WinHttpCertCfg.exe, uma ferramenta de configuração de certificado
A ferramenta de configuração de certificados WinHTTP (Serviços HTTP do Microsoft Windows ), "WinHttpCertCfg.exe", permite que os administradores instalem e configurem certificados de cliente em qualquer repositório de certificados que possa ser acessado pela conta do IWAM (Internet Server Web Application Manager). A ferramenta também elimina a necessidade de fazer algo especial para contas como a conta IWAM para obter acesso a certificados ao usar ASP (Active Server Pages).
O MMC (Console de Gerenciamento Microsoft) permite que os administradores importem certificados de cliente para um computador local. No entanto, a importação de um certificado não concede automaticamente acesso à chave privada para outras contas. Essa chave privada é necessária para autenticação de certificado do cliente. A ferramenta de configuração de certificados WinHTTP (Serviços HTTP do Microsoft Windows) fornece a capacidade de conceder acesso a contas adicionais, como a conta IWAM, quando necessário.
Usando a Ferramenta de Configuração de Certificado
A ferramenta de configuração de certificado WinHTTP, WinHttpCertCfg.exe, está disponível como download no site do Windows Server 2003 Resource Kit Tools . O código de exemplo a seguir mostra os parâmetros de linha de comando válidos a serem usados com essa ferramenta.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
A tabela a seguir lista parâmetros para a ferramenta de configuração.
Parâmetro | Descrição |
---|---|
-? | Exibe dados de sintaxe. |
-i | Especifica que o certificado deve ser importado de um arquivo PFX (Troca de Informações Pessoais). Esse parâmetro deve ser seguido pelo nome do arquivo. Quando esse parâmetro é especificado, "-a" e "-c" também devem ser especificados. |
-g | Especifica que o acesso é concedido a uma chave privada. Quando esse parâmetro é especificado, "-a", "-c" e "-s" também devem ser especificados. |
-r | Especifica que o acesso é removido para uma chave privada. Quando esse parâmetro é especificado, "-a", "-c" e "-s" também devem ser especificados. |
-l | Especifica que as contas com acesso a uma chave privada estão listadas. Quando esse parâmetro é especificado, "-c" e "-s" também devem ser especificados. |
-a | Especifica a conta de usuário no computador que está sendo configurado. Pode ser uma conta de domínio ou computador local, como "IWAM_TESTMACHINE", "TESTUSER" ou "TESTDOMAIN\DOMAINUSER". |
-c | Especifica o local e o nome do repositório de certificados. Use "LOCAL_MACHINE" ou "CURRENT_USER" para designar qual branch do Registro usar para o local. O repositório de certificados pode ser qualquer instalado no computador. Exemplos de nome típicos são "MY", "Root" e "TrustedPeople". O local e o nome do repositório de certificados são separados por uma barra anterior, por exemplo, "LOCAL_MACHINE\Root".
Nota: Embora o branch "CURRENT_USER" do registro possa ser especificado com esse parâmetro, estender o acesso a chaves privadas destina-se principalmente a certificados instalados em um repositório de certificados de computador local que podem ser acessados por vários usuários. |
-S | Especifica uma cadeia de caracteres de pesquisa que não diferencia maiúsculas de minúsculas para localizar o primeiro certificado enumerado com um nome de entidade que contém essa subcadeia de caracteres. |
-p | Especifica uma senha usada para importar o certificado e a chave privada. Isso só é usado com a opção de importação. |
Observação
O usuário deve ter privilégios suficientes para usar essa ferramenta, o que exige que o usuário seja um administrador e o mesmo usuário que instalou o certificado do cliente, se instalado.
A ferramenta "WinHttpCertCfg.exe" não é útil para configurar certificados armazenados em um sistema de arquivos, como FAT32, que não dá suporte a ACL (listas de controle de acesso).
Exemplos
Os exemplos a seguir mostram algumas das maneiras pelas quais a ferramenta de configuração pode ser usada.
Esse comando lista as contas que têm acesso à chave privada para o certificado "MyCertificate" no repositório de certificados "Raiz" do branch LOCAL_MACHINE do registro.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Esse comando concede acesso à chave privada do certificado "MyCertificate" no repositório de certificados "My" para a conta TESTUSER.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
Esse comando importa um certificado e uma chave privada de um arquivo PFX e estende o acesso de chave privada a outra conta.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
Esse comando nega o acesso à chave privada para a conta IWAM_TESTMACHINE com o certificado especificado.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE