Konfigurieren von WINRM für HTTPS

Dieser Artikel enthält eine Lösung zum Konfigurieren von WINRM für HTTPS.

Gilt für: Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 2019527

Zusammenfassung

Standardmäßig verwendet WinRM Kerberos für die Authentifizierung, sodass Windows das Kennwort niemals an das System sendet, das die Überprüfung anfordert. Geben Sie den folgenden Befehl ein, um eine Liste Ihrer Authentifizierungseinstellungen abzurufen:

winrm get winrm/config

Der Zweck der Konfiguration von WinRM für HTTPS besteht darin, die Daten zu verschlüsseln, die über das Netzwerk gesendet werden.

WinRM HTTPS erfordert ein lokales Computer-Serverauthentifizierungszertifikat mit einem CN, der dem Hostnamen entspricht, um installiert zu werden. Das Zertifikat darf nicht abgelaufen, widerrufen oder selbstsigniert sein.

So installieren oder zeigen Sie Zertifikate für den lokalen Computer an:

1. Wählen Sie Start und dann Ausführen aus (oder drücken Sie mit der Tastaturkombination Windows-Taste+R)。
2. Geben Sie MMC ein, und drücken Sie dann die EINGABETASTE.
3. Wählen Sie in den Menüoptionen Datei und dann Snap-Ins hinzufügen oder entfernen aus.
4. Wählen Sie Zertifikate und dann Hinzufügen aus.
5. Gehen Sie durch den Assistenten und wählen Sie Computerkonto aus.
6. Installieren oder anzeigen Sie die Zertifikate unter Zertifikate (Lokaler Computer)>Persönliche>Zertifikate.

Wenn Sie nicht über ein Server authenticating-Zertifikat verfügen, wenden Sie sich an Ihren Zertifikatadministrator. Wenn Sie über einen Microsoft-Zertifikatserver verfügen, können Sie möglicherweise mithilfe der Webzertifikatvorlage von HTTPS://<MyDomainCertificateServer>/certsrvein Zertifikat anfordern.

Geben Sie nach der Installation des Zertifikats Folgendes ein, um WINRM für das Lauschen auf HTTPS zu konfigurieren:

winrm quickconfig -transport:https

Wenn Sie nicht über ein entsprechendes Zertifikat verfügen, können Sie den folgenden Befehl mit den für WinRM konfigurierten Authentifizierungsmethoden ausführen. Die Daten werden jedoch nicht verschlüsselt.

winrm quickconfig

Weitere Informationen

Unter Windows 7 und höheren Versionen verwendet WinRM HTTP standardmäßig Port 5985 und WinRM HTTPS port 5986. In früheren Versionen von Windows verwendet WinRM HTTP Port 80 und WinRM HTTPS port 443.

Geben Sie den folgenden Befehl ein, um zu bestätigen, dass WinRM auf HTTPS lauscht:

winrm enumerate winrm/config/listener

Um zu bestätigen, dass ein Computerzertifikat installiert wurde, verwenden Sie das MMC-Add-In Zertifikate, oder geben Sie den folgenden Befehl ein:

Winrm get http://schemas.microsoft.com/wbem/wsman/1/config

Wenn die folgende Fehlermeldung angezeigt wird:

Fehlernummer: -2144108267 0x80338115
ProviderFault
WSManFault
Meldung : Es kann kein WinRM-Listener unter HTTPS erstellt werden, da dieser Computer nicht über ein entsprechendes Zertifikat verfügt.

Damit ein Zertifikat für SSL verwendet werden kann, muss ein CN mit dem Hostnamen übereinstimmen, für die Serverauthentifizierung geeignet sein und nicht abgelaufen, widerrufen oder selbstsigniert sein.

Öffnen Sie das MMC-Add-In für Zertifikate, und vergewissern Sie sich, dass die folgenden Attribute korrekt sind:

• Das Datum des Computers liegt zwischen dem Datum Gültig von: bis zum Datum Bis: auf der Registerkarte Allgemein .
• Der Hostname stimmt mit dem Auf der Registerkarte Allgemeinausgestellt an: überein, oder er entspricht einem der alternativen Antragstellernamen genau wie auf der Registerkarte Details angezeigt.
• Dass die erweiterte Schlüsselverwendung auf der Registerkarte Detailsdie Serverauthentifizierung enthält.
• Auf der Registerkarte Zertifizierungspfad lautet der aktuelle StatusDieses Zertifikat ist OK.

Wenn Sie mehr als ein Lokales Computerkontoserverzertifikat installiert haben, vergewissern Sie sich, dass der von Winrm enumerate winrm/config/listener angezeigte Zertifikatfingerabdruck auf der Registerkarte Details des Zertifikats demselben Fingerabdruck entspricht.