Discussion :

[Josh94666]

Bonjour,

Je suis dans une phase de test d'un serveur wsus l'une de mes contraintes est de le passer en SSL.

J'ai suivi ces tutos :

http://www.tech2tech.fr/windows-serv...-serveur-wsus/

https://technet.microsoft.com/fr-fr/.../bb633246.aspx

J'ai bien indiqué par GPO à mes client le FQDN du serveur avec le port 8531.

Mais je me suis aperçu qu'il n'est pas possible de supprimer la liaison http (8530) car les répertoires "Content" et "Selfupdate" ne fonctionne pas en ssl.

Confirmé par wireshark qui m'indique que les téléchargements des updates se font en http.

Si je change la conf de ces deux répertoires en exigeant ssl ça ne fonctionne pas.

Si je laisse uniquement la liaison https:8531 ça ne fonctionne pas.

Mes questions sont les suivantes :

Pourquoi le serveur ne communique pas en uniquement en ssl ?

Il y a une parade pour le faire fonctionné ainsi ?

Si ce n'est pas possible mon serveur est-il bien sécurisé ?

Si vous avez plus d'explication sur le comportement de wsus je serais extrêment intéressé.

Merci et bonne journée.

[Josh94666]

Bonjour ,

J'ai trouvé les réponse à mes questions :

WSUS utilise le protocole SSL pour les métadonnées uniquement, pas pour les fichiers de mise à jour. Ceci est la même manière que Microsoft Update distribue les mises à jour. Mi-crosoft réduit le risque d'envoyer des fichiers de mise à jour sur un canal non crypté en si-gnant chaque mise à jour. En outre, un hachage est calculé et envoyé en même temps que les métadonnées pour chaque mise à jour. Lorsqu'une mise à jour est téléchargée, WSUS vérifie la signature numérique et hachage. Si la mise à jour a été modifiée, elle n’est pas installé.

https://technet.microsoft.com/en-us/...0%29.aspx#ssl/

Si ça peut servir à quelqu’un.