Delen via

netsh http

Met deze netsh http opdracht kunt u HTTP-instellingen voor de HTTP-service in Windows configureren en beheren. Deze service verwerkt HTTP-verkeer voor applicaties en systeemcomponenten, zodat u aspecten zoals SSL-certificaten, IP-luisterlijsten, cacheparameters en time-outs kunt beheren. Gebruik deze opdracht om het HTTP-gedrag te verfijnen, de beveiliging te verbeteren en netwerkproblemen met betrekking tot HTTP-verkeer op te lossen.

Syntax

netsh http [add | delete | dump | flush | help | show | update | ?]

netsh http add cacheparam [type=](cacherangechunksize|maxcacheresponsesize)
                          [value=]<ulong>

netsh http add iplisten [ipaddress=]<IP address>

netsh http add setting [settingtype=]sslthrottle
                       [value=]<ulong>

netsh http add timeout [timeouttype=]idleconnectiontimeout|headerwaittimeout
                       [value=]<u-short>

netsh http add sslcert [hostnameport=<name:port> | ipport=<ipaddr:port> | ccs=<port>] | json=[filepath]
                       [appid=<GUID>] [certhash=<string>] [certstorename=<string>] [verifyclientcertrevocation=enable|disable]
                       [verifyrevocationwithcachedclientcertonly=enable|disable] [usagecheck=enable|disable]
                       [revocationfreshnesstime=<u-int>] [urlretrievaltimeout=<u-int>] [sslctlidentifier=<string>]
                       [sslctlstorename=<string>] [dsmapperusage=enable|disable] [clientcertnegotiation=enable|disable]
                       [reject=enable|disable] [disablehttp2=enable|disable] [disablequic=enable|disable]
                       [disablelegacytls=enable|disable] [disabletls12=enable|disable] [disabletls13=enable|disable]
                       [disableocspstapling=enable|disable] [enabletokenbinding=enable|disable] [logextendedevents=enable|disable]
                       [enablesessionticket=enable|disable] [disablesessionid=enable|disable]

netsh http add urlacl [url=]<string> [user=]<string> [listen=]yes|no [delegate=]yes|no [sddl=]<string>

netsh http delete cache [url=<string>] [recursive=yes|no]
netsh http delete iplisten [ipaddress=<IP address>]
netsh http delete setting [settingtype=]sslthrottle
netsh http delete sslcert ipport=<ipaddr:port> | hostnameport=<name:port> | ccs=<port>
netsh http delete timeout [timeouttype=](idleconnectiontimeout|headerwaittimeout)
netsh http delete urlacl [url=]<string>

netsh http dump

netsh http flush logbuffer

netsh http show <cacheparam> <iplisten> <setting> <timeout>
netsh http show cachestate [url=<string>]
netsh http show servicestate [view=session|requestq|client] [verbose=yes|no]
netsh http show sslcert [ipport=<ipaddr:port> | hostnameport=<name:port> | ccs=<port> | scopedccs=<name:port>] [json=enable]
netsh http show urlacl [url=<string>]

netsh http update sslcert [hostnameport=<name:port> | ipport=<ipaddr:port> | ccs=<port>] | json=[filepath]
                          [appid=<GUID>] [certhash=<string>] [certstorename=<string>] [verifyclientcertrevocation=enable|disable]
                          [verifyrevocationwithcachedclientcertonly=enable|disable] [usagecheck=enable|disable]
                          [revocationfreshnesstime=<u-int>] [urlretrievaltimeout=<u-int>] [sslctlidentifier=<string>]
                          [sslctlstorename=<string>] [dsmapperusage=enable|disable] [clientcertnegotiation=enable|disable]
                          [reject=enable|disable] [disablehttp2=enable|disable] [disablequic=enable|disable]
                          [disablelegacytls=enable|disable] [disabletls12=enable|disable] [disabletls13=enable|disable]
                          [disableocspstapling=enable|disable] [enabletokenbinding=enable|disable] [logextendedevents=enable|disable]
                          [enablesessionticket=enable|disable] [disablesessionid=enable|disable]

netsh http show update sslpropertyex [hostnameport=<name:port> | ipport=<ipaddr:port> | ccs=<port>] |
                                     [propertyid=0 receivewindow=<bytes>] [propertyid=1 maxsettingsperframe=<value> maxsettingsperminute=<value>]

Parameters

Command Description
http add cacheparam Configureert en voegt specifieke parameters toe aan de HTTP-servicecache.

type - Specificeert het type parameter dat moet worden geconfigureerd. Opties zijn cacherangechunksize en .maxcacheresponsesize

value - Geeft de parameterwaarde aan, gemeten in bytes. Als u een hexadecimale weergave gebruikt, voegt u de waarde toe met 0x.
http add iplisten Hiermee voegt u een nieuw IP-adres toe aan de IP-luisterlijst voor de HTTP-service. In deze lijst worden de IP-adressen gespecificeerd waaraan de HTTP-service bindt, met uitzondering van poortnummers. Het adres '0.0.0.0' staat voor alle IPv4-adressen, terwijl '::' voor alle IPv6-adressen staat. Het formaat gebruikt ipaddress=IP_Address.
http add setting Hiermee voegt u een algemene configuratie-instelling toe aan de HTTP-service.

settingtype=sslthrottle - Geeft de beperkingslimiet voor SSL-verbindingen op.

value - Vereist een niet-negatieve gehele getallen (ulong) om het gewenste beperkingsniveau in te stellen.
http add sslcert Voegt SSL-certificaatbinding toe voor een opgegeven IP-adres of hostnaam en poort, samen met het bijbehorende clientcertificaatbeleid, om HTTPS-verbindingen voor de HTTP-service veilig te beheren.

Zie Opmerkingen voor details over de parameterbeschrijving.
http add timeout Definieert een algemene time-outinstelling voor de HTTP-service.

timeouttype= Opties zijn onder meer:
  • idleconnectiontimeout - Geeft de maximale duur op dat een inactieve verbinding kan worden gehandhaafd voordat deze wordt gesloten.
  • headerwaittimeout - Definieert de maximale wachttijd voordat de volledige set HTTP-headers is ontvangen.

    • De value parameter vereist een niet-negatief geheel getal (u-kort) dat de time-outduur in seconden weergeeft.
    http add urlacl Hiermee kunnen gebruikers en accounts die geen beheerder zijn, de URL registreren. De toegangsrechten kunnen worden gedefinieerd door een NT-accountnaam op te geven samen met de listen en delegate parameters, of door een SDDL-tekenreeks (Security Descriptor Definition Language) te gebruiken voor de Discretionary Access Control List (DACL).

    url= - Geeft de volledig gekwalificeerde URL op die u wilt koppelen aan de Access Control List (ACL). Dit moet het protocol (bijvoorbeeld http:// of https://), het domein en alle benodigde poort- of padsegmenten omvatten.
    user= - Identificeert de naam van de gebruiker of gebruikersgroep waartoe toegang is verleend. Dit kan de indeling hebben van één gebruikersnaam, een gebruikersgroep of een beveiligingsprincipal.
    listen - Bepaalt of de opgegeven gebruiker toestemming heeft om de URL te registreren. Options include:
  • yes - Geeft de gebruiker toestemming om de opgegeven URL te registreren (standaardinstelling).
  • no - Hiermee voorkomt u dat de gebruiker de opgegeven URL registreert.
    • delegate - Bepaalt of de opgegeven gebruiker toestemming heeft om de URL te delegeren. Options include:
  • yes - Hiermee kan de gebruiker URL-beheer delegeren aan andere gebruikers.
  • no - Hiermee voorkomt u dat de gebruiker URL-beheer delegeert aan anderen (standaardinstelling).
    • sddl - De SDDL-tekenreeks die een gedetailleerde beschrijving geeft van de Discretionary Access Control List (DACL) die is gekoppeld aan de URL-ACL, met vermelding van de machtigingen en toegangsrechten voor gebruikers en groepen.
    http delete cache Hiermee wist u de volledige URI-cache of verwijdert u specifieke vermeldingen op basis van de opgegeven URI.

    url= - Geeft de URL-invoer in de HTTP-cache op die u wilt verwijderen.

    recursive - Accepteert een waarde van yes of no. Wanneer deze optie is ingesteld op yes, wordt niet alleen de opgegeven URL-vermelding verwijderd, maar ook alle vermeldingen onder die URL, waardoor de cache voor de opgegeven URL en eventuele sub-URL's of bijbehorende bronnen effectief wordt gewist. Als deze optie is ingesteld op no, wordt alleen de opgegeven URL uit de cache verwijderd zonder dat dit gevolgen heeft voor eventuele subvermeldingen.
    http delete iplisten Hiermee verwijdert u een IP-adres uit de IP-luisterlijst.

    ipaddress= - Geeft het IP-adres op dat u wilt verwijderen uit de lijst met HTTP-listeners.
    http delete setting Hiermee verwijdert u een algemene configuratie-instelling, waardoor de HTTP-service terugkeert naar het standaardgedrag voor die specifieke parameter.

    settingtype=sslthrottle - Hiermee verwijdert u de instelling voor de SSL-beperking.
    http delete timeout Hiermee verwijdert u een algemene time-outinstelling, waardoor het time-outgedrag van de HTTP-service wordt hersteld naar de standaardwaarden.

  • timeouttype=idleconnectiontimeout - Geeft aan dat u de instelling voor de time-out voor inactieve verbindingen wilt verwijderen. De time-out voor inactieve verbindingen bepaalt hoe lang een inactieve (inactieve) TCP-verbinding open moet worden gehouden voordat deze wordt gesloten. Als u deze instelling verwijdert, wordt de waarde van een aangepaste time-out voor inactiviteit teruggezet naar de standaardstatus.
  • timeouttype=headerwaittimeout - Geeft aan dat u de instelling voor de time-out voor de wachttijd in de header wilt verwijderen. De wachttijd van de header bepaalt hoe lang de server wacht op de ontvangst van een HTTP-aanvraagheader voordat er een time-out optreedt. Als u deze instelling verwijdert, wordt de time-outwaarde van de aangepaste wachttijd van de header teruggezet naar de standaardstatus.
    • http delete urlacl Hiermee verwijdert u een gereserveerde URL, waardoor de opgegeven URL niet meer uitsluitend door de HTTP-service kan worden gebruikt.

    url= - Geeft de URL-reservering op die u wilt verwijderen.
    http dump Hiermee maakt u een script met de huidige contextconfiguratie. Het script kan worden opgeslagen in een bestand en worden gebruikt om instellingen te herstellen als ze zijn gewijzigd of op een ander systeem moeten worden gerepliceerd.
    http flush logbuffer Hiermee worden de interne buffers voor de logboekbestanden gewist.
    http showcacheparam | iplisten | setting | timeout
  • Geeft de cacheparameters van de HTTP-service weer, gemeten in bytes (cacheparam).
  • Geeft een overzicht van alle IP-adressen die momenteel zijn opgenomen in de IP-luisterlijst (iplisten).
  • Geeft de huidige configuratie-instellingen van de HTTP-service weer in seconden (setting).
  • Geeft de time-outwaarden weer die zijn ingesteld voor de HTTP-service in seconden (timeout).
    • http show cachestate Somt alle bronnen en hun eigenschappen op die zijn opgeslagen in de HTTP-antwoordcache, of biedt gedetailleerde informatie over een specifieke bron en de bijbehorende eigenschappen.

    url= - Geeft een specifieke URL op waarvan u de cachestatus wilt bekijken.
    http show servicestate Geeft een actuele momentopname van de HTTP-service weer.

    view= - Geeft aan welk aspect van de HTTP-servicestatus u wilt bekijken. U kunt een van de volgende opties kiezen:
  • session - Geeft informatie weer over actieve sessies, inclusief verbindings- en sessiegegevens.
  • requestq - Toont de status van de aanvraagwachtrij en geeft inzicht in het aantal aanvragen dat wordt verwerkt en in de wachtrij wordt geplaatst.
  • client - Biedt informatie over clientverbindingen, zoals het aantal verbonden clients en verbindingsgegevens.

    • verbose= - Bepaalt het detailniveau dat in de uitvoer is opgenomen.
  • yes - Biedt gedetailleerde informatie en biedt een uitgebreider overzicht van de geselecteerde servicestatus.
  • no - Presenteert een samenvatting met minder details, handig voor een snel overzicht van de servicestatus.
    • http show sslcert Geeft een overzicht van SSL-servercertificaatbindingen samen met het bijbehorende clientcertificaatbeleid. Als er geen specifieke binding is voorzien, worden alle beschikbare bindingen weergegeven.

    scopedccs=name:port - Specificeert een CCS-vermelding (Central Certificate Store) met bereik door een hostnaam en poort op te geven. Net als bij de hostnameport parameter richt het de uitvoer op certificaten die betrekking hebben op een specifieke CCS-configuratie met bereik.

    Beschikbare subparameters zijn:
  • ipport=ipaddr:port
  • hostnameport=name:port
  • ccs=port
  • json=enable

    Zie Opmerkingen voor details over de parameterbeschrijving.
    		•
    http show urlacl Geeft de DACL's weer voor een opgegeven gereserveerde URL of voor alle gereserveerde URL's en biedt inzicht in hun toegangsmachtigingen.

    url= - Geeft de URL-reservering op waarvan u de details wilt bekijken.
    http update sslcert Hiermee werkt u een bestaand SSL-servercertificaatbinding en het bijbehorende clientcertificaatbeleid bij voor een opgegeven IP-adres of hostnaam en poort.

    Zie Opmerkingen voor details over de parameterbeschrijving.
    http update sslpropertyex Wijzigt de parameters van een bestaand SSL-servercertificaat en het bijbehorende clientcertificaatbeleid voor een bepaald IP-adres of hostnaam en poort.

  • propertyid=0 receivewindow=<bytes> - Werkt de grootte van het ontvangstvenster voor SSL-verbindingen bij. propertyid=0 Identificeert deze specifieke eigenschap en receivewindow=<bytes> stelt de grootte van het ontvangstvenster in bytes in.
  • propertyid=1 maxsettingsperframe=<value> maxsettingsperminute=<value> - Updates van de HTTP/2-instellingen met betrekking tot SSL-verbindingen. propertyid=1 Hier wordt deze specifieke eigenschap opgegeven, terwijl maxsettingsperframe=<value> het maximale aantal toegestane instellingenframes per frame wordt ingesteld en maxsettingsperminute=<value> het maximale aantal toegestane instellingenframes per minuut wordt ingesteld.

    • Andere beschikbare subparameters zijn:
  • hostnameport=name:port
  • ipport=ipaddr:port
  • ccs=port

    • Zie Opmerkingen voor details over de parameterbeschrijving.
    help of? Geeft een lijst met opdrachten en hun beschrijvingen weer in de huidige context.

    Remarks

    • hostnameport=name:port: Specificeert de binding met behulp van een hostnaam en poortnummer. Met deze optie wordt het SSL-certificaat gekoppeld aan een specifieke hostnaam (zoals www.example.com) op een opgegeven poort (meestal poort 443 voor HTTPS).

    • ipport=ipaddr:port: Specificeert de binding aan de hand van een IP-adres en poortnummer. Hiermee wordt het SSL-certificaat gekoppeld aan een bepaald IP-adres (zoals 192.168.1.1) en een poort.

    • ccs=port: Verwijst naar een CCS-poort (Central Certificate Store). In deze context maakt CCS gecentraliseerd beheer van SSL-certificaten over meerdere servers mogelijk, met behulp van een specifieke poort voor SSL-bindingen.

    • json=filepath: Gebruikt een JSON-bestand voor het configureren van de SSL-binding. Met deze optie kunnen complexe of bulkconfiguratie-instellingen worden opgegeven in JSON-indeling die door de HTTP-service kan worden geparseerd en toegepast.

    • appid=GUID: de unieke id (GUID) voor de toepassing die is gekoppeld aan de certificaatbinding.

    • certhash=<string>: De certificaathash (vaak weergegeven als een vingerafdruk) van het SSL-certificaat dat moet worden gebonden.

    • certstorename=<string>: De naam van het certificaatarchief waar het SSL-certificaat zich bevindt (bijvoorbeeld MY voor het persoonlijke archief).

    • verifyclientcertrevocation=: Hiermee schakelt u verificatie van de intrekkingsstatus van clientcertificaten in of uit. Opties zijn enable of disable.

    • verifyrevocationwithcachedclientcertonly=: Hiermee bepaalt u of alleen clientcertificaten in de cache worden gebruikt voor de intrekkingscontrole. Opties zijn enable of disable.

    • usagecheck=: Controleert het beleid voor het gebruik van certificaten. Opties zijn enable of disable. Standaard is ingeschakeld.

    • revocationfreshnesstime=: Stelt de versheidstijd voor intrekkingsgegevens in seconden in. Als de waarde is ingesteld op 0, wordt de nieuwe CRL alleen bijgewerkt als de vorige is verlopen.

    • urlretrievaltimeout=: Definieert de time-out voor het ophalen van intrekkings-URL's in milliseconden.

    • sslctlidentifier=<string>: De id voor de SSL-certificaatvertrouwenslijst (CTL) die moet worden gebruikt.

    • sslctlstorename=<string>: Geeft de naam op van het certificaatarchief onder de LOCAL_MACHINE registerkorf waar de SSL CTL is opgeslagen.

    • dsmapperusage=: Hiermee schakelt u het gebruik van de Active Directory DSMapper voor het toewijzen van clientcertificaten in of uit. Opties zijn enable of disable.

    • clientcertnegotiation=: Regelt de onderhandeling voor clientcertificaten tijdens de SSL-handshake. Opties zijn enable of disable. Standaard is uitgeschakeld.

    • reject=: Specificeert de weigering van SSL-verbindingen op basis van bepaalde criteria. Opties zijn enable of disable.

    • disablehttp2=: Hiermee schakelt u ondersteuning voor het HTTP/2-protocol in of uit. Opties zijn enable of disable.

    • disablequic=: Hiermee schakelt u de ondersteuning van het QUIC-protocol in of uit. Opties zijn enable of disable.

    • disablelegacytls=: Hiermee schakelt u het gebruik van verouderde TLS-protocollen in of uit. Opties zijn enable of disable.

    • disabletls12= | disabletls13=: Hiermee schakelt u specifieke versies van het TLS-protocol in of uit (TLS 1.2 of TLS 1.3). Opties zijn enable of disable.

    • disableocspstapling=: Hiermee schakelt u OCSP-nieten in of uit, dat wordt gebruikt voor het controleren van de intrekkingsstatus van certificaten. Opties zijn enable of disable.

    • enabletokenbinding=: Hiermee schakelt u tokenbinding in of uit voor verbeterde beveiliging. Opties zijn enable of disable.

    • logextendedevents=: Hiermee kunt u het loggen van uitgebreide gebeurtenissen voor diagnostische doeleinden in- of uitschakelen. Opties zijn enable of disable.

    • enablesessionticket=: Hiermee bepaalt u of SSL-sessietickets zijn ingeschakeld voor het hervatten van sessies. Opties zijn enable of disable.

    • disablesessionid=: Hiermee bepaalt u of SSL-sessie-ID's zijn uitgeschakeld voor het hervatten van sessies. Opties zijn enable of disable.

    Examples

    Als u de URL http://example.com:8080/ wilt reserveren voor de gebruiker DOMAIN\UserName met ingeschakelde luistermachtigingen, voert u de volgende opdracht uit:

    netsh http add urlacl url=http://example.com:8080/ user=DOMAIN\UserName listen=yes

    Als u een specifiek IP-adres wilt verwijderen uit de lijst met adressen waarop HTTP.sys luistert, voert u de volgende opdracht uit:

    netsh http delete iplisten ipaddress=192.168.1.100

    Als u de cachestatus voor een specifieke URL wilt weergeven, voert u de volgende opdracht uit:

    netsh http show cachestate url=http://example.com

    Als u een URL-reservering wilt verwijderen, voert u de volgende opdracht uit:

    netsh http delete urlacl url=http://+:80/MyApp

    Als u details over een specifieke URL-reservering wilt weergeven, voert u de volgende opdracht uit:

    netsh http show urlacl url=http://+:80/MyApp

    Voer de volgende opdracht uit om de SSL-certificaatdetails voor een specifiek IP-adres en een specifieke poort weer te geven:

    netsh http show sslcert ipport=192.168.1.100:443

    Voer de volgende opdracht uit om HTTP/2-instellingen met betrekking tot SSL-verbindingen op een specifiek IP-adres en een specifieke poort bij te werken, waardoor frames op minuten worden 1000 toegestaan100:

    netsh http update sslpropertyex ipport=192.168.1.100:443 propertyid=1 maxsettingsperframe=100 maxsettingsperminute=1000

    See also