共用方式為


如何設定 HTTPS 的 WINRM

本文提供為 HTTPS 設定 WINRM 的解決方案。

套用於:Windows 10 - 所有版本
原始 KB 編號: 2019527

摘要

根據預設,WinRM 會使用 Kerberos 進行驗證,讓 Windows 永遠不會將密碼傳送至要求驗證的系統。 若要取得驗證設定的清單,請輸入下列命令:

winrm get winrm/config

設定WinRM for HTTPS 的目的是加密透過網路傳送的數據。

WinRM HTTPS 需要本機計算機伺服器驗證憑證,且 CN 符合要安裝的主機名。 憑證不得過期、撤銷或自我簽署。

若要安裝或檢視本機計算機的憑證:

  1. 選取 [開始],然後選取 [執行] (或使用鍵盤組合按 Windows 鍵+R)。
  2. 輸入 MMC ,然後按 Enter 鍵。
  3. 從功能表選項選取 [ 檔案 ],然後選取 [新增] 或 [ 移除嵌入式管理單元]。
  4. 選取 [ 憑證 ],然後選取 [ 新增]。
  5. 瀏覽精靈,選取 [計算機帳戶]。
  6. 在 [憑證][本機計算機][個人>憑證]> 底下安裝或檢視憑證。

如果您沒有伺服器驗證憑證,請參閱您的憑證管理員。 如果您有 Microsoft 憑證伺服器,您可以使用的 Web 證書範本來 HTTPS://<MyDomainCertificateServer>/certsrv要求憑證。

安裝憑證之後,請輸入下列命令,以將 WINRM 設定為接聽 HTTPS:

winrm quickconfig -transport:https

如果您沒有適當的憑證,您可以使用針對 WinRM 設定的驗證方法執行下列命令。 不過,不會加密數據。

winrm quickconfig

其他相關資訊

根據預設,在 Windows 7 和更新版本上,WinRM HTTP 會使用埠 5985,而 WinRM HTTPS 會使用埠 5986。 在舊版 Windows 上,WinRM HTTP 使用埠 80,而 WinRM HTTPS 使用埠 443。

若要確認 WinRM 正在 HTTPS 上接聽,請輸入下列命令:

winrm enumerate winrm/config/listener

若要確認已安裝計算機憑證,請使用憑證 MMC 載入巨集,或輸入下列命令:

Winrm get http://schemas.microsoft.com/wbem/wsman/1/config

如果您收到下列錯誤訊息:

錯誤號碼: -2144108267 0x80338115
ProviderFault
WSManFault
訊息 = 無法在 HTTPS 上建立 WinRM 接聽程式,因為這部電腦沒有適當的憑證。

若要用於 SSL,憑證必須具有符合主機名的 CN、適用於伺服器驗證,且不得過期、撤銷或自我簽署。

開啟憑證 MMC 載入巨集,並確認下列屬性正確:

  • 計算機的日期介於 [一般] 索引標籤上的 [有效來源: 日期] 之間
  • 主機名符合 [發行至]:在 [一般] 索引卷標上,或與 [詳細數據] 索引標籤上所顯示的其中一個 [主體別名] 完全相符。
  • [詳細數據] 索引標籤上的 [增強金鑰使用方式] 包含伺服器驗證
  • 在 [認證路徑] 索引標籤上,[目前狀態] 為 [此憑證] 為 [確定]。

如果您已安裝多個本機計算機帳戶伺服器證書,請確認憑證的 [詳細數據] 索引卷標上所顯示的 Winrm enumerate winrm/config/listener [憑證指紋] 是相同的指紋。