certutil

Artículo
01/15/2025
Se aplica a:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Cautela

Certutil no se recomienda usar en ningún código de producción y no proporciona ninguna garantía de compatibilidad con sitios activos ni compatibilidad de aplicaciones. Es una herramienta utilizada por desarrolladores y administradores de TI para ver la información de contenido del certificado en los dispositivos.

Certutil.exe es un programa de línea de comandos instalado como parte de Servicios de certificados. Puede usar certutil.exe para mostrar información de configuración de entidad de certificación (CA), configurar Servicios de certificados y realizar copias de seguridad y restaurar componentes de CA. El programa también comprueba los certificados, los pares de claves y las cadenas de certificados.

Si certutil se ejecuta en una entidad de certificación sin otros parámetros, muestra la configuración actual de la entidad de certificación. Si certutil se ejecuta en una entidad que no es de certificación sin otros parámetros, el comando ejecuta de forma predeterminada el comando certutil -dump. No todas las versiones de certutil proporcionan todos los parámetros y opciones que describe este documento. Puede ver las opciones que proporciona la versión de certutil ejecutando certutil -? o certutil <parameter> -?.

Propina

Para ver la ayuda completa de todos los verbos y opciones certutil, incluidos los que están ocultos del argumento -?, ejecute certutil -v -uSAGE. El modificador uSAGE distingue mayúsculas de minúsculas.

Parámetros

-vertedero

Volca la información de configuración o los archivos.

certutil [options] [-dump]
certutil [options] [-dump] File

Opciones:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Volca la estructura PFX.

certutil [options] [-dumpPFX] File

Opciones:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Analiza y muestra el contenido de un archivo mediante la sintaxis de notación de sintaxis abstracta (ASN.1). Los tipos de archivo incluyen . CER, . Archivos con formato DER y PKCS #7.

certutil [options] -asn File [type]

[type]: tipo de descodificación numérico CRYPT_STRING_*

-decodehex

Descodifica un archivo con codificación hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo de descodificación numérico CRYPT_STRING_*

Opciones:

[-f]

-encodehex

Codifica un archivo en hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo de codificación numérica CRYPT_STRING_*

Opciones:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-descodificar

Descodifica un archivo codificado en Base64.

certutil [options] -decode InFile OutFile

Opciones:

[-f]

-codificar

Codifica un archivo en Base64.

certutil [options] -encode InFile OutFile

Opciones:

[-f] [-unicodetext]

-negar

Deniega una solicitud pendiente.

certutil [options] -deny RequestId

Opciones:

[-config Machine\CAName]

-resubmit

Vuelve a enviar una solicitud pendiente.

certutil [options] -resubmit RequestId

Opciones:

[-config Machine\CAName]

-setattributes

Establece atributos para una solicitud de certificado pendiente.

certutil [options] -setattributes RequestId AttributeString

Dónde:

requestId es el identificador numérico de solicitud para la solicitud pendiente.
AttributeString es el nombre del atributo de solicitud y los pares de valor.

Opciones:

[-config Machine\CAName]

Observaciones

Los nombres y los valores deben estar separados por dos puntos, mientras que varios nombres y pares de valores deben estar separados por líneas nuevas. Por ejemplo: CertificateTemplate:User\nEMail:User@Domain.com donde la secuencia de \n se convierte en un nuevo separador de líneas.

-setextension

Establezca una extensión para una solicitud de certificado pendiente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Dónde:

requestID es el identificador de solicitud numérico para la solicitud pendiente.
ExtensionName es la cadena ObjectId de la extensión.
Marcas establece la prioridad de la extensión. se recomienda 0, mientras que 1 establece la extensión en crítica, 2 deshabilita la extensión y 3 hace ambos.

Opciones:

[-config Machine\CAName]

Observaciones

Si el último parámetro es numérico, se toma como Long.
Si el último parámetro se puede analizar como una fecha, se toma como Fecha.
Si el último parámetro comienza con \@, el resto del token se toma como nombre de archivo con datos binarios o un volcado hexadecimal de texto ascii.
Si el último parámetro es cualquier otra cosa, se toma como una cadena.

-revocar

Revoca un certificado.

certutil [options] -revoke SerialNumber [Reason]

Dónde:

SerialNumber es una lista separada por comas de números de serie de certificados que se van a revocar.
Reason es la representación numérica o simbólica del motivo de revocación, entre las que se incluyen:
- 0. CRL_REASON_UNSPECIFIED: sin especificar (valor predeterminado)
- 1. CRL_REASON_KEY_COMPROMISE: riesgo de clave
- 2. CRL_REASON_CA_COMPROMISE: riesgo de entidad de certificación
- 3. CRL_REASON_AFFILIATION_CHANGED: cambio de afiliación
- 4. CRL_REASON_SUPERSEDED: reemplazado
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cese de la operación
- 6. CRL_REASON_CERTIFICATE_HOLD: suspensión del certificado
- 8. CRL_REASON_REMOVE_FROM_CRL: quitar de CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegios retirados
- 10: CRL_REASON_AA_COMPROMISE: riesgo de AA
- -1. Anular revocación - Desrevocaciones

Opciones:

[-config Machine\CAName]

-isvalid

Muestra la disposición del certificado actual.

certutil [options] -isvalid SerialNumber | CertHash

Opciones:

[-config Machine\CAName]

-getconfig

Obtiene la cadena de configuración predeterminada.

certutil [options] -getconfig

Opciones:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtiene la cadena de configuración predeterminada a través de ICertGetConfig.

certutil [options] -getconfig2

Opciones:

[-idispatch]

-getconfig3

Obtiene la configuración a través de ICertConfig.

certutil [options] -getconfig3

Opciones:

[-idispatch]

-Señal

Intenta ponerse en contacto con la interfaz de solicitud de Servicios de certificados de Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Dónde:

CAMachineList es una lista separada por comas de nombres de máquina de CA. Para una sola máquina, use una coma de terminación. Esta opción también muestra el costo del sitio para cada máquina de CA.

Opciones:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Intenta ponerse en contacto con la interfaz de administrador de Servicios de certificados de Active Directory.

certutil [options] -pingadmin

Opciones:

[-config Machine\CAName]

-CAInfo

Muestra información sobre la entidad de certificación.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Dónde:

InfoName indica la propiedad ca que se va a mostrar, en función de la siguiente sintaxis del argumento infoname:
- *: muestra todas las propiedades
- anuncios- Servidor avanzado
- aia [Index]: direcciones URL de AIA
- cdp [Index]: direcciones URL de CDP
- cert [Index]: certificado de ENTIDAD de certificación
- cadena de certificados [Index]: cadena de certificados de ENTIDAD de certificación
- certcount de : recuento de certificados de ENTIDAD de certificación
- certcrlchain [Index]: cadena de certificados de ENTIDAD de certificación con CRL
- certstate [Index]: certificado de ENTIDAD de certificación
- certstatuscode [Index]: estado de comprobación del certificado de ENTIDAD de certificación
- certversion [Index]: versión del certificado de ENTIDAD de certificación
- CRL [Index]: CRL base
- crlstate [Index] - CRL
- crlstatus [Index] - Estado de publicación de CRL
- entre de [Índice] : certificado cruzado hacia atrás
- cross+ [Index]- Forward cross cert
- crossstate- [Index] : certificado cruzado hacia atrás
- crossstate+ [Index]- Forward cross cert
- deltacrl [Index] - Delta CRL
- deltacrlstatus [Index]: estado de publicación de DELTA CRL
- dns: nombre DNS
- dsname: nombre corto de ca saneado (nombre DS)
- error1 ErrorCode: texto del mensaje de error
- error2 ErrorCode: texto del mensaje de error y código de error
- salida [Índice]: descripción del módulo Salir
- exitcount: recuento de módulos de salida
- de archivo de : versión de archivo
- información : información de CA
- kra [Index] - KRA cert
- kracount: recuento de certificados KRA
- krastate [Index] - KRA cert
- kraused: recuento de certificados KRA usado
- nombre de configuración regional: nombre de configuración regional de CA
- nombre: nombre de entidad de certificación
- ocsp [Index]: direcciones URL de OCSP
- primario: ENTIDAD de certificación primaria
- directiva: descripción del módulo de directivas
- de producto: versión del producto
- propidmax: valor máximo de CA PropId
- de roles de : separación de roles
- nombre sanedname: nombre de ca saneado
- sharedfolder: carpeta compartida
- subjecttemplateoids: OID de plantilla de asunto
- plantillas de : plantillas
- tipo: tipo de ENTIDAD de certificación
- xchg [Index]: certificado de intercambio de CA
- cadena xchg [Index]: cadena de certificados de intercambio de CA
- xchgcount: recuento de certificados de intercambio de CA
- xchgcrlchain [Index]: cadena de certificados de intercambio de CA con CRL
índice es el índice de propiedad de base cero opcional.
código de error es el código de error numérico.

Opciones:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Muestra información sobre el tipo de propiedad ca.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opciones:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera el certificado de la entidad de certificación.

certutil [options] -ca.cert OutCACertFile [Index]

Dónde:

OutCACertFile es el archivo de salida.
Index es el índice de renovación de certificados de ENTIDAD de certificación (el valor predeterminado es el más reciente).

Opciones:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la cadena de certificados para la entidad de certificación.

certutil [options] -ca.chain OutCACertChainFile [Index]

Dónde:

OutCACertChainFile es el archivo de salida.
Index es el índice de renovación de certificados de ENTIDAD de certificación (el valor predeterminado es el más reciente).

Opciones:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtiene una lista de revocación de certificados (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Dónde:

Index es el índice CRL o el índice de clave (el valor predeterminado es CRL para la clave más reciente).
delta es la CRL delta (el valor predeterminado es CRL base).

Opciones:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica nuevas listas de revocación de certificados (CRL) o CRL delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Dónde:

dd:hh es el nuevo período de validez de CRL en días y horas.
volver a publicar vuelve a publicar las CRL más recientes.
delta publica solo las CRL delta (el valor predeterminado es CRL base y delta).

Opciones:

[-split] [-config Machine\CAName]

-apagado

Cierra los servicios de certificados de Active Directory.

certutil [options] -shutdown

Opciones:

[-config Machine\CAName]

-installCert

Instala un certificado de entidad de certificación.

certutil [options] -installCert [CACertFile]

Opciones:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renueva un certificado de entidad de certificación.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opciones:

[-f] [-silent] [-config Machine\CAName]

Use -f para omitir una solicitud de renovación pendiente y para generar una nueva solicitud.

-esquema

Volca el esquema del certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Dónde:

El comando tiene como valor predeterminado la tabla Solicitud y certificado.
Ext es la tabla de extensión.
atributo es la tabla de atributos.
crL es la tabla CRL.

Opciones:

[-split] [-config Machine\CAName]

-vista

Volca la vista de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Dónde:

Cola volca una cola de solicitudes específica.
Registro volca los certificados emitidos o revocados, además de las solicitudes con error.
LogFail volca las solicitudes con errores.
revoked volca los certificados revocados.
Ext volca la tabla de extensión.
Attrib volca la tabla de atributos.
CRL volca la tabla CRL.
csv proporciona la salida mediante valores separados por comas.

Opciones:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Observaciones

Para mostrar la columna StatusCode de para todas las entradas, escriba
Para mostrar todas las columnas de la última entrada, escriba: -restrict RequestId==$
Para mostrar el RequestId de y Disposición para tres solicitudes, escriba:
Para mostrar los identificadores de fila identificadores de fila y números CRL para todas las CRL base, escriba: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Para mostrar el número 3 de CRL base, escriba: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Para mostrar toda la tabla CRL, escriba: CRL
Use Date[+|-dd:hh] para las restricciones de fecha.
Use now+dd:hh para una fecha relativa a la hora actual.
Las plantillas contienen usos de clave extendida (EKU), que son identificadores de objeto (OID) que describen cómo se usa el certificado. Los certificados no siempre incluyen nombres comunes de plantilla o nombres para mostrar, pero siempre contienen las EKU de plantilla. Puede extraer las EKU de una plantilla de certificado específica de Active Directory y, a continuación, restringir las vistas en función de esa extensión.

-Db

Volca la base de datos sin procesar.

certutil [options] -db

Opciones:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una fila de la base de datos del servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Dónde:

Solicitud elimina las solicitudes con errores y pendientes, en función de la fecha de envío.
Cert elimina los certificados expirados y revocados, en función de la fecha de expiración.
Ext elimina la tabla de extensiones.
Attrib elimina la tabla de atributos.
CRL elimina la tabla CRL.

Opciones:

[-f] [-config Machine\CAName]

Ejemplos

Para eliminar solicitudes con errores y pendientes enviadas el 22 de enero de 2001, escriba: 1/22/2001 request
Para eliminar todos los certificados que expiraron el 22 de enero de 2001, escriba: 1/22/2001 cert
Para eliminar la fila, los atributos y las extensiones del certificado para RequestID 37, escriba: 37
Para eliminar las CRL que expiraron el 22 de enero de 2001, escriba: 1/22/2001 crl

Nota

Fecha espera el formato mm/dd/yyyy en lugar de dd/mm/yyyy, por ejemplo, 1/22/2001 en lugar de 22/1/2001 para el 22 de enero de 2001. Si el servidor no está configurado con la configuración regional de EE. UU., el uso del argumento Date podría producir resultados inesperados.

-copia de seguridad

Realiza una copia de seguridad de los servicios de certificados de Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Dónde:

backupDirectory es el directorio para almacenar los datos de copia de seguridad.
incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).
KeepLog conserva los archivos de registro de base de datos (el valor predeterminado es truncar los archivos de registro).

Opciones:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Realiza una copia de seguridad de la base de datos de Servicios de certificados de Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Dónde:

backupDirectory es el directorio para almacenar los archivos de base de datos de copia de seguridad.
incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).
KeepLog conserva los archivos de registro de base de datos (el valor predeterminado es truncar los archivos de registro).

Opciones:

[-f] [-config Machine\CAName]

-backupkey

Realiza una copia de seguridad del certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -backupkey BackupDirectory

Dónde:

backupDirectory es el directorio para almacenar el archivo PFX de copia de seguridad.

Opciones:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restaurar

Restaura los servicios de certificados de Active Directory.

certutil [options] -restore BackupDirectory

Dónde:

backupDirectory es el directorio que contiene los datos que se van a restaurar.

Opciones:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura la base de datos de Servicios de certificados de Active Directory.

certutil [options] -restoredb BackupDirectory

Dónde:

backupDirectory es el directorio que contiene los archivos de base de datos que se van a restaurar.

Opciones:

[-f] [-config Machine\CAName]

-restorekey

Restaura el certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -restorekey BackupDirectory | PFXFile

Dónde:

backupDirectory es el directorio que contiene el archivo PFX que se va a restaurar.
PFXFile es el archivo PFX que se va a restaurar.

Opciones:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta los certificados y las claves privadas. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Dónde:

certificateStoreName es el nombre del almacén de certificados.
CertId es el token de coincidencia crL o certificado.
PFXFile es el archivo PFX que se va a exportar.
modificadores son la lista separada por comas, que puede incluir una o varias de las siguientes opciones:
- CryptoAlgorithm= especifica el algoritmo criptográfico que se va a usar para cifrar el archivo PFX, como TripleDES-Sha1 o Aes256-Sha256.
- EncryptCert: cifra la clave privada asociada al certificado con una contraseña.
- ExportParameters -Exports los parámetros de clave privada además del certificado y la clave privada.
- ExtendedProperties: incluye todas las propiedades extendidas asociadas al certificado en el archivo de salida.
- NoEncryptCert: exporta la clave privada sin cifrarla.
- noChain: no importa la cadena de certificados.
- noRoot: no importa el certificado raíz.

-importPFX

Importa los certificados y las claves privadas. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Dónde:

certificateStoreName es el nombre del almacén de certificados.
PFXFile es el archivo PFX que se va a importar.
modificadores son la lista separada por comas, que puede incluir una o varias de las siguientes opciones:
- AT_KEYEXCHANGE: cambia la especificación de claves al intercambio de claves.
- AT_SIGNATURE: cambia la especificación de claves a la firma.
- ExportEncrypted: exporta la clave privada asociada al certificado con cifrado de contraseña.
- FriendlyName=: especifica un nombre descriptivo para el certificado importado.
- KeyDescription=: especifica una descripción de la clave privada asociada al certificado importado.
- KeyFriendlyName=: especifica un nombre descriptivo para la clave privada asociada al certificado importado.
- noCert: no importa el certificado.
- noChain: no importa la cadena de certificados.
- noExportar: hace que la clave privada no se pueda exportar.
- noProtect: no protege las claves mediante contraseñas.
- noRoot: no importa el certificado raíz.
- Pkcs8: usa el formato PKCS8 para la clave privada en el archivo PFX.
- Proteger: protege las claves mediante una contraseña.
- ProtectHigh: especifica que una contraseña de alta seguridad debe estar asociada a la clave privada.
- VSM: almacena la clave privada asociada al certificado importado en el contenedor de tarjeta inteligente virtual (VSC).

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Observaciones

El valor predeterminado es el almacén de máquinas personales.

-dynamicfilelist

Muestra una lista de archivos dinámicos.

certutil [options] -dynamicfilelist

Opciones:

[-config Machine\CAName]

-databaselocations

Muestra las ubicaciones de la base de datos.

certutil [options] -databaselocations

Opciones:

[-config Machine\CAName]

-hashfile

Genera y muestra un hash criptográfico a través de un archivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-tienda

Volca el almacén de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Dónde:

CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el token de coincidencia crL o certificado. Este identificador puede ser un:
- Número de serie
- Certificado SHA-1
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Clave pública
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- Dirección de correo electrónico
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos identificadores pueden dar lugar a varias coincidencias.

outputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La opción -enterprise accede a un almacén empresarial de máquinas.
La opción -service accede a un almacén de servicio de máquina.
La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Nota

Los problemas de rendimiento se observan al usar el parámetro -store dados estos dos aspectos:

Cuando el número de certificados del almacén supera los 10.
Cuando se especifica un CertId, se usa para hacer coincidir todos los tipos enumerados para cada certificado. Por ejemplo, si se proporciona un número de serie , también intentará coincidir con todos los demás tipos enumerados.

Si le preocupa los problemas de rendimiento, se recomiendan comandos de PowerShell en los que solo coincidirá con el tipo de certificado especificado.

-enumstore

Enumera los almacenes de certificados.

certutil [options] -enumstore [\\MachineName]

Dónde:

machineName es el nombre del equipo remoto.

Opciones:

[-enterprise] [-user] [-grouppolicy]

-addstore

Agrega un certificado al almacén. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -addstore CertificateStoreName InFile

Dónde:

CertificateStoreName es el nombre del almacén de certificados.
inFile es el certificado o el archivo CRL que desea agregar al almacén.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificado del almacén. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -delstore CertificateStoreName certID

Dónde:

CertificateStoreName es el nombre del almacén de certificados.
CertId es el token de coincidencia crL o certificado.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Comprueba un certificado en el almacén. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -verifystore CertificateStoreName [CertId]

Dónde:

CertificateStoreName es el nombre del almacén de certificados.
CertId es el token de coincidencia crL o certificado.

Opciones:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara una asociación de claves o actualiza las propiedades del certificado o el descriptor de seguridad de clave. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Dónde:

CertificateStoreName es el nombre del almacén de certificados.
CertIdList es la lista separada por comas de tokens de coincidencia de certificado o CRL. Para obtener más información, consulte la descripción de certId de -store en este artículo.

PropertyInfFile es el archivo INF que contiene propiedades externas, entre las que se incluyen:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Volca el almacén de certificados. Para obtener más información, consulte el parámetro -store en este artículo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Dónde:

CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el token de coincidencia crL o certificado. Esto puede ser:
- Número de serie
- Certificado SHA-1
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Clave pública
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- Dirección de correo electrónico
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos pueden dar lugar a varias coincidencias.

outputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La opción -enterprise accede a un almacén empresarial de máquinas.
La opción -service accede a un almacén de servicio de máquina.
La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Elimina un certificado del almacén.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Dónde:

CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el token de coincidencia crL o certificado. Esto puede ser:
- Número de serie
- Certificado SHA-1
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Clave pública
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- Dirección de correo electrónico
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos pueden dar lugar a varias coincidencias.

outputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La opción -enterprise accede a un almacén empresarial de máquinas.
La opción -service accede a un almacén de servicio de máquina.
La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Invoca la interfaz certutil.

certutil [options] -UI File [import]

-TPMInfo

Muestra información del módulo de plataforma segura.

certutil [options] -TPMInfo

Opciones:

[-f] [-Silent] [-split]

-atestiguar

Especifica que se debe atestiguar el archivo de solicitud de certificado.

certutil [options] -attest RequestFile

Opciones:

[-user] [-Silent] [-split]

-getcert

Selecciona un certificado de una interfaz de usuario de selección.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opciones:

[-Silent] [-split]

-Ds

Muestra nombres distintivos (DS) del servicio de directorio (DS).

certutil [options] -ds [CommonName]

Opciones:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina los DS DS.

certutil [options] -dsDel [CommonName]

Opciones:

[-user] [-split] [-dc DCName]

-dsPublish

Publica una lista de revocación de certificados o certificados (CRL) en Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dónde:

CertFile es el nombre del archivo de certificado que se va a publicar.
NTAuthCA publica el certificado en el almacén de DS Enterprise.
RootCA publica el certificado en el almacén raíz de confianza de DS.
SubCA publica el certificado de ENTIDAD de certificación en el objeto de ca de DS.
crossCA publica el certificado cruzado en el objeto de ca de DS.
KRA publica el certificado en el objeto DS Key Recovery Agent.
User publica el certificado en el objeto User DS.
Machine publica el certificado en el objeto Machine DS.
CRLfile es el nombre del archivo CRL que se va a publicar.
DSCDPContainer es el CN del contenedor CDP de DS, normalmente el nombre de la máquina de ca.
DSCDPCN es el CN del objeto CDP de DS basado en el nombre corto de ca saneado y el índice de clave.

Opciones:

[-f] [-user] [-dc DCName]

Use -f para crear un nuevo objeto DS.

-dsCert

Muestra los certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opciones:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Muestra las CRL de DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opciones:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Muestra las CRL delta de DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opciones:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Muestra los atributos de plantilla de DS.

certutil [options] -dsTemplate [Template]

Opciones:

[Silent] [-dc DCName]

-dsAddTemplate

Agrega plantillas de DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opciones:

[-dc DCName]

-ADTemplate

Muestra plantillas de Active Directory.

certutil [options] -ADTemplate [Template]

Opciones:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Plantilla

Muestra las plantillas de directiva de inscripción de certificados.

Opciones:

certutil [options] -Template [Template]

Opciones:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Muestra las entidades de certificación (CA) de una plantilla de certificado.

certutil [options] -TemplateCAs Template

Opciones:

[-f] [-user] [-dc DCName]

-CATemplates

Muestra plantillas para la entidad de certificación.

certutil [options] -CATemplates [Template]

Opciones:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Establece las plantillas de certificado que puede emitir la entidad de certificación.

certutil [options] -SetCATemplates [+ | -] TemplateList

Dónde:

El signo de + agrega plantillas de certificado a la lista de plantillas disponibles de la entidad de certificación.
El signo - quita las plantillas de certificado de la lista de plantillas disponibles de la ENTIDAD de certificación.

-SetCASites

Administra los nombres de sitio, incluida la configuración, la comprobación y la eliminación de nombres de sitio de la entidad de certificación.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Dónde:

SiteName solo se permite cuando el destino es una única entidad de certificación.

Opciones:

[-f] [-config Machine\CAName] [-dc DCName]

Observaciones

La opción -config tiene como destino una única entidad de certificación (el valor predeterminado es todas las CA).
La opción -f se puede usar para invalidar los errores de validación del SiteName especificado o para eliminar todos los nombres de sitio de ca.

Nota

Para obtener más información sobre cómo configurar ca para el reconocimiento del sitio de Active Directory Domain Services (AD DS), consulte AD DS Site Awareness for AD CS y clientes PKI.

-enrollmentServerURL

Muestra, agrega o elimina las direcciones URL del servidor de inscripción asociadas a una ENTIDAD de certificación.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dónde:

AuthenticationType especifica uno de los siguientes métodos de autenticación de cliente al agregar una dirección URL:
- Kerberos: use las credenciales SSL de Kerberos.
- userName: use una cuenta con nombre para las credenciales SSL.
- clientCertificate: use credenciales SSL de certificado X.509.
- anonymous: use credenciales SSL anónimas.
eliminar elimina la dirección URL especificada asociada a la ENTIDAD de certificación.
Prioridad el valor predeterminado es 1 si no se especifica al agregar una dirección URL.
Modificadores es una lista separada por comas, que incluye uno o varios de los siguientes:
- AllowRenewalsOnly solo se pueden enviar solicitudes de renovación a esta ENTIDAD de certificación a través de esta dirección URL.
- allowKeyBasedRenewal permite el uso de un certificado que no tiene ninguna cuenta asociada en AD. Esto solo se aplica con ClientCertificate y modo AllowRenewalsOnly.

Opciones:

[-config Machine\CAName] [-dc DCName]

-ADCA

Muestra las entidades de certificación de Active Directory.

certutil [options] -ADCA [CAName]

Opciones:

[-f] [-split] [-dc DCName]

-CA

Muestra la directiva de inscripción Entidades de certificación.

certutil [options] -CA [CAName | TemplateName]

Opciones:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Política

Muestra la directiva de inscripción.

certutil [options] -Policy

Opciones:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Muestra o elimina entradas de caché de directivas de inscripción.

certutil [options] -PolicyCache [delete]

Dónde:

eliminar elimina las entradas de caché del servidor de directivas.
-f elimina todas las entradas de caché

Opciones:

[-f] [-user] [-policyserver URLorID]

-CredStore

Muestra, agrega o elimina entradas del Almacén de credenciales.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Dónde:

dirección URL es la dirección URL de destino. También puede usar * para que coincidan con todas las entradas o https://machine* para que coincidan con un prefijo de dirección URL.
agregar agrega una entrada de almacén de credenciales. El uso de esta opción también requiere el uso de credenciales SSL.
eliminar elimina entradas del almacén de credenciales.
-f sobrescribe una sola entrada o elimina varias entradas.

Opciones:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala las plantillas de certificado predeterminadas.

certutil [options] -InstallDefaultTemplates

Opciones:

[-dc DCName]

-URL

Comprueba las direcciones URL de certificado o CRL.

certutil [options] -URL InFile | URL

Opciones:

[-f] [-split]

-URLCache

Muestra o elimina entradas de caché de direcciones URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Dónde:

dirección URL es la dirección URL almacenada en caché.
crL solo se ejecuta en todas las direcciones URL de CRL almacenadas en caché.
* funciona en todas las direcciones URL almacenadas en caché.
eliminar elimina las direcciones URL pertinentes de la caché local del usuario actual.
-f fuerza la captura de una dirección URL específica y la actualización de la memoria caché.

Opciones:

[-f] [-split]

-pulso

Pulsa un evento de inscripción automática o una tarea NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Dónde:

TaskName es la tarea que se va a desencadenar.
- Pregen es la tarea de pregen clave NGC.
- AIKEnroll es la tarea de inscripción de certificados AIK de NGC. (El valor predeterminado es el evento de inscripción automática).
SRKThumbprint es la huella digital de la clave raíz de almacenamiento.
modificadores :
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Opciones:

[-user]

-MachineInfo

Muestra información sobre el objeto de máquina de Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Muestra información sobre el controlador de dominio. El valor predeterminado muestra certificados de controlador de dominio sin comprobación.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

modificadores :
- Verificar
- DeleteBad
- DeleteAll

Opciones:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Propina

La capacidad de especificar un dominio de Active Directory Domain Services (AD DS) [Dominio] y especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar correctamente el comando, debe usar una cuenta que sea miembro de Administradores de dominio o administradores de Enterprise. Las modificaciones de comportamiento de este comando son las siguientes:

Si no se especifica un dominio y no se especifica un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
Si no se especifica un dominio, pero se especifica un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
Si se especifica un dominio, pero no se especifica un controlador de dominio, se genera una lista de controladores de dominio junto con informes sobre los certificados de cada controlador de dominio de la lista.
Si se especifican el dominio y el controlador de dominio, se genera una lista de controladores de dominio a partir del controlador de dominio de destino. También se genera un informe de los certificados de cada controlador de dominio de la lista.

Por ejemplo, supongamos que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL-DC1. Puede ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Muestra información sobre una entidad de certificación empresarial.

certutil [options] -EntInfo DomainName\MachineName$

Opciones:

[-f] [-user]

-TCAInfo

Muestra información sobre la entidad de certificación.

certutil [options] -TCAInfo [DomainDN | -]

Opciones:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Muestra información sobre la tarjeta inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Dónde:

CRYPT_DELETEKEYSET elimina todas las claves de la tarjeta inteligente.

Opciones:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Administra certificados raíz de tarjeta inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opciones:

[-f] [-split] [-p Password]

-llave

Enumera las claves almacenadas en un contenedor de claves.

certutil [options] -key [KeyContainerName | -]

Dónde:

KeyContainerName es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
El uso del signo - hace referencia al uso del contenedor de claves predeterminado.

Opciones:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina el contenedor de claves con nombre.

certutil [options] -delkey KeyContainerName

Opciones:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina el contenedor de Windows Hello, quitando todas las credenciales asociadas que se almacenan en el dispositivo, incluidas las credenciales WebAuthn y FIDO.

Los usuarios deben cerrar sesión después de usar esta opción para que se complete.

certutil [options] -DeleteHelloContainer

-verifykeys

Comprueba un conjunto de claves pública o privada.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Dónde:

KeyContainerName es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
CACertFile firma o cifra los archivos de certificado.

Opciones:

[-f] [-user] [-Silent] [-config Machine\CAName]

Observaciones

Si no se especifica ningún argumento, cada certificado de entidad de certificación de firma se comprueba con su clave privada.
Esta operación solo se puede realizar en una entidad de certificación local o en claves locales.

-verificar

Comprueba un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Dónde:

CertFile es el nombre del certificado que se va a comprobar.
ApplicationPolicyList es la lista opcional separada por comas de los id. de objeto de directiva de aplicación necesarios.
issuancePolicyList es la lista opcional separada por comas de los objectIds de directiva de emisión necesarios.
CACertFile es el certificado de entidad de certificación emisora opcional con el que comprobar.
crossedCACertFile es el certificado opcional certificado cruzado por CertFile.
CRLFile es el archivo CRL que se usa para comprobar elCACertFile de .
IssuedCertFile es el certificado emitido opcional cubierto por el ARCHIVO CRL.
deltaCRLFile es el archivo CRL delta opcional.
modificadores :
- Seguro: comprobación de firma segura
- MSRoot: debe encadenar a una raíz de Microsoft
- MSTestRoot: debe encadenar a una raíz de prueba de Microsoft
- AppRoot: debe encadenar a una raíz de aplicación de Microsoft
- EV: aplicación de la directiva de validación extendida

Opciones:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Observaciones

El uso de ApplicationPolicyList restringe la creación de cadenas solo a cadenas válidas para las directivas de aplicación especificadas.
El uso de issuancePolicyList restringe la creación de cadenas solo a cadenas válidas para las directivas de emisión especificadas.
Con CACertFile comprueba los campos del archivo en certFile o crLfile .
Si no se especifica caCertFile, la cadena completa se compila y comprueba con CertFile.
Si se especifican CACertFile y crossedCACertFile, los campos de ambos archivos se comprueban en CertFile.
Con IssuedCertFile comprueba los campos del archivo en CRLfile.
Con DeltaCRLFile comprueba los campos del archivo en CertFile.

-verifyCTL

Comprueba el CTL de certificados no permitidos o AuthRoot.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Dónde:

CTLObject identifica el CTL que se va a comprobar, entre los que se incluyen:
- AuthRootWU lee el CAB de AuthRoot y los certificados coincidentes de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
- no permitidoSWU lee el CAB de certificados no permitidos y el archivo de almacén de certificados no permitido de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
  - PinRulesWU lee pinRules CAB de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
- AuthRoot lee el CTL de AuthRoot en caché del registro. Úselo con -f y un certFile que no sea de confianza para forzar la actualización de AuthRoot y certificados no permitidos.
- No permitido lee el CTL de certificados no permitidos en caché del Registro. Úselo con -f y un certFile que no sea de confianza para forzar la actualización de AuthRoot y certificados no permitidos.
  - PinRules lee el CTL de PinRules almacenado en caché del registro. El uso de -f tiene el mismo comportamiento que con PinRulesWU.
- CTLFileName especifica la ruta de acceso http o del archivo CTL o CAB.
CertDir especifica la carpeta que contiene certificados que coinciden con las entradas de CTL. El valor predeterminado es la misma carpeta o sitio web que el objeto CTL de . El uso de una ruta de acceso de carpeta http requiere un separador de ruta de acceso al final. Si no especifica AuthRoot o no permitidos, se buscan varias ubicaciones para buscar certificados coincidentes, incluidos almacenes de certificados locales, crypt32.dll recursos y la caché de direcciones URL local. Use -f para descargar desde Windows Update, según sea necesario.
CertFile especifica los certificados que se van a comprobar. Los certificados se comparan con las entradas de CTL, mostrando los resultados. Esta opción suprime la mayor parte de la salida predeterminada.

Opciones:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados con Windows Update.

certutil [options] -syncWithWU DestinationDir

Dónde:

destinationDir es el directorio especificado.
f fuerza una sobrescritura.
unicode escribe la salida redirigida en Unicode.
gmt muestra las horas como GMT.
segundos muestra tiempos con segundos y milisegundos.
v es una operación detallada.
PIN es el PIN de tarjeta inteligente.
WELL_KNOWN_SID_TYPE es un SID numérico:
- 22 - Sistema local
- 23 - Servicio local
- 24 - Servicio de red

Observaciones

Los archivos siguientes se descargan mediante el mecanismo de actualización automática:

authrootstl.cab contiene las CCL de certificados raíz que no son de Microsoft.
disallowedcertstl.cab contiene las CCL de certificados que no son de confianza.
no permitidocert.sst contiene el almacén de certificados serializado, incluidos los certificados que no son de confianza.
thumbprint.crt contiene los certificados raíz que no son de Microsoft.

Por ejemplo, certutil -syncWithWU \\server1\PKI\CTLs.

Si usa una ruta de acceso o carpeta local inexistente como carpeta de destino, verá el error: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Si usa una ubicación de red inexistente o no disponible como carpeta de destino, verá el error: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Si el servidor no puede conectarse a través del puerto TCP 80 a los servidores de Microsoft Automatic Update, recibirá el siguiente error: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Si el servidor no puede acceder a los servidores de Microsoft Automatic Update con el nombre DNS ctldl.windowsupdate.com, recibirá el siguiente error: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Si no usa el modificador de -f y alguno de los archivos CTL ya existen en el directorio, recibirá un error: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Si hay un cambio en los certificados raíz de confianza, verá: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opciones:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un archivo de almacén que se sincroniza con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Dónde:

SSTFile es el archivo .sst que se va a generar que contiene las raíces de terceros descargadas de Windows Update.

Opciones:

[-f] [-split]

-generatePinRulesCTL

Genera un archivo de lista de confianza de certificados (CTL) que contiene una lista de reglas de anclaje.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Dónde:

xmlFile es el archivo XML de entrada que se va a analizar.
CTLFile es el archivo CTL de salida que se va a generar.
SSTFile es el archivo opcional .sst que se va a crear que contiene todos los certificados usados para anclar.
QueryFilesPrefix son Domains.csv opcionales y archivos Keys.csv que se van a crear para la consulta de base de datos.
- El QueryFilesPrefix cadena se antepone a cada archivo creado.
- El archivo Domains.csv contiene el nombre de regla, las filas de dominio.
- El archivo Keys.csv contiene el nombre de la regla, las filas de huella digital SHA256 de clave.

Opciones:

[-f]

-downloadOcsp

Descarga las respuestas OCSP y escribe en el directorio.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Dónde:

certificateDir es el directorio de un certificado, almacén y archivos PFX.
OcspDir es el directorio para escribir respuestas OCSP.
threadCount es el número máximo opcional de subprocesos para la descarga simultánea. El valor predeterminado es 10.
Modificadores son una lista separada por comas de una o varias de las siguientes opciones:
- downloadOnce : descarga una vez y se cierra.
- readOcsp: lee de OcspDir en lugar de escribir.

-generateHpkpHeader

Genera el encabezado HPKP mediante certificados en un archivo o directorio especificados.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Dónde:

CertFileOrDir es el archivo o directorio de certificados, que es el origen de pin-sha256.
maxAge es el valor de antigüedad máxima en segundos.
reportUri es el URI de informe opcional.
Modificadores son una lista separada por comas de una o varias de las siguientes opciones:
- includeSubDomains: anexa los includeSubDomains.

-flushCache

Vacía las memorias caché especificadas en el proceso seleccionado, como, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Dónde:

ProcessId es el identificador numérico de un proceso que se va a vaciar. Establezca en 0 para vaciar todos los procesos en los que está habilitado el vaciado.
cacheMask es la máscara de bits de las memorias caché que se van a vaciar numéricas o los bits siguientes:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modificadores son una lista separada por comas de una o varias de las siguientes opciones:
- Mostrar: muestra las memorias caché que se vacían. Certutil debe terminarse explícitamente.

-addEccCurve

Agrega una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Dónde:

CurveClass es el tipo ecc Curve Class:
- WEIERSTRASS (valor predeterminado)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName es el nombre de la curva ECC.
curveParameters son uno de los siguientes:
- Un nombre de archivo de certificado que contiene parámetros codificados por ASN.
- Un archivo que contiene parámetros codificados por ASN.
CurveOID es el OID de curva ECC y es uno de los siguientes:
- Un nombre de archivo de certificado que contiene un OID codificado por ASN.
- Un OID explícito de la curva ECC.
CurveType es el punto Schannel ECC NamedCurve (numérico).

Opciones:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Dónde:

CurveName es el nombre de la curva ECC.
curveOID es el OID de curva ECC.

Opciones:

[-f]

-displayEccCurve

Muestra la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Dónde:

CurveName es el nombre de la curva ECC.
curveOID es el OID de curva ECC.

Opciones:

[-f]

-csplist

Enumera los proveedores de servicios criptográficos (CSP) instalados en esta máquina para las operaciones criptográficas.

certutil [options] -csplist [Algorithm]

Opciones:

[-user] [-Silent] [-csp Provider]

-csptest

Comprueba los CSP instalados en este equipo.

certutil [options] -csptest [Algorithm]

Opciones:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Muestra la configuración criptográfica de CNG en esta máquina.

certutil [options] -CNGConfig

Opciones:

[-Silent]

-firmar

Vuelva a firmar una lista de revocación de certificados (CRL) o un certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Dónde:

inFileList es la lista separada por comas de archivos de certificado o CRL que se van a modificar y volver a firmar.
serialNumber es el número de serie del certificado que se va a crear. El período de validez y otras opciones no pueden estar presentes.
CRL crea una CRL vacía. El período de validez y otras opciones no pueden estar presentes.
outFileList es la lista separada por comas de archivos de salida de certificados modificados o CRL. El número de archivos debe coincidir con infilelist.
StartDate+dd:hh es el nuevo período de validez de los archivos CRL o certificado, incluidos:
- fecha opcional más
- período de validez de días y horas opcionales Si se usan varios campos, use un separador (+) o (-). Use now[+dd:hh] para iniciarse en la hora actual. Use now-dd:hh+dd:hh para comenzar en un desplazamiento fijo desde la hora actual y un período de validez fijo. Use never para no tener fecha de expiración (solo para CRL).
serialNumberList es la lista de números de serie separados por comas de los archivos que se van a agregar o quitar.
ObjectIdList es la lista objectId de extensión separada por comas de los archivos que se van a quitar.

@ExtensionFile es el archivo INF que contiene las extensiones que se van a actualizar o quitar. Por ejemplo:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

hashAlgorithm es el nombre del algoritmo hash. Solo debe ser el texto precedido por el signo de #.
alternateSignatureAlgorithm es el especificador de algoritmo de firma alternativo.

Opciones:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Observaciones

El uso del signo menos (-) quita los números de serie y las extensiones.
El uso del signo más (+) agrega números de serie a una CRL.
Puede usar una lista para quitar números de serie y ObjectIds de una CRL al mismo tiempo.
El uso del signo menos antes de alternateSignatureAlgorithm permite usar el formato de firma heredado.
El uso del signo más permite usar el formato de firma alternativo.
Si no especifica AlternateSignatureAlgorithm, se usa el formato de firma en el certificado o CRL.

-vroot

Crea o elimina raíces virtuales web y recursos compartidos de archivos.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina raíces virtuales web para un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Agrega una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Dónde:

addEnrollmentServer requiere que use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, entre los que se incluyen:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa la cuenta con nombre para las credenciales SSL.
- ClientCertificate usa credenciales SSL de certificado X.509.
modificadores :
- AllowRenewalsOnly solo permite envíos de solicitudes de renovación a la entidad de certificación a través de la dirección URL.
- allowKeyBasedRenewal permite el uso de un certificado sin ninguna cuenta asociada en Active Directory. Esto se aplica cuando se usa con ClientCertificate y modo allowRenewalsOnly.

Opciones:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Dónde:

deleteEnrollmentServer requiere que use un método de autenticación para la conexión de cliente al servidor de inscripción de certificados, entre los que se incluyen:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa la cuenta con nombre para las credenciales SSL.
- ClientCertificate usa credenciales SSL de certificado X.509.

Opciones:

[-config Machine\CAName]

-addPolicyServer

Agregue una aplicación de servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dónde:

addPolicyServer requiere que use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, entre los que se incluyen:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa la cuenta con nombre para las credenciales SSL.
- ClientCertificate usa credenciales SSL de certificado X.509.
keyBasedRenewal permite el uso de directivas devueltas al cliente que contiene plantillas keybasedrenewal. Esta opción solo se aplica a la autenticación de UserName y ClientCertificate.

-deletePolicyServer

Elimina una aplicación de servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no quita archivos binarios ni paquetes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dónde:

deletePolicyServer requiere que use un método de autenticación para la conexión de cliente al servidor de directivas de certificados, entre los que se incluyen:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa la cuenta con nombre para las credenciales SSL.
- ClientCertificate usa credenciales SSL de certificado X.509.
keyBasedRenewal permite el uso de un servidor de directivas KeyBasedRenewal.

-Clase

Muestra información del Registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opciones:

[-f]

-7f

Comprueba el certificado para codificaciones de longitud de 0x7f.

certutil [options] -7f CertFile

-Oid

Muestra el identificador de objeto o establece un nombre para mostrar.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Dónde:

ObjectId es el identificador que se va a mostrar o agregar al nombre para mostrar.
GroupId es el número de GroupID (decimal) que enumera ObjectIds.
algId es el identificador hexadecimal que busca objectID.
AlgorithmName es el nombre del algoritmo que busca objectID.
displayName muestra el nombre que se va a almacenar en DS.
Eliminar elimina el nombre para mostrar.
LanguageId es el valor del identificador de idioma (el valor predeterminado es actual: 1033).
Type es el tipo de objeto DS que se va a crear, entre los que se incluyen:
- 1: plantilla (valor predeterminado)
- 2: directiva de emisión
- 3: directiva de aplicación
-f crea un objeto DS.

Opciones:

[-f]

-error

Muestra el texto del mensaje asociado a un código de error.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtiene información simple del Protocolo de transferencia de correo (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Establece información SMTP.

certutil [options] -setsmtpinfo LogonName

Opciones:

[-config Machine\CAName] [-p Password]

-getreg

Muestra un valor del Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Dónde:

ca usa la clave del Registro de una entidad de certificación.
restauración usa la clave del Registro de restauración de la entidad de certificación.
directiva usa la clave del Registro del módulo de directiva.
salida usa la primera clave del Registro del módulo de salida.
plantilla usa la clave del Registro de plantillas (use -user para plantillas de usuario).
inscribir usa la clave del Registro de inscripción (use -user para el contexto de usuario).
cadena usa la clave del Registro de configuración de cadena.
PolicyServers usa la clave del Registro de servidores de directivas.
ProgId usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).
RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
valor usa el nuevo valor numérico, cadena o nombre de archivo del Registro de fechas. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observaciones

Si un valor de cadena comienza con + o -, y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor de REG_MULTI_SZ, agregue \n al final del valor de cadena.
Si el valor comienza con \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] que es una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
Alias del Registro:
- Configuración
- CA
- Directiva: PolicyModules
- Exit: ExitModules
- Restaurar: RestoreInProgress
- Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscribir: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP- Software\Microsoft\Cryptography\MSCEP
- Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport- Software\Policies\Microsoft\PassportForWork
- MDM- Software\Microsoft\Policies\PassportForWork

-setreg

Establece un valor del Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Dónde:

ca usa la clave del Registro de una entidad de certificación.
restauración usa la clave del Registro de restauración de la entidad de certificación.
directiva usa la clave del Registro del módulo de directiva.
salida usa la primera clave del Registro del módulo de salida.
plantilla usa la clave del Registro de plantillas (use -user para plantillas de usuario).
inscribir usa la clave del Registro de inscripción (use -user para el contexto de usuario).
cadena usa la clave del Registro de configuración de cadena.
PolicyServers usa la clave del Registro de servidores de directivas.
ProgId usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).
RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
Value usa el nuevo valor numérico, cadena o nombre de archivo del Registro de fechas. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observaciones

Si un valor de cadena comienza con + o -, y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor de REG_MULTI_SZ, agregue \n al final del valor de cadena.
Si el valor comienza con \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] que es una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.

-delreg

Elimina un valor del Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Dónde:

ca usa la clave del Registro de una entidad de certificación.
restauración usa la clave del Registro de restauración de la entidad de certificación.
directiva usa la clave del Registro del módulo de directiva.
salida usa la primera clave del Registro del módulo de salida.
plantilla usa la clave del Registro de plantillas (use -user para plantillas de usuario).
inscribir usa la clave del Registro de inscripción (use -user para el contexto de usuario).
cadena usa la clave del Registro de configuración de cadena.
PolicyServers usa la clave del Registro de servidores de directivas.
ProgId usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).
RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
Value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observaciones

Si un valor de cadena comienza con + o -, y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor de REG_MULTI_SZ, agregue \n al final del valor de cadena.
Si el valor comienza con \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] que es una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
Alias del Registro:
- Configuración
- CA
- Directiva: PolicyModules
- Exit: ExitModules
- Restaurar: RestoreInProgress
- Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscribir: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP- Software\Microsoft\Cryptography\MSCEP
- Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport- Software\Policies\Microsoft\PassportForWork
- MDM- Software\Microsoft\Policies\PassportForWork

-importKMS

Importa las claves de usuario y los certificados en la base de datos del servidor para el archivado de claves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Dónde:

userKeyAndCertFile es un archivo de datos con claves privadas de usuario y certificados que se van a archivar. Este archivo puede ser:
- Un archivo de exportación de Exchange Key Management Server (KMS).
- Un archivo PFX.
CertId es un token de coincidencia de certificado de descifrado de archivos de exportación de KMS. Para obtener más información, consulte el parámetro -store en este artículo.
-f importa certificados no emitidos por la entidad de certificación.

Opciones:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un archivo de certificado en la base de datos.

certutil [options] -ImportCert Certfile [ExistingRow]

Dónde:

ExistingRow importa el certificado en lugar de una solicitud pendiente para la misma clave.
-f importa certificados no emitidos por la entidad de certificación.

Opciones:

[-f] [-config Machine\CAName]

Observaciones

Es posible que la entidad de certificación también deba configurarse para admitir certificados externos mediante la ejecución de certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un blob de recuperación de claves privadas archivadas, genera un script de recuperación o recupera claves archivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Dónde:

script genera un script para recuperar y recuperar claves (comportamiento predeterminado si se encuentran varios candidatos de recuperación coincidentes o si no se especifica el archivo de salida).
recuperar recupera uno o varios blobs de recuperación de claves (comportamiento predeterminado si se encuentra exactamente un candidato de recuperación coincidente y si se especifica el archivo de salida). El uso de esta opción trunca cualquier extensión y anexa la cadena específica del certificado y la extensión .rec para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifradas en uno o varios certificados del Agente de recuperación de claves.
recuperar recupera y recupera claves privadas en un paso (requiere certificados de Key Recovery Agent y claves privadas). Con esta opción se trunca cualquier extensión y se anexa la extensión .p12. Cada archivo contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.
SearchToken selecciona las claves y los certificados que se van a recuperar, entre los que se incluyen:
- Nombre común del certificado
- Número de serie del certificado
- Hash SHA-1 del certificado (huella digital)
- Hash SHA-1 de keyid de certificado (identificador de clave de firmante)
- Nombre del solicitante (dominio\usuario)
- UPN (user@domain)
RecoveryBlobOutFile genera un archivo con una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.
OutputScriptFile genera un archivo con un script por lotes para recuperar y recuperar claves privadas.
OutputFileBaseName genera un nombre base de archivo.

Opciones:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Observaciones

Para recuperar, cualquier extensión se trunca y una cadena específica del certificado y las extensiones de .rec se anexan para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifradas en uno o varios certificados del Agente de recuperación de claves.
Para recuperar, se trunca cualquier extensión y se anexa la extensión .p12. Contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.

-RecoverKey

Recupera una clave privada archivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opciones:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Combina archivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Dónde:

PFXInFileList es una lista separada por comas de archivos de entrada PFX.
PFXOutFile es el nombre del archivo de salida PFX.
modificadores son listas separadas por comas de una o varias de las siguientes opciones:
- ExtendedProperties incluye todas las propiedades extendidas.
- noEncryptCert especifica que no cifre los certificados.
- EncryptCert especifica para cifrar los certificados.

Opciones:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Observaciones

La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.
Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última contraseña es *, se solicita al usuario la contraseña del archivo de salida.

-add-chain

Agrega una cadena de certificados.

certutil [options] -add-chain LogId certificate OutFile

Opciones:

[-f]

-add-pre-chain

Agrega una cadena de certificados previos.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opciones:

[-f]

-get-sth

Obtiene una cabeza de árbol firmada.

certutil [options] -get-sth [LogId]

Opciones:

[-f]

-get-sth-consistency

Obtiene los cambios de encabezado de árbol firmados.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opciones:

[-f]

-get-proof-by-hash

Obtiene una prueba de un hash de un servidor de marca de tiempo.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opciones:

[-f]

-get-entries

Recupera entradas de un registro de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opciones:

[-f]

-get-root

Recupera los certificados raíz del almacén de certificados.

certutil [options] -get-roots LogId

Opciones:

[-f]

-get-entry-and-proof

Recupera una entrada del registro de eventos y su prueba criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opciones:

[-f]

-VerifyCT

Comprueba un certificado en el registro de transparencia de certificados.

certutil [options] -VerifyCT Certificate SCT [precert]

Opciones:

[-f]

-?

Muestra la lista de parámetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dónde:

-? muestra la lista de parámetros
-<name_of_parameter> -? muestra contenido de ayuda para el parámetro especificado.
-? -v muestra una lista detallada de parámetros y opciones.

Opciones

En esta sección se definen todas las opciones que puede especificar, en función del comando . Cada parámetro incluye información sobre qué opciones son válidas para su uso.

Opción	Descripción
-Admin	Use ICertAdmin2 para las propiedades de ca.
-anónimo	Use credenciales SSL anónimas.
-cert CertId	Certificado de firma.
-clientcertificate clientCertId	Use las credenciales SSL del certificado X.509. Para la interfaz de usuario de selección, use `-clientcertificate`.
-config Machine\CAName	Entidad de certificación y cadena de nombre de equipo.
Proveedor de -csp	Proveedor: KSP: proveedor de almacenamiento de claves de software de Microsoft TPM: proveedor criptográfico de plataforma de Microsoft NGC: proveedor de almacenamiento de claves de Microsoft Passport SC: proveedor de almacenamiento de claves de tarjeta inteligente de Microsoft
-dc DCName	Dirigirse a un controlador de dominio específico.
-empresa	Use el almacén de certificados del Registro de empresa de la máquina local.
-f	Forzar sobrescritura.
-generateSSTFromWU SSTFile	Genere SST mediante el mecanismo de actualización automática.
-Gmt	Tiempos de visualización mediante GMT.
-GroupPolicy	Use el almacén de certificados de directiva de grupo.
-idispatch	Use IDispatch en lugar de métodos nativos COM.
-kerberos	Use las credenciales SSL de Kerberos.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-Mt	Mostrar plantillas de máquina.
-nocr	Codificar texto sin caracteres CR.
-nocrlf	Codificar texto sin caracteres de CR-LF.
-nullsign	Use el hash de los datos como firma.
-oldpfx	Use el cifrado PFX antiguo.
-out columnlist	Lista de columnas separadas por comas.
-p password	Contraseña
-pin PIN	PIN de tarjeta inteligente.
-policyserver URLorID	Dirección URL o identificador del servidor de directivas. Para la selección de E/S, use `-policyserver`. Para todos los servidores de directivas, use `-policyserver *`
-privatekey	Mostrar datos de contraseña y clave privada.
-proteger	Proteja las claves con contraseña.
-protectto SAMnameandSIDlist	Lista de nombres SAM/SID separados por comas.
-restrict restrictionlist	Lista de restricciones separadas por comas. Cada restricción consta de un nombre de columna, un operador relacional y un entero constante, una cadena o una fecha. Un nombre de columna puede ir precedido por un signo más o menos para indicar el criterio de ordenación. Por ejemplo: `requestID = 47`, `+requestername >= a, requestername`o `-requestername > DOMAIN, Disposition = 21`.
-Marcha atrás	Columnas de registro inverso y cola.
-sobras	Tiempos de visualización con segundos y milisegundos.
-servicio	Use el almacén de certificados de servicio.
-Sid	SID numérico: 22: sistema local 23: servicio local 24: servicio de red
-silencioso	Use la marca `silent` para adquirir el contexto de cifrado.
-partir	Divida los elementos ASN.1 incrustados y guárdelos en los archivos.
-sslpolicy servername	Directiva SSL que coincide con ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nombre del algoritmo de clave simétrica con longitud de clave opcional. Por ejemplo: `AES,128` o `3DES`.
-syncWithWU DestinationDir	Sincronizar con Windows Update.
-t tiempo de espera	Tiempo de espera de captura de direcciones URL en milisegundos.
-Unicode	Escribir salida redirigida en Unicode.
-UnicodeText	Escriba el archivo de salida en Unicode.
-urlfetch	Recupere y compruebe los certificados de AIA y las CRL de CDP.
-usuario	Use las claves de HKEY_CURRENT_USER o el almacén de certificados.
-username username	Use la cuenta con nombre para las credenciales SSL. Para la interfaz de usuario de selección, use `-username`.
-Ut	Mostrar plantillas de usuario.
-v	Proporcione información más detallada (detallada).
-v1	Use interfaces V1.

Algoritmos hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Para obtener más ejemplos de cómo usar este comando, consulte los artículos siguientes:

servicios de certificados de Active Directory (AD CS)
tareas certutil para administrar certificados
Configurar raíces de confianza y certificados no permitidos en Windows

Compartir a través de

certutil

Parámetros

-vertedero

-dumpPFX

-Asn

-decodehex

-encodehex

-descodificar

-codificar

-negar

-resubmit

-setattributes

Observaciones

-setextension

Observaciones

-revocar

-isvalid

-getconfig

-getconfig2

-getconfig3

-Señal

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-apagado

-installCert

-renewCert

-esquema

-vista

Observaciones

-Db

-deleterow

Ejemplos

-copia de seguridad

-backupDB

-backupkey

-restaurar

-restoredb

-restorekey

-exportPFX

-importPFX

Observaciones

-dynamicfilelist

-databaselocations

-hashfile

-tienda

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-atestiguar

-getcert

-Ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Plantilla

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Observaciones

-enrollmentServerURL

-ADCA

-CA