WinHttpCertCfg.exe, una herramienta de configuración de certificados
La herramienta de configuración de certificados de Servicios HTTP de Microsoft Windows (WinHTTP), "WinHttpCertCfg.exe", permite a los administradores instalar y configurar certificados de cliente en cualquier almacén de certificados al que pueda acceder la cuenta del Administrador de aplicaciones web de Internet Server (IWAM). La herramienta también elimina la necesidad de hacer cualquier cosa especial para las cuentas, como la cuenta de IWAM, para obtener acceso a los certificados al usar Active Server Pages (ASP).
Microsoft Management Console (MMC) permite a los administradores importar certificados de cliente a un equipo local. Sin embargo, la importación de un certificado no concede automáticamente acceso a la clave privada para otras cuentas. Esta clave privada es necesaria para la autenticación de certificados de cliente. La herramienta de configuración de certificados de Servicios HTTP de Microsoft Windows (WinHTTP) proporciona la capacidad de conceder acceso a cuentas adicionales, como la cuenta IWAM, cuando sea necesario.
Uso de la herramienta de configuración de certificados
La herramienta de configuración de certificados WinHTTP, WinHttpCertCfg.exe, está disponible como descarga en el sitio web de Herramientas del Kit de recursos de Windows Server 2003 . En el código de ejemplo siguiente se muestran los parámetros de línea de comandos válidos que se usarán con esta herramienta.
winhttpcertcfg [-?]
winhttpcertcfg [-i PFXFile | -g | -r | -l]
[-a Account] [-c CertStore]
[-s SubjectStr] [-p PFXPassword]
En la tabla siguiente se enumeran los parámetros de la herramienta de configuración.
| Parámetro | Descripción |
|---|---|
| -? | Muestra los datos de sintaxis. |
| -i | Especifica que el certificado se va a importar desde un archivo de intercambio de información personal (PFX). Este parámetro debe seguir el nombre del archivo. Cuando se especifica este parámetro, también se deben especificar "-a" y "-c". |
| -g | Especifica que se concede acceso a una clave privada. Cuando se especifica este parámetro, también se deben especificar "-a", "-c" y "-s". |
| -r | Especifica que se quita el acceso para una clave privada. Cuando se especifica este parámetro, también se deben especificar "-a", "-c" y "-s". |
| -l | Especifica que se muestran las cuentas con acceso a una clave privada. Cuando se especifica este parámetro, también se deben especificar "-c" y "-s". |
| -a | Especifica la cuenta de usuario en el equipo que se va a configurar. Podría tratarse de una cuenta de dominio o equipo local, como "IWAM_TESTMACHINE", "TESTUSER" o "TESTDOMAIN\DOMAINUSER". |
| -c | Especifica la ubicación y el nombre del almacén de certificados. Use "LOCAL_MACHINE" o "CURRENT_USER" para designar la rama del Registro que se usará para la ubicación. El almacén de certificados puede estar instalado en la máquina. Los ejemplos de nombres típicos son "MY", "Root" y "TrustedPeople". La ubicación y el nombre del almacén de certificados se separan con una barra diagonal hacia atrás, por ejemplo, "LOCAL_MACHINE\Root". Nota: Aunque la rama "CURRENT_USER" del Registro se puede especificar con este parámetro, extender el acceso a claves privadas está pensada principalmente para los certificados instalados en un almacén de certificados del equipo local al que pueden acceder varios usuarios. |
| -S | Especifica una cadena de búsqueda sin distinción entre mayúsculas y minúsculas para buscar el primer certificado enumerado con un nombre de firmante que contiene esta subcadena. |
| -p | Especifica una contraseña que se usa para importar el certificado y la clave privada. Esto solo se usa con la opción de importación. |
Nota:
El usuario debe tener privilegios suficientes para usar esta herramienta, lo que requiere que el usuario sea administrador y el mismo usuario que instaló el certificado de cliente, si está instalado.
La herramienta "WinHttpCertCfg.exe" no es útil para configurar certificados almacenados en un sistema de archivos como FAT32, que no admite listas de control de acceso (ACL).
Ejemplos
En los ejemplos siguientes se muestran algunas de las formas en que se puede usar la herramienta de configuración.
Este comando enumera las cuentas que tienen acceso a la clave privada del certificado "MyCertificate" en el almacén de certificados "Raíz" de la rama LOCAL_MACHINE del Registro.
winhttpcertcfg -l -c LOCAL_MACHINE\Root -s MyCertificate
Este comando concede acceso a la clave privada del certificado "MyCertificate" en el almacén de certificados "Mi" para la cuenta TESTUSER.
winhttpcertcfg -g -c LOCAL_MACHINE\My -s MyCertificate -a TESTUSER
Este comando importa un certificado y una clave privada desde un archivo PFX y extiende el acceso de clave privada a otra cuenta.
winhttpcertcfg -i PFXFile -c LOCAL_MACHINE\My -a IWAM_TESTMACHINE -p PFXPassword
Este comando deniega el acceso a la clave privada de la cuenta de IWAM_TESTMACHINE con el certificado especificado.
winhttpcertcfg -r -c LOCAL_MACHINE\Root -s MyCertificate -a IWAM_TESTMACHINE
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de