WinRm - 由于 SSL 证书不正确，无法在 HTTPS 上创建 WinRM 侦听器

Question

我想将 WinRM 与 https 传输一起使用。我购买了 Comodo 证书（错误指出我不能使用自签名证书），其主题与我的 Windows 10 计算机（未加入域）的 FQDN（系统中的完整计算机名称）匹配：

CN = my.domain.net 
OU = PositiveSSL 
OU = Domain Control Validated

当尝试使用以下命令创建 https 侦听器时：

WinRm quickconfig -transport:https

我收到错误消息：

错误号：-2144108267 0x80338115 无法在 HTTPS 上创建 WinRM 侦听器，因为此计算机没有适当的证书。要用于 SSL，证书必须具有与主机名匹配的 CN，适用于服务器身份验证，并且没有过期、撤销或自签名。

我已在多个商店（本地计算机/个人和受信任的根证书颁发机构）中安装（双击 *.crt 文件）证书，但 WinRM 无法创建 https 侦听器。 http 监听器工作正常。

一些额外信息：使用 certreq 尝试安装 *.cer 证书时，我收到错误：

未找到元素。 0x80070490（WIN32：1168 ERROR_NOT_FOUND）

如何让 WinRM 与 https 一起工作？

Answer 1

这是我解决此问题的方法：

• 使用来自 digicert.com 的适用于 Windows 的 DigiCert 证书实用程序创建 SSL CSR
• 使用生成 CSR 请求证书。我用的是 versio.nl，但我猜那里有很多 CA
• 双击安装证书
• 转到用户的证书管理器
• 右键单击证书（我应该在个人存储中）并导出它 - 按照向导并确保导出私钥
• 在本地计算机证书存储中安装新导出的证书（将密钥标记为可导出并包含所有扩展属性）

打开具有管理员权限的控制台 (cmd) 并键入：

winrm 创建 winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="server.fqdn";CertificateThumbprint="YOURCERTIFICATETHUMPPRINT"}

这对我有用。检查它是否不起作用的一些事情：

1. 证书是否仍然有效（检查日期范围）
2. 检查证书属性“主题”是否具有您计算机的 FQDN 的 CN 值
3. 检查是否安装了监听器（winrm e winrm/config/listener）

我花了很多时间来解决这个问题。我希望它会对你们中的一些人有所帮助。