WinHttpCertCfg.exe,憑證組態工具
Microsoft Windows HTTP Services (WinHTTP) 憑證組態工具 “WinHttpCertCfg.exe” 可讓系統管理員在因特網伺服器 Web 應用程式管理員 (IWAM) 帳戶存取的任何證書存儲中安裝及設定用戶端憑證。 此工具也不需要對 IWAM 帳戶等帳戶執行任何特殊動作,以在使用中伺服器頁面 (ASP) 時取得憑證的存取權。
Microsoft Management Console (MMC) 可讓系統管理員將客戶端憑證匯入本機電腦。 不過,匯入憑證不會自動授與其他帳戶私鑰的存取權。 用戶端憑證驗證需要此私鑰。 Microsoft Windows HTTP Services (WinHTTP) 憑證組態工具可讓您在需要時授與其他帳戶的存取權,例如 IWAM 帳戶。
使用憑證組態工具
WinHTTP 憑證組態工具 WinHttpCertCfg.exe 先前是 Windows Server 2003 資源套件工具的一部分。 下列範例程式代碼顯示與此工具搭配使用的有效命令行參數。
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
下表列出組態工具的參數。
| 參數 | 描述 |
|---|---|
| -? | 顯示語法數據。 |
| -i | 指定要從個人資訊交換 (PFX) 檔案匯入憑證。 此參數後面必須接著檔名。 指定此參數時,也必須指定 “-a” 和 “-c”。 |
| -g | 指定授與私鑰的存取權。 指定此參數時,也必須指定 “-a”、“-c” 和 “-s”。 |
| -r | 指定私鑰的存取權已移除。 指定此參數時,也必須指定 “-a”、“-c” 和 “-s”。 |
| -l | 指定列出具有私鑰存取權的帳戶。 指定此參數時,也必須指定 「-c」 和 「-s」。 |
| a- | 指定要設定之電腦上的用戶帳戶。 這可能是本機計算機或網域帳戶,例如 「IWAM_TESTMACHINE」、“TESTUSER” 或 “TESTDOMAIN\DOMAINUSER”。 |
| -c | 指定證書儲存的位置和名稱。 使用 「LOCAL_MACHINE」 或 「CURRENT_USER」 來指定要用於位置的登錄分支。 證書存儲可以安裝在機器上。 典型的名稱範例包括 「MY」、“Root” 和 「Trusted 人員」。 證書存儲的位置和名稱會以向後斜線分隔,例如“LOCAL_MACHINE\Root”。 注意: 雖然可以使用此參數指定登錄的「CURRENT_USER」分支,但擴充私鑰的存取主要適用於安裝在可由多個使用者存取的本機計算機 證書存儲 中的憑證。 |
| -s | 指定不區分大小寫的搜尋字串,以尋找包含此子字串之主體名稱的第一個列舉憑證。 |
| -p | 指定用來匯入憑證和私鑰的密碼。 這隻適用於匯入選項。 |
注意
使用者必須擁有足夠的許可權才能使用此工具,這需要使用者是系統管理員,以及安裝客戶端憑證的相同使用者。如果已安裝的話。
“WinHttpCertCfg.exe” 工具不適用於設定儲存在文件系統中的憑證,例如 FAT32,不支持訪問控制清單 (ACL)。
範例
下列範例顯示可使用組態工具的一些方式。
此命令會列出有權存取登錄LOCAL_MACHINE分支之 「Root」 憑證存儲中 「MyCertificate」 憑證之私鑰的帳戶。
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
此命令會在 TESTUSER 帳戶的 「My」 證書存儲中,授與 「MyCertificate」 憑證之私鑰的存取權。
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
此命令會從 PFX 檔案匯入憑證和私鑰,並將私鑰存取權延伸至另一個帳戶。
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
此命令會拒絕使用指定憑證存取IWAM_TESTMACHINE帳戶的私鑰。
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE