[WinRM] WinRM 설정 및 HTTPS 통신

WinRM (Windows Remote Management)

Microsoft에서 제공하는 원격 관리 프로토콜로, Windows 서버 및 시스템을 원격으로 관리할 수 있다. 표준 SOAP 기반 방화벽 친화적인 프로토콜인 WS-Management 프로토콜을 기반으로 한다. Powershell 명령을 원격 시스템에서 실행할 수 있도록 도와준다.

나의 경우, Linux에서 Ansible을 사용하여 Windows OS를 관리하기 위해 WinRM을 설정하였다. 리눅스와 Windows는 서로 다른 관리 프로토콜을 사용하기 때문에 리눅스에서 윈도우를 관리하기 위해서는 WinRM과 같은 표준 프로토콜을 사용해서 통신해야 한다.

 

WinRM 구동 여부 확인

WinRM 프로토콜이 사용 가능한지 WinRM 구동 여부를 확인한다.

만약 활성화 중이 아니라면 아래의 명령어를 통해 WinRM을 활성화한다.

winrm quickconfig

 

에러나는 경우

VM 환경에서는 잘 작동했는데 내 PC에서는 '네트워크 연결 형식 중 하나가 공용으로 ...' 라는 에러가 발생했다.
찾아보니 네트워크 카테고리가 Public이면 WinRM을 사용할 수 없다고 한다. WinRM은 원격 관리 도구이기 때문에 악의적으로 원격 시스템에 접속할 가능성이 있어 Public 네트워크에서는 제한된다.

따라서 아래의 명령어를 통해 Private이나 Domain으로 변경해주었다.

Set-NetConnectionProfile -NetworkCategory Privte

 

모든 Hosts를 허용하도록 설정

Set-Item wsman:\localhost\Client\TrustedHosts -value *

TrustedHosts 목록의 기본값은 아래의 사진과 같이 되어있으며, 원격 접속 허용을 위해 모든 Hosts를 허용하도록 설정했다. 
만약 통신하려는 OS가 같은 네트워크 내에 있을 경우 해당 설정을 해주지 않아도 되며 특정 호스트만을 신뢰하려는 경우 명시적으로 IP를 추가해줄 수도 있다.

 

WinRM 서비스에서 실행 중인 현재 리스너 확인

WinRM은 기본적으로 HTTP/HTTPS 포트를 사용한다. 

winrm enumerate winrm/config/Listener

 

또한 나는 Ansible 테스트 환경에서 windows를 managed node로 사용하는 것이 목적이었기 때문에 아래의 설정을 해주었다.

winrm set winrm/config/service/Auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'

기본 인증을 활성화하여 계정 이름과 비밀번호를 통해 원격 시스템에 접속할 수 있게 했고, AllowUnencrypted True 설정을 통해 암호화되지 않은 HTTP 프로토콜의 연결도 허용했다.

 

HTTPS 포트를 통한 WinRM 통신 허용하는 법

WinRM에서 HTTPS 통신을 사용하기 위해서는 인증서 기반 인증을 설정해야 한다. SSL/TLS 인증서를 사용해야 하는데.. 테스트 환경에서만 작동하는 자체 서명된 인증서를 사용해 HTTPS 리스너를 추가했다. https://docs.ansible.com/ansible/devel//os_guide/windows_winrm.html를 참고했으며, 해당 방법은 테스트 환경용으로 실제 운영망에서 사용하려는 경우 CA에서 발급된 인증서를 사용해야 한다.

# Create self signed certificate
$certParams = @{
    CertStoreLocation = 'Cert:\LocalMachine\My'
    DnsName           = $env:COMPUTERNAME
    NotAfter          = (Get-Date).AddYears(1)
    Provider          = 'Microsoft Software Key Storage Provider'
    Subject           = "CN=$env:COMPUTERNAME"
}
$cert = New-SelfSignedCertificate @certParams

# Create HTTPS listener
$httpsParams = @{
    ResourceURI = 'winrm/config/listener'
    SelectorSet = @{
        Transport = "HTTPS"
        Address   = "*"
    }
    ValueSet = @{
        CertificateThumbprint = $cert.Thumbprint
        Enabled               = $true
    }
}
New-WSManInstance @httpsParams

# Opens port 5986 for all profiles
$firewallParams = @{
    Action      = 'Allow'
    Description = 'Inbound rule for Windows Remote Management via WS-Management. [TCP 5986]'
    Direction   = 'Inbound'
    DisplayName = 'Windows Remote Management (HTTPS-In)'
    LocalPort   = 5986
    Profile     = 'Any'
    Protocol    = 'TCP'
}
New-NetFirewallRule @firewallParams

 

위의 스크립트를 Powershell에 입력한 후, 다시 Listener을 살펴보면 HTTPS 통신 포트도 열린 것을 확인 가능하다.