none
WinRM HTTPS Zertifikat kann nicht überprüft werden RRS feed

  • Frage

  • Guten Tag,

    ich habe in meiner Test-Umgebung 4 Windows Server 2016. Einer davon ist der Domaincontroller mit DNS und CA. Ein weiterer ist ein Server mit Windows Admin Center(WAC). Die anderern einfach als Testobjekte.

    Ich möchte die Server mit WAC nur über HTTPS verwalten.

    1.Ich habe auf der CA eine SSLZertifikatsvorlage(Create from AD:Common Name und alternativ DNS) für WinRM erstellt und über GPO wird diese verteilt(Auto Enrollment).

    2. Ich habe über GPO den WinRM dienst autostart, WinRM Verwaltung zulassen aktivieren, WinRM unverschlüsselt deaktiviert, Windows Remoteshell aktiviert.

    3. Firewallregeln lokal für WinRM tcp5986 eingehend zugelassen. Test-Netconnection success.

    Leider bekomme ich seit heute folgende Fehlermeldung, wenn ich mich in meinem WAC auf einen der Server verbinden möchte. Es hatte am Montag aber mal funktioniert... Seitdem hat sich an der Konfiguration nichts mehr geändert.

    Beim Verbinden mit dem Remoteserver "test-server2.psstest.local" 
    ist folgender Fehler aufgetreten:
    Das Serverzertifikat auf dem Zielcomputer (test-server2.psstest.local:5986) 
    enthält die folgenden Fehler:
    Es konnte nicht überprüft werden, ob das SSL-Zertifikat
    gesperrt ist. Der zum Überprüfen der Sperren verwendete
    Server ist möglicherweise nicht erreichbar. Weitere
    Informationen finden Sie im Hilfethema
    "about_Remote_Troubleshooting".

    Hat jemand eine Idee? Muss das WAC vielleicht über RPC z.B. mit der CA kommunizieren?

    Donnerstag, 9. Januar 2020 10:22

Antworten

  • Mit den Zertifikaten war alles okay. Nur WinRM war nicht richtig konfiguriert. Jetzt funktioniert es.
    • Als Antwort markiert P4il1pp Dienstag, 28. Januar 2020 13:09
    • Bearbeitet P4il1pp Dienstag, 28. Januar 2020 13:28
    Dienstag, 28. Januar 2020 13:09

Alle Antworten

  • Muss das WAC vielleicht über RPC z.B. mit der CA kommunizieren?

    Das ganz bestimmt nicht. Aber schau mal, was für Zertifikate auf den Zielen für WinRM eingespielt sind und welche Revocation-Pfade dort eingetragen sind. Diese müssen vom WAC-Server erreichbar sein.

    Wenn Du die CA mit Standardeinstellungen installiert hast, ist es ein LDAP-Pfad und ein HTTP-Pfad zur CA.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 9. Januar 2020 11:43
  • Ich habe über den Fingerprint sichergestellt, dass WinRM jeweils das von der CA ausgestellte Zertifikat verwendet.

    Ich habe überprüft, dass auf der CA ein LDAP-Pfad konfiguriert ist, unter dem die Revocation List(CRL) veröffentlicht wird. dieser Pfad wird auch in den Zertifikaten angezeigt. Ein http-Pfad wird dort nicht angezeigt. In den Eigenschaften der CA ist der Kasten "Sperrlisten hier veröffentlichen" bei dem vorkonfigurierte http-Pfad zum Veröffentlichen der CRL ausgegraut.

    Da meine Server alle Domaincomputer sind mit LDAP TCP389 zu dem Domaincontroller/CA sollte die es schonmal kein Kommunikationsproblem im Netzwerk sein.

    Freitag, 10. Januar 2020 08:33
  • Du kannst es mit 
    certutil -f –urlfetch -verify file.cer
    wenn Du das Zertifikat (ohne Private Key) in eine Datei exportierst.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 10. Januar 2020 15:08
  • Mit den Zertifikaten war alles okay. Nur WinRM war nicht richtig konfiguriert. Jetzt funktioniert es.
    • Als Antwort markiert P4il1pp Dienstag, 28. Januar 2020 13:09
    • Bearbeitet P4il1pp Dienstag, 28. Januar 2020 13:28
    Dienstag, 28. Januar 2020 13:09