天天看点
返回

Ansible控制Windows操作步骤

环境:

CentOS 6.75(Ansible 2.0)

Windows Server 2012 (PowerShell 4.0)

1、确保PowerShell版本为3.0以上

ansible要控制windows,必须要求windows主机的PowerShell版本为3.0以上,如果版本不满足要求需要升级PowerShell。

查看PowerShell版本可以使用以下命令

1

<code>$PSVersionTable.PSVersion</code>

如果版本不满足要求,可以使用下面脚本进行升级(将脚本内容保存到一个powershell脚本中,)

首先启动powershell必须是用超管权限启动,然后 set-ExecutionPolicy RemoteSigned ,以后才能正确执行下面的脚本(脚本随便放哪都行,找到放置的对应路径就行)

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

<code>[html] view plain copy print?</code>

<code># Powershell script to upgrade a PowerShell 2.0 system to PowerShell 3.0  </code>

<code># based on http://occasionalutility.blogspot.com/2013/11/everyday-powershell-part-7-powershell.html  </code>

<code>#  </code>

<code># some Ansible modules that may use Powershell 3 features, so systems may need  </code>

<code># to be upgraded.  This may be used by a sample playbook.  Refer to the windows  </code>

<code># documentation on docs.ansible.com for details.  </code>

<code>#   </code>

<code># - hosts: windows  </code>

<code>#   tasks:  </code>

<code>#     - script: upgrade_to_ps3.ps1  </code>

<code>  </code> 

<code># Get version of OS  </code>

<code># 6.0 is 2008  </code>

<code># 6.1 is 2008 R2  </code>

<code># 6.2 is 2012  </code>

<code># 6.3 is 2012 R2  </code>

<code>if</code> <code>($PSVersionTable.psversion.Major -</code><code>ge</code> <code>3)  </code>

<code>{  </code>

<code>    </code><code>write-host </code><code>"Powershell 3 Installed already; You don't need this"</code>  

<code>    </code><code>Exit  </code>

<code>}  </code>

<code>$powershellpath = </code><code>"C:\powershell"</code>  

<code>function</code> <code>download-</code><code>file</code>  

<code>    </code><code>param ([string]$path, [string]$</code><code>local</code><code>)  </code>

<code>    </code><code>$client = new-object system.net.WebClient  </code>

<code>    </code><code>$client.Headers.Add(</code><code>"user-agent"</code><code>, </code><code>"PowerShell"</code><code>)  </code>

<code>    </code><code>$client.downloadfile($path, $</code><code>local</code><code>)  </code>

<code>if</code> <code>(!(</code><code>test</code><code>-path $powershellpath))  </code>

<code>    </code><code>New-Item -ItemType directory -Path $powershellpath  </code>

<code># .NET Framework 4.0 is necessary.  </code>

<code>#if (($PSVersionTable.CLRVersion.Major) -lt 2)  </code>

<code>#{  </code>

<code>#    $DownloadUrl = "http://download.microsoft.com/download/B/A/4/BA4A7E71-2906-4B2D-A0E1-80CF16844F5F/dotNetFx45_Full_x86_x64.exe"  </code>

<code>#    $FileName = $DownLoadUrl.Split('/')[-1]  </code>

<code>#    download-file $downloadurl "$powershellpath\$filename"  </code>

<code>#    ."$powershellpath\$filename" /quiet /norestart  </code>

<code>#}  </code>

<code>#You may need to reboot after the .NET install if so just run the script again.  </code>

<code># If the Operating System is above 6.2, then you already have PowerShell Version &gt; 3  </code>

<code>if</code> <code>([Environment]::OSVersion.Version.Major -gt 6)  </code>

<code>    </code><code>write-host </code><code>"OS is new; upgrade not needed."</code>  

<code>$osminor = [environment]::OSVersion.Version.Minor  </code>

<code>$architecture = $ENV:PROCESSOR_ARCHITECTURE  </code>

<code>if</code> <code>($architecture -</code><code>eq</code> <code>"AMD64"</code><code>)  </code>

<code>    </code><code>$architecture = </code><code>"x64"</code>  

<code>}    </code>

<code>else</code>  

<code>    </code><code>$architecture = </code><code>"x86"</code>   

<code>}   </code>

<code>if</code> <code>($osminor -</code><code>eq</code> <code>1)  </code>

<code>    </code><code>$DownloadUrl = </code><code>"http://download.microsoft.com/download/E/7/6/E76850B8-DA6E-4FF5-8CCE-A24FC513FD16/Windows6.1-KB2506143-"</code> <code>+ $architecture + </code><code>".msu"</code>  

<code>elseif ($osminor -</code><code>eq</code> <code>0)  </code>

<code>    </code><code>$DownloadUrl = </code><code>"http://download.microsoft.com/download/E/7/6/E76850B8-DA6E-4FF5-8CCE-A24FC513FD16/Windows6.0-KB2506146-"</code> <code>+ $architecture + </code><code>".msu"</code>  

<code>    </code><code># Nothing to do; In theory this point will never be reached.  </code>

<code>$FileName = $DownLoadUrl.Split(</code><code>'/'</code><code>)[-1]  </code>

<code>download-</code><code>file</code> <code>$downloadurl </code><code>"$powershellpath\$filename"</code>  

<code> </code><code>write-host </code><code>"$powershellpath\$filename"</code>  

<code>Start-Process -FilePath </code><code>"$powershellpath\$filename"</code> <code>-ArgumentList </code><code>/quiet</code>

执行完了之后,需要重启电脑(自动),然后可以使用get-host查看是否成功升级!

如果升级成功,继续执行下面的配置winrm的脚本

2、执行脚本配置vinrm

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

<code># Configure a Windows host for remote management with Ansible  </code>

<code># -----------------------------------------------------------  </code>

<code># This script checks the current WinRM/PSRemoting configuration and makes the  </code>

<code># necessary changes to allow Ansible to connect, authenticate and execute  </code>

<code># PowerShell commands.  </code>

<code># Set $VerbosePreference = "Continue" before running the script in order to  </code>

<code># see the output messages.  </code>

<code># Written by Trond Hindenes &lt;[email protected]&gt;  </code>

<code># Updated by Chris Church &lt;[email protected]&gt;  </code>

<code># Version 1.0 - July 6th, 2014  </code>

<code># Version 1.1 - November 11th, 2014  </code>

<code>Param (  </code>

<code>    </code><code>[string]$SubjectName = $</code><code>env</code><code>:COMPUTERNAME,  </code>

<code>    </code><code>[int]$CertValidityDays = 365,  </code>

<code>    </code><code>$CreateSelfSignedCert = $</code><code>true</code>  

<code>)  </code>

<code>Function New-LegacySelfSignedCert  </code>

<code>    </code><code>Param (  </code>

<code>        </code><code>[string]$SubjectName,  </code>

<code>        </code><code>[int]$ValidDays = 365  </code>

<code>    </code><code>)  </code>

<code>      </code> 

<code>    </code><code>$name = New-Object -COM </code><code>"X509Enrollment.CX500DistinguishedName.1"</code>  

<code>    </code><code>$name.Encode(</code><code>"CN=$SubjectName"</code><code>, 0)  </code>

<code>    </code><code>$key = New-Object -COM </code><code>"X509Enrollment.CX509PrivateKey.1"</code>  

<code>    </code><code>$key.ProviderName = </code><code>"Microsoft RSA SChannel Cryptographic Provider"</code>  

<code>    </code><code>$key.KeySpec = 1  </code>

<code>    </code><code>$key.Length = 1024  </code>

<code>    </code><code>$key.SecurityDescriptor = </code><code>"D:PAI(A;;0xd01f01ff;;;SY)(A;;0xd01f01ff;;;BA)(A;;0x80120089;;;NS)"</code>  

<code>    </code><code>$key.MachineContext = 1  </code>

<code>    </code><code>$key.Create()  </code>

<code>    </code><code>$serverauthoid = New-Object -COM </code><code>"X509Enrollment.CObjectId.1"</code>  

<code>    </code><code>$serverauthoid.InitializeFromValue(</code><code>"1.3.6.1.5.5.7.3.1"</code><code>)  </code>

<code>    </code><code>$ekuoids = New-Object -COM </code><code>"X509Enrollment.CObjectIds.1"</code>  

<code>    </code><code>$ekuoids.Add($serverauthoid)  </code>

<code>    </code><code>$ekuext = New-Object -COM </code><code>"X509Enrollment.CX509ExtensionEnhancedKeyUsage.1"</code>  

<code>    </code><code>$ekuext.InitializeEncode($ekuoids)  </code>

<code>    </code><code>$cert = New-Object -COM </code><code>"X509Enrollment.CX509CertificateRequestCertificate.1"</code>  

<code>    </code><code>$cert.InitializeFromPrivateKey(2, $key, </code><code>""</code><code>)  </code>

<code>    </code><code>$cert.Subject = $name  </code>

<code>    </code><code>$cert.Issuer = $cert.Subject  </code>

<code>    </code><code>$cert.NotBefore = (Get-Date).AddDays(-1)  </code>

<code>    </code><code>$cert.NotAfter = $cert.NotBefore.AddDays($ValidDays)  </code>

<code>    </code><code>$cert.X509Extensions.Add($ekuext)  </code>

<code>    </code><code>$cert.Encode()  </code>

<code>    </code><code>$enrollment = New-Object -COM </code><code>"X509Enrollment.CX509Enrollment.1"</code>  

<code>    </code><code>$enrollment.InitializeFromRequest($cert)  </code>

<code>    </code><code>$certdata = $enrollment.CreateRequest(0)  </code>

<code>    </code><code>$enrollment.InstallResponse(2, $certdata, 0, </code><code>""</code><code>)  </code>

<code>    </code><code># Return the thumbprint of the last installed cert.  </code>

<code>    </code><code>Get-ChildItem </code><code>"Cert:\LocalMachine\my"</code><code>| Sort-Object NotBefore -Descending | Select -First 1 | Select -Expand Thumbprint  </code>

<code># Setup error handling.  </code>

<code>Trap  </code>

<code>    </code><code>$_  </code>

<code>    </code><code>Exit 1  </code>

<code>$ErrorActionPreference = </code><code>"Stop"</code>  

<code># Detect PowerShell version.  </code>

<code>If ($PSVersionTable.PSVersion.Major -lt 3)  </code>

<code>    </code><code>Throw </code><code>"PowerShell version 3 or higher is required."</code>  

<code># Find and start the WinRM service.  </code>

<code>Write-Verbose </code><code>"Verifying WinRM service."</code>  

<code>If (!(Get-Service </code><code>"WinRM"</code><code>))  </code>

<code>    </code><code>Throw </code><code>"Unable to find the WinRM service."</code>  

<code>ElseIf ((Get-Service </code><code>"WinRM"</code><code>).Status -</code><code>ne</code> <code>"Running"</code><code>)  </code>

<code>    </code><code>Write-Verbose </code><code>"Starting WinRM service."</code>  

<code>    </code><code>Start-Service -Name </code><code>"WinRM"</code> <code>-ErrorAction Stop  </code>

<code># WinRM should be running; check that we have a PS session config.  </code>

<code>If (!(Get-PSSessionConfiguration -Verbose:$</code><code>false</code><code>) -or (!(Get-ChildItem WSMan:\localhost\Listener)))  </code>

<code>    </code><code>Write-Verbose </code><code>"Enabling PS Remoting."</code>  

<code>    </code><code>Enable-PSRemoting -Force -ErrorAction Stop  </code>

<code>Else  </code>

<code>    </code><code>Write-Verbose </code><code>"PS Remoting is already enabled."</code>  

<code># Make sure there is a SSL listener.  </code>

<code>$listeners = Get-ChildItem WSMan:\localhost\Listener  </code>

<code>If (!($listeners | Where {$_.Keys -like </code><code>"TRANSPORT=HTTPS"</code><code>}))  </code>

<code>    </code><code># HTTPS-based endpoint does not exist.  </code>

<code>    </code><code>If (Get-Command </code><code>"New-SelfSignedCertificate"</code> <code>-ErrorAction SilentlyContinue)  </code>

<code>    </code><code>{  </code>

<code>        </code><code>$cert = New-SelfSignedCertificate -DnsName $</code><code>env</code><code>:COMPUTERNAME -CertStoreLocation </code><code>"Cert:\LocalMachine\My"</code>  

<code>        </code><code>$thumbprint = $cert.Thumbprint  </code>

<code>    </code><code>}  </code>

<code>    </code><code>Else  </code>

<code>        </code><code>$thumbprint = New-LegacySelfSignedCert -SubjectName $</code><code>env</code><code>:COMPUTERNAME  </code>

<code>    </code><code># Create the hashtables of settings to be used.  </code>

<code>    </code><code>$valueset = @{}  </code>

<code>    </code><code>$valueset.Add(</code><code>'Hostname'</code><code>, $</code><code>env</code><code>:COMPUTERNAME)  </code>

<code>    </code><code>$valueset.Add(</code><code>'CertificateThumbprint'</code><code>, $thumbprint)  </code>

<code>    </code><code>$selectorset = @{}  </code>

<code>    </code><code>$selectorset.Add(</code><code>'Transport'</code><code>, </code><code>'HTTPS'</code><code>)  </code>

<code>    </code><code>$selectorset.Add(</code><code>'Address'</code><code>, </code><code>'*'</code><code>)  </code>

<code>    </code><code>Write-Verbose </code><code>"Enabling SSL listener."</code>  

<code>    </code><code>New-WSManInstance -ResourceURI </code><code>'winrm/config/Listener'</code> <code>-SelectorSet $selectorset -ValueSet $valueset  </code>

<code>    </code><code>Write-Verbose </code><code>"SSL listener is already active."</code>  

<code># Check for basic authentication.  </code>

<code>$basicAuthSetting = Get-ChildItem WSMan:\localhost\Service\Auth | Where {$_.Name -</code><code>eq</code> <code>"Basic"</code><code>}  </code>

<code>If (($basicAuthSetting.Value) -</code><code>eq</code> <code>$</code><code>false</code><code>)  </code>

<code>    </code><code>Write-Verbose </code><code>"Enabling basic auth support."</code>  

<code>    </code><code>Set-Item -Path </code><code>"WSMan:\localhost\Service\Auth\Basic"</code> <code>-Value $</code><code>true</code>  

<code>    </code><code>Write-Verbose </code><code>"Basic auth is already enabled."</code>  

<code># Configure firewall to allow WinRM HTTPS connections.  </code>

<code>$fwtest1 = netsh advfirewall firewall show rule name=</code><code>"Allow WinRM HTTPS"</code>  

<code>$fwtest2 = netsh advfirewall firewall show rule name=</code><code>"Allow WinRM HTTPS"</code> <code>profile=any  </code>

<code>If ($fwtest1.count -lt 5)  </code>

<code>    </code><code>Write-Verbose </code><code>"Adding firewall rule to allow WinRM HTTPS."</code>  

<code>    </code><code>netsh advfirewall firewall add rule profile=any name=</code><code>"Allow WinRM HTTPS"</code> <code>dir</code><code>=</code><code>in</code> <code>localport=5986 protocol=TCP action=allow  </code>

<code>ElseIf (($fwtest1.count -</code><code>ge</code> <code>5) -and ($fwtest2.count -lt 5))  </code>

<code>    </code><code>Write-Verbose </code><code>"Updating firewall rule to allow WinRM HTTPS for any profile."</code>  

<code>    </code><code>netsh advfirewall firewall </code><code>set</code> <code>rule name=</code><code>"Allow WinRM HTTPS"</code> <code>new profile=any  </code>

<code>    </code><code>Write-Verbose </code><code>"Firewall rule already exists to allow WinRM HTTPS."</code>  

<code># Test a remoting connection to localhost, which should work.  </code>

<code>$httpResult = Invoke-Command -ComputerName </code><code>"localhost"</code> <code>-ScriptBlock {$</code><code>env</code><code>:COMPUTERNAME} -ErrorVariable httpError -ErrorAction SilentlyContinue  </code>

<code>$httpsOptions = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck  </code>

<code>$httpsResult = New-PSSession -UseSSL -ComputerName </code><code>"localhost"</code> <code>-SessionOption $httpsOptions -ErrorVariable httpsError -ErrorAction SilentlyContinue  </code>

<code>If ($httpResult -and $httpsResult)  </code>

<code>    </code><code>Write-Verbose </code><code>"HTTP and HTTPS sessions are enabled."</code>  

<code>ElseIf ($httpsResult -and !$httpResult)  </code>

<code>    </code><code>Write-Verbose </code><code>"HTTP sessions are disabled, HTTPS session are enabled."</code>  

<code>ElseIf ($httpResult -and !$httpsResult)  </code>

<code>    </code><code>Write-Verbose </code><code>"HTTPS sessions are disabled, HTTP session are enabled."</code>  

<code>    </code><code>Throw </code><code>"Unable to establish an HTTP or HTTPS remoting session."</code>  

<code>Write-Verbose </code><code>"PS Remoting has been successfully configured for Ansible."</code>

注意:上面这个脚本是我网上找的,默认应该是没有启用SSL,所以使用的是HTTP认证,而不是HTTPS认证

3、确认inrm是否开启

winrm quickconfig

<a href="http://s4.51cto.com/wyfs02/M02/89/5A/wKiom1gQWRvSyySiAAFVpP7oHSM558.png" target="_blank"></a>

4、配置winrm

执行下面两条命令配置winrm

<code>C:\Users\Administrator&gt; winrm </code><code>set</code> <code>winrm</code><code>/config/service/auth</code> <code>'@{Basic="true"}'</code>

<code>C:\Users\Administrator&gt; winrm </code><code>set</code> <code>winrm</code><code>/config/service</code> <code>'@{AllowUnencrypted="true"}'</code>

5、ansible主机上安装pywinrm模块

<code>pip </code><code>install</code> <code>http:</code><code>//github</code><code>.com</code><code>/diyan/pywinrm/archive/master</code><code>.zip</code><code>#egg=pywinrm</code>

<code>[root@SRV-OPS10-ANSIBLE04 files]</code><code># pip list | grep pywinrm</code>

<code>You are using pip version 7.1.0, however version 8.1.2 is available.</code>

<code>You should consider upgrading via the </code><code>'pip install --upgrade pip'</code> <code>command</code><code>.</code>

<code>pywinrm (0.2.0)</code>

6、测试ansible能否控制Windows

配信hosts文件和变量

<code>vim </code><code>/etc/ansible/hosts</code>

<code>[win]</code>

<code>172.16.206.150</code>

<code>vim </code><code>/etc/ansible/group_vars/win</code><code>.yml</code>

<code>ansible_user: administrator</code>

<code>ansible_password: </code><code>"Pass123qwe"</code>

<code>ansible_ssh_port: 5986</code>

<code>ansible_connection: winrm</code>

<code>ansible_winrm_server_cert_validation: ignore</code>

测试win_ping模块

<code>ansible win -m win_ping</code>

<code>SRV-SPMS10-WEB02 | SUCCESS =&gt; {</code>

<code>    </code><code>"changed"</code><code>: </code><code>false</code><code>, </code>

<code>    </code><code>"ping"</code><code>: </code><code>"pong"</code>

<code>}</code>

排错

<code>&lt;172.16.206.150&gt; ESTABLISH WINRM CONNECTION FOR USER: Administrator on PORT 5986 TO 172.16.206.150</code>

<code>172.16.206.150 | UNREACHABLE! =&gt; {</code>

<code>    </code><code>"msg"</code><code>: </code><code>"ssl: [Errno 1] _ssl.c:504: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed"</code><code>, </code>

<code>    </code><code>"unreachable"</code><code>: </code><code>true</code>

报以上错误是因为windows上没有开启SSL,所以不支持HTTPS,只能使用HTTP。

只需要修改ansible_ssh_port为5985

注意,ansible2.0以后,将ansible_ssh_prot,ansible_ssh_user,ansible_ssh_connection简写成了

ansible_port、ansible_user、ansible_connection

扩展:使用HTTPS

如果想使用HTTPS,则可以在第2步执行以下脚本

197

198

199

200

201

202

203

<code># Configure a Windows host for remote management with Ansible</code>

<code># -----------------------------------------------------------</code>

<code>#</code>

<code># This script checks the current WinRM/PSRemoting configuration and makes the</code>

<code># necessary changes to allow Ansible to connect, authenticate and execute</code>

<code># PowerShell commands.</code>

<code># Set $VerbosePreference = "Continue" before running the script in order to</code>

<code># see the output messages.</code>

<code># Set $SkipNetworkProfileCheck to skip the network profile check.  Without</code>

<code># specifying this the script will only run if the device's interfaces are in</code>

<code># DOMAIN or PRIVATE zones.  Provide this switch if you want to enable winrm on</code>

<code># a device with an interface in PUBLIC zone.</code>

<code># Written by Trond Hindenes &lt;[email protected]&gt;</code>

<code># Updated by Chris Church &lt;[email protected]&gt;</code>

<code># Updated by Michael Crilly &lt;[email protected]&gt;</code>

<code># Version 1.0 - July 6th, 2014</code>

<code># Version 1.1 - November 11th, 2014</code>

<code># Version 1.2 - May 15th, 2015</code>

<code># Version 1.3 - May 4th, 2016  By Roger</code>

<code># Version 1.4 - June 2th, 2016 By Roger</code>

<code>Param (</code>

<code>    </code><code>[string]$SubjectName = $</code><code>env</code><code>:COMPUTERNAME,</code>

<code>    </code><code>[int]$CertValidityDays = 3650,</code>

<code>    </code><code>[switch]$SkipNetworkProfileCheck,</code>

<code>    </code><code>$CreateSelfSignedCert = $</code><code>true</code>

<code>)</code>

<code>Function New-LegacySelfSignedCert</code>

<code>{</code>

<code>    </code><code>Param (</code>

<code>        </code><code>[string]$SubjectName,</code>

<code>        </code><code>[int]$ValidDays = 3650</code>

<code>    </code><code>)</code>

<code>    </code><code>$name = New-Object -COM </code><code>"X509Enrollment.CX500DistinguishedName.1"</code>

<code>    </code><code>$name.Encode(</code><code>"CN=$SubjectName"</code><code>, 0)</code>

<code>    </code><code>$key = New-Object -COM </code><code>"X509Enrollment.CX509PrivateKey.1"</code>

<code>    </code><code>$key.ProviderName = </code><code>"Microsoft RSA SChannel Cryptographic Provider"</code>

<code>    </code><code>$key.KeySpec = 1</code>

<code>    </code><code>$key.Length = 1024</code>

<code>    </code><code>$key.SecurityDescriptor = </code><code>"D:PAI(A;;0xd01f01ff;;;SY)(A;;0xd01f01ff;;;BA)(A;;0x80120089;;;NS)"</code>

<code>    </code><code>$key.MachineContext = 1</code>

<code>    </code><code>$key.Create()</code>

<code>    </code><code>$serverauthoid = New-Object -COM </code><code>"X509Enrollment.CObjectId.1"</code>

<code>    </code><code>$serverauthoid.InitializeFromValue(</code><code>"1.3.6.1.5.5.7.3.1"</code><code>)</code>

<code>    </code><code>$ekuoids = New-Object -COM </code><code>"X509Enrollment.CObjectIds.1"</code>

<code>    </code><code>$ekuoids.Add($serverauthoid)</code>

<code>    </code><code>$ekuext = New-Object -COM </code><code>"X509Enrollment.CX509ExtensionEnhancedKeyUsage.1"</code>

<code>    </code><code>$ekuext.InitializeEncode($ekuoids)</code>

<code>    </code><code>$cert = New-Object -COM </code><code>"X509Enrollment.CX509CertificateRequestCertificate.1"</code>

<code>    </code><code>$cert.InitializeFromPrivateKey(2, $key, </code><code>""</code><code>)</code>

<code>    </code><code>$cert.Subject = $name</code>

<code>    </code><code>$cert.Issuer = $cert.Subject</code>

<code>    </code><code>$cert.NotBefore = (Get-Date).AddDays(-1)</code>

<code>    </code><code>$cert.NotAfter = $cert.NotBefore.AddDays($ValidDays)</code>

<code>    </code><code>$cert.X509Extensions.Add($ekuext)</code>

<code>    </code><code>$cert.Encode()</code>

<code>    </code><code>$enrollment = New-Object -COM </code><code>"X509Enrollment.CX509Enrollment.1"</code>

<code>    </code><code>$enrollment.InitializeFromRequest($cert)</code>

<code>    </code><code>$certdata = $enrollment.CreateRequest(0)</code>

<code>    </code><code>$enrollment.InstallResponse(2, $certdata, 0, </code><code>""</code><code>)</code>

<code>    </code><code># Return the thumbprint of the last installed certificate;</code>

<code>    </code><code># This is needed for the new HTTPS WinRM listerner we're</code>

<code>    </code><code># going to create further down.</code>

<code>    </code><code>Get-ChildItem </code><code>"Cert:\LocalMachine\my"</code><code>| Sort-Object NotBefore -Descending | Select -First 1 | Select -Expand Thumbprint</code>

<code># Setup error handling.</code>

<code>Trap</code>

<code>    </code><code>$_</code>

<code>    </code><code>Exit 1</code>

<code>$ErrorActionPreference = </code><code>"Stop"</code>

<code>Get-ChildItem cert:\LocalMachine\My | where-object {$_.Thumbprint -</code><code>ne</code> <code>'6084E84C6B52584FB35050BFCBB02C0E639CECAC'</code> <code>-and $_.Thumbprint -</code><code>ne</code> <code>"22919AFEDEFC7F6A75BB6CDC1366DC7A6A5C1953"</code> <code>} |</code>

<code>ForEach-Object { </code>

<code>    </code><code>$store = Get-Item $_.PSParentPath </code>

<code>    </code><code>$store.Open(</code><code>'ReadWrite'</code><code>) </code>

<code>    </code><code>$store.Remove($_) </code>

<code>    </code><code>$store.Close() </code>

<code>Write-Verbose </code><code>"Deleted exist cert."</code>

<code>    </code><code>}</code>

<code>If (Get-ChildItem WSMan:\localhost\Listener)</code>

<code>    </code><code>winrm delete winrm</code><code>/config/Listener</code><code>?Address=*+Transport=HTTPS</code>

<code>    </code><code>Write-Verbose </code><code>"Deleted exist Listener."</code>

<code># Detect PowerShell version.</code>

<code>If ($PSVersionTable.PSVersion.Major -lt 3)</code>

<code>    </code><code>Throw </code><code>"PowerShell version 3 or higher is required."</code>

<code># Find and start the WinRM service.</code>

<code>Write-Verbose </code><code>"Verifying WinRM service."</code>

<code>If (!(Get-Service </code><code>"WinRM"</code><code>))</code>

<code>    </code><code>Throw </code><code>"Unable to find the WinRM service."</code>

<code>ElseIf ((Get-Service </code><code>"WinRM"</code><code>).Status -</code><code>ne</code> <code>"Running"</code><code>)</code>

<code>    </code><code>Write-Verbose </code><code>"Starting WinRM service."</code>

<code>    </code><code>Start-Service -Name </code><code>"WinRM"</code> <code>-ErrorAction Stop</code>

<code># WinRM should be running; check that we have a PS session config.</code>

<code>If (!(Get-PSSessionConfiguration -Verbose:$</code><code>false</code><code>) -or (!(Get-ChildItem WSMan:\localhost\Listener)))</code>

<code>  </code><code>if</code> <code>($SkipNetworkProfileCheck) {</code>

<code>    </code><code>Write-Verbose </code><code>"Enabling PS Remoting without checking Network profile."</code>

<code>    </code><code>Enable-PSRemoting -SkipNetworkProfileCheck -Force -ErrorAction Stop</code>

<code>  </code><code>}</code>

<code>  </code><code>else</code> <code>{</code>

<code>    </code><code>Write-Verbose </code><code>"Enabling PS Remoting"</code>

<code>    </code><code>Enable-PSRemoting -Force -ErrorAction Stop</code>

<code>Else</code>

<code>    </code><code>Write-Verbose </code><code>"PS Remoting is already enabled."</code>

<code># Make sure there is a SSL listener.</code>

<code>$listeners = Get-ChildItem WSMan:\localhost\Listener</code>

<code>If (!($listeners | Where {$_.Keys -like </code><code>"TRANSPORT=HTTPS"</code><code>}))</code>

<code>    </code><code># HTTPS-based endpoint does not exist.</code>

<code>    </code><code>If (Get-Command </code><code>"New-SelfSignedCertificate"</code> <code>-ErrorAction SilentlyContinue)</code>

<code>    </code><code>{</code>

<code>        </code><code>$cert = New-SelfSignedCertificate -DnsName $SubjectName -CertStoreLocation </code><code>"Cert:\LocalMachine\My"</code>

<code>        </code><code>$thumbprint = $cert.Thumbprint</code>

<code>        </code><code>Write-Host </code><code>"Self-signed SSL certificate generated; thumbprint: $thumbprint"</code>

<code>    </code><code>Else</code>

<code>        </code><code>$thumbprint = New-LegacySelfSignedCert -SubjectName $SubjectName</code>

<code>        </code><code>Write-Host </code><code>"(Legacy) Self-signed SSL certificate generated; thumbprint: $thumbprint"</code>

<code>    </code><code># Create the hashtables of settings to be used.</code>

<code>    </code><code>$valueset = @{}</code>

<code>    </code><code>$valueset.Add(</code><code>'Hostname'</code><code>, $SubjectName)</code>

<code>    </code><code>$valueset.Add(</code><code>'CertificateThumbprint'</code><code>, $thumbprint)</code>

<code>    </code><code>$selectorset = @{}</code>

<code>    </code><code>$selectorset.Add(</code><code>'Transport'</code><code>, </code><code>'HTTPS'</code><code>)</code>

<code>    </code><code>$selectorset.Add(</code><code>'Address'</code><code>, </code><code>'*'</code><code>)</code>

<code>    </code><code>Write-Verbose </code><code>"Enabling SSL listener."</code>

<code>    </code><code>New-WSManInstance -ResourceURI </code><code>'winrm/config/Listener'</code> <code>-SelectorSet $selectorset -ValueSet $valueset</code>

<code>    </code><code>Write-Verbose </code><code>"SSL listener is already active."</code>

<code># Check for basic authentication.</code>

<code>$basicAuthSetting = Get-ChildItem WSMan:\localhost\Service\Auth | Where {$_.Name -</code><code>eq</code> <code>"Basic"</code><code>}</code>

<code>If (($basicAuthSetting.Value) -</code><code>eq</code> <code>$</code><code>false</code><code>)</code>

<code>    </code><code>Write-Verbose </code><code>"Enabling basic auth support."</code>

<code>    </code><code>Set-Item -Path </code><code>"WSMan:\localhost\Service\Auth\Basic"</code> <code>-Value $</code><code>true</code>

<code>    </code><code>Write-Verbose </code><code>"Basic auth is already enabled."</code>

<code># Configure firewall to allow WinRM HTTPS connections.</code>

<code>$fwtest1 = netsh advfirewall firewall show rule name=</code><code>"Allow WinRM HTTPS"</code>

<code>$fwtest2 = netsh advfirewall firewall show rule name=</code><code>"Allow WinRM HTTPS"</code> <code>profile=any</code>

<code>If ($fwtest1.count -lt 5)</code>

<code>    </code><code>Write-Verbose </code><code>"Adding firewall rule to allow WinRM HTTPS."</code>

<code>    </code><code>netsh advfirewall firewall add rule profile=any name=</code><code>"Allow WinRM HTTPS"</code> <code>dir</code><code>=</code><code>in</code> <code>localport=5986 protocol=TCP action=allow</code>

<code>ElseIf (($fwtest1.count -</code><code>ge</code> <code>5) -and ($fwtest2.count -lt 5))</code>

<code>    </code><code>Write-Verbose </code><code>"Updating firewall rule to allow WinRM HTTPS for any profile."</code>

<code>    </code><code>netsh advfirewall firewall </code><code>set</code> <code>rule name=</code><code>"Allow WinRM HTTPS"</code> <code>new profile=any</code>

<code>    </code><code>Write-Verbose </code><code>"Firewall rule already exists to allow WinRM HTTPS."</code>

<code># Test a remoting connection to localhost, which should work.</code>

<code>$httpResult = Invoke-Command -ComputerName </code><code>"localhost"</code> <code>-ScriptBlock {$</code><code>env</code><code>:COMPUTERNAME} -ErrorVariable httpError -ErrorAction SilentlyContinue</code>

<code>$httpsOptions = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck</code>

<code>$httpsResult = New-PSSession -UseSSL -ComputerName </code><code>"localhost"</code> <code>-SessionOption $httpsOptions -ErrorVariable httpsError -ErrorAction SilentlyContinue</code>

<code>## Disable HTTP Listener --Roger</code>

<code>If ($httpResult)</code>

<code>    </code><code>winrm delete winrm</code><code>/config/Listener</code><code>?Address=*+Transport=HTTP</code>

<code>If ($httpResult -and $httpsResult)</code>

<code>   </code><code>Write-Verbose </code><code>"HTTP: Enabled | HTTPS: Enabled"</code>

<code>ElseIf ($httpsResult -and !$httpResult)</code>

<code>    </code><code>Write-Verbose </code><code>"HTTP: Disabled | HTTPS: Enabled"</code>

<code>ElseIf ($httpResult -and !$httpsResult)</code>

<code>    </code><code>Write-Verbose </code><code>"HTTP: Enabled | HTTPS: Disabled"</code>

<code>    </code><code>Throw </code><code>"Unable to establish an HTTP or HTTPS remoting session."</code>

注意:HTTPS认证需要创建证书,但是证书的有效期为一年,所以为了保证证书不过期,可以做一个计划任务的脚本,在windows主机每次重启时,执行这个脚本,这个每次重启后的证书是新的。

本文转自 曾哥最爱 51CTO博客,原文链接:http://blog.51cto.com/zengestudy/1865946,如需转载请自行联系原作者

网络安全 Windows 网络爬虫windows windows网络关闭 Windows网络 windows安全新功能 windows无法网络
上一篇: 用powershell脚本实现zabbix LLD 监控IIS站点
下一篇: Python面向对象编程

继续阅读