdue. Il s'est avéré qu'il vous suffit de télécharger une version spécifique.

Installation satisfaite, ou plutôt son absence. L'EXE-shnik démarre, sans aucune installation, il trouve WSUS (déployé sur la même machine) et lorsqu'il y est connecté, il affiche un message sur le manque de certificat et l'impossibilité de publier des mises à jour.

Il est logique de supposer que l'étape suivante consiste à alimenter le certificat WSUS Package Publisher (Outils -> Certificat). Vous pouvez générer un auto-signé. Mais je ne voulais vraiment pas faire ça. De plus, un collègue a récemment déployé un serveur de certification local. Fait intéressant, le bouton de téléchargement de certificat ne devient actif qu'après avoir saisi une phrase secrète . "Fermer." Après avoir vérifié dans la console mmc que le certificat dont j'avais besoin se trouvait dans le conteneur «WSUS» et tous ceux associés aux «éditeurs de confiance» et aux «autorités de certification racine de confiance», j'espérais sincèrement qu'après avoir redémarré WSUS, je serais heureux. Ouais!

Lors de la création d'une mise à jour (vous pouvez lire ici comment procéder pour Firefox), la dernière étape est une erreur: «La vérification de la signature du fichier a échoué pour le fichier:
\\ [nom_serveur] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab "(Impossible de vérifier la signature du fichier ...). Google explique que la raison en est que le certificat n'est pas suffisant dans le conteneur "Autorités de certification racine de confiance". Mais il était là! Et pas seulement lui! Où je n'ai tout simplement pas essayé de le mettre. En vain.

Après une heure et demie de tentatives infructueuses, j'ai abandonné et j'ai décidé de continuer à utiliser le certificat WPP auto-signé. Ne croyez pas ce que j'ai vu en allant sur la console mmc.

image
Un certificat spécial est généré pour signer le code.

Autrement dit, le certificat doit être généré spécifiquement pour la signature du code . Plus important encore, la clé privée doit être exportable ! Et puis c'est une question technique, avec l'aide de GPO pour distribuer la chaîne de certificats sur les machines du réseau (ici déjà sans clé privée), et vous pouvez installer et mettre à jour de manière centralisée toutes les applications.

Donc, si vous obtenez un échec de vérification de la signature du fichier pour une erreur de fichier , ou tout autre similaire:

  1. Nous générons un certificat pour notre WSUS où Package Publisher est installé au niveau de l'autorité de certification de signature de code locale. La clé privée doit être exportable.
  2. Nous exportons le certificat avec la clé privée et l'ajoutons au Package Publisher après avoir entré la clé secrète. Redémarrage de WSUS.
  3. Nous exportons sans clé privée et distribuons aux machines clientes.
  4. Nous mettons à jour et installons n'importe quelle application de manière centralisée et profitons de la vie.

Source: https://habr.com/ru/post/fr456470/

More articles:


All Articles