WSUS Troubleshooting: WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. —> System.Security.Authentication.AuthenticationException

При поднятии роли WSUS на только что установленном сервере Windows Server 2008 столкнулся с проблемой при попытке синхронизации с Microsoft:

WebException: Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. —> System.Security.Authentication.AuthenticationException: Удаленный сертификат недействителен согласно результатам проверки подлинности.

Изучил лог клиента который напрямую обращается на MS WSUS (c:WindowsWindowsUpdate.log) и обнаружил что клиент обращается на узел https://update.microsoft.com.

Решив воспроизвести ситуацию вручную, открыл этот узел в IE — и посмотрел свойства сертификата.
Цепочка сетификатов ведёт к корневому сертификату ЦС — GTE CyberTrust Global Root
Открыл на своем WSUS сервере остнастку certmgr.msc и выполнив поиск обнаружил что у меня нет такого корневого сертификата…

Пришлось скачать отсюда http://support.microsoft.com/default.aspx/kb/931125 файл rootsupd.exe…далее, по причине того, что этот пакет предназанчен только для WinXP (по крайней мере в Win2008 он просто не запускался) — пришлось распаковать и оттуда открыть файл сauthroots.sst
В нём то и оказался нужный мне сертификат КЦС — GTE CyberTrust Global Root..Импортировал этот сертификат через Мастер импорта сертификатов в хранилище Доверенные корневые центры сертификации (в хранилище Локальный компьютер)

Открываю остнастку WSUS, запускаю синхронизацию с MS WSUS… синхронизация заработала

Всего комментариев: 3 Комментировать

  1. Unknown /

    Мой "подводный камешек" был таков ))) ….. Поставил я на Win2003r2 WSUS 3.1 — была точно такая же ошибка….. Прочёл я выше сказанное, проверил сертификаты, всё на месте, все сертификаты есть….. Ничего толкового в инете больше не нашёл, решил обновится вручную и сайта Microsoft — а он не даёт — говорит, что время не синхронизировано с сервером ….. После нескольких манипуляций, путём правки реестра (RTFM Microsoft support) синхронизировал свой контроллер домена с внешним источником, и WSUS после этого чудесным образом синхронизировался и заработал… )))) Удачи!!

  2. Sergey /

    Была такая же ошибка, оказалось NOD32 блокировал. Ни добавление update.microsoft.com в список нефильтруемых, ни исключение wsussevice.exe из списка браузеров не помогли. Спасло лишь полное отключение в NOD32 проверки протокола HTTPS.

    1. NOD32 /

      такая же проблема пока не отключил проверку протокола SSL у НОДа

Добавить комментарий