certutil

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Voorzichtigheid

Certutil wordt niet aanbevolen om te worden gebruikt in een productiecode en biedt geen garanties voor live site-ondersteuning of toepassingsproblemen. Het is een hulpprogramma dat wordt gebruikt door ontwikkelaars en IT-beheerders om informatie over certificaatinhoud op apparaten weer te geven.

Certutil.exe is een opdrachtregelprogramma dat is geïnstalleerd als onderdeel van Certificate Services. U kunt certutil.exe gebruiken om configuratiegegevens van certificeringsinstantie (CA) weer te geven, Certificate Services te configureren en een back-up te maken van CA-onderdelen en deze te herstellen. Het programma controleert ook certificaten, sleutelparen en certificaatketens.

Als certutil wordt uitgevoerd op een certificeringsinstantie zonder andere parameters, wordt de huidige configuratie van de certificeringsinstantie weergegeven. Als certutil wordt uitgevoerd op een niet-certificeringsinstantie zonder andere parameters, wordt de opdracht standaard uitgevoerd op de certutil -dump opdracht. Niet alle versies van certutil bieden alle parameters en opties die in dit document worden beschreven. U kunt de keuzes zien die uw versie van certutil biedt door certutil -? of certutil <parameter> -?uit te voeren.

Fooi

Voer certutil -v -uSAGEuit om volledige hulp te zien voor alle certutil-werkwoorden en -opties, inclusief werkwoorden die zijn verborgen voor het argument -?. De uSAGE-switch is hoofdlettergevoelig.

Parameters

-stortplaats

Dumpt de configuratiegegevens of bestanden.

certutil [options] [-dump]
certutil [options] [-dump] File

Opties:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Dumpt de PFX-structuur.

certutil [options] [-dumpPFX] File

Opties:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Parseert en geeft de inhoud van een bestand weer met behulp van de asn.1-syntaxis (Abstract SyntaxIs notation). Bestandstypen zijn onder andere. CER, . OPGEMAAKTe DER- en PKCS #7-bestanden.

certutil [options] -asn File [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

-decodehex

Codeert een hexadecimale gecodeerd bestand.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

Opties:

[-f]

-encodehex

Codeert een bestand in hexadecimaal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* coderingstype

Opties:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decoderen

Codeert een met Base64 gecodeerd bestand.

certutil [options] -decode InFile OutFile

Opties:

[-f]

-coderen

Codeert een bestand naar Base64.

certutil [options] -encode InFile OutFile

Opties:

[-f] [-unicodetext]

-ontkennen

Weigert een aanvraag die in behandeling is.

certutil [options] -deny RequestId

Opties:

[-config Machine\CAName]

-Opnieuw

Verzendt een aanvraag die in behandeling is opnieuw.

certutil [options] -resubmit RequestId

Opties:

[-config Machine\CAName]

-setattributes

Hiermee stelt u kenmerken in voor een certificaataanvraag die in behandeling is.

certutil [options] -setattributes RequestId AttributeString

Waar:

• RequestId is de numerieke aanvraag-id voor de aanvraag die in behandeling is.
• AttributeString is de naam en waardeparen van het aanvraagkenmerk.

Opties:

[-config Machine\CAName]

Opmerkingen

• Namen en waarden moeten worden gescheiden door dubbele punt, terwijl meerdere namen en waardeparen moeten worden gescheiden door nieuwe regels. Bijvoorbeeld: CertificateTemplate:User\nEMail:User@Domain.com waarbij de \n reeks wordt geconverteerd naar een scheidingsteken voor nieuwe regels.

-setextension

Stel een extensie in voor een certificaataanvraag die in behandeling is.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Waar:

• requestID is de numerieke aanvraag-id voor de aanvraag die in behandeling is.
• ExtensionName is de ObjectId-tekenreeks voor de extensie.
• Vlaggen de prioriteit van de extensie instelt. 0 wordt aanbevolen, terwijl 1 de extensie instelt op kritiek, 2 de extensie uitschakelt en 3 beide doet.

Opties:

[-config Machine\CAName]

Opmerkingen

• Als de laatste parameter numeriek is, wordt deze gebruikt als een Long.
• Als de laatste parameter kan worden geparseerd als een datum, wordt deze gebruikt als een Datum.
• Als de laatste parameter begint met \@, wordt de rest van het token gebruikt als bestandsnaam met binaire gegevens of een hexdump van ascii-text.
• Als de laatste parameter iets anders is, wordt deze gebruikt als een tekenreeks.

-intrekken

Hiermee wordt een certificaat ingetrokken.

certutil [options] -revoke SerialNumber [Reason]

Waar:

• SerialNumber is een door komma's gescheiden lijst met serienummers van certificaten die moeten worden ingetrokken.
• Reden is de numerieke of symbolische weergave van de intrekkingsreden, waaronder:
  • 0. CRL_REASON_UNSPECIFIED - Niet opgegeven (standaard)
  • 1. CRL_REASON_KEY_COMPROMISE - Sleutelinbreuk
  • 2. CRL_REASON_CA_COMPROMISE - Inbreuk op certificeringsinstantie
  • 3. CRL_REASON_AFFILIATION_CHANGED - Relatie gewijzigd
  • 4. CRL_REASON_SUPERSEDED - vervangen
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Beëindiging van de bewerking
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificaatbe bewaring
  • 8. CRL_REASON_REMOVE_FROM_CRL - Verwijderen uit CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Bevoegdheden ingetrokken
  • 10: CRL_REASON_AA_COMPROMISE - AA-inbreuk
  • -1. Niet meer aanroepen - Niet-aanroepen

Opties:

[-config Machine\CAName]

-isvalid

Geeft de verwijdering van het huidige certificaat weer.

certutil [options] -isvalid SerialNumber | CertHash

Opties:

[-config Machine\CAName]

-getconfig

Hiermee haalt u de standaardconfiguratietekenreeks op.

certutil [options] -getconfig

Opties:

[-idispatch] [-config Machine\CAName]

-getconfig2

Hiermee haalt u de standaardconfiguratiereeks op via ICertGetConfig.

certutil [options] -getconfig2

Opties:

[-idispatch] 

-getconfig3

Hiermee wordt de configuratie via ICertConfig ophaalt.

certutil [options] -getconfig3

Opties:

[-idispatch] 

-ping

Er wordt geprobeerd contact op te maken met de active Directory Certificate Services-aanvraaginterface.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Waar:

• CAMachineList is een door komma's gescheiden lijst met ca-machinenamen. Gebruik voor één machine een afsluitkomma. Met deze optie worden ook de sitekosten voor elke CA-machine weergegeven.

Opties:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Er wordt geprobeerd contact op te maken met de beheerinterface van Active Directory Certificate Services.

certutil [options] -pingadmin

Opties:

[-config Machine\CAName]

-CAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Waar:

• InfoName geeft aan dat de CA-eigenschap moet worden weergegeven, op basis van de volgende syntaxis van het infonaamargument:
  • * - Alle eigenschappen weergeven
  • advertenties - Geavanceerde server
  • aia [Index] - AIA-URL's
  • cdp [Index] - CDP-URL's
  • certificaat [Index] - CA-certificaat
  • certificaatketen [Index] - CA-certificaatketen
  • certcount - aantal CA-certificaten
  • certcrlchain [Index] - CA-certificaatketen met CRL's
  • certificaat [Index] - CA-certificaat
  • certstatuscode [Index] - STATUS CA-certificaat controleren
  • certversion [Index] - CA-certificaatversie
  • CRL [Index] - Basis-CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL-publicatiestatus
  • cross- [Index] - Achterwaarts kruiscertificaat
  • cross+ [Index] - Kruiscertificaat doorsturen
  • crossstate- [Index] - Achterwaarts kruiscertificaat
  • crossstate+ [Index] - Kruiscertificaat doorsturen
  • deltacrl [Index] - Delta-CRL
  • deltacrlstatus [Index] - Publicatiestatus delta-CRL
  • dns- - DNS-naam
  • dsname - Korte naam van sanitized CA (DS-naam)
  • error1 ErrorCode - Tekst van foutbericht
  • error2 ErrorCode - Tekst en foutcode van foutbericht
  • [Index] afsluiten - Beschrijving van afsluitmodule
  • exitcount - Aantal afsluitmodules
  • bestand - Bestandsversie
  • info - CA-gegevens
  • kra [Index] - KRA-certificaat
  • kracount - aantal KRA-certificaten
  • krastate [Index] - KRA-certificaat
  • kraused - aantal gebruikte KRA-certificaten
  • localename - naam van ca-landinstelling
  • naam - CA-naam
  • ocsp [Index] - OCSP-URL's
  • bovenliggende - Bovenliggende CA
  • policy - Beschrijving van beleidsmodule
  • product - Productversie
  • propidmax - Maximum CA PropId
  • rol - Rolscheiding
  • opschoningsnaam - Naam van opschonde CA
  • gedeelde map - Gedeelde map
  • subjecttemplateoids - Onderwerpsjabloon-OID's
  • sjablonen - Sjablonen
  • type - CA-type
  • xchg [Index] - CA-uitwisselingscertificaat
  • xchgchain [Index] - CA exchange-certificaatketen
  • xchgcount- - aantal ca-certificaten
  • xchgcrlchain [Index] - CA exchange-certificaatketen met CRL's
• index is de optionele eigenschapsindex op basis van nul.
• foutcode de numerieke foutcode is.

Opties:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Geeft informatie over het type CA-eigenschap weer.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opties:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Haalt het certificaat voor de certificeringsinstantie op.

certutil [options] -ca.cert OutCACertFile [Index]

Waar:

• OutCACertFile is het uitvoerbestand.
• Index is de index voor het vernieuwen van ca-certificaten (standaard ingesteld op de meest recente).

Opties:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Haalt de certificaatketen voor de certificeringsinstantie op.

certutil [options] -ca.chain OutCACertChainFile [Index]

Waar:

• OutCACertChainFile is het uitvoerbestand.
• Index is de index voor het vernieuwen van ca-certificaten (standaard ingesteld op de meest recente).

Opties:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Hiermee haalt u een certificaatintrekkingslijst (CRL) op.

certutil [options] -GetCRL OutFile [Index] [delta]

Waar:

• Index is de CRL-index of -sleutelindex (standaard ingesteld op CRL voor de meest recente sleutel).
• delta- is de delta-CRL (standaard is basis-CRL).

Opties:

[-f] [-split] [-config Machine\CAName]

-CRL

Publiceert nieuwe certificaatintrekkingslijsten (CRL's) of delta-CRL's.

certutil [options] -CRL [dd:hh | republish] [delta]

Waar:

• dd:hh is de nieuwe CRL-geldigheidsperiode in dagen en uren.
• opnieuw publiceren de meest recente CRL's opnieuw publiceert.
• delta- publiceert alleen de delta-CRL's (standaard is basis- en delta-CRL's).

Opties:

[-split] [-config Machine\CAName]

-Afsluiten

Hiermee sluit u de Active Directory Certificate Services af.

certutil [options] -shutdown

Opties:

[-config Machine\CAName]

-installCert

Hiermee wordt een certificeringsinstantiecertificaat geïnstalleerd.

certutil [options] -installCert [CACertFile]

Opties:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Een certificeringsinstantiecertificaat wordt vernieuwd.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opties:

[-f] [-silent] [-config Machine\CAName]

• Gebruik -f om een openstaande verlengingsaanvraag te negeren en een nieuwe aanvraag te genereren.

-schema

Dumpt het schema voor het certificaat.

certutil [options] -schema [Ext | Attrib | CRL]

Waar:

• De opdracht wordt standaard ingesteld op de tabel Aanvraag en Certificaat.
• Ext is de extensietabel.
• kenmerk is de kenmerktabel.
• CRL- is de CRL-tabel.

Opties:

[-split] [-config Machine\CAName]

-bekijken

Dumpt de certificaatweergave.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Waar:

• Wachtrij een specifieke aanvraagwachtrij dumpt.
• Log dumpt de uitgegeven of ingetrokken certificaten, plus mislukte aanvragen.
• LogFail- dumpt de mislukte aanvragen.
• ingetrokken de ingetrokken certificaten dumpt.
• Ext de extensietabel dumpt.
• Attrib dumpt de kenmerktabel.
• CRL- de CRL-tabel dumpt.
• CSV- levert de uitvoer met door komma's gescheiden waarden.

Opties:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Opmerkingen

• Als u de kolom StatusCode voor alle vermeldingen wilt weergeven, typt u -out StatusCode
• Als u alle kolommen voor het laatste item wilt weergeven, typt u: -restrict RequestId==$
• Als u de RequestId- en verwijderings- voor drie aanvragen wilt weergeven, typt u: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Als u rij-id's wilt weergeven rij-id's en CRL-nummers voor alle basis-CRL's, typt u: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Als u basis-CRL nummer 3 wilt weergeven, typt u: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Als u de hele CRL-tabel wilt weergeven, typt u: CRL
• Gebruik Date[+|-dd:hh] voor datumbeperkingen.
• Gebruik now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Sjablonen bevatten uitgebreide sleutelgebruiken (EKU's), die object-id's (OID's) zijn die beschrijven hoe het certificaat wordt gebruikt. Certificaten bevatten niet altijd algemene sjabloonnamen of weergavenamen, maar bevatten altijd de sjabloon-EKU's. U kunt de EKU's voor een specifieke certificaatsjabloon uit Active Directory extraheren en vervolgens weergaven beperken op basis van die extensie.

-Db

Dumpt de onbewerkte database.

certutil [options] -db

Opties:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Hiermee verwijdert u een rij uit de serverdatabase.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Waar:

• Aanvraag verwijdert de mislukte en in behandeling zijnde aanvragen op basis van de indieningsdatum.
• certificaat verwijdert de verlopen en ingetrokken certificaten op basis van de vervaldatum.
• Ext- de extensietabel verwijdert.
• Attrib verwijdert de kenmerktabel.
• CRL- de CRL-tabel verwijdert.

Opties:

[-f] [-config Machine\CAName]

Voorbeelden

• Als u mislukte en in behandeling zijnde aanvragen wilt verwijderen die zijn ingediend op 22 januari 2001, typt u: 1/22/2001 request
• Als u alle certificaten wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 cert
• Als u de certificaatrij, kenmerken en extensies voor RequestID 37 wilt verwijderen, typt u: 37
• Als u CRL's wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 crl

Notitie

Date verwacht de indeling mm/dd/yyyy in plaats van dd/mm/yyyy, bijvoorbeeld 1/22/2001 in plaats van 22/1/2001 voor 22 januari 2001. Als uw server niet is geconfigureerd met landinstellingen in de VS, kan het argument Datum onverwachte resultaten opleveren.

-backup

Hiermee wordt een back-up gemaakt van Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Waar:

• BackupDirectory is de map voor het opslaan van de back-upgegevens.
• incrementele voert alleen een incrementele back-up uit (standaard is een volledige back-up).
• KeepLog- behoudt de databaselogboekbestanden (standaard is het afkappen van logboekbestanden).

Opties:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Hiermee wordt een back-up gemaakt van de Active Directory Certificate Services-database.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Waar:

• BackupDirectory- is de map voor het opslaan van de back-updatabasebestanden.
• incrementele voert alleen een incrementele back-up uit (standaard is een volledige back-up).
• KeepLog- behoudt de databaselogboekbestanden (standaard is het afkappen van logboekbestanden).

Opties:

[-f] [-config Machine\CAName]

-backupkey

Hiermee wordt een back-up gemaakt van het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -backupkey BackupDirectory

Waar:

• BackupDirectory is de map voor het opslaan van het PFX-bestand waarvan een back-up is gemaakt.

Opties:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-herstellen

Hiermee herstelt u de Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Waar:

• BackupDirectory is de map met de gegevens die moeten worden hersteld.

Opties:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Hiermee herstelt u de Active Directory Certificate Services-database.

certutil [options] -restoredb BackupDirectory

Waar:

• BackupDirectory is de map met de databasebestanden die moeten worden hersteld.

Opties:

[-f] [-config Machine\CAName]

-restorekey

Hiermee herstelt u het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -restorekey BackupDirectory | PFXFile

Waar:

• BackupDirectory- is de map met het PFX-bestand dat moet worden hersteld.
• PFXFile- is het PFX-bestand dat moet worden hersteld.

Opties:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporteert de certificaten en persoonlijke sleutels. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Waar:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId- is het certificaat of de CRL-overeenkomsttoken.
• PFXFile- is het PFX-bestand dat moet worden geëxporteerd.
• modifiers zijn de door komma's gescheiden lijst, die een of meer van de volgende opties kan bevatten:
  • CryptoAlgorithm= geeft het cryptografische algoritme op dat moet worden gebruikt voor het versleutelen van het PFX-bestand, zoals TripleDES-Sha1 of Aes256-Sha256.
  • EncryptCert - Versleutelt de persoonlijke sleutel die is gekoppeld aan het certificaat met een wachtwoord.
  • ExportParameters -Exports de parameters voor de persoonlijke sleutel naast het certificaat en de persoonlijke sleutel.
  • ExtendedProperties- - Bevat alle uitgebreide eigenschappen die zijn gekoppeld aan het certificaat in het uitvoerbestand.
  • NoEncryptCert- : exporteert de persoonlijke sleutel zonder deze te versleutelen.
  • NoChain : de certificaatketen wordt niet geïmporteerd.
  • NoRoot-: het basiscertificaat wordt niet geïmporteerd.

-importPFX

Hiermee importeert u de certificaten en persoonlijke sleutels. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Waar:

• CertificateStoreName is de naam van het certificaatarchief.
• PFXFile- is het PFX-bestand dat moet worden geïmporteerd.
• modifiers zijn de door komma's gescheiden lijst, die een of meer van de volgende opties kan bevatten:
  • AT_KEYEXCHANGE : hiermee wordt de sleutelspec gewijzigd in sleuteluitwisseling.
  • AT_SIGNATURE : hiermee wijzigt u de sleutelspec op handtekening.
  • ExportEncrypted - Exporteert de persoonlijke sleutel die is gekoppeld aan het certificaat met wachtwoordversleuteling.
  • FriendlyName= - Hiermee geeft u een beschrijvende naam op voor het geïmporteerde certificaat.
  • KeyDescription= - Hiermee geeft u een beschrijving op voor de persoonlijke sleutel die is gekoppeld aan het geïmporteerde certificaat.
  • KeyFriendlyName= - Hiermee geeft u een beschrijvende naam op voor de persoonlijke sleutel die is gekoppeld aan het geïmporteerde certificaat.
  • NoCert-: het certificaat wordt niet geïmporteerd.
  • NoChain : de certificaatketen wordt niet geïmporteerd.
  • NoExport - Maakt de persoonlijke sleutel niet exporteerbaar.
  • NoProtect: sleutels worden niet met een wachtwoord beveiligd met een wachtwoord.
  • NoRoot-: het basiscertificaat wordt niet geïmporteerd.
  • Pkcs8- : maakt gebruik van de PKCS8-indeling voor de persoonlijke sleutel in het PFX-bestand.
  • beveiligen - Hiermee worden sleutels beveiligd met behulp van een wachtwoord.
  • ProtectHigh- - Hiermee geeft u op dat een wachtwoord met hoge beveiliging moet worden gekoppeld aan de persoonlijke sleutel.
  • VSM- : slaat de persoonlijke sleutel op die is gekoppeld aan het geïmporteerde certificaat in de VSC-container (Virtual Smart Card).

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Opmerkingen

• Standaard ingesteld op persoonlijke computeropslag.

-dynamicfilelist

Geeft een lijst met dynamische bestanden weer.

certutil [options] -dynamicfilelist

Opties:

[-config Machine\CAName]

-databaselocatie

Geeft databaselocaties weer.

certutil [options] -databaselocations

Opties:

[-config Machine\CAName]

-hashfile

Hiermee wordt een cryptografische hash over een bestand gegenereerd en weergegeven.

certutil [options] -hashfile InFile [HashAlgorithm]

-winkel

Dumpt het certificaatarchief.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Waar:

• CertificateStoreName is de naam van het certificaatarchief. Bijvoorbeeld:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId- is het certificaat of de CRL-overeenkomsttoken. Deze id kan een:

  • Serienummer
  • SHA-1-certificaat
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Openbare sleutel
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mailadres
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze id's kunnen meerdere overeenkomsten tot gevolg hebben.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• De optie -user opent een gebruikersarchief in plaats van een computerarchief.
• De optie -enterprise heeft toegang tot een bedrijfsarchief van de machine.
• De optie -service heeft toegang tot een machineservicearchief.
• De optie -grouppolicy opent een groepsbeleidsarchief voor computers.

Bijvoorbeeld:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Notitie

Prestatieproblemen worden waargenomen bij het gebruik van de parameter -store op basis van deze twee aspecten:

1. Wanneer het aantal certificaten in het archief groter is dan 10.
2. Wanneer een CertId- is opgegeven, wordt deze gebruikt om alle vermelde typen voor elk certificaat te vinden. Als er bijvoorbeeld een serienummer wordt opgegeven, wordt ook geprobeerd alle andere vermelde typen te vinden.

Als u zich zorgen maakt over prestatieproblemen, worden PowerShell-opdrachten aanbevolen waar deze alleen overeenkomen met het opgegeven certificaattype.

-enumstore

Inventariseert de certificaatarchieven.

certutil [options] -enumstore [\\MachineName]

Waar:

• MachineName is de naam van de externe computer.

Opties:

[-enterprise] [-user] [-grouppolicy]

-addstore

Hiermee voegt u een certificaat toe aan het archief. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -addstore CertificateStoreName InFile

Waar:

• CertificateStoreName is de naam van het certificaatarchief.
• InFile is het certificaat- of CRL-bestand dat u wilt toevoegen aan het archief.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Hiermee verwijdert u een certificaat uit het archief. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -delstore CertificateStoreName certID

Waar:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId- is het certificaat of de CRL-overeenkomsttoken.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Controleert een certificaat in het archief. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -verifystore CertificateStoreName [CertId]

Waar:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId- is het certificaat of de CRL-overeenkomsttoken.

Opties:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Hiermee herstelt u een sleutelkoppeling of werkt u certificaateigenschappen of de sleutelbeveiligingsdescriptor bij. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Waar:

• CertificateStoreName is de naam van het certificaatarchief.

• CertIdList- is de door komma's gescheiden lijst met certificaat- of CRL-overeenkomsttokens. Zie de beschrijving -store CertId in dit artikel voor meer informatie.

• PropertyInfFile- is het INF-bestand met externe eigenschappen, waaronder:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Dumpt het certificaatarchief. Zie de parameter -store in dit artikel voor meer informatie.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Waar:

• CertificateStoreName is de naam van het certificaatarchief. Bijvoorbeeld:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId- is het certificaat of de CRL-overeenkomsttoken. Dit kan een:

  • Serienummer
  • SHA-1-certificaat
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Openbare sleutel
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mailadres
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen resulteren in meerdere overeenkomsten.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De optie -user opent een gebruikersarchief in plaats van een computerarchief.
• De optie -enterprise heeft toegang tot een bedrijfsarchief van de machine.
• De optie -service heeft toegang tot een machineservicearchief.
• De optie -grouppolicy opent een groepsbeleidsarchief voor computers.

Bijvoorbeeld:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Hiermee verwijdert u een certificaat uit het archief.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Waar:

• CertificateStoreName is de naam van het certificaatarchief. Bijvoorbeeld:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId- is het certificaat of de CRL-overeenkomsttoken. Dit kan een:

  • Serienummer
  • SHA-1-certificaat
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Openbare sleutel
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mailadres
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen leiden tot meerdere overeenkomsten.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De optie -user opent een gebruikersarchief in plaats van een computerarchief.
• De optie -enterprise heeft toegang tot een bedrijfsarchief van de machine.
• De optie -service heeft toegang tot een machineservicearchief.
• De optie -grouppolicy opent een groepsbeleidsarchief voor computers.

Bijvoorbeeld:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-GEBRUIKERSINTERFACE

Roept de certutil-interface aan.

certutil [options] -UI File [import]

-TPMInfo

Geeft informatie over vertrouwde platformmodules weer.

certutil [options] -TPMInfo

Opties:

[-f] [-Silent] [-split]

-getuigen

Hiermee geeft u op dat het certificaataanvraagbestand moet worden getest.

certutil [options] -attest RequestFile

Opties:

[-user] [-Silent] [-split]

-getcert

Selecteert een certificaat in een selectiegebruikersinterface.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opties:

[-Silent] [-split]

-Ds

Hiermee worden DS-DS-DN's (DS)-namen (DS) weergegeven.

certutil [options] -ds [CommonName]

Opties:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Hiermee verwijdert u DS DN's.

certutil [options] -dsDel [CommonName]

Opties:

[-user] [-split] [-dc DCName]

-dsPublish

Hiermee publiceert u een certificaat of certificaatintrekkingslijst (CRL) naar Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Waar:

• CertFile- is de naam van het certificaatbestand dat moet worden gepubliceerd.
• NTAuthCA publiceert het certificaat naar het DS Enterprise-archief.
• RootCA- publiceert het certificaat naar het vertrouwde basisarchief van DS.
• SubCA publiceert het CA-certificaat naar het DS CA-object.
• CrossCA- publiceert het kruiscertificaat naar het DS CA-object.
• KRA- publiceert het certificaat naar het object DS Key Recovery Agent.
• Gebruiker het certificaat publiceert naar het object User DS.
• Machine het certificaat publiceert naar het DS-object van de machine.
• CRLfile- is de naam van het CRL-bestand dat moet worden gepubliceerd.
• DSCDPContainer is de DS CDP-container CN, meestal de naam van de CA-computer.
• DSCDPCN is het DS CDP-object CN op basis van de korte naam en sleutelindex van de geschonde CA.

Opties:

[-f] [-user] [-dc DCName]

• Gebruik -f om een nieuw DS-object te maken.

-dsCert

Geeft DS-certificaten weer.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opties:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Geeft DS CRL's weer.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opties:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Geeft DS Delta CRL's weer.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opties:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Geeft DS-sjabloonkenmerken weer.

certutil [options] -dsTemplate [Template]

Opties:

[Silent] [-dc DCName]

-dsAddTemplate

Hiermee voegt u DS-sjablonen toe.

certutil [options] -dsAddTemplate TemplateInfFile

Opties:

[-dc DCName]

-ADTemplate

Geeft Active Directory-sjablonen weer.

certutil [options] -ADTemplate [Template]

Opties:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Sjabloon

Geeft de certificaatinschrijvingsbeleidssjablonen weer.

Opties:

certutil [options] -Template [Template]

Opties:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Geeft de certificeringsinstanties (CA's) weer voor een certificaatsjabloon.

certutil [options] -TemplateCAs Template

Opties:

[-f] [-user] [-dc DCName]

-CATemplates

Hiermee worden sjablonen voor de certificeringsinstantie weergegeven.

certutil [options] -CATemplates [Template]

Opties:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Hiermee stelt u de certificaatsjablonen in die de certificeringsinstantie kan uitgeven.

certutil [options] -SetCATemplates [+ | -] TemplateList

Waar:

• Met het +-teken worden certificaatsjablonen toegevoegd aan de lijst met beschikbare sjablonen van de CA.
• Met het --teken worden certificaatsjablonen verwijderd uit de lijst met beschikbare sjablonen van de CA.

-SetCASites

Beheert sitenamen, waaronder instelling, verificatie en het verwijderen van sitenamen van certificeringsinstanties.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Waar:

• SiteName is alleen toegestaan bij het richten van één certificeringsinstantie.

Opties:

[-f] [-config Machine\CAName] [-dc DCName]

Opmerkingen

• De optie -config is gericht op één certificeringsinstantie (standaard zijn alle CA's).
• De optie -f kan worden gebruikt om validatiefouten voor de opgegeven SiteName te overschrijven of om alle CA-sitenamen te verwijderen.

Notitie

Zie voor meer informatie over het configureren van CA's voor AD DS-sitebewustzijn (Active Directory Domain Services) AD DS-sitebewustzijn voor AD CS- en PKI-clients.

-enrollmentServerURL

Hiermee worden URL's van inschrijvingsservers weergegeven, toegevoegd of verwijderd die zijn gekoppeld aan een CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Waar:

• AuthenticationType een van de volgende clientverificatiemethoden opgeeft tijdens het toevoegen van een URL:
  • Kerberos- - Kerberos SSL-referenties gebruiken.
  • UserName : gebruik een benoemd account voor SSL-referenties.
  • ClientCertificate : gebruik SSL-referenties voor X.509-certificaten.
  • Anonieme : anonieme SSL-referenties gebruiken.
• verwijdert de opgegeven URL die is gekoppeld aan de CA.
• Prioriteit standaard ingesteld op 1 als deze niet is opgegeven bij het toevoegen van een URL.
• Modifiers is een door komma's gescheiden lijst, die een of meer van de volgende items bevat:
  • AllowRenewalsOnly alleen verlengingsaanvragen kunnen via deze URL worden ingediend bij deze CA.
  • AllowKeyBasedRenewal staat het gebruik toe van een certificaat dat geen gekoppeld account in de AD heeft. Dit geldt alleen voor ClientCertificate en AllowRenewalsOnly modus.

Opties:

[-config Machine\CAName] [-dc DCName]

-ADCA

Geeft de Active Directory-certificeringsinstanties weer.

certutil [options] -ADCA [CAName]

Opties:

[-f] [-split] [-dc DCName]

-CA

Geeft de certificeringsinstanties voor inschrijvingsbeleid weer.

certutil [options] -CA [CAName | TemplateName]

Opties:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Beleid

Geeft het inschrijvingsbeleid weer.

certutil [options] -Policy

Opties:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Hiermee worden cachevermeldingen voor het inschrijvingsbeleid weergegeven of verwijderd.

certutil [options] -PolicyCache [delete]

Waar:

• verwijdert de cachevermeldingen van de beleidsserver.
• -f verwijdert alle cachevermeldingen

Opties:

[-f] [-user] [-policyserver URLorID]

-CredStore

Hiermee worden vermeldingen in het referentiearchief weergegeven, toegevoegd of verwijderd.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Waar:

• URL de doel-URL is. U kunt ook * gebruiken om alle vermeldingen of https://machine* overeen te laten komen met een URL-voorvoegsel.
• voegt een referentiearchiefvermelding toe. Voor het gebruik van deze optie is ook het gebruik van SSL-referenties vereist.
• verwijdert vermeldingen in het referentiearchief.
• -f één vermelding overschrijft of meerdere vermeldingen verwijdert.

Opties:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Hiermee worden de standaardcertificaatsjablonen geïnstalleerd.

certutil [options] -InstallDefaultTemplates

Opties:

[-dc DCName]

-URL

Controleert certificaat- of CRL-URL's.

certutil [options] -URL InFile | URL

Opties:

[-f] [-split]

-URLCache

Hiermee worden url-cachevermeldingen weergegeven of verwijderd.

certutil [options] -URLcache [URL | CRL | * [delete]]

Waar:

• URL de URL in de cache is.
• CRL- wordt alleen uitgevoerd op alle CRL-URL's in de cache.
• * werkt op alle URL's in de cache.
• verwijdert relevante URL's uit de lokale cache van de huidige gebruiker.
• -f zorgt ervoor dat een specifieke URL wordt opgehaald en de cache wordt bijgewerkt.

Opties:

[-f] [-split]

-polsslag

Pulseert een gebeurtenis voor automatische inschrijving of NGC-taak.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Waar:

• TaskName is de taak die moet worden geactiveerd.
  • pregen- is de taak NGC-sleutelvoorgeen.
  • AIKEnroll- is de NGC AIK-certificaatinschrijvingstaak. (Standaard ingesteld op de gebeurtenis voor automatisch inschrijven).
• SRKThumbprint- is de vingerafdruk van de hoofdsleutel van de opslag
• modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Opties:

[-user]

-MachineInfo

Geeft informatie weer over het Active Directory-machineobject.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Geeft informatie weer over de domeincontroller. De standaardinstelling geeft DC-certificaten weer zonder verificatie.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• modifiers:

  • Verifiëren
  • DeleteBad
  • DeleteAll

Opties:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Fooi

De mogelijkheid om een AD DS-domein (Active Directory Domain Services) op te geven [Domein] en om een domeincontroller (-dc) op te geven, is toegevoegd in Windows Server 2012. Als u de opdracht wilt uitvoeren, moet u een account gebruiken dat lid is van Domeinadministratoren of Ondernemingsadministratoren. De gedragswijzigingen van deze opdracht zijn als volgt:

• Als een domein niet is opgegeven en een specifieke domeincontroller niet is opgegeven, retourneert deze optie een lijst met domeincontrollers die moeten worden verwerkt vanaf de standaarddomeincontroller.
• Als een domein niet is opgegeven, maar een domeincontroller is opgegeven, wordt een rapport van de certificaten op de opgegeven domeincontroller gegenereerd.
• Als een domein is opgegeven, maar een domeincontroller niet is opgegeven, wordt er een lijst met domeincontrollers gegenereerd, samen met rapporten over de certificaten voor elke domeincontroller in de lijst.
• Als het domein en de domeincontroller zijn opgegeven, wordt er een lijst met domeincontrollers gegenereerd op basis van de doeldomeincontroller. Er wordt ook een rapport gegenereerd van de certificaten voor elke domeincontroller in de lijst.

Stel dat er een domein met de naam CPANDL is met een domeincontroller met de naam CPANDL-DC1. U kunt de volgende opdracht uitvoeren om een lijst met domeincontrollers en hun certificaten op te halen van CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Geeft informatie weer over een certificeringsinstantie voor ondernemingen.

certutil [options] -EntInfo DomainName\MachineName$

Opties:

[-f] [-user]

-TCAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -TCAInfo [DomainDN | -]

Opties:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Geeft informatie weer over de smartcard.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Waar:

• CRYPT_DELETEKEYSET verwijdert alle sleutels op de smartcard.

Opties:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Beheert basiscertificaten voor smartcards.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opties:

[-f] [-split] [-p Password]

-sleutel

Geeft een lijst weer van de sleutels die zijn opgeslagen in een sleutelcontainer.

certutil [options] -key [KeyContainerName | -]

Waar:

• KeyContainerName is de naam van de sleutelcontainer die moet worden geverifieerd. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• Het --teken verwijst naar het gebruik van de standaardsleutelcontainer.

Opties:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Hiermee verwijdert u de benoemde sleutelcontainer.

certutil [options] -delkey KeyContainerName

Opties:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Hiermee verwijdert u de Windows Hello-container, waarbij alle bijbehorende referenties worden verwijderd die zijn opgeslagen op het apparaat, inclusief webauthn- en FIDO-referenties.

Gebruikers moeten zich afmelden nadat ze deze optie hebben gebruikt om deze te voltooien.

certutil [options] -DeleteHelloContainer

-verifykeys

Hiermee wordt een openbare of persoonlijke sleutelset geverifieerd.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Waar:

• KeyContainerName is de naam van de sleutelcontainer die moet worden geverifieerd. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• CACertFile certificaatbestanden ondertekent of versleutelt.

Opties:

[-f] [-user] [-Silent] [-config Machine\CAName]

Opmerkingen

• Als er geen argumenten zijn opgegeven, wordt elk handtekening-CA-certificaat geverifieerd op basis van de persoonlijke sleutel.
• Deze bewerking kan alleen worden uitgevoerd op basis van een lokale CA of lokale sleutels.

-verifiëren

Controleert een certificaat, certificaatintrekkingslijst (CRL) of certificaatketen.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Waar:

• CertFile- is de naam van het certificaat dat moet worden geverifieerd.
• ApplicationPolicyList is de optionele lijst met door komma's gescheiden lijst met vereiste object-id's voor toepassingsbeleid.
• IssuancePolicyList is de optionele lijst met door komma's gescheiden lijst met vereiste uitgiftebeleidsobject-id's.
• CACertFile- is het optionele verlenende CA-certificaat om mee te verifiëren.
• CrossedCACertFile is het optionele certificaat dat door CertFileis gecertificeerd.
• CRLFile is het CRL-bestand dat wordt gebruikt om de CACertFile-te controleren.
• IssuedCertFile is het optionele uitgegeven certificaat dat wordt gedekt door het CRLfile.
• DeltaCRLFile is het optionele delta-CRL-bestand.
• modifiers:
  • Sterk - Sterke handtekeningverificatie
  • MSRoot - Moet worden gekoppeld aan een Microsoft-hoofdmap
  • MSTestRoot - Moet worden gekoppeld aan een Microsoft-testhoofdmap
  • AppRoot : moet worden gekoppeld aan de hoofdmap van een Microsoft-toepassing
  • EV - Uitgebreide validatiebeleid afdwingen

Opties:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Opmerkingen

• Het gebruik van ApplicationPolicyList beperkt het bouwen van ketens tot alleen ketens die geldig zijn voor het opgegeven toepassingsbeleid.
• Het gebruik van IssuancePolicyList beperkt het bouwen van ketens tot alleen ketens die geldig zijn voor het opgegeven uitgiftebeleid.
• Met CACertFile controleert u de velden in het bestand op basis van CertFile- of CRLfile-.
• Als CACertFile- niet is opgegeven, wordt de volledige keten gebouwd en geverifieerd op basis van CertFile-.
• Als CACertFile en CrossedCACertFile beide zijn opgegeven, worden de velden in beide bestanden geverifieerd op basis van CertFile-.
• Met IssuedCertFile controleert u de velden in het bestand op basis van CRLfile-.
• Met DeltaCRLFile controleert u de velden in het bestand op basis van CertFile-.

-verifyCTL

Controleert of de CTL voor verificatieroot of niet-toegestane certificaten is toegestaan.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Waar:

• CTLObject identificeert de CTL die moet worden geverifieerd, waaronder:

  • AuthRootWU leest de AuthRoot CAB en overeenkomende certificaten uit de URL-cache. Gebruik in plaats daarvan -f om te downloaden van Windows Update.
  • DisallowedWU leest het CAB-bestand met niet-toegestane certificaten en het niet-toegestane certificaatarchiefbestand uit de URL-cache. Gebruik in plaats daarvan -f om te downloaden van Windows Update.
    • PinRulesWU leest de PinRules CAB uit de URL-cache. Gebruik in plaats daarvan -f om te downloaden van Windows Update.
  • AuthRoot- leest de CTL in de registercache. Gebruik met -f en een niet-vertrouwde CertFile- om af te dwingen dat het register AuthRoot- en niet-toegestane certificaat-CCL's worden bijgewerkt.
  • niet-toegestane leest de CTL voor niet-toegestane certificaten in de registercache. Gebruik met -f en een niet-vertrouwde CertFile- om af te dwingen dat het register AuthRoot- en niet-toegestane certificaat-CCL's worden bijgewerkt.
    • PinRules leest het register PinRules CTL in de cache. Het gebruik van -f heeft hetzelfde gedrag als bij PinRulesWU-.
  • CTLFileName geeft het bestand of http-pad naar het CTL- of CAB-bestand op.

• CertDir- geeft de map met certificaten op die overeenkomen met de CTL-vermeldingen. Standaard ingesteld op dezelfde map of website als de CTLobject. Voor het gebruik van een HTTP-mappad is een padscheidingsteken aan het einde vereist. Als u AuthRoot- of Niet-toegestaneniet opgeeft, worden meerdere locaties gezocht naar overeenkomende certificaten, waaronder lokale certificaatarchieven, crypt32.dll resources en de lokale URL-cache. Gebruik -f om te downloaden van Windows Update, indien nodig.

• CertFile- geeft de certificaten op die moeten worden gecontroleerd. Certificaten worden vergeleken met CTL-vermeldingen, waarbij de resultaten worden weergegeven. Met deze optie wordt de meeste standaarduitvoer onderdrukt.

Opties:

[-f] [-user] [-split]

-syncWithWU

Hiermee worden certificaten gesynchroniseerd met Windows Update.

certutil [options] -syncWithWU DestinationDir

Waar:

• DestinationDir- is de opgegeven map.
• f dwingt een overschrijven af.
• Unicode- schrijft omgeleide uitvoer in Unicode.
• gmt tijden weergeeft als GMT.
• seconden tijden met seconden en milliseconden weergeeft.
• v is een uitgebreide bewerking.
• pincode is de pincode van de smartcard.
• WELL_KNOWN_SID_TYPE is een numerieke SID:
  • 22 - Lokaal systeem
  • 23 - Lokale service
  • 24 - Netwerkservice

Opmerkingen

De volgende bestanden worden gedownload met behulp van het mechanisme voor automatische updates:

• authrootstl.cab de CTL's van niet-Microsoft-basiscertificaten bevat.
• disallowedcertstl.cab bevat de CCL's van niet-vertrouwde certificaten.
• niet-toegestanecert.sst- het geserialiseerde certificaatarchief bevat, inclusief de niet-vertrouwde certificaten.
• thumbprint.crt de basiscertificaten bevat die niet van Microsoft zijn.

Bijvoorbeeld certutil -syncWithWU \\server1\PKI\CTLs.

• Als u een niet-bestaand lokaal pad of een niet-bestaande map als doelmap gebruikt, ziet u de volgende fout: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Als u een niet-bestaande of niet-beschikbare netwerklocatie als doelmap gebruikt, ziet u de volgende fout: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Als uw server geen verbinding kan maken via TCP-poort 80 met Microsoft Automatic Update-servers, krijgt u de volgende foutmelding: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Als uw server de Microsoft Automatic Update-servers met de DNS-naam ctldl.windowsupdate.comniet kan bereiken, ontvangt u de volgende fout: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Als u de -f-switch niet gebruikt en er al CTL-bestanden in de map staan, wordt er een bestand weergegeven: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Als er een wijziging in de vertrouwde basiscertificaten is, ziet u: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opties:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Hiermee wordt een archiefbestand gegenereerd dat is gesynchroniseerd met Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Waar:

• SSTFile- is het .sst bestand dat moet worden gegenereerd met de roots van derden die zijn gedownload uit Windows Update.

Opties:

[-f] [-split]

-generatePinRulesCTL

Hiermee wordt een CTL-bestand (Certificate Trust List) gegenereerd dat een lijst met regels voor vastmaken bevat.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Waar:

• XMLFile- is het XML-invoerbestand dat moet worden geparseerd.
• CTLFile- is het CTL-uitvoerbestand dat moet worden gegenereerd.
• SSTFile- is het optionele .sst-bestand dat moet worden gemaakt met alle certificaten die worden gebruikt voor het vastmaken.
• QueryFilesPrefix zijn optioneel Domains.csv en Keys.csv bestanden die moeten worden gemaakt voor databasequery.
  • De QueryFilesPrefix tekenreeks wordt voorafgegaan door elk gemaakt bestand.
  • Het bestand Domains.csv bevat regelnaam, domeinrijen.
  • Het bestand Keys.csv bevat regelnaam, sleutel SHA256-vingerafdrukrijen.

Opties:

[-f]

-downloadOcsp

Hiermee worden de OCSP-antwoorden gedownload en naar de map geschreven.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Waar:

• CertificateDir- is de map van een certificaat, archief en PFX-bestanden.
• OcspDir- is de map voor het schrijven van OCSP-antwoorden.
• ThreadCount is het optionele maximum aantal threads voor gelijktijdig downloaden. De standaardwaarde is 10.
• modifiers zijn een door komma's gescheiden lijst van een of meer van de volgende:
  • DownloadOnce- : wordt eenmaal gedownload en afgesloten.
  • ReadOcsp - Leesbewerkingen van OcspDir in plaats van schrijven.

-generateHpkpHeader

Hiermee genereert u de HPKP-header met behulp van certificaten in een opgegeven bestand of map.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Waar:

• CertFileOrDir is het bestand of de map met certificaten, die de bron is van pin-sha256.
• MaxAge- is de maximale leeftijdswaarde in seconden.
• ReportUri- is de optionele rapport-URI.
• modifiers zijn een door komma's gescheiden lijst van een of meer van de volgende:
  • includeSubDomains - Voegt de includeSubDomains toe.

-flushCache

Hiermee worden de opgegeven caches in het geselecteerde proces leeggemaakt, zoals lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Waar:

• ProcessId is de numerieke id van een proces dat moet worden leeggemaakt. Ingesteld op 0 om alle processen waar leegmaken is ingeschakeld, leeg te maken.

• CacheMask is het bitmasker van caches dat moet worden leeggemaakt, numeriek of de volgende bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• modifiers zijn een door komma's gescheiden lijst van een of meer van de volgende:

  • weergeven : toont de caches die worden leeggemaakt. Certutil moet expliciet worden beëindigd.

-addEccCurve

Hiermee voegt u een ECC-curve toe.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Waar:

• CurveClass is het type ECC-curveklasse:

  • WEIERSTRASS (standaard)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is de naam van de ECC-curve.

• CurveParameters zijn een van de volgende:

  • Een certificaatbestand met ASN-gecodeerde parameters.
  • Een bestand met ASN-gecodeerde parameters.

• CurveOID is de ECC-curve-OID en is een van de volgende:

  • Een certificaatbestand met een ASN-gecodeerde OID.
  • Een expliciete ECC-curve-OID.

• CurveType is het Schannel ECC NamedCurve-punt (numeriek).

Opties:

[-f]

-deleteEccCurve

Hiermee verwijdert u de ECC-curve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Waar:

• CurveName is de naam van de ECC-curve.
• CurveOID is de ECC-curve-OID.

Opties:

[-f]

-displayEccCurve

Geeft de ECC-curve weer.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Waar:

• CurveName is de naam van de ECC-curve.
• CurveOID is de ECC-curve-OID.

Opties:

[-f]

-csplist

Geeft een lijst weer van de cryptografische serviceproviders (CSP's) die op deze computer zijn geïnstalleerd voor cryptografische bewerkingen.

certutil [options] -csplist [Algorithm]

Opties:

[-user] [-Silent] [-csp Provider]

-csptest

Test de CSP's die op deze computer zijn geïnstalleerd.

certutil [options] -csptest [Algorithm]

Opties:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Geeft cryptografische CNG-configuratie weer op deze computer.

certutil [options] -CNGConfig

Opties:

[-Silent]

-teken

Ondertekent een certificaatintrekkingslijst (CRL) of certificaat opnieuw.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Waar:

• InFileList is de door komma's gescheiden lijst met certificaat- of CRL-bestanden om te wijzigen en opnieuw te ondertekenen.

• SerialNumber is het serienummer van het certificaat dat moet worden gemaakt. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• CRL- maakt een lege CRL. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• OutFileList is de door komma's gescheiden lijst met gewijzigde certificaat- of CRL-uitvoerbestanden. Het aantal bestanden moet overeenkomen met de inbestandslijst.

• StartDate+dd:hh is de nieuwe geldigheidsperiode voor het certificaat of de CRL-bestanden, waaronder:

  • optionele datum plus
  • optionele dagen en uren geldigheidsperiode Als er meerdere velden worden gebruikt, gebruikt u een (+) of (-) scheidingsteken. Gebruik now[+dd:hh] om te beginnen op het huidige tijdstip. Gebruik now-dd:hh+dd:hh om te beginnen bij een vaste offset van de huidige tijd en een vaste geldigheidsperiode. Gebruik never om geen vervaldatum te hebben (alleen voor CRL's).

• SerialNumberList is de lijst met door komma's gescheiden serienummers van de bestanden die u wilt toevoegen of verwijderen.

• ObjectIdList is de lijst met door komma's gescheiden extensieobjecten van de bestanden die u wilt verwijderen.

• @ExtensionFile is het INF-bestand dat de extensies bevat die moeten worden bijgewerkt of verwijderd. Bijvoorbeeld:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is de naam van het hash-algoritme. Dit mag alleen de tekst zijn die wordt voorafgegaan door het # teken.

• AlternateSignatureAlgorithm is de alternatieve handtekeningalgoritmeaanduiding.

Opties:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Opmerkingen

• Als u het minteken (-) gebruikt, worden serienummers en extensies verwijderd.
• Met het plusteken (+) worden serienummers aan een CRL toegevoegd.
• U kunt een lijst gebruiken om zowel serienummers als ObjectIds tegelijkertijd uit een CRL te verwijderen.
• Als u het minteken gebruikt voordat AlternateSignatureAlgorithm kunt u de verouderde handtekeningindeling gebruiken.
• Met het plusteken kunt u de alternatieve handtekeningindeling gebruiken.
• Als u AlternateSignatureAlgorithmniet opgeeft, wordt de handtekeningindeling in het certificaat of CRL gebruikt.

-vroot

Hiermee maakt of verwijdert u virtuele webmappen en bestandsshares.

certutil [options] -vroot [delete]

-vocsproot

Hiermee maakt of verwijdert u virtuele webmappen voor een OCSP-webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Voegt indien nodig een inschrijvingsservertoepassing en toepassingsgroep toe voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Waar:

• addEnrollmentServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatinschrijvingsserver, waaronder:

  • Kerberos- maakt gebruik van Kerberos SSL-referenties.
  • UserName maakt gebruik van een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-referenties voor X.509-certificaten.

• modifiers:

  • AllowRenewalsOnly staat alleen verzendingen van verlengingsaanvragen toe aan de certificeringsinstantie via de URL.
  • AllowKeyBasedRenewal staat het gebruik van een certificaat toe zonder gekoppeld account in Active Directory. Dit geldt voor gebruik met ClientCertificate en AllowRenewalsOnly-modus.

Opties:

[-config Machine\CAName]

-deleteEnrollmentServer

Hiermee verwijdert u een inschrijvingsservertoepassing en toepassingsgroep indien nodig voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Waar:

• deleteEnrollmentServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatinschrijvingsserver, waaronder:
  • Kerberos- maakt gebruik van Kerberos SSL-referenties.
  • UserName maakt gebruik van een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-referenties voor X.509-certificaten.

Opties:

[-config Machine\CAName]

-addPolicyServer

Voeg indien nodig een beleidsservertoepassing en toepassingsgroep toe. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Waar:

• addPolicyServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatbeleidsserver, waaronder:
  • Kerberos- maakt gebruik van Kerberos SSL-referenties.
  • UserName maakt gebruik van een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-referenties voor X.509-certificaten.
• KeyBasedRenewal staat het gebruik van beleid toe dat wordt geretourneerd aan de client met keybasedrenewal-sjablonen. Deze optie geldt alleen voor UserName en ClientCertificate verificatie.

-deletePolicyServer

Hiermee verwijdert u een beleidsservertoepassing en toepassingsgroep, indien nodig. Met deze opdracht worden binaire bestanden of pakketten niet verwijderd.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Waar:

• deletePolicyServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatbeleidsserver, waaronder:
  • Kerberos- maakt gebruik van Kerberos SSL-referenties.
  • UserName maakt gebruik van een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-referenties voor X.509-certificaten.
• KeyBasedRenewal maakt het gebruik van een KeyBasedRenewal-beleidsserver mogelijk.

-Klas

Geeft COM-registergegevens weer.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opties:

[-f]

-7f

Controleert het certificaat op 0x7f lengtecoderingen.

certutil [options] -7f CertFile

-Oid

Geeft de object-id weer of stelt een weergavenaam in.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Waar:

• ObjectId is de id die moet worden weergegeven of om toe te voegen aan de weergavenaam.
• GroupId is het GroupID-getal (decimaal) dat ObjectIds opsommen.
• AlgId is de hexadecimale id die object-id opzoekt.
• AlgorithmName is de algoritmenaam die objectID opzoekt.
• DisplayName de naam weergeeft die moet worden opgeslagen in DS.
• De weergavenaam verwijderen wordt verwijderd.
• LanguageId- is de taal-id-waarde (standaard ingesteld op huidig: 1033).
• Type is het type DS-object dat moet worden gemaakt, waaronder:
  • 1 - Sjabloon (standaard)
  • 2 - Uitgiftebeleid
  • 3 - Toepassingsbeleid
• -f maakt een DS-object.

Opties:

[-f]

-fout

Geeft de berichttekst weer die is gekoppeld aan een foutcode.

certutil [options] -error ErrorCode

-getsmtpinfo

Hiermee haalt u SMTP-gegevens (Simple Mail Transfer Protocol) op.

certutil [options] -getsmtpinfo

-setsmtpinfo

Hiermee stelt u SMTP-gegevens in.

certutil [options] -setsmtpinfo LogonName

Opties:

[-config Machine\CAName] [-p Password]

-getreg

Geeft een registerwaarde weer.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Waar:

• ca maakt gebruik van de registersleutel van een certificeringsinstantie.
• herstellen de registersleutel van de certificeringsinstantie gebruikt.
• beleid de registersleutel van de beleidsmodule gebruikt.
• afsluiten de registersleutel van de eerste afsluitmodule gebruikt.
• sjabloon de registersleutel van de sjabloon gebruikt (gebruik -user voor gebruikerssjablonen).
• registreren de registersleutel voor inschrijving gebruikt (gebruik -user voor gebruikerscontext).
• keten maakt gebruik van de registersleutel voor de ketenconfiguratie.
• PolicyServers de registersleutel Beleidsservers gebruikt.
• ProgId- maakt gebruik van het progID-beleid of de progID van de afsluitmodule (registersubsleutelnaam).
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* voorvoegselovereenkomst).
• waarde de nieuwe numerieke, tekenreeks- of datumregisterwaarde of bestandsnaam gebruikt. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Opmerkingen

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u \n toe aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh], een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruik now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 als achtervoegsel om een REG_QWORD-waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now om CRL's in cache effectief leeg te maken.
• Registeraliassen:
  • Configuratie
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Hiermee stelt u een registerwaarde in.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Waar:

• ca maakt gebruik van de registersleutel van een certificeringsinstantie.
• herstellen de registersleutel van de certificeringsinstantie gebruikt.
• beleid de registersleutel van de beleidsmodule gebruikt.
• afsluiten de registersleutel van de eerste afsluitmodule gebruikt.
• sjabloon de registersleutel van de sjabloon gebruikt (gebruik -user voor gebruikerssjablonen).
• registreren de registersleutel voor inschrijving gebruikt (gebruik -user voor gebruikerscontext).
• keten maakt gebruik van de registersleutel voor de ketenconfiguratie.
• PolicyServers de registersleutel Beleidsservers gebruikt.
• ProgId- maakt gebruik van het progID-beleid of de progID van de afsluitmodule (registersubsleutelnaam).
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* voorvoegselovereenkomst).
• waarde de nieuwe numerieke, tekenreeks of datumregisterwaarde of bestandsnaam gebruikt. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Opmerkingen

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u \n toe aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh], een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruik now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 als achtervoegsel om een REG_QWORD-waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now om CRL's in cache effectief leeg te maken.

-delreg

Hiermee verwijdert u een registerwaarde.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Waar:

• ca maakt gebruik van de registersleutel van een certificeringsinstantie.
• herstellen de registersleutel van de certificeringsinstantie gebruikt.
• beleid de registersleutel van de beleidsmodule gebruikt.
• afsluiten de registersleutel van de eerste afsluitmodule gebruikt.
• sjabloon de registersleutel van de sjabloon gebruikt (gebruik -user voor gebruikerssjablonen).
• registreren de registersleutel voor inschrijving gebruikt (gebruik -user voor gebruikerscontext).
• keten maakt gebruik van de registersleutel voor de ketenconfiguratie.
• PolicyServers de registersleutel Beleidsservers gebruikt.
• ProgId- maakt gebruik van het progID-beleid of de progID van de afsluitmodule (registersubsleutelnaam).
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* voorvoegselovereenkomst).
• waarde de nieuwe numerieke, tekenreeks- of datumregisterwaarde of bestandsnaam gebruikt. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Opties:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Opmerkingen

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u \n toe aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh], een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruik now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 als achtervoegsel om een REG_QWORD-waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now om CRL's in cache effectief leeg te maken.
• Registeraliassen:
  • Configuratie
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Hiermee importeert u gebruikerssleutels en certificaten in de serverdatabase voor sleutelarchivering.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Waar:

• UserKeyAndCertFile is een gegevensbestand met persoonlijke gebruikerssleutels en certificaten die moeten worden gearchiveerd. Dit bestand kan het volgende zijn:
  • Een KMS-exportbestand (Exchange Key Management Server).
  • Een PFX-bestand.
• CertId- is een KMS-exportcertificaat dat overeenkomt met het token voor het ontsleutelen van bestanden. Zie de parameter -store in dit artikel voor meer informatie.
• -f certificaten importeert die niet zijn uitgegeven door de certificeringsinstantie.

Opties:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Hiermee importeert u een certificaatbestand in de database.

certutil [options] -ImportCert Certfile [ExistingRow]

Waar:

• ExistingRow importeert het certificaat in plaats van een aanvraag in behandeling voor dezelfde sleutel.
• -f certificaten importeert die niet zijn uitgegeven door de certificeringsinstantie.

Opties:

[-f] [-config Machine\CAName]

Opmerkingen

De certificeringsinstantie moet mogelijk ook worden geconfigureerd om externe certificaten te ondersteunen door certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNuit te voeren.

-GetKey

Hiermee haalt u een gearchiveerde blob voor herstel van persoonlijke sleutels op, genereert u een herstelscript of herstelt u gearchiveerde sleutels.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Waar:

• script een script genereert om sleutels op te halen en te herstellen (standaardgedrag als er meerdere overeenkomende herstelkandidaten worden gevonden of als het uitvoerbestand niet is opgegeven).
• haalt een of meer sleutelherstelblobs op (standaardgedrag als er precies één overeenkomende herstelkandidaat wordt gevonden en als het uitvoerbestand is opgegeven). Met deze optie wordt elke extensie afgekapt en wordt de certificaatspecifieke tekenreeks en de .rec-extensie toegevoegd voor elke sleutelherstelblob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• herstelt persoonlijke sleutels in één stap ophaalt en herstelt (hiervoor zijn sleutelherstelagentcertificaten en persoonlijke sleutels vereist). Met deze optie worden alle extensies afgekapt en wordt de .p12-extensie toegevoegd. Elk bestand bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als EEN PFX-bestand.
• SearchToken selecteert u de sleutels en certificaten die moeten worden hersteld, waaronder:
  • Algemene naam van certificaat
  • Serienummer van certificaat
  • Sha-1-hash van certificaat (vingerafdruk)
  • Sha-1-hash van certificaatsleutel (onderwerpsleutel-id)
  • Naam van aanvrager (domein\gebruiker)
  • UPN (user@domain)
• RecoveryBlobOutFile een bestand uitvoert met een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• OutputScriptFile voert een bestand uit met een batchscript om persoonlijke sleutels op te halen en te herstellen.
• OutputFileBaseName voert een bestandsnaam uit.

Opties:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Opmerkingen

• Voor ophalen, wordt elke extensie afgekapt en een certificaatspecifieke tekenreeks en worden de .rec-extensies toegevoegd voor elke sleutelherstelblob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• Voor herstellen, wordt een extensie afgekapt en wordt de .p12-extensie toegevoegd. Bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als een PFX-bestand.

-RecoverKey

Herstelt een gearchiveerde persoonlijke sleutel.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opties:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Hiermee worden PFX-bestanden samengevoegd.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Waar:

• PFXInFileList is een door komma's gescheiden lijst met PFX-invoerbestanden.
• PFXOutFile is de naam van het PFX-uitvoerbestand.
• modifiers zijn door komma's gescheiden lijsten van een of meer van de volgende:
  • ExtendedProperties- bevat uitgebreide eigenschappen.
  • NoEncryptCert geeft aan dat de certificaten niet moeten worden versleuteld.
  • EncryptCert geeft aan dat de certificaten moeten worden versleuteld.

Opties:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Opmerkingen

• Het wachtwoord dat op de opdrachtregel is opgegeven, moet een door komma's gescheiden wachtwoordlijst zijn.
• Als er meer dan één wachtwoord is opgegeven, wordt het laatste wachtwoord gebruikt voor het uitvoerbestand. Als er slechts één wachtwoord is opgegeven of als het laatste wachtwoord is *, wordt de gebruiker gevraagd om het wachtwoord van het uitvoerbestand.

-add-chain

Hiermee voegt u een certificaatketen toe.

certutil [options] -add-chain LogId certificate OutFile

Opties:

[-f]

-add-pre-chain

Hiermee voegt u een keten vooraf certificaat toe.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opties:

[-f]

-get-sth

Hiermee haalt u een ondertekende boomstructuurkop op.

certutil [options] -get-sth [LogId]

Opties:

[-f]

-get-sth-consistency

Hiermee worden wijzigingen in de hoofdstructuur aangebracht.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opties:

[-f]

-get-proof-by-hash

Hiermee wordt bewijs van een hash opgehaald van een tijdstempelserver.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opties:

[-f]

-get-entries

Hiermee worden vermeldingen opgehaald uit een gebeurtenislogboek.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opties:

[-f]

-get-roots

Haalt de basiscertificaten op uit het certificaatarchief.

certutil [options] -get-roots LogId

Opties:

[-f]

-get-entry-and-proof

Haalt een gebeurtenislogboekvermelding en het bijbehorende cryptografische bewijs op.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opties:

[-f]

-VerifyCT

Controleert een certificaat op basis van het certificaattransparantielogboek.

certutil [options] -VerifyCT Certificate SCT [precert]

Opties:

[-f]

-?

Geeft de lijst met parameters weer.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Waar:

• -? geeft de lijst met parameters weer
• -<name_of_parameter> -? geeft help-inhoud weer voor de opgegeven parameter.
• -? -v geeft een uitgebreide lijst met parameters en opties weer.

Opties

In deze sectie worden alle opties gedefinieerd die u kunt opgeven, op basis van de opdracht. Elke parameter bevat informatie over welke opties geldig zijn voor gebruik.

Optie	Beschrijving
-admin	ICertAdmin2 gebruiken voor CA-eigenschappen.
-anoniem	Gebruik anonieme SSL-referenties.
-cert CertId	Handtekeningcertificaat.
-clientcertificate clientCertId	Gebruik SSL-referenties voor X.509-certificaat. Gebruik -clientcertificatevoor de selectie-gebruikersinterface.
-config Machine\CAName	Tekenreeks voor certificeringsinstantie en computernaam.
-csp-provider	Aanbieder: KSP- - Microsoft Software Key Storage Provider TPM- - Microsoft Platform Crypto Provider NGC- - Microsoft Passport Key Storage-provider SC- - Microsoft SmartCard-sleutelopslagprovider
-dc DCName	Richt u op een specifieke domeincontroller.
-onderneming	Gebruik het certificaatarchief voor het bedrijfsregister van de lokale computer.
-f	Forceer overschrijven.
-generateSSTFromWU SSTFile	Genereer SST met behulp van het mechanisme voor automatische updates.
-Gmt	Weergavetijden met GMT.
-GroupPolicy	Gebruik het certificaatarchief voor groepsbeleid.
-idispatch	Gebruik IDispatch in plaats van systeemeigen COM-methoden.
-kerberos	Gebruik Kerberos SSL-referenties.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Computersjablonen weergeven.
-nocr	Tekst zonder CR-tekens coderen.
-nocrlf	Tekst coderen zonder CR-LF tekens.
-nullsign	Gebruik de hash van de gegevens als handtekening.
-oldpfx	Gebruik oude PFX-versleuteling.
-out columnlist	Lijst met door komma's gescheiden kolommen.
-p-wachtwoord	Wachtwoord
-pincode vastmaken	Pincode voor smartcard.
-policyserver URLorID	URL of id van beleidsserver. Gebruik -policyservervoor selectie U/I. Gebruik -policyserver * voor alle beleidsservers
-privatekey	Geef wachtwoord- en persoonlijke sleutelgegevens weer.
-beschermen	Sleutels beveiligen met een wachtwoord.
-protectto SAMnameandSIDlist	Door komma's gescheiden SAM-naam/SID-lijst.
-beperkingslijst beperken	Door komma's gescheiden beperkingslijst. Elke beperking bestaat uit een kolomnaam, een relationele operator en een constant geheel getal, tekenreeks of datum. Een kolomnaam kan worden voorafgegaan door een plus- of minteken om de sorteervolgorde aan te geven. Bijvoorbeeld: requestID = 47, +requestername >= a, requesternameof -requestername > DOMAIN, Disposition = 21.
-omkeren	Omgekeerde logboek- en wachtrijkolommen.
-Seconden	Weergavetijden met seconden en milliseconden.
-dienst	Gebruik het servicecertificaatarchief.
-Sid	Numerieke SID: 22 - Lokaal systeem 23 - Lokale service 24 - Netwerkservice
-stil	Gebruik de vlag silent om de crypt-context te verkrijgen.
-splijten	Splits ingesloten ASN.1-elementen en sla deze op in bestanden.
-sslpolicy-servernaam	SSL-beleid dat overeenkomt met ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Naam van het symmetrische sleutelalgoritmen met optionele sleutellengte. Bijvoorbeeld: AES,128 of 3DES.
-syncWithWU DestinationDir	Synchroniseren met Windows Update.
-t time-out	Time-out voor het ophalen van url's in milliseconden.
-Unicode	Omgeleide uitvoer schrijven in Unicode.
-UnicodeText	Uitvoerbestand schrijven in Unicode.
-urlfetch	AIA-certificaten en CDP-CRL's ophalen en verifiëren.
-gebruiker	Gebruik de HKEY_CURRENT_USER sleutels of het certificaatarchief.
-gebruikersnaam	Gebruik een benoemd account voor SSL-referenties. Gebruik -usernamevoor de selectie-gebruikersinterface.
-ut	Gebruikerssjablonen weergeven.
-v	Geef gedetailleerdere (uitgebreide) informatie op.
-v1	V1-interfaces gebruiken.

Hash-algoritmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Verwante koppelingen

Zie de volgende artikelen voor meer voorbeelden van het gebruik van deze opdracht:

• Active Directory Certificate Services (AD CS)
• Certutil-taken voor het beheren van certificaten
• Vertrouwde basiscertificaten en niet-toegestane certificaten configureren in Windows