この記事では、HTTPS 用に WINRM を構成するためのソリューションを提供します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 2019527
まとめ
既定では、WinRM は認証に Kerberos を使用するため、Windows は検証を要求するシステムにパスワードを送信しません。 認証設定の一覧を取得するには、次のコマンドを入力します。
winrm get winrm/config
HTTPS 用に WinRM を構成する目的は、ネットワーク経由で送信されるデータを暗号化することです。
WinRM HTTPS には、インストールするホスト名と一致する CN を持つローカル コンピューターのサーバー認証証明書が必要です。 証明書の有効期限が切れていないか、失効しているか、自己署名されていない必要があります。
ローカル コンピューターの証明書をインストールまたは表示するには:
- Startを選択し、Run を選択します (または、キーボードの組み合わせを使用して Windows キーを押しながら R キーを押します)。
- 「 MMC」と入力し Enter キーを押します。
- メニュー オプションから File を選択し、 スナップインの追加または削除を選択します。
- Certificates を選択し、Add を選択します。
- ウィザードで Computer アカウントを選択します。
- 証明書をインストールするか、 Certificates (ローカル コンピューター)>Personal>Certificates で表示します。
サーバー認証証明書がない場合は、証明書管理者に問い合わせてください。 Microsoft 証明書サーバーがある場合は、 HTTPS://<MyDomainCertificateServer>/certsrvから Web 証明書テンプレートを使用して証明書を要求できる場合があります。
証明書がインストールされたら、次のように入力して、HTTPS でリッスンするように WINRM を構成します。
winrm quickconfig -transport:https
適切な証明書がない場合は、WinRM 用に構成された認証方法で次のコマンドを実行できます。 ただし、データは暗号化されません。
winrm quickconfig
詳細
既定では、Windows 7 以降のバージョンでは、WinRM HTTP はポート 5985 を使用し、WinRM HTTPS はポート 5986 を使用します。 以前のバージョンの Windows では、WinRM HTTP はポート 80 を使用し、WinRM HTTPS はポート 443 を使用します。
WinRM が HTTPS でリッスンすることを確認するには、次のコマンドを入力します。
winrm enumerate winrm/config/listener
コンピューター証明書がインストールされていることを確認するには、証明書 MMC アドインを使用するか、次のコマンドを入力します。
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
次のエラー メッセージが表示される場合:
エラー番号: -2144108267 0x80338115
ProviderFault
WSManFault
メッセージ = このマシンには適切な証明書がないため、HTTPS で WinRM リスナーを作成できません。
SSL に使用するには、証明書にホスト名と一致する CN があり、サーバー認証に適しており、期限切れ、失効、または自己署名されていない必要があります。
証明書 MMC アドインを開き、次の属性が正しいことを確認します。
- コンピューターの日付は、General タブの Valid from: から To: の日付の間にあります。
- ホスト名は、General タブの Issued to: と一致するか、Details タブに表示されているとおりにいずれかの Subject Alternative Name と一致します。
- Details タブの Enhanced Key Usage に Server 認証が含まれていること。
- 証明書のパスタブで、現在の状態がこの証明書は OK です。
複数のローカル コンピューター アカウント サーバー証明書がインストールされている場合は、 Winrm enumerate winrm/config/listener によって表示される証明書の拇印が証明書の Details タブに同じ拇印であることを確認します。