Ich bin weder ein Windows-Experte noch ein Experte für Informationssicherheit. Vor kurzem habe ich einige Windows Server 2012 R2-Hosts geerbt, die ich verwalten muss. Aus Gründen, die indieser andere BeitragMir wurde klar (mithilfeSSL-Scanmit der --show-sigsOption gegen den WinRM-Port 5986), dass alle diese Hosts nur einen Server Signature Algorithm unterstützen, nämlich rsa_pkcs1-sha1(siehe Screenshot unten).
- Stimmt es, dass dies der einzige unterstützte Serversignaturalgorithmus in Windows Server 2012 R2 ist?
- Ist es möglich, der Liste weitere Algorithmen hinzuzufügen? Und wenn ja, wie?
Antwort1
Ich glaube nicht, dass dies etwas mit der Version des Windows-Betriebssystems zu tun hat. WinRM auf dem Server, den Sie scannen, ist so konfiguriert, dass es ein bestimmtes Zertifikat für HTTPS verwendet. Das konfigurierte Zertifikat wurde mit dem SHA-1-Algorithmus erstellt. Sie müssen also ein neues Zertifikat erhalten und WinRM dann so konfigurieren, dass es verwendet wird.
Es lohnt sich ggf. zu prüfen, ob auf dem Server bereits ein passendes Zertifikat installiert ist, sodass Sie möglicherweise nicht einmal ein neues anfordern müssen.
Ein weiterer zu berücksichtigender Punkt ist, dass derartige Änderungen einige ältere Skripte oder Apps beschädigen könnten, die aus irgendeinem Grund das neue Zertifikat nicht akzeptieren würden. Daher sind entsprechende Tests und ein Rollback-Plan angebracht.
Um die aktuelle WinRM-Konfiguration zu überprüfen, führen Sie
winrm enumerate winrm/config/listenerauf dem ServerUm nach installierten Zertifikaten zu suchen, verwenden SieMMC.EXE und Zertifikate-Snap-In hinzufügen
Eine Schritt-für-Schritt-Anleitung finden Sie unterhttps://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-httpsDer Artikel ist für Windows 10, daher können einige Befehle abweichen, aber das Konzept ist das gleiche