Så här konfigurerar du WINRM för HTTPS

Den här artikeln innehåller en lösning för att konfigurera WINRM för HTTPS.

Gäller för: Windows 10 – alla utgåvor
Ursprungligt KB-nummer: 2019527

Sammanfattning

Som standard använder WinRM Kerberos för autentisering så att Windows aldrig skickar lösenordet till systemet som begär validering. Om du vill hämta en lista över dina autentiseringsinställningar skriver du följande kommando:

winrm get winrm/config

Syftet med att konfigurera WinRM för HTTPS är att kryptera data som skickas via kabeln.

WinRM HTTPS kräver att ett serverautentiseringscertifikat på den lokala datorn med ett CN som matchar värdnamnet ska installeras. Certifikatet får inte ha upphört att gälla, återkallats eller självsignerats.

Så här installerar eller visar du certifikat för den lokala datorn:

  1. Välj Start och välj sedan Kör (eller använd tangentbordskombination genom att trycka på Windows-tangenten +R)。
  2. Skriv MMC och tryck sedan på Retur.
  3. Välj Arkiv från menyalternativ och välj sedan Lägg till eller ta bort snapin-moduler.
  4. Välj Certifikat och välj Lägg till.
  5. Gå igenom guiden och välj Datorkonto.
  6. Installera eller visa certifikaten under Certifikat (lokal dator)>Personliga>certifikat.

Om du inte har ett certifikat för serverautentisering kontaktar du certifikatadministratören. Om du har en Microsoft Certificate-server kanske du kan begära ett certifikat med hjälp av webbcertifikatmallen från HTTPS://<MyDomainCertificateServer>/certsrv.

När certifikatet har installerats skriver du följande för att konfigurera WINRM att lyssna på HTTPS:

winrm quickconfig -transport:https

Om du inte har ett lämpligt certifikat kan du köra följande kommando med de autentiseringsmetoder som konfigurerats för WinRM. Data krypteras dock inte.

winrm quickconfig

Mer information

I Windows 7 och senare versioner använder WinRM HTTP som standard port 5985 och WinRM HTTPS använder port 5986. I tidigare versioner av Windows använder WinRM HTTP port 80 och WinRM HTTPS använder port 443.

Bekräfta att WinRM lyssnar på HTTPS genom att skriva följande kommando:

winrm enumerate winrm/config/listener

Om du vill bekräfta att ett datorcertifikat har installerats använder du MMC-tillägget Certifikat eller skriver följande kommando:

Winrm get http://schemas.microsoft.com/wbem/wsman/1/config

Om du får följande felmeddelande:

Felnummer: -2144108267 0x80338115
ProviderFault
WSManFault
Message = Det går inte att skapa en WinRM-lyssnare på HTTPS eftersom den här datorn inte har något lämpligt certifikat.

För att kunna användas för SSL måste ett certifikat ha ett CN som matchar värdnamnet, vara lämpligt för serverautentisering och inte ha upphört att gälla, återkallats eller självsignerats.

Öppna MMC-tillägget för certifikat och bekräfta att följande attribut är korrekta:

  • Datumet för datorn infaller mellan giltigt från: till till : -datumet på fliken Allmänt .
  • Värdnamnet matchar fliken Utfärdat till: på fliken Allmänt , eller så matchar det något av det alternativa namnet för certifikatmottagaren exakt som det visas på fliken Information .
  • Att förbättrad nyckelanvändning på fliken Information innehåller serverautentisering.
  • På fliken Certifieringssökväg ser du att aktuell status är Det här certifikatet är OK.

Om du har fler än ett lokalt datorkontoservercertifikat installerat kontrollerar du att tumavtrycket för certifikatet som visas Winrm enumerate winrm/config/listener med är samma tumavtryck på fliken Information i certifikatet.