WSUS Troubleshooting: WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException

16.02.2010 Автор:Алексей Максимов
10 531 Просмотров 3 комментария

При поднятии роли WSUS на только что установленном сервере Windows Server 2008 столкнулся с проблемой при попытке синхронизации с Microsoft:

WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. ---> System.Security.Authentication.AuthenticationException: Удаленный сертификат недействителен согласно результатам проверки подлинности.

Изучил лог клиента который напрямую обращается на MS WSUS (c:WindowsWindowsUpdate.log) и обнаружил что клиент обращается на узел https://update.microsoft.com.

Решив воспроизвести ситуацию вручную, открыл этот узел в IE - и посмотрел свойства сертификата.
Цепочка сетификатов ведёт к корневому сертификату ЦС - GTE CyberTrust Global Root
Открыл на своем WSUS сервере остнастку certmgr.msc и выполнив поиск обнаружил что у меня нет такого корневого сертификата...

Пришлось скачать отсюда http://support.microsoft.com/default.aspx/kb/931125 файл rootsupd.exe...далее, по причине того, что этот пакет предназанчен только для WinXP (по крайней мере в Win2008 он просто не запускался) - пришлось распаковать и оттуда открыть файл сauthroots.sst
В нём то и оказался нужный мне сертификат КЦС - GTE CyberTrust Global Root..Импортировал этот сертификат через Мастер импорта сертификатов в хранилище Доверенные корневые центры сертификации (в хранилище Локальный компьютер)
...
Открываю остнастку WSUS, запускаю синхронизацию с MS WSUS... синхронизация заработала

Опубликовано в :  Microsoft Windows Server , Microsoft Windows Update
Метки :  , , , , , , , ,

Всего комментариев: 3 Комментировать

  1. Unknown /

    Мой "подводный камешек" был таков ))) ..... Поставил я на Win2003r2 WSUS 3.1 - была точно такая же ошибка..... Прочёл я выше сказанное, проверил сертификаты, всё на месте, все сертификаты есть..... Ничего толкового в инете больше не нашёл, решил обновится вручную и сайта Microsoft - а он не даёт - говорит, что время не синхронизировано с сервером ..... После нескольких манипуляций, путём правки реестра (RTFM Microsoft support) синхронизировал свой контроллер домена с внешним источником, и WSUS после этого чудесным образом синхронизировался и заработал... )))) Удачи!!

    Ответить
  2. Sergey /

    Была такая же ошибка, оказалось NOD32 блокировал. Ни добавление update.microsoft.com в список нефильтруемых, ни исключение wsussevice.exe из списка браузеров не помогли. Спасло лишь полное отключение в NOD32 проверки протокола HTTPS.

    Ответить
    1. NOD32 /

      такая же проблема пока не отключил проверку протокола SSL у НОДа

      Ответить

Добавить комментарий