私はWindowsの専門家でも情報セキュリティの専門家でもありません。最近、管理しなければならないWindows Server 2012 R2ホストをいくつか引き継ぎました。この他の投稿私は(sslスキャン--show-sigsこれらのホストはすべて、1 つのサーバー署名アルゴリズムのみをサポートしています (winrm ポート 5986 に対するオプションを使用) rsa_pkcs1-sha1(下のスクリーンショットを参照)。
- これが Windows Server 2012 R2 でサポートされている唯一のサーバー署名アルゴリズムだというのは本当ですか?
- リストにさらにアルゴリズムを追加することは可能ですか? 可能であれば、その方法は?
答え1
これは Windows オペレーティング システムのバージョンとは関係ないと思います。スキャンしているサーバーの WinRM は、HTTPS 用の特定の証明書を使用するように構成されています。構成されている証明書は、SHA-1 アルゴリズムを使用して作成されています。したがって、必要なのは、新しい証明書を取得して、それを使用するように WinRM を構成することです。
適切な証明書がすでにサーバーにインストールされているかどうかを確認する価値があるかもしれません。そうすれば、新しい証明書を要求する必要がなくなるかもしれません。
考慮すべきもう 1 つの点は、このような変更により、何らかの理由で新しい証明書を受け入れない古いスクリプトやアプリが壊れる可能性があることです。そのため、適切なテストとロールバック プランが必要です。
現在のWinRM構成を確認するには、
winrm enumerate winrm/config/listenerサーバー上で実行しますインストールされている証明書を確認するには、MMC.EXEと証明書スナップインの追加
手順については、こちらをご覧ください。https://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-httpsこの記事はWindows 10向けなので、一部のコマンドは異なる場合がありますが、概念は同じです。