none
WinRM Не удалось проверить, отозван ли сертификат SSL. RRS feed

  • Общие обсуждения

  • Добрый день.

    Провел настройку подписки пересылки логов безопасности на доменной машине WindowsServer 2016. Настройку производил по статье docs. microsoft (форум не дает мне вставить ссылку на ОФ ресурс MS))). На доменных машинах все работает, проблема с машиной из рабочей группы. Я поднял CA на коллекторе событий, выдал недоменной машине сертификат, установил его в личные, дал сетевой службе права на чтение сертификата, настроил маппинг, все как в статье. И при проверки подключения п.3 статьи

    From a client test the listener and the certificate mapping with the following command.

    nrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN of the collector>";CertificateThumbprint="<Thumb print of the server authentication certificate>"}

    У меня появляется ошибка:


    C:\Users\Администратор>winrm g winrm/config -r:https://server:5986 -a:
    certificate -certificate:ce4a7c98216038fa31e0d9f93442d52976f472be
    WSManFault
        Message = Сертификат сервера конечного компьютера (server:5986) со
    держит ошибки:
    Не удалось проверить, отозван ли сертификат SSL. Возможно, сервер, который использовался для проверки, недоступен.

    Код ошибки:  -2147012721 0x80072F8F
    Произошла ошибка безопасности

    В логах следующее:

    Microsoft-Windows-Eventlog-ForwardingPlugin/Operational Код 105

    Сервер пересылки испытывает трудности при взаимодействии с диспетчером подписки по адресу https://server:5986/wsman/SubscriptionManager/WEC. Код ошибки: 2150858882; сообщение об ошибке: .

    Windows Remote Management:

    Сертификат сервера конечного компьютера (server:ᝢ) содержит ошибки: 
    Не удалось проверить, отозван ли сертификат SSL. Возможно, сервер, который использовался для проверки, недоступен. Исправьте сертификат сервера и повторите попытку.


    8 октября 2019 г. 7:28

Все ответы

  • Сразу скажу, что коллектор с недоменной машины доступен, резолвится. На коллекторе настроил слушатель на порту 5986,5985, брандмауэр и антивирус отключены.
    8 октября 2019 г. 7:32
  • Так же коллектор и недоменны пк друг у друга в TrustedHosts
    8 октября 2019 г. 7:35
  • Обмен не работает ни по http, не по https. Подписка находится в состояние- Активный, Тип- Источник запущен, но почему-то в "исходные компьютеры" стоит ноль, хотя по факту недоменная машина в подписку добавлена.
    8 октября 2019 г. 7:37
  • 1. Корневой сертификат CA на компьютере в рабочей группе в доверенные корневые ЦС добавлен?

    2. Сертификат, который не может проверить на отзыв - Точка распределения списка отзыва в сертификате куда указывает? М.б. LDAP и HTTP. Доступ с недоменного компьютера туда есть?

    9 октября 2019 г. 7:43
  • 1.Да конечно.

    2. Он пытается проверить сертификат проверки подлинности сервера (коллектора событий). Я не знаю как посмотреть точку распределения списка отзывов, можете подсказать?

    PS

    Сам сертификат я создавал следующем образом, установил Windows CA на коллекторе событий, выбрал через веб-морду выдачу сертификата, форма расширенного запроса сертификата, сертификат проверки подлинности клиента.

    9 октября 2019 г. 12:58
  • С не доменного пк доступ есть, днс настроены и сервер резолвится-пингуется.
    9 октября 2019 г. 12:59
  • Так же я дал права на чтения для сетевой службы к закрытым ключам сертификатов сервера и недоменной машины.
    9 октября 2019 г. 13:14
  • Нашел точка распределения списка отзывов в сертификате указывает 

    [1]Точка распределения списка отзыва (CRL)
         Имя точки распространения:
              Полное имя:
                   URL=ldap:///CN=SERVER,CN=SERVER,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=мой,DC=домен?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=WEC,CN=WEC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=мой,DC=домен?certificateRevocationList?base?objectClass=cRLDistributionPoint)




    9 октября 2019 г. 13:22
  • URL=ldap:  и т.п.

    У Вас только в LDAP (т.е. Active Directory) списки отзыва публикуются. Недоменный компьютер может проверить список отзыва по http: или у ocsp-респондера, поэтому надо CA настроить на публикацию CRL по http.

    А после настройки публикации CRL по http еще и сертификат придется перевыпустить, чтобы в CDP пути проверки по http появились.
    • Изменено Рыхлый 10 октября 2019 г. 8:12
    10 октября 2019 г. 7:30
  • Спасибо огромное! Сегодня попробую и отпишу!
    10 октября 2019 г. 10:00
  • Я настроил CRL по HTTP. Перевыпустил сертификаты сервера и клиента. Добавил сертифкаты в контейнер личные хранилища локального ПК, дал права сетевой службе на чтение закрытого ключа.

    Пересоздал слушателя по порту 5986

    После этого запуск команды  g winrm, завершается успешно:


    C:\Users\Администратор>winrm g winrm/config -r:https://сервер.домен:5986 -a:certificate -certificate:b2be092ca6b57b3
    a9c62d2b8b92642c0e7051022
    Config
        MaxEnvelopeSizekb = 500
        MaxTimeoutms = 60000
        MaxBatchItems = 32000
        MaxProviderRequests = 4294967295
        Client
            NetworkDelayms = 5000
            URLPrefix = wsman
            AllowUnencrypted = false
            Auth
                Basic = true
                Digest = true
                Kerberos = true
                Negotiate = true
                Certificate = true
                CredSSP = false
            DefaultPorts
                HTTP = 5985
                HTTPS = 5986
            TrustedHosts = имя_пк
        Service
            RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
            MaxConcurrentOperations = 4294967295
            MaxConcurrentOperationsPerUser = 1500
            EnumerationTimeoutms = 240000
            MaxConnections = 300
            MaxPacketRetrievalTimeSeconds = 120
            AllowUnencrypted = false
            Auth
                Basic = false
                Kerberos = true
                Negotiate = true
                Certificate = true
                CredSSP = false
                CbtHardeningLevel = Relaxed
            DefaultPorts
                HTTP = 5985
                HTTPS = 5986
            IPv4Filter = *
            IPv6Filter = *
            EnableCompatibilityHttpListener = false
            EnableCompatibilityHttpsListener = false
            CertificateThumbprint = fb 84 69 b8 4e 7e 96 5a  dd c9 b0 cb 55 c4 5a 8d7b 30 ee 12
            AllowRemoteAccess = true
        Winrs
            AllowRemoteShellAccess = true
            IdleTimeout = 7200000
            MaxConcurrentUsers = 2147483647
            MaxShellRunTime = 2147483647
            MaxProcessesPerShell = 2147483647
            MaxMemoryPerShellMB = 2147483647
            MaxShellsPerUser = 2147483647

    В журнале Windows Remote Management пишет Операция WSMan Get успешно завершена.

    НО, в журнале Eventlog-ForwardingPlugin, та же 105 ошибка:

    Сервер пересылки испытывает трудности при взаимодействии с диспетчером подписки по адресу https://сервер.домен:5986/wsman/SubscriptionManager/WEC. Код ошибки: 2150858882; сообщение об ошибке: . 

    Еще я заметил, что в выводе  g winrm, почему то указан отпечаток старого сертификата сервера (коллектора) fb 84 69 b8 4e 7e 96 5a  dd c9 b0 cb 55 c4 5a 8d7b 30 ee 12. Хотя я его удалил из всех хранилищ, правда не отзывал... Может из-за этого проблема с отправкой логов? Подскажите, пожалуйста, куда копать.

    Вот на всякий случай вывод слушателя на коллекторе, там указан новый сертификат сервера-коллектора

    C:\Users\administrator>winrm e winrm/config/listener
    Listener
        Address = *
        Transport = HTTP
        Port = 5985
        Hostname
        Enabled = true
        URLPrefix = wsman
        CertificateThumbprint
        ListeningOn = 127.0.0.1, ip_servera, ip_servera

    Listener
        Address = *
        Transport = HTTPS
        Port = 5986
        Hostname = имя. домен
        Enabled = true
        URLPrefix = wsman
        CertificateThumbprint = 3eb9e5ce4a75f60231952101fa115b46f7a63bcd
        ListeningOn = 127.0.0.1, ip_servera, ::1, ip_servera



    10 октября 2019 г. 14:15
  • Про настройку конкретно пересылки логов не подскажу - надо разбираться в документации.

    Если в выводе команд показывает старый Thumbprint сертификата, то надо сюда копать.

    11 октября 2019 г. 5:00
  • Я его отозвал, но он все равно висит. Попробовал настроить отправку на другом ПК, тоже показывает этот отпечаток((( Буду копать...
    11 октября 2019 г. 6:15
  • Хочу не тратить время и развернуть сервер заново. По факту отпишу. 

    PS

    Ту машину я пока выключил, если вдруг будут идеи, как удалить старый отпечаток- пишите, буду пробовать. Заранее спасибо.

    Еще, кстати, пробовал удалять и создавать нового "слушателя" по https, но это не помогает...

    11 октября 2019 г. 7:48
  • Поднял новую машину с ролью коллектора и СА, новые сертификаты, все настроил с нуля. В итоге с недоменной машины проходит тестовое подключение по WinRM, но в журнале пересылок снова 105 ошибка:

    Eventlog-ForwardingPlugin 105 Сервер пересылки испытывает трудности при взаимодействии с диспетчером подписки по адресу https://сервер.домен:5986/wsman/SubscriptionManager/WEC. Код ошибки: 2150858882; сообщение об ошибке: .

    Вот что пишет, при тесте WinRm, теперь не показывает никаких отпечатков, но подключение проходит успешно.

    winrm g winrm/config -r:https://сервер.домен:5986 -a:certificate -certificate:"854c98c6a
    918b4ad0a07ee8b2473e7da8fd52189"
    Config
        MaxEnvelopeSizekb = 500
        MaxTimeoutms = 60000
        MaxBatchItems = 32000
        MaxProviderRequests = 4294967295
        Client
            NetworkDelayms = 5000
            URLPrefix = wsman
            AllowUnencrypted = false
            Auth
                Basic = true
                Digest = true
                Kerberos = true
                Negotiate = true
                Certificate = true
                CredSSP = false
            DefaultPorts
                HTTP = 5985
                HTTPS = 5986
            TrustedHosts
        Service
            RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
            MaxConcurrentOperations = 4294967295
            MaxConcurrentOperationsPerUser = 1500
            EnumerationTimeoutms = 240000
            MaxConnections = 300
            MaxPacketRetrievalTimeSeconds = 120
            AllowUnencrypted = false
            Auth
                Basic = false
                Kerberos = true
                Negotiate = true
                Certificate = true
                CredSSP = false
                CbtHardeningLevel = Relaxed
            DefaultPorts
                HTTP = 5985
                HTTPS = 5986
            IPv4Filter = *
            IPv6Filter = *
            EnableCompatibilityHttpListener = false
            EnableCompatibilityHttpsListener = false
            CertificateThumbprint
            AllowRemoteAccess = true
        Winrs
            AllowRemoteShellAccess = true
            IdleTimeout = 7200000
            MaxConcurrentUsers = 2147483647
            MaxShellRunTime = 2147483647
            MaxProcessesPerShell = 2147483647
            MaxMemoryPerShellMB = 2147483647
            MaxShellsPerUser = 2147483647

    14 октября 2019 г. 6:41