华为云首页用户手册

漏洞管理服务 CODEARTS INSPECTOR-如何开启WinRM服务？:开启基于HTTPS的WinRM服务

时间：2024-11-06 21:53:46

漏洞管理服务 CODEARTS INSPECTOR

开启基于HTTPS的WinRM服务

基于HTTPS的WinRM只支持Windows Server 2016及以上版本。

以Windows系统管理员身份运行PowerShell。
执行如下命令查看基于HTTPS的WinRM是否开启。
```
winrm e winrm/config/listener
```
输出结果有HTTPS的“Listener”且“Enabled”为“true”，则为开启状态。如果未开启，则请直接执行4。
校验WinRM是否使用用户名密码验证及使用的证书是否正确。
1. 执行如下命令查看是否使用用户名密码验证。
  1. 执行如下命令查看Auth信息。
```
winrm get winrm/config/service/auth
```
  2. 执行如下命令修改“Basic”的值为“true”。
    当返回值中“Basic”为“true”时，无需执行该步骤。
```
winrm set winrm/config/service/auth '@{Basic="true"}'
```
2. 执行如下命令校验WinRM使用的证书是否正确。
```
ls Cert:\LocalMachine\My\
```
  - 如果有输出，且“Thumbprint”与2的Thumbprint对应，“CN”名与主机名对应，则基于HTTPS的WinRM已配置完成。
  - 如果不满足上面任意一条则请直接执行5替换HTTPS WinRM使用的证书。
以Windows系统管理员身份运行cmd，并执行如下命令创建基于HTTPS的WinRM服务。

该步中需要使用CN与主机名相同的证书，如果不同，请先执行5.a生成证书。
```
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Port="5986" ;Hostname="" ;CertificateThumbprint=""}
```
执行成功结果如上图。其中，“Port”为监听端口（建议不做更改），“CertificateThumbprint”为证书的Thumbprint，“Hostname”为主机名，可通过在PowerShell中输入如下命令获取：
```
hostname
```
可再通过2～3验证HTTPS WinRM配置是否正确。
替换HTTPS WinRM使用证书。
1. 生成CN与主机名相同的自签名证书。
  在PowerShell中输入如下命令创建证书：
```
$params = @{
    Type = 'SSLServerAuthentication'
    Subject = 'CN='
    TextExtension = @(
        '2.5.29.37={text}1.3.6.1.5.5.7.3.1' )
    KeyAlgorithm = 'RSA'
    KeyLength = 2048
    CertStoreLocation = 'Cert:\LocalMachine\My\'
}
New-SelfSignedCertificate @params
```
  其中，除“Subject”的值外，其他值请和上述命令保持一致，“Subject”值的格式为“CN=hostname”，hostname的获取见4。
  
  生成成功会输出证书的Subject和Thumbprint。
2. 执行如下命令替换证书。
```
Set-WSManInstance -ResourceURI winrm/config/Listener -SelectorSet @{Address="*"; Transport="HTTPS"} -ValueSet @{CertificateThumbprint=""}
```
  其中，“CertificateThumbprint”为证书的Thumbprint，可再通过2～3验证HTTPS WinRM配置是否正确。