Freigeben über

certutil

Vorsicht

Certutil wird nicht empfohlen, in Produktionscode zu verwenden und bietet keine Garantien für die Unterstützung von Livewebsites oder Anwendungskompatibilitäten. Es ist ein Tool, das von Entwicklern und IT-Administratoren verwendet wird, um Zertifikatinhaltsinformationen auf Geräten anzuzeigen.

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren und Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen. Das Programm überprüft auch Zertifikate, Schlüsselpaare und Zertifikatketten.

Wenn certutil auf einer Zertifizierungsstelle ohne andere Parameter ausgeführt wird, wird die aktuelle Konfiguration der Zertifizierungsstelle angezeigt. Wenn certutil auf einer Nichtzertifizierungsstelle ohne andere Parameter ausgeführt wird, wird der Befehl standardmäßig mit dem Befehl certutil -dump ausgeführt. Nicht alle Versionen von certutil stellen alle Parameter und Optionen bereit, die in diesem Dokument beschrieben werden. Sie können die von Ihrer Certutil-Version bereitgestellten Optionen anzeigen, indem Sie certutil -? oder certutil <parameter> -?ausführen.

Trinkgeld

Führen Sie certutil -v -uSAGEaus, um vollständige Hilfe zu allen Zertifikatverben und Optionen anzuzeigen, einschließlich der Verben und Optionen, die im argument -? ausgeblendet sind. Bei der Option uSAGE wird die Groß-/Kleinschreibung beachtet.

Parameter

-Müllkippe

Dumps the configuration information or files.

certutil [options] [-dump]
certutil [options] [-dump] File

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Stellt die PFX-Struktur ab.

certutil [options] [-dumpPFX] File

Optionen:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analysiert und zeigt den Inhalt einer Datei mithilfe der Syntaxnotation (ASN.1) an. Dateitypen enthalten . CER, . Der und PKCS #7 formatierte Dateien.

certutil [options] -asn File [type]
  • [type]: numerischer CRYPT_STRING_*-Decodierungstyp

-decodehex

Decodiert eine hexadezimal codierte Datei.

certutil [options] -decodehex InFile OutFile [type]
  • [type]: numerischer CRYPT_STRING_*-Decodierungstyp

Optionen:

[-f]

-encodehex

Codiert eine Datei in hexadezimaler Zahl.

certutil [options] -encodehex InFile OutFile [type]
  • [type]: numerischer CRYPT_STRING_*-Codierungstyp

Optionen:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-entschlüsseln

Decodiert eine Base64-codierte Datei.

certutil [options] -decode InFile OutFile

Optionen:

[-f]

-kodieren

Codiert eine Datei in Base64.

certutil [options] -encode InFile OutFile

Optionen:

[-f] [-unicodetext]

-leugnen

Verweigert eine ausstehende Anforderung.

certutil [options] -deny RequestId

Optionen:

[-config Machine\CAName]

-Erneut

Sendet eine ausstehende Anforderung erneut.

certutil [options] -resubmit RequestId

Optionen:

[-config Machine\CAName]

-setattributes

Legt Attribute für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setattributes RequestId AttributeString

Wo:

  • RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.
  • AttributeString- ist der Anforderungsattributname und wertpaare.

Optionen:

[-config Machine\CAName]

Bemerkungen

  • Namen und Werte müssen durch Doppelpunkt getrennt werden, während mehrere Namen und Wertpaare neu definiert sein müssen. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com an der Stelle, an der die \n Sequenz in ein Neulinientrennzeichen konvertiert wird.

-setextension

Legen Sie eine Erweiterung für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Wo:

  • requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.
  • ExtensionName ist die ObjectId-Zeichenfolge für die Erweiterung.
  • Flags legt die Priorität der Erweiterung fest. 0 wird empfohlen, während 1 die Erweiterung auf kritisch festlegt, 2 die Erweiterung deaktiviert, und 3 führt beides aus.

Optionen:

[-config Machine\CAName]

Bemerkungen

  • Wenn der letzte Parameter numerisch ist, wird er als Longverwendet.
  • Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Dateverwendet.
  • Wenn der letzte Parameter mit \@beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder einem Ascii-Text-Hexabbild verwendet.
  • Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.

-widerrufen

Widerruft ein Zertifikat.

certutil [options] -revoke SerialNumber [Reason]

Wo:

  • SerialNumber- ist eine durch Trennzeichen getrennte Liste der zu widerrufenden Zertifikatsnummern.
  • Grund ist die numerische oder symbolische Darstellung des Widerrufsgrundes, einschließlich:
    • 0. CRL_REASON_UNSPECIFIED – Nicht angegeben (Standard)
    • 1. CRL_REASON_KEY_COMPROMISE – Schlüsselkompromittierung
    • 2. CRL_REASON_CA_COMPROMISE – Kompromittierung der Zertifizierungsstelle
    • 3. CRL_REASON_AFFILIATION_CHANGED - Zugehörigkeit geändert
    • 4. CRL_REASON_SUPERSEDED - Abgelöst
    • 5. CRL_REASON_CESSATION_OF_OPERATION - Einstellung des Betriebs
    • 6. CRL_REASON_CERTIFICATE_HOLD – Zertifikatsperre
    • 8. CRL_REASON_REMOVE_FROM_CRL – Aus CRL entfernen
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privileg zurückgezogen
    • 10: CRL_REASON_AA_COMPROMISE - AA-Kompromiss
    • -1. Unrevoke - Unrevokes

Optionen:

[-config Machine\CAName]

-isvalid

Zeigt die Anordnung des aktuellen Zertifikats an.

certutil [options] -isvalid SerialNumber | CertHash

Optionen:

[-config Machine\CAName]

-getconfig

Ruft die Standardkonfigurationszeichenfolge ab.

certutil [options] -getconfig

Optionen:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ruft die Standardkonfigurationszeichenfolge über ICertGetConfig ab.

certutil [options] -getconfig2

Optionen:

[-idispatch]

-getconfig3

Ruft die Konfiguration über ICertConfig ab.

certutil [options] -getconfig3

Optionen:

[-idispatch]

-anpingen

Versucht, die Anforderungsschnittstelle für Active Directory-Zertifikatdienste zu kontaktieren.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Wo:

  • CAMachineList- ist eine durch Trennzeichen getrennte Liste der Computernamen der Zertifizierungsstelle. Verwenden Sie für einen einzelnen Computer ein beendendes Komma. Diese Option zeigt auch die Standortkosten für jeden Ca-Computer an.

Optionen:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Versucht, die Active Directory-Zertifikatdienste-Administratorschnittstelle zu kontaktieren.

certutil [options] -pingadmin

Optionen:

[-config Machine\CAName]

-CAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Wo:

  • InfoName gibt die anzuzeigende CA-Eigenschaft basierend auf der folgenden Syntax des Infoname-Arguments an:
    • * – Zeigt alle Eigenschaften an
    • Anzeigen – Advanced Server
    • aia [Index] – AIA-URLs
    • cdp [Index] - CDP-URLs
    • Cert [Index] - Zertifizierungsstelle
    • certchain [Index] - Zertifizierungsstelle-Zertifikatkette
    • certcount – Ca Cert count
    • certcrlchain [Index] - CA-Zertifikatkette mit CRLs
    • certstate [Index] - CA-Zertifikat
    • certstatuscode [Index] – Zertifizierungsstellenzertifikatstatus überprüfen
    • certversion [Index] - Zertifizierungsstelle-Zertifikatversion
    • CRL [Index] - Basis-CRL
    • crlstate [Index] - CRL
    • Crlstatus [Index] – CRL-Veröffentlichungsstatus
    • cross- [Index] - Backward cross cert
    • cross+ [Index] - Forward cross cert
    • crossstate- [Index] - Backward cross cert
    • crossstate+ [Index] - Forward cross cert
    • Deltacrl [Index] - Delta-CRL
    • deltacrlstatus [Index] – Delta-CRL-Veröffentlichungsstatus
    • DNS- – DNS-Name
    • dsname - Sanitized CA short name (DS name)
    • ErrorCode- – Fehlermeldungstext
    • Error2 ErrorCode- – Fehlermeldungstext und Fehlercode
    • Beenden [Index] – Beschreibung des Exit-Moduls
    • Exitcount- – Anzahl der Exit-Module
    • Datei- – Dateiversion
    • Informationen – Ca Info
    • kra [Index] - KRA cert
    • kracount - KRA cert count
    • krastate [Index] - KRA cert
    • kraused - KRA cert used count
    • Gebietsschemanamen – Gebietsschemaname der Zertifizierungsstelle
    • Name - CA-Name
    • ocsp [Index] - OCSP-URLs
    • übergeordneten – übergeordnete Zertifizierungsstelle
    • Richtlinien- – Beschreibung des Richtlinienmoduls
    • Produktversion - Produktversion
    • propidmax - Maximum CA PropId
    • Rolle – Rollentrennung
    • sanitizedname - Sanitized CA name
    • sharedfolder- – Freigegebener Ordner
    • subjecttemplateoids - Subject Template OIDs
    • Vorlagen – Vorlagen
    • Typ - CA-Typ
    • xchg [Index] - Ca Exchange-Zertifikat
    • xchgchain [Index] - CA-Austauschzertifikatkette
    • xchgcount- – Anzahl der Ca Exchange-Zertifikate
    • xchgcrlchain [Index] – Zertifizierungsstelle-Zertifikatkette mit CRLs
  • Index ist der optionale nullbasierte Eigenschaftenindex.
  • Fehlercode- ist der numerische Fehlercode.

Optionen:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zeigt Informationen zum Ca-Eigenschaftstyp an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Optionen:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Ruft das Zertifikat für die Zertifizierungsstelle ab.

certutil [options] -ca.cert OutCACertFile [Index]

Wo:

  • OutCACertFile- ist die Ausgabedatei.
  • Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).

Optionen:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Ruft die Zertifikatkette für die Zertifizierungsstelle ab.

certutil [options] -ca.chain OutCACertChainFile [Index]

Wo:

  • OutCACertChainFile- ist die Ausgabedatei.
  • Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).

Optionen:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ruft eine Zertifikatsperrliste (Certificate Revocation List, CRL) ab.

certutil [options] -GetCRL OutFile [Index] [delta]

Wo:

  • Index- ist der CRL-Index oder der Schlüsselindex (Standardeinstellung für CRL für den letzten Schlüssel).
  • Delta- ist die Delta-CRL (Standard ist Basis-CRL).

Optionen:

[-f] [-split] [-config Machine\CAName]

-ZERTIFIKATSPERRLISTE

Veröffentlicht neue Zertifikatsperrlisten (CRLs) oder Delta-CRLs.

certutil [options] -CRL [dd:hh | republish] [delta]

Wo:

  • dd:hh ist der neue Gültigkeitszeitraum der CRL in Tagen und Stunden.
  • erneut veröffentlichen die neuesten CRLs erneut veröffentlichen.
  • Delta- veröffentlicht nur die Delta-CRLs (Standard ist Basis- und Delta-CRLs).

Optionen:

[-split] [-config Machine\CAName]

-Herunterfahren

Beendet die Active Directory-Zertifikatdienste.

certutil [options] -shutdown

Optionen:

[-config Machine\CAName]

-installCert

Installiert ein Zertifizierungsstellenzertifikat.

certutil [options] -installCert [CACertFile]

Optionen:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Erneuert ein Zertifizierungsstellenzertifikat.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Optionen:

[-f] [-silent] [-config Machine\CAName]
  • Verwenden Sie -f, um eine ausstehende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.

-Schema

Dumps the schema for the certificate.

certutil [options] -schema [Ext | Attrib | CRL]

Wo:

  • Der Befehl ist standardmäßig auf die Tabelle "Anforderung" und "Zertifikat" festgelegt.
  • Ext ist die Erweiterungstabelle.
  • Attribut- ist die Attributtabelle.
  • CRL- ist die CRL-Tabelle.

Optionen:

[-split] [-config Machine\CAName]

-ansehen

Dumps the certificate view.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Wo:

  • Warteschlange eine bestimmte Anforderungswarteschlange abbilden.
  • protokollieren die ausgestellten oder widerrufenen Zertifikate sowie alle fehlgeschlagenen Anforderungen ab.
  • LogFail die fehlgeschlagenen Anforderungen abbildet.
  • Widerrufen die widerrufenen Zertifikate abbilden.
  • Ext die Erweiterungstabelle ab.
  • Attrib die Attributtabelle abbilden.
  • CRL die CRL-Tabelle ab.
  • csv- stellt die Ausgabe mithilfe von durch Trennzeichen getrennten Werten bereit.

Optionen:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Bemerkungen

  • Um die StatusCode- Spalte für alle Einträge anzuzeigen, geben Sie -out StatusCode
  • Um alle Spalten für den letzten Eintrag anzuzeigen, geben Sie Folgendes ein: -restrict RequestId==$
  • Um die RequestId und Dispositions- für drei Anforderungen anzuzeigen, geben Sie Folgendes ein: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • Zum Anzeigen von Zeilen-IDs Zeilen-IDs und CRL-Nummern für alle Basis-CRLs geben Sie Folgendes ein: -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • Um die Basis-CRL-Nummer 3 anzuzeigen, geben Sie Folgendes ein: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • Um die gesamte CRL-Tabelle anzuzeigen, geben Sie Folgendes ein: CRL
  • Verwenden Sie Date[+|-dd:hh] für Datumseinschränkungen.
  • Verwenden Sie now+dd:hh für ein Datum relativ zur aktuellen Uhrzeit.
  • Vorlagen enthalten erweiterte Schlüsselverwendungen (Extended Key Usages, EKUs), die Objektbezeichner (OIDs) sind, die beschreiben, wie das Zertifikat verwendet wird. Zertifikate enthalten nicht immer allgemeine Vorlagennamen oder Anzeigenamen, aber sie enthalten immer die Vorlagen-EKUs. Sie können die EKUs für eine bestimmte Zertifikatvorlage aus Active Directory extrahieren und dann Ansichten basierend auf dieser Erweiterung einschränken.

-Db

Dumps the raw database.

certutil [options] -db

Optionen:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Löscht eine Zeile aus der Serverdatenbank.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Wo:

  • Anforderung die fehlgeschlagenen und ausstehenden Anforderungen basierend auf dem Übermittlungsdatum löscht.
  • Cert löscht die abgelaufenen und widerrufenen Zertifikate basierend auf dem Ablaufdatum.
  • Ext löscht die Erweiterungstabelle.
  • Attrib die Attributtabelle löscht.
  • CRL löscht die CRL-Tabelle.

Optionen:

[-f] [-config Machine\CAName]

Beispiele

  • Um fehlgeschlagene und ausstehende Anforderungen zu löschen, die bis zum 22. Januar 2001 übermittelt wurden, geben Sie Folgendes ein: 1/22/2001 request
  • Um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 cert
  • Um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen, geben Sie Folgendes ein: 37
  • Um CRLs zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 crl

Anmerkung

Datum erwartet das Format mm/dd/yyyy anstelle von dd/mm/yyyy, z. B. 1/22/2001 anstelle von 22/1/2001 für den 22. Januar 2001. Wenn Ihr Server nicht mit regionalen US-Einstellungen konfiguriert ist, kann die Verwendung des Arguments Datum zu unerwarteten Ergebnissen führen.

-Sicherungskopie

Sichert die Active Directory-Zertifikatdienste.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Wo:

  • BackupDirectory- ist das Verzeichnis zum Speichern der gesicherten Daten.
  • Inkrementelle führt nur eine inkrementelle Sicherung aus (Standard ist vollständige Sicherung).
  • KeepLog- behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).

Optionen:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sichert die Active Directory-Zertifikatdienste-Datenbank.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Wo:

  • BackupDirectory- ist das Verzeichnis zum Speichern der gesicherten Datenbankdateien.
  • Inkrementelle führt nur eine inkrementelle Sicherung aus (Standard ist vollständige Sicherung).
  • KeepLog- behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).

Optionen:

[-f] [-config Machine\CAName]

-backupkey

Sichert das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel.

certutil [options] -backupkey BackupDirectory

Wo:

  • BackupDirectory- ist das Verzeichnis zum Speichern der gesicherten PFX-Datei.

Optionen:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-wiederherstellen

Stellt die Active Directory-Zertifikatdienste wieder her.

certutil [options] -restore BackupDirectory

Wo:

  • BackupDirectory- ist das Verzeichnis, das die zu wiederherstellenden Daten enthält.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Stellt die Active Directory-Zertifikatdienste-Datenbank wieder her.

certutil [options] -restoredb BackupDirectory

Wo:

  • BackupDirectory- ist das Verzeichnis, das die datenbankdateien enthält, die wiederhergestellt werden sollen.

Optionen:

[-f] [-config Machine\CAName]

-restorekey

Stellt das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel wieder her.

certutil [options] -restorekey BackupDirectory | PFXFile

Wo:

  • BackupDirectory- ist das Verzeichnis, das DIE PFX-Datei enthält, wiederhergestellt werden soll.
  • PFXFile- ist die PFX-Datei, die wiederhergestellt werden soll.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Wo:

  • CertificateStoreName- ist der Name des Zertifikatspeichers.
  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken.
  • PFXFile- ist die zu exportierende PFX-Datei.
  • Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
    • CryptoAlgorithm= gibt den kryptografischen Algorithmus an, der zum Verschlüsseln der PFX-Datei verwendet werden soll, z. B. TripleDES-Sha1 oder Aes256-Sha256.
    • EncryptCert – Verschlüsselt den privaten Schlüssel, der dem Zertifikat mit einem Kennwort zugeordnet ist.
    • ExportParameters -Exports die Parameter des privaten Schlüssels zusätzlich zum Zertifikat und privaten Schlüssel.
    • ExtendedProperties- – Enthält alle erweiterten Eigenschaften, die dem Zertifikat in der Ausgabedatei zugeordnet sind.
    • NoEncryptCert - Exportiert den privaten Schlüssel, ohne ihn zu verschlüsseln.
    • NoChain- – importiert die Zertifikatkette nicht.
    • NoRoot- – Importiert das Stammzertifikat nicht.

-importPFX

Importiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Wo:

  • CertificateStoreName- ist der Name des Zertifikatspeichers.
  • PFXFile- ist die ZU importierende PFX-Datei.
  • Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
    • AT_KEYEXCHANGE – Ändert die Schlüsselspezifikation in den Schlüsselaustausch.
    • AT_SIGNATURE – Ändert die Schlüsselspezifikation zu Signatur.
    • ExportEncrypted – Exportiert den privaten Schlüssel, der dem Zertifikat mit Kennwortverschlüsselung zugeordnet ist.
    • FriendlyName= – Gibt einen Anzeigenamen für das importierte Zertifikat an.
    • KeyDescription= – Gibt eine Beschreibung für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
    • KeyFriendlyName= – Gibt einen Anzeigenamen für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
    • NoCert- – importiert das Zertifikat nicht.
    • NoChain- – importiert die Zertifikatkette nicht.
    • NoExport- – Macht den privaten Schlüssel nicht exportierbar.
    • NoProtect- – Nicht kennwortgeschützte Schlüssel mithilfe eines Kennworts.
    • NoRoot- – Importiert das Stammzertifikat nicht.
    • Pkcs8- – Verwendet das PKCS8-Format für den privaten Schlüssel in der PFX-Datei.
    • Schützen von – Schützt Schlüssel mithilfe eines Kennworts.
    • ProtectHigh- – Gibt an, dass dem privaten Schlüssel ein kennwort mit hoher Sicherheit zugeordnet werden muss.
    • VSM- – Speichert den privaten Schlüssel, der dem importierten Zertifikat zugeordnet ist, im VSC-Container (Virtual Smart Card).

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Bemerkungen

  • Standardmäßig wird der persönliche Computerspeicher gespeichert.

-dynamicfilelist

Zeigt eine dynamische Dateiliste an.

certutil [options] -dynamicfilelist

Optionen:

[-config Machine\CAName]

-databaselocations

Zeigt Datenbankspeicherorte an.

certutil [options] -databaselocations

Optionen:

[-config Machine\CAName]

-hashfile

Generiert und zeigt einen kryptografischen Hash über eine Datei an.

certutil [options] -hashfile InFile [HashAlgorithm]

-abspeichern

Abbilden des Zertifikatspeichers.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Wo:

  • CertificateStoreName ist der Zertifikatspeichername. Zum Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken. Diese ID kann eine sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL, CTL oder Public Key Hash
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (.. 0, .. 1 usw.)
    • Öffentlicher Schlüssel
    • Signatur- oder Erweiterungsobjekt-ID
    • Allgemeiner Name des Zertifikatsbetreffs
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU- oder Anwendungsrichtlinien
    • CRL issuer Common Name.

Viele dieser Bezeichner können zu mehreren Übereinstimmungen führen.

  • OutputFile- ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • Die option -user greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die option -enterprise greift auf einen Computer-Unternehmensspeicher zu.
  • Die option -service greift auf einen Computerdienstspeicher zu.
  • Die option -grouppolicy greift auf einen Computergruppenrichtlinienspeicher zu.

Zum Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Anmerkung

Leistungsprobleme werden beobachtet, wenn sie den parameter -store verwenden, wobei die folgenden beiden Aspekte beachtet werden:

  1. Wenn die Anzahl der Zertifikate im Speicher 10 überschreitet.
  2. Wenn eine CertId- angegeben wird, wird sie verwendet, um alle aufgelisteten Typen für jedes Zertifikat abzugleichen. Wenn beispielsweise eine Seriennummer angegeben wird, angegeben wird, wird auch versucht, alle anderen aufgelisteten Typen abzugleichen.

Wenn Sie sich gedanken über Leistungsprobleme machen, werden PowerShell-Befehle empfohlen, bei denen sie nur mit dem angegebenen Zertifikattyp übereinstimmt.

-enumstore

Listet die Zertifikatspeicher auf.

certutil [options] -enumstore [\\MachineName]

Wo:

  • MachineName- ist der Name des Remotecomputers.

Optionen:

[-enterprise] [-user] [-grouppolicy]

-addstore

Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -addstore CertificateStoreName InFile

Wo:

  • CertificateStoreName ist der Zertifikatspeichername.
  • InFile- ist die Zertifikat- oder CRL-Datei, die Sie dem Speicher hinzufügen möchten.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -delstore CertificateStoreName certID

Wo:

  • CertificateStoreName ist der Zertifikatspeichername.
  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Überprüft ein Zertifikat im Speicher. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -verifystore CertificateStoreName [CertId]

Wo:

  • CertificateStoreName ist der Zertifikatspeichername.
  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken.

Optionen:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repariert eine Schlüsselzuordnung oder aktualisiert Zertifikateigenschaften oder den Schlüsselsicherheitsdeskriptor. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Wo:

  • CertificateStoreName ist der Zertifikatspeichername.

  • CertIdList- ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Übereinstimmungstoken. Weitere Informationen finden Sie in der Beschreibung der -store CertId in diesem Artikel.

  • PropertyInfFile- ist die INF-Datei, die externe Eigenschaften enthält, einschließlich:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Dumps the certificates store. Weitere Informationen finden Sie im parameter -store in diesem Artikel.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Wo:

  • CertificateStoreName ist der Zertifikatspeichername. Zum Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL-, CTL- oder Public Key-Hash
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (.. 0, .. 1 usw.)
    • Öffentlicher Schlüssel
    • Signatur- oder Erweiterungsobjekt-ID
    • Allgemeiner Name des Zertifikatsbetreffs
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU- oder Anwendungsrichtlinien
    • CRL issuer Common Name.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

  • OutputFile- ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Die option -user greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die option -enterprise greift auf einen Computer-Unternehmensspeicher zu.
  • Die option -service greift auf einen Computerdienstspeicher zu.
  • Die option -grouppolicy greift auf einen Computergruppenrichtlinienspeicher zu.

Zum Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Löscht ein Zertifikat aus dem Speicher.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Wo:

  • CertificateStoreName ist der Zertifikatspeichername. Zum Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId- ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL-, CTL- oder Public Key-Hash
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (.. 0, .. 1 usw.)
    • Öffentlicher Schlüssel
    • Signatur- oder Erweiterungsobjekt-ID
    • Allgemeiner Name des Zertifikatsbetreffs
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU- oder Anwendungsrichtlinien
    • CRL issuer Common Name.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

  • OutputFile- ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Die option -user greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die option -enterprise greift auf einen Computer-Unternehmensspeicher zu.
  • Die option -service greift auf einen Computerdienstspeicher zu.
  • Die option -grouppolicy greift auf einen Computergruppenrichtlinienspeicher zu.

Zum Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-BENUTZEROBERFLÄCHE

Ruft die certutil-Schnittstelle auf.

certutil [options] -UI File [import]

-TPMInfo

Zeigt Informationen zu vertrauenswürdigen Plattformmodulen an.

certutil [options] -TPMInfo

Optionen:

[-f] [-Silent] [-split]

-bescheinigen

Gibt an, dass die Zertifikatanforderungsdatei bestätigt werden soll.

certutil [options] -attest RequestFile

Optionen:

[-user] [-Silent] [-split]

-getcert

Wählt ein Zertifikat aus einer Auswahl-UI aus.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Optionen:

[-Silent] [-split]

-Ds

Zeigt Distinguished Names (DNs) des Verzeichnisdiensts (DS) an.

certutil [options] -ds [CommonName]

Optionen:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Löscht DS-DNs.

certutil [options] -dsDel [CommonName]

Optionen:

[-user] [-split] [-dc DCName]

-dsPublish

Veröffentlicht eine Zertifikat- oder Zertifikatsperrliste (Certificate Revocation List, CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Wo:

  • CertFile- ist der Name der zu veröffentlichenden Zertifikatdatei.
  • NTAuthCA veröffentlicht das Zertifikat im DS Enterprise-Speicher.
  • RootCA- veröffentlicht das Zertifikat im vertrauenswürdigen DS-Stammspeicher.
  • SubCA veröffentlicht das Zertifizierungsstellenzertifikat im DS CA-Objekt.
  • CrossCA- veröffentlicht das zertifikatübergreifende Zertifikat für das DS CA-Objekt.
  • KRA veröffentlicht das Zertifikat im DS Key Recovery Agent-Objekt.
  • User veröffentlicht das Zertifikat für das User DS-Objekt.
  • Machine veröffentlicht das Zertifikat im Machine DS-Objekt.
  • CRLfile- ist der Name der zu veröffentlichenden CRL-Datei.
  • DSCDPContainer- ist der CN des DS CDP-Containers, in der Regel der Name des Ca-Computers.
  • DSCDPCN ist das DS CDP-Objekt CN basierend auf dem sanitisierten CA-Kurznamen und Schlüsselindex.

Optionen:

[-f] [-user] [-dc DCName]
  • Verwenden Sie -f, um ein neues DS-Objekt zu erstellen.

-dsCert

Zeigt DS-Zertifikate an.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zeigt DS-CRLs an.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zeigt DS-Delta-CRLs an.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zeigt DS-Vorlagenattribute an.

certutil [options] -dsTemplate [Template]

Optionen:

[Silent] [-dc DCName]

-dsAddTemplate

Fügt DS-Vorlagen hinzu.

certutil [options] -dsAddTemplate TemplateInfFile

Optionen:

[-dc DCName]

-ADTemplate

Zeigt Active Directory-Vorlagen an.

certutil [options] -ADTemplate [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Schablone

Zeigt die Vorlagen für die Zertifikatregistrierungsrichtlinie an.

Optionen:

certutil [options] -Template [Template]

Optionen:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zeigt die Zertifizierungsstellen (CAs) für eine Zertifikatvorlage an.

certutil [options] -TemplateCAs Template

Optionen:

[-f] [-user] [-dc DCName]

-CATemplates

Zeigt Vorlagen für die Zertifizierungsstelle an.

certutil [options] -CATemplates [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Legt die Zertifikatvorlagen fest, die von der Zertifizierungsstelle auszugeben sind.

certutil [options] -SetCATemplates [+ | -] TemplateList

Wo:

  • Das + Zeichen fügt der verfügbaren Vorlagenliste der Zertifizierungsstelle Zertifikatvorlagen hinzu.
  • Das - Zeichen entfernt Zertifikatvorlagen aus der liste der verfügbaren Vorlagen der Zertifizierungsstelle.

-SetCASites

Verwaltet Websitenamen, einschließlich Einstellung, Überprüfung und Löschen von Websitenamen der Zertifizierungsstelle.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Wo:

  • SiteName- ist nur zulässig, wenn eine einzelne Zertifizierungsstelle verwendet wird.

Optionen:

[-f] [-config Machine\CAName] [-dc DCName]

Bemerkungen

  • Die option -config zielt auf eine einzelne Zertifizierungsstelle ab (Standard ist alle Zertifizierungsstellen).
  • Die option -f kann zum Überschreiben von Überprüfungsfehlern für die angegebene SiteName- oder zum Löschen aller Websitenamen der Zertifizierungsstelle verwendet werden.

Anmerkung

Weitere Informationen zum Konfigurieren von CAs für Ad Directory Domain Services (AD DS)-Standortbewusstsein finden Sie unter AD DS Site Awareness für AD CS- und PKI-Clients.

-enrollmentServerURL

Zeigt Registrierungsserver-URLs an, die einer Zertifizierungsstelle zugeordnet sind, werden hinzugefügt oder gelöscht.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Wo:

  • AuthenticationType- gibt beim Hinzufügen einer URL eine der folgenden Clientauthentifizierungsmethoden an:
    • Kerberos- – Kerberos-SSL-Anmeldeinformationen verwenden.
    • UserName- – Verwenden Sie ein benanntes Konto für SSL-Anmeldeinformationen.
    • ClientCertificate- – Verwenden Sie X.509-Zertifikat-SSL-Anmeldeinformationen.
    • Anonyme – Anonyme SSL-Anmeldeinformationen verwenden.
  • löschen die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.
  • Priorität wird standardmäßig auf 1 festgelegt, wenn sie beim Hinzufügen einer URL nicht angegeben ist.
  • Modifizierer ist eine durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthält:
    • AllowRenewalsOnly nur Verlängerungsanforderungen über diese URL an diese Zertifizierungsstelle übermittelt werden können.
    • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats, das über kein zugeordnetes Konto in der AD verfügt. Dies gilt nur für ClientCertificate und AllowRenewalsOnly Modus.

Optionen:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zeigt die Active Directory-Zertifizierungsstellen an.

certutil [options] -ADCA [CAName]

Optionen:

[-f] [-split] [-dc DCName]

-CA

Zeigt die Registrierungsrichtlinienzertifizierungsstellen an.

certutil [options] -CA [CAName | TemplateName]

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Politik

Zeigt die Registrierungsrichtlinie an.

certutil [options] -Policy

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zeigt Registrierungsrichtliniencacheeinträge an oder löscht sie.

certutil [options] -PolicyCache [delete]

Wo:

  • löschen, die Richtlinienservercacheeinträge löscht.
  • -f löscht alle Cacheeinträge.

Optionen:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zeigt Anmeldeinformationsspeichereinträge an, fügt sie hinzu oder löscht sie.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Wo:

  • URL ist die Ziel-URL. Sie können auch * verwenden, um alle Einträge abzugleichen oder https://machine*, um einem URL-Präfix zu entsprechen.
  • hinzufügen, einen Anmeldeinformationsspeichereintrag hinzufügt. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.
  • Löscht Anmeldeinformationsspeichereinträge.
  • -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.

Optionen:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installiert die Standardzertifikatvorlagen.

certutil [options] -InstallDefaultTemplates

Optionen:

[-dc DCName]

-URL

Überprüft Zertifikat- oder CRL-URLs.

certutil [options] -URL InFile | URL

Optionen:

[-f] [-split]

-URLCache

Zeigt URL-Cacheeinträge an oder löscht sie.

certutil [options] -URLcache [URL | CRL | * [delete]]

Wo:

  • URL ist die zwischengespeicherte URL.
  • CRL- nur für alle zwischengespeicherten CRL-URLs ausgeführt.
  • * wird für alle zwischengespeicherten URLs ausgeführt.
  • löschen, relevante URLs aus dem lokalen Cache des aktuellen Benutzers löscht.
  • -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.

Optionen:

[-f] [-split]

-Puls

Pulses an autoenrollment event or NGC task.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Wo:

  • TaskName- ist die aufgabe, die ausgelöst werden soll.
    • Pregen ist die Pregen-Aufgabe "NGC Key pregen".
    • AIKEnroll- ist die NGC AIK-Zertifikatregistrierungsaufgabe. (Standardmäßig wird das Ereignis für die automatische Registrierung verwendet).
  • SRKThumbprint ist der Fingerabdruck des Speicherstammschlüssels
  • Modifizierer:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

Optionen:

[-user]

-MachineInfo

Zeigt Informationen zum Active Directory-Computerobjekt an.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zeigt Informationen zum Domänencontroller an. Standardmäßig werden DC-Zertifikate ohne Überprüfung angezeigt.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

  • Modifizierer:

    • Überprüfen
    • DeleteBad
    • DeleteAll

Optionen:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Trinkgeld

Die Möglichkeit zum Angeben einer Active Directory Domain Services (AD DS)-Domäne [Domäne] und zum Angeben eines Domänencontrollers (-dc) wurde in Windows Server 2012 hinzugefügt. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied von Domänenadministratoren oder Unternehmensadministratorenist. Die Verhaltensänderungen dieses Befehls sind wie folgt:

  • Wenn keine Domäne angegeben ist und kein bestimmter Domänencontroller angegeben wird, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller verarbeitet werden sollen.
  • Wenn keine Domäne angegeben ist, aber ein Domänencontroller angegeben wird, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
  • Wenn eine Domäne angegeben ist, aber kein Domänencontroller angegeben ist, wird eine Liste der Domänencontroller zusammen mit Berichten zu den Zertifikaten für jeden Domänencontroller in der Liste generiert.
  • Wenn die Domäne und der Domänencontroller angegeben sind, wird eine Liste der Domänencontroller vom zielbezogenen Domänencontroller generiert. Außerdem wird ein Bericht der Zertifikate für jeden Domänencontroller in der Liste generiert.

Angenommen, es gibt eine Domäne namens "CPANDL" mit einem Domänencontroller namens "CPANDL-DC1". Sie können den folgenden Befehl ausführen, um eine Liste der Domänencontroller und deren Zertifikate aus CPANDL-DC1 abzurufen: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Zeigt Informationen zu einer Unternehmenszertifizierungsstelle an.

certutil [options] -EntInfo DomainName\MachineName$

Optionen:

[-f] [-user]

-TCAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -TCAInfo [DomainDN | -]

Optionen:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zeigt Informationen zur Smartcard an.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Wo:

  • CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.

Optionen:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Verwaltet Smartcardstammzertifikate.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Optionen:

[-f] [-split] [-p Password]

-Schlüssel

Listet die Schlüssel auf, die in einem Schlüsselcontainer gespeichert sind.

certutil [options] -key [KeyContainerName | -]

Wo:

  • KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Verwenden Sie -user, um zu Benutzertasten zu wechseln.
  • Die Verwendung des --Zeichens bezieht sich auf die Verwendung des Standardschlüsselcontainers.

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Löscht den benannten Schlüsselcontainer.

certutil [options] -delkey KeyContainerName

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Löscht den Windows Hello-Container, wobei alle zugeordneten Anmeldeinformationen entfernt werden, die auf dem Gerät gespeichert sind, einschließlich aller WebAuthn- und FIDO-Anmeldeinformationen.

Benutzer müssen sich abmelden, nachdem Sie diese Option verwendet haben, damit sie abgeschlossen werden kann.

certutil [options] -DeleteHelloContainer

-verifykeys

Überprüft einen öffentlichen oder privaten Schlüsselsatz.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Wo:

  • KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Verwenden Sie -user, um zu Benutzertasten zu wechseln.
  • CACertFile signiert oder verschlüsselt Zertifikatdateien.

Optionen:

[-f] [-user] [-Silent] [-config Machine\CAName]

Bemerkungen

  • Wenn keine Argumente angegeben werden, wird jedes Signaturzertifizierungsstellenzertifikat anhand seines privaten Schlüssels überprüft.
  • Dieser Vorgang kann nur für eine lokale Zertifizierungsstelle oder lokale Schlüssel ausgeführt werden.

-überprüfen

Überprüft ein Zertifikat, eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder eine Zertifikatkette.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Wo:

  • CertFile- ist der Name des zu überprüfenden Zertifikats.
  • ApplicationPolicyList- ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Application Policy ObjectIds.
  • IssuancePolicyList- ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Ausstellungsrichtlinienobjekt-IDs.
  • CACertFile- ist das optionale ausstellende Zertifizierungsstellenzertifikat, das überprüft werden soll.
  • CrossedCACertFile ist das optionale Zertifikat, das von CertFilezertifiziert ist.
  • CRLFile- ist die CRL-Datei, die verwendet wird, um die CACertFile-zu überprüfen.
  • IssuedCertFile- ist das optionale ausgestellte Zertifikat, das von der CRLfile-Datei abgedeckt wird.
  • DeltaCRLFile- ist die optionale Delta-CRL-Datei.
  • Modifizierer:
    • Stark – Überprüfung der starken Signatur
    • MSRoot – Muss mit einem Microsoft-Stamm verkettet werden
    • MSTestRoot – Muss mit einem Microsoft-Teststamm verkettet werden
    • AppRoot – Muss mit einem Microsoft-Anwendungsstamm verkettet werden
    • EV – Erweiterte Gültigkeitsprüfungsrichtlinie erzwingen

Optionen:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Bemerkungen

  • Die Verwendung ApplicationPolicyList schränkt das Erstellen von Ketten auf nur Ketten ein, die für die angegebenen Anwendungsrichtlinien gültig sind.
  • Die Verwendung von IssuancePolicyList schränkt das Erstellen von Ketten auf nur Ketten ein, die für die angegebenen Ausstellungsrichtlinien gültig sind.
  • Die Verwendung von CACertFile überprüft die Felder in der Datei anhand CertFile- oder CRLfile-.
  • Wenn CACertFile- nicht angegeben ist, wird die vollständige Kette erstellt und anhand CertFile-überprüft.
  • Wenn CACertFile und CrossedCACertFile- beide angegeben sind, werden die Felder in beiden Dateien anhand CertFile-überprüft.
  • Die Verwendung von IssuedCertFile überprüft die Felder in der Datei anhand CRLfile-.
  • Die Verwendung von DeltaCRLFile überprüft die Felder in der Datei anhand CertFile-.

-verifyCTL

Überprüft die CTL-Zertifikate "AuthRoot" oder "Unzulässige Zertifikate".

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Wo:

  • CTLObject- identifiziert die zu überprüfende CTL, einschließlich:

    • AuthRootWU- liest AuthRoot CAB und übereinstimmende Zertifikate aus dem URL-Cache. Verwenden Sie stattdessen -f, um aus Windows Update herunterzuladen.
    • Nicht zulässigeWU- liest die CAB-Datei für unzulässige Zertifikate und die Datei des unzulässigen Zertifikatspeichers aus dem URL-Cache vor. Verwenden Sie stattdessen -f, um aus Windows Update herunterzuladen.
      • PinRulesWU- die PINRules CAB aus dem URL-Cache liest. Verwenden Sie stattdessen -f, um aus Windows Update herunterzuladen.
    • AuthRoot- liest die registrierungscached AuthRoot CTL. Wird mit -f und einer nicht vertrauenswürdigen CertFile- verwendet, um zu erzwingen, dass die Registrierung AuthRoot- und nicht zugelassenen Zertifikat-CTLs aktualisiert wird.
    • Unzulässige liest die registrierungscached nicht zulässige Zertifikat-CTL vor. Wird mit -f und einer nicht vertrauenswürdigen CertFile- verwendet, um zu erzwingen, dass die Registrierung AuthRoot- und nicht zugelassenen Zertifikat-CTLs aktualisiert wird.
      • PinRules liest die zwischengespeicherte PinRules-CTL aus der Registrierung vor. Die Verwendung von -f hat das gleiche Verhalten wie bei PinRulesWU-.
    • CTLFileName- gibt die Datei oder den HTTP-Pfad zur CTL- oder CAB-Datei an.

  • CertDir- gibt den Ordner an, der Zertifikate enthält, die den CTL-Einträgen entsprechen. Standardmäßig wird derselbe Ordner oder dieselbe Website wie das CTLobject-. Für die Verwendung eines HTTP-Ordnerpfads ist am Ende ein Pfadtrennzeichen erforderlich. Wenn Sie AuthRoot- oder Unzulässigenicht angeben, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten gesucht, einschließlich lokaler Zertifikatspeicher, crypt32.dll Ressourcen und dem lokalen URL-Cache. Verwenden Sie -f, um nach Bedarf von Windows Update herunterzuladen.

  • CertFile- gibt die zu überprüfenden Zertifikate an. Zertifikate werden mit CTL-Einträgen abgeglichen, wobei die Ergebnisse angezeigt werden. Mit dieser Option wird der Großteil der Standardausgabe unterdrückt.

Optionen:

[-f] [-user] [-split]

-syncWithWU

Synchronisiert Zertifikate mit Windows Update.

certutil [options] -syncWithWU DestinationDir

Wo:

  • DestinationDir- ist das angegebene Verzeichnis.
  • f erzwingt eine Überschreibung.
  • Unicode- schreibt umgeleitete Ausgabe in Unicode.
  • gmt zeigt Uhrzeiten als GMT an.
  • Sekunden werden Uhrzeiten mit Sekunden und Millisekunden angezeigt.
  • v ist eine ausführliche Operation.
  • PIN- ist die Smartcard-PIN.
  • WELL_KNOWN_SID_TYPE ist eine numerische SID:
    • 22 – Lokales System
    • 23 - Lokaler Dienst
    • 24 – Netzwerkdienst

Bemerkungen

Die folgenden Dateien werden mithilfe des Mechanismus für automatische Updates heruntergeladen:

  • authrootstl.cab enthält die CTLs von Nicht-Microsoft-Stammzertifikaten.
  • disallowedcertstl.cab enthält die CTLs von nicht vertrauenswürdigen Zertifikaten.
  • nicht zulässigecert.sst- enthält den serialisierten Zertifikatspeicher, einschließlich der nicht vertrauenswürdigen Zertifikate.
  • thumbprint.crt enthält die Nicht-Microsoft-Stammzertifikate.

Beispiel: certutil -syncWithWU \\server1\PKI\CTLs.

  • Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner verwenden, wird der Fehler angezeigt: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Wenn Sie einen nicht vorhandenen oder nicht verfügbaren Netzwerkspeicherort als Zielordner verwenden, wird der Fehler angezeigt: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Wenn Ihr Server keine Verbindung über TCP-Port 80 mit Microsoft Automatic Update-Servern herstellen kann, wird die folgende Fehlermeldung angezeigt: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Wenn Ihr Server die Microsoft Automatic Update-Server nicht mit dem DNS-Namen ctldl.windowsupdate.comerreichen kann, wird die folgende Fehlermeldung angezeigt: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Wenn Sie die option -f nicht verwenden und eine der CTL-Dateien im Verzeichnis bereits vorhanden ist, wird eine Datei angezeigt: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • Wenn sich die vertrauenswürdigen Stammzertifikate ändern, wird Folgendes angezeigt: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Optionen:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generiert eine Speicherdatei, die mit Windows Update synchronisiert wird.

certutil [options] -generateSSTFromWU SSTFile

Wo:

  • SSTFile- ist die .sst Datei, die generiert werden soll, die die von Windows Update heruntergeladenen Wurzeln von Drittanbietern enthält.

Optionen:

[-f] [-split]

-generatePinRulesCTL

Generiert eine Zertifikatvertrauenslistendatei (Certificate Trust List, CTL), die eine Liste der Anheftungsregeln enthält.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Wo:

  • XMLFile- ist die zu analysierende XML-Eingabedatei.
  • CTLFile- ist die zu generierende CTL-Ausgabedatei.
  • SSTFile- ist die optionale .sst Zu erstellende Datei, die alle zertifikate enthält, die zum Anheften verwendet werden.
  • QueryFilesPrefix- sind optionale Domains.csv und Keys.csv Dateien, die für datenbankabfragen erstellt werden sollen.
    • Die QueryFilesPrefix- Zeichenfolge wird jeder erstellten Datei vorangestellt.
    • Die datei Domains.csv enthält Regelname, Domänenzeilen.
    • Die datei Keys.csv enthält regelname, key SHA256 fingerabdruck rows.

Optionen:

[-f]

-downloadOcsp

Lädt die OCSP-Antworten herunter und schreibt in das Verzeichnis.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Wo:

  • CertificateDir- ist das Verzeichnis einer Zertifikat-, Speicher- und PFX-Datei.
  • OcspDir- ist das Verzeichnis zum Schreiben von OCSP-Antworten.
  • ThreadCount- ist die optionale maximale Anzahl von Threads für gleichzeitiges Herunterladen. Der Standardwert ist 10.
  • Modifizierer sind kommagetrennte Liste einer oder mehrerer der folgenden Optionen:
    • DownloadOnce- – Wird einmal heruntergeladen und beendet.
    • ReadOcsp- – Liest von OcspDir statt zu schreiben.

-generateHpkpHeader

Generiert den HPKP-Header mithilfe von Zertifikaten in einer angegebenen Datei oder einem angegebenen Verzeichnis.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Wo:

  • CertFileOrDir ist die Datei oder das Verzeichnis von Zertifikaten, die die Quelle von Pin-sha256 ist.
  • MaxAge ist der Höchstalterswert in Sekunden.
  • ReportUri- ist der optionale Berichts-URI.
  • Modifizierer sind kommagetrennte Liste einer oder mehrerer der folgenden Optionen:
    • includeSubDomains - Fügt die includeSubDomains an.

-flushCache

Löscht die angegebenen Caches im ausgewählten Prozess, z. B. lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Wo:

  • ProcessId- ist die numerische ID eines zu leerenden Prozesses. Legen Sie auf 0 fest, um alle Prozesse zu leeren, bei denen "Flush" aktiviert ist.

  • CacheMask- ist die Bitmaske von Caches, die entweder numerisch oder die folgenden Bits geleert werden sollen:

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

  • Modifizierer sind kommagetrennte Liste einer oder mehrerer der folgenden Optionen:

    • Anzeigen – Zeigt die zwischengespeicherten Caches an, die geleert werden. Certutil muss explizit beendet werden.

-addEccCurve

Fügt eine ECC-Kurve hinzu.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Wo:

  • CurveClass ist der ECC Curve Class-Typ:

    • WEIERRASS (Standard)
    • MONTGOMERY
    • TWISTED_EDWARDS

  • CurveName ist der NAME der ECC-Kurve.

  • CurveParameters sind eine der folgenden:

    • Ein Zertifikatdateiname, der ASN-codierte Parameter enthält.
    • Eine Datei mit ASN-codierten Parametern.

  • CurveOID ist die ECC Curve OID und ist eine der folgenden:

    • Ein Zertifikatdateiname, der ein ASN-codiertes OID enthält.
    • Eine explizite ECC-Kurven-OID.

  • CurveType- ist der Schannel ECC NamedCurve-Punkt (numerisch).

Optionen:

[-f]

-deleteEccCurve

Löscht die ECC-Kurve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Wo:

  • CurveName ist der NAME der ECC-Kurve.
  • CurveOID ist die ECC Curve OID.

Optionen:

[-f]

-displayEccCurve

Zeigt die ECC-Kurve an.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Wo:

  • CurveName ist der NAME der ECC-Kurve.
  • CurveOID ist die ECC Curve OID.

Optionen:

[-f]

-csplist

Listet die auf diesem Computer installierten Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) für kryptografische Vorgänge auf.

certutil [options] -csplist [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-csptest

Testet die auf diesem Computer installierten CSPs.

certutil [options] -csptest [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zeigt die CNG-Kryptografiekonfiguration auf diesem Computer an.

certutil [options] -CNGConfig

Optionen:

[-Silent]

-Zeichen

Signiert eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder ein Zertifikat erneut.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Wo:

  • InFileList- ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Dateien zum Ändern und erneuten Signieren.

  • SerialNumber- ist die Seriennummer des zu erstellenden Zertifikats. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

  • CRL- erstellt eine leere CRL. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

  • OutFileList- ist die durch Trennzeichen getrennte Liste der geänderten Zertifikat- oder CRL-Ausgabedateien. Die Anzahl der Dateien muss mit der Infilelist übereinstimmen.

  • StartDate+dd:hh ist der neue Gültigkeitszeitraum für die Zertifikat- oder CRL-Dateien, einschließlich:

    • optionales Datum plus
    • optionaler Gültigkeitszeitraum für Tage und Stunden Wenn mehrere Felder verwendet werden, verwenden Sie ein (+) oder (-) Trennzeichen. Verwenden Sie now[+dd:hh], um zur aktuellen Zeit zu beginnen. Verwenden Sie now-dd:hh+dd:hh, um mit einem festen Offset von der aktuellen Uhrzeit und einem festen Gültigkeitszeitraum zu beginnen. Verwenden Sie never, um kein Ablaufdatum zu haben (nur für CRLs).

  • SerialNumberList- ist die durch Trennzeichen getrennte Seriennummernliste der hinzuzufügenden oder zu entfernenden Dateien.

  • ObjectIdList- ist die durch Trennzeichen getrennte Erweiterung ObjectId-Liste der zu entfernenden Dateien.

  • @ExtensionFile ist die INF-Datei, die die zu aktualisierenden oder zu entfernenden Erweiterungen enthält. Zum Beispiel:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • HashAlgorithm- ist der Name des Hashalgorithmus. Dies darf nur der Text sein, dem das # Zeichen vorangestellt ist.

  • AlternateSignatureAlgorithm ist der alternative Signaturalgorithmusbezeichner.

Optionen:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Bemerkungen

  • Durch Die Verwendung des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.
  • Durch Verwenden des Pluszeichens (+) werden seriennummern zu einer CRL hinzugefügt.
  • Sie können eine Liste verwenden, um seriennummern und ObjectIds gleichzeitig aus einer CRL zu entfernen.
  • Mit dem Minuszeichen vor AlternateSignatureAlgorithm können Sie das Legacysignaturformat verwenden.
  • Mit dem Pluszeichen können Sie das alternative Signaturformat verwenden.
  • Wenn Sie AlternateSignatureAlgorithmnicht angeben, wird das Signaturformat im Zertifikat oder der CRL verwendet.

-vroot

Erstellt oder löscht virtuelle Webstamm- und Dateifreigaben.

certutil [options] -vroot [delete]

-vocsproot

Erstellt oder löscht virtuelle Webwurzeln für einen OCSP-Webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Fügt bei Bedarf für die angegebene Zertifizierungsstelle eine Registrierungsserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Wo:

  • addEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:

    • Kerberos- verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
    • clientCertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

  • Modifizierer:

    • AllowRenewalsOnly nur Verlängerungsanforderungsübermittlungen an die Zertifizierungsstelle über die URL zulässt.
    • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats ohne zugeordnetes Konto in Active Directory. Dies gilt bei Verwendung mit ClientCertificate und AllowRenewalsOnly Modus.

Optionen:

[-config Machine\CAName]

-deleteEnrollmentServer

Löscht bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Wo:

  • deleteEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:
    • Kerberos- verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
    • clientCertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

Optionen:

[-config Machine\CAName]

-addPolicyServer

Fügen Sie bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Wo:

  • addPolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
    • Kerberos- verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
    • clientCertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.
  • KeyBasedRenewal- ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden, der Keybasedrenewal-Vorlagen enthält. Diese Option gilt nur für UserName und ClientCertificate Authentifizierung.

-deletePolicyServer

Löscht bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Wo:

  • deletePolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
    • Kerberos- verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
    • clientCertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.
  • KeyBasedRenewal ermöglicht die Verwendung eines KeyBasedRenewal-Richtlinienservers.

-Klasse

Zeigt COM-Registrierungsinformationen an.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Optionen:

[-f]

-7f

Überprüft das Zertifikat auf 0x7f Längencodierungen.

certutil [options] -7f CertFile

-oid

Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Wo:

  • ObjectId ist die ID, die angezeigt oder dem Anzeigenamen hinzugefügt werden soll.
  • GroupId- ist die GroupID-Nummer (Dezimalzahl), die ObjectIds aufzählt.
  • AlgId- ist die hexadezimale ID, nach der objectID nachschlagen soll.
  • AlgorithmName ist der Algorithmusname, den objectID nachschlagen soll.
  • DisplayName- zeigt den Namen an, der in DS gespeichert werden soll.
  • Löschen löscht den Anzeigenamen.
  • LanguageId- ist der Sprach-ID-Wert (Standardwert: 1033).
  • Typ- ist der Typ des zu erstellenden DS-Objekts, einschließlich:
    • 1 - Vorlage (Standard)
    • 2 – Ausstellungsrichtlinie
    • 3 – Anwendungsrichtlinie
  • -f erstellt ein DS-Objekt.

Optionen:

[-f]

-Fehler

Zeigt den Meldungstext an, der einem Fehlercode zugeordnet ist.

certutil [options] -error ErrorCode

-getsmtpinfo

Ruft Smtp-Informationen (Simple Mail Transfer Protocol) ab.

certutil [options] -getsmtpinfo

-setsmtpinfo

Legt SMTP-Informationen fest.

certutil [options] -setsmtpinfo LogonName

Optionen:

[-config Machine\CAName] [-p Password]

-getreg

Zeigt einen Registrierungswert an.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Wo:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • Wiederherstellen verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
  • Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • beenden den Registrierungsschlüssel des ersten Exitmoduls verwendet.
  • Vorlage verwendet den Registrierungsschlüssel der Vorlage (-user für Benutzervorlagen verwenden).
  • registrieren, den Registrierungsregistrierungsschlüssel verwendet (-user für den Benutzerkontext verwenden).
  • Chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
  • ProgId verwendet die ProgID des Richtlinien- oder Beendigungsmoduls (Registrierungsunterschlüsselname).
  • RegistryValueName- verwendet den Registrierungswertnamen (Name* zum Präfixen verwenden).
  • Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts \n hinzu.
  • Wenn der Wert mit \@beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
  • Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] analysiert, bei dem es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
  • Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Verwenden Sie now+dd:hh für ein Datum relativ zur aktuellen Uhrzeit.
  • Verwenden Sie i64 als Suffix, um einen REG_QWORD Wert zu erstellen.
  • Verwenden Sie chain\chaincacheresyncfiletime @now, um zwischengespeicherte CRLs effektiv zu leeren.
  • Registrierungsaliasen:
    • Konfiguration
    • CA
    • Richtlinie – PolicyModules
    • Exit - ExitModules
    • Restore - RestoreInProgress
    • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
    • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport – Software\Policies\Microsoft\PassportForWork
    • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Legt einen Registrierungswert fest.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Wo:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • Wiederherstellen verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
  • Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • beenden den Registrierungsschlüssel des ersten Exitmoduls verwendet.
  • Vorlage verwendet den Registrierungsschlüssel der Vorlage (-user für Benutzervorlagen verwenden).
  • registrieren, den Registrierungsregistrierungsschlüssel verwendet (-user für den Benutzerkontext verwenden).
  • Chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
  • ProgId verwendet die ProgID des Richtlinien- oder Beendigungsmoduls (Registrierungsunterschlüsselname).
  • RegistryValueName- verwendet den Registrierungswertnamen (Name* zum Präfixen verwenden).
  • Wert den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen verwendet. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts \n hinzu.
  • Wenn der Wert mit \@beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
  • Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] analysiert, bei dem es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
  • Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Verwenden Sie now+dd:hh für ein Datum relativ zur aktuellen Uhrzeit.
  • Verwenden Sie i64 als Suffix, um einen REG_QWORD Wert zu erstellen.
  • Verwenden Sie chain\chaincacheresyncfiletime @now, um zwischengespeicherte CRLs effektiv zu leeren.

-delreg

Löscht einen Registrierungswert.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Wo:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • Wiederherstellen verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
  • Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • beenden den Registrierungsschlüssel des ersten Exitmoduls verwendet.
  • Vorlage verwendet den Registrierungsschlüssel der Vorlage (-user für Benutzervorlagen verwenden).
  • registrieren, den Registrierungsregistrierungsschlüssel verwendet (-user für den Benutzerkontext verwenden).
  • Chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
  • ProgId verwendet die ProgID des Richtlinien- oder Beendigungsmoduls (Registrierungsunterschlüsselname).
  • RegistryValueName- verwendet den Registrierungswertnamen (Name* zum Präfixen verwenden).
  • Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts \n hinzu.
  • Wenn der Wert mit \@beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
  • Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] analysiert, bei dem es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
  • Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Verwenden Sie now+dd:hh für ein Datum relativ zur aktuellen Uhrzeit.
  • Verwenden Sie i64 als Suffix, um einen REG_QWORD Wert zu erstellen.
  • Verwenden Sie chain\chaincacheresyncfiletime @now, um zwischengespeicherte CRLs effektiv zu leeren.
  • Registrierungsaliasen:
    • Konfiguration
    • CA
    • Richtlinie – PolicyModules
    • Exit - ExitModules
    • Restore - RestoreInProgress
    • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
    • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport – Software\Policies\Microsoft\PassportForWork
    • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importiert Benutzerschlüssel und Zertifikate für die Schlüsselarchivierung in die Serverdatenbank.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Wo:

  • UserKeyAndCertFile ist eine Datendatei mit privaten Benutzerschlüsseln und Zertifikaten, die archiviert werden sollen. Diese Datei kann wie folgt sein:
    • Eine KMS-Exportdatei (Exchange Key Management Server).
    • Eine PFX-Datei.
  • CertId ist ein KMS-Exportdatei-Entschlüsselungszertifikat-Übereinstimmungstoken. Weitere Informationen finden Sie im parameter -store in diesem Artikel.
  • -f importiert nicht von der Zertifizierungsstelle ausgestellte Zertifikate.

Optionen:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importiert eine Zertifikatdatei in die Datenbank.

certutil [options] -ImportCert Certfile [ExistingRow]

Wo:

  • ExistingRow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.
  • -f importiert nicht von der Zertifizierungsstelle ausgestellte Zertifikate.

Optionen:

[-f] [-config Machine\CAName]

Bemerkungen

Die Zertifizierungsstelle muss möglicherweise auch für die Unterstützung ausländischer Zertifikate konfiguriert werden, indem sie certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNausführen.

-GetKey

Ruft ein archiviertes Private Key-Wiederherstellungs-BLOB ab, generiert ein Wiederherstellungsskript oder stellt archivierte Schlüssel wieder her.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Wo:

  • Skript generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungskandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).
  • abrufen, ein oder mehrere Key Recovery Blobs abruft (Standardverhalten, wenn genau ein übereinstimmender Wiederherstellungskandidat gefunden wird und wenn die Ausgabedatei angegeben ist). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die .rec Erweiterung für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
  • private Schlüssel in einem Schritt abrufen und wiederherstellen (erfordert Schlüsselwiederherstellungs-Agent-Zertifikate und private Schlüssel). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die .p12 Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und die zugehörigen privaten Schlüssel, die als PFX-Datei gespeichert sind.
  • SearchToken wählt die wiederhergestellten Schlüssel und Zertifikate aus, einschließlich:
    • Allgemeiner Zertifikatname
    • Seriennummer des Zertifikats
    • Sha-1-Hash des Zertifikats (Fingerabdruck)
    • Sha-1-Hash der Zertifikatschlüssel-ID (Antragstellerschlüsselbezeichner)
    • Antragstellername (Domäne\Benutzer)
    • UPN (user@domain)
  • RecoveryBlobOutFile eine Datei mit einer Zertifikatkette und einem zugeordneten privaten Schlüssel ausgibt, die weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
  • OutputScriptFile- gibt eine Datei mit einem Batchskript aus, um private Schlüssel abzurufen und wiederherzustellen.
  • OutputFileBaseName einen Dateibasisnamen ausgibt.

Optionen:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Bemerkungen

  • Für abrufenwird jede Erweiterung abgeschnitten, und eine zertifikatspezifische Zeichenfolge und die .rec Erweiterungen werden für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
  • Bei Wiederherstellenwird jede Erweiterung abgeschnitten, und die .p12 Erweiterung wird angefügt. Enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.

-RecoverKey

Stellt einen archivierten privaten Schlüssel wieder her.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Führt PFX-Dateien zusammen.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Wo:

  • PFXInFileList- ist eine durch Trennzeichen getrennte Liste von PFX-Eingabedateien.
  • PFXOutFile- ist der Name der PFX-Ausgabedatei.
  • Modifizierer sind kommagetrennte Listen einer oder mehrerer der folgenden Optionen:
    • ExtendedProperties- enthält alle erweiterten Eigenschaften.
    • NoEncryptCert gibt an, dass die Zertifikate nicht verschlüsselt werden sollen.
    • EncryptCert gibt an, dass die Zertifikate verschlüsselt werden sollen.

Optionen:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Bemerkungen

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.
  • Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort *ist, wird der Benutzer zur Eingabe des Kennworts der Ausgabedatei aufgefordert.

-add-chain

Fügt eine Zertifikatkette hinzu.

certutil [options] -add-chain LogId certificate OutFile

Optionen:

[-f]

-add-pre-chain

Fügt eine Vorzertifikatkette hinzu.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Optionen:

[-f]

-get-sth

Ruft einen signierten Baumkopf ab.

certutil [options] -get-sth [LogId]

Optionen:

[-f]

-get-sth-consistency

Ruft signierte Strukturkopfänderungen ab.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Optionen:

[-f]

-get-proof-by-hash

Ruft den Nachweis eines Hashs von einem Zeitstempelserver ab.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Optionen:

[-f]

-get-entries

Ruft Einträge aus einem Ereignisprotokoll ab.

certutil [options] -get-entries LogId FirstIndex LastIndex

Optionen:

[-f]

-get-roots

Ruft die Stammzertifikate aus dem Zertifikatspeicher ab.

certutil [options] -get-roots LogId

Optionen:

[-f]

-get-entry-and-proof

Ruft einen Ereignisprotokolleintrag und seinen kryptografischen Nachweis ab.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Optionen:

[-f]

-VerifyCT

Überprüft ein Zertifikat anhand des Zertifikattransparenzprotokolls.

certutil [options] -VerifyCT Certificate SCT [precert]

Optionen:

[-f]

-?

Zeigt die Liste der Parameter an.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Wo:

  • -? zeigt die Liste der Parameter an.
  • -<name_of_parameter> -? zeigt Hilfeinhalte für den angegebenen Parameter an.
  • -? -v zeigt eine ausführliche Liste von Parametern und Optionen an.

Optionen

In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen dazu, welche Optionen für die Verwendung gültig sind.

Option Beschreibung
-Administrator Verwenden Sie ICertAdmin2 für Ca-Eigenschaften.
-anonym Anonyme SSL-Anmeldeinformationen verwenden.
-cert CertId Signaturzertifikat.
-clientcertificate clientCertId Verwenden Sie SSL-Anmeldeinformationen für X.509-Zertifikate. Verwenden Sie für die Auswahl-UI -clientcertificate.
-config Machine\CAName Zeichenfolge für Zertifizierungsstelle und Computername.
-csp-Anbieter Anbieter:
KSP- – Microsoft Software Key Storage Provider
TPM- – Microsoft Platform Crypto Provider
NGC – Microsoft Passport Key Storage Provider
SC – Microsoft SmartCard Key Storage Provider
-dc DCName Ziel eines bestimmten Domänencontrollers.
-Unternehmen Verwenden Sie den Registrierungsspeicher des lokalen Computers für unternehmensweite Registrierungszertifikate.
-f Überschreiben erzwingen.
-generateSSTFromWU SSTFile Generieren Sie SST mithilfe des Mechanismus für automatische Updates.
-Gmt Anzeigezeiten mithilfe von GMT.
-GroupPolicy Verwenden Sie den Gruppenrichtlinienzertifikatspeicher.
-idispatch Verwenden Sie IDispatch anstelle von systemeigenen COM-Methoden.
-kerberos Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
-location alternatestoragelocation (-loc) AlternateStorageLocation.
-Mt Anzeigen von Computervorlagen.
-nocr Codieren Sie Text ohne CR-Zeichen.
-nocrlf Codieren sie Text ohne CR-LF Zeichen.
-nullsign Verwenden Sie den Hash der Daten als Signatur.
-oldpfx Verwenden Sie die alte PFX-Verschlüsselung.
-out columnlist Durch Trennzeichen getrennte Spaltenliste.
-p-Kennwort Passwort
-PIN anheften Smartcard-PIN.
-policyserver URLorID Richtlinienserver-URL oder -ID. Verwenden Sie für die Auswahl U/I -policyserver. Verwenden Sie für alle Richtlinienserver -policyserver *
-privatekey Anzeigen von Kennwort- und privaten Schlüsseldaten.
-schützen Schützen Von Schlüsseln mit Kennwort.
-protectto SAMnameandSIDlist Durch Trennzeichen getrennte SAM-Name/SID-Liste.
-restrict restrictionlist Durch Trennzeichen getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer konstanten ganzen Zahl, Zeichenfolge oder einem Datum. Einem Spaltennamen kann ein Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Beispiel: requestID = 47, +requestername >= a, requesternameoder -requestername > DOMAIN, Disposition = 21.
-Rückwärts Umgekehrte Protokoll- und Warteschlangenspalten.
-Nachschlag Anzeigezeiten mit Sekunden und Millisekunden.
-Dienst Verwenden Sie den Dienstzertifikatspeicher.
-sid Numerische SID:
22 - Lokales System
23 - Lokaler Dienst
24 - Netzwerkdienst
-Leise Verwenden Sie das silent-Flag, um den Kryptakontext zu erhalten.
-trennen Teilen Sie eingebettete ASN.1-Elemente, und speichern Sie sie in Dateien.
-sslpolicy servername SSL Policy matching ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength] Name des Symmetrischen Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES.
-syncWithWU DestinationDir Synchronisieren mit Windows Update.
-t Timeout URL fetch timeout in Millisekunden.
-Unicode Umgeleitete Ausgabe in Unicode schreiben.
-UnicodeText Schreiben sie die Ausgabedatei in Unicode.
-urlfetch Abrufen und Überprüfen von AIA-Zertifikaten und CDP-CRLs.
-Benutzer Verwenden Sie die HKEY_CURRENT_USER Schlüssel oder den Zertifikatspeicher.
-Benutzername Verwenden Sie benanntes Konto für SSL-Anmeldeinformationen. Verwenden Sie für die Auswahl-UI -username.
-Ut Benutzervorlagen anzeigen.
-v Geben Sie ausführlichere (ausführlichere) Informationen an.
-v1 Verwenden Sie V1-Schnittstellen.

Hashalgorithmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Weitere Beispiele für die Verwendung dieses Befehls finden Sie in den folgenden Artikeln: