Рейтинг:0

Настройте https-сертификат winrm от пользователя без прав администратора

флаг us

Используя letsencrypt в качестве ЦС, пользователь без прав администратора автоматически запрашивает новый сертификат, который будет использоваться прослушивателем https winrm, когда срок действия старого подходит к концу. Чтобы заставить winrm действительно использовать сертификат, Отпечаток сертификата прослушивателя должен быть установлен на отпечаток нового сертификата.

Это можно сделать следующим образом:

Set-WSManInstance -URI ресурса winrm/config/Listener `
                   -SelectorSet @{Address="*";Transport="HTTPS"} `
                   -ValueSet @{CertificateThumbprint=$thumbprint}

Однако нашему пользователю, не являющемуся администратором, очевидно, не разрешено это делать (пока):

Set-WSManInstance: <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="localhost"><f:Message>Отказано в доступе. </f:Сообщение></f:WSManFault>
В строке:1 символ:1
+ Set-WSManInstance -URI ресурса winrm/config/Listener `
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~
    + CategoryInfo: InvalidOperation: (winrm/config/Listener:Uri) [Set-WSManInstance], InvalidOperationExcep
   ция
    + FullyQualifiedErrorId: WsManError,Microsoft.WSMan.Management.SetWSManInstanceCommand

Как назначить пользователю без прав администратора права на обновление Отпечаток сертификата?

Обновлять: Отпечаток, по-видимому, хранится в HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Listener\*+HTTPS\certThumbprint.

К сожалению, изменение этого ключа реестра и перезапуск службы WinRM приводит к тому, что старый сертификат все еще обслуживается. На самом деле, даже после удаления сертификата из хранилища сертификатов и перезапуска WinRM он все еще обслуживается. Таким образом, должен быть какой-то кеш или вспомогательный процесс, который необходимо очистить/перезапустить.

флаг cn
Поскольку WinRM является административной службой, вы должны быть локальным администратором, чтобы настраивать параметры WinRM или предоставлять явные разрешения для службы: https://serverfault.com/a/993516/251012.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.