Zu Hauptinhalten wechseln
Matrix42 Self-Service Help Center

Installation & Konfiguration

Um das Third-Party Patch Management zu nutzen, muss ein WSUS Server und ein "Software Update Point" (SUP) installiert sein.

Der nun folgende Text geht auf die Installation und Einrichtung des Matrix42 3rd Party Patch-Katalog für SCCM ein. Mit Hilfe des Patch Moduls erhält der Administrator die Möglichkeit, 3rd Party-Patche (z.B. von Adobe, Oracle, …) zu verteilen, ohne diese aufwändig paketieren zu müssen. Die Integration des Matrix42 3rd Party Patch-Katalogs für SCCM wird durch die Ausführung der Setup Routine durchgeführt.

Das Setup prüft noch, ob alle benötigten Komponenten verfügbar sind. Die Installation der deutschen Komponenten des .NET Framework 4.6.2 ist nicht zwingend notwendig. Die Installation kann trotzdem durchgeführt werden.

Um die Prüfung an dieser Stelle zu umgehen, kann die Tastenkombination 'Ctrl+s' verwendet werden.

Nach der Installation des Plugins muss die SCCM-Konsole einmal neu gestartet werden, um es zu aktivieren.

Da während des weiteren Verlauf auch maschinenbezogene Zertifikate installiert werden müssen, ist es notwendig die SCCM-Konsole als Administrator zu öffnen.

Wird nun einer der beiden neuen Menüpunkte angeklickt, erscheint automatisch ein Dialog zur ersten Einrichtung des Plugins, in dem erst einmal erläutert wird, was in den nächsten Schritten durchgeführt wird.

Im ersten Schritt wird der WSUS Server konfiguriert. In der Regel wird der Port 8530 für HTTP und der Port 8531 für eine verschlüsselte Verbindung via HTTPS genutzt. Hierbei muss der gleiche WSUS Server eingetragen werden, wie der in der Software Update Point (SUP) in SCCM hinterlegte WSUS Server.

Um den WSUS Server über HTTPS anzubinden (empfohlen), muss der WSUS Server mit einem SSL-Zertifikat versehen werden. Das genaue Vorgehen ist hier beschrieben.

Neben der Angabe des WSUS Server ist es in diesem Dialog notwendig, ein Code-Signing-Zertifikat einzuspielen.

Für den M42 Patch-Katalog für SCCM ist es zwingend notwendig, ein Code-Signing-Zertifikat zu erstellen.

Mit diesem Zertifikat wird der Inhalt, der durch das Plugin in WSUS eingespielt wird, signiert. Das Zertifikat kann entweder als sogenanntes "selbst-signiertes Zertifikat" erstellt werden oder mit der hauseigenen PKI-Infrastruktur. Die folgenden Schritte beschreiben, wie ein Code-Signing-Zertifikat mit einer Microsoft Certificate Authority (CA) erstellt wird:

  • Erstellen Sie eine Textdatei (CS.INF) mit folgendem Inhalt:
    ;————————— cs.inf —————————
    [Version]
    Signature="$Windows NT$
    [NewRequest]
    Subject="CN=Patch,OU=IT,O=Perfect,OU=Beer,L=Munich,S=Bavarian,C=DE"
    KeySpec=1
    KeyLength=2048
    Exportable=TRUE
    MachineKeySet=TRUE
    SMIME=FALSE
    PrivateKeyArchive=FALSE
    UserProtected=FALSE
    UseExistingKeySet=FALSE
    ProviderName=Microsoft RSA SChannel Cryptographic Provider
    ProviderType=12
    RequestType=PKCS10
    KeyUsage=0xa0
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.3 ; this is for Code Signing
    ;—————————————————————-
    Das "Subject" kann nach belieben angepasst werden, alle andere Inhalte müssen beibehalten werden.
  • In einer administrativen CMD-Konsole wird der folgender Befehl ausgeführt, um aus der INF-Datei einen Zertifikats-Request zu erstellen:

certreq.exe –new c:\temp\cs.inf c:\temp\cs.txt

  • Auf der CA wird nun in einer normalen CMD-Konsole der folgende Befehl ausgeführt, um das Zertifikat zu erstellen. Als Template muss hier ein gültiges Template(Code-Signing) der CA angegeben werden:

certreq.exe –submit –attrib "CertificateTemplate:MyDemoCodeSigning" c:\temp\cs.txt c:\temp\cs.cer

  • Nun wird das Zertifikat auf einem Client oder dem WSUS Server eingespielt, bei diesem Vorgang vergibt das System einen private Key für das Zertifikat. Dies muss wieder in einer administrativen Konsole geschehen:


certreq.exe accept c:\temp\ca.cer

  • Nun öffnen Sie eine MMC und fügen das Zertifikats-SnapIn hinzu. im Personal Store des Computers ist das Zertifikat zu finden. Über das Kontextmenü exportieren Sie nun das Zertifikat mit Private Key in eine PFX Datei.

Nachdem das Zertifikat nun zur Verfügung steht, wird dieses über die Import-Schaltfläche importiert.

Um ein Zertifikat zu importierten, muss die Verbindung zum WSUS Server über ein SSL-Zertifikat abgesichert sein. Andernfalls kann nur ein selbst-signiertes Zertifikat verwendet werden.
Dieses Zertifikat muss auf dieser Maschine unter vertrauenswürdige Stammzertifizierungsstelle eingetragen sein.

Damit ein selbst-signiertes Zertifikat genutzt werden kann, muss dieses auf alle Clients verteilt werden. Eine Möglichkeit, die Verteilung per Group Policy Object (GPO) zu realisieren, ist in diesem TechNet Artikel beschrieben.

Eine andere Möglichkeit ist die Nutzung des Commandline Tools "certutil". Der Aufruf lautet wie folgt:

certutil.exe -addstore TrustedPublisher ca.cer
certutil.exe -addstore TrustedRoot ca.cer

Das Zertifikat muss auf allen WSUS Servern, Maschinen mit SCCM Konsole und allen Maschinen die gepatched werden sollen installiert werden

Nach Installation des Zertifikates kann der Proxy definiert werden. Aktivieren Sie die Option "Use Proxy" nur, wenn der Proxy Server einen Authentifizierung erwartet. Andernfalls findet das Plugin den notwendigen Proxy Server selber.

Um den Patch Catalog nutzen zu können, wird ein Lizenzschlüssel zur Eingabe verlangt. Diesen erhalten Sie direkt von Matrix42 auf Anfrage. 

Um diesen Lizenzschlüssel einzugeben, gibt es 3 Schritte, die zu beachten sind:

  1. Aktivierungsmodus (Produkt Lizenz, Testmodus und Import einer manuellen Lizenz)
  2. Eingabe des Aktivierungsschlüssels
  3. Aktivierungsmethode (Online oder Manuell/ Offline)

Wird bei Schritt 3 die manuelle Aktivierungsmethode verwendet, wechselt die "Activate Online now"-Schaltfläche in eine "Create Request"-Schaltfläche und erzeugt im Hintergrund eine "LicenseInfo.xml"-Datei, die auf dem Desktop abgespeichert wird. Zusätzlich erscheint ein neues Fenster mit der Vorgehensweise zum Aktivieren, der Folge zu leisten ist.

Nach dem erfolgreichen Aktivieren der Lizenz, wird die Offline-Option konfiguriert. Dabei ist der lokale Pfad zu hinterlegen, wo die Patches heruntergeladen werden sollen und es kann ein Offline-Modus aktiviert werden.

Wurde die erste Konfiguration durchgeführt und abgespeichert, erscheint beim erneuten Öffnen ein zusätzliches Fenster für den Zeitplaner. Hier wird eingestellt, in welchem Rythmus automatisch nachgeschaut werden soll, ob ein neuer Patch Katalog zur Verfügung steht.

Nun werden die Sprachen ausgewählt, die Sie in Ihrem Unternehmen unterstützen wollen.

Seit der neuesten Version 2.3.837 des Patch-Katalogs für SCCM besteht die Möglichkeit, neben dem integrierten Shavlik Katalog, noch weitere benutzerdefinierte Kataloge mit einzubinden.

Dabei ist es notwendig, eine Cab- Datei und deren URL-Pfad zu wissen, sowie den Katalognamen und eine kurze Beschreibung zu hinterlegen.

Zum Schluss besteht die Möglichkeit, die Konfiguration zu testen. Dies ist auch absolut zu empfehlen, da sowohl der Zugang zum WSUS Server und zum Internet getestet wird.

Detaillierte Tests werden durchgeführt und müssen alle erfolgreich durchlaufen. Die meisten Informationen in diesem Dialog werden automatisch gesetzt, können aber nach Bedarf geändert werden.

Folgendes wird dabei geprüft:

  • die Möglichkeit, eine Verbindung zum WSUS-Server herzustellen, indem ein FQDN und eine Portnummer verwendet werden
  • die Möglichkeit, eine Verbindung zur Protect Cloud mit einem Benutzernamen und Passwort herzustellen
  • die Möglichkeit, den Shavlik Patch-Katalog abzurufen
  • das Benutzerkonto hat sich als Batch-Job-Berechtigungen angemeldet
  • das Benutzerkonto ist Mitglied der Gruppe Administratoren und der Gruppe WSUS-Administratoren auf dem WSUS-Server
  • das WSUS-Signaturzertifikat ist in den vertrauenswürdigen Root- und Trusted Publisher-Speichern enthalten und ist aktuell (nicht abgelaufen)

Wenn einer der Tests fehlschlägt, muss das Problem korrigiert werden, bevor der M42 Patch-Katalog genutzt werden kann.

Ist der Vorgang erfolgreich abgeschlossen, kann nun mit einem Klick auf "Synchronize Software Updates" der Patch-Katalog heruntergeladen werden. Kurze Zeit später stehen die Informationen des Patch-Kataloges im Plugin zur Verfügung.

  • War dieser Artikel hilfreich?