我想将WinRM与https传输一起使用。我已经购买了一个Comodo证书(错误表明我不能使用自签名证书),其主题与我的Windows 10计算机(未加入域)的FQDN(系统中的完整计算机名)匹配:
CN = my.domain.net
OU = PositiveSSL
OU = Domain Control Validated
当尝试使用以下命令创建https侦听器时:
WinRm quickconfig-传输:https
我收到错误消息:
错误编号:-214108267 0x80338115无法在HTTPS上创建WinRM侦听器,因为此计算机没有适当的证书。要用于SSL,证书必须具有与主机名匹配的CN,适用于服务器身份验证,并且不能过期、吊销或自签名。
我已在多个存储区(本地计算机/个人和受信任的根证书颁发机构)中安装了证书(双击*.crt文件),但WinRM无法创建https侦听器。http侦听器工作正常。
一些额外信息:当使用certreq尝试安装*.cer证书时,我得到错误:
找不到元素。0x80070490(WIN32:1168 ERROR_NOT_FOUND)
如何让WinRM使用https?
以下是我解决此问题的方法:
- 从DigiCert.com使用适用于Windows的DigiCert证书实用程序创建SSL CSR
- 使用generate CSR请求证书。我用过versio.nl,但我猜有很多CA
- 双击安装证书
- 转到用户的证书管理器
- 右键单击证书(应该在个人存储中)并导出-按照向导操作并确保导出私钥
- 在本地计算机证书存储中安装新导出的证书(将密钥标记为可导出并包括所有扩展属性)
打开具有管理员权限的控制台(cmd)并键入:
winrm是否创建winrm/config/Listener?地址=**+传输=HTTPS@{主机名="server.fqdn";CertificateThumbprint="YOURCERTIFICATETHUMPPRINT"}
这对我有效。如果它不起作用,需要检查一些事情:
- 证书是否仍然有效(请检查日期范围)
- 检查证书属性"Subject"是否具有计算机FQDN的CN值
- 检查是否安装了侦听器(winrm e winrm/config/listaner)
我花了很多小时才弄清楚。我希望它能帮助你们中的一些人。
我也遇到了这个问题-RHAD的答案部分有帮助,但我需要使用完全内部生成的CA
这个问题是由我选择的Key算法引起的。使用相同的配置,只需更改密钥即可工作:
失败的密钥:带有brainpoolP512t1曲线的椭圆曲线加密(在证书中显示为:公钥算法:id ecPublicKey/ASN1 OID:brainpool P512t1)
成功的密钥:RSA密钥:(在证书中:RSA公钥:(4096位))
希望这能帮助其他有类似问题的人。