WinHttpCertCfg.exe, uno strumento di configurazione dei certificati
Lo strumento di configurazione del certificato Microsoft Windows HTTP Services (WinHTTP), "WinHttpCertCfg.exe", consente agli amministratori di installare e configurare i certificati client in qualsiasi archivio certificati a cui è possibile accedere tramite l'account IWAM (Internet Server Web Application Manager). Lo strumento elimina inoltre la necessità di eseguire qualsiasi operazione speciale per gli account, ad esempio l'account IWAM, per ottenere l'accesso ai certificati quando si usa Active Server Pages (ASP).
Microsoft Management Console (MMC) consente agli amministratori di importare certificati client in un computer locale. Tuttavia, l'importazione di un certificato non concede automaticamente l'accesso alla chiave privata per altri account. Questa chiave privata è necessaria per l'autenticazione del certificato client. Lo strumento di configurazione del certificato Microsoft Windows HTTP Services (WinHTTP) consente di concedere l'accesso ad account aggiuntivi, ad esempio l'account IWAM, quando necessario.
Uso dello strumento di configurazione dei certificati
Lo strumento di configurazione del certificato WinHTTP, WinHttpCertCfg.exe, era precedentemente disponibile come parte degli strumenti di Resource Kit di Windows Server 2003. Il codice di esempio seguente mostra i parametri della riga di comando validi da usare con questo strumento.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
Nella tabella seguente sono elencati i parametri per lo strumento di configurazione.
| Parametro | Descrizione |
|---|---|
| -? | Visualizza i dati della sintassi. |
| -i | Specifica che il certificato deve essere importato da un file PFX (Personal Information Exchange). Questo parametro deve essere seguito dal nome del file. Quando si specifica questo parametro, è necessario specificare anche "-a" e "-c". |
| -g | Specifica che l'accesso viene concesso a una chiave privata. Quando si specifica questo parametro, è necessario specificare anche "-a", "-c" e "-s". |
| -r | Specifica che l'accesso viene rimosso per una chiave privata. Quando si specifica questo parametro, è necessario specificare anche "-a", "-c" e "-s". |
| -l | Specifica che gli account con accesso a una chiave privata sono elencati. Quando si specifica questo parametro, è necessario specificare anche "-c" e "-s". |
| -a | Specifica l'account utente nel computer da configurare. Potrebbe trattarsi di un computer locale o di un account di dominio, ad esempio "IWAM_TESTMACHINE", "TESTU edizione Standard R" o "TESTDOMAIN\DOMAINU edizione Standard R". |
| -c | Specifica il percorso e il nome dell'archivio certificati. Usare "LOCAL_MACHINE" o "CURRENT_Uedizione Standard R" per designare il ramo del Registro di sistema da usare per il percorso. L'archivio certificati può essere installato nel computer. Gli esempi di nomi tipici sono "MY", "Root" e "Trusted Persone". Il percorso e il nome dell'archivio certificati sono separati da una barra indietro, ad esempio "LOCAL_MACHINE\Root". Nota: sebbene il ramo "CURRENT_Uedizione Standard R" del Registro di sistema possa essere specificato con questo parametro, l'estensione dell'accesso alle chiavi private è destinata principalmente ai certificati installati in un archivio certificati del computer locale a cui è possibile accedere da più utenti. |
| -s | Specifica una stringa di ricerca senza distinzione tra maiuscole e minuscole per trovare il primo certificato enumerato con un nome soggetto contenente questa sottostringa. |
| -p | Specifica una password utilizzata per importare il certificato e la chiave privata. Questa opzione viene usata solo con l'opzione di importazione. |
Nota
L'utente deve disporre di privilegi sufficienti per usare questo strumento, che richiede che l'utente sia un amministratore e lo stesso utente che ha installato il certificato client, se installato.
Lo strumento "WinHttpCertCfg.exe" non è utile per configurare i certificati archiviati in un file system, ad esempio FAT32, che non supporta gli elenchi di controllo di accesso (ACL).
Esempi
Gli esempi seguenti illustrano alcuni dei modi in cui è possibile usare lo strumento di configurazione.
Questo comando elenca gli account che hanno accesso alla chiave privata per il certificato "MyCertificate" nell'archivio certificati "Radice" del ramo LOCAL_MACHINE del Registro di sistema.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Questo comando concede l'accesso alla chiave privata del certificato "MyCertificate" nell'archivio certificati "My" per l'account TESTU edizione Standard R.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTU edizione Standard R
Questo comando importa un certificato e una chiave privata da un file PFX ed estende l'accesso a una chiave privata a un altro account.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
Questo comando nega l'accesso alla chiave privata per l'account IWAM_TESTMACHINE con il certificato specificato.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE