certutil

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Opatrnost

Certutil nedoporučujeme používat v žádném produkčním kódu a neposkytuje žádné záruky podpory živého webu ani kompatibility aplikací. Je to nástroj, který používají vývojáři a správci IT k zobrazení informací o obsahu certifikátu na zařízeních.

Certutil.exe je program příkazového řádku nainstalovaný jako součást Certificate Services. Pomocí certutil.exe můžete zobrazit informace o konfiguraci certifikační autority, konfigurovat certifikační služby a zálohovat a obnovovat součásti certifikační autority. Program také ověřuje certifikáty, páry klíčů a řetězy certifikátů.

Pokud certutil běží na certifikační autoritě bez dalších parametrů, zobrazí se aktuální konfigurace certifikační autority. Pokud certutil spustíte v necertiční autoritě bez dalších parametrů, příkaz ve výchozím nastavení spustí příkaz certutil -dump. Ne všechny verze nástroje certutil poskytují všechny parametry a možnosti, které tento dokument popisuje. Můžete zobrazit volby, které vaše verze nástroje certutil poskytuje spuštěním certutil -? nebo certutil <parameter> -?.

Spropitné

Pokud chcete zobrazit úplnou nápovědu pro všechny příkazy a možnosti nástroje certutil, včetně těch, které jsou skryté z argumentu -?, spusťte certutil -v -uSAGE. Přepínač uSAGE rozlišují malá a velká písmena.

Parametry

-skládka

Vysadí informace o konfiguraci nebo soubory.

certutil [options] [-dump]
certutil [options] [-dump] File

Volby:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vysadí strukturu PFX.

certutil [options] [-dumpPFX] File

Volby:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Analyzuje a zobrazí obsah souboru pomocí syntaxe asN.1 (Abstract Syntax Notation). Mezi typy souborů patří . CER, . Soubory ve formátu DER a PKCS #7

certutil [options] -asn File [type]

• [type]: typ dekódování číselného CRYPT_STRING_*

-decodehex

Dekóduje šestnáctkový soubor s kódováním.

certutil [options] -decodehex InFile OutFile [type]

• [type]: typ dekódování číselného CRYPT_STRING_*

Volby:

[-f]

-encodehex

Zakóduje soubor v šestnáctkové soustavě.

certutil [options] -encodehex InFile OutFile [type]

• [type]: číselný typ kódování CRYPT_STRING_*

Volby:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-dekódovat

Dekóduje soubor s kódováním Base64.

certutil [options] -decode InFile OutFile

Volby:

[-f]

-zakódovat

Zakóduje soubor do Base64.

certutil [options] -encode InFile OutFile

Volby:

[-f] [-unicodetext]

-popřít

Odmítne nevyřízenou žádost.

certutil [options] -deny RequestId

Volby:

[-config Machine\CAName]

-znovu předložit

Znovu odešle nevyřízenou žádost.

certutil [options] -resubmit RequestId

Volby:

[-config Machine\CAName]

-setattributes

Nastaví atributy pro čekající žádost o certifikát.

certutil [options] -setattributes RequestId AttributeString

Kde:

• ID požadavku je ID číselné žádosti čekající žádosti.
• atributu AttributeString je dvojice název a hodnota atributu požadavku.

Volby:

[-config Machine\CAName]

Poznámky

• Názvy a hodnoty musí být oddělené dvojtečky, zatímco více názvů a párů hodnot musí být odděleno novým řádekem. Například: CertificateTemplate:User\nEMail:User@Domain.com, kde je sekvence \n převedena na oddělovač novéhořádku.

-setextension

Nastavte rozšíření pro čekající žádost o certifikát.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Kde:

• id požadavku je ID číselné žádosti čekající žádosti.
• ExtensionName je řetězec ObjectId rozšíření.
• Příznaky nastaví prioritu rozšíření. 0 se doporučuje, když 1 nastaví rozšíření na kritické, 2 rozšíření zakáže a 3 obojí.

Volby:

[-config Machine\CAName]

Poznámky

• Pokud je poslední parametr číselný, používá se jako Long.
• Pokud se poslední parametr dá analyzovat jako datum, použije se jako date.
• Pokud poslední parametr začíná \@, zbytek tokenu se převezme jako název souboru s binárními daty nebo šestnáctkovým výpisem kódu ascii-text.
• Pokud je poslední parametr cokoli jiného, považuje se za řetězec.

-odvolat

Odvolá certifikát.

certutil [options] -revoke SerialNumber [Reason]

Kde:

• SerialNumber je čárkami oddělený seznam sériových čísel certifikátů, které se mají odvolat.
• důvod je číselné nebo symbolické vyjádření důvodu odvolání, včetně:
  • 0. CRL_REASON_UNSPECIFIED – nezadaná (výchozí)
  • 1. CRL_REASON_KEY_COMPROMISE – Ohrožení zabezpečení klíčů
  • 2. CRL_REASON_CA_COMPROMISE – Ohrožení zabezpečení certifikační autority
  • 3. CRL_REASON_AFFILIATION_CHANGED – změna přidružení
  • 4. CRL_REASON_SUPERSEDED – nahrazeno
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Ukončení provozu
  • 6. CRL_REASON_CERTIFICATE_HOLD – blokování certifikátů
  • 8. CRL_REASON_REMOVE_FROM_CRL – odebrání z seznamu CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Oprávnění staženo
  • 10: CRL_REASON_AA_COMPROMISE – ohrožení zabezpečení AA
  • -1. Nerozpoznané - Unrevokes

Volby:

[-config Machine\CAName]

-isvalid

Zobrazí dispozici aktuálního certifikátu.

certutil [options] -isvalid SerialNumber | CertHash

Volby:

[-config Machine\CAName]

-getconfig

Získá výchozí konfigurační řetězec.

certutil [options] -getconfig

Volby:

[-idispatch] [-config Machine\CAName]

-getconfig2

Získá výchozí konfigurační řetězec prostřednictvím ICertGetConfig.

certutil [options] -getconfig2

Volby:

[-idispatch] 

-getconfig3

Získá konfiguraci přes ICertConfig.

certutil [options] -getconfig3

Volby:

[-idispatch] 

-cinknout

Pokusí se kontaktovat rozhraní žádosti služby Active Directory Certificate Services.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Kde:

• caMachineList je seznam názvů počítačů oddělených čárkami. Pro jeden počítač použijte ukončovací čárku. Tato možnost také zobrazí náklady na lokalitu pro každý počítač certifikační autority.

Volby:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Pokusí se kontaktovat rozhraní pro správu služby Active Directory Certificate Services.

certutil [options] -pingadmin

Volby:

[-config Machine\CAName]

-CAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Kde:

• InfoName označuje vlastnost ca, která se má zobrazit na základě následující syntaxe argumentu infoname:
  • * – zobrazí všechny vlastnosti.
  • reklamy – Rozšířený server
  • aia [Index] – adresy URL AIA
  • cdp [Index] – adresy URL CDP
  • certifikát [Index] – certifikát certifikační autority
  • certchain [Index] – řetěz certifikátů certifikační autority
  • certcount – počet certifikátů certifikační autority
  • certcrlchain [Index] – řetěz certifikátů certifikační autority s seznamy CRL
  • certstate [Index] – certifikát certifikační autority
  • certstatuscode [Index] – stav ověření certifikátu certifikační autority
  • certversion [Index] – verze certifikátu certifikační autority
  • seznamu CRL [Index] – základní seznam CRL
  • crlstate [Index] – seznam CRL
  • crlstatus [Index] – stav publikování seznamu CRL
  • křížově [index] – zpětný křížový certifikát
  • křížově [Index] – předat křížový certifikát
  • křížového stavu – [Index] – zpětný křížový certifikát
  • crossstate+ [Index] – předávání křížového certifikátu
  • deltacrl [Index] – rozdílový seznam CRL
  • deltacrlstatus [Index] – stav publikování seznamu CRL delta
  • dns – název DNS
  • dsname – krátký název sanitizované certifikační autority (DS name)
  • error1 ErrorCode – text chybové zprávy
  • error2 ErrorCode – text chybové zprávy a kód chyby
  • exit [Index] – popis modulu ukončení
  • exitcount – počet výstupních modulů
  • souboru – verze souboru
  • informace – informace o certifikační autoritě
  • kra [Index] - KRA cert
  • kracount - KRA cert count
  • krastate [Index] – KRA cert
  • kraused – počet použitých certifikátů KRA
  • název národního prostředí – název národního prostředí certifikační autority
  • název – název certifikační autority
  • ocsp [Index] – adresy URL OCSP
  • nadřazené – nadřazená certifikační autorita
  • zásad – popis modulu zásad
  • produktu – verze produktu
  • propidmax – Maximum CA PropId
  • role – oddělení rolí
  • sanitizedname – sanitized CA name
  • sharedfolder – sdílená složka
  • identifikátory předmětu – identifikátory identifikátorů OID šablon předmětu
  • šablony – šablony
  • typ – typ certifikační autority
  • xchg [Index] – certifikát výměny certifikační autority
  • xchgchain [Index] – řetěz certifikátů exchange certifikační autority
  • xchgcount – počet certifikátů certifikační autority
  • xchgcrlchain [Index] – řetěz certifikátů certifikační autority s seznamy CRL
• index je volitelný index vlastností založený na nule.
• kód chyby je číselný kód chyby.

Volby:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zobrazí informace o typu vlastnosti certifikační autority.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Volby:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Načte certifikát pro certifikační autoritu.

certutil [options] -ca.cert OutCACertFile [Index]

Kde:

• OutCACertFile je výstupní soubor.
• index je index obnovení certifikátu certifikační autority (výchozí hodnota je nejnovější).

Volby:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Načte řetěz certifikátů pro certifikační autoritu.

certutil [options] -ca.chain OutCACertChainFile [Index]

Kde:

• OutCACertChainFile je výstupní soubor.
• index je index obnovení certifikátu certifikační autority (výchozí hodnota je nejnovější).

Volby:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Získá seznam odvolaných certifikátů (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Kde:

• index je index seznamu CRL nebo index klíče (výchozí hodnota je CRL pro nejnovější klíč).
• rozdílový je rozdílový seznam CRL (výchozí hodnota je základní seznam CRL).

Volby:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nové seznamy odvolaných certifikátů (CRL) nebo rozdílové seznamy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Kde:

• dd:hh je nové období platnosti seznamu CRL ve dnech a hodinách.
• znovu publikovat znovu publikuje nejnovější seznamy CRL.
• rozdílové publikuje pouze rozdílové seznamy CRL (výchozí hodnota je základní a rozdílové seznamy CRL).

Volby:

[-split] [-config Machine\CAName]

-vypnutí

Vypne službu Active Directory Certificate Services.

certutil [options] -shutdown

Volby:

[-config Machine\CAName]

-installCert

Nainstaluje certifikát certifikační autority.

certutil [options] -installCert [CACertFile]

Volby:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Obnoví certifikát certifikační autority.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Volby:

[-f] [-silent] [-config Machine\CAName]

• Pomocí -f můžete ignorovat nevyrovnanou žádost o obnovení a vygenerovat novou žádost.

-schéma

Vysadí schéma pro certifikát.

certutil [options] -schema [Ext | Attrib | CRL]

Kde:

• Ve výchozím nastavení se příkaz nastaví na tabulku Požadavek a certifikát.
• Ext je rozšiřující tabulka.
• Atribut je tabulka atributů.
• seznamu CRL je tabulka seznamu CRL.

Volby:

[-split] [-config Machine\CAName]

-pohled

Vysadí zobrazení certifikátu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Kde:

• Fronta vyřadí konkrétní frontu požadavků.
• protokol vypíše vystavené nebo odvolané certifikáty a všechny neúspěšné požadavky.
• LogFail vypíše neúspěšné požadavky.
• odvolání výpis odvolaných certifikátů.
• Ext vysadí tabulku rozšíření.
• Attrib vypisuje tabulku atributů.
• seznam CRL vysadí tabulku seznamu CRL.
• csv poskytuje výstup pomocí hodnot oddělených čárkami.

Volby:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Poznámky

• Pokud chcete zobrazit sloupec StatusCode pro všechny položky, zadejte -out StatusCode
• Pokud chcete zobrazit všechny sloupce poslední položky, zadejte: -restrict RequestId==$
• Pokud chcete zobrazit REQUESTID a Disposition pro tři požadavky, zadejte: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Pokud chcete zobrazit ID řádků ID řádků a čísla CRL pro všechny základní seznamy CRL, zadejte: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Chcete-li zobrazit číslo seznamu CRL základního seznamu CRL 3, zadejte: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Pokud chcete zobrazit celou tabulku seznamu CRL, zadejte: CRL
• Pro omezení kalendářních dat použijte Date[+|-dd:hh].
• Pro datum relativní vzhledem k aktuálnímu času použijte now+dd:hh.
• Šablony obsahují rozšířené použití klíče (EKU), což jsou identifikátory objektů (ID), které popisují způsob použití certifikátu. Certifikáty vždy neobsahují běžné názvy šablon nebo zobrazované názvy, ale vždy obsahují šablony EKU. Můžete extrahovat EKU pro konkrétní šablonu certifikátu ze služby Active Directory a pak omezit zobrazení na základě daného rozšíření.

-dB

Vysadí nezpracovanou databázi.

certutil [options] -db

Volby:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Odstraní řádek z databáze serveru.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Kde:

• Žádost odstraní neúspěšné a nevyřízené žádosti na základě data odeslání.
• certifikát Cert odstraní certifikáty, jejichž platnost vypršela a odvolaná, na základě data vypršení platnosti.
• Ext odstraní tabulku rozšíření.
• Attrib odstraní tabulku atributů.
• seznam CRL odstraní tabulku seznamu CRL.

Volby:

[-f] [-config Machine\CAName]

Příklady

• Pokud chcete odstranit neúspěšné a čekající žádosti odeslané do 22. ledna 2001, zadejte: 1/22/2001 request
• Pokud chcete odstranit všechny certifikáty, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 cert
• Pokud chcete odstranit řádek certifikátu, atributy a rozšíření pro RequestID 37, zadejte: 37
• Pokud chcete odstranit seznamy CRL, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 crl

Poznámka

datum očekává formát mm/dd/yyyy místo dd/mm/yyyy, například 1/22/2001 místo 22/1/2001 pro 22. ledna 2001. Pokud váš server není nakonfigurovaný s místním nastavením USA, může použití argumentu Date způsobit neočekávané výsledky.

-zálohování

Zálohuje službu Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Kde:

• BackupDirectory je adresář pro ukládání zálohovaných dat.
• přírůstkové provádí pouze přírůstkové zálohování (výchozí nastavení je úplné zálohování).
• KeepLog zachovává soubory protokolu databáze (výchozí hodnota je zkrácení souborů protokolu).

Volby:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Zálohuje databázi služby Active Directory Certificate Services.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Kde:

• BackupDirectory je adresář pro ukládání zálohovaných databázových souborů.
• přírůstkové provádí pouze přírůstkové zálohování (výchozí nastavení je úplné zálohování).
• KeepLog zachovává soubory protokolu databáze (výchozí hodnota je zkrácení souborů protokolu).

Volby:

[-f] [-config Machine\CAName]

-backupkey

Zálohuje certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -backupkey BackupDirectory

Kde:

• BackupDirectory je adresář pro uložení zálohovaného souboru PFX.

Volby:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-obnovit

Obnoví službu Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Kde:

• BackupDirectory je adresář obsahující data, která se mají obnovit.

Volby:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Obnoví databázi služby Active Directory Certificate Services.

certutil [options] -restoredb BackupDirectory

Kde:

• BackupDirectory je adresář obsahující soubory databáze, které se mají obnovit.

Volby:

[-f] [-config Machine\CAName]

-restorekey

Obnoví certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -restorekey BackupDirectory | PFXFile

Kde:

• BackupDirectory je adresář obsahující soubor PFX, který se má obnovit.
• soubor PFXFile je soubor PFX, který se má obnovit.

Volby:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportuje certifikáty a privátní klíče. Další informace najdete v -store parametru v tomto článku.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Kde:

• CertificateStoreName je název úložiště certifikátů.
• CertId je token shody certifikátu nebo seznamu CRL.
• PFXFile je soubor PFX, který se má exportovat.
• modifikátory jsou seznam oddělený čárkami, který může obsahovat jednu nebo více z následujících položek:
  • CryptoAlgorithm= určuje kryptografický algoritmus, který se má použít k šifrování souboru PFX, například TripleDES-Sha1 nebo Aes256-Sha256.
  • EncryptCert – Šifruje privátní klíč přidružený k certifikátu pomocí hesla.
  • ExportParameters -Exports parametry privátního klíče kromě certifikátu a privátního klíče.
  • ExtendedProperties – zahrnuje všechny rozšířené vlastnosti přidružené k certifikátu ve výstupním souboru.
  • NoEncryptCert – exportuje privátní klíč bez šifrování.
  • NoChain – neimportuje řetěz certifikátů.
  • NoRoot – neimportuje kořenový certifikát.

-importPFX

Importuje certifikáty a privátní klíče. Další informace najdete v -store parametru v tomto článku.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Kde:

• CertificateStoreName je název úložiště certifikátů.
• PFXFile je soubor PFX, který se má importovat.
• modifikátory jsou seznam oddělený čárkami, který může obsahovat jednu nebo více z následujících položek:
  • AT_KEYEXCHANGE – změní klíč na výměnu klíčů.
  • AT_SIGNATURE – změní klíč klíče na podpis.
  • ExportEncrypted – Exportuje privátní klíč přidružený k certifikátu s šifrováním hesla.
  • FriendlyName= – Určuje popisný název importovaného certifikátu.
  • KeyDescription= – Určuje popis privátního klíče přidruženého k importovanému certifikátu.
  • KeyFriendlyName= – Určuje popisný název privátního klíče přidruženého k importovanému certifikátu.
  • NoCert – neimportuje certifikát.
  • NoChain – neimportuje řetěz certifikátů.
  • NoExport – znepřístupňuje privátní klíč.
  • NoProtect – nechrání klíče heslem pomocí hesla.
  • NoRoot – neimportuje kořenový certifikát.
  • pkcs8 – používá formát PKCS8 pro privátní klíč v souboru PFX.
  • Chránit – chrání klíče pomocí hesla.
  • ProtectHigh – Určuje, že k privátnímu klíči musí být přidružené heslo s vysokým zabezpečením.
  • VSM – ukládá privátní klíč přidružený k importovanému certifikátu do kontejneru virtuální čipové karty (VSC).

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Poznámky

• Výchozí hodnota je osobní úložiště počítačů.

-dynamicfilelist

Zobrazí dynamický seznam souborů.

certutil [options] -dynamicfilelist

Volby:

[-config Machine\CAName]

-databaselocations

Zobrazí umístění databáze.

certutil [options] -databaselocations

Volby:

[-config Machine\CAName]

-hashfile

Vygeneruje a zobrazí kryptografickou hodnotu hash v souboru.

certutil [options] -hashfile InFile [HashAlgorithm]

-obchod

Vysadí úložiště certifikátů.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Kde:

• CertificateStoreName je název úložiště certifikátů. Například:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId je token shody certifikátu nebo seznamu CRL. Toto ID může být následující:

  • Sériové číslo
  • Certifikát SHA-1
  • CRL, CTL nebo hodnota hash veřejného klíče
  • Číselný index certifikátu (0, 1 atd.)
  • Číselný index seznamu CRL (.0, .1 atd.)
  • Číselný index CTL (.. 0, .. 1 atd.)
  • Veřejný klíč
  • Id objektu podpisu nebo rozšíření
  • Běžný název subjektu certifikátu
  • E-mailová adresa
  • Hlavní název uživatele (UPN) nebo NÁZEV DNS
  • Název kontejneru klíčů nebo název CSP
  • Název šablony nebo ID objektu
  • EKU nebo Application Policies ObjectId
  • Běžný název vystavitele seznamu CRL

Mnoho z těchto identifikátorů může mít za následek více shod.

• outputfile je soubor použitý k uložení odpovídajících certifikátů.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Možnost -user přistupuje k úložišti uživatelů místo úložiště počítačů.
• Možnost -enterprise přistupuje k podnikovému úložišti počítačů.
• Možnost -service přistupuje k úložišti služeb počítače.
• Možnost -grouppolicy přistupuje k úložišti zásad skupiny počítače.

Například:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Poznámka

Při použití parametru -store při použití těchto dvou aspektů dochází k problémům s výkonem:

1. Pokud počet certifikátů v úložišti překročí 10.
2. Když zadáte CertId, použije se ke spárování všech uvedených typů pro každý certifikát. Pokud je například zadané sériové číslo , pokusí se také spárovat všechny ostatní uvedené typy.

Pokud máte obavy o problémy s výkonem, doporučuje se příkazy PowerShellu, kde se bude shodovat pouze se zadaným typem certifikátu.

-enumstore

Vytvoří výčet úložišť certifikátů.

certutil [options] -enumstore [\\MachineName]

Kde:

• MachineName je název vzdáleného počítače.

Volby:

[-enterprise] [-user] [-grouppolicy]

-addstore

Přidá certifikát do úložiště. Další informace najdete v -store parametru v tomto článku.

certutil [options] -addstore CertificateStoreName InFile

Kde:

• CertificateStoreName je název úložiště certifikátů.
• infile je soubor certifikátu nebo seznamu CRL, který chcete přidat do úložiště.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Odstraní certifikát z úložiště. Další informace najdete v -store parametru v tomto článku.

certutil [options] -delstore CertificateStoreName certID

Kde:

• CertificateStoreName je název úložiště certifikátů.
• CertId je token shody certifikátu nebo seznamu CRL.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Ověří certifikát v úložišti. Další informace najdete v -store parametru v tomto článku.

certutil [options] -verifystore CertificateStoreName [CertId]

Kde:

• CertificateStoreName je název úložiště certifikátů.
• CertId je token shody certifikátu nebo seznamu CRL.

Volby:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Opraví přidružení klíče nebo aktualizují vlastnosti certifikátu nebo popisovač zabezpečení klíče. Další informace najdete v -store parametru v tomto článku.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Kde:

• CertificateStoreName je název úložiště certifikátů.

• CertIdList je čárkami oddělený seznam tokenů shody certifikátu nebo seznamu CRL. Další informace najdete v popisu -store CertId v tomto článku.

• PropertyInfFile je soubor INF obsahující externí vlastnosti, včetně:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vysadí úložiště certifikátů. Další informace najdete v -store parametru v tomto článku.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Kde:

• CertificateStoreName je název úložiště certifikátů. Například:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId je token shody certifikátu nebo seznamu CRL. Může to být:

  • Sériové číslo
  • Certifikát SHA-1
  • Hodnota hash CRL, CTL nebo veřejného klíče
  • Číselný index certifikátu (0, 1 atd.)
  • Číselný index seznamu CRL (.0, .1 atd.)
  • Číselný index CTL (.. 0, .. 1 atd.)
  • Veřejný klíč
  • Id objektu podpisu nebo rozšíření
  • Běžný název subjektu certifikátu
  • E-mailová adresa
  • Hlavní název uživatele (UPN) nebo NÁZEV DNS
  • Název kontejneru klíčů nebo název CSP
  • Název šablony nebo ID objektu
  • EKU nebo Application Policies ObjectId
  • Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

• outputfile je soubor použitý k uložení odpovídajících certifikátů.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Možnost -user přistupuje k úložišti uživatelů místo úložiště počítačů.
• Možnost -enterprise přistupuje k podnikovému úložišti počítačů.
• Možnost -service přistupuje k úložišti služeb počítače.
• Možnost -grouppolicy přistupuje k úložišti zásad skupiny počítače.

Například:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Odstraní certifikát z úložiště.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Kde:

• CertificateStoreName je název úložiště certifikátů. Například:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId je token shody certifikátu nebo seznamu CRL. Může to být:

  • Sériové číslo
  • Certifikát SHA-1
  • Hodnota hash CRL, CTL nebo veřejného klíče
  • Číselný index certifikátu (0, 1 atd.)
  • Číselný index seznamu CRL (.0, .1 atd.)
  • Číselný index CTL (.. 0, .. 1 atd.)
  • Veřejný klíč
  • Id objektu podpisu nebo rozšíření
  • Běžný název subjektu certifikátu
  • E-mailová adresa
  • Hlavní název uživatele (UPN) nebo NÁZEV DNS
  • Název kontejneru klíčů nebo název CSP
  • Název šablony nebo ID objektu
  • EKU nebo Application Policies ObjectId
  • Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

• outputfile je soubor použitý k uložení odpovídajících certifikátů.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Možnost -user přistupuje k úložišti uživatelů místo úložiště počítačů.
• Možnost -enterprise přistupuje k podnikovému úložišti počítačů.
• Možnost -service přistupuje k úložišti služeb počítače.
• Možnost -grouppolicy přistupuje k úložišti zásad skupiny počítače.

Například:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Vyvolá rozhraní certutil.

certutil [options] -UI File [import]

-TPMInfo

Zobrazí informace o modulu Důvěryhodné platformy.

certutil [options] -TPMInfo

Volby:

[-f] [-Silent] [-split]

-potvrdit

Určuje, že soubor žádosti o certifikát by měl být potvrzen.

certutil [options] -attest RequestFile

Volby:

[-user] [-Silent] [-split]

-getcert

Vybere certifikát z uživatelského rozhraní pro výběr.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Volby:

[-Silent] [-split]

-Ds

Zobrazí rozlišující názvy adresářové služby (DS).

certutil [options] -ds [CommonName]

Volby:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Odstraní sítě DS DS.

certutil [options] -dsDel [CommonName]

Volby:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certifikát nebo seznam odvolaných certifikátů (CRL) do služby Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Kde:

• CertFile je název souboru certifikátu, který se má publikovat.
• NTAuthCA publikuje certifikát do úložiště DS Enterprise.
• RootCA publikuje certifikát do důvěryhodného kořenového úložiště DS.
• SubCA publikuje certifikát certifikační autority do objektu certifikační autority DS.
• CrossCA publikuje křížový certifikát do objektu certifikační autority DS.
• KRA publikuje certifikát do objektu agenta obnovení klíče DS.
• Uživatel publikuje certifikát do objektu User DS.
• počítač publikuje certifikát do objektu Machine DS.
• crlfile je název souboru CRL, který se má publikovat.
• DSCDPContainer je cn kontejner DS CDP, obvykle název počítače certifikační autority.
• DSCDPCN je CN objektu DS CDP na základě krátkého názvu a indexu klíče sanitizované certifikační autority.

Volby:

[-f] [-user] [-dc DCName]

• Pomocí -f vytvořte nový objekt DS.

-dsCert

Zobrazí certifikáty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Volby:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zobrazí seznamy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Volby:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zobrazí rozdílové seznamy CRL DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Volby:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zobrazí atributy šablony DS.

certutil [options] -dsTemplate [Template]

Volby:

[Silent] [-dc DCName]

-dsAddTemplate

Přidá šablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Volby:

[-dc DCName]

-ADTemplate

Zobrazí šablony služby Active Directory.

certutil [options] -ADTemplate [Template]

Volby:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Šablona

Zobrazí šablony zásad zápisu certifikátů.

Volby:

certutil [options] -Template [Template]

Volby:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zobrazí certifikační autority (CA) pro šablonu certifikátu.

certutil [options] -TemplateCAs Template

Volby:

[-f] [-user] [-dc DCName]

-CATemplates

Zobrazí šablony certifikační autority.

certutil [options] -CATemplates [Template]

Volby:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Nastaví šablony certifikátů, které může certifikační autorita vydat.

certutil [options] -SetCATemplates [+ | -] TemplateList

Kde:

• Podpis + přidá šablony certifikátů do seznamu dostupných šablon certifikační autority.
• Podpis - odebere šablony certifikátů ze seznamu dostupných šablon certifikační autority.

-SetCASites

Spravuje názvy webů, včetně nastavení, ověřování a odstraňování názvů webů certifikační autority.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Kde:

• siteName je povolen pouze při cílení na jednu certifikační autoritu.

Volby:

[-f] [-config Machine\CAName] [-dc DCName]

Poznámky

• Možnost -config cílí na jednu certifikační autoritu (výchozí nastavení jsou všechny certifikační autority).
• Možnost -f lze použít k přepsání chyb ověřování zadaných siteName nebo k odstranění všech názvů webů certifikační autority.

Poznámka

Další informace o konfiguraci certifikačních autorit pro sledování lokalit služby Active Directory Domain Services (AD DS) najdete v tématu sledování lokalit služby AD DS pro klienty SLUŽBY AD CS a PKI.

-enrollmentServerURL

Zobrazí, přidá nebo odstraní adresy URL registračního serveru přidružené k certifikační autoritě.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Kde:

• AuthenticationType při přidávání adresy URL určuje jednu z následujících metod ověřování klientů:
  • Kerberos – použijte přihlašovací údaje protokolu Kerberos SSL.
  • uživatelské jméno – Pro přihlašovací údaje SSL použijte pojmenovaný účet.
  • clientCertificate – použijte přihlašovací údaje SSL certifikátu X.509.
  • anonymní – použijte anonymní přihlašovací údaje SSL.
• odstranění odstraní zadanou adresu URL přidruženou k certifikační autoritě.
• Priorita1, pokud není zadána při přidávání adresy URL.
• modifikátory je seznam oddělený čárkami, který obsahuje jednu nebo více z těchto věcí:
  • AllowRenewalsOnly do této certifikační autority je možné odeslat pouze žádosti o obnovení prostřednictvím této adresy URL.
  • AllowKeyBasedRenewal umožňuje používat certifikát, který nemá v AD přidružený účet. To platí jenom u clientCertificate a AllowRenewalsOnly režimu.

Volby:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zobrazí certifikační autority služby Active Directory.

certutil [options] -ADCA [CAName]

Volby:

[-f] [-split] [-dc DCName]

-CA

Zobrazí certifikační autority zásad zápisu.

certutil [options] -CA [CAName | TemplateName]

Volby:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Politika

Zobrazí zásady registrace.

certutil [options] -Policy

Volby:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zobrazí nebo odstraní položky mezipaměti zásad registrace.

certutil [options] -PolicyCache [delete]

Kde:

• odstranit odstraní položky mezipaměti serveru zásad.
• -f odstraní všechny položky mezipaměti.

Volby:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zobrazí, přidá nebo odstraní položky úložiště přihlašovacích údajů.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Kde:

• adresa URL je cílová adresa URL. Můžete také použít *, aby odpovídaly všem položkám nebo https://machine*, aby odpovídaly předponě adresy URL.
• přidat přidá položku úložiště přihlašovacích údajů. Použití této možnosti také vyžaduje použití přihlašovacích údajů SSL.
• odstranit odstraní položky úložiště přihlašovacích údajů.
• -f přepíše jednu položku nebo odstraní více položek.

Volby:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Nainstaluje výchozí šablony certifikátů.

certutil [options] -InstallDefaultTemplates

Volby:

[-dc DCName]

-URL

Ověřuje adresy URL certifikátů nebo seznamů CRL.

certutil [options] -URL InFile | URL

Volby:

[-f] [-split]

-URLCache

Zobrazí nebo odstraní položky mezipaměti url.

certutil [options] -URLcache [URL | CRL | * [delete]]

Kde:

• adresa URL je adresa URL uložená v mezipaměti.
• seznamu CRL běží jenom na všech adresách URL seznamu CRL uložených v mezipaměti.
• * funguje na všech adresách URL uložených v mezipaměti.
• odstranění odstraní relevantní adresy URL z místní mezipaměti aktuálního uživatele.
• -f vynutí načtení konkrétní adresy URL a aktualizaci mezipaměti.

Volby:

[-f] [-split]

-puls

Pulzuje událost automatického zápisu nebo úkolLZ.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Kde:

• taskName je úloha, která se má aktivovat.
  • Pregen je úloha PŘEDGEN KLÍČE.
  • AIKEnroll je úloha zápisu certifikátu AIK. (Výchozí hodnota je událost automatického zápisu).
• SRKThumbprint je kryptografický otisk kořenového klíče úložiště.
• modifikátory :
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • Klávesová zkratka
  • DIMSRoam

Volby:

[-user]

-MachineInfo

Zobrazí informace o objektu počítače služby Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zobrazí informace o řadiči domény. Ve výchozím nastavení se zobrazují certifikáty řadiče domény bez ověření.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• modifikátory :

  • Ověřit
  • DeleteBad
  • DeleteAll

Volby:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Spropitné

Možnost zadat doménu služby Active Directory Domain Services (AD DS) [Domain] a zadat řadič domény (-dc) byl přidán v systému Windows Server 2012. Chcete-li příkaz úspěšně spustit, musíte použít účet, který je členem Domain Admins nebo Enterprise Admins. Změny chování tohoto příkazu jsou následující:

• Pokud není zadaná doména a není zadaný konkrétní řadič domény, vrátí tato možnost seznam řadičů domény, které se mají zpracovat z výchozího řadiče domény.
• Pokud není zadaná doména, ale je zadán řadič domény, vygeneruje se sestava certifikátů na zadaném řadiči domény.
• Pokud je zadaná doména, ale řadič domény není zadaný, vygeneruje se seznam řadičů domény spolu se sestavami certifikátů pro každý řadič domény v seznamu.
• Pokud je zadaná doména a řadič domény, vygeneruje se seznam řadičů domény z cílového řadiče domény. Vygeneruje se také sestava certifikátů pro každý řadič domény v seznamu.

Předpokládejme například, že existuje doména CPANDL s řadičem domény S názvem CPANDL-DC1. Spuštěním následujícího příkazu můžete načíst seznam řadičů domény a jejich certifikátů z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Zobrazí informace o podnikové certifikační autoritě.

certutil [options] -EntInfo DomainName\MachineName$

Volby:

[-f] [-user]

-TCAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -TCAInfo [DomainDN | -]

Volby:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zobrazí informace o čipové kartě.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Kde:

• CRYPT_DELETEKEYSET odstraní všechny klávesy na čipové kartě.

Volby:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Spravuje kořenové certifikáty čipových karet.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Volby:

[-f] [-split] [-p Password]

-klíč

Zobrazí seznam klíčů uložených v kontejneru klíčů.

certutil [options] -key [KeyContainerName | -]

Kde:

• KeyContainerName je název kontejneru klíčů, který má klíč ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
• Použití znaménka - odkazuje na použití výchozího kontejneru klíčů.

Volby:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Odstraní pojmenovaný kontejner klíčů.

certutil [options] -delkey KeyContainerName

Volby:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Odstraní kontejner Windows Hello a odebere všechny přidružené přihlašovací údaje uložené v zařízení, včetně všech přihlašovacích údajů WebAuthn a FIDO.

Po dokončení této možnosti se uživatelé musí odhlásit.

certutil [options] -DeleteHelloContainer

-verifykeys

Ověřuje sadu veřejného nebo privátního klíče.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Kde:

• KeyContainerName je název kontejneru klíčů, který má klíč ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
• CACertFile znaménka nebo šifruje soubory certifikátů.

Volby:

[-f] [-user] [-Silent] [-config Machine\CAName]

Poznámky

• Pokud nejsou zadány žádné argumenty, každý podpisový certifikát certifikační autority je ověřený vůči jeho privátnímu klíči.
• Tuto operaci lze provést pouze s místní certifikační autoritou nebo místními klíči.

-ověřit

Ověřuje certifikát, seznam odvolaných certifikátů (CRL) nebo řetěz certifikátů.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Kde:

• CertFile je název certifikátu, který chcete ověřit.
• ApplicationPolicyList je volitelný seznam id objektu zásad aplikace oddělený čárkami.
• VystaveníPolicyList je volitelný seznam id objektu zásad vystavování oddělený čárkami.
• CACertFile je volitelný vydávající certifikát certifikační autority k ověření.
• CrossedCACertFile je volitelný certifikát, který CertFile.
• CRLFile je soubor CRL použitý k ověřeníCACertFile .
• IssuedCertFile je volitelný vystavený certifikát pokrytý souborem CRLfile.
• DeltaCRLFile je volitelný rozdílový soubor CRL.
• modifikátory :
  • Silné – ověření silného podpisu
  • MSRoot – Musí se zřetězení s kořenem Microsoftu
  • MSTestRoot – Musí být zřetězený do kořenového adresáře testu Microsoftu.
  • AppRoot – Musí být zřetězený do kořenového adresáře aplikace Microsoftu.
  • EV – Vynucení rozšířených zásad ověřování

Volby:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Poznámky

• Použití ApplicationPolicyList omezuje vytváření řetězců pouze na řetězy platné pro zadané zásady aplikace.
• Použití IssuancePolicyList omezuje vytváření řetězců pouze na řetězy platné pro zadané zásady vystavování.
• Použití CACertFile ověřuje pole v souboru na CertFile nebo CRLfile.
• Pokud není zadaný CACertFile, celý řetězec se sestaví a ověří na CertFile.
• Pokud CACertFile a CrossedCACertFile jsou zadána obě pole v obou souborech, jsou ověřena v CertFile.
• Použití IssuedCertFile ověřuje pole v souboru na CRLfile.
• Použití DeltaCRLFile ověřuje pole v souboru na CertFile.

-verifyCTL

Ověřuje hodnotu CTL certifikátů AuthRoot nebo Nepovolené certifikáty.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Kde:

• objekt CTLObject identifikuje hodnotu CTL k ověření, včetně:

  • AuthRootWU přečte soubor AuthRoot CAB a odpovídající certifikáty z mezipaměti URL. Místo toho použijte -f ke stažení ze služby Windows Update.
  • NepovolenéWU přečte soubor CAB nepovolené certifikáty a nepovoluje soubor úložiště certifikátů z mezipaměti URL. Místo toho použijte -f ke stažení ze služby Windows Update.
    • PinRulesWU čte kód CAB pinrules z mezipaměti url. Místo toho použijte -f ke stažení ze služby Windows Update.
  • AuthRoot přečte hodnotu CTL uložené v mezipaměti registru. Používá se s -f a nedůvěryhodnými CertFile k vynucení aktualizace seznamů CTL AuthRoot uložených v mezipaměti AuthRoot a nepovolených certifikátů.
  • Nepovolené přečte hodnotu CTL certifikátů uložených v mezipaměti registru. Používá se s -f a nedůvěryhodnými CertFile k vynucení aktualizace seznamů CTL AuthRoot uložených v mezipaměti AuthRoot a nepovolených certifikátů.
    • pinrules přečte hodnotu CTL uložené v mezipaměti registru. Použití má stejné chování jako uPinRulesWU .
  • CTLFileName určuje soubor nebo cestu HTTP k souboru CTL nebo CAB.

• CertDir určuje složku obsahující certifikáty odpovídající položkám CTL. Výchozí hodnota je stejná složka nebo web jako CTLobject. Použití cesty ke složce HTTP vyžaduje oddělovač cest na konci. Pokud nezadáte AuthRoot nebo Nepovolit, vyhledá se v několika umístěních odpovídající certifikáty, včetně místních úložišť certifikátů, crypt32.dll prostředků a místní mezipaměti URL. Podle potřeby použijte -f ke stažení ze služby Windows Update.

• CertFile určuje certifikáty, které se mají ověřit. Certifikáty se shodují s položkami seznamu CTL a zobrazují výsledky. Tato možnost potlačí většinu výchozího výstupu.

Volby:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certifikáty se službou Windows Update.

certutil [options] -syncWithWU DestinationDir

Kde:

• DestinationDir je zadaný adresář.
• f vynutí přepsání.
• Unicode zapisuje výstup přesměrovaný ve formátu Unicode.
• gmt zobrazí časy jako GMT.
• sekund zobrazí časy s sekundami a milisekundami.
• v je podrobná operace.
• PIN je PIN kód čipové karty.
• WELL_KNOWN_SID_TYPE je číselný identifikátor SID:
  • 22 – Místní systém
  • 23. Místní služba
  • 24. Síťová služba

Poznámky

Následující soubory se stáhnou pomocí mechanismu automatické aktualizace:

• authrootstl.cab obsahuje seznamy CTL kořenových certifikátů jiných společností než Microsoft.
• disallowedcertstl.cab obsahuje seznamy CTL nedůvěryhodných certifikátů.
• nepovolený certifikát.sst obsahuje serializované úložiště certifikátů, včetně nedůvěryhodných certifikátů.
• kryptografický otisk.crt obsahuje kořenové certifikáty od jiných společností než Microsoft.

Například certutil -syncWithWU \\server1\PKI\CTLs.

• Pokud jako cílovou složku použijete neexistující místní cestu nebo složku, zobrazí se chyba: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Pokud jako cílovou složku používáte neexistující nebo nedostupné síťové umístění, zobrazí se chyba: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Pokud se váš server nemůže připojit přes port TCP 80 k serverům Microsoft Automatic Update, zobrazí se následující chyba: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Pokud se váš server nemůže spojit se servery Microsoft Automatic Update s názvem DNS ctldl.windowsupdate.com, zobrazí se následující chyba: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Pokud přepínač -f nepoužíváte a v adresáři už existují žádné soubory CTL, zobrazí se chyba: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Pokud dojde ke změně důvěryhodných kořenových certifikátů, uvidíte: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Volby:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Vygeneruje soubor úložiště, který se synchronizuje se službou Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Kde:

• SSTFile je soubor .sst, který se má vygenerovat, který obsahuje kořeny třetích stran stažené ze služby Windows Update.

Volby:

[-f] [-split]

-generatePinRulesCTL

Vygeneruje soubor seznamu důvěryhodných certifikátů (CTL), který obsahuje seznam pravidel připnutí.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Kde:

• XMLFile je vstupní soubor XML, který se má analyzovat.
• CTLFile je výstupní soubor CTL, který se má vygenerovat.
• SSTFile je volitelný soubor .sst, který se má vytvořit, který obsahuje všechny certifikáty použité k připnutí.
• QueryFilesPrefix jsou volitelné Domains.csv a Keys.csv soubory, které se mají vytvořit pro databázový dotaz.
  • QueryFilesPrefix řetězec je před každým vytvořeným souborem.
  • Soubor Domains.csv obsahuje název pravidla, řádky domény.
  • Soubor Keys.csv obsahuje název pravidla, řádky kryptografického otisku SHA256 klíče.

Volby:

[-f]

-downloadOcsp

Stáhne odpovědi OCSP a zapíše do adresáře.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Kde:

• CertificateDir je adresář certifikátu, ukládání a souborů PFX.
• OcspDir je adresář pro zápis odpovědí OCSP.
• ThreadCount je volitelný maximální počet vláken pro souběžné stahování. Výchozí hodnota je 10.
• modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících položek:
  • DownloadOnce - Stahuje se jednou a ukončí.
  • readOcsp – místo zápisu čte z OcspDir.

-generateHpkpHeader

Vygeneruje hlavičku HPKP pomocí certifikátů v zadaném souboru nebo adresáři.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Kde:

• CertFileOrDir je soubor nebo adresář certifikátů, což je zdroj pin-sha256.
• maxage je hodnota maximálního stáří v sekundách.
• ReportUri je volitelný identifikátor URI sestavy.
• modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících položek:
  • includeSubDomains – připojí includeSubDomains.

-flushCache

Vyprázdní zadané mezipaměti ve vybraném procesu, například lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Kde:

• ProcessId je číselné ID procesu, který se má vyprázdnit. Nastavte na 0 pro vyprázdnění všech procesů, u kterých je povoleno vyprazdování.

• CacheMask je bitová maska mezipamětí, která se má vyprázdnit číselnými nebo následujícími bity:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících položek:

  • Zobrazit – zobrazuje vyprázdnění mezipamětí. Certutil musí být explicitně ukončen.

-addEccCurve

Přidá křivku ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Kde:

• CurveClass je typ třídy ECC Curve:

  • WEIERSTRASS (výchozí)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName je název křivky ECC.

• CurveParameters jsou následující:

  • Název souboru certifikátu obsahující parametry kódované jako ASN.
  • Soubor obsahující parametry kódované jako ASN.

• curveOID je OID křivky ECC a je jedním z následujících způsobů:

  • Název souboru certifikátu obsahující identifikátor OID kódovaný jako ASN.
  • Explicitní OID křivky ECC.

• CurveType je bod Schannel ECC NamedCurve (číselný).

Volby:

[-f]

-deleteEccCurve

Odstraní křivku ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Kde:

• CurveName je název křivky ECC.
• CurveOID je OID křivky ECC.

Volby:

[-f]

-displayEccCurve

Zobrazí křivku ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Kde:

• CurveName je název křivky ECC.
• CurveOID je OID křivky ECC.

Volby:

[-f]

-csplist

Zobrazí seznam poskytovatelů kryptografických služeb (CSP) nainstalovaných na tomto počítači pro kryptografické operace.

certutil [options] -csplist [Algorithm]

Volby:

[-user] [-Silent] [-csp Provider]

-csptest

Otestuje poskytovatele cloudových služeb nainstalovaných na tomto počítači.

certutil [options] -csptest [Algorithm]

Volby:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zobrazí kryptografickou konfiguraci CNG na tomto počítači.

certutil [options] -CNGConfig

Volby:

[-Silent]

-podepsat

Znovu podepíše seznam odvolaných certifikátů (CRL) nebo certifikát.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Kde:

• souboru InFileList je seznam souborů certifikátů oddělených čárkami nebo seznamu CRL pro úpravy a opětovné podepsání.

• SerialNumber je sériové číslo certifikátu, který se má vytvořit. Doba platnosti a další možnosti se nedají zobrazit.

• seznamu CRL vytvoří prázdný seznam CRL. Doba platnosti a další možnosti se nedají zobrazit.

• OutFileList je seznam změněných certifikátů nebo výstupních souborů seznamu CRL oddělených čárkami. Počet souborů se musí shodovat se seznamem souborů.

• StartDate+dd:hh je nové období platnosti pro soubory certifikátu nebo seznamu CRL, včetně:

  • volitelné datum plus
  • Volitelné dny a doby platnosti, pokud se používá více polí, použijte oddělovač (+) nebo (-). K zahájení now[+dd:hh] použijte now[+dd:hh]. Použijte now-dd:hh+dd:hh k zahájení pevného posunu od aktuálního času a pevného období platnosti. Pomocí never nemáte datum vypršení platnosti (pouze pro seznamy CRL).

• SerialNumberList je seznam sériových čísel oddělených čárkami souborů, které chcete přidat nebo odebrat.

• ObjectIdList je seznam id objektů oddělených čárkami u souborů, které chcete odebrat.

• @ExtensionFile je soubor INF, který obsahuje přípony pro aktualizaci nebo odebrání. Například:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm je název algoritmu hash. Musí se jednat pouze o text před znakem #.

• alternateSignatureAlgorithm je specifikátor alternativního algoritmu podpisu.

Volby:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Poznámky

• Pomocí znaménka minus (-) odeberete sériová čísla a přípony.
• Pomocí znaménka plus (+) se přičte sériová čísla k seznamu CRL.
• Seznam můžete použít k odebrání sériových čísel i ObjectIds ze seznamu CRL současně.
• Použití znaménka minus před AlternateSignatureAlgorithm umožňuje použít starší formát podpisu.
• Pomocí znaménka plus můžete použít alternativní formát podpisu.
• Pokud nezadáte AlternateSignatureAlgorithm, použije se formát podpisu v certifikátu nebo seznamu CRL.

-vroot

Vytvoří nebo odstraní webové virtuální kořeny a sdílené složky.

certutil [options] -vroot [delete]

-vocsproot

Vytvoří nebo odstraní webové virtuální kořeny pro webový proxy server OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

V případě potřeby přidá aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Kde:

• addEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:

  • protokol Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
  • uživatelské jméno používá pojmenovaný účet pro přihlašovací údaje SSL.
  • clientCertificate používá přihlašovací údaje SSL certifikátu X.509.

• modifikátory :

  • AllowRenewalsOnly umožňuje pouze odeslání žádostí o obnovení certifikační autoritě prostřednictvím adresy URL.
  • AllowKeyBasedRenewal umožňuje používat certifikát bez přidruženého účtu ve službě Active Directory. To platí pro použití s ClientCertificate a AllowRenewalsOnly režim.

Volby:

[-config Machine\CAName]

-deleteEnrollmentServer

V případě potřeby odstraní aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Kde:

• deleteEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:
  • protokol Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
  • uživatelské jméno používá pojmenovaný účet pro přihlašovací údaje SSL.
  • clientCertificate používá přihlašovací údaje SSL certifikátu X.509.

Volby:

[-config Machine\CAName]

-addPolicyServer

V případě potřeby přidejte aplikaci serveru Policy Server a fond aplikací. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Kde:

• addPolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
  • protokol Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
  • uživatelské jméno používá pojmenovaný účet pro přihlašovací údaje SSL.
  • clientCertificate používá přihlašovací údaje SSL certifikátu X.509.
• KeyBasedRenewal umožňuje použití zásad vrácených klientovi obsahujícím šablony keybasedrenewal. Tato možnost platí jenom pro username a ClientCertificate ověřování.

-deletePolicyServer

V případě potřeby odstraní aplikaci Serveru zásad a fond aplikací. Tento příkaz neodebere binární soubory ani balíčky.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Kde:

• deletePolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
  • protokol Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
  • uživatelské jméno používá pojmenovaný účet pro přihlašovací údaje SSL.
  • clientCertificate používá přihlašovací údaje SSL certifikátu X.509.
• KeyBasedRenewal umožňuje použití serveru zásad KeyBasedRenewal.

-Třída

Zobrazí informace registru modelu COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Volby:

[-f]

-7f

Kontroluje certifikát pro kódování délky 0x7f.

certutil [options] -7f CertFile

-Oid

Zobrazí identifikátor objektu nebo nastaví zobrazovaný název.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Kde:

• ObjectId je ID, které se má zobrazit nebo přidat do zobrazovaného názvu.
• GroupId je číslo GroupID (desítkové), které ObjectIds vypíše.
• AlgId je šestnáctkové ID, které objectID vyhledá.
• AlgorithmName je název algoritmu, který objectID vyhledá.
• DisplayName zobrazí název, který se má uložit do DS.
• Odstranit odstraní zobrazovaný název.
• LanguageId je hodnota ID jazyka (výchozí hodnota je aktuální: 1033).
• Typ je typ objektu DS, který se má vytvořit, včetně:
  • 1 – šablona (výchozí)
  • 2 – Zásady vystavování
  • 3 – Zásady aplikace
• -f vytvoří objekt DS.

Volby:

[-f]

-chyba

Zobrazí text zprávy spojený s kódem chyby.

certutil [options] -error ErrorCode

-getsmtpinfo

Získá informace SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Nastaví informace SMTP.

certutil [options] -setsmtpinfo LogonName

Volby:

[-config Machine\CAName] [-p Password]

-getreg

Zobrazí hodnotu registru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Kde:

• ca používá klíč registru certifikační autority.
• obnovení používá klíč registru obnovení certifikační autority.
• zásady používá klíč registru modulu zásad.
• ukončení používá klíč registru prvního výstupního modulu.
• šablona používá klíč registru šablony (použijte -user pro uživatelské šablony).
• registraci používá klíč registru registrace (použijte -user pro kontext uživatele).
• řetěz používá klíč registru konfigurace řetězu.
• PolicyServers používá klíč registru Servery zásad.
• ProgId používá identifikátor ProgID (podklíč registru) zásad nebo ukončovací modul.
• RegistryValueName používá název hodnoty registru (k porovnání předpon použijte Name*).
• hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu nebo název souboru registru. Pokud číselná hodnota začíná + nebo -, jsou bity zadané v nové hodnotě nastaveny nebo vymazány v existující hodnotě registru.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

• Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření hodnoty REG_MULTI_SZ, přidejte \n na konec řetězcové hodnoty.
• Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
• Pokud neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] což je volitelné datum plus nebo minus volitelné dny a hodiny.
• Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Pro datum relativní vzhledem k aktuálnímu času použijte now+dd:hh.
• K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
• K efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti použijte chain\chaincacheresyncfiletime @now.
• Aliasy registru:
  • Konfigurace
  • CA
  • Zásady – PolicyModules
  • Exit – ExitModules
  • Obnovení – RestoreInProgress
  • Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Nastaví hodnotu registru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Kde:

• ca používá klíč registru certifikační autority.
• obnovení používá klíč registru obnovení certifikační autority.
• zásady používá klíč registru modulu zásad.
• ukončení používá klíč registru prvního výstupního modulu.
• šablona používá klíč registru šablony (použijte -user pro uživatelské šablony).
• registraci používá klíč registru registrace (použijte -user pro kontext uživatele).
• řetěz používá klíč registru konfigurace řetězu.
• PolicyServers používá klíč registru Servery zásad.
• ProgId používá identifikátor ProgID (podklíč registru) zásad nebo ukončovací modul.
• RegistryValueName používá název hodnoty registru (k porovnání předpon použijte Name*).
• hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu nebo název souboru registru. Pokud číselná hodnota začíná + nebo -, jsou bity zadané v nové hodnotě nastaveny nebo vymazány v existující hodnotě registru.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

• Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření hodnoty REG_MULTI_SZ, přidejte \n na konec řetězcové hodnoty.
• Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
• Pokud neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] což je volitelné datum plus nebo minus volitelné dny a hodiny.
• Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Pro datum relativní vzhledem k aktuálnímu času použijte now+dd:hh.
• K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
• K efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti použijte chain\chaincacheresyncfiletime @now.

-delreg

Odstraní hodnotu registru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Kde:

• ca používá klíč registru certifikační autority.
• obnovení používá klíč registru obnovení certifikační autority.
• zásady používá klíč registru modulu zásad.
• ukončení používá klíč registru prvního výstupního modulu.
• šablona používá klíč registru šablony (použijte -user pro uživatelské šablony).
• registraci používá klíč registru registrace (použijte -user pro kontext uživatele).
• řetěz používá klíč registru konfigurace řetězu.
• PolicyServers používá klíč registru Servery zásad.
• ProgId používá identifikátor ProgID (podklíč registru) zásad nebo ukončovací modul.
• RegistryValueName používá název hodnoty registru (k porovnání předpon použijte Name*).
• hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu nebo název souboru registru. Pokud číselná hodnota začíná + nebo -, jsou bity zadané v nové hodnotě nastaveny nebo vymazány v existující hodnotě registru.

Volby:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

• Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření hodnoty REG_MULTI_SZ, přidejte \n na konec řetězcové hodnoty.
• Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
• Pokud neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] což je volitelné datum plus nebo minus volitelné dny a hodiny.
• Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Pro datum relativní vzhledem k aktuálnímu času použijte now+dd:hh.
• K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
• K efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti použijte chain\chaincacheresyncfiletime @now.
• Aliasy registru:
  • Konfigurace
  • CA
  • Zásady – PolicyModules
  • Exit – ExitModules
  • Obnovení – RestoreInProgress
  • Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importuje uživatelské klíče a certifikáty do serverové databáze pro archivaci klíčů.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Kde:

• UserKeyAndCertFile je datový soubor s uživatelskými privátními klíči a certifikáty, které se mají archivovat. Tento soubor může být následující:
  • Soubor exportu Serveru správy klíčů Exchange (KMS).
  • Soubor PFX.
• CertId je token shody certifikátu pro dešifrování souboru exportu Služby správy klíčů. Další informace najdete v -store parametru v tomto článku.
• -f importuje certifikáty, které nevystavuje certifikační autorita.

Volby:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje soubor certifikátu do databáze.

certutil [options] -ImportCert Certfile [ExistingRow]

Kde:

• ExistingRow importuje certifikát místo čekající žádosti o stejný klíč.
• -f importuje certifikáty, které nevystavuje certifikační autorita.

Volby:

[-f] [-config Machine\CAName]

Poznámky

Certifikační autorita může být také potřeba nakonfigurovat tak, aby podporovala cizí certifikáty spuštěním certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Načte archivovaný objekt blob obnovení privátního klíče, vygeneruje skript pro obnovení nebo obnoví archivované klíče.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Kde:

• skript vygeneruje skript pro načtení a obnovení klíčů (výchozí chování, pokud se najde více odpovídajících kandidátů obnovení nebo pokud není zadaný výstupní soubor).
• načíst načte jeden nebo více objektů blob obnovení klíčů (výchozí chování, pokud se najde přesně jeden odpovídající kandidát pro obnovení a pokud je zadán výstupní soubor). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte řetězec specifický pro certifikát a rozšíření .rec pro každý objekt blob obnovení klíče. Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
• obnovení načte a obnoví privátní klíče v jednom kroku (vyžaduje certifikáty agenta obnovení klíčů a privátní klíče). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte rozšíření .p12. Každý soubor obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.
• searchToken vybere klíče a certifikáty, které se mají obnovit, včetně:
  • Běžný název certifikátu
  • Sériové číslo certifikátu
  • Hash SHA-1 certifikátu (kryptografický otisk)
  • Hodnota hash SHA-1 id certifikátu (identifikátor klíče subjektu)
  • Název žadatele (doména\uživatel)
  • Hlavní názvy uživatele (UPN) (user@domain)
• RecoveryBlobOutFile výstupem souboru s řetězem certifikátů a přidruženým privátním klíčem, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
• OutputScriptFile výstupem souboru s dávkovým skriptem pro načtení a obnovení privátních klíčů.
• OutputFileBaseName výstupem je základní název souboru.

Volby:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Poznámky

• Pro načteníse všechna rozšíření zkrátí a řetězec specifický pro certifikát a rozšíření .rec se připojí pro každý objekt blob obnovení klíče. Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
• Pro obnovenídojde ke zkrácení jakéhokoli rozšíření a připojení rozšíření .p12. Obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.

-RecoverKey

Obnoví archivovaný privátní klíč.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Volby:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Sloučí soubory PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Kde:

• PFXInFileList je seznam vstupních souborů PFX oddělený čárkami.
• PFXOutFile je název výstupního souboru PFX.
• modifikátory jsou čárkami oddělené seznamy jednoho nebo více z následujících seznamů:
  • ExtendedProperties zahrnuje všechny rozšířené vlastnosti.
  • NoEncryptCert určuje, že se certifikáty nešifrují.
  • EncryptCert určuje šifrování certifikátů.

Volby:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Poznámky

• Heslo zadané na příkazovém řádku musí být seznam hesel oddělený čárkami.
• Pokud je zadáno více než jedno heslo, použije se poslední heslo pro výstupní soubor. Pokud je zadané jenom jedno heslo nebo pokud je poslední heslo *, zobrazí se uživateli výzva k zadání hesla výstupního souboru.

-add-chain

Přidá řetěz certifikátů.

certutil [options] -add-chain LogId certificate OutFile

Volby:

[-f]

-add-pre-chain

Přidá řetěz před certifikáty.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Volby:

[-f]

-get-sth

Dostane podepsanou hlavu stromu.

certutil [options] -get-sth [LogId]

Volby:

[-f]

-get-sth-consistency

Získá podepsané změny hlavy stromu.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Volby:

[-f]

-get-proof-by-hash

Získá doklad o hodnotě hash ze serveru časového razítka.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Volby:

[-f]

-get-entries

Načte položky z protokolu událostí.

certutil [options] -get-entries LogId FirstIndex LastIndex

Volby:

[-f]

-get-root

Načte kořenové certifikáty z úložiště certifikátů.

certutil [options] -get-roots LogId

Volby:

[-f]

-get-entry-and-proof

Načte položku protokolu událostí a kryptografickou kontrolu.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Volby:

[-f]

-VerifyCT

Ověřuje certifikát v protokolu průhlednosti certifikátu.

certutil [options] -VerifyCT Certificate SCT [precert]

Volby:

[-f]

-?

Zobrazí seznam parametrů.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Kde:

• -? zobrazí seznam parametrů.
• -<name_of_parameter> -? zobrazí obsah nápovědy pro zadaný parametr.
• -? -v zobrazí podrobný seznam parametrů a možností.

Volby

Tato část definuje všechny možnosti, které můžete zadat na základě příkazu. Každý parametr obsahuje informace o tom, které možnosti jsou platné pro použití.

Možnost	Popis
-Admin	Pro vlastnosti certifikační autority použijte ICertAdmin2.
-anonymní	Použijte anonymní přihlašovací údaje SSL.
-cert CertId	Podpisový certifikát.
-clientcertificate clientCertId	Použijte přihlašovací údaje SSL certifikátu X.509. Pro výběr uživatelského rozhraní použijte -clientcertificate.
-config Machine\CAName	Certifikační autorita a řetězec názvu počítače.
-csp provider	Poskytovatel: KSP – Poskytovatel úložiště softwarových klíčů Od Microsoftu čipu TPM – poskytovatel kryptografických služeb platformy Microsoft – Poskytovatel úložiště klíčů Microsoft Passport SC – Zprostředkovatel úložiště klíčů Smart Card Od Microsoftu
-dc DCName	Zaměřte se na konkrétní řadič domény.
-podnik	Použijte úložiště certifikátů podnikového registru místního počítače.
-f	Vynutit přepsání.
-generateSSTFromWU SSTFile	Generování SST pomocí mechanismu automatické aktualizace
-Gmt	Zobrazení časů pomocí GMT.
-GroupPolicy	Použijte úložiště certifikátů zásad skupiny.
-idispatch	Místo nativních metod modelu COM použijte IDispatch.
-kerberos	Použijte přihlašovací údaje protokolu Kerberos SSL.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Zobrazte šablony počítačů.
-nocr	Kódování textu bez znaků CR
-nocrlf	Zakódujte text bez CR-LF znaků.
-nullsign	Použijte hodnotu hash dat jako podpis.
-oldpfx	Použijte staré šifrování PFX.
-out columnlist	Seznam sloupců oddělený čárkami
-p heslo	Heslo
-pin kód PIN	PIN kód čipové karty
-policyserver URLorID	Adresa URL nebo ID serveru zásad. Pro výběr U/I použijte -policyserver. Pro všechny servery zásad použijte -policyserver *
-privatekey	Zobrazí data hesla a privátního klíče.
-chránit	Chraňte klíče heslem.
-protectto SAMnameandSIDlist	Seznam názvů SAM oddělených čárkami/SID
-restrict restrictionlist	Seznam omezení oddělený čárkami Každé omezení se skládá z názvu sloupce, relačního operátoru a konstantního celého čísla, řetězce nebo data. Před jedním názvem sloupce může být znaménko plus nebo minus, které označuje pořadí řazení. Příklad: requestID = 47, +requestername >= a, requesternamenebo -requestername > DOMAIN, Disposition = 21.
-reverzní	Sloupce reverzního protokolu a fronty
-sekundy	Časy zobrazení pomocí sekund a milisekund
-služba	Použijte úložiště certifikátů služby.
-sid	Číselný identifikátor SID: 22 – místní systém 23 – místní služba 24 – Síťová služba
-tichý	K získání kontextu šifrování použijte příznak silent.
-rozdělit	Rozdělte vložené prvky ASN.1 a uložte je do souborů.
-sslpolicy název serveru	Zásady SSL odpovídající názvu serveru.
-symkeyalg symmetrickeyalgorithm[,keylength]	Název algoritmu symetrického klíče s volitelnou délkou klíče Například: AES,128 nebo 3DES.
-syncWithWU DestinationDir	Synchronizace se službou Windows Update
-t – časový limit	Vypršení časového limitu adresy URL v milisekundách
-Unicode	Výstup pro přesměrování zápisu v kódování Unicode
-UnicodeText	Zápis výstupního souboru v kódování Unicode
-urlfetch	Načtěte a ověřte certifikáty AIA a seznamy CRL CDP.
-uživatel	Použijte klíče HKEY_CURRENT_USER nebo úložiště certifikátů.
-uživatelské jméno	Pro přihlašovací údaje SSL použijte pojmenovaný účet. Pro výběr uživatelského rozhraní použijte -username.
-Ut	Umožňuje zobrazit uživatelské šablony.
-v	Zadejte podrobnější (podrobné) informace.
-v1	Použijte rozhraní V1.

Hashovací algoritmy: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Související odkazy

Další příklady použití tohoto příkazu najdete v následujících článcích:

• služby Active Directory Certificate Services (AD CS)
• úlohy nástroje Certutil pro správu certifikátů
• Konfigurace důvěryhodných kořenových certifikátů a nepovolení certifikátů ve Windows