WinRm-由于不正确的SSL证书，无法在HTTPS上创建WinRM侦听器

Question

我想将WinRM与https传输一起使用。我已经购买了Comodo证书（错误状态，我无法使用自签名证书），并且主题与我的Windows 10计算机（未加入域）的FQDN（系统中的完整计算机名）相匹配：

CN = my.domain.net 
OU = PositiveSSL 
OU = Domain Control Validated

尝试使用以下命令创建https侦听器时：

WintRm quickconfig -transport：https

我收到错误消息：

错误号：-2144108267 0x80338115无法在HTTPS上创建WinRM侦听器，因为该计算机没有适当的证书。要用于SSL，证书必须具有与主机名匹配的CN，适用于服务器身份验证，并且不能过期，吊销或自签名。

我已经在多个商店（本地计算机/个人和受信任的根证书颁发机构）中安装（双击* .crt文件）证书，但是WinRM无法创建https侦听器。http侦听器运行正常。

一些额外的信息：使用certreq尝试安装*.cer证书时，出现错误消息：

找不到元素。0x80070490（WIN32：1168 ERROR_NOT_FOUND）

如何使WinRM与https一起使用？

Answer 1

这是我解决此问题的方法：

• 从digicert.com使用Windows版DigiCert证书实用程序创建SSL CSR
• 使用生成的CSR请求证书。我使用versio.nl，但我猜那里有很多CA
• 双击安装证书
• 转到用户的证书管理器
• 右键单击证书（我应该在个人商店中）并导出它-按照向导进行操作，并确保导出私钥
• 在本地计算机证书存储区中安装新导出的证书（将密钥标记为可导出并包括所有扩展属性）

打开具有管理员权限的控制台（cmd）并键入：

winrm创建winrm / config / Listener？地址= * + Transport = HTTPS @ {Hostname =“ server.fqdn”; CertificateThumbprint =“ YOURCERTIFICATETHUMPPRINT”}

这对我有用。一些检查，如果它不起作用：

1. 证书是否仍然有效（请检查日期范围）
2. 检查证书属性“主题”是否具有您计算机的FQDN的CN值
3. 检查是否安装了侦听器（winrm e winrm / config / listener）

我花了很多时间来解决这个问题。希望对您有所帮助。