本文提供了为 HTTPS 配置 WINRM 的解决方案。
适用于:Windows 10 - 所有版本
原始 KB 数: 2019527
总结
默认情况下,WinRM 使用 Kerberos 进行身份验证,因此 Windows 永远不会将密码发送到请求验证的系统。 若要获取身份验证设置的列表,请键入以下命令:
winrm get winrm/config
为 HTTPS 配置 WinRM 的目的是加密通过网络发送的数据。
WinRM HTTPS 需要具有与要安装的主机名匹配的 CN 的本地计算机服务器身份验证证书。 证书不得过期、吊销或自签名。
若要安装或查看本地计算机的证书,请执行以下操作:
- 选择“开始”,然后选择“运行”(或使用键盘组合按 Windows 键+R)。
- 键入 MMC ,然后按 Enter。
- 从菜单选项中选择 “文件 ”,然后选择“ 添加或删除管理单元”。
- 选择 “证书 ”,然后选择“ 添加”。
- 浏览向导,选择 计算机帐户。
- 在“证书”(本地计算机)>“个人>证书”下安装或查看证书。
如果没有服务器身份验证证书,请咨询证书管理员。 如果你有 Microsoft 证书服务器,则可以使用 Web 证书模板从中 HTTPS://<MyDomainCertificateServer>/certsrv请求证书。
安装证书后,键入以下内容以配置 WINRM 以侦听 HTTPS:
winrm quickconfig -transport:https
如果没有适当的证书,可以使用为 WinRM 配置的身份验证方法运行以下命令。 但是,不会加密数据。
winrm quickconfig
详细信息
默认情况下,在 Windows 7 及更高版本上,WinRM HTTP 使用端口 5985,WinRM HTTPS 使用端口 5986。 在早期版本的 Windows 上,WinRM HTTP 使用端口 80,WinRM HTTPS 使用端口 443。
若要确认 WinRM 正在侦听 HTTPS,请键入以下命令:
winrm enumerate winrm/config/listener
若要确认已安装计算机证书,请使用证书 MMC 加载项或键入以下命令:
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
如果你得到以下错误消息:
错误号:-2144108267 0x80338115
ProviderFault
WSManFault
消息 = 无法在 HTTPS 上创建 WinRM 侦听器,因为此计算机没有适当的证书。
若要用于 SSL,证书必须具有与主机名匹配的 CN,适合服务器身份验证,并且不过期、吊销或自签名。
打开证书 MMC 加载项并确认以下属性正确:
- 计算机的日期介于“常规”选项卡上的“有效日期”到“To:”日期之间。
- 主机名与“常规”选项卡上的“颁发者”匹配,或者它与“详细信息”选项卡上显示的使用者可选名称之一完全匹配。
- “详细信息”选项卡上的增强型密钥用法包含服务器身份验证。
- 在 “证书路径 ”选项卡上, “当前状态 为 ”此证书“正常。
如果安装了多个本地计算机帐户服务器证书,请确认证书的“详细信息”选项卡上显示的Winrm enumerate winrm/config/listener证书指纹相同。