WinRM -由于SSL证书不正确，无法在HTTPS上创建WinRM侦听器

Question

我想将WinRM与https传输一起使用。我购买了Comodo证书(错误状态不能使用自签名证书)，其主题与我的Windows 10计算机(未加入域)的FQDN (系统中的计算机全名)匹配：

CN = my.domain.net 
OU = PositiveSSL 
OU = Domain Control Validated

当尝试使用以下命令创建https侦听器时：

WinRm快速配置-transport:https

我得到了错误消息：

错误号：-2144108267 0x80338115无法在HTTPS上创建WinRM侦听器，因为此机器没有适当的证书。要用于SSL，证书必须具有与主机名匹配的CN，适合服务器身份验证，且不过期、撤销或自签名。

我已经在几个商店(本地机器/个人和受信任的*.crt证书颁发机构)安装了证书(双击WinRM文件)，但是WinRM无法创建https侦听器。http侦听器正常工作。

一些额外信息:当使用certreq尝试安装*.cer证书时，我得到了错误：

元素找不到。0x80070490(WIN32: 1168 ERROR_NOT_FOUND)

如何让WinRM使用https？

Answer 1

下面是我如何解决这个问题的方法：

• 使用DigiCert证书实用程序从digicert.com为Windows创建一个新的SSL
• 使用generate请求证书。我使用了versio.nl，但我想有很多CA存在
• 通过双击证书安装证书
• 转到证书管理器以供用户使用
• 右键单击证书(应该在个人商店中)并导出它，- follow向导，并确保导出私钥
• 在本地计算机证书存储中安装新导出的证书(将密钥标记为可导出并包含所有扩展属性)

使用管理员特权打开另一个新控制台(Cmd)，并键入：

创建winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="server.fqdn";CertificateThumbprint="YOURCERTIFICATETHUMPPRINT"}

这对我有用。有些东西要检查它是否不起作用：

1. 证书是否仍然有效(检查日期范围)
2. 检查证书属性“Subject”是否与计算机的FQDN具有CN值
3. 检查监听器是否已安装(winrm e winrm/config/ listener )

我花了很多时间才弄清楚这件事。我希望这会对你们中的一些人有所帮助。