如何为 HTTPS 配置 WINRM
本文提供了为 HTTPS 配置 WINRM 的解决方案。
适用于:Windows 10 - 所有版本
原始 KB 编号: 2019527
摘要
默认情况下,WinRM 使用 Kerberos 进行身份验证,因此 Windows 从不向请求验证的系统发送密码。 若要获取身份验证设置的列表,请键入以下命令:
winrm get winrm/config
为 HTTPS 配置 WinRM 的目的是加密通过网络发送的数据。
WinRM HTTPS 需要具有与要安装的主机名匹配的 CN 的本地计算机服务器身份验证证书。 证书不得过期、吊销或自签名。
若要安装或查看本地计算机的证书,请执行以下操作:
- 选择 “开始 ”,然后选择“ 运行 ” (或使用键盘组合按 Windows 键+R) 。
- 键入 MMC ,然后按 Enter。
- 从菜单选项中选择“ 文件 ”,然后选择“ 添加或删除管理单元”。
- 选择 “证书 ”,然后选择“ 添加”。
- 完成向导,选择“ 计算机帐户”。
- 安装或查看“证书 (本地计算机) >个人>证书” 下的证书。
如果没有服务器身份验证证书,请咨询证书管理员。 如果有 Microsoft 证书服务器,则可以使用 Web 证书模板从 HTTPS://<MyDomainCertificateServer>/certsrv请求证书。
安装证书后,键入以下内容,将 WINRM 配置为侦听 HTTPS:
winrm quickconfig -transport:https
如果没有适当的证书,可以使用为 WinRM 配置的身份验证方法运行以下命令。 但是,数据不会加密。
winrm quickconfig
更多信息
默认情况下,在 Windows 7 及更高版本中,WinRM HTTP 使用端口 5985,WinRM HTTPS 使用端口 5986。 在早期版本的 Windows 上,WinRM HTTP 使用端口 80,WinRM HTTPS 使用端口 443。
若要确认 WinRM 正在侦听 HTTPS,请键入以下命令:
winrm enumerate winrm/config/listener
若要确认已安装计算机证书,请使用 Certificates MMC 加载项或键入以下命令:
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
如果收到以下错误消息:
错误编号: -2144108267 0x80338115
ProviderFault
WSManFault
消息 = 无法在 HTTPS 上创建 WinRM 侦听器,因为此计算机没有相应的证书。
若要用于 SSL,证书必须具有与主机名匹配的 CN、适用于服务器身份验证,并且不能过期、吊销或自签名。
打开证书 MMC 加载项并确认以下属性正确:
- 计算机的日期介于“常规”选项卡上的“有效时间:”到“目标:日期”之间。
- 主机名与“常规”选项卡上的“颁发给:”匹配,或者与“详细信息”选项卡上显示的“使用者可选名称”之一完全匹配。
- “详细信息”选项卡上的“增强型密钥用法”包含服务器身份验证。
- 在“ 证书路径 ”选项卡上, “当前状态 ”为“ 此证书正常”。
如果安装了多个本地计算机帐户服务器证书,请确认证书 Winrm enumerate winrm/config/listener 的“ 详细信息 ”选项卡上显示的证书指纹是相同的指纹。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈