Für die Verteilung von Drittanbieter-Updates hat Microsoft den SCUP 2011 (System Center Updates Publisher) im Portfolio. Die folgenden Schritte machen ausschließlich Sinn bei der Verwendung von System Center Essentials 2010 oder System Center Cofiguration Manager bis Version 2012 R2. Der SCUP 2011 funktioniert nicht mit WSUS alleine und wird auch so nicht lizenziert. In den folgenden Teilen beschreibe ich die notwendigen Schritte bis zum Veröffentlichen der Updates am WSUS, wo diese aber nicht sichtbar werden. SCE 2010 und ConfigMgr 2012 R2 werden (noch) nicht beschrieben.

Installation von SCUP 2011 vorbereiten – Schritte:

• Zertifikatsvorlage für Code Signing konfigurieren
• Haimann SCUP Code Signing-Zertifikat anfordern
• SCUP_CodeSigning-Zertifikat am WSUS-Server importieren
• Gruppenrichtlinie für die Verteilung des SCUP_CodeSigning-Zertifikats konfigurieren
• Gruppenrichtlinie Windows Updates konfigurieren
• Auf CLIENT004 die Verteilung des Zertifikats überprüfen

Zertifikatsvorlage für Code Signing konfigurieren

1. Als Administrator an SERVER01 anmelden
2. Server Manager > Local Server > Tools > Certification Authority
3. Haimann Root CA erweitern
4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
   
5. Im Detailbereich die Zertifikatsvorlage Code Signing rechts anklicken und im Kontextmenü Duplicate Template anklicken
   
6. Properties of New Template
   1. Reiter General
      1. Template display name: Haimann SCUP Code Signing
      2. Validity period: 5 years
         
   2. Reiter Request Handling
      1. Allow private key to be exported aktivieren
      2. Do the following when the subject is enrolled and when the private key associated with this certificate is used: Prompt the user during enrollment
         
   3. Reiter Subject Name
      1. Subject name format: Common name
         
   4. Reiter Security
      1. Authenticated Users
      2. Allow > Read, Enroll > OK
         
7. Certificate Templates Console schließen
   
8. In der Certification Authority-Konsole Certificate Templates rechts anklicken und im Kontextmenü New > Certificate Template to Issue anklicken
   
9. Enable Certificate Template
   1. Haimann SCUP Code Signing > OK
      
10. Certification Authority-Konsole schließen
    
11. Von SERVER01 abmelden

Haimann SCUP Code Signing-Zertifikat anfordern

1. Als Administrator an SERVER02 anmelden
2. MMC als Administrator starten
3. Das Certificate-Snap-in für My user account hinzufügen
   
4. Certificates – Current User erweitern
5. Den Ordner Personal rechts anklicken und im Kontextmenü All Tasks > Request New Certificate… anklicken
   
6. Certificate Enrollment
   1. Before You Begin > Next
      
   2. Select Certificate Enrollment Policy > Next
      
   3. Request Certificates
      1. Haimann SCUP Code Signing > Enroll
         
   4. Certificate Installation Results > Finish
      
7. Das erstellte Zertifikat rechts anklicken und im Kontextmenü All Tasks > Export… anklicken
   
8. Certificate Export Wizard
   1. Welcome… > Next
      
   2. Export Private Key
      1. Yes, export the private key > Next
         
   3. Export File Format > Next
      
   4. Security
      1. Password: Password1 > Next
         
   5. File to Export
      1. File name: D:\Sourcen\SCUP_CodeSigning.pfx > Next
         
   6. Completing the Certificate Export Wizard > Finish
      
9. Das Zertifikat nach D:\Sourcen\SCUP_CodeSigning.cer ohne Key exportieren
   
10. Alle Fenster schließen

SCUP_CodeSigning-Zertifikat am WSUS-Server importieren

1. Folgende Schritte auf SERVER02 durchführen
2. MMC als Administrator starten
3. Certificates-Snap-in für Computer account hinzufügen
   
4. Certificates (Local Computer) erweitern
5. Trusted Publishers rechts anklicken und im Kontextmenü All Tasks > Import… anklicken
   
6. Certificate Import Wizard
   1. Welcome… > Next
      
   2. File to Import
      1. File name: D:\Sourcen\SCUP_CodeSigning.cer > Next
         
   3. Certificate Store > Next
      
   4. Completing the Certificate Import Wizard > Finish
      
7. MMC schließen
   

Gruppenrichtlinie für die Verteilung des SCUP_CodeSigning-Zertifikats konfigurieren

1. Folgende Schritte auf SERVER02 durchführen
2. Server Manager > Local Server > Tools > Group Policy Management
3. haimann.local > Group Policy Objects erweitern
4. GPO Computer Standard Settings rechts anklicken und im Kontextmenü Edit… anklicken
   
5. Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies erweitern
6. Trusted Publishers rechts anklicken und im Kontextmenü Import… anklicken
   
7. Certificate Import Wizard
   1. Welcome… > Next
      
   2. File to Import
      1. File name: D:\Sourcen\SCUP_CodeSigning.cer > Next
         
   3. Certificate Store > Next
      
   4. Completing the Certificate Import Wizard > Finish
      
8. Das Zertifikat unter Trusted Publishers
   

Gruppenrichtlinie Windows Updates konfigurieren

1. Computer Configuration\Policies\Administrative Templates\Windows Components erweitern
2. Windows Update anklicken
3. Allow signed updates from an intranet Microsoft update service location aktivieren > OK
   
4. Group Policy Management Editor schließen
   
5. Group Policy Management schließen

 Auf CLIENT004 die Verteilung des Zertifikats überprüfen

1. Als Markus an CLIENT004 anmelden
2. MMC als Administrator starten
3. Das Zertifikate-Snap-In für Computerkonto hinzufügen
   
4. Zertifikate\Vertrauenswürdige Herausgeber erweitern
5. Zertifikate anklicken
   
6. Alle Fenster schließen