Настройка WINRM для HTTPS

  • Статья

В этой статье представлено решение для настройки WINRM для HTTPS.

Область применения: Windows 10 — все выпуски
Исходный номер базы знаний: 2019527

Сводка

По умолчанию WinRM использует Kerberos для проверки подлинности, поэтому Windows никогда не отправляет пароль системе, запрашивающей проверку. Чтобы получить список параметров проверки подлинности, введите следующую команду:

winrm get winrm/config

Целью настройки WinRM для HTTPS является шифрование данных, отправляемых по сети.

Для winRM HTTPS требуется сертификат проверки подлинности сервера локального компьютера с cn, соответствующим имени узла для установки. Срок действия сертификата не должен быть просроченным, отозванным или самозаверяться.

Чтобы установить или просмотреть сертификаты для локального компьютера, выполните следующие действия:

  1. Нажмите кнопку Пуск , а затем выберите Выполнить (или с помощью сочетания клавиш Windows+R)。
  2. Введите MMC и нажмите клавишу ВВОД.
  3. Выберите Файл в меню и выберите Добавить или удалить оснастки.
  4. Выберите Сертификаты и нажмите кнопку Добавить.
  5. Перейдите к мастеру, выбрав Учетная запись компьютера.
  6. Установите или просмотрите сертификаты в разделе Сертификаты (локальный компьютер)>Личные>сертификаты.

Если у вас нет сертификата проверки подлинности сервера, обратитесь к администратору сертификата. Если у вас есть сервер сертификатов Майкрософт, вы можете запросить сертификат с помощью шаблона веб-сертификата из HTTPS://<MyDomainCertificateServer>/certsrv.

После установки сертификата введите следующее, чтобы настроить WINRM для прослушивания HTTPS:

winrm quickconfig -transport:https

Если у вас нет соответствующего сертификата, можно выполнить следующую команду с методами проверки подлинности, настроенными для WinRM. Однако данные не будут зашифрованы.

winrm quickconfig

Дополнительная информация

По умолчанию в Windows 7 и более поздних версиях WINRM HTTP использует порт 5985, а WinRM HTTPS — порт 5986. В более ранних версиях Windows WINRM HTTP использует порт 80, а WinRM HTTPS — порт 443.

Чтобы убедиться, что WinRM прослушивает ПРОТОКОЛ HTTPS, введите следующую команду:

winrm enumerate winrm/config/listener

Чтобы убедиться, что сертификат компьютера установлен, используйте надстройку MMC Certificates или введите следующую команду:

Winrm get http://schemas.microsoft.com/wbem/wsman/1/config

Если появляется следующее сообщение об ошибке:

Номер ошибки: -2144108267 0x80338115
ProviderFault
WSManFault
Message = Не удается создать прослушиватель WinRM по протоколу HTTPS, так как на этом компьютере нет соответствующего сертификата.

Чтобы использовать ssl, сертификат должен иметь cn, соответствующий имени узла, соответствующий проверке подлинности сервера, а не должен быть просроченным, отозванным или самозаверяющим.

Откройте надстройку MMC certificates и подтвердите правильность следующих атрибутов:

  • Дата компьютера находится между допустимым от: до даты До: на вкладке Общие .
  • Имя узла соответствует значению Выдано с: на вкладке Общие или соответствует одному из альтернативных имен субъекта , как показано на вкладке Сведения .
  • Что расширенное использование ключа на вкладке Сведения содержит проверку подлинности сервера.
  • На вкладке Путь сертификации для параметра Текущее состояние указано значение Этот сертификат имеет значение ОК.

Если у вас установлено несколько сертификатов сервера учетной записи локального компьютера, убедитесь, что отпечаток сертификата отображается Winrm enumerate winrm/config/listener на вкладке Сведения сертификата.