WinHttpCertCfg.exe、証明書構成ツール
Microsoft Windows HTTP Services (WinHTTP) 証明書構成ツール "WinHttpCertCfg.exe" を使用すると、管理者は、インターネット サーバー Web アプリケーション マネージャー (IWAM) アカウントからアクセスできる任意の証明書ストアにクライアント証明書をインストールして構成できます。 また、このツールを使用すると、ACTIVE Server Pages (ASP) を使用するときに証明書にアクセスするために IWAM アカウントなどのアカウントに対して特別な操作を行う必要がなくなります。
Microsoft 管理コンソール (MMC) を使用すると、管理者はクライアント証明書をローカル コンピューターにインポートできます。 ただし、証明書をインポートしても、他のアカウントの秘密キーへのアクセス権は自動的に付与されません。 この秘密キーは、クライアント証明書の認証に必要です。 Microsoft Windows HTTP Services (WinHTTP) 証明書構成ツールを使用すると、必要に応じて IWAM アカウントなどの追加アカウントへのアクセス権を付与できます。
証明書構成ツールの使用
WinHTTP 証明書構成ツール WinHttpCertCfg.exe は、 Windows Server 2003 Resource Kit Tools Web サイトでダウンロードできます。 次のコード例は、このツールで使用する有効なコマンド ライン パラメーターを示しています。
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
次の表に、構成ツールのパラメーターを示します。
| パラメーター | 説明 |
|---|---|
| -? | 構文データを表示します。 |
| -i | 証明書を Personal Information Exchange (PFX) ファイルからインポートすることを指定します。 このパラメーターの後にファイルの名前を付ける必要があります。 このパラメーターを指定する場合は、"-a" と "-c" も指定する必要があります。 |
| -g | 秘密キーへのアクセスが許可されることを指定します。 このパラメーターを指定する場合は、"-a"、"-c"、および "-s" も指定する必要があります。 |
| -r | 秘密キーのアクセスを削除することを指定します。 このパラメーターを指定する場合は、"-a"、"-c"、および "-s" も指定する必要があります。 |
| -l | 秘密キーへのアクセス権を持つアカウントが一覧表示されるように指定します。 このパラメーターを指定する場合は、"-c" と "-s" も指定する必要があります。 |
| -a | 構成するコンピューター上のユーザー アカウントを指定します。 "IWAM_TESTMACHINE"、"TESTUSER"、"TESTDOMAIN\DOMAINUSER" などのローカル コンピューターまたはドメイン アカウントを指定できます。 |
| -c |
証明書ストアの場所と名前を指定します。 場所に使用するレジストリ ブランチを指定するには、"LOCAL_MACHINE" または "CURRENT_USER" を使用します。
証明書ストアは、任意のコンピューターにインストールできます。 一般的な名前の例は、"MY"、"Root"、および "TrustedPeople" です。
証明書ストアの場所と名前は、"LOCAL_MACHINE\Root" などのバックスラッシュで区切られます。
メモ: レジストリの "CURRENT_USER" ブランチは、このパラメーターで指定できますが、秘密キーへのアクセスの拡張は、主に、複数のユーザーがアクセスできるローカル コンピューター 証明書ストア にインストールされている証明書を対象としています。 |
| -S | この部分文字列を含むサブジェクト名を持つ最初の列挙証明書を検索するための、大文字と小文字を区別しない検索文字列を指定します。 |
| -p | 証明書と秘密キーのインポートに使用するパスワードを指定します。 これはインポート オプションでのみ使用されます。 |
注意
ユーザーには、このツールを使用するための十分な特権が必要です。このツールを使用するには、ユーザーが管理者であり、クライアント証明書をインストールしたのと同じユーザーである必要があります (インストールされている場合)。
"WinHttpCertCfg.exe" ツールは、アクセス制御リスト (ACL) をサポートしない FAT32 などのファイル システムに格納されている証明書を構成するのに役立ちません。
例
次の例は、構成ツールを使用できるいくつかの方法を示しています。
このコマンドは、レジストリの LOCAL_MACHINE ブランチの "ルート" 証明書ストアにある "MyCertificate" 証明書 の秘密キーにアクセスできるアカウントを一覧表示します。
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
このコマンドは、TESTUSER アカウントの "My" 証明書ストアにある "MyCertificate" 証明書 の秘密キーへのアクセスを許可します。
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
このコマンドは、PFX ファイルから証明書と秘密キーをインポートし、秘密キーアクセスを別のアカウントに拡張します。
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
このコマンドは、指定した証明書を持つIWAM_TESTMACHINE アカウントの秘密キーへのアクセスを拒否します。
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE