L’analyse du serveur à l’aide de WinRM-HTTPS affiche « Connexion refusée (0) » après le renouvellement du certificat de serveur.

• Après le renouvellement du certificat de serveur, l’analyse du serveur à l’aide de l’état WinRM-HTTPS affiche « Connexion refusée (0) ».

• Les journaux d’ID utilisateur (moins mp-log useridd.log) signalent l’erreur « Échec de la connexion. code de réponse = 0,. ».

Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2814): Unable to get basic constraints
Error:  pan_user_id_winrm_verify_cert_cb(pan_user_id_win.c:2873): X509_verify_cert returned error 20, error = 'unable to get local issuer certificate'
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2654): failed to connect to winrm server server.pantac.local.lab in vsys 1
Error:  pan_user_id_winrm_query(pan_user_id_win.c:2698): Connection failed. response code = 0, error: Peer certificate cannot be authenticated with given CA certificates in vsys 1, server=server.pantac.local.lab.

• Pare-feu Palo Alto
• PAN-OS 9.1.16
• Renouvellement du certificat de serveur utilisé pour l’ID utilisateur WinRM-HTTPS.
• Contrôleur de domaine surveillé à l’aide de WinRM-HTTPS comme méthode de transport.

• Après le renouvellement du certificat du serveur, l’empreinte numérique du certificat n’a pas été mise à jour sur le serveur.
• Le service WinRM n’a pas pu valider le certificat.

1. Supprimez l’écouteur WinRM déjà en cours d’exécution avec la configuration Address=* et Transport=HTTPS, entrez la commande suivante :

c:>winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

2. Créez un nouvel écouteur WinrRM avec la configuration Address=* et Transport=HTTPS avec la nouvelle empreinte numérique du certificat de serveur, entrez la commande suivante :

c:>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname=”<hostname>";CertificateThumbprint=”Certificate Thumbprint"}

• « hostname » est le nom d’hôte du serveur Windows
• « Empreinte numérique du certificat » est la valeur que vous avez copiée à partir du nouveau certificat de serveur.

Remarque : supprimez tous les espaces dans l’empreinte numérique du certificat pour vous assurer que WinRM peut valider le certificat.

3. Pour vérifier que WinRM communique à l’aide de HTTPS et confirmer que la sortie affiche Transport = HTTPS, entrez la commande suivante :

c:>winrm enumerate winrm/config/listener

Note: Assurez-vous d’avoir correctement importé le certificat racine des certificats de service que le serveur Windows utilise pour WinRM sur le pare-feu et associez le certificat au profil de certificat d’ID utilisateur.

• Comment configurer WinRM sur HTTPS avec l’authentification de base
• Configurer l’analyse du serveur à l’aide de WinRM
• Moniteur de serveur bloqué dans la connexion refusée