Microsoft Windows HTTP Services (WinHTTP) 憑證組態工具“WinHttpCertCfg.exe”,可讓系統管理員在因特網伺服器 Web 應用程式管理員 (IWAM) 帳戶存取的任何 證書存儲 安裝及設定用戶端憑證。 此工具也不需要對 IWAM 帳戶等帳戶執行任何特殊動作,以在使用中伺服器頁面 (ASP) 時取得憑證的存取權。
Microsoft管理主控台 (MMC) 可讓系統管理員將客戶端憑證匯入本機電腦。 不過,匯入憑證不會自動授與其他帳戶私鑰的存取權。 用戶端憑證驗證需要此私鑰。 Microsoft Windows HTTP 服務 (WinHTTP) 憑證組態工具可讓您在需要時授與其他帳戶的存取權,例如 IWAM 帳戶。
- 使用憑證組態工具
- 範例
使用憑證組態工具
WinHTTP 憑證組態工具 WinHttpCertCfg.exe,先前是 Windows Server 2003 資源套件工具的一部分。 下列範例程式代碼顯示與此工具搭配使用的有效命令行參數。
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
下表列出組態工具的參數。
| 參數 | 描述 |
|---|---|
| -? | 顯示語法數據。 |
| -我 | 指定要從個人資訊交換 (PFX) 檔案匯入憑證。 此參數後面必須接著檔名。 指定此參數時,也必須指定 “-a” 和 “-c”。 |
| -g | 指定授與私鑰的存取權。 指定此參數時,也必須指定 “-a”、“-c” 和 “-s”。 |
| -r | 指定私鑰的存取權已移除。 指定此參數時,也必須指定 “-a”、“-c” 和 “-s”。 |
| -l | 指定列出具有私鑰存取權的帳戶。 指定此參數時,也必須指定 「-c」 和 「-s」。 |
| -一個 | 指定要設定之電腦上的用戶帳戶。 這可能是本機計算機或網域帳戶,例如 「IWAM_TESTMACHINE」、“TESTUSER” 或 “TESTDOMAIN\DOMAINUSER”。 |
| -c | 指定憑證儲存的位置和名稱。 使用 「LOCAL_MACHINE」 或 「CURRENT_USER」 來指定要用於位置的登錄分支。
證書存儲 可以安裝在機器上。 典型的名稱範例包括 「MY」、“Root” 和 「TrustedPeople」。
證書存儲 的位置和名稱會以向後斜線分隔,例如“LOCAL_MACHINE\Root”。
注意: 雖然可以使用此參數指定登錄的「CURRENT_USER」分支,但擴充私鑰的存取主要適用於本機電腦 證書存儲中安裝的憑證, 可供多個使用者存取。 |
| -s | 指定不區分大小寫的搜尋字串,以尋找包含此子字串之主體名稱的第一個列舉憑證。 |
| -p | 指定用來匯入憑證和私鑰的密碼。 這隻適用於匯入選項。 |
注意
使用者必須擁有足夠的許可權才能使用此工具,這需要使用者是系統管理員,以及安裝客戶端憑證的相同使用者。如果已安裝的話。
“WinHttpCertCfg.exe” 工具不適用於設定儲存在文件系統中的憑證,例如 FAT32,不支援訪問控制清單 (ACL)。
例子
下列範例顯示可使用組態工具的一些方式。
此命令會列出有權存取登錄LOCAL_MACHINE分支之 「Root」 證書 存儲中 「MyCertificate」 憑證之私鑰的帳戶。
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
此命令會在 TESTUSER 帳戶的 「My」 證書 存儲中,授與 “MyCertificate” 憑證之私鑰的存取權。
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
此命令會從 PFX 檔案匯入憑證和私鑰,並將私鑰存取權延伸至另一個帳戶。
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
此命令會拒絕使用指定憑證存取IWAM_TESTMACHINE帳戶的私鑰。
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE