Onglet Serveur WSUS

L'onglet Serveur WSUS sert à configurer la façon dont le plug-in va communiquer avec votre serveur WSUS. Il permet aussi de définir le certificat à utiliser pour signer numériquement le contenu publié sur le serveur WSUS.

Informations sur le serveur WSUS

  • Nom : Vérifiez le nom ou l'adresse IP de votre serveur WSUS. Normalement, ces informations sont automatiquement détectées et affichées.
  • Port : Vérifiez le numéro de port utilisé pour établir la connexion avec le serveur WSUS. La valeur par défaut pour les connexions non sécurisées est 80 ou 8530. Les connexions sécurisées utilisent généralement le port 443 ou 8531.
  • Tester la connexion : Pour vous assurer que vous parvenez à accéder au serveur WSUS, cliquez sur Tester la connexion.
  • Utiliser une connexion sécurisée avec ce serveur : Si votre serveur WSUS a été configuré pour utiliser une connexion sécurisée, cochez cette case. La connexion sécurisée est obligatoire si vous devez importer un certificat de signature. Pour en savoir plus, reportez-vous à « Importation d'un certificat ».

Informations sur le certificat de signature de code

Le certificat de signature de code est obligatoire pour la publication de mises à jour sur le serveur WSUS. Si vous disposez déjà d'un certificat de signature, il apparaît dans la zone Certificat actuel.

Vous pouvez réaliser les opérations suivantes sur le certificat :

  • Exporter : Exporte le certificat actuel depuis Patch for Configuration Manager. Pour des raisons de sécurité, le certificat est exporté sans la clé privée. Après avoir exporté le certificat, vous devez le distribuer à vos clients et à vos machines d'infrastructure (notamment, les autres machines exécutant le plug-in Patch for Configuration Manager, les serveurs WSUS en aval et les clients Windows Update). Cette opération est indispensable pour que les machines reçoivent les mises à jour publiées en local.
  • Importer : Permet d'importer un certificat de signature de code créé par une autorité de certification (CA). Une connexion sécurisée est requise pour l'importation d'un certificat.
  • Créer un certificat autosigné : Crée un certificat de signature de code pour votre entreprise. Ce processus utilise les services de WSUS pour créer le certificat.

    • Pour en savoir plus sur l'exportation, l'importation, la création ou le renouvellement de certificats, reportez-vous à « Vue d'ensemble des certificats » et aux autres rubriques traitant des certificats.

  • Utiliser un serveur d'horodatage pour la signature des paquets WSUS : Indique s'il faut appliquer un horodatage à vos paquets WSUS lors du processus de publication. Utilisez le champ Serveur pour spécifier le chemin URI de votre serveur d'horodatage préféré.

    • L'un des avantages de l'utilisation d'un horodatage est que vous n'avez pas besoin de resigner les paquets de mise à jour lorsqu'un certificat de signature WSUS expire. En effet, l'horodatage permet de vérifier la signature même après l'expiration du certificat de signature. Le processus consistant à resigner les mises à jour et à les redistribuer à vos points de distribution peut être complexe et très long, c'est pourquoi l'application d'un horodatage vous évite de nombreux efforts.

    Pour vérifier que le processus d'horodatage fonctionne correctement, cliquez sur Test. Si vous êtes un utilisateur expert et que vous voulez afficher l'horodatage proprement dit après son application, procédez comme suit :

    1. Accédez à votre serveur WSUS.
    2. Repérez le fichier .cab associé à une mise à jour publiée.
      L'emplacement du fichier .cab est indiqué dans l'espace de travail Mises à jour tierces publiées. Sélectionnez la mise à jour publiée voulue, puis recherchez le libellé Emplacement du contenu dans le volet inférieur.
    3. Cliquez avec le bouton droit sur le fichier .cab, sélectionnez Propriétés. L'horodatage se trouve dans l'onglet Signatures numériques.

Abonnement automatique à des catégories

Le processus normal consiste à s'abonner automatiquement à une catégorie WSUS après avoir publié une mise à jour, uniquement si cette mise à jour figure dans un groupe de mises à jour logicielles et nécessite une synchronisation. Si vous souhaitez abonner systématiquement les paquets publiés, que la mise à jour soit ou non dans un groupe de mises à jour logicielles et/ou qu'elle nécessite ou non une synchronisation, cochez la case S'abonner automatiquement à des catégories après la synchronisation d'une publication.