WSUS 用に SSL を構成する

WSUS の SSL 展開を検討する際は、次に示す 2 つの制限事項を考慮してください。

1. WSUS 展開を SSL でセキュリティ保護すると、サーバーの負荷が大きくなります。ネットワークで伝送するメタデータをすべて暗号化するための付加コストにより、10 パーセント程度のパフォーマンス低下を見込んでください。
   
   
2. リモート SQL を使用する場合、WSUS サーバーとデータベースを実行するサーバーとの接続は SSL でセキュリティ保護されません。データベース接続のセキュリティ保護が必要な場合は、次の推奨事項に従うことを検討してください。
   
   
   • データベースを WSUS サーバー上に配置する (既定の WSUS 構成)。
     
     
   • SQL を実行するリモート サーバーと WSUS サーバーを同じプライベート ネットワークに配置する。
     
     
   • ネットワークに IP セキュリティ (IPsec) を展開してネットワーク トラフィックを保護する。実際の環境に IPsec を展開する方法のガイダンスについては、Windows Server の展開に関するガイド (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=45154) を参照してください。
     
     

証明機関 (CA) をセットアップし、証明書を WSUS Web サイトにバインドして、WSUS Web サイト上の証明書を信頼するようにクライアント コンピューターをブートストラップ処理するための管理タスクは複雑なものです。個々のタスクの手順をこのトピックで詳細に説明することはできませんが、この話題に関する記事が別途用意されています。証明書をインストールして使用環境をセットアップする方法の詳細については、次のリソースを参照してください。

• Windows Server 2003 PKI の操作ガイド (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=83159) では、Windows 証明機関を構成して運用するための手順を管理者向けに説明しています。
  
  
• Microsoft サポート技術情報の記事 299875 (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=86176) では、IIS に SSL を実装するための詳細な手順を説明しています。
  
  
• Windows Server 2003 における証明書の自動登録に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=17801) では、Windows Server 2003 Enterprise に Active Directory を統合した環境で Windows XP を実行するクライアント コンピューターを自動登録する方法について説明しています。
  
  
• 証明書の高度な登録と管理に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=83160) では、その他の環境でクライアント コンピューターを自動登録する方法について説明しています。