Настройка WINRM для HTTPS
В этой статье представлено решение для настройки WINRM для HTTPS.
Область применения: Windows 10 — все выпуски
Исходный номер базы знаний: 2019527
Сводка
По умолчанию WinRM использует Kerberos для проверки подлинности, поэтому Windows никогда не отправляет пароль системе, запрашивающей проверку. Чтобы получить список параметров проверки подлинности, введите следующую команду:
winrm get winrm/config
Целью настройки WinRM для HTTPS является шифрование данных, отправляемых по сети.
Для winRM HTTPS требуется сертификат проверки подлинности сервера локального компьютера с cn, соответствующим имени узла для установки. Срок действия сертификата не должен быть просроченным, отозванным или самозаверяться.
Чтобы установить или просмотреть сертификаты для локального компьютера, выполните следующие действия:
- Нажмите кнопку Пуск , а затем выберите Выполнить (или с помощью сочетания клавиш Windows+R)。
- Введите MMC и нажмите клавишу ВВОД.
- Выберите Файл в меню и выберите Добавить или удалить оснастки.
- Выберите Сертификаты и нажмите кнопку Добавить.
- Перейдите к мастеру, выбрав Учетная запись компьютера.
- Установите или просмотрите сертификаты в разделе Сертификаты (локальный компьютер)>Личные>сертификаты.
Если у вас нет сертификата проверки подлинности сервера, обратитесь к администратору сертификата. Если у вас есть сервер сертификатов Майкрософт, вы можете запросить сертификат с помощью шаблона веб-сертификата из HTTPS://<MyDomainCertificateServer>/certsrv
.
После установки сертификата введите следующее, чтобы настроить WINRM для прослушивания HTTPS:
winrm quickconfig -transport:https
Если у вас нет соответствующего сертификата, можно выполнить следующую команду с методами проверки подлинности, настроенными для WinRM. Однако данные не будут зашифрованы.
winrm quickconfig
Дополнительная информация
По умолчанию в Windows 7 и более поздних версиях WINRM HTTP использует порт 5985, а WinRM HTTPS — порт 5986. В более ранних версиях Windows WINRM HTTP использует порт 80, а WinRM HTTPS — порт 443.
Чтобы убедиться, что WinRM прослушивает ПРОТОКОЛ HTTPS, введите следующую команду:
winrm enumerate winrm/config/listener
Чтобы убедиться, что сертификат компьютера установлен, используйте надстройку MMC Certificates или введите следующую команду:
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
Если появляется следующее сообщение об ошибке:
Номер ошибки: -2144108267 0x80338115
ProviderFault
WSManFault
Message = Не удается создать прослушиватель WinRM по протоколу HTTPS, так как на этом компьютере нет соответствующего сертификата.
Чтобы использовать ssl, сертификат должен иметь cn, соответствующий имени узла, соответствующий проверке подлинности сервера, а не должен быть просроченным, отозванным или самозаверяющим.
Откройте надстройку MMC certificates и подтвердите правильность следующих атрибутов:
- Дата компьютера находится между допустимым от: до даты До: на вкладке Общие .
- Имя узла соответствует значению Выдано с: на вкладке Общие или соответствует одному из альтернативных имен субъекта , как показано на вкладке Сведения .
- Что расширенное использование ключа на вкладке Сведения содержит проверку подлинности сервера.
- На вкладке Путь сертификации для параметра Текущее состояние указано значение Этот сертификат имеет значение ОК.
Если у вас установлено несколько сертификатов сервера учетной записи локального компьютера, убедитесь, что отпечаток сертификата отображается Winrm enumerate winrm/config/listener
на вкладке Сведения сертификата.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по