M42 Patch Installation #3 – 3rd Party Patch Katalog

Um das Third-Party Patch Management zu nutzen, muss ein WSUS Server und ein „Software Update Point“ (SUP) installiert sein. Die Schritte um die Installation und Konfiguration dieser Komponenten durchzuführen sind in Teil 1 und Teil 2 dieser Blog Reihe beschrieben.

Der nun folgende Teil geht auf die Installation und Einrichtung des Matrix42 3rd Party Patch Plugin für SCCM ein. Mit Hilfe des Patch Moduls erhält der Administrator die Möglichkeit, 3rd Party-Patche (z.B. von Adobe, Oracle, …) zu verteilen, ohne diese aufwändig paketieren zu müssen. Die Integration des Matrix42 3rd Party Patch Plugin für SCCM wird durch die Ausführung der Setup Routine durchgeführt.

2015-08-06 09_07_29-Matrix42 Patch Catalog for SCCM Setup

Das Setup prüft noch ob alle benötigten Komponenten verfügbar sind. Die Installation der deutschen Komponenten des .NET Framework 4.5.1 ist nicht zwingend notwendig. Die Installation kann trotzdem durchgeführt werden. Um die Prüfung an dieser Stelle zu umgehen, kann die Tastenkombination Ctrl+s verwendet werden.

Nach der Installation des Plugins muss die SCCM Konsole einmal neu gestartet werden, um es zu aktivieren. Da während des weiteren Verlauf auch Maschinen-bezogene Zertifikate installiert werden müssen, ist es notwendig die SCCM Konsole als Administrator zu öffnen.

2015-08-06 09_08_56-System Center Configuration Manager (Connected to MUC - Munich)

Wird nun einer der beiden neuen Menüpunkte angeklickt, erscheint automatisch ein Dialog zur ersten Einrichtung des Plugins, in dem erst einmal erläutert wird, was in den nächsten Schritten durchgeführt wird.

2015-08-06 09_09_39-Matrix42 Patch Catalog Settings

Im ersten Schritt wird der WSUS Server konfiguriert. In der Regel wird der Port 8530 für HTTP und der Port 8531 für eine verschlüsselte Verbindung via HTTPS genutzt. Um den WSUS Server über HTTPS anzubinden (empfohlen) muss der WSUS Server mit einem SSL Zertifikat versehen werden. Das genaue Vorgehen ist hier beschrieben.

2015-08-06 13_17_06-Matrix42 Patch Catalog Settings

Neben der Angabe des WSUS Server ist es in diesem Dialog notwendig, ein Code-Signing-Zertifikat einzuspielen. Mit diesem Zertifikat wird, der Content der durch das Plugin in WSUS eingespielt wird, signiert. Das Zertifikat kann entweder als sogenanntes „selbst-signiertes Zertifikat“ erstellt werden oder mit der hauseigenen PKI Infrastruktur. Die folgenden Schritte beschreiben, wie ein Code-Signing-Zertifikat mit einer Microsoft CA erstellt wird:

  • Erstellen Sie eine Textdatei (CS.INF) mit folgendem Inhalt:
    ;————————— cs.inf —————————
    [Version]
    Signature=“$Windows NT$
    [NewRequest]
    Subject=“CN=Patch,OU=IT,O=Perfect,OU=Beer,L=Munich,S=Bavarian,C=DE“
    KeySpec=1
    KeyLength=2048
    Exportable=TRUE
    MachineKeySet=TRUE
    SMIME=FALSE
    PrivateKeyArchive=FALSE
    UserProtected=FALSE
    UseExistingKeySet=FALSE
    ProviderName=Microsoft RSA SChannel Cryptographic Provider
    ProviderType=12
    RequestType=PKCS10
    KeyUsage=0xa0
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.3 ; this is for Code Signing
    ;—————————————————————-
    Das „Subject“ kann nach belieben angepasst werden, alle andere Inhalte müssen beibehalten werden.
  • In einer Administrativen CMD-Konsole wird das folgender Befehl ausgeführt um aus der INF Datei einen Zertiifkats-Request zu erstellen:
    certreq.exe –new c:\temp\cs.inf c:\temp\cs.txt
  • Auf der CA wird nun in einer normalen CMD-Konsole der folgende Befehl ausgeführt, um das Zertifikat zu erstellen. Als Template muss hier ein gültiges Template der CA angegeben werden.
    certreq.exe –
    submitattribCertificateTemplate:MyDemoCodeSigning“ c:\temp\cs.txt c:\temp\cs.cer
  • Nun wird das Zertifikat auf einem Client oder dem WSUS Server eingespielt, bei diesem Vorgang vergibt das System einen private Key für das Zertifikat. Dies muss wieder in einer administrativen Konsole geschehen:
    certreq.exe accept c:\temp\ca.cer
  • Nun öffnen Sie eine MMC und fügen das Zertifikats-SnapIn hinzu. im Personal Store des Computers ist das Zertifikat zu finden. Über das Kontextmenü exportieren Sie nun das Zertifikat mit Private Key in eine PFX Datei.

Nachdem das Zertifikat nun zur Verfügung steht, wird dieses mit dem Import Button importiert.

2015-08-06 13_19_48-Matrix42 Patch Catalog Settings

Wichtig: Um ein Zertifikat zu importierten, muss die Verbindung zum WSUS Server über SSL Zertifikat abgesichert sein. Andernfalls kann nur ein selbst-signiertes Zertifikat verwendet werden.

Damit ein selbst-signiertes Zertifikat genutzt werden kann, muss dieses auf alle Clients verteilt werden. Eine Möglichkeit die Verteilung per GPO wie in diesem TechNet Artikel beschrieben.  Eine andere Möglichkeit ist die Nutzung des Commandline Tools „certutil“. Der Aufruf lautet wie folgt:

certutil.exe -addstore TrustedPublisher ca.cer
certutil.exe -addstore TrustedRoot ca.cer

Nach Installation des Zertifikates kann der Proxy definiert werden. Aktivieren Sie die Option „Use Proxy“ nur, wenn der Proxy Server einen Authentifizierung erwartet. Andernfalls findet das Plugin den notwendigen Proxy Server selber.

2015-08-11 17_00_55-Matrix42 Patch Catalog Settings

Beim Kauf des Plugins teilen Sie die E-Mail Adressen mit, die in der Protect Cloud registriert werden müssen. Nach der Registrierung erhalten die eingetragenen User eine Mail mit der Bitte Ihr Kennwort zu ändern. Eine dieser Mail-Adressen mit dem entsprechendem Kennwort wird nun hier hinterlegt.

2015-08-11 17_02_23-Matrix42 Patch Catalog Settings

Nun werden die Sprachen ausgewählt, die Sie in Ihrem Unternehmen unterstützen wollen.

2015-08-11 17_03_58-Matrix42 Patch Catalog Settings

Im Anschluss besteht die Möglichkeit die Konfiguration zu testen. Dies ist auch absolut empfohlen, da sowohl der Zugang zum WSUS Server, zum Internet als auch der Zugang zur Protect Cloud getestet wird.

2015-08-11 17_02_34-Matrix42 Patch Catalog Settings

2015-08-11 17_04_35-Matrix42 Patch Catalog Configuration Checker

Ist der Vorgang erfolgreich abgeschlossen, kann nun mit einem Klick auf „Synchronize Software Updates“ der Patch Katalog heruntergeladen werden. Kurze Zeit später stehen die Informationen des Patch Kataloges im Plugin zur Verfügung.

2015-08-11 17_34_47-System Center Configuration Manager (Connected to MUC - Munich)

Advertisements

2 Gedanken zu „M42 Patch Installation #3 – 3rd Party Patch Katalog

  1. Pingback: M42 Patch Installation #2 – Konfiguration und Synchronisation von WSUS | Crankdesk…

  2. Pingback: M42 Patch Installation #4 – Download | Crankdesk…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s