本文提供為 HTTPS 設定 WINRM 的解決方案。
套用於:Windows 10 - 所有版本
原始 KB 編號: 2019527
摘要
根據預設,WinRM 會使用 Kerberos 進行驗證,讓 Windows 永遠不會將密碼傳送至要求驗證的系統。 若要取得驗證設定的清單,請輸入下列命令:
winrm get winrm/config
設定WinRM for HTTPS 的目的是加密透過網路傳送的數據。
WinRM HTTPS 需要本機計算機伺服器驗證憑證,且 CN 符合要安裝的主機名。 憑證不得過期、撤銷或自我簽署。
若要安裝或檢視本機計算機的憑證:
- 選取 [開始],然後選取 [執行] (或使用鍵盤組合按 Windows 鍵+R)。
- 輸入 MMC ,然後按 Enter 鍵。
- 從功能表選項選取 [ 檔案 ],然後選取 [新增] 或 [ 移除嵌入式管理單元]。
- 選取 [ 憑證 ],然後選取 [ 新增]。
- 瀏覽精靈,選取 [計算機帳戶]。
- 在 [憑證][本機計算機][個人>憑證]> 底下安裝或檢視憑證。
如果您沒有伺服器驗證憑證,請參閱您的憑證管理員。 如果您有 Microsoft 憑證伺服器,您可以使用的 Web 證書範本來 HTTPS://<MyDomainCertificateServer>/certsrv要求憑證。
安裝憑證之後,請輸入下列命令,以將 WINRM 設定為接聽 HTTPS:
winrm quickconfig -transport:https
如果您沒有適當的憑證,您可以使用針對 WinRM 設定的驗證方法執行下列命令。 不過,不會加密數據。
winrm quickconfig
其他相關資訊
根據預設,在 Windows 7 和更新版本上,WinRM HTTP 會使用埠 5985,而 WinRM HTTPS 會使用埠 5986。 在舊版 Windows 上,WinRM HTTP 使用埠 80,而 WinRM HTTPS 使用埠 443。
若要確認 WinRM 正在 HTTPS 上接聽,請輸入下列命令:
winrm enumerate winrm/config/listener
若要確認已安裝計算機憑證,請使用憑證 MMC 載入巨集,或輸入下列命令:
Winrm get http://schemas.microsoft.com/wbem/wsman/1/config
如果您收到下列錯誤訊息:
錯誤號碼: -2144108267 0x80338115
ProviderFault
WSManFault
訊息 = 無法在 HTTPS 上建立 WinRM 接聽程式,因為這部電腦沒有適當的憑證。
若要用於 SSL,憑證必須具有符合主機名的 CN、適用於伺服器驗證,且不得過期、撤銷或自我簽署。
開啟憑證 MMC 載入巨集,並確認下列屬性正確:
- 計算機的日期介於 [一般] 索引標籤上的 [有效來源: 到: 日期] 之間。
- 主機名符合 [發行至]:在 [一般] 索引卷標上,或與 [詳細數據] 索引標籤上所顯示的其中一個 [主體別名] 完全相符。
- [詳細數據] 索引標籤上的 [增強金鑰使用方式] 包含伺服器驗證。
- 在 [認證路徑] 索引標籤上,[目前狀態] 為 [此憑證] 為 [確定]。
如果您已安裝多個本機計算機帳戶伺服器證書,請確認憑證的 [詳細數據] 索引卷標上所顯示的 Winrm enumerate winrm/config/listener [憑證指紋] 是相同的指紋。