No soy un experto en Windows ni en seguridad de la información. Recientemente heredé algunos hosts de Windows Server 2012 R2 que tengo que administrar. Por razones explicadas enesta otra publicaciónMe di cuenta (usandoescaneo sslcon la --show-sigsopción contra el puerto winrm 5986) que todos esos hosts solo admiten un algoritmo de firma de servidor, es decir rsa_pkcs1-sha1(ver captura de pantalla a continuación).
- ¿Es cierto que este es el único algoritmo de firma de servidor compatible con Windows Server 2012 R2?
- ¿Es posible agregar más algoritmos a la lista? Si es así, ¿cómo?
Respuesta1
No creo que esto tenga nada que ver con la versión del sistema operativo Windows. WinRM en el servidor que está escaneando está configurado para usar un certificado específico para HTTPS. El certificado configurado se creó utilizando el algoritmo SHA-1. Entonces, lo que debe hacer es obtener un nuevo certificado y luego configurar WinRM para usarlo.
Puede que valga la pena comprobar si ya hay un certificado adecuado instalado en el servidor, por lo que es posible que ni siquiera necesites solicitar uno nuevo.
Otra cosa a considerar es que cambios como ese podrían romper algunos scripts o aplicaciones más antiguos, que por alguna razón no aceptarían certificados nuevos. Por lo tanto, es necesario un plan adecuado de pruebas y reversión.
Para verificar la configuración actual de WinRM, ejecútelo
winrm enumerate winrm/config/listeneren el servidorPara comprobar los certificados instalados, utiliceMMC.EXE y agregar el complemento Certificados
Para acciones paso a paso, eche un vistazo ahttps://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-httpsEl artículo es para Windows 10, por lo que algunos comandos pueden diferir, pero el concepto es el mismo