WinHttpCertCfg.exe, un outil de configuration de certificat
L’outil de configuration de certificat Microsoft Windows HTTP Services (WinHTTP), « WinHttpCertCfg.exe », permet aux administrateurs d’installer et de configurer des certificats clients dans n’importe quel magasin de certificats accessible par le compte IWAM (Internet Server Web Application Manager). L’outil élimine également la nécessité d’effectuer des opérations spécifiques à des comptes tels que le compte IWAM pour accéder aux certificats lors de l’utilisation d’Active Server Pages (ASP).
Microsoft Management Console (MMC) permet aux administrateurs d’importer des certificats clients sur un ordinateur local. Toutefois, l’importation d’un certificat n’accorde pas automatiquement l’accès à la clé privée pour d’autres comptes. Cette clé privée est requise pour l’authentification par certificat client. L’outil de configuration de certificat Microsoft Windows HTTP Services (WinHTTP) permet d’accorder l’accès à des comptes supplémentaires, tels que le compte IWAM, si nécessaire.
Utilisation de l’outil de configuration de certificat
L’outil de configuration de certificat WinHTTP, WinHttpCertCfg.exe, est disponible en téléchargement sur le site web Outils du kit de ressources Windows Server 2003 . L’exemple de code suivant montre les paramètres de ligne de commande valides à utiliser avec cet outil.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
Le tableau suivant répertorie les paramètres de l’outil de configuration.
| Paramètre | Description |
|---|---|
| -? | Affiche les données de syntaxe. |
| -i | Spécifie que le certificat doit être importé à partir d’un fichier d’échange d’informations personnelles (PFX). Ce paramètre doit être suivi du nom du fichier. Lorsque ce paramètre est spécifié, « -a » et « -c » doivent également être spécifiés. |
| -g | Spécifie que l’accès est accordé à une clé privée. Lorsque ce paramètre est spécifié, « -a », « -c » et « -s » doivent également être spécifiés. |
| -r | Spécifie que l’accès est supprimé pour une clé privée. Lorsque ce paramètre est spécifié, « -a », « -c » et « -s » doivent également être spécifiés. |
| -l | Spécifie que les comptes ayant accès à une clé privée sont répertoriés. Lorsque ce paramètre est spécifié, « -c » et « -s » doivent également être spécifiés. |
| -a | Spécifie le compte d’utilisateur sur l’ordinateur en cours de configuration. Il peut s’agir d’un compte de domaine ou d’ordinateur local, tel que « IWAM_TESTMACHINE », « TESTUSER » ou « TESTDOMAIN\DOMAINUSER ». |
| -c | Spécifie l’emplacement et le nom du magasin de certificats. Utilisez « LOCAL_MACHINE » ou « CURRENT_USER » pour désigner la branche de Registre à utiliser pour l’emplacement. Le magasin de certificats peut être installé sur l’ordinateur. Les exemples de noms classiques sont « MY », « Root » et « TrustedPeople ». L’emplacement et le nom du magasin de certificats sont séparés par une barre oblique vers l’arrière, par exemple « LOCAL_MACHINE\Root ». Note: Bien que la branche « CURRENT_USER » du Registre puisse être spécifiée avec ce paramètre, l’extension de l’accès aux clés privées est principalement destinée aux certificats installés dans un magasin de certificats d’ordinateur local accessible à plusieurs utilisateurs. |
| -S | Spécifie une chaîne de recherche qui ne respecte pas la casse pour rechercher le premier certificat énuméré avec un nom d’objet qui contient cette sous-chaîne. |
| -p | Spécifie un mot de passe utilisé pour importer le certificat et la clé privée. Elle est utilisée uniquement avec l’option d’importation. |
Notes
L’utilisateur doit disposer de privilèges suffisants pour utiliser cet outil, ce qui nécessite que l’utilisateur soit administrateur et que l’utilisateur qui a installé le certificat client, s’il est installé.
L’outil « WinHttpCertCfg.exe » n’est pas utile pour configurer des certificats stockés dans un système de fichiers tel que FAT32, qui ne prend pas en charge les listes de contrôle d’accès (ACL).
Exemples
Les exemples suivants montrent certaines des façons dont l’outil de configuration peut être utilisé.
Cette commande répertorie les comptes qui ont accès à la clé privée pour le certificat « MyCertificate » dans le magasin de certificats « Racine » de la branche LOCAL_MACHINE du Registre.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Cette commande accorde l’accès à la clé privée du certificat « MyCertificate » dans le magasin de certificats « Mon » pour le compte TESTUSER.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
Cette commande importe un certificat et une clé privée à partir d’un fichier PFX et étend l’accès à la clé privée à un autre compte.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
Cette commande refuse l’accès à la clé privée pour le compte IWAM_TESTMACHINE avec le certificat spécifié.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour