Geekly articles weekly

Armadilhas do Publicador de Pacotes do WSUS

Sobre como implantei o Package Publisher e um problema cuja solução não consegui encontrar na Internet
Não foi possível verificar a assinatura do arquivo \\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab
Falha na verificação da assinatura do arquivo: \\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab

De alguma forma, eles me definiram a tarefa de implantar um servidor de atualização em nossa pequena grade para 1000 máquinas. Em geral, a administração não é minha principal tarefa e, nos últimos dois anos, vi janelas nos meus olhos apenas em feriados muito grandes. Mas o amado serviço de TI disse: "Você precisa dele para os guardas de segurança, então faça isso".

Então, tendo reunido minha vontade em um punho, fui ler os manuais de implantação do WSUS. E se tudo é simples, claro e todos os problemas que podem surgir já foram encontrados por alguém e há muito são descritos nos fóruns, muitas perguntas surgiram no Package Publisher.

Por que ele era necessário? Porque havia uma necessidade de atualizar centralmente não apenas o sistema e os aplicativos da Microsoft, mas também os de terceiros, em particular o Firefox. E apenas nas máquinas em que já está instalado. (Como alternativa, o LUP também foi considerado, a funcionalidade é praticamente a mesma, mas as pessoas gentis nos fóruns disseram que ele não é mais suportado e se integra muito mais ao WinServ2016.)

Portanto, o WSUS foi implantado. Por que você deve amar o Windows é "Próximo -> Próximo -> Concluído, você é encantadora". Está na hora do Package Publisher. Todos os links que estão, em princípio, na Internet para ele, levam aqui . Há também um link para o git, que descreve o processo de instalação em detalhes. A saber: faça o download do arquivo, descompacte-o e execute "Wsus Package Publisher.exe".

No linukha eu me acostumei a clonar repositórios no github. Mas para o que você não deve amar o Windows, tudo não funciona lá. Se você baixar o repositório, basta clicar no botão verde e, horror, não haverá um arquivo EXE no arquivo morto. Sério, tentei por 20 minutos descobrir qual era a captura e onde a perdi. Aconteceu que você só precisa fazer o download de uma versão específica.

Instalação satisfeita, ou melhor, sua ausência. O EXE-shnik inicia, sem nenhuma instalação, encontra o WSUS (implantado na mesma máquina) e, quando conectado a ele, exibe uma mensagem sobre a falta de um certificado e a incapacidade de publicar atualizações.

É lógico supor que a próxima etapa seja alimentar o certificado do WSUS Package Publisher (Ferramentas -> Certificado). Você pode gerar um autoassinado. Mas eu realmente não queria fazer isso. Além disso, um colega implantou recentemente um servidor de certificação local. Curiosamente, o botão de download do certificado se torna ativo somente após a inserção de uma senha . "Fechar". Depois de verificar no console da mmc que o certificado que eu precisava estava no contêiner "WSUS" e todos os associados a "editores confiáveis" e "autoridades de certificação raiz confiáveis", eu sinceramente esperava que, depois de reiniciar o WSUS, ficaria feliz. Sim!

Ao criar uma atualização (você pode ler sobre como fazer isso no Firefox aqui ), a última etapa é um erro: “Falha na verificação da assinatura do arquivo:
\\ [serverName] \ UpdateServicesPackages \ AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d \ a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab "(Não foi possível verificar a assinatura do arquivo ...). O Google diz que o motivo é que o certificado não é suficiente no contêiner "autoridades de certificação raiz confiáveis". Mas ele estava lá! E não só ele! Onde eu simplesmente não tentei colocá-lo. Sem sucesso.

Após uma hora e meia de tentativas frustradas, desisti e decidi continuar a usar o certificado WPP autoassinado. Não acredite no que vi acessando o console da mmc.

imagem
Um certificado especial é gerado para assinar o código.

Ou seja, o certificado deve ser gerado especificamente para assinar o código . Mais importante, a chave privada deve ser exportável ! E então é uma questão técnica, com a ajuda do GPO para distribuir a cadeia de certificados nas máquinas da rede (aqui já sem chave privada), e você pode instalar e atualizar centralmente todos os aplicativos.

Portanto, se você receber uma verificação de assinatura de arquivo com falha por erro de arquivo ou qualquer outro similar:

  1. Geramos um certificado para o WSUS em que o Package Publisher está instalado na Autoridade de Certificação de Assinatura de Código local. A chave privada deve ser exportável.
  2. Exportamos o certificado com a chave privada e o adicionamos ao Package Publisher após inserir a chave secreta. Reiniciando o WSUS.
  3. Exportamos sem uma chave privada e distribuímos para as máquinas clientes.
  4. Atualizamos e instalamos qualquer aplicativo centralmente e aproveitamos a vida.

Source: https://habr.com/ru/post/pt456470/

More articles:


All Articles