Compartilhar via


WinHttpCertCfg.exe, uma ferramenta de configuração de certificado

A ferramenta de configuração de certificados WinHTTP (Serviços HTTP do Microsoft Windows ), "WinHttpCertCfg.exe", permite que os administradores instalem e configurem certificados de cliente em qualquer repositório de certificados que possa ser acessado pela conta do IWAM (Internet Server Web Application Manager). A ferramenta também elimina a necessidade de fazer algo especial para contas como a conta IWAM para obter acesso a certificados ao usar ASP (Active Server Pages).

O MMC (Console de Gerenciamento Microsoft) permite que os administradores importem certificados de cliente para um computador local. No entanto, a importação de um certificado não concede automaticamente acesso à chave privada para outras contas. Essa chave privada é necessária para autenticação de certificado do cliente. A ferramenta de configuração de certificados WinHTTP (Serviços HTTP do Microsoft Windows) fornece a capacidade de conceder acesso a contas adicionais, como a conta IWAM, quando necessário.

Usando a Ferramenta de Configuração de Certificado

A ferramenta de configuração de certificado WinHTTP, WinHttpCertCfg.exe, está disponível como download no site do Windows Server 2003 Resource Kit Tools . O código de exemplo a seguir mostra os parâmetros de linha de comando válidos a serem usados com essa ferramenta.

winhttpcertcfg [-?]
 
winhttpcertcfg [-i PFXFile | -g | -r | -l]
               [-a Account] [-c CertStore] 
               [-s SubjectStr] [-p PFXPassword]

A tabela a seguir lista parâmetros para a ferramenta de configuração.

Parâmetro Descrição
-? Exibe dados de sintaxe.
-i Especifica que o certificado deve ser importado de um arquivo PFX (Troca de Informações Pessoais). Esse parâmetro deve ser seguido pelo nome do arquivo. Quando esse parâmetro é especificado, "-a" e "-c" também devem ser especificados.
-g Especifica que o acesso é concedido a uma chave privada. Quando esse parâmetro é especificado, "-a", "-c" e "-s" também devem ser especificados.
-r Especifica que o acesso é removido para uma chave privada. Quando esse parâmetro é especificado, "-a", "-c" e "-s" também devem ser especificados.
-l Especifica que as contas com acesso a uma chave privada estão listadas. Quando esse parâmetro é especificado, "-c" e "-s" também devem ser especificados.
-a Especifica a conta de usuário no computador que está sendo configurado. Pode ser uma conta de domínio ou computador local, como "IWAM_TESTMACHINE", "TESTUSER" ou "TESTDOMAIN\DOMAINUSER".
-c Especifica o local e o nome do repositório de certificados. Use "LOCAL_MACHINE" ou "CURRENT_USER" para designar qual branch do Registro usar para o local. O repositório de certificados pode ser qualquer instalado no computador. Exemplos de nome típicos são "MY", "Root" e "TrustedPeople". O local e o nome do repositório de certificados são separados por uma barra anterior, por exemplo, "LOCAL_MACHINE\Root". Nota: Embora o branch "CURRENT_USER" do registro possa ser especificado com esse parâmetro, estender o acesso a chaves privadas destina-se principalmente a certificados instalados em um repositório de certificados de computador local que podem ser acessados por vários usuários.
-S Especifica uma cadeia de caracteres de pesquisa que não diferencia maiúsculas de minúsculas para localizar o primeiro certificado enumerado com um nome de entidade que contém essa subcadeia de caracteres.
-p Especifica uma senha usada para importar o certificado e a chave privada. Isso só é usado com a opção de importação.

Observação

O usuário deve ter privilégios suficientes para usar essa ferramenta, o que exige que o usuário seja um administrador e o mesmo usuário que instalou o certificado do cliente, se instalado.

A ferramenta "WinHttpCertCfg.exe" não é útil para configurar certificados armazenados em um sistema de arquivos, como FAT32, que não dá suporte a ACL (listas de controle de acesso).

Exemplos

Os exemplos a seguir mostram algumas das maneiras pelas quais a ferramenta de configuração pode ser usada.

  1. Esse comando lista as contas que têm acesso à chave privada para o certificado "MyCertificate" no repositório de certificados "Raiz" do branch LOCAL_MACHINE do registro.

    winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate

  2. Esse comando concede acesso à chave privada do certificado "MyCertificate" no repositório de certificados "My" para a conta TESTUSER.

    winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER

  3. Esse comando importa um certificado e uma chave privada de um arquivo PFX e estende o acesso de chave privada a outra conta.

    winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword

  4. Esse comando nega o acesso à chave privada para a conta IWAM_TESTMACHINE com o certificado especificado.

    winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE