certutil

Articolo
01/15/2025
Si applica a:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Cautela

Certutil non è consigliabile usare in alcun codice di produzione e non offre alcuna garanzia di compatibilità del sito live o delle applicazioni. Si tratta di uno strumento usato dagli sviluppatori e dagli amministratori IT per visualizzare le informazioni sul contenuto dei certificati nei dispositivi.

Certutil.exe è un programma da riga di comando installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati e eseguire il backup e il ripristino dei componenti della CA. Il programma verifica anche certificati, coppie di chiavi e catene di certificati.

Se certutil viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione corrente dell'autorità di certificazione. Se certutil viene eseguito in un'autorità non di certificazione senza altri parametri, per impostazione predefinita il comando esegue il comando certutil -dump. Non tutte le versioni di certutil forniscono tutti i parametri e le opzioni descritti in questo documento. È possibile visualizzare le scelte fornite dalla versione di certutil eseguendo certutil -? o certutil <parameter> -?.

Mancia

Per visualizzare la Guida completa per tutti i verbi e le opzioni certutil, inclusi quelli nascosti dall'argomento -?, eseguire certutil -v -uSAGE. L'opzione uSAGE fa distinzione tra maiuscole e minuscole.

Parametri

-spazzatura

Esegue il dump delle informazioni di configurazione o dei file.

certutil [options] [-dump]
certutil [options] [-dump] File

Opzioni:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Esegue il dump della struttura PFX.

certutil [options] [-dumpPFX] File

Opzioni:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Analizza e visualizza il contenuto di un file usando la sintassi ASN.1 (Abstract Syntax Notation). I tipi di file includono . CER, . File formattati DER e PKCS #7.

certutil [options] -asn File [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

-decodehex

Decodifica un file con codifica esadecimale.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

Opzioni:

[-f]

-encodehex

Codifica un file in formato esadecimale.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo di codifica numerico CRYPT_STRING_*

Opzioni:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decodificare

Decodifica un file con codifica Base64.

certutil [options] -decode InFile OutFile

Opzioni:

[-f]

-codificare

Codifica un file in Base64.

certutil [options] -encode InFile OutFile

Opzioni:

[-f] [-unicodetext]

-negare

Nega una richiesta in sospeso.

certutil [options] -deny RequestId

Opzioni:

[-config Machine\CAName]

-Inviare

Invia di nuovo una richiesta in sospeso.

certutil [options] -resubmit RequestId

Opzioni:

[-config Machine\CAName]

-setattributes

Imposta gli attributi per una richiesta di certificato in sospeso.

certutil [options] -setattributes RequestId AttributeString

Dove:

RequestId è l'ID richiesta numerico per la richiesta in sospeso.
attributeString è il nome dell'attributo della richiesta e le coppie valore.

Opzioni:

[-config Machine\CAName]

Osservazioni

I nomi e i valori devono essere separati da due punti, mentre più nomi e coppie di valori devono essere separati da una nuova riga. Ad esempio: CertificateTemplate:User\nEMail:User@Domain.com in cui la sequenza \n viene convertita in un separatore di nuova riga.

-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Dove:

requestID è l'ID richiesta numerico per la richiesta in sospeso.
extensionName è la stringa ObjectId per l'estensione.
Flag imposta la priorità dell'estensione. 0 è consigliabile, mentre 1 imposta l'estensione su critica, 2 disabilita l'estensione e 3 esegue entrambe le operazioni.

Opzioni:

[-config Machine\CAName]

Osservazioni

Se l'ultimo parametro è numerico, viene considerato come Long.
Se l'ultimo parametro può essere analizzato come data, viene considerato come Data.
Se l'ultimo parametro inizia con \@, il resto del token viene considerato come nome file con dati binari o un dump esadecimale ascii-text.
Se l'ultimo parametro è qualcos'altro, viene preso come stringa.

-revocare

Revoca un certificato.

certutil [options] -revoke SerialNumber [Reason]

Dove:

SerialNumber è un elenco delimitato da virgole di numeri di serie del certificato da revocare.
Motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:
- 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)
- 1. CRL_REASON_KEY_COMPROMISE - Compromissione chiave
- 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione
- 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata
- 4. CRL_REASON_SUPERSEDED - Sostituito
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessazione dell'operazione
- 6. CRL_REASON_CERTIFICATE_HOLD - Blocco certificati
- 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovere da CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio ritirato
- 10: CRL_REASON_AA_COMPROMISE - Compromissione AA
- -1. Annulla richiamo - Annulla richiamo

Opzioni:

[-config Machine\CAName]

-isvalid

Visualizza l'eliminazione del certificato corrente.

certutil [options] -isvalid SerialNumber | CertHash

Opzioni:

[-config Machine\CAName]

-getconfig

Ottiene la stringa di configurazione predefinita.

certutil [options] -getconfig

Opzioni:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ottiene la stringa di configurazione predefinita tramite ICertGetConfig.

certutil [options] -getconfig2

Opzioni:

[-idispatch]

-getconfig3

Ottiene la configurazione tramite ICertConfig.

certutil [options] -getconfig3

Opzioni:

[-idispatch]

-ping

Tenta di contattare l'interfaccia richiesta di Servizi certificati Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Dove:

CAMachineList è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola di terminazione. Questa opzione visualizza anche il costo del sito per ogni computer ca.

Opzioni:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta di contattare l'interfaccia di amministrazione di Servizi certificati Active Directory.

certutil [options] -pingadmin

Opzioni:

[-config Machine\CAName]

-CAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Dove:

InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname seguente:
- * - Visualizza tutte le proprietà
- annunci - Server avanzato
- aia [Index] - URL AIA
- cdp [Index] - URL CDP
- certificato [Indice] - Certificato CA
- certchain [Index] - Catena di certificati CA
- certcount - Conteggio certificati CA
- certcrlchain [Index] - Catena di certificati CA con CRL
- certstate [Index] - Certificato CA
- certstatuscode [Index] - Ca cert verify status
- certversion [Index] - Versione del certificato CA
- CRL [Indice] - CRL di base
- crlstate [Index] - CRL
- crlstatus [Index] - Stato di pubblicazione CRL
- cross- [Indice] - Certificato incrociato indietro
- cross+ [Indice] - Inoltrare il certificato incrociato
- crossstate- [Indice] - Certificato incrociato indietro
- crossstate+ [Indice] - Inoltrare il certificato incrociato
- deltacrl [Index] - Delta CRL
- deltacrlstatus [Index] - Stato pubblicazione CRL delta
- dns - Nome DNS
- dsname - Nome breve CA sanificato (nome DS)
- error1 ErrorCode - Testo del messaggio di errore
- error2 ErrorCode - Codice di errore e testo del messaggio di errore
- exit [Index] - Exit module description
- exitcount - Numero di moduli di uscita
- file - Versione del file
- informazioni - Informazioni sulla CA
- kra [Index] - KRA cert
- kracount - Conteggio certificati KRA
- krastate [Index] - KRA cert
- kraused - Conteggio dei certificati KRA usati
- nome locale - Nome delle impostazioni locali della CA
- nome - Nome CA
- ocsp [Index] - URL OCSP
- padre - CA padre
- dei criteri - Descrizione del modulo Criteri
- del prodotto - Versione del prodotto
- propidmax - PropId ca massimo
- ruolo - Separazione dei ruoli
- nome sanificato - Nome CA sanificato
- sharedfolder - Cartella condivisa
- subjecttemplateoid - IDE del modello di oggetto
- modelli - Modelli
- tipo - Tipo ca
- xchg [Index] - Certificato di scambio CA
- xchgchain [Index] - Catena di certificati di scambio CA
- xchgcount - Conteggio certificati di scambio CA
- xchgcrlchain [Index] - Catena di certificati di scambio CA con CRL
indice è l'indice della proprietà in base zero facoltativo.
errorcode è il codice di errore numerico.

Opzioni:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Visualizza le informazioni sul tipo di proprietà della CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opzioni:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera il certificato per l'autorità di certificazione.

certutil [options] -ca.cert OutCACertFile [Index]

Dove:

OutCACertFile è il file di output.
Index è l'indice di rinnovo del certificato CA (per impostazione predefinita è più recente).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la catena di certificati per l'autorità di certificazione.

certutil [options] -ca.chain OutCACertChainFile [Index]

Dove:

OutCACertChainFile è il file di output.
Index è l'indice di rinnovo del certificato CA (per impostazione predefinita è più recente).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ottiene un elenco di revoche di certificati (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Dove:

Index è l'indice CRL o l'indice della chiave (il valore predefinito è CRL per la chiave più recente).
delta è il CRL differenziale (il valore predefinito è CRL di base).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-CRL

Pubblica nuovi elenchi di revoche di certificati (CRL) o CRL differenziali.

certutil [options] -CRL [dd:hh | republish] [delta]

Dove:

dd:hh è il nuovo periodo di validità CRL in giorni e ore.
ripubblicare ripubblica i CRL più recenti.
delta pubblica solo i CRL differenziali (il valore predefinito è CRL di base e delta).

Opzioni:

[-split] [-config Machine\CAName]

-chiusura

Arresta Servizi certificati Active Directory.

certutil [options] -shutdown

Opzioni:

[-config Machine\CAName]

-installCert

Installa un certificato dell'autorità di certificazione.

certutil [options] -installCert [CACertFile]

Opzioni:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Rinnova un certificato dell'autorità di certificazione.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opzioni:

[-f] [-silent] [-config Machine\CAName]

Usare -f per ignorare una richiesta di rinnovo in sospeso e generare una nuova richiesta.

-schema

Esegue il dump dello schema per il certificato.

certutil [options] -schema [Ext | Attrib | CRL]

Dove:

Il comando viene impostato per impostazione predefinita sulla tabella Richiesta e Certificato.
Ext è la tabella di estensione.
attribute è la tabella degli attributi.
CRL è la tabella CRL.

Opzioni:

[-split] [-config Machine\CAName]

-vista

Esegue il dump della visualizzazione del certificato.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Dove:

coda esegue il dump di una coda di richieste specifica.
Log esegue il dump dei certificati rilasciati o revocati, oltre a eventuali richieste non riuscite.
LogFail esegue il dump delle richieste non riuscite.
Revoked esegue il dump dei certificati revocati.
Ext esegue il dump della tabella di estensione.
Attrib esegue il dump della tabella degli attributi.
CRL esegue il dump della tabella CRL.
csv fornisce l'output usando valori delimitati da virgole.

Opzioni:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Osservazioni

Per visualizzare la colonna StatusCode per tutte le voci, digitare -out StatusCode
Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$
Per visualizzare il RequestId e Disposition per tre richieste, digitare
Per visualizzare gli ID riga ID riga e numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Per visualizzare il numero CRL di base 3, digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Per visualizzare l'intera tabella CRL, digitare: CRL
Usare Date[+|-dd:hh] per le restrizioni relative alla data.
Usare now+dd:hh per una data relativa all'ora corrente.
I modelli contengono gli EKU (Extended Key Usages), ovvero identificatori di oggetto (OID) che descrivono come viene usato il certificato. I certificati non includono sempre nomi comuni dei modelli o nomi visualizzati, ma contengono sempre le EKU del modello. È possibile estrarre le EKU per un modello di certificato specifico da Active Directory e quindi limitare le visualizzazioni in base a tale estensione.

-Db

Esegue il dump del database non elaborato.

certutil [options] -db

Opzioni:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una riga dal database del server.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Dove:

Richiesta elimina le richieste non riuscite e in sospeso, in base alla data di invio.
certificato elimina i certificati scaduti e revocati in base alla data di scadenza.
Ext elimina la tabella di estensione.
attrib elimina la tabella degli attributi.
CRL elimina la tabella CRL.

Opzioni:

[-f] [-config Machine\CAName]

Esempi

Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare: 1/22/2001 request
Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 cert
Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare: 37
Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 crl

Nota

Date prevede il formato mm/dd/yyyy anziché dd/mm/yyyy, ad esempio 1/22/2001 anziché 22/1/2001 per il 22 gennaio 2001. Se il server non è configurato con le impostazioni internazionali degli Stati Uniti, l'argomento data potrebbe produrre risultati imprevisti.

-backup

Esegue il backup di Servizi certificati Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Dove:

backupDirectory è la directory in cui archiviare i dati di cui è stato eseguito il backup.
incrementale esegue solo un backup incrementale (il backup predefinito è completo).
KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Esegue il backup del database di Servizi certificati Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Dove:

backupDirectory è la directory in cui archiviare i file di database di cui è stato eseguito il backup.
incrementale esegue solo un backup incrementale (il backup predefinito è completo).
KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

[-f] [-config Machine\CAName]

-backupkey

Esegue il backup del certificato di Servizi certificati Active Directory e della chiave privata.

certutil [options] -backupkey BackupDirectory

Dove:

backupDirectory è la directory in cui archiviare il file PFX di cui è stato eseguito il backup.

Opzioni:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restaurare

Ripristina Servizi certificati Active Directory.

certutil [options] -restore BackupDirectory

Dove:

BackupDirectory è la directory contenente i dati da ripristinare.

Opzioni:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Ripristina il database di Servizi certificati Active Directory.

certutil [options] -restoredb BackupDirectory

Dove:

backupDirectory è la directory contenente i file di database da ripristinare.

Opzioni:

[-f] [-config Machine\CAName]

-restorekey

Ripristina il certificato e la chiave privata di Servizi certificati Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Dove:

backupDirectory è la directory contenente il file PFX da ripristinare.
PFXFile è il file PFX da ripristinare.

Opzioni:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Esporta i certificati e le chiavi private. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.
file PFXFile è il file PFX da esportare.
modificatori sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- CryptoAlgorithm= specifica l'algoritmo di crittografia da usare per crittografare il file PFX, ad esempio TripleDES-Sha1 o Aes256-Sha256.
- EncryptCert: crittografa la chiave privata associata al certificato con una password.
- ExportParameters -Exports i parametri della chiave privata oltre al certificato e alla chiave privata.
- ExtendedProperties : include tutte le proprietà estese associate al certificato nel file di output.
- NoEncryptCert: esporta la chiave privata senza crittografarla.
- NoChain : non importa la catena di certificati.
- NoRoot: non importa il certificato radice.

-importPFX

Importa i certificati e le chiavi private. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
PFXFile è il file PFX da importare.
modificatori sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- AT_KEYEXCHANGE : modifica keyspec in scambio di chiavi.
- AT_SIGNATURE : modifica keyspec in firma.
- ExportEncrypted : esporta la chiave privata associata al certificato con la crittografia della password.
- FriendlyName=: specifica un nome descrittivo per il certificato importato.
- KeyDescription= : specifica una descrizione per la chiave privata associata al certificato importato.
- KeyFriendlyName= : specifica un nome descrittivo per la chiave privata associata al certificato importato.
- NoCert: non importa il certificato.
- NoChain : non importa la catena di certificati.
- NoExport: rende la chiave privata non esportabile.
- NoProtect: non protegge le chiavi usando una password.
- NoRoot: non importa il certificato radice.
- pkcs8: usa il formato PKCS8 per la chiave privata nel file PFX.
- Proteggi: protegge le chiavi usando una password.
- ProtectHigh: specifica che una password di sicurezza elevata deve essere associata alla chiave privata.
- VSM: archivia la chiave privata associata al certificato importato nel contenitore della smart card virtuale .

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Osservazioni

L'impostazione predefinita è archivio computer personale.

-dynamicfilelist

Visualizza un elenco di file dinamici.

certutil [options] -dynamicfilelist

Opzioni:

[-config Machine\CAName]

-databaselocations

Visualizza i percorsi del database.

certutil [options] -databaselocations

Opzioni:

[-config Machine\CAName]

-hashfile

Genera e visualizza un hash crittografico su un file.

certutil [options] -hashfile InFile [HashAlgorithm]

-negozio

Esegue il dump dell'archivio certificati.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Per esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Questo ID può essere:
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (.. 0, .. 1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo di posta elettronica
- NOME UPN o DNS
- Nome contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId criteri applicazione o EKU
- Nome comune dell'autorità di certificazione CRL.

Molti di questi identificatori possono generare più corrispondenze.

outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio del servizio computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Nota

I problemi di prestazioni vengono osservati quando si usa il parametro -store in base a questi due aspetti:

Quando il numero di certificati nell'archivio supera 10.
Quando viene specificato un CertId , viene usato per corrispondere a tutti i tipi elencati per ogni certificato. Ad esempio, se viene fornito un numero di serie, tenterà anche di corrispondere a tutti gli altri tipi elencati.

Se si è preoccupati per i problemi di prestazioni, i comandi di PowerShell sono consigliati in cui corrisponderà solo al tipo di certificato specificato.

-enumstore

Enumera gli archivi certificati.

certutil [options] -enumstore [\\MachineName]

Dove:

MachineName è il nome del computer remoto.

Opzioni:

[-enterprise] [-user] [-grouppolicy]

-addstore

Aggiunge un certificato all'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -addstore CertificateStoreName InFile

Dove:

CertificateStoreName è il nome dell'archivio certificati.
InFile è il certificato o il file CRL da aggiungere all'archivio.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificato dall'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -delstore CertificateStoreName certID

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica un certificato nell'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -verifystore CertificateStoreName [CertId]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertIdList è l'elenco delimitato da virgole di certificati o token di corrispondenza CRL. Per altre informazioni, vedere la descrizione -store CertId in questo articolo.

PropertyInfFile è il file INF contenente proprietà esterne, tra cui:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il parametro -store in questo articolo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Per esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:
- Numero di serie
- Certificato SHA-1
- Hash della chiave pubblica, CTL o CRL
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (.. 0, .. 1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo di posta elettronica
- NOME UPN o DNS
- Nome contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId criteri applicazione o EKU
- Nome comune dell'autorità di certificazione CRL.

Molti di questi possono causare più corrispondenze.

outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio del servizio computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Elimina un certificato dall'archivio.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Per esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:
- Numero di serie
- Certificato SHA-1
- Hash della chiave pubblica, CTL o CRL
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (.. 0, .. 1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo di posta elettronica
- NOME UPN o DNS
- Nome contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId criteri applicazione o EKU
- Nome comune dell'autorità di certificazione CRL.

Molti di questi potrebbero comportare più corrispondenze.

outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio del servizio computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Richiama l'interfaccia certutil.

certutil [options] -UI File [import]

-TPMInfo

Visualizza informazioni attendibili sul modulo della piattaforma.

certutil [options] -TPMInfo

Opzioni:

[-f] [-Silent] [-split]

-attestare

Specifica che il file di richiesta del certificato deve essere attestato.

certutil [options] -attest RequestFile

Opzioni:

[-user] [-Silent] [-split]

-getcert

Seleziona un certificato da un'interfaccia utente di selezione.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opzioni:

[-Silent] [-split]

-Ds

Visualizza i nomi distinti del servizio directory (DS).

certutil [options] -ds [CommonName]

Opzioni:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina I DS DN.

certutil [options] -dsDel [CommonName]

Opzioni:

[-user] [-split] [-dc DCName]

-dsPublish

Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dove:

CertFile è il nome del file di certificato da pubblicare.
NTAuthCA pubblica il certificato nell'archivio DS Enterprise.
RootCA pubblica il certificato nell'archivio radice attendibile di DS.
SubCA pubblica il certificato della CA nell'oggetto CA DS.
CrossCA pubblica il certificato incrociato nell'oggetto CA DS.
KRA pubblica il certificato nell'oggetto Agente di ripristino delle chiavi DS.
User pubblica il certificato nell'oggetto User DS.
Machine pubblica il certificato nell'oggetto Machine DS.
CRLfile è il nome del file CRL da pubblicare.
DSCDPContainer è il cn del contenitore CDP di DS, in genere il nome del computer CA.
DSCDPCN è il CN dell'oggetto CDP DS basato sul nome breve e sull'indice chiave della CA sanificati.

Opzioni:

[-f] [-user] [-dc DCName]

Usare -f per creare un nuovo oggetto DS.

-dsCert

Visualizza i certificati DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opzioni:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Visualizza CRL DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Visualizza CRL delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Visualizza gli attributi del modello DS.

certutil [options] -dsTemplate [Template]

Opzioni:

[Silent] [-dc DCName]

-dsAddTemplate

Aggiunge modelli DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opzioni:

[-dc DCName]

-ADTemplate

Visualizza i modelli di Active Directory.

certutil [options] -ADTemplate [Template]

Opzioni:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Sagoma

Visualizza i modelli di criteri di registrazione certificati.

Opzioni:

certutil [options] -Template [Template]

Opzioni:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Visualizza le autorità di certificazione (CA) per un modello di certificato.

certutil [options] -TemplateCAs Template

Opzioni:

[-f] [-user] [-dc DCName]

-CATemplates

Visualizza i modelli per l'autorità di certificazione.

certutil [options] -CATemplates [Template]

Opzioni:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Imposta i modelli di certificato che l'autorità di certificazione può emettere.

certutil [options] -SetCATemplates [+ | -] TemplateList

Dove:

Il segno + aggiunge modelli di certificato all'elenco dei modelli disponibili della CA.
Il segno - rimuove i modelli di certificato dall'elenco dei modelli disponibili della CA.

-SetCASites

Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Dove:

SiteName è consentito solo quando la destinazione è una singola autorità di certificazione.

Opzioni:

[-f] [-config Machine\CAName] [-dc DCName]

Osservazioni

L'opzione -config è destinata a una singola autorità di certificazione (il valore predefinito è tutte le ca).
L'opzione -f può essere usata per eseguire l'override degli errori di convalida per il SiteName specificato o per eliminare tutti i nomi dei siti ca.

Nota

Per altre informazioni sulla configurazione di ca per la consapevolezza dei siti di Active Directory Domain Services (AD DS), vedere Active Directory Domain Services Site Awareness for AD DS Site Awareness for AD CS and PKI clients.

-enrollmentServerURL

Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dove:

AuthenticationType specifica uno dei metodi di autenticazione client seguenti durante l'aggiunta di un URL:
- Kerberos: usare le credenziali SSL Kerberos.
- UserName: usare un account denominato per le credenziali SSL.
- ClientCertificate : usare le credenziali SSL del certificato X.509.
- anonima: usare credenziali SSL anonime.
eliminare elimina l'URL specificato associato alla CA.
Priorità viene 1 se non specificato quando si aggiunge un URL.
modificatori è un elenco delimitato da virgole, che include una o più delle opzioni seguenti:
- AllowRenewalsOnly solo le richieste di rinnovo possono essere inviate a questa CA tramite questo URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in AD. Questo vale solo con clientCertificate e modalità allowRenewalsOnly.

Opzioni:

[-config Machine\CAName] [-dc DCName]

-ADCA

Visualizza le autorità di certificazione di Active Directory.

certutil [options] -ADCA [CAName]

Opzioni:

[-f] [-split] [-dc DCName]

-CA

Visualizza le autorità di certificazione dei criteri di registrazione.

certutil [options] -CA [CAName | TemplateName]

Opzioni:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Politica

Visualizza i criteri di registrazione.

certutil [options] -Policy

Opzioni:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Visualizza o elimina le voci della cache dei criteri di registrazione.

certutil [options] -PolicyCache [delete]

Dove:

eliminare elimina le voci della cache del server dei criteri.
-f elimina tutte le voci della cache

Opzioni:

[-f] [-user] [-policyserver URLorID]

-CredStore

Visualizza, aggiunge o elimina le voci dell'archivio credenziali.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Dove:

URL è l'URL di destinazione. È anche possibile usare * per trovare le corrispondenze con tutte le voci o https://machine* in modo che corrispondano a un prefisso URL.
aggiungere aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.
eliminare elimina le voci dell'archivio credenziali.
-f sovrascrive una singola voce o elimina più voci.

Opzioni:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installa i modelli di certificato predefiniti.

certutil [options] -InstallDefaultTemplates

Opzioni:

[-dc DCName]

-URL

Verifica gli URL di certificato o CRL.

certutil [options] -URL InFile | URL

Opzioni:

[-f] [-split]

-URLCache

Visualizza o elimina le voci della cache degli URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Dove:

URL è l'URL memorizzato nella cache.
CRL viene eseguito solo in tutti gli URL CRL memorizzati nella cache.
* opera su tutti gli URL memorizzati nella cache.
eliminare elimina gli URL pertinenti dalla cache locale dell'utente corrente.
-f forza il recupero di un URL specifico e l'aggiornamento della cache.

Opzioni:

[-f] [-split]

-polso

Genera un evento di registrazione automatica o un'attività NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Dove:

taskName è l'attività da attivare.
- Pregen è l'attività pregene NGC Key.
- AIKEnroll è l'attività di registrazione del certificato AIK NGC. L'impostazione predefinita è l'evento di registrazione automatica.
SRKThumbprint è l'identificazione personale della chiave radice di archiviazione
modificatori:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Opzioni:

[-user]

-MachineInfo

Visualizza informazioni sull'oggetto computer di Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati del controller di dominio senza verifica.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

modificatori:
- Verificare
- DeleteBad
- DeleteAll

Opzioni:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Mancia

La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [Dominio] e di specificare un controller di dominio (-dc) è stato aggiunto in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins. Le modifiche del comportamento di questo comando sono le seguenti:

Se non viene specificato un dominio e non viene specificato un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.
Se non viene specificato un dominio, ma viene specificato un controller di dominio, viene generato un report dei certificati nel controller di dominio specificato.
Se viene specificato un dominio, ma non viene specificato un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.
Se vengono specificati il dominio e il controller di dominio, viene generato un elenco di controller di dominio dal controller di dominio di destinazione. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.

Si supponga, ad esempio, che sia presente un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Visualizza informazioni su un'autorità di certificazione dell'organizzazione.

certutil [options] -EntInfo DomainName\MachineName$

Opzioni:

[-f] [-user]

-TCAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -TCAInfo [DomainDN | -]

Opzioni:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Visualizza informazioni sulla smart card.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Dove:

CRYPT_DELETEKEYSET elimina tutte le chiavi sulla smart card.

Opzioni:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gestisce i certificati radice della smart card.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opzioni:

[-f] [-split] [-p Password]

-chiave

Elenca le chiavi archiviate in un contenitore di chiavi.

certutil [options] -key [KeyContainerName | -]

Dove:

KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
L'uso del segno di - fa riferimento all'uso del contenitore di chiavi predefinito.

Opzioni:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina il contenitore di chiavi denominato.

certutil [options] -delkey KeyContainerName

Opzioni:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina il contenitore Windows Hello rimuovendo tutte le credenziali associate archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.

Gli utenti devono disconnettersi dopo aver usato questa opzione per completarla.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica un set di chiavi pubblico o privato.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Dove:

KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
CACertFile firma o crittografa i file di certificato.

Opzioni:

[-f] [-user] [-Silent] [-config Machine\CAName]

Osservazioni

Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla chiave privata.
Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.

-verificare

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Dove:

CertFile è il nome del certificato da verificare.
ApplicationPolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di applicazione necessari.
Di rilasciopolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di rilascio necessari.
CACertFile è il certificato ca emittente facoltativo da verificare.
crossedCACertFile è il certificato cross-certified facoltativo da CertFile.
CRLFile è il file CRL usato per verificare ilCACertFile .
IssuedCertFile è il certificato rilasciato facoltativo coperto dal crlfile.
deltaCRLFile è il file CRL delta facoltativo.
modificatori:
- Strong - Verifica della firma avanzata
- MSRoot : deve essere concatenato a una radice Microsoft
- MSTestRoot: deve essere concatenato a una radice di test Microsoft
- AppRoot: deve essere concatenato a una radice dell'applicazione Microsoft
- EV - Applicare i criteri di convalida estesa

Opzioni:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Osservazioni

L'uso di ApplicationPolicyList limita la compilazione della catena solo a catene valide per i criteri dell'applicazione specificati.
L'uso di IssuancePolicyList limita la compilazione della catena solo a catene valide per i criteri di rilascio specificati.
L'uso di CACertFile verifica i campi nel file rispetto a CertFile o CRLfile.
Se non viene specificato CACertFile, la catena completa viene compilata e verificata in base a CertFile.
Se vengono specificati CACertFile e CrossedCACertFile, i campi in entrambi i file vengono verificati in base a CertFile.
L'uso di IssuedCertFile verifica i campi nel file con CRLfile.
L'uso di DeltaCRLFile verifica i campi nel file in CertFile.

-verifyCTL

Verifica il CTL dei certificati AuthRoot o Non consentiti.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Dove:

CTLObject identifica il CTL da verificare, tra cui:
- AuthRootWU legge il cab AuthRoot e i certificati corrispondenti dalla cache degli URL. Usa -f per scaricare da Windows Update.
- Non consentitoWU legge il cab dei certificati non consentiti e il file dell'archivio certificati non consentito dalla cache degli URL. Usa -f per scaricare da Windows Update.
  - PinRulesWU legge il CAB PinRules dalla cache degli URL. Usa -f per scaricare da Windows Update.
- AuthRoot legge il CTL AuthRoot memorizzato nella cache del Registro di sistema. Usare con e un CertFile non attendibile per forzare l'aggiornamento dei CRL del certificato memorizzati nella cache AuthRoot e Non consentito.
- Non consentito legge il CTL dei certificati non consentiti memorizzati nella cache del Registro di sistema. Usare con
  e un CertFile non attendibile per forzare l'aggiornamento dei CRL del certificato memorizzati nella cache
  AuthRoot e Non consentito.
  - PinRules legge il CTL PinRules memorizzato nella cache del Registro di sistema. L'uso di -f ha lo stesso comportamento di PinRulesWU.
- CTLFileName specifica il file o il percorso HTTP del file CTL o CAB.
CertDir specifica la cartella contenente i certificati corrispondenti alle voci CTL. L'impostazione predefinita è la stessa cartella o sito Web del CTLobject. L'uso di un percorso della cartella HTTP richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Non consentito, vengono cercati più percorsi corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache dell'URL locale. Usare -f per scaricare da Windows Update, in base alle esigenze.
CertFile specifica i certificati da verificare. I certificati vengono confrontati con le voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.

Opzioni:

[-f] [-user] [-split]

-syncWithWU

Sincronizza i certificati con Windows Update.

certutil [options] -syncWithWU DestinationDir

Dove:

DestinationDir è la directory specificata.
f forza una sovrascrittura.
Unicode scrive l'output reindirizzato in Unicode.
gmt visualizza l'ora GMT.
secondi vengono visualizzati i tempi con secondi e millisecondi.
v è un'operazione dettagliata.
PIN è il PIN della smart card.
WELL_KNOWN_SID_TYPE è un SID numerico:
- 22 - Sistema locale
- 23 - Servizio locale
- 24 - Servizio di rete

Osservazioni

I file seguenti vengono scaricati usando il meccanismo di aggiornamento automatico:

authrootstl.cab contiene gli elenchi CRL dei certificati radice non Microsoft.
disallowedcertstl.cab contiene gli elenchi di scopi consentiti dei certificati non attendibili.
non consentitocert.sst contiene l'archivio certificati serializzato, inclusi i certificati non attendibili.
thumbprint.crt contiene i certificati radice non Microsoft.

Ad esempio, certutil -syncWithWU \\server1\PKI\CTLs.

Se si usa un percorso o una cartella locale inesistente come cartella di destinazione, viene visualizzato l'errore: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Se si usa un percorso di rete inesistente o non disponibile come cartella di destinazione, viene visualizzato l'errore: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Se il server non riesce a connettersi tramite la porta TCP 80 ai server di aggiornamento automatico Microsoft, viene visualizzato l'errore seguente: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Se il server non riesce a raggiungere i server di Aggiornamento automatico Microsoft con il nome DNS ctldl.windowsupdate.com, viene visualizzato l'errore seguente: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Se non si usa l'opzione -f e uno dei file CTL esiste già nella directory, viene visualizzato un errore: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Se si verifica una modifica nei certificati radice attendibili, viene visualizzato: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opzioni:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un file di archivio sincronizzato con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Dove:

SSTFile è il file .sst da generare che contiene le radici di terze parti scaricate da Windows Update.

Opzioni:

[-f] [-split]

-generatePinRulesCTL

Genera un file CTL (Certificate Trust List) che contiene un elenco di regole di aggiunta.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Dove:

XMLFile è il file XML di input da analizzare.
CTLFile è il file CTL di output da generare.
SSTFile è il file .sst facoltativo da creare che contiene tutti i certificati usati per l'aggiunta.
queryFilesPrefix sono Domains.csv facoltativi e Keys.csv file da creare per la query di database.
- La stringa QueryFilesPrefix viene anteporta a ogni file creato.
- Il file Domains.csv contiene il nome della regola, le righe di dominio.
- Il file Keys.csv contiene il nome della regola, le righe di identificazione personale SHA256 chiave.

Opzioni:

[-f]

-downloadOcsp

Scarica le risposte OCSP e scrive nella directory.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Dove:

CertificateDir è la directory di un certificato, di un archivio e di file PFX.
OcspDir è la directory in cui scrivere risposte OCSP.
ThreadCount è il numero massimo facoltativo di thread per il download simultaneo. Il valore predefinito è 10.
modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
- DownloadOnce - Scarica una volta e si esce.
- readOcsp: legge da OcspDir invece di scrivere.

-generateHpkpHeader

Genera l'intestazione HPKP usando i certificati in un file o in una directory specificata.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Dove:

CertFileOrDir è il file o la directory dei certificati, che è l'origine di pin-sha256.
maxAge è il valore max-age in secondi.
ReportUri è l'URI del report facoltativo.
modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
- includeSubDomains : aggiunge includeSubDomains.

-flushCache

Scarica le cache specificate nel processo selezionato, ad esempio lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Dove:

ProcessId è l'ID numerico di un processo da scaricare. Impostare su 0 per scaricare tutti i processi in cui è abilitato lo scaricamento.
cacheMask è la maschera di bit delle cache da scaricare sia numerica che i bit seguenti:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
- Mostra : mostra le cache scaricate. Certutil deve essere terminato in modo esplicito.

-addEccCurve

Aggiunge una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Dove:

CurveClass è il tipo di classe curva ECC:
- WEIERSTRASS (impostazione predefinita)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName è il nome della curva ECC.
CurveParameters sono uno dei seguenti:
- Nome file di certificato contenente parametri con codifica ASN.
- File contenente parametri con codifica ASN.
CurveOID è l'OID curva ECC ed è uno dei seguenti:
- Nome file di certificato contenente un OID con codifica ASN.
- OID curva ECC esplicito.
CurveType è il punto Schannel ECC NamedCurve (numerico).

Opzioni:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Dove:

CurveName è il nome della curva ECC.
curveOID è l'OID curva ECC.

Opzioni:

[-f]

-displayEccCurve

Visualizza la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Dove:

CurveName è il nome della curva ECC.
curveOID è l'OID curva ECC.

Opzioni:

[-f]

-csplist

Elenca i provider di servizi di crittografia installati in questo computer per le operazioni di crittografia.

certutil [options] -csplist [Algorithm]

Opzioni:

[-user] [-Silent] [-csp Provider]

-csptest

Verifica i CSP installati in questo computer.

certutil [options] -csptest [Algorithm]

Opzioni:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Visualizza la configurazione crittografica CNG in questo computer.

certutil [options] -CNGConfig

Opzioni:

[-Silent]

-segno

Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Dove:

InFileList è l'elenco delimitato da virgole di file di certificato o CRL da modificare e firmare nuovamente.
serialNumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.
CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.
OutFileList è l'elenco delimitato da virgole dei file di output del certificato o CRL modificati. Il numero di file deve corrispondere a infilelist.
StartDate+dd:hh è il nuovo periodo di validità per i file di certificato o CRL, tra cui:
- data facoltativa più
- giorni e ore facoltativi periodo di validità Se vengono usati più campi, usare un separatore (+) o (-). Usare now[+dd:hh] per iniziare all'ora corrente. Utilizzare now-dd:hh+dd:hh per iniziare in corrispondenza di un offset fisso rispetto all'ora corrente e a un periodo di validità fisso. Usare never per non avere una data di scadenza (solo per i CRL).
SerialNumberList è l'elenco di numeri di serie delimitati da virgole dei file da aggiungere o rimuovere.
ObjectIdList è l'elenco ObjectId dell'estensione delimitato da virgole dei file da rimuovere.

@ExtensionFile è il file INF che contiene le estensioni da aggiornare o rimuovere. Per esempio:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm è il nome dell'algoritmo hash. Deve essere solo il testo preceduto dal segno di #.
AlternateSignatureAlgorithm è l'identificatore dell'algoritmo di firma alternativo.

Opzioni:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Osservazioni

L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.
L'uso del segno più (+) aggiunge numeri di serie a un CRL.
È possibile usare un elenco per rimuovere contemporaneamente numeri di serie e ObjectIds da un CRL.
L'uso del segno meno prima di AlternateSignatureAlgorithm consente di usare il formato di firma legacy.
L'uso del segno più consente di usare il formato di firma alternativo.
Se non si specifica AlternateSignatureAlgorithm, viene usato il formato della firma nel certificato o CRL.

-vroot

Crea o elimina le radici virtuali Web e le condivisioni file.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina radici virtuali Web per un proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Aggiunge un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Dove:

addEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos usa le credenziali SSL Kerberos.
- UserName usa l'account denominato per le credenziali SSL.
- ClientCertificate usa le credenziali SSL del certificato X.509.
modificatori:
- AllowRenewalsOnly consente solo gli invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in Active Directory. Questo vale quando viene usato con clientCertificate e modalità di AllowRenewalsOnly.

Opzioni:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Dove:

deleteEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos usa le credenziali SSL Kerberos.
- UserName usa l'account denominato per le credenziali SSL.
- ClientCertificate usa le credenziali SSL del certificato X.509.

Opzioni:

[-config Machine\CAName]

-addPolicyServer

Aggiungere un'applicazione Server criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

addPolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos usa le credenziali SSL Kerberos.
- UserName usa l'account denominato per le credenziali SSL.
- ClientCertificate usa le credenziali SSL del certificato X.509.
KeyBasedRenewal consente l'uso dei criteri restituiti al client contenente i modelli keybasedrenewal. Questa opzione si applica solo per UserName e 'autenticazione ClientCertificate.

-deletePolicyServer

Elimina un'applicazione server criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

deletePolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos usa le credenziali SSL Kerberos.
- UserName usa l'account denominato per le credenziali SSL.
- ClientCertificate usa le credenziali SSL del certificato X.509.
KeyBasedRenewal consente l'uso di un server dei criteri KeyBasedRenewal.

-Classe

Visualizza le informazioni del Registro di sistema COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opzioni:

[-f]

-7f

Controlla la presenza di codifiche di lunghezza 0x7f.

certutil [options] -7f CertFile

-Oid

Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Dove:

ObjectId è l'ID da visualizzare o aggiungere al nome visualizzato.
GroupId è il numero GroupID (decimale) enumerato da ObjectIds.
AlgId è l'ID esadecimale che objectID cerca.
AlgorithmName è il nome dell'algoritmo che objectID cerca.
DisplayName visualizza il nome da archiviare in DS.
Elimina elimina il nome visualizzato.
LanguageId è il valore id lingua (per impostazione predefinita è corrente: 1033).
Tipo è il tipo di oggetto DS da creare, tra cui:
- 1 - Modello (impostazione predefinita)
- 2 - Criteri di rilascio
- 3 - Criteri dell'applicazione
-f crea un oggetto DS.

Opzioni:

[-f]

-errore

Visualizza il testo del messaggio associato a un codice di errore.

certutil [options] -error ErrorCode

-getsmtpinfo

Ottiene informazioni SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Imposta le informazioni SMTP.

certutil [options] -setsmtpinfo LogonName

Opzioni:

[-config Machine\CAName] [-p Password]

-getreg

Visualizza un valore del Registro di sistema.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Dove:

ca usa la chiave del Registro di sistema di un'autorità di certificazione.
ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
criterio usa la chiave del Registro di sistema del modulo criteri.
uscire usa la chiave del Registro di sistema del primo modulo di uscita.
modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave del Registro di sistema di configurazione della catena.
PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
Alias del Registro di sistema:
- Configurazione
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Imposta un valore del Registro di sistema.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Dove:

ca usa la chiave del Registro di sistema di un'autorità di certificazione.
ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
criterio usa la chiave del Registro di sistema del modulo criteri.
uscire usa la chiave del Registro di sistema del primo modulo di uscita.
modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave del Registro di sistema di configurazione della catena.
PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
Valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.

-delreg

Elimina un valore del Registro di sistema.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Dove:

ca usa la chiave del Registro di sistema di un'autorità di certificazione.
ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
criterio usa la chiave del Registro di sistema del modulo criteri.
uscire usa la chiave del Registro di sistema del primo modulo di uscita.
modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave del Registro di sistema di configurazione della catena.
PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
Valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
Alias del Registro di sistema:
- Configurazione
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Dove:

UserKeyAndCertFile è un file di dati con chiavi e certificati privati dell'utente da archiviare. Questo file può essere:
- Un file di esportazione del server di gestione delle chiavi di Exchange.An Exchange Key Management Server (KMS) export file.
- File PFX.
CertId è un token di corrispondenza del certificato di decrittografia del file di esportazione del Servizio di gestione delle chiavi. Per altre informazioni, vedere il parametro -store in questo articolo.
-f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un file di certificato nel database.

certutil [options] -ImportCert Certfile [ExistingRow]

Dove:

ExistingRow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.
-f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

[-f] [-config Machine\CAName]

Osservazioni

Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni eseguendo certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un BLOB di recupero delle chiavi private archiviato, genera uno script di ripristino o recupera le chiavi archiviate.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Dove:

script genera uno script per recuperare e ripristinare le chiavi (comportamento predefinito se vengono trovati più candidati di recupero corrispondenti o se il file di output non è specificato).
recuperare recupera uno o più BLOB di recupero delle chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se è specificato il file di output). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato e l'estensione .rec per ogni BLOB di ripristino della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
ripristinare recupera e recupera le chiavi private in un unico passaggio (richiede i certificati dell'agente di ripristino delle chiavi e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione .p12. Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.
SearchToken seleziona le chiavi e i certificati da recuperare, tra cui:
- Nome comune certificato
- Numero di serie del certificato
- Hash SHA-1 del certificato (identificazione personale)
- Hash SHA-1 del keyid del certificato (identificatore della chiave del soggetto)
- Nome richiedente (dominio\utente)
- UPN (user@domain)
RecoveryBlobOutFile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di ripristino delle chiavi.
OutputScriptFile restituisce un file con uno script batch per recuperare e recuperare chiavi private.
OutputFileBaseName restituisce un nome di base file.

Opzioni:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni

Per recuperare, qualsiasi estensione viene troncata e una stringa specifica del certificato e le estensioni .rec vengono aggiunte per ogni BLOB di recupero delle chiavi. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
Per ripristinare, qualsiasi estensione viene troncata e l'estensione .p12 viene aggiunta. Contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.

-RecoverKey

Recupera una chiave privata archiviata.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opzioni:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Unisce i file PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Dove:

PFXInFileList è un elenco delimitato da virgole di file di input PFX.
PFXOutFile è il nome del file di output PFX.
modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
- ExtendedProperties include tutte le proprietà estese.
- NoEncryptCert specifica di non crittografare i certificati.
- EncryptCert specifica di crittografare i certificati.

Opzioni:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni

La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente viene richiesta la password del file di output.

-add-chain

Aggiunge una catena di certificati.

certutil [options] -add-chain LogId certificate OutFile

Opzioni:

[-f]

-add-pre-chain

Aggiunge una catena di pre-certificati.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opzioni:

[-f]

-get-sth

Ottiene una testa dell'albero con segno.

certutil [options] -get-sth [LogId]

Opzioni:

[-f]

-get-sth-consistency

Ottiene le modifiche apportate alla testa dell'albero con segno.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opzioni:

[-f]

-get-proof-by-hash

Ottiene la prova di un hash da un server timestamp.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opzioni:

[-f]

-get-entries

Recupera le voci da un registro eventi.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opzioni:

[-f]

-get-root

Recupera i certificati radice dall'archivio certificati.

certutil [options] -get-roots LogId

Opzioni:

[-f]

-get-entry-and-proof

Recupera una voce del registro eventi e la relativa prova crittografica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opzioni:

[-f]

-VerifyCT

Verifica un certificato rispetto al log di trasparenza dei certificati.

certutil [options] -VerifyCT Certificate SCT [precert]

Opzioni:

[-f]

-?

Visualizza l'elenco dei parametri.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dove:

-? visualizza l'elenco dei parametri
-<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.
-? -v visualizza un elenco dettagliato di parametri e opzioni.

Opzioni

Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.

Opzione	Descrizione
-Admin	Usare ICertAdmin2 per le proprietà della CA.
-anonimo	Usare credenziali SSL anonime.
-cert CertId	Certificato di firma.
-clientcertificate clientCertId	Usare le credenziali SSL del certificato X.509. Per l'interfaccia utente di selezione, usare `-clientcertificate`.
-config Machine\CAName	Autorità di certificazione e stringa del nome computer.
Provider -csp	Provider: KSP - Provider di archiviazione chiavi software Microsoft TPM - Provider di crittografia della piattaforma Microsoft NGC - Provider di archiviazione chiavi Di Microsoft Passport SC - Provider di archiviazione chiavi smart card Microsoft
-dc DCName	Specificare come destinazione un controller di dominio specifico.
-azienda	Usare l'archivio certificati del Registro di sistema aziendale del computer locale.
-f	Forzare la sovrascrittura.
-generateSSTFromWU SSTFile	Generare SST usando il meccanismo di aggiornamento automatico.
-Gmt	Ora di visualizzazione con GMT.
-GroupPolicy	Usare l'archivio certificati criteri di gruppo.
-idispatch	Usare IDispatch anziché i metodi nativi COM.
-kerberos	Usare le credenziali SSL Kerberos.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-Mt	Visualizzare i modelli di computer.
-nocr	Codificare il testo senza caratteri CR.
-nocrlf	Codificare il testo senza CR-LF caratteri.
-nullsign	Usare l'hash dei dati come firma.
-oldpfx	Usare la crittografia PFX precedente.
-out columnlist	Elenco di colonne delimitate da virgole.
-p password	Parola d’ordine
-PIN	PIN smart card.
-policyserver URLorID	URL o ID del server dei criteri. Per la selezione U/I, usare `-policyserver`. Per tutti i server dei criteri, usare `-policyserver *`
-privatekey	Visualizzare i dati della password e della chiave privata.
-proteggere	Proteggere le chiavi con password.
-protectto SAMnameandSIDlist	Elenco di nomi SAM/SID delimitati da virgole.
-restrict restrictionlist	Elenco di restrizioni delimitato da virgole. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data. Un nome di colonna può essere preceduto da un segno più o meno per indicare l'ordinamento. Ad esempio: `requestID = 47`, `+requestername >= a, requestername`o `-requestername > DOMAIN, Disposition = 21`.
-inverso	Colonne Log inverso e Coda.
-Secondi	Visualizzare i tempi usando secondi e millisecondi.
-servizio	Usare l'archivio certificati del servizio.
-Sid	SID numerico: 22 - Sistema locale 23 - Servizio locale 24 - Servizio di rete
-silenzioso	Usare il flag `silent` per acquisire il contesto di crittografia.
-diviso	Dividere gli elementi ASN.1 incorporati e salvarli nei file.
-sslpolicy servername	Criteri SSL corrispondenti a NomeServer.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave facoltativa. Ad esempio: `AES,128` o `3DES`.
-syncWithWU DestinationDir	Eseguire la sincronizzazione con Windows Update.
-t timeout	Timeout recupero URL in millisecondi.
-Unicode	Scrivere l'output reindirizzato in Unicode.
-UnicodeText	Scrivere il file di output in Unicode.
-urlfetch	Recuperare e verificare certificati AIA e CRL CDP.
-utente	Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati.
-username username	Usare l'account denominato per le credenziali SSL. Per l'interfaccia utente di selezione, usare `-username`.
-Ut	Visualizzare i modelli utente.
-v	Fornire informazioni più dettagliate (dettagliate).
-v1	Usare le interfacce V1.

Algoritmi hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Per altri esempi di come usare questo comando, vedere gli articoli seguenti:

Condividi tramite

certutil

Parametri

-spazzatura

-dumpPFX

-Asn

-decodehex

-encodehex

-decodificare

-codificare

-negare

-Inviare

-setattributes

Osservazioni

-setextension

Osservazioni

-revocare

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-chiusura

-installCert

-renewCert

-schema

-vista

Osservazioni

-Db

-deleterow

Esempi

-backup

-backupDB

-backupkey

-restaurare

-restoredb

-restorekey

-exportPFX

-importPFX

Osservazioni

-dynamicfilelist

-databaselocations

-hashfile

-negozio

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attestare

-getcert

-Ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Sagoma

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Osservazioni

-enrollmentServerURL

-ADCA

-CA