Microsoft Windows HTTP Services (WinHTTP) 証明書構成ツール "WinHttpCertCfg.exe" を使用すると、管理者は、インターネット サーバー Web アプリケーション マネージャー (IWAM) アカウントからアクセスできる任意の 証明書ストア にクライアント証明書をインストールして構成できます。 また、このツールを使用すると、Active Server Pages (ASP) を使用するときに証明書にアクセスするために IWAM アカウントなどのアカウントに対して特別な操作を行う必要がなくなります。
Microsoft 管理コンソール (MMC) を使用すると、管理者はクライアント証明書をローカル コンピューターにインポートできます。 ただし、証明書をインポートしても、他のアカウントの秘密キーへのアクセス権は自動的に付与されません。 この秘密キーは、クライアント証明書認証に必要です。 Microsoft Windows HTTP Services (WinHTTP) 証明書構成ツールは、必要に応じて IWAM アカウントなどの追加アカウントへのアクセスを許可する機能を提供します。
証明書構成ツールの使用
WinHTTP 証明書構成ツール (WinHttpCertCfg.exe) は、以前は Windows Server 2003 リソース キット ツールの一部として使用できるようになりました。 次のコード例は、このツールで使用する有効なコマンド ライン パラメーターを示しています。
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
次の表に、構成ツールのパラメーターを示します。
| パラメーター | 形容 |
|---|---|
| -? | 構文データを表示します。 |
| -私 | 証明書を Personal Information Exchange (PFX) ファイルからインポートすることを指定します。 このパラメーターの後にファイルの名前を付ける必要があります。 このパラメーターを指定する場合は、"-a" と "-c" も指定する必要があります。 |
| -g | 秘密キーへのアクセスを許可することを指定します。 このパラメーターを指定する場合は、"-a"、"-c"、および "-s" も指定する必要があります。 |
| -r | 秘密キーのアクセスを削除することを指定します。 このパラメーターを指定する場合は、"-a"、"-c"、および "-s" も指定する必要があります。 |
| -l | 秘密キーへのアクセス権を持つアカウントが一覧表示されることを指定します。 このパラメーターを指定する場合は、"-c" と "-s" も指定する必要があります。 |
| -ある | 構成するコンピューター上のユーザー アカウントを指定します。 "IWAM_TESTMACHINE"、"TESTUSER"、"TESTDOMAIN\DOMAINUSER" などのローカル コンピューターまたはドメイン アカウントを指定できます。 |
| -c |
証明書ストアのの場所と名前を指定します。 場所に使用するレジストリ ブランチを指定するには、"LOCAL_MACHINE" または "CURRENT_USER" を使用します。
証明書ストア は、任意のコンピューターにインストールできます。 一般的な名前の例は、"MY"、"Root"、および "TrustedPeople" です。
証明書ストア の場所と名前は、"LOCAL_MACHINE\Root" などのバックスラッシュで区切られます。
注: レジストリの "CURRENT_USER" ブランチは、このパラメーターで指定できますが、秘密キーへのアクセスの拡張は、主に複数のユーザーがアクセスできるローカル コンピューター 証明書ストア にインストールされた証明書を対象としています。 |
| -s | この部分文字列を含むサブジェクト名を持つ最初の列挙証明書を検索するための、大文字と小文字を区別しない検索文字列を指定します。 |
| -p | 証明書と秘密キーのインポートに使用するパスワードを指定します。 これはインポート オプションでのみ使用されます。 |
手記
ユーザーには、このツールを使用するための十分な特権が必要です。このツールを使用するには、ユーザーが管理者であり、クライアント証明書をインストールしたのと同じユーザーである必要があります (インストールされている場合)。
"WinHttpCertCfg.exe" ツールは、アクセス制御リスト (ACL) をサポートしていない FAT32 などのファイル システムに格納されている証明書を構成するのに役立ちません。
例
次の例は、構成ツールを使用できるいくつかの方法を示しています。
このコマンドは、レジストリの LOCAL_MACHINE ブランチの "ルート" 証明書 ストアの "MyCertificate" 証明書の秘密キーにアクセスできるアカウントを一覧表示します。
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
このコマンドは、TESTUSER アカウントの "My" 証明書ストア の "MyCertificate" 証明書の秘密キーへのアクセスを許可します。
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
このコマンドは、PFX ファイルから証明書と秘密キーをインポートし、秘密キーアクセスを別のアカウントに拡張します。
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
このコマンドは、指定された証明書を持つIWAM_TESTMACHINE アカウントの秘密キーへのアクセスを拒否します。
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE