Comment configurer WINRM pour HTTPS
Cet article fournit une solution pour configurer WINRM pour HTTPS.
Applicabilité : Windows 10 - Toutes les éditions
Numéro de la base de connaissances d’origine : 2019527
Résumé
Par défaut, WinRM utilise Kerberos pour l’authentification afin que Windows n’envoie jamais le mot de passe au système demandant la validation. Pour obtenir la liste de vos paramètres d’authentification, tapez la commande suivante :
winrm get winrm/config
L’objectif de la configuration de WinRM pour HTTPS est de chiffrer les données envoyées sur le réseau.
WinRM HTTPS nécessite un certificat d’authentification serveur de l’ordinateur local avec un cn correspondant au nom d’hôte à installer. Le certificat ne doit pas être expiré, révoqué ou auto-signé.
Pour installer ou afficher les certificats pour l’ordinateur local :
- Sélectionnez Démarrer , puis Exécuter (ou à l’aide de la combinaison de clavier, appuyez sur touche Windows+R)。
- Tapez MMC , puis appuyez sur Entrée.
- Sélectionnez Fichier dans les options de menu, puis sélectionnez Ajouter ou supprimer des composants logiciels enfichables.
- Sélectionnez Certificats , puis Ajouter.
- Parcourez l’Assistant en sélectionnant Compte d’ordinateur.
- Installez ou affichez les certificats sous Certificats (ordinateur local)>Certificats personnels>.
Si vous n’avez pas de certificat d’authentification de serveur, consultez votre administrateur de certificat. Si vous disposez d’un serveur de certificats Microsoft, vous pouvez demander un certificat à l’aide du modèle de certificat web à partir de HTTPS://<MyDomainCertificateServer>/certsrv.
Une fois le certificat installé, tapez ce qui suit pour configurer WINRM pour écouter sur HTTPS :
winrm quickconfig -transport:https
Si vous n’avez pas de certificat approprié, vous pouvez exécuter la commande suivante avec les méthodes d’authentification configurées pour WinRM. Toutefois, les données ne seront pas chiffrées.
winrm quickconfig
Plus d’informations
Par défaut, sur Windows 7 et versions ultérieures, WinRM HTTP utilise le port 5985 et WinRM HTTPS utilise le port 5986. Sur les versions antérieures de Windows, WinRM HTTP utilise le port 80 et WinRM HTTPS utilise le port 443.
Pour confirmer que WinRM écoute sur HTTPS, tapez la commande suivante :
winrm enumerate winrm/config/listener
Pour confirmer l’installation d’un certificat d’ordinateur, utilisez le complément Certificats MMC ou tapez la commande suivante :
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
Si vous obtenez le message d’erreur suivant :
Numéro d’erreur : -2144108267 0x80338115
ProviderFault
WSManFault
Message = Impossible de créer un écouteur WinRM sur HTTPS, car cet ordinateur n’a pas de certificat approprié.
Pour être utilisé pour SSL, un certificat doit avoir un cn correspondant au nom d’hôte, être approprié pour l’authentification du serveur et ne pas être expiré, révoqué ou auto-signé.
Ouvrez le complément MMC certificats et vérifiez que les attributs suivants sont corrects :
- La date de l’ordinateur se situe entre la date Valide de : et la date À : sous l’onglet Général .
- Le nom d’hôte correspond à Émis à : sous l’onglet Général , ou correspond à l’autre nom de l’objet exactement comme affiché sous l’onglet Détails .
- Que l’utilisation améliorée de la clé sous l’onglet Détails contient l’authentification du serveur.
- Sous l’onglet Chemin d’accès de certification , l’état actuel est Ce certificat est OK.
Si plusieurs certificats de serveur de compte d’ordinateur local sont installés, vérifiez que l’empreinte numérique du certificat affichée par Winrm enumerate winrm/config/listener est identique sous l’onglet Détails du certificat.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour