certutil

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Ostrożność

Certutil nie zaleca się użycia w żadnym kodzie produkcyjnym i nie zapewnia żadnych gwarancji dotyczących obsługi witryn na żywo ani zgodności aplikacji. Jest to narzędzie używane przez deweloperów i administratorów IT do wyświetlania informacji o zawartości certyfikatu na urządzeniach.

Certutil.exe jest programem wiersza polecenia zainstalowanym w ramach usług certyfikatów. Można użyć certutil.exe do wyświetlania informacji o konfiguracji urzędu certyfikacji, konfigurowania usług certyfikatów oraz tworzenia kopii zapasowych i przywracania składników urzędu certyfikacji. Program weryfikuje również certyfikaty, pary kluczy i łańcuchy certyfikatów.

Jeśli certutil jest uruchamiana w urzędzie certyfikacji bez innych parametrów, wyświetla bieżącą konfigurację urzędu certyfikacji. Jeśli certutil jest uruchamiana w urzędzie bez innych parametrów, polecenie domyślnie uruchamia polecenie certutil -dump. Nie wszystkie wersje narzędzia certutil zawierają wszystkie parametry i opcje opisane w tym dokumencie. Możesz zobaczyć, jakie opcje udostępnia Twoja wersja narzędzia certutil, uruchamiając certutil -? lub certutil <parameter> -?.

Napiwek

Aby wyświetlić pełną pomoc dotyczącą wszystkich zleceń i opcji narzędzia certutil, w tym tych, które są ukryte przed argumentem -?, uruchom polecenie certutil -v -uSAGE. Przełącznik uSAGE uwzględnia wielkość liter.

Parametry

-wysypisko

Zrzuty informacji o konfiguracji lub plików.

certutil [options] [-dump]
certutil [options] [-dump] File

Opcje:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Zrzuty struktury PFX.

certutil [options] [-dumpPFX] File

Opcje:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Analizuje i wyświetla zawartość pliku przy użyciu składni abstrakcyjnej notacji składni (ASN.1). Typy plików obejmują . CER, . Pliki sformatowane DER i PKCS #7.

certutil [options] -asn File [type]

• [type]: typ dekodowania liczbowego CRYPT_STRING_*

-decodehex

Dekoduje plik zakodowany w formacie szesnastkowym.

certutil [options] -decodehex InFile OutFile [type]

• [type]: typ dekodowania liczbowego CRYPT_STRING_*

Opcje:

[-f]

-encodehex

Koduje plik w formacie szesnastkowym.

certutil [options] -encodehex InFile OutFile [type]

• [type]: typ kodowania liczbowy CRYPT_STRING_*

Opcje:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-Dekodowania

Dekoduje plik zakodowany w formacie Base64.

certutil [options] -decode InFile OutFile

Opcje:

[-f]

-kodować

Koduje plik do base64.

certutil [options] -encode InFile OutFile

Opcje:

[-f] [-unicodetext]

-zaprzeczać

Odrzuca oczekujące żądanie.

certutil [options] -deny RequestId

Opcje:

[-config Machine\CAName]

-Prześlij

Ponownie przesyła oczekujące żądanie.

certutil [options] -resubmit RequestId

Opcje:

[-config Machine\CAName]

-setattributes

Ustawia atrybuty oczekującego żądania certyfikatu.

certutil [options] -setattributes RequestId AttributeString

Gdzie:

• RequestId jest numerycznym identyfikatorem żądania dla oczekującego żądania.
• AttributeString to pary atrybutów i wartości żądania.

Opcje:

[-config Machine\CAName]

Uwagi

• Nazwy i wartości muszą być oddzielone dwukropkiem, a wiele nazw i par wartości musi być oddzielonych nowym wierszem. Na przykład: CertificateTemplate:User\nEMail:User@Domain.com, w którym sekwencja \n jest konwertowana na separator nowego wiersza.

-setextension

Ustaw rozszerzenie dla oczekującego żądania certyfikatu.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Gdzie:

• requestID jest numerycznym identyfikatorem żądania dla oczekującego żądania.
• ExtensionName to ciąg ObjectId rozszerzenia.
• Flagi ustawia priorytet rozszerzenia. 0 jest zalecane, podczas gdy 1 ustawia rozszerzenie na krytyczne, 2 wyłącza rozszerzenie, a 3 nie.

Opcje:

[-config Machine\CAName]

Uwagi

• Jeśli ostatni parametr jest liczbowy, jest on traktowany jako Long.
• Jeśli ostatni parametr można przeanalizować jako datę, jest on traktowany jako Data.
• Jeśli ostatni parametr rozpoczyna się od \@, pozostała część tokenu jest traktowana jako nazwa pliku z danymi binarnymi lub zrzutem szesnastkowym ascii-text.
• Jeśli ostatni parametr jest czymkolwiek innym, jest traktowany jako ciąg.

-Odwołać

Odwołuje certyfikat.

certutil [options] -revoke SerialNumber [Reason]

Gdzie:

• Numer seryjny to rozdzielona przecinkami lista numerów seryjnych certyfikatów do odwołania.
• Przyczyna jest liczbową lub symboliczną reprezentacją przyczyny odwołania, w tym:
  • 0. CRL_REASON_UNSPECIFIED — nieokreślony (ustawienie domyślne)
  • 1. CRL_REASON_KEY_COMPROMISE — naruszenie klucza
  • 2. CRL_REASON_CA_COMPROMISE — naruszenie zabezpieczeń urzędu certyfikacji
  • 3. CRL_REASON_AFFILIATION_CHANGED — zmieniono przynależność
  • 4. CRL_REASON_SUPERSEDED — zastąpione
  • 5. CRL_REASON_CESSATION_OF_OPERATION — zaprzestanie działania
  • 6. CRL_REASON_CERTIFICATE_HOLD — blokada certyfikatu
  • 8. CRL_REASON_REMOVE_FROM_CRL — usuwanie z listy CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN — wycofanie uprawnień
  • 10: CRL_REASON_AA_COMPROMISE — naruszenie zabezpieczeń usługi AA
  • -1. Odwołowywanie - Unrevokes

Opcje:

[-config Machine\CAName]

-isvalid

Wyświetla dyspozycję bieżącego certyfikatu.

certutil [options] -isvalid SerialNumber | CertHash

Opcje:

[-config Machine\CAName]

-getconfig

Pobiera domyślny ciąg konfiguracji.

certutil [options] -getconfig

Opcje:

[-idispatch] [-config Machine\CAName]

-getconfig2

Pobiera domyślny ciąg konfiguracji za pośrednictwem aplikacji ICertGetConfig.

certutil [options] -getconfig2

Opcje:

[-idispatch] 

-getconfig3

Pobiera konfigurację za pośrednictwem aplikacji ICertConfig.

certutil [options] -getconfig3

Opcje:

[-idispatch] 

-Ping

Próbuje skontaktować się z interfejsem żądania usług certyfikatów Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Gdzie:

• CAMachineList to rozdzielona przecinkami lista nazw maszyn urzędu certyfikacji. W przypadku pojedynczej maszyny użyj przecinka zakończenia. Ta opcja wyświetla również koszt lokacji dla każdej maszyny urzędu certyfikacji.

Opcje:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Próbuje skontaktować się z interfejsem administracyjnym usług certyfikatów Active Directory.

certutil [options] -pingadmin

Opcje:

[-config Machine\CAName]

-CAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Gdzie:

• InfoName wskazuje właściwość urzędu certyfikacji do wyświetlenia na podstawie następującej składni argumentu infoname:
  • * — wyświetla wszystkie właściwości
  • reklam — serwer zaawansowany
  • aia [Index] — adresy URL AIA
  • cdp [Index] — adresy URL usługi CDP
  • certyfikat [Index] — certyfikat urzędu certyfikacji
  • certchain [Index] — łańcuch certyfikatów urzędu certyfikacji
  • certcount — liczba certyfikatów urzędu certyfikacji
  • certcrlchain [Index] — łańcuch certyfikatów urzędu certyfikacji z listami CRL
  • certstate [Index] — certyfikat urzędu certyfikacji
  • certstatuscode [Index] — stan weryfikacji certyfikatu urzędu certyfikacji
  • certversion [Index] — wersja certyfikatu urzędu certyfikacji
  • listy CRL [Index] — podstawowa lista CRL
  • crlstate [Index] — CRL
  • crlstatus [Index] — stan publikowania listy CRL
  • krzyżowe — [Indeks] — certyfikat krzyżowy do tyłu
  • cross+ [Index] — przekazywanie certyfikatu krzyżowego
  • crossstate— [Index] — krzyżowy certyfikat wsteczny
  • crossstate+ [Index] — przekazywanie krzyżowego certyfikatu
  • deltacrl [Index] — delta CRL
  • deltacrlstatus [Index] — stan publikowania listy CRL różnicowej
  • DNS — nazwa DNS
  • nazwa dsname — krótka nazwa sanitized urzędu certyfikacji (nazwa DS)
  • błąd 1 ErrorCode — tekst komunikatu o błędzie
  • error2 ErrorCode — tekst komunikatu o błędzie i kod błędu
  • exit [Index] — opis modułu zakończenia
  • exitcount — liczba modułów zakończenia
  • pliku — wersja pliku
  • informacji — informacje o urzędach certyfikacji
  • kra [Index] — certyfikat KRA
  • kracount — liczba certyfikatów KRA
  • krastate [Index] — certyfikat KRA
  • kraused — liczba użytych certyfikatów KRA
  • nazwa_ustawień regionalnych — nazwa ustawień regionalnych urzędu certyfikacji
  • nazwa — nazwa urzędu certyfikacji
  • ocsp [Index] — adresy URL OCSP
  • nadrzędne — nadrzędny urząd certyfikacji
  • zasad — opis modułu zasad
  • produktu — wersja produktu
  • propidmax — maksymalny identyfikator PropId urzędu certyfikacji
  • rola — separacja ról
  • sanitizedname — nazwa oczyszczonego urzędu certyfikacji
  • udostępniony folder — folder udostępniony
  • subjecttemplateoids — identyfikatory OID szablonu tematu
  • szablony — szablony
  • typ — typ urzędu certyfikacji
  • xchg [Index] — certyfikat wymiany urzędu certyfikacji
  • xchgchain [Index] — łańcuch certyfikatów wymiany urzędu certyfikacji
  • xchgcount — liczba certyfikatów wymiany urzędu certyfikacji
  • xchgcrlchain [Index] — łańcuch certyfikatów wymiany urzędu certyfikacji z listami CRL
• indeks jest opcjonalnym indeksem właściwości opartym na zera.
• kod błędu jest kodem błędu liczbowego.

Opcje:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Wyświetla informacje o typie właściwości urzędu certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opcje:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Pobiera certyfikat dla urzędu certyfikacji.

certutil [options] -ca.cert OutCACertFile [Index]

Gdzie:

• OutCACertFile jest plikiem wyjściowym.
• Indeks jest indeksem odnawiania certyfikatów urzędu certyfikacji (domyślnie jest to najnowszy).

Opcje:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Pobiera łańcuch certyfikatów dla urzędu certyfikacji.

certutil [options] -ca.chain OutCACertChainFile [Index]

Gdzie:

• OutCACertChainFile jest plikiem wyjściowym.
• Indeks jest indeksem odnawiania certyfikatów urzędu certyfikacji (domyślnie jest to najnowszy).

Opcje:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Pobiera listę odwołania certyfikatów (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Gdzie:

• index to indeks listy CRL lub indeks klucza (domyślnie lista CRL dla ostatniego klucza).
• różnicowe to lista CRL różnicowa (wartość domyślna to podstawowa lista CRL).

Opcje:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nowe listy odwołania certyfikatów (CRL) lub różnicowe listy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Gdzie:

• dd:hh to nowy okres ważności listy CRL w dniach i godzinach.
• ponownie opublikować ponownie opublikować najnowsze listy CRL.
• różnicowe publikuje tylko różnicowe listy CRL (wartość domyślna to podstawowe i różnicowe listy CRL).

Opcje:

[-split] [-config Machine\CAName]

-Zamknięcia

Zamyka usługi certyfikatów Active Directory.

certutil [options] -shutdown

Opcje:

[-config Machine\CAName]

-installCert

Instaluje certyfikat urzędu certyfikacji.

certutil [options] -installCert [CACertFile]

Opcje:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Odnawia certyfikat urzędu certyfikacji.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opcje:

[-f] [-silent] [-config Machine\CAName]

• Użyj -f, aby zignorować zaległe żądanie odnowienia i wygenerować nowe żądanie.

-schemat

Zrzuty schematu certyfikatu.

certutil [options] -schema [Ext | Attrib | CRL]

Gdzie:

• Domyślnie polecenie to tabela Request (Żądanie) i Certificate (Certyfikat).
• Ext to tabela rozszerzeń.
• Atrybut jest tabelą atrybutów.
• listy CRL jest tabelą listy CRL.

Opcje:

[-split] [-config Machine\CAName]

-widok

Zrzuty widoku certyfikatu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Gdzie:

• Kolejka zrzuty określonej kolejki żądań.
• log zrzuty wystawionych lub odwołanych certyfikatów oraz wszelkie żądania, które zakończyły się niepowodzeniem.
• logFail zrzuty żądań, które zakończyły się niepowodzeniem.
• odwołane zrzuty odwołanych certyfikatów.
• Ext zrzuty tabeli rozszerzeń.
• attrib zrzuty tabeli atrybutów.
• listy CRL zrzuty tabeli listy CRL.
• csv udostępnia dane wyjściowe przy użyciu wartości rozdzielanych przecinkami.

Opcje:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Uwagi

• Aby wyświetlić kolumnę StatusCode dla wszystkich wpisów, wpisz -out StatusCode
• Aby wyświetlić wszystkie kolumny dla ostatniego wpisu, wpisz: -restrict RequestId==$
• Aby wyświetlić RequestId i Disposition dla trzech żądań, wpisz: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Aby wyświetlić identyfikatory wierszy identyfikatory wierszy i numery listy CRL dla wszystkich podstawowych list CRL, wpisz: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Aby wyświetlić podstawowy numer listy CRL 3, wpisz: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Aby wyświetlić całą tabelę listy CRL, wpisz: CRL
• Użyj Date[+|-dd:hh] dla ograniczeń daty.
• Użyj now+dd:hh dla daty względem bieżącej godziny.
• Szablony zawierają rozszerzone użycie kluczy (EKU), które są identyfikatorami obiektów (OID), które opisują sposób używania certyfikatu. Certyfikaty nie zawsze zawierają nazwy pospolite szablonu ani nazwy wyświetlane, ale zawsze zawierają EKU szablonu. EKU dla określonego szablonu certyfikatu można wyodrębnić z usługi Active Directory, a następnie ograniczyć widoki na podstawie tego rozszerzenia.

-Db

Zrzuty nieprzetworzonej bazy danych.

certutil [options] -db

Opcje:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Usuwa wiersz z bazy danych serwera.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Gdzie:

• żądanie usuwa żądania, które zakończyły się niepowodzeniem i oczekujące na podstawie daty przesłania.
• Cert usuwa wygasłe i odwołane certyfikaty na podstawie daty wygaśnięcia.
• Ext usuwa tabelę rozszerzeń.
• Attrib usuwa tabelę atrybutów.
• listy CRL usuwa tabelę listy CRL.

Opcje:

[-f] [-config Machine\CAName]

Przykłady

• Aby usunąć żądania nie powiodły się i oczekujące do 22 stycznia 2001 r., wpisz: 1/22/2001 request
• Aby usunąć wszystkie certyfikaty, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 cert
• Aby usunąć wiersz certyfikatu, atrybuty i rozszerzenia dla identyfikatora RequestID 37, wpisz: 37
• Aby usunąć listy CRL, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 crl

Nuta

data oczekuje formatu mm/dd/yyyy, a nie dd/mm/yyyy, na przykład 1/22/2001, a nie 22/1/2001 na 22 stycznia 2001 r. Jeśli serwer nie jest skonfigurowany z ustawieniami regionalnymi Stanów Zjednoczonych, użycie argumentu data może spowodować nieoczekiwane wyniki.

-kopia zapasowa

Wykonuje kopię zapasową usług certyfikatów Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Gdzie:

• BackupDirectory to katalog do przechowywania danych kopii zapasowej.
• przyrostowy wykonuje tylko przyrostową kopię zapasową (domyślnie jest pełna kopia zapasowa).
• KeepLog zachowuje pliki dziennika bazy danych (wartość domyślna to obcięcie plików dziennika).

Opcje:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Wykonuje kopię zapasową bazy danych usług certyfikatów Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Gdzie:

• BackupDirectory to katalog do przechowywania kopii zapasowych plików bazy danych.
• przyrostowy wykonuje tylko przyrostową kopię zapasową (domyślnie jest pełna kopia zapasowa).
• KeepLog zachowuje pliki dziennika bazy danych (wartość domyślna to obcięcie plików dziennika).

Opcje:

[-f] [-config Machine\CAName]

-backupkey

Wykonuje kopię zapasową certyfikatu usług certyfikatów Active Directory i klucza prywatnego.

certutil [options] -backupkey BackupDirectory

Gdzie:

• BackupDirectory to katalog do przechowywania kopii zapasowej pliku PFX.

Opcje:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-przywrócić

Przywraca usługi certyfikatów Active Directory.

certutil [options] -restore BackupDirectory

Gdzie:

• BackupDirectory to katalog zawierający dane do przywrócenia.

Opcje:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Przywraca bazę danych usług certyfikatów Active Directory.

certutil [options] -restoredb BackupDirectory

Gdzie:

• BackupDirectory to katalog zawierający pliki bazy danych do przywrócenia.

Opcje:

[-f] [-config Machine\CAName]

-restorekey

Przywraca certyfikat usług certyfikatów Active Directory i klucz prywatny.

certutil [options] -restorekey BackupDirectory | PFXFile

Gdzie:

• BackupDirectory jest katalog zawierający plik PFX do przywrócenia.
• plik PFXFile jest plikiem PFX, który ma zostać przywrócony.

Opcje:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Eksportuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.
• CertId jest tokenem dopasowania certyfikatu lub listy CRL.
• plik PFXFile jest plikiem PFX do wyeksportowania.
• modyfikatory to lista rozdzielona przecinkami, która może zawierać co najmniej jedną z następujących wartości:
  • CryptoAlgorithm= określa algorytm kryptograficzny używany do szyfrowania pliku PFX, na przykład TripleDES-Sha1 lub Aes256-Sha256.
  • EncryptCert — szyfruje klucz prywatny skojarzony z certyfikatem przy użyciu hasła.
  • ExportParameters -Exports parametrów klucza prywatnego oprócz certyfikatu i klucza prywatnego.
  • ExtendedProperties — obejmuje wszystkie właściwości rozszerzone skojarzone z certyfikatem w pliku wyjściowym.
  • NoEncryptCert — eksportuje klucz prywatny bez szyfrowania.
  • NoChain — nie importuje łańcucha certyfikatów.
  • noRoot — nie importuje certyfikatu głównego.

-importPFX

Importuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.
• plik PFXFile jest plikiem PFX do zaimportowania.
• modyfikatory to lista rozdzielona przecinkami, która może zawierać co najmniej jedną z następujących wartości:
  • AT_KEYEXCHANGE — zmienia element keyspec na wymianę kluczy.
  • AT_SIGNATURE — zmienia element keyspec na podpis.
  • ExportEncrypted — eksportuje klucz prywatny skojarzony z certyfikatem z szyfrowaniem haseł.
  • FriendlyName= — określa przyjazną nazwę zaimportowanego certyfikatu.
  • KeyDescription= — określa opis klucza prywatnego skojarzonego z zaimportowanym certyfikatem.
  • KeyFriendlyName= — określa przyjazną nazwę klucza prywatnego skojarzonego z zaimportowanym certyfikatem.
  • noCert — nie importuje certyfikatu.
  • NoChain — nie importuje łańcucha certyfikatów.
  • NoExport — sprawia, że klucz prywatny jest nieeksportowalny.
  • NoProtect — nie chroni kluczy hasłem przy użyciu hasła.
  • noRoot — nie importuje certyfikatu głównego.
  • Pkcs8 — używa formatu PKCS8 dla klucza prywatnego w pliku PFX.
  • Protect — chroni klucze przy użyciu hasła.
  • ProtectHigh — określa, że z kluczem prywatnym musi być skojarzone hasło o wysokim poziomie zabezpieczeń.
  • VSM — przechowuje klucz prywatny skojarzony z zaimportowanym certyfikatem w kontenerze wirtualnej karty inteligentnej (VSC).

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Uwagi

• Domyślnie jest to magazyn maszyn osobistych.

-dynamicfilelist

Wyświetla listę plików dynamicznych.

certutil [options] -dynamicfilelist

Opcje:

[-config Machine\CAName]

-databaselocations

Wyświetla lokalizacje bazy danych.

certutil [options] -databaselocations

Opcje:

[-config Machine\CAName]

-hashfile

Generuje i wyświetla skrót kryptograficzny dla pliku.

certutil [options] -hashfile InFile [HashAlgorithm]

-sklep

Zrzuty magazynu certyfikatów.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów. Na przykład:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId jest tokenem dopasowania certyfikatu lub listy CRL. Ten identyfikator może być następujący:

  • Numer seryjny
  • Certyfikat SHA-1
  • Skrót listy CRL, listy CTL lub klucza publicznego
  • Indeks certyfikatu liczbowego (0, 1 itd.)
  • Numeryczny indeks listy CRL (.0, .1 itd.)
  • Numeryczny indeks CTL (.. 0, .. 1 itd.)
  • Klucz publiczny
  • Identyfikator objectid podpisu lub rozszerzenia
  • Nazwa pospolita podmiotu certyfikatu
  • Adres e-mail
  • Nazwa UPN lub nazwa DNS
  • Nazwa kontenera klucza lub nazwa dostawcy CSP
  • Nazwa szablonu lub Identyfikator obiektu
  • Identyfikator objectId zasad EKU lub zasad aplikacji
  • Nazwa pospolita wystawcy listy CRL.

Wiele z tych identyfikatorów może spowodować wiele dopasowań.

• OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
• Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
• Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
• Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyny.

Na przykład:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Nuta

Problemy z wydajnością są obserwowane podczas korzystania z parametru -store, biorąc pod uwagę następujące dwa aspekty:

1. Gdy liczba certyfikatów w magazynie przekracza 10.
2. Po określeniu identyfikatora CertId jest on używany do dopasowania wszystkich wymienionych typów dla każdego certyfikatu. Jeśli na przykład zostanie podany numer seryjny, będzie on również próbował dopasować wszystkie inne wymienione typy.

Jeśli martwisz się o problemy z wydajnością, zalecane są polecenia programu PowerShell, w których będą one zgodne tylko z określonym typem certyfikatu.

-enumstore

Wylicza magazyny certyfikatów.

certutil [options] -enumstore [\\MachineName]

Gdzie:

• MachineName to nazwa maszyny zdalnej.

Opcje:

[-enterprise] [-user] [-grouppolicy]

-addstore

Dodaje certyfikat do magazynu. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -addstore CertificateStoreName InFile

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.
• InFile to plik certyfikatu lub listy CRL, który chcesz dodać do magazynu.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Usuwa certyfikat z magazynu. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -delstore CertificateStoreName certID

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.
• CertId jest tokenem dopasowania certyfikatu lub listy CRL.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Weryfikuje certyfikat w magazynie. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -verifystore CertificateStoreName [CertId]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.
• CertId jest tokenem dopasowania certyfikatu lub listy CRL.

Opcje:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Naprawia skojarzenie klucza lub aktualizowanie właściwości certyfikatu lub deskryptora zabezpieczeń klucza. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów.

• CertIdList to rozdzielona przecinkami lista tokenów dopasowania certyfikatu lub listy CRL. Aby uzyskać więcej informacji, zobacz opis identyfikatora CertId -store w tym artykule.

• PropertyInfFile to plik INF zawierający właściwości zewnętrzne, w tym:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Zrzuty magazynu certyfikatów. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów. Na przykład:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId jest tokenem dopasowania certyfikatu lub listy CRL. Może to być:

  • Numer seryjny
  • Certyfikat SHA-1
  • Skrót listy CRL, listy CTL lub klucza publicznego
  • Indeks certyfikatu liczbowego (0, 1 itd.)
  • Numeryczny indeks listy CRL (.0, .1 itd.)
  • Numeryczny indeks CTL (.. 0, .. 1 itd.)
  • Klucz publiczny
  • Identyfikator objectid podpisu lub rozszerzenia
  • Nazwa pospolita podmiotu certyfikatu
  • Adres e-mail
  • Nazwa UPN lub nazwa DNS
  • Nazwa kontenera klucza lub nazwa dostawcy CSP
  • Nazwa szablonu lub Identyfikator obiektu
  • Identyfikator objectId zasad EKU lub zasad aplikacji
  • Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

• OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
• Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
• Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
• Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyny.

Na przykład:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Usuwa certyfikat z magazynu.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

• CertificateStoreName jest nazwą magazynu certyfikatów. Na przykład:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId jest tokenem dopasowania certyfikatu lub listy CRL. Może to być:

  • Numer seryjny
  • Certyfikat SHA-1
  • Skrót listy CRL, listy CTL lub klucza publicznego
  • Indeks certyfikatu liczbowego (0, 1 itd.)
  • Numeryczny indeks listy CRL (.0, .1 itd.)
  • Numeryczny indeks CTL (.. 0, .. 1 itd.)
  • Klucz publiczny
  • Identyfikator objectid podpisu lub rozszerzenia
  • Nazwa pospolita podmiotu certyfikatu
  • Adres e-mail
  • Nazwa UPN lub nazwa DNS
  • Nazwa kontenera klucza lub nazwa dostawcy CSP
  • Nazwa szablonu lub Identyfikator obiektu
  • Identyfikator objectId zasad EKU lub zasad aplikacji
  • Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

• OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
• Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
• Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
• Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyny.

Na przykład:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-Interfejsu użytkownika

Wywołuje interfejs certutil.

certutil [options] -UI File [import]

-TPMInfo

Wyświetla informacje o module zaufanej platformy.

certutil [options] -TPMInfo

Opcje:

[-f] [-Silent] [-split]

-zaświadczać

Określa, że plik żądania certyfikatu powinien być testowany.

certutil [options] -attest RequestFile

Opcje:

[-user] [-Silent] [-split]

-getcert

Wybiera certyfikat z wybranego interfejsu użytkownika.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opcje:

[-Silent] [-split]

-Ds

Wyświetla nazwy wyróżniające usługi katalogowej (DS).

certutil [options] -ds [CommonName]

Opcje:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Usuwa nazwy DN ds.

certutil [options] -dsDel [CommonName]

Opcje:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certyfikat lub listę odwołania certyfikatów (CRL) w usłudze Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Gdzie:

• CertFile jest nazwą pliku certyfikatu do opublikowania.
• NTAuthCA publikuje certyfikat w magazynie DS Enterprise.
• rootCA publikuje certyfikat w zaufanym magazynie głównym ds.
• subCA publikuje certyfikat urzędu certyfikacji do obiektu urzędu certyfikacji DS.
• crossCA publikuje krzyżowy certyfikat do obiektu urzędu certyfikacji DS.
• KRA publikuje certyfikat w obiekcie agenta odzyskiwania kluczy DS.
• użytkownik publikuje certyfikat w obiekcie User DS.
• Machine publikuje certyfikat w obiekcie Machine DS.
• CRLfile jest nazwą pliku listy CRL do opublikowania.
• DSCDPContainer jest kontenerem DS CDP CN, zazwyczaj nazwą komputera urzędu certyfikacji.
• DSCDPCN jest obiektEM CDP DS na podstawie oczyszczonej nazwy krótkiej i indeksu klucza urzędu certyfikacji.

Opcje:

[-f] [-user] [-dc DCName]

• Użyj -f, aby utworzyć nowy obiekt DS.

-dsCert

Wyświetla certyfikaty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opcje:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Wyświetla listy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opcje:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Wyświetla różnicowe listy CRL platformy DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opcje:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Wyświetla atrybuty szablonu DS.

certutil [options] -dsTemplate [Template]

Opcje:

[Silent] [-dc DCName]

-dsAddTemplate

Dodaje szablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opcje:

[-dc DCName]

-ADTemplate

Wyświetla szablony usługi Active Directory.

certutil [options] -ADTemplate [Template]

Opcje:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Szablon

Wyświetla szablony zasad rejestracji certyfikatów.

Opcje:

certutil [options] -Template [Template]

Opcje:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Przedstawia urzędy certyfikacji dla szablonu certyfikatu.

certutil [options] -TemplateCAs Template

Opcje:

[-f] [-user] [-dc DCName]

-CATemplates

Wyświetla szablony urzędu certyfikacji.

certutil [options] -CATemplates [Template]

Opcje:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Ustawia szablony certyfikatów, które może wystawiać urząd certyfikacji.

certutil [options] -SetCATemplates [+ | -] TemplateList

Gdzie:

• Znak + dodaje szablony certyfikatów do listy dostępnych szablonów urzędu certyfikacji.
• Znak - usuwa szablony certyfikatów z listy dostępnych szablonów urzędu certyfikacji.

-SetCASites

Zarządza nazwami witryn, w tym ustawianiem, weryfikowaniem i usuwaniem nazw witryn urzędu certyfikacji.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Gdzie:

• nazwa_witryny jest dozwolona tylko w przypadku określania wartości docelowej dla pojedynczego urzędu certyfikacji.

Opcje:

[-f] [-config Machine\CAName] [-dc DCName]

Uwagi

• Opcja -config jest przeznaczona dla jednego urzędu certyfikacji (domyślnie wszystkie urzędy certyfikacji).
• Za pomocą opcji -f można zastąpić błędy weryfikacji dla określonego SiteName lub usunąć wszystkie nazwy witryn urzędu certyfikacji.

Nuta

Aby uzyskać więcej informacji na temat konfigurowania urzędów certyfikacji na potrzeby rozpoznawania lokacji usług Active Directory Domain Services (AD DS), zobacz rozpoznawanie lokacji usług AD DS dla klientów usług AD CS i PKI.

-enrollmentServerURL

Wyświetla, dodaje lub usuwa adresy URL serwera rejestracji skojarzone z urzędem certyfikacji.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Gdzie:

• AuthenticationType określa jedną z następujących metod uwierzytelniania klienta podczas dodawania adresu URL:
  • Kerberos — użyj poświadczeń PROTOKOŁU SSL protokołu Kerberos.
  • UserName — użyj nazwanego konta dla poświadczeń SSL.
  • ClientCertificate — użyj poświadczeń protokołu SSL certyfikatu X.509.
  • anonimowe — użyj anonimowych poświadczeń PROTOKOŁU SSL.
• usunąć usuwa określony adres URL skojarzony z urzędem certyfikacji.
• priorytet wartości domyślne 1, jeśli nie zostaną określone podczas dodawania adresu URL.
• modyfikatory to rozdzielona przecinkami lista zawierająca co najmniej jedną z następujących wartości:
  • AllowRenewalsOnly tylko żądania odnowienia można przesłać do tego urzędu certyfikacji za pośrednictwem tego adresu URL.
  • AllowKeyBasedRenewal zezwala na użycie certyfikatu, który nie ma skojarzonego konta w usłudze AD. Dotyczy to tylko trybu ClientCertificate i AllowRenewalsOnly.

Opcje:

[-config Machine\CAName] [-dc DCName]

-ADCA

Wyświetla urzędy certyfikacji usługi Active Directory.

certutil [options] -ADCA [CAName]

Opcje:

[-f] [-split] [-dc DCName]

-CA

Wyświetla zasady rejestracji Urzędy certyfikacji.

certutil [options] -CA [CAName | TemplateName]

Opcje:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Polityka

Wyświetla zasady rejestracji.

certutil [options] -Policy

Opcje:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Wyświetla lub usuwa wpisy pamięci podręcznej zasad rejestracji.

certutil [options] -PolicyCache [delete]

Gdzie:

• usunąć usuwa wpisy pamięci podręcznej serwera zasad.
• -f usuwa wszystkie wpisy pamięci podręcznej

Opcje:

[-f] [-user] [-policyserver URLorID]

-CredStore

Wyświetla, dodaje lub usuwa wpisy magazynu poświadczeń.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Gdzie:

• adres URL jest docelowym adresem URL. Można również użyć *, aby dopasować wszystkie wpisy lub https://machine* do dopasowania prefiksu adresu URL.
• dodać dodaje wpis magazynu poświadczeń. Użycie tej opcji wymaga również użycia poświadczeń SSL.
• usunąć usuwa wpisy magazynu poświadczeń.
• -f zastępuje pojedynczy wpis lub usuwa wiele wpisów.

Opcje:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instaluje domyślne szablony certyfikatów.

certutil [options] -InstallDefaultTemplates

Opcje:

[-dc DCName]

-URL

Weryfikuje adresy URL certyfikatu lub listy CRL.

certutil [options] -URL InFile | URL

Opcje:

[-f] [-split]

-URLCache

Wyświetla lub usuwa wpisy pamięci podręcznej adresu URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Gdzie:

• adres URL jest buforowanym adresem URL.
• listy CRL jest uruchamiana tylko na wszystkich buforowanych adresach URL listy CRL.
• * działa na wszystkich buforowanych adresach URL.
• usunąć usuwa odpowiednie adresy URL z lokalnej pamięci podręcznej bieżącego użytkownika.
• -f wymusza pobieranie określonego adresu URL i aktualizowanie pamięci podręcznej.

Opcje:

[-f] [-split]

-puls

Impulsuje zdarzenie automatycznej rejestracji lub zadanie NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Gdzie:

• TaskName jest zadaniem do wyzwolenia.
  • pregen to zadanie pregenu klucza NGC.
  • AIKEnroll to zadanie rejestracji certyfikatu NGC AIK. (Domyślnie jest to zdarzenie automatycznej rejestracji).
• SRKThumbprint to odcisk palca klucza głównego magazynu
• modyfikatory :
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Opcje:

[-user]

-MachineInfo

Wyświetla informacje o obiekcie maszyny usługi Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Wyświetla informacje o kontrolerze domeny. Domyślne wyświetla certyfikaty kontrolera domeny bez weryfikacji.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• modyfikatory :

  • Zweryfikować
  • DeleteBad
  • Usuńwszystkie

Opcje:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Napiwek

Możliwość określenia domeny usług Domenowych Active Directory (AD DS) [Domena] i określenia kontrolera domeny (-dc) została dodana w systemie Windows Server 2012. Aby pomyślnie uruchomić polecenie, należy użyć konta, które jest członkiem Domain Admins lub Enterprise Admins. Modyfikacje zachowania tego polecenia są następujące:

• Jeśli domena nie zostanie określona i określony kontroler domeny nie zostanie określony, ta opcja zwraca listę kontrolerów domeny do przetworzenia z domyślnego kontrolera domeny.
• Jeśli domena nie zostanie określona, ale zostanie określony kontroler domeny, zostanie wygenerowany raport certyfikatów na określonym kontrolerze domeny.
• Jeśli domena jest określona, ale kontroler domeny nie jest określony, lista kontrolerów domeny jest generowana wraz z raportami na temat certyfikatów dla każdego kontrolera domeny na liście.
• Jeśli określono domenę i kontroler domeny, zostanie wygenerowana lista kontrolerów domeny z docelowego kontrolera domeny. Zostanie również wygenerowany raport certyfikatów dla każdego kontrolera domeny na liście.

Załóżmy na przykład, że istnieje domena o nazwie CPANDL z kontrolerem domeny o nazwie CPANDL-DC1. Możesz uruchomić następujące polecenie, aby pobrać listę kontrolerów domeny i ich certyfikaty z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Wyświetla informacje o urzędzie certyfikacji przedsiębiorstwa.

certutil [options] -EntInfo DomainName\MachineName$

Opcje:

[-f] [-user]

-TCAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -TCAInfo [DomainDN | -]

Opcje:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Wyświetla informacje o karcie inteligentnej.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Gdzie:

• CRYPT_DELETEKEYSET usuwa wszystkie klucze na karcie inteligentnej.

Opcje:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Zarządza certyfikatami głównymi kart inteligentnych.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opcje:

[-f] [-split] [-p Password]

-klucz

Wyświetla listę kluczy przechowywanych w kontenerze kluczy.

certutil [options] -key [KeyContainerName | -]

Gdzie:

• KeyContainerName jest nazwą kontenera klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj -user.
• Użycie znaku - odnosi się do używania domyślnego kontenera kluczy.

Opcje:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Usuwa nazwany kontener kluczy.

certutil [options] -delkey KeyContainerName

Opcje:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Usuwa kontener Windows Hello, usuwając wszystkie skojarzone poświadczenia przechowywane na urządzeniu, w tym wszystkie poświadczenia WebAuthn i FIDO.

Użytkownicy muszą wylogować się po użyciu tej opcji, aby ją ukończyć.

certutil [options] -DeleteHelloContainer

-verifykeys

Weryfikuje zestaw kluczy publicznych lub prywatnych.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Gdzie:

• KeyContainerName jest nazwą kontenera klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj -user.
• CACertFile podpisuje lub szyfruje pliki certyfikatów.

Opcje:

[-f] [-user] [-Silent] [-config Machine\CAName]

Uwagi

• Jeśli nie określono żadnych argumentów, każdy certyfikat urzędu certyfikacji podpisywania jest weryfikowany względem klucza prywatnego.
• Tę operację można wykonać tylko względem lokalnego urzędu certyfikacji lub kluczy lokalnych.

-zweryfikować

Weryfikuje certyfikat, listę odwołania certyfikatów (CRL) lub łańcuch certyfikatów.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Gdzie:

• CertFile jest nazwą certyfikatu do zweryfikowania.
• ApplicationPolicyList jest opcjonalną listą wymaganych identyfikatorów ObjectId zasad aplikacji.
• wystawianiaPolicyList jest opcjonalną rozdzielaną przecinkami listę wymaganych identyfikatorów objectid zasad wystawiania.
• caCertFile jest opcjonalnym certyfikatem wystawiającym urząd certyfikacji do weryfikacji.
• CrossedCACertFile jest opcjonalnym certyfikatem certyfikowanym przez CertFile.
• CRLFile to plik listy CRL używany do weryfikowania pliku CACertFile.
• IssuedCertFile to opcjonalny wystawiony certyfikat objęty plikiem CRLfile.
• deltaCRLFile jest opcjonalnym plikiem listy CRL różnicowej.
• modyfikatory :
  • Silna — silna weryfikacja podpisu
  • MSRoot — musi połączyć łańcuch z katalogiem głównym firmy Microsoft
  • MSTestRoot — musi połączyć łańcuch z katalogiem głównym testu firmy Microsoft
  • AppRoot — musi łączyć się z katalogiem głównym aplikacji firmy Microsoft
  • EV — wymuszanie rozszerzonych zasad walidacji

Opcje:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Uwagi

• Użycie ApplicationPolicyList ogranicza tworzenie łańcucha tylko do łańcuchów prawidłowych dla określonych zasad aplikacji.
• Użycie WystawianiePolicyList ogranicza tworzenie łańcucha tylko do łańcuchów prawidłowych dla określonych zasad wystawiania.
• Użycie pliku CACertFile weryfikuje pola w pliku względem pliku CertFile lub crLfile.
• Jeśli caCertFile nie zostanie określony, pełny łańcuch zostanie skompilowany i zweryfikowany pod kątem CertFile.
• Jeśli pliku CACertFile i CrossedCACertFile są określone, pola w obu plikach są weryfikowane względem CertFile.
• Użycie IssuedCertFile weryfikuje pola w pliku względem pliku CRLfile.
• Użycie funkcji DeltaCRLFile weryfikuje pola w pliku względem CertFile.

-verifyCTL

Weryfikuje certyfikaty AuthRoot lub Niedozwolone certyfikaty CTL.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Gdzie:

• CTLObject identyfikuje bibliotekę CTL do zweryfikowania, w tym:

  • AuthRootWU odczytuje plik CAB AuthRoot i pasujące certyfikaty z pamięci podręcznej adresów URL. Zamiast tego użyj -f do pobrania z usługi Windows Update.
  • disallowedWU odczytuje plik CAB niedozwolonych certyfikatów i niedozwolony plik magazynu certyfikatów z pamięci podręcznej adresów URL. Zamiast tego użyj -f do pobrania z usługi Windows Update.
    • PinRulesWU odczytuje plik CAB PinRules z pamięci podręcznej adresów URL. Zamiast tego użyj -f do pobrania z usługi Windows Update.
  • AuthRoot odczytuje buforowany rejestr AuthRoot CTL. Użyj polecenia z -f i niezaufanym CertFile, aby wymusić aktualizację AuthRoot i niedozwolone listy CTL certyfikatów.
  • niedozwolone odczytuje rejestru buforowane certyfikaty CTL. Użyj polecenia z -f i niezaufanym CertFile, aby wymusić aktualizację AuthRoot i niedozwolone listy CTL certyfikatów.
    • PinRules odczytuje rejestr buforowany pinRules CTL. Użycie -f ma takie samo zachowanie jak w przypadku PinRulesWU.
  • CTLFileName określa plik lub ścieżkę http do pliku CTL lub CAB.

• CertDir określa folder zawierający certyfikaty pasujące do wpisów CTL. Domyślnie jest to ten sam folder lub witryna internetowa co CTLobject. Użycie ścieżki folderu http wymaga separatora ścieżki na końcu. Jeśli nie określisz AuthRoot lub Niedozwolone, wiele lokalizacji jest wyszukiwanych pod kątem pasujących certyfikatów, w tym lokalnych magazynów certyfikatów, crypt32.dll zasobów i lokalnej pamięci podręcznej adresów URL. Użyj -f do pobrania z usługi Windows Update zgodnie z potrzebami.

• CertFile określa certyfikaty do zweryfikowania. Certyfikaty są dopasowywane do wpisów CTL, wyświetlając wyniki. Ta opcja pomija większość domyślnych danych wyjściowych.

Opcje:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certyfikaty z usługą Windows Update.

certutil [options] -syncWithWU DestinationDir

Gdzie:

• DestinationDir jest określonym katalogem.
• f wymusza zastąpienie.
• Unicode zapisuje przekierowane dane wyjściowe w formacie Unicode.
• gmt wyświetla czasy GMT.
• sekund wyświetla czasy z sekundami i milisekundami.
• v jest operacją szczegółową.
• numer PIN to numer PIN karty inteligentnej.
• WELL_KNOWN_SID_TYPE jest numerycznym identyfikatorem SID:
  • 22 — System lokalny
  • 23 — Usługa lokalna
  • 24 — Usługa sieciowa

Uwagi

Następujące pliki są pobierane przy użyciu mechanizmu automatycznej aktualizacji:

• authrootstl.cab zawiera listy CTL certyfikatów głównych innych niż Microsoft.
• disallowedcertstl.cab zawiera listy CTL niezaufanych certyfikatów.
• niedozwolone cert.sst zawiera serializowany magazyn certyfikatów, w tym niezaufane certyfikaty.
• thumbprint.crt zawiera certyfikaty główne firmy innej niż Microsoft.

Na przykład certutil -syncWithWU \\server1\PKI\CTLs.

• Jeśli jako folder docelowy używasz nieistnienej ścieżki lokalnej lub folderu, zostanie wyświetlony błąd: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Jeśli jako folderu docelowego używasz nieistnienej lub niedostępnej lokalizacji sieciowej, zostanie wyświetlony błąd: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Jeśli serwer nie może nawiązać połączenia za pośrednictwem portu TCP 80 z serwerami automatycznej aktualizacji firmy Microsoft, zostanie wyświetlony następujący błąd: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Jeśli serwer nie może nawiązać połączenia z serwerami automatycznej aktualizacji firmy Microsoft przy użyciu nazwy DNS ctldl.windowsupdate.com, zostanie wyświetlony następujący błąd: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Jeśli nie używasz przełącznika -f i którykolwiek z plików CTL już istnieje w katalogu, zostanie wyświetlony błąd pliku: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Jeśli istnieje zmiana zaufanych certyfikatów głównych, zobaczysz: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opcje:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generuje plik magazynu synchronizowany z usługą Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Gdzie:

• plik SSTFile jest plikiem .sst, który ma zostać wygenerowany, który zawiera katalog głównych innych firm pobrany z usługi Windows Update.

Opcje:

[-f] [-split]

-generatePinRulesCTL

Generuje plik listy zaufania certyfikatów (CTL), który zawiera listę reguł przypinania.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Gdzie:

• plik XMLFile jest wejściowym plikiem XML, który ma zostać przeanalizowany.
• CTLFile jest generowany wyjściowy plik CTL.
• SSTFile to opcjonalny plik .sst do utworzenia zawierający wszystkie certyfikaty używane do przypinania.
• QueryFilesPrefix są opcjonalne Domains.csv i pliki Keys.csv do utworzenia dla zapytania bazy danych.
  • Ciąg QueryFilesPrefix jest poprzedzony każdym utworzonym plikiem.
  • Plik Domains.csv zawiera nazwę reguły, wiersze domeny.
  • Plik Keys.csv zawiera nazwę reguły, wiersze odcisku palca SHA256 klucza.

Opcje:

[-f]

-downloadOcsp

Pobiera odpowiedzi OCSP i zapisuje je w katalogu.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Gdzie:

• CertificateDir jest katalogiem plików certyfikatu, magazynu i PFX.
• OcspDir to katalog do zapisywania odpowiedzi OCSP.
• ThreadCount jest opcjonalną maksymalną liczbą wątków do równoczesnego pobierania. Wartość domyślna to 10.
• modyfikatory są rozdzielone przecinkami:
  • DownloadOnce — pobiera raz i kończy działanie.
  • ReadOcsp — odczyty z OcspDir zamiast pisania.

-generateHpkpHeader

Generuje nagłówek HPKP przy użyciu certyfikatów w określonym pliku lub katalogu.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Gdzie:

• CertFileOrDir to plik lub katalog certyfikatów, który jest źródłem pin-sha256.
• maxAge to wartość maksymalna wieku w sekundach.
• identyfikator ReportUri jest opcjonalnym identyfikatorem URI raportu.
• modyfikatory są rozdzielone przecinkami:
  • includeSubDomains — dołącza includeSubDomains.

-flushCache

Opróżnia określone pamięci podręczne w wybranym procesie, na przykład lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Gdzie:

• ProcessId jest identyfikatorem liczbowym procesu do opróżnienia. Ustaw wartość 0, aby opróżnić wszystkie procesy, w których włączono opróżnianie.

• CacheMask to maska bitów pamięci podręcznych do opróżnienia liczbowego lub następujących bitów:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• modyfikatory są rozdzielone przecinkami:

  • Pokaż — pokazuje opróżnianie pamięci podręcznych. Program Certutil musi zostać jawnie zakończony.

-addEccCurve

Dodaje krzywą ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Gdzie:

• CurveClass to typ klasy krzywej ECC:

  • WEIERSTRASS (ustawienie domyślne)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName to nazwa krzywej ECC.

• CurveParameters są jednym z następujących elementów:

  • Nazwa pliku certyfikatu zawierająca parametry zakodowane w formacie ASN.
  • Plik zawierający parametry zakodowane w formacie ASN.

• CurveOID jest OID krzywej ECC i jest jednym z następujących:

  • Nazwa pliku certyfikatu zawierająca zakodowany w formacie ASN OID.
  • Jawny OID krzywej ECC.

• CurveType to punkt ECC Schannel NamedCurve (liczbowy).

Opcje:

[-f]

-deleteEccCurve

Usuwa krzywą ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Gdzie:

• CurveName to nazwa krzywej ECC.
• CurveOID jest OID krzywej ECC.

Opcje:

[-f]

-displayEccCurve

Wyświetla krzywą ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Gdzie:

• CurveName to nazwa krzywej ECC.
• CurveOID jest OID krzywej ECC.

Opcje:

[-f]

-csplist

Wyświetla listę dostawców usług kryptograficznych zainstalowanych na tym komputerze na potrzeby operacji kryptograficznych.

certutil [options] -csplist [Algorithm]

Opcje:

[-user] [-Silent] [-csp Provider]

-csptest

Testuje dostawców CSP zainstalowanych na tym komputerze.

certutil [options] -csptest [Algorithm]

Opcje:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Wyświetla konfigurację kryptograficzną CNG na tym komputerze.

certutil [options] -CNGConfig

Opcje:

[-Silent]

-znak

Ponownie podpisuje listę odwołania certyfikatów (CRL) lub certyfikat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Gdzie:

• InFileList to rozdzielona przecinkami lista plików certyfikatów lub listy CRL do modyfikowania i ponownego podpisywania.

• numer seryjny jest numerem seryjnym certyfikatu do utworzenia. Okres ważności i inne opcje nie mogą być obecne.

• listy CRL tworzy pustą listę CRL. Okres ważności i inne opcje nie mogą być obecne.

• OutFileList to rozdzielona przecinkami lista zmodyfikowanych plików wyjściowych certyfikatu lub listy CRL. Liczba plików musi być zgodna z listą plików.

• StartDate+dd:hh to nowy okres ważności dla plików certyfikatu lub listy CRL, w tym:

  • opcjonalna data plus
  • opcjonalny okres ważności dni i godzin, jeśli jest używanych wiele pól, użyj separatora (+) lub (-). Użyj now[+dd:hh], aby rozpocząć w bieżącej chwili. Użyj now-dd:hh+dd:hh, aby rozpocząć od stałego przesunięcia od bieżącego czasu i stałego okresu ważności. Użyj never, aby nie mieć daty wygaśnięcia (tylko w przypadku list CRL).

• serialNumberList to rozdzielona przecinkami lista numerów seryjnych plików do dodania lub usunięcia.

• ObjectIdList jest rozdzielaną przecinkami listą objectid rozszerzeń do usunięcia.

• @ExtensionFile to plik INF zawierający rozszerzenia do aktualizacji lub usunięcia. Na przykład:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm to nazwa algorytmu skrótu. Musi to być tylko tekst poprzedzony znakiem #.

• AlternateSignatureAlgorithm jest specyfikatorem alternatywnego algorytmu podpisu.

Opcje:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Uwagi

• Użycie znaku minus (-) usuwa numery seryjne i rozszerzenia.
• Za pomocą znaku plus (+) dodaje numery seryjne do listy CRL.
• Możesz użyć listy, aby usunąć zarówno numery seryjne, jak i ObjectIds z listy CRL w tym samym czasie.
• Użycie znaku minus przed AlternateSignatureAlgorithm umożliwia użycie starszego formatu podpisu.
• Użycie znaku plus umożliwia użycie alternatywnego formatu podpisu.
• Jeśli nie określisz AlternateSignatureAlgorithm, zostanie użyty format podpisu w certyfikacie lub liście CRL.

-vroot

Tworzy lub usuwa wirtualne katalogi głównych sieci Web i udziały plików.

certutil [options] -vroot [delete]

-vocsproot

Tworzy lub usuwa wirtualne katalogi root sieci Web dla internetowego serwera proxy OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Dodaje aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Gdzie:

• addEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:

  • Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
  • UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
  • ClientCertificate używa poświadczeń protokołu SSL certyfikatu X.509.

• modyfikatory :

  • AllowRenewalsOnly zezwala tylko na przesyłanie żądań odnowienia do urzędu certyfikacji za pośrednictwem adresu URL.
  • AllowKeyBasedRenewal zezwala na używanie certyfikatu bez skojarzonego konta w usłudze Active Directory. Ma to zastosowanie w przypadku użycia z ClientCertificate i AllowRenewalsOnly w trybie.

Opcje:

[-config Machine\CAName]

-deleteEnrollmentServer

Usuwa aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Gdzie:

• deleteEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:
  • Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
  • UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
  • ClientCertificate używa poświadczeń protokołu SSL certyfikatu X.509.

Opcje:

[-config Machine\CAName]

-addPolicyServer

W razie potrzeby dodaj aplikację serwera zasad i pulę aplikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Gdzie:

• addPolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
  • Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
  • UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
  • ClientCertificate używa poświadczeń protokołu SSL certyfikatu X.509.
• KeyBasedRenewal umożliwia korzystanie z zasad zwracanych do klienta zawierającego szablony keybasedrenewal. Ta opcja dotyczy tylko uwierzytelniania UserName i ClientCertificate.

-deletePolicyServer

W razie potrzeby usuwa aplikację serwera zasad i pulę aplikacji. To polecenie nie usuwa plików binarnych ani pakietów.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Gdzie:

• deletePolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
  • Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
  • UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
  • ClientCertificate używa poświadczeń protokołu SSL certyfikatu X.509.
• KeyBasedRenewal umożliwia korzystanie z serwera zasad KeyBasedRenewal.

-Klasa

Wyświetla informacje rejestru COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opcje:

[-f]

-7f

Sprawdza certyfikat pod kątem kodowania 0x7f długości.

certutil [options] -7f CertFile

-Oid

Wyświetla identyfikator obiektu lub ustawia nazwę wyświetlaną.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Gdzie:

• ObjectId jest identyfikatorem, który ma być wyświetlany lub dodawać do nazwy wyświetlanej.
• GroupId jest liczbą GroupID (dziesiętną), którą wyliczają identyfikatory ObjectId.
• AlgId jest identyfikatorem szesnastkowym, który wyszukuje identyfikator objectID.
• AlgorithmName to nazwa algorytmu, która wyszukuje identyfikator objectID.
• DisplayName wyświetla nazwę do przechowywania w usługach DS.
• Usuń usuwa nazwę wyświetlaną.
• LanguageId to wartość identyfikatora języka (domyślnie bieżąca: 1033).
• Typ jest typem obiektu DS do utworzenia, w tym:
  • 1 — szablon (ustawienie domyślne)
  • 2 — zasady wystawiania
  • 3 — zasady aplikacji
• -f tworzy obiekt DS.

Opcje:

[-f]

-błąd

Wyświetla tekst komunikatu skojarzony z kodem błędu.

certutil [options] -error ErrorCode

-getsmtpinfo

Pobiera informacje o protokole SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Ustawia informacje SMTP.

certutil [options] -setsmtpinfo LogonName

Opcje:

[-config Machine\CAName] [-p Password]

-getreg

Wyświetla wartość rejestru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Gdzie:

• ca używa klucza rejestru urzędu certyfikacji.
• przywracania używa klucza rejestru przywracania urzędu certyfikacji.
• zasad używa klucza rejestru modułu zasad.
• exit używa klucza rejestru pierwszego modułu zakończenia.
• szablon używa klucza rejestru szablonu (użyj -user dla szablonów użytkowników).
• zarejestruj używa klucza rejestru rejestracji (użyj -user kontekstu użytkownika).
• łańcuch używa klucza rejestru konfiguracji łańcucha.
• PolicyServers używa klucza rejestru Serwery zasad.
• ProgId używa identyfikatora ProgID (nazwa podklucza rejestru) lub exit module.
• RegistryValueName używa nazwy wartości rejestru (użyj Name* do dopasowania prefiksu).
• wartość używa nowej wartości liczbowej, ciągu lub daty lub nazwy pliku rejestru. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

• Jeśli wartość ciągu rozpoczyna się od + lub -, a istniejąca wartość jest wartością REG_MULTI_SZ, ciąg zostanie dodany do istniejącej wartości rejestru lub usunięty z istniejącej wartości rejestru. Aby wymusić utworzenie wartości REG_MULTI_SZ, dodaj \n na końcu wartości ciągu.
• Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowe reprezentacje tekstowej wartości binarnej.
• Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowany jako [Date][+|-][dd:hh], która jest opcjonalną datą plus lub minus opcjonalnymi dniami i godzinami.
• Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
• Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
• Użyj chain\chaincacheresyncfiletime @now, aby skutecznie opróżnić buforowane listy CRL.
• Aliasy rejestru:
  • Konfiguracja
  • CA
  • Zasady — zasadyModuły
  • Exit — ExitModules
  • Przywracanie — RestoreInProgress
  • Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
  • Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Software\Microsoft\Cryptography\MSCEP
  • Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-setreg

Ustawia wartość rejestru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Gdzie:

• ca używa klucza rejestru urzędu certyfikacji.
• przywracania używa klucza rejestru przywracania urzędu certyfikacji.
• zasad używa klucza rejestru modułu zasad.
• exit używa klucza rejestru pierwszego modułu zakończenia.
• szablon używa klucza rejestru szablonu (użyj -user dla szablonów użytkowników).
• zarejestruj używa klucza rejestru rejestracji (użyj -user kontekstu użytkownika).
• łańcuch używa klucza rejestru konfiguracji łańcucha.
• PolicyServers używa klucza rejestru Serwery zasad.
• ProgId używa identyfikatora ProgID (nazwa podklucza rejestru) lub exit module.
• RegistryValueName używa nazwy wartości rejestru (użyj Name* do dopasowania prefiksu).
• wartość używa nowej wartości liczbowej, ciągu lub daty lub nazwy pliku rejestru. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

• Jeśli wartość ciągu rozpoczyna się od + lub -, a istniejąca wartość jest wartością REG_MULTI_SZ, ciąg zostanie dodany do istniejącej wartości rejestru lub usunięty z istniejącej wartości rejestru. Aby wymusić utworzenie wartości REG_MULTI_SZ, dodaj \n na końcu wartości ciągu.
• Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowe reprezentacje tekstowej wartości binarnej.
• Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowany jako [Date][+|-][dd:hh], która jest opcjonalną datą plus lub minus opcjonalnymi dniami i godzinami.
• Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
• Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
• Użyj chain\chaincacheresyncfiletime @now, aby skutecznie opróżnić buforowane listy CRL.

-delreg

Usuwa wartość rejestru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Gdzie:

• ca używa klucza rejestru urzędu certyfikacji.
• przywracania używa klucza rejestru przywracania urzędu certyfikacji.
• zasad używa klucza rejestru modułu zasad.
• exit używa klucza rejestru pierwszego modułu zakończenia.
• szablon używa klucza rejestru szablonu (użyj -user dla szablonów użytkowników).
• zarejestruj używa klucza rejestru rejestracji (użyj -user kontekstu użytkownika).
• łańcuch używa klucza rejestru konfiguracji łańcucha.
• PolicyServers używa klucza rejestru Serwery zasad.
• ProgId używa identyfikatora ProgID (nazwa podklucza rejestru) lub exit module.
• RegistryValueName używa nazwy wartości rejestru (użyj Name* do dopasowania prefiksu).
• wartość używa nowej wartości liczbowej, ciągu lub daty rejestru lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

• Jeśli wartość ciągu rozpoczyna się od + lub -, a istniejąca wartość jest wartością REG_MULTI_SZ, ciąg zostanie dodany do istniejącej wartości rejestru lub usunięty z istniejącej wartości rejestru. Aby wymusić utworzenie wartości REG_MULTI_SZ, dodaj \n na końcu wartości ciągu.
• Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowe reprezentacje tekstowej wartości binarnej.
• Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowany jako [Date][+|-][dd:hh], która jest opcjonalną datą plus lub minus opcjonalnymi dniami i godzinami.
• Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
• Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
• Użyj chain\chaincacheresyncfiletime @now, aby skutecznie opróżnić buforowane listy CRL.
• Aliasy rejestru:
  • Konfiguracja
  • CA
  • Zasady — zasadyModuły
  • Exit — ExitModules
  • Przywracanie — RestoreInProgress
  • Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
  • Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Software\Microsoft\Cryptography\MSCEP
  • Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-importKMS

Importuje klucze użytkownika i certyfikaty do bazy danych serwera na potrzeby archiwizacji kluczy.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Gdzie:

• UserKeyAndCertFile to plik danych z kluczami prywatnymi użytkownika i certyfikatami, które mają zostać zarchiwizowane. Ten plik może być następujący:
  • Plik eksportu serwera zarządzania kluczami programu Exchange (KMS).
  • Plik PFX.
• CertId to token dopasowania certyfikatu odszyfrowywania plików eksportu usługi KMS. Aby uzyskać więcej informacji, zobacz parametr -store w tym artykule.
• -f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Opcje:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje plik certyfikatu do bazy danych.

certutil [options] -ImportCert Certfile [ExistingRow]

Gdzie:

• ExistingRow importuje certyfikat zamiast oczekującego żądania dla tego samego klucza.
• -f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Opcje:

[-f] [-config Machine\CAName]

Uwagi

Może być również konieczne skonfigurowanie urzędu certyfikacji do obsługi certyfikatów zagranicznych przez uruchomienie certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Pobiera zarchiwizowany obiekt blob odzyskiwania klucza prywatnego, generuje skrypt odzyskiwania lub odzyskuje zarchiwizowane klucze.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Gdzie:

• skrypt generuje skrypt do pobierania i odzyskiwania kluczy (zachowanie domyślne, jeśli znaleziono wiele pasujących kandydatów odzyskiwania lub jeśli plik wyjściowy nie jest określony).
• pobrać pobiera co najmniej jeden obiekt blob odzyskiwania kluczy (zachowanie domyślne, jeśli zostanie znaleziony dokładnie jeden pasujący kandydat odzyskiwania i jeśli zostanie określony plik wyjściowy). Za pomocą tej opcji obcina wszelkie rozszerzenia i dołącza ciąg specyficzny dla certyfikatu oraz rozszerzenie .rec dla każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
• odzyskać pobiera i odzyskuje klucze prywatne w jednym kroku (wymaga certyfikatów i kluczy prywatnych agenta odzyskiwania kluczy). Za pomocą tej opcji obcina wszelkie rozszerzenia i dołącza rozszerzenie .p12. Każdy plik zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.
• SearchToken wybiera klucze i certyfikaty do odzyskania, w tym:
  • Nazwa pospolita certyfikatu
  • Numer seryjny certyfikatu
  • Skrót SHA-1 certyfikatu (odcisk palca)
  • Skrót SHA-1 klucza certyfikatu (identyfikator klucza podmiotu)
  • Nazwa osoby żądającego (domena\użytkownik)
  • NAZWA UPN (user@domain)
• RecoveryBlobOutFile generuje plik z łańcuchem certyfikatów i skojarzonym kluczem prywatnym, nadal zaszyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
• OutputScriptFile generuje plik ze skryptem wsadowym w celu pobrania i odzyskania kluczy prywatnych.
• OutputFileBaseName zwraca nazwę podstawową pliku.

Opcje:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Uwagi

• W przypadku pobieraniakażde rozszerzenie jest obcięte, a ciąg specyficzny dla certyfikatu, a rozszerzenia .rec są dołączane dla każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
• W przypadku odzyskiwaniawszystkie rozszerzenia są obcięte, a rozszerzenie .p12 jest dołączane. Zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.

-RecoverKey

Odzyskuje zarchiwizowany klucz prywatny.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opcje:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Scala pliki PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Gdzie:

• PFXInFileList to rozdzielona przecinkami lista plików wejściowych PFX.
• PFXOutFile jest nazwą pliku wyjściowego PFX.
• modyfikatory są rozdzielane przecinkami listy co najmniej jednej z następujących wartości:
  • extendedProperties zawiera wszelkie właściwości rozszerzone.
  • noEncryptCert określa, że certyfikaty nie są szyfrowane.
  • EncryptCert określa szyfrowanie certyfikatów.

Opcje:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Uwagi

• Hasło określone w wierszu polecenia musi być listą haseł rozdzielanych przecinkami.
• Jeśli określono więcej niż jedno hasło, ostatnie hasło jest używane dla pliku wyjściowego. Jeśli podano tylko jedno hasło lub ostatnie hasło jest *, użytkownik zostanie poproszony o podanie hasła pliku wyjściowego.

-add-chain

Dodaje łańcuch certyfikatów.

certutil [options] -add-chain LogId certificate OutFile

Opcje:

[-f]

-add-pre-chain

Dodaje łańcuch certyfikatów wstępnych.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opcje:

[-f]

-get-sth

Pobiera podpisaną głowę drzewa.

certutil [options] -get-sth [LogId]

Opcje:

[-f]

-get-sth-consistency

Pobiera zmiany w głowę drzewa ze znakiem.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opcje:

[-f]

-get-proof-by-hash

Pobiera dowód skrótu z serwera sygnatury czasowej.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opcje:

[-f]

-get-entries

Pobiera wpisy z dziennika zdarzeń.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opcje:

[-f]

-get-roots

Pobiera certyfikaty główne z magazynu certyfikatów.

certutil [options] -get-roots LogId

Opcje:

[-f]

-get-entry-and-proof

Pobiera wpis dziennika zdarzeń i jego dowód kryptograficzny.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opcje:

[-f]

-VerifyCT

Weryfikuje certyfikat względem dziennika przezroczystości certyfikatu.

certutil [options] -VerifyCT Certificate SCT [precert]

Opcje:

[-f]

-?

Wyświetla listę parametrów.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Gdzie:

• -? wyświetla listę parametrów
• -<name_of_parameter> -? Wyświetla zawartość pomocy dla określonego parametru.
• -? -v wyświetla szczegółową listę parametrów i opcji.

Opcje

W tej sekcji zdefiniowano wszystkie opcje, które można określić na podstawie polecenia . Każdy parametr zawiera informacje o tym, które opcje są prawidłowe do użycia.

Opcja	Opis
-Admin	Użyj ICertAdmin2 dla właściwości urzędu certyfikacji.
-anonimowy	Użyj anonimowych poświadczeń SSL.
-cert CertId	Certyfikat podpisywania.
-clientcertificate clientCertId	Użyj poświadczeń protokołu SSL certyfikatu X.509. W przypadku interfejsu użytkownika wyboru użyj -clientcertificate.
-config Machine\CAName	Ciąg nazwy urzędu certyfikacji i komputera.
-csp provider	Dostawca: KSP — dostawca magazynu kluczy oprogramowania firmy Microsoft modułu TPM — dostawca kryptograficzny platformy Microsoft NGC — dostawca magazynu kluczy usługi Microsoft Passport SC — dostawca magazynu kluczy kart inteligentnych firmy Microsoft
-dc DCName	Docelowy określony kontroler domeny.
-przedsiębiorstwo	Użyj magazynu certyfikatów rejestru przedsiębiorstwa komputera lokalnego.
-f	Wymuś zastąpienie.
-generateSSTFromWU SSTFile	Wygeneruj SST przy użyciu mechanizmu automatycznej aktualizacji.
-Gmt	Czas wyświetlania przy użyciu gmt.
-GroupPolicy	Użyj magazynu certyfikatów zasad grupy.
-idispatch	Użyj interfejsu IDispatch zamiast metod natywnych COM.
-kerberos	Użyj poświadczeń protokołu SSL protokołu Kerberos.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Wyświetlanie szablonów maszyn.
-nocr	Kodowanie tekstu bez znaków CR.
-nocrlf	Kodowanie tekstu bez CR-LF znaków.
-nullsign	Użyj skrótu danych jako podpisu.
-oldpfx	Użyj starego szyfrowania PFX.
-out columnlist	Lista kolumn rozdzielonych przecinkami.
-p hasło	Hasło
-pin PIN	Numer PIN karty inteligentnej.
-policyserver URLorID	Adres URL lub identyfikator serwera zasad. W przypadku zaznaczenia opcji U/I użyj -policyserver. W przypadku wszystkich serwerów zasad użyj -policyserver *
-privatekey	Wyświetl hasło i dane klucza prywatnego.
-chronić	Ochrona kluczy przy użyciu hasła.
-protectto SAMnameandSIDlist	Rozdzielona przecinkami nazwa SAM/lista SID.
-ogranicz listę ograniczeń	Lista ograniczeń rozdzielonych przecinkami. Każde ograniczenie składa się z nazwy kolumny, operatora relacyjnego i stałej liczby całkowitej, ciągu lub daty. Jedna nazwa kolumny może być poprzedzona znakiem plus lub minus, aby wskazać kolejność sortowania. Na przykład: requestID = 47, +requestername >= a, requesternamelub -requestername > DOMAIN, Disposition = 21.
-rewers	Odwrotne kolumny dzienników i kolejek.
-Sekund	Wyświetlanie czasów użycia sekund i milisekund.
-usługa	Użyj magazynu certyfikatów usługi.
-Sid	Numeryczny identyfikator SID: 22 — system lokalny 23 — usługa lokalna 24 — usługa sieciowa
-cichy	Użyj flagi silent, aby uzyskać kontekst kryptografii.
-rozszczepiać	Podziel osadzone elementy ASN.1 i zapisz je w plikach.
-sslpolicy nazwa serwera	Zasady SSL pasujące do nazwy serwera.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nazwa algorytmu klucza symetrycznego z opcjonalną długością klucza. Na przykład: AES,128 lub 3DES.
-syncWithWU DestinationDir	Synchronizacja z usługą Windows Update.
-t limitu czasu	Limit czasu pobierania adresu URL w milisekundach.
-Unicode	Zapisywanie przekierowanych danych wyjściowych w formacie Unicode.
-UnicodeText	Zapisz plik wyjściowy w formacie Unicode.
-urlfetch	Pobierz i zweryfikuj certyfikaty AIA i listy CRL cdP.
-użytkownik	Użyj kluczy HKEY_CURRENT_USER lub magazynu certyfikatów.
-nazwa użytkownika użytkownika	Użyj nazwanego konta dla poświadczeń PROTOKOŁU SSL. W przypadku interfejsu użytkownika wyboru użyj -username.
-Ut	Wyświetlanie szablonów użytkowników.
-v	Podaj bardziej szczegółowe (pełne) informacje.
-v1	Użyj interfejsów w wersji 1.

Algorytmy wyznaczania skrótu: MD2 MD4 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Powiązane linki

Aby uzyskać więcej przykładów użycia tego polecenia, zobacz następujące artykuły:

• usług certyfikatów Active Directory (AD CS)
• zadania narzędzia Certutil do zarządzania certyfikatami
• Konfigurowanie zaufanych katalogów głównych i niedozwolonych certyfikatów w systemie Windows