WinHttpCertCfg.exe, narzędzie konfiguracji certyfikatu
Narzędzie konfiguracji certyfikatów Microsoft Windows HTTP Services (WinHTTP), "WinHttpCertCfg.exe", umożliwia administratorom instalowanie i konfigurowanie certyfikatów klienta w dowolnym magazynie certyfikatów , do których można uzyskać dostęp za pomocą konta menedżera aplikacji internetowej serwera internetowego (IWAM). Narzędzie eliminuje również konieczność wykonywania niczego specjalnego dla kont, takich jak konto IWAM, aby uzyskać dostęp do certyfikatów podczas korzystania z usług Active Server Pages (ASP).
Program Microsoft Management Console (MMC) umożliwia administratorom importowanie certyfikatów klienta na komputer lokalny. Jednak importowanie certyfikatu nie powoduje automatycznego udzielenia dostępu do klucza prywatnego dla innych kont. Ten klucz prywatny jest wymagany do uwierzytelniania certyfikatu klienta. Narzędzie konfiguracji certyfikatu usług HTTP (WinHTTP) systemu Microsoft Windows umożliwia udzielanie dostępu do dodatkowych kont, takich jak konto IWAM, w razie potrzeby.
Korzystanie z narzędzia konfiguracji certyfikatu
Narzędzie konfiguracji certyfikatu WinHTTP, WinHttpCertCfg.exe, było wcześniej dostępne w ramach narzędzi zestawu Resource Kit systemu Windows Server 2003. Poniższy przykładowy kod przedstawia prawidłowe parametry wiersza polecenia do użycia z tym narzędziem.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
W poniższej tabeli wymieniono parametry narzędzia konfiguracji.
| Parametr | Opis |
|---|---|
| -? | Wyświetla dane składni. |
| -ja | Określa, że certyfikat ma zostać zaimportowany z pliku wymiany informacji osobistych (PFX). Po tym parametrze musi znajdować się nazwa pliku. Po określeniu tego parametru należy również określić wartość "-a" i "-c". |
| -g | Określa, że dostęp jest udzielany kluczowi prywatnemu. Po określeniu tego parametru należy również określić "-a", "-c" i "-s". |
| -r | Określa, że dostęp jest usuwany dla klucza prywatnego. Po określeniu tego parametru należy również określić "-a", "-c" i "-s". |
| -l | Określa, że są wyświetlane konta z dostępem do klucza prywatnego. Po określeniu tego parametru należy również określić wartości "-c" i "-s". |
| -a | Określa konto użytkownika na konfigurowanym komputerze. Może to być konto komputera lokalnego lub domeny, takie jak "IWAM_TESTMACHINE", "TESTUSER" lub "TESTDOMAIN\DOMAINUSER". |
| -c | Określa lokalizację i nazwę magazynu certyfikatów . Użyj "LOCAL_MACHINE" lub "CURRENT_USER", aby wyznaczyć gałąź rejestru do użycia dla lokalizacji. Magazyn certyfikatów może być zainstalowany na maszynie. Typowe przykłady nazw to "MY", "Root" i "TrustedPeople". Lokalizacja i nazwa magazynu certyfikatów są oddzielone ukośnikiem wstecznym, na przykład "LOCAL_MACHINE\Root".
Uwaga: Chociaż można określić gałąź "CURRENT_USER" rejestru za pomocą tego parametru, rozszerzenie dostępu do kluczy prywatnych jest przeznaczone głównie dla certyfikatów zainstalowanych na komputerze lokalnym magazynu certyfikatów, do których można uzyskać dostęp wielu użytkowników. |
| -s | Określa ciąg wyszukiwania bez uwzględniania wielkości liter w celu znalezienia pierwszego wyliczonego certyfikatu o nazwie podmiotu zawierającej ten podciąg. |
| -p | Określa hasło używane do importowania certyfikatu i klucza prywatnego. Jest to używane tylko z opcją importu. |
Nuta
Użytkownik musi mieć wystarczające uprawnienia do korzystania z tego narzędzia, co wymaga, aby użytkownik był administratorem i tym samym użytkownikiem, który zainstalował certyfikat klienta, jeśli został zainstalowany.
Narzędzie "WinHttpCertCfg.exe" nie jest przydatne do konfigurowania certyfikatów przechowywanych w systemie plików, takim jak FAT32, który nie obsługuje list kontroli dostępu (ACL).
Przykłady
W poniższych przykładach pokazano niektóre sposoby użycia narzędzia konfiguracji.
To polecenie wyświetla listę kont, które mają dostęp do klucza prywatnego dla certyfikatu "MyCertificate" w magazynie certyfikatów "Root" gałęzi LOCAL_MACHINE rejestru.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
To polecenie udziela dostępu do klucza prywatnego certyfikatu "MyCertificate" w magazynie certyfikatów "My" dla konta TESTUSER.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
To polecenie importuje certyfikat i klucz prywatny z pliku PFX i rozszerza dostęp klucza prywatnego do innego konta.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
To polecenie uniemożliwia dostęp do klucza prywatnego dla konta IWAM_TESTMACHINE z określonym certyfikatem.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE