WinHttpCertCfg.exe, средство настройки сертификата
Средство настройки сертификата Microsoft Windows HTTP Services (WinHTTP) "WinHttpCertCfg.exe" позволяет администраторам устанавливать и настраивать сертификаты клиентов в любом хранилище сертификатов, доступ к которому можно получить с помощью учетной записи Диспетчера веб-приложений Internet Server (IWAM). Это средство также устраняет необходимость делать что-либо специальное для учетных записей, таких как учетная запись IWAM, чтобы получить доступ к сертификатам при использовании страниц Active Server (ASP).
Консоль управления Майкрософт (MMC) позволяет администраторам импортировать сертификаты клиентов на локальный компьютер. Однако импорт сертификата не предоставляет автоматический доступ к закрытому ключу для других учетных записей. Этот закрытый ключ необходим для проверки подлинности сертификата клиента. Средство настройки сертификата Microsoft Windows HTTP Services (WinHTTP) предоставляет возможность предоставлять доступ к дополнительным учетным записям, таким как учетная запись IWAM при необходимости.
Использование средства настройки сертификата
Средство настройки сертификата WinHTTP, WinHttpCertCfg.exe, ранее было доступно в составе средств набора ресурсов Windows Server 2003. В следующем примере кода показаны допустимые параметры командной строки для использования с этим средством.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
В следующей таблице перечислены параметры средства настройки.
| Параметр | Описание |
|---|---|
| -? | Отображает синтаксические данные. |
| i- | Указывает, что сертификат импортируется из PFX-файла. За этим параметром следует имя файла. При указании этого параметра необходимо также указать "-a" и "-c". |
| g- | Указывает, что доступ предоставляется закрытому ключу. При указании этого параметра необходимо также указать "-a", "-c" и "-s". |
| -r | Указывает, что доступ удаляется для закрытого ключа. При указании этого параметра необходимо также указать "-a", "-c" и "-s". |
| -l | Указывает, что учетные записи с доступом к закрытому ключу перечислены. При указании этого параметра необходимо также указать "-c" и "-s". |
| -a | Указывает учетную запись пользователя на компьютере, настроенную. Это может быть локальная машина или учетная запись домена, например "IWAM_TESTMACHINE", "TESTUSER" или "TESTDOMAIN\DOMAINUSER". |
| -c | Указывает расположение и имя хранилища сертификатов. Используйте "LOCAL_MACHINE" или "CURRENT_USER", чтобы указать, какую ветвь реестра следует использовать для расположения. Хранилище сертификатов может быть установлено на компьютере. Типичные примеры имен: MY, Root и Trusted Люди. Расположение и имя хранилища сертификатов разделены обратной косой чертой, например "LOCAL_MACHINE\Root". Примечание. Хотя ветвь реестра "CURRENT_USER" можно указать с помощью этого параметра, расширение доступа к закрытым ключам в основном предназначено для сертификатов, установленных в хранилище сертификатов локального компьютера, доступ к которому может получить несколько пользователей. |
| -s | Указывает строку поиска без учета регистра для поиска первого перечисленного сертификата с именем субъекта, содержащим эту подстроку. |
| -p | Указывает пароль, используемый для импорта сертификата и закрытого ключа. Это используется только с параметром импорта. |
Примечание.
Пользователь должен иметь достаточные привилегии для использования этого средства, что требует от пользователя быть администратором и тем же пользователем, который установил сертификат клиента, если он установлен.
Средство WinHttpCertCfg.exe не полезно для настройки сертификатов, хранящихся в файловой системе, например FAT32, которая не поддерживает списки управления доступом (ACL).
Примеры
В следующих примерах показаны некоторые способы использования средства настройки.
Эта команда содержит учетные записи, имеющие доступ к закрытому ключу для сертификата MyCertificate в хранилище сертификатов Root в хранилище сертификатов LOCAL_MACHINE ветви реестра.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Эта команда предоставляет доступ к закрытому ключу сертификата MyCertificate в хранилище сертификатов "My" для учетной записи TESTUSER.
winhttpcertcfg -g -c -LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
Эта команда импортирует сертификат и закрытый ключ из PFX-файла и расширяет доступ к другой учетной записи.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a -a IWAM_TESTMACHINE -p PFXPassword
Эта команда запрещает доступ к закрытому ключу для учетной записи IWAM_TESTMACHINE с указанным сертификатом.
winhttpcertcfg -r -c -LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE