WinHttpCertCfg.exe, 인증서 구성 도구
WinHTTP(Microsoft Windows HTTP 서비스) 인증서 구성 도구 "WinHttpCertCfg.exe"를 사용하면 관리자가 IWAM(인터넷 서버 웹 애플리케이션 관리자) 계정으로 액세스할 수 있는 인증서 저장소 클라이언트 인증서를 설치하고 구성할 수 있습니다. 또한 이 도구는 ASP(Active Server Pages)를 사용할 때 인증서에 액세스하기 위해 IWAM 계정과 같은 계정에 특별한 작업을 수행할 필요가 없습니다.
MMC(Microsoft Management Console)를 사용하면 관리자가 클라이언트 인증서를 로컬 컴퓨터로 가져올 수 있습니다. 그러나 인증서를 가져오면 다른 계정의 프라이빗 키에 대한 액세스 권한이 자동으로 부여되지는 않습니다. 이 프라이빗 키는 클라이언트 인증서 인증에 필요합니다. WinHTTP(Microsoft Windows HTTP 서비스) 인증서 구성 도구는 필요한 경우 IWAM 계정과 같은 추가 계정에 대한 액세스 권한을 부여하는 기능을 제공합니다.
인증서 구성 도구 사용
WinHTTP 인증서 구성 도구인 WinHttpCertCfg.exe이전에 Windows Server 2003 리소스 키트 도구의 일부로 사용할 수 있었습니다. 다음 예제 코드는 이 도구에 사용할 유효한 명령줄 매개 변수를 보여 있습니다.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
다음 표에서는 구성 도구에 대한 매개 변수를 나열합니다.
| 매개 변수 | 묘사 |
|---|---|
| -? | 구문 데이터를 표시합니다. |
| -나는 | PFX(개인 정보 교환) 파일에서 인증서를 가져오도록 지정합니다. 이 매개 변수 뒤에 파일 이름이 있어야 합니다. 이 매개 변수를 지정하면 "-a" 및 "-c"도 지정해야 합니다. |
| -g | 프라이빗 키에 대한 액세스 권한을 부여하도록 지정합니다. 이 매개 변수를 지정하면 "-a", "-c" 및 "-s"도 지정해야 합니다. |
| -r | 프라이빗 키에 대한 액세스가 제거되도록 지정합니다. 이 매개 변수를 지정하면 "-a", "-c" 및 "-s"도 지정해야 합니다. |
| -l | 프라이빗 키에 액세스할 수 있는 계정이 나열되도록 지정합니다. 이 매개 변수를 지정하면 "-c" 및 "-s"도 지정해야 합니다. |
| -a | 구성 중인 컴퓨터의 사용자 계정을 지정합니다. "IWAM_TESTMACHINE", "TESTUSER" 또는 "TESTDOMAIN\DOMAINUSER"와 같은 로컬 컴퓨터 또는 도메인 계정일 수 있습니다. |
| -c |
인증서 저장소위치 및 이름을 지정합니다. "LOCAL_MACHINE" 또는 "CURRENT_USER"를 사용하여 위치에 사용할 레지스트리 분기를 지정합니다.
인증서 저장소 컴퓨터에 설치할 수 있습니다. 일반적인 이름 예제는 "MY", "Root" 및 "TrustedPeople"입니다.
인증서 저장소 위치와 이름은 뒤로 슬래시(예: "LOCAL_MACHINE\Root")로 구분됩니다.
참고: 레지스트리의 "CURRENT_USER" 분기를 이 매개 변수로 지정할 수 있지만 프라이빗 키에 대한 액세스 확장은 주로 여러 사용자가 액세스할 수 있는 로컬 컴퓨터 인증서 저장소 설치된 인증서를 위한 것입니다. |
| -s | 이 부분 문자열을 포함하는 주체 이름을 사용하여 열거된 첫 번째 인증서를 찾기 위한 대/소문자를 구분하지 않는 검색 문자열을 지정합니다. |
| -p | 인증서 및 프라이빗 키를 가져오는 데 사용되는 암호를 지정합니다. 가져오기 옵션에만 사용됩니다. |
메모
이 도구를 사용하려면 사용자에게 충분한 권한이 있어야 합니다. 이 도구를 사용하려면 사용자가 관리자여야 하고 클라이언트 인증서를 설치한 동일한 사용자여야 합니다(설치된 경우).
"WinHttpCertCfg.exe" 도구는 ACL(액세스 제어 목록)을 지원하지 않는 FAT32와 같은 파일 시스템에 저장된 인증서를 구성하는 데 유용하지 않습니다.
예제
다음 예제에서는 구성 도구를 사용할 수 있는 몇 가지 방법을 보여 줍니다.
이 명령은 레지스트리의 LOCAL_MACHINE 분기의 "루트" 인증서 저장소 "MyCertificate" 인증서에 대한 프라이빗 키에 액세스할 수 있는 계정을 나열합니다.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
이 명령은 TESTUSER 계정에 대한 "My" 인증서 저장소 "MyCertificate" 인증서의 프라이빗 키에 대한 액세스 권한을 부여합니다.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
이 명령은 PFX 파일에서 인증서 및 프라이빗 키를 가져오고 프라이빗 키 액세스를 다른 계정으로 확장합니다.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
이 명령은 지정된 인증서를 사용하여 IWAM_TESTMACHINE 계정의 프라이빗 키에 대한 액세스를 거부합니다.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE