如何更新端口5986 (WinRM)证书？

Question

我们收到一封电子邮件说我们的端口5986 (WinRM?)证书即将过期，我们应采取措施避免中断。

我去年为TFS通信配置WinRM的方式如下所示：

1. 从GitHub 这个PowerShell脚本下载
2. 在具有管理权限的PowerShell控制台中执行以下操作：ConfigureWinRM.ps1 {FQDN} https

示例：ConfigureWinRM.ps1 server.tst.com https

我只需要再重新运行这个来续订吗？我需要先删除旧的证书指纹吗？

显然，4年前有一个错误，似乎WinRM确实注意到证书已经更新，因为它继续接受HTTPS上的WinRM连接，没有任何问题，即使在WSman\Listener下引用的证书过期之后也是如此。

我不希望冲突发生，所以我想安全地更新它，特别是当我们收到相同的生产通知时。

注意:在git bug报告中使用一些有用的命令来比较替换的cert拇指指纹：

ls cert:\localmachine\my
ls wsman:\localhost\listener\listener_1305953032
Winrm enumerate winrm/config/listener
netsh http show sslcert ipport=0.0.0.0:5986

Answer 1

我只需要重新运行相同的步骤(跳过step1，如果脚本上一次还在那里)

1. 下载自GitHub  
2. 在具有管理权限的PowerShell控制台中执行以下操作：

ConfigureWinRM.ps1 servername https

看来PSVersion 5.1.14393.3471上没有这个bug

我运行了上面列出的“注释”中的命令，并显示了所有4条新的拇指指纹。

不需要重新启动