IT2web

Системному администратору Windows Server

Главная --> Другое --> Настройка WinRM на Windows Server - Настройка WinRM с использованием HTTPS

Настройка WinRM на Windows Server - Настройка WinRM с использованием HTTPS

Article Index
Настройка WinRM на Windows Server
Настройка WinRM
Настройка WinRM с использованием HTTPS
Заключение
All Pages

Настройка WinRM с использованием HTTPS

 

В ряде случаев вам может потребоваться создать надежный канал для безопасной пересылки команд между клиентом и сервером. Для этого можно использовать HTTPS.

Однако, для создания listener'а с поддержкой HTTPS вам потребуется цифровой сертификат, который можно запросить у доверенного Центра Сертификации, либо воспользоваться различными утилитами по созданию самоподписанных (самозаверенных) сертификатов, например, Makecert, входящей в состав Windows SDK. Скачать Makecert отдельно можно отсюда.

Для создания самоподписанного серитификата выполните следующую команду:

makecert -a sha1 -r -pe -n "CN=" -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky Exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -m 12

, где соответствует имени, которое будет использовать клиент при подключении к серверу;
- путь к файлу, куда будет сохранен сертификат с открытым ключем.

Процесс настройки WinRM на Windows Server 2008

Сертификат с закрытым ключем будет создан и помещен в хранилище сертификатов локального компьютера. Добавьте его к доверенным корневым сертификатам:

certutil -addstore root cert.cer

Процесс настройки WinRM на Windows Server 2008

Теперь просмотрите хранилище сертификатов, найдите там требуемый сертификат и запишите его Thumbprint (Cert Hash):

certutil -store my

Процесс настройки WinRM на Windows Server 2008

Наконец, можно приступать к созданию HTTPS listener. Введите команду:

winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="";CertificateThumbprint="";Port=""}

,где - имя, которое указывается при обращении к серверу
- Thumbprint, который вы узнали на предыдущем шаге (без пробелов).
- порт, на который будет подключаться клиент (TCP 443 по-умолчанию).

Процесс настройки WinRM на Windows Server 2008

Если на сервере включен брандмауэр Windows, не забудьте добавить правило:

netsh advfirewall firewall add rule name="allow WinRM on 4443" protocol=TCP dir=in localport=4443 action=allow

При использовании самоподписанных сертификатов, вам придется добавить его к доверенным корневым сертификатам на клиенте.

После выполнения всех шагов, вы, наконец, получите возможность удаленного выполнения команд:

Процесс настройки WinRM на Windows Server 2008

Обратите внимание, что в случае использования нестандартного порта, вам потребуется специально его указать. Чтобы не делать этого каждый раз, вы можете изменить стандартный порт, который клиент использует при подключении по HTTPS, с помощью команды:

winrm set winrm/config/client/DefaultPorts @{HTTPS="4443"}

Процесс настройки WinRM на Windows Server 2008