Não sou especialista em Windows nem especialista em segurança da informação. Recentemente, herdei alguns hosts do Windows Server 2012 R2 que preciso gerenciar. Por razões explicadas emesta outra postagemEu percebi (usandosslscancom a --show-sigsopção contra a porta winrm 5986) que todos esses hosts suportam apenas um algoritmo de assinatura de servidor, ou seja, rsa_pkcs1-sha1(veja a imagem abaixo).
- É verdade que este é o único algoritmo de assinatura de servidor compatível no Windows Server 2012 R2?
- É possível adicionar mais algoritmos à lista? Se sim, como?
Responder1
Não acredito que isso tenha algo a ver com a versão do sistema operacional Windows. O WinRM no servidor que você está verificando está configurado para usar um certificado específico para HTTPS. O certificado configurado foi criado usando o algoritmo SHA-1. Então, o que você precisa fazer é obter um novo certificado e configurar o WinRM para usá-lo.
Pode valer a pena verificar se um certificado adequado já está instalado no servidor, então talvez você nem precise solicitar um novo.
Outra coisa a considerar é que mudanças como essa podem quebrar alguns scripts ou aplicativos mais antigos, que por algum motivo não aceitariam novos certificados. Portanto, testes adequados e plano de reversão estão em ordem.
Para verificar a configuração atual do WinRM, execute
winrm enumerate winrm/config/listenerno servidorPara verificar certificados instalados, useMMC.EXE e adicionar snap-in de certificados
Para ações passo a passo, dê uma olhada emhttps://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-httpsO artigo é para Windows 10, então alguns comandos podem ser diferentes, mas o conceito é o mesmo