Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлено решение по настройке WINRM для HTTPS.
Применяется к: Windows 10 — все выпуски
Исходный номер базы знаний: 2019527
Итоги
По умолчанию WinRM использует Kerberos для проверки подлинности, поэтому Windows никогда не отправляет пароль системе, запрашивающей проверку. Чтобы получить список параметров проверки подлинности, введите следующую команду:
winrm get winrm/config
Цель настройки WinRM для HTTPS — зашифровать данные, отправляемые по проводу.
Для HTTPS WinRM требуется сертификат проверки подлинности локального компьютера с cn, соответствующий имени узла. Сертификат не должен быть истек, отменен или самозаверяется.
Чтобы установить или просмотреть сертификаты для локального компьютера, выполните следующие действия.
- Нажмите кнопку "Пуск", а затем выберите "Запустить" (или с помощью сочетания клавиш Windows+R)。
- Введите MMC и нажмите клавишу ВВОД.
- Выберите "Файл " из параметров меню и выберите пункт "Добавить" или "Удалить оснастки".
- Выберите сертификаты и нажмите кнопку "Добавить".
- Перейдите к мастеру выбора учетной записи компьютера.
- Установите или просмотрите сертификаты в разделе Сертификатов (локальный компьютер)>Личные>сертификаты.
Если у вас нет сертификата проверки подлинности сервера, обратитесь к администратору сертификата. Если у вас есть сервер сертификатов Майкрософт, вы можете запросить сертификат с помощью шаблона веб-сертификата.HTTPS://<MyDomainCertificateServer>/certsrv
После установки сертификата выполните следующую настройку WINRM для прослушивания HTTPS:
winrm quickconfig -transport:https
Если у вас нет соответствующего сертификата, можно выполнить следующую команду с помощью методов проверки подлинности, настроенных для WinRM. Однако данные не будут зашифрованы.
winrm quickconfig
Дополнительная информация
По умолчанию в Windows 7 и более поздних версиях WinRM HTTP использует порт 5985 и HTTPS WinRM использует порт 5986. В более ранних версиях Windows WinRM HTTP использует порт 80 и HTTPS WinRM использует порт 443.
Чтобы убедиться, что WinRM прослушивает HTTPS, введите следующую команду:
winrm enumerate winrm/config/listener
Чтобы подтвердить установку сертификата компьютера, используйте надстройку MMC certificates или введите следующую команду:
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
Если появится следующее сообщение об ошибке:
Номер ошибки: -2144108267 0x80338115
ProviderFault
WSManFault
Message = Не удается создать прослушиватель WinRM на HTTPS, так как этот компьютер не имеет соответствующего сертификата.
Чтобы использовать для SSL, сертификат должен иметь cn, соответствующий имени узла, быть подходящим для проверки подлинности сервера, а не истек, отозван или самозаверяющий.
Откройте надстройку MMC сертификатов и подтвердите правильность следующих атрибутов:
- Дата компьютера зависит от допустимого: до даты на вкладке "Общие".
- Имя узла совпадает с именем "Выдано" на вкладке "Общие" или совпадает с одним из альтернативных имен субъекта, как показано на вкладке "Сведения".
- Использование расширенного ключа на вкладке сведений содержит проверку подлинности сервера.
- На вкладке "Путь сертификации", на которую указан текущий сертификат, задано значение "ОК".
Если у вас установлено несколько сертификатов сервера учетной записи локального компьютера, убедитесь, что отпечаток сертификата, отображаемый на Winrm enumerate winrm/config/listener вкладке "Сведения" сертификата, отображается один и тот же отпечаток.