WinRm https Listener kann nicht konfiguriert werden

8

Ich versuche, den winrmhttps-Listener auf einem Windows-Computer zu konfigurieren . Zuvor hatte ich WinRm https Listener Konfiguration gefolgt

Die obige Lösung hat bei mir funktioniert.

Aber jetzt habe ich den Listener gelöscht und möchte die WinRM erneut mit konfigurieren, winrm quickconfig -transport:httpsaber ich kann es nicht als Wurffehler tun

WSManFault

Nachricht = Auf HTTPS kann kein WinRM-Listener erstellt werden, da auf diesem Computer kein entsprechendes Zertifikat vorhanden ist. Um für SSL verwendet zu werden, muss ein Zertifikat einen CN haben, der mit dem Hostnamen übereinstimmt, für die Serverauthentifizierung geeignet ist und nicht abgelaufen, widerrufen oder selbst signiert sein.

Selbst beim Löschen des https-Listeners kann ich keine schnelle Konfiguration vornehmen. Ich bin der Meinung, dass der Fingerabdruck von einem Ort entfernt werden muss, aber nicht sicher ist, woher alle stammen.

Ich habe einen der Links durchgesehen, bei denen Jared angegeben hat, dass wir den Fingerabdruck manuell löschen müssen: WinRM HTTPS-Listener automatisch neu konfigurieren

Visualizer
quelle
Ich habe den gleichen Fehler erlebt; habe alles versucht, was in der folgenden Antwort und in verwandten Artikeln erwähnt wird. Die Lösung für mich bestand darin, ein neues Zertifikat zu erstellen, anstatt eines der vorhandenen Zertifikate auf meinem Server zu verwenden. Die vorhandenen Zertifikate waren alle Server- und Clientauthentifizierungen, daher habe ich in meinem neuen Zertifikat nur die Serverauthentifizierung verwendet.
SturdyErde

Antworten:

6

Ich habe kürzlich HTTPS + WINRM gemacht und habe genau die gleichen Probleme.

Die Lösung ist - vor dem Aufrufen des Befehls

winrm quickconfig -transport: https

Sie müssen einige vorausgesetzte Arbeit erledigen. Um genauer zu sein, müssen Sie auf dem Serverzertifikat installieren.

Wie das geht, erfahren Sie hier - http://blogs.technet.com/b/jhoward/archive/2005/02/02/365323.aspx

um die lange Geschichte kurz zu machen:

1 Erstellen Sie ein CA ROOT-Zertifikat

cmd> makecert -pe -n "CN=Test And Dev Root Authority" -ss my -sr LocalMachine -a sha1 -sky signature -r "Test And Dev Root Authority.cer"

Exportieren Sie es mit privatem Schlüssel von Zertifikaten mmc vom Host, wo Sie makecert aufrufen und auf dem Server und Client-Host installieren, auf certificates.mmc -local machine - Vertrauenswürdige Stammberechtigungen

2 SSL-Zertifikat erstellen

cmd> makecert -pe -n "CN=8.8.8.8" -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.1 -in "Test And Dev Root Authority" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 8.8.8.8.cer

Dabei ist CN = 8.8.8.8 - muss die IP des Servers sein

Exportieren Sie das Zertifikat mit privatem Schlüssel aus dem Zertifikat mmc und importieren Sie es auf den Server nach certificates.mmc - localmachine - personal

NUR NACH DEM AUFRUFEN

winrm quickconfig -transport:https

Ich hoffe, ich habe ein paar Tage damit verbracht, herauszufinden, wie es funktioniert, um Ihre paar Tage zu retten

Alex
quelle
Ist das Erstellen des CA ROOT-Zertifikats erforderlich? Reicht ein selbstsigniertes Zertifikat nicht aus?
Jschmitter
Wenn Sie 'makecert' nicht ausführen können, weil Visual Studio nicht auf dem Zielcomputer installiert ist, verwenden Sie stattdessen den Powershell-Befehl 'New-SelfSignedCertificate' ( visualstudiogeeks.com/devops/… )
Luis Gouveia,