Подводные Камни Издателя Пакетов Wsus

О том, как я развернул Package Publisher и проблеме, решения которой я не нашел в Интернете

Невозможно проверить подпись для файла \\[serverName]\UpdateServicesPackages\AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d\a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab

Не удалось проверить подпись файла для файла: \\[serverName]\UpdateServicesPackages\AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d\a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab

В общем, администрирование — не основная моя задача, и последние два года я видел Windows только по очень большим праздникам.

Но любимая служба информационных технологий сказала: «Вам, специалистам по безопасности, это нужно, вы должны это сделать».

Итак, собрав волю, я пошёл читать мануалы по развёртыванию WSUS. И если здесь все просто и понятно, и все проблемы, которые могли возникнуть, уже кем-то сталкивались и давно описаны на форумах, то с Package Publisher возникло много вопросов.

Для чего это вообще было нужно? Потому что возникла необходимость централизованно обновлять не только систему и приложения Microsoft, но и сторонние, в частности Firefox. И только на тех машинах, на которых он уже установлен.

(В качестве альтернативы рассматривался также LUP, функционал примерно тот же, но добрые люди на форумах сказали, что он больше не поддерживается и его гораздо сложнее интегрировать с WinServ2016.) Итак, WSUS был развернут. Что стоит любить в Windows, так это «Далее -> Далее -> Готово, вы потрясающие».

Пришло время для Package Publisher. К нему ведут все ссылки, которые в принципе есть в Интернете.

здесь .

Также есть ссылка на git, где подробно описан процесс установки.

А именно: скачать архив, распаковать, запустить «Wsus Package Publisher.exe».

В Linux я привык просто клонировать репозитории в Github. Но вот что вам не должно нравиться в Windows: там все работает не так.

Если скачать репозиторий, просто нажав на зеленую кнопку, то, о ужас, в архиве не будет EXE-файла.

Серьезно, я потратил 20 минут, пытаясь понять, что не так и где я это потерял.

Оказалось, что нужно просто скачать определенный выпускать .

Установка, а точнее ее отсутствие, меня порадовали.

EXE запускается без какой-либо установки, самостоятельно находит WSUS (он был развернут на той же машине) и при подключении к нему выдает сообщение об отсутствии сертификата и невозможности публикации обновлений.

Логично предположить, что следующим шагом будет передача сертификата издателю пакета WSUS (Инструменты -> Сертификат).

Вы можете создать самоподписанный файл.

Но мне очень не хотелось этого делать.

Более того, коллега недавно развернул локальный сервер сертификации.

Что интересно, кнопка загрузки сертификата становится активной только после ввода парольной фразы .

"Закрывать".

Проверив в консоли mmc, что нужный мне сертификат находится в контейнере «WSUS», и что все связано с «доверенными издателями» и «доверенными корневыми центрами сертификации», я искренне надеялся, что после перезапуска службы WSUS я буду счастлив .

Ага! При создании обновления (о том, как это сделать для Firefox, можно прочитать здесь ), на последнем этапе возникает ошибка: «Проверка подписи файла не удалась для файла: \\[serverName]\UpdateServicesPackages\AppName_abf10b91-bfa6-44ff-aa54-099e4bf1487d\a7f3d4b2-02b6-4f0c-ab9b-e38c8de9c3f0_1.cab" (Невозможно проверить подпись для файла.

).

Google говорит, что причина в том, что сертификат отсутствует в контейнере "Доверенные корневые центры сертификации" Но он там был! И не только его я пытался поставить везде.

После полутора часов безуспешных попыток я сдался и решил использовать самоподписанный сертификат WPP. Вы не поверите, что я увидел, когда зашёл в консоль ммс.

Для подписи кода генерируется специальный сертификат То есть сертификат должен быть сгенерирован специально для подписи кода .

Что еще важно закрытый ключ должен быть экспортируемым ! А дальше дело техники, с помощью GPO можно раздать цепочку сертификатов по машинам в сети (тут без закрытого ключа), а также централизованно устанавливать и обновлять любые приложения.

Итак, если вы получите сообщение об ошибке Проверка подписи файла не удалась для файла или любое другое подобное:

1. Мы генерируем сертификат в локальном центре сертификации подписи кода для нашего WSUS, где установлен Package Publisher. Закрытый ключ должен быть экспортируемым.

2. Ээкспортируйте сертификат с закрытым ключом и добавьте его в Package Publisher после ввода закрытого ключа.

   Перезапустите службу WSUS.

3. «Мы экспортируем его без закрытого ключа и распространяем на клиентские машины.

4. Обновляем и устанавливаем любые приложения централизованно и радуемся жизни.

• Основы Управления Контрактами

  19 Oct, 24

• Вулканы

  19 Oct, 24

• Mashable Сократит Часть Своих Сотрудников И Сосредоточится На Развитии Телевидения

  19 Oct, 24

• Уязвимости Сервера, Замедляющие Чтение

  19 Oct, 24

• Intel Обещает Твердотельные Накопители Емкостью 10 Тб Через Два Года

  19 Oct, 24

• Elastic Сделал Бесплатными Проблемные Функции Безопасности, Ранее Выпущенные С Открытым Исходным Кодом

  19 Oct, 24

• Как Коронавирус Влияет На Акции Биотехнологических Компаний

  19 Oct, 24

• Google Рассказывает О Своей Формуле Поиска

  19 Oct, 24

• Приглашаем Вас На Dins Java Evening 21 Ноября: Смотрим Aws Lambda В Действии И Знакомимся С Фреймворком Akka

  19 Oct, 24

• Аваст! Удаляет Sndvol32.Exe (Регулятор Громкости) Как Вирус

  19 Oct, 24