WinHttpCertCfg.exe, ein Zertifikatkonfigurationstool
Mit dem Zertifikatkonfigurationstool "WinHttpCertCfg.exe" von Microsoft Windows HTTP Services (WinHTTP) können Administratoren Clientzertifikate in jedem Zertifikatspeicher installieren und konfigurieren, auf den über das IWAM-Konto (Internet Server Web Application Manager) zugegriffen werden kann. Das Tool entfällt auch die Notwendigkeit, spezielle Aktionen für Konten wie das IWAM-Konto auszuführen, um Zugriff auf Zertifikate zu erhalten, wenn Active Server Pages (ASP) verwendet wird.
Mit der Microsoft Management Console (MMC) können Administratoren Clientzertifikate auf einen lokalen Computer importieren. Das Importieren eines Zertifikats gewährt jedoch nicht automatisch Zugriff auf den privaten Schlüssel für andere Konten. Dieser private Schlüssel ist für die Clientzertifikatauthentifizierung erforderlich. Das WinHTTP-Zertifikatkonfigurationstool (Microsoft Windows HTTP Services) bietet die Möglichkeit, bei Bedarf Zugriff auf zusätzliche Konten wie das IWAM-Konto zu gewähren.
Verwenden des Zertifikatkonfigurationstools
Das WinHTTP-Zertifikatkonfigurationstool WinHttpCertCfg.exe steht als Download auf der Windows Server 2003 Resource Kit Tools-Website zur Verfügung. Der folgende Beispielcode zeigt die gültigen Befehlszeilenparameter, die mit diesem Tool verwendet werden sollen.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
In der folgenden Tabelle sind die Parameter für das Konfigurationstool aufgeführt.
| Parameter | BESCHREIBUNG |
|---|---|
| -? | Zeigt Syntaxdaten an. |
| -i | Gibt an, dass das Zertifikat aus einer PFX-Datei (Personal Information Exchange) importiert werden soll. Auf diesen Parameter muss der Name der Datei folgen. Wenn dieser Parameter angegeben wird, müssen auch "-a" und "-c" angegeben werden. |
| -g | Gibt an, dass zugriff auf einen privaten Schlüssel gewährt wird. Wenn dieser Parameter angegeben wird, müssen auch "-a", "-c" und "-s" angegeben werden. |
| -r | Gibt an, dass der Zugriff für einen privaten Schlüssel entfernt wird. Wenn dieser Parameter angegeben wird, müssen auch "-a", "-c" und "-s" angegeben werden. |
| -l | Gibt an, dass Konten mit Zugriff auf einen privaten Schlüssel aufgelistet werden. Wenn dieser Parameter angegeben wird, müssen auch "-c" und "-s" angegeben werden. |
| -a | Gibt das Benutzerkonto auf dem computer an, der konfiguriert wird. Dies kann ein lokales Computer- oder Domänenkonto sein, z. B. "IWAM_TESTMACHINE", "TESTUSER" oder "TESTDOMAIN\DOMAINUSER". |
| -c | Gibt den Speicherort und den Namen des Zertifikatspeichers an. Verwenden Sie "LOCAL_MACHINE" oder "CURRENT_USER", um festzulegen, welcher Registrierungsbranch für den Speicherort verwendet werden soll. Der Zertifikatspeicher kann auf dem Computer installiert sein. Typische Namensbeispiele sind "MY", "Root" und "TrustedPeople". Der Speicherort und der Name des Zertifikatspeichers werden durch einen Schrägstrich getrennt, z. B. "LOCAL_MACHINE\Root". Hinweis: Obwohl der "CURRENT_USER"-Branch der Registrierung mit diesem Parameter angegeben werden kann, ist die Erweiterung des Zugriffs auf private Schlüssel in erster Linie für Zertifikate vorgesehen, die in einem zertifikatbasierten Lokalen Computerspeicher installiert sind, auf den mehrere Benutzer zugreifen können. |
| -S | Gibt eine Suchzeichenfolge ohne Berücksichtigung der Groß-/Kleinschreibung an, um das erste aufgezählte Zertifikat mit einem Antragstellernamen zu finden, der diese Teilzeichenfolge enthält. |
| -p | Gibt ein Kennwort an, das zum Importieren des Zertifikats und des privaten Schlüssels verwendet wird. Dies wird nur mit der Importoption verwendet. |
Hinweis
Der Benutzer muss über ausreichende Berechtigungen verfügen, um dieses Tool verwenden zu können. Daher muss der Benutzer administrator und derselbe Benutzer sein, der das Clientzertifikat installiert hat, sofern installiert.
Das Tool "WinHttpCertCfg.exe" ist nicht nützlich, um Zertifikate zu konfigurieren, die in einem Dateisystem wie FAT32 gespeichert sind, das keine Zugriffssteuerungslisten (Access Control Lists, ACL) unterstützt.
Beispiele
Die folgenden Beispiele zeigen einige der Möglichkeiten, wie das Konfigurationstool verwendet werden kann.
Dieser Befehl listet Konten auf, die Zugriff auf den privaten Schlüssel für das Zertifikat "MyCertificate" im Stammzertifikatspeicher des LOCAL_MACHINE Branch der Registrierung haben.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Dieser Befehl gewährt Zugriff auf den privaten Schlüssel des Zertifikats "MyCertificate" im Zertifikatspeicher "My" für das TESTUSER-Konto.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
Dieser Befehl importiert ein Zertifikat und einen privaten Schlüssel aus einer PFX-Datei und erweitert den Zugriff auf private Schlüssel auf ein anderes Konto.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
Dieser Befehl verweigert den Zugriff auf den privaten Schlüssel für das IWAM_TESTMACHINE-Konto mit dem angegebenen Zertifikat.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für