저는 윈도우 전문가도 아니고 정보보안 전문가도 아닙니다. 최근에 저는 관리해야 하는 일부 Windows Server 2012 R2 호스트를 물려받았습니다. 에 설명된 이유이번 다른 포스팅나는 깨달았다(사용하여SSL스캔--show-sigswinrm 포트 5986에 대한 옵션 사용) 모든 호스트는 하나의 서버 서명 알고리즘만 지원합니다 ( rsa_pkcs1-sha1아래 스크린샷 참조).
- 이것이 Windows Server 2012 R2에서 유일하게 지원되는 서버 서명 알고리즘이라는 것이 사실입니까?
- 목록에 더 많은 알고리즘을 추가할 수 있나요? 그렇다면 어떻게?
답변1
나는 이것이 Windows 운영 체제 버전과 관련이 없다고 생각합니다. 스캔 중인 서버의 WinRM은 HTTPS에 특정 인증서를 사용하도록 구성되어 있습니다. 구성된 인증서는 SHA-1 알고리즘을 사용하여 생성되었습니다. 따라서 해야 할 일은 새 인증서를 얻은 다음 이를 사용하도록 WinRM을 구성하는 것입니다.
적절한 인증서가 서버에 이미 설치되어 있는지 확인하는 것이 좋습니다. 따라서 새 인증서를 요청할 필요조차 없습니다.
고려해야 할 또 다른 사항은 이러한 변경으로 인해 일부 오래된 스크립트나 앱이 손상될 수 있으며 어떤 이유로 새 인증서를 허용하지 않을 수 있다는 것입니다. 따라서 적절한 테스트 및 롤백 계획이 필요합니다.
현재 WinRM 구성을 확인하려면
winrm enumerate winrm/config/listener서버에서 실행하세요.설치된 인증서를 확인하려면 다음을 사용하십시오.MMC.EXE 및 인증서 스냅인 추가
단계별 조치를 보려면 다음을 살펴보세요.https://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-comComponents/configure-winrm-for-https해당 글은 Windows 10 기준이므로 일부 명령어는 다를 수 있으나 개념은 동일합니다.