Я не эксперт по Windows и не эксперт по информационной безопасности. Недавно я унаследовал несколько хостов Windows Server 2012 R2, которыми мне приходится управлять. По причинам, изложенным вэтот другой постЯ понял (используяsslscanс --show-sigsопцией для порта winrm 5986) все эти хосты поддерживают только один алгоритм подписи сервера, а именно rsa_pkcs1-sha1(см. снимок экрана ниже).
- Правда ли, что это единственный поддерживаемый алгоритм подписи сервера в Windows Server 2012 R2?
- Можно ли добавить в список больше алгоритмов? Если да, то как?
решение1
Я не думаю, что это как-то связано с версией операционной системы Windows. WinRM на сканируемом сервере настроен на использование определенного сертификата для HTTPS. Настроенный сертификат был создан с использованием алгоритма SHA-1. Поэтому вам нужно получить новый сертификат, а затем настроить WinRM на его использование.
Возможно, стоит проверить, установлен ли уже на сервере подходящий сертификат, тогда вам даже не придется запрашивать новый.
Еще одна вещь, которую следует учитывать, заключается в том, что такие изменения могут сломать некоторые старые скрипты или приложения, которые по какой-то причине не примут новый сертификат. Поэтому необходимо надлежащее тестирование и план отката.
Чтобы проверить текущую конфигурацию WinRM, запустите
winrm enumerate winrm/config/listenerна сервереДля проверки установленных сертификатов используйтеMMC.EXE и добавьте оснастку «Сертификаты»
Для пошаговых действий взгляните наhttps://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-httpsСтатья написана для Windows 10, поэтому некоторые команды могут отличаться, но концепция та же.