certutil

Artigo
01/15/2025
Aplica-se a:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Atenção

Certutil não é recomendado para ser usado em qualquer código de produção e não fornece nenhuma garantia de suporte ao site ao vivo ou compatibilidade de aplicativos. É uma ferramenta utilizada por desenvolvedores e administradores de TI para visualizar informações de conteúdo de certificado em dispositivos.

Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para exibir informações de configuração da autoridade de certificação (CA), configurar os Serviços de Certificados e fazer backup e restaurar componentes da autoridade de certificação. O programa também verifica certificados, pares de chaves e cadeias de certificados.

Se certutil for executado em uma autoridade de certificação sem outros parâmetros, ele exibirá a configuração atual da autoridade de certificação. Se certutil for executado em uma autoridade que não seja de certificação sem outros parâmetros, o comando assumirá como padrão a execução do comando certutil -dump. Nem todas as versões do certutil fornecem todos os parâmetros e opções descritos neste documento. Você pode ver as opções que sua versão do certutil fornece executando certutil -? ou certutil <parameter> -?.

Dica

Para ver a ajuda completa para todos os verbos e opções certutil, incluindo aqueles que estão ocultos do argumento -?, execute certutil -v -uSAGE. A opção uSAGE diferencia maiúsculas de minúsculas.

Parâmetros

-despejo

Despeja as informações ou arquivos de configuração.

certutil [options] [-dump]
certutil [options] [-dump] File

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Despeja a estrutura PFX.

certutil [options] [-dumpPFX] File

Opções:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-ASN

Analisa e exibe o conteúdo de um arquivo usando a sintaxe ASN.1 (Abstract Syntax Notation). Os tipos de arquivo incluem . CER, . Arquivos formatados DER e PKCS #7.

certutil [options] -asn File [type]

[type]: tipo de descodificação numérica CRYPT_STRING_*

-decodehex

Decodifica um arquivo codificado hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo de descodificação numérica CRYPT_STRING_*

Opções:

[-f]

-encodehex

Codifica um arquivo em hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo de codificação numérica CRYPT_STRING_*

Opções:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-descodificar

Decodifica um arquivo codificado em Base64.

certutil [options] -decode InFile OutFile

Opções:

[-f]

-codificar

Codifica um arquivo para Base64.

certutil [options] -encode InFile OutFile

Opções:

[-f] [-unicodetext]

-negar

Nega um pedido pendente.

certutil [options] -deny RequestId

Opções:

[-config Machine\CAName]

-reenviar

Reenvia uma solicitação pendente.

certutil [options] -resubmit RequestId

Opções:

[-config Machine\CAName]

-setatributos

Define atributos para uma solicitação de certificado pendente.

certutil [options] -setattributes RequestId AttributeString

Em que:

RequestId é o ID numérico da solicitação pendente.
AttributeString é o nome do atributo de solicitação e os pares de valor.

Opções:

[-config Machine\CAName]

Comentários

Nomes e valores devem ser separados por dois pontos, enquanto vários nomes e pares de valores devem ser separados por nova linha. Por exemplo: CertificateTemplate:User\nEMail:User@Domain.com onde a sequência \n é convertida em um separador de nova linha.

-SetExtension

Defina uma extensão para uma solicitação de certificado pendente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Em que:

requestID é a ID numérica da solicitação pendente.
ExtensionName é a cadeia de caracteres ObjectId para a extensão.
Flags define a prioridade da extensão. 0 é recomendado, enquanto 1 define a extensão como crítica, 2 desativa a extensão e 3 faz as duas coisas.

Opções:

[-config Machine\CAName]

Comentários

Se o último parâmetro for numérico, ele será tomado como um Long.
Se o último parâmetro puder ser analisado como uma data, ele será tomado como um Data.
Se o último parâmetro começar com \@, o restante do token será tomado como o nome do arquivo com dados binários ou um despejo hexadecimal de texto ascii.
Se o último parâmetro for qualquer outra coisa, ele será tomado como um String.

-revogar

Revoga um certificado.

certutil [options] -revoke SerialNumber [Reason]

Em que:

SerialNumber é uma lista separada por vírgulas de números de série de certificados a serem revogados.
Razão é a representação numérica ou simbólica da razão de revogação, incluindo:
- 0. CRL_REASON_UNSPECIFIED - Não especificado (padrão)
- 1. CRL_REASON_KEY_COMPROMISE - Compromisso fundamental
- 2. CRL_REASON_CA_COMPROMISE - Compromisso da Autoridade de Certificação
- 3. CRL_REASON_AFFILIATION_CHANGED - Afiliação alterada
- 4. CRL_REASON_SUPERSEDED - Substituído
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessação da atividade
- 6. CRL_REASON_CERTIFICATE_HOLD - Posse do certificado
- 8. CRL_REASON_REMOVE_FROM_CRL - Remover da CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilégio retirado
- 10: CRL_REASON_AA_COMPROMISE - compromisso AA
- -1. Não revogar - Não revoga

Opções:

[-config Machine\CAName]

-é válido

Exibe a disposição do certificado atual.

certutil [options] -isvalid SerialNumber | CertHash

Opções:

[-config Machine\CAName]

-getconfig

Obtém a cadeia de caracteres de configuração padrão.

certutil [options] -getconfig

Opções:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtém a cadeia de caracteres de configuração padrão via ICertGetConfig.

certutil [options] -getconfig2

Opções:

[-idispatch]

-getconfig3

Obtém a configuração via ICertConfig.

certutil [options] -getconfig3

Opções:

[-idispatch]

-ping

Tenta entrar em contato com a interface de Solicitação de Serviços de Certificados do Ative Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Em que:

CAMachineList é uma lista separada por vírgulas de nomes de máquinas de CA. Para uma única máquina, use uma vírgula de terminação. Essa opção também exibe o custo do site para cada máquina de CA.

Opções:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta entrar em contato com a interface de Administração dos Serviços de Certificados do Ative Directory.

certutil [options] -pingadmin

Opções:

[-config Machine\CAName]

-CAInfo

Exibe informações sobre a autoridade de certificação.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Em que:

InfoName indica a propriedade CA a ser exibida, com base na seguinte sintaxe de argumento infoname:
- * - Exibe todas as propriedades
- anúncios - Advanced Server
- aia [Índice] - AIA URLs
- cdp [Índice] - CDP URLs
- cert [Índice] - CA cert
- certchain [Índice] - CA cert chain
- certcount - Contagem de certificados CA
- certcrlchain [Índice] - CA cert chain com CRLs
- certstate [Índice] - CA cert
- certstatuscode [Índice] - CA cert verify status
- certversion [Index] - CA cert version
- CRL [Índice] - CRL Base
- crlstate [Índice] - CRL
- crlstatus [Índice] - Status de publicação da CRL
- cross- [Índice] - Certificado cruzado para trás
- cross+ [Índice] - Forward cross cert
- crossstate- [Índice] - Certificado cruzado para trás
- crossstate+ [Índice] - Forward cross cert
- deltacrl [Índice] - Delta CRL
- deltacrlstatus [Índice] - Status de publicação da CRL Delta
- DNS - Nome DNS
- dsname - Nome curto CA higienizado (nome DS)
- error1 ErrorCode - Texto da mensagem de erro
- error2 ErrorCode - Texto da mensagem de erro e código de erro
- exit [Índice] - Descrição do módulo de saída
- de saída - Contagem do módulo de saída
- do arquivo - Versão do arquivo
- info - CA info
- kra [Índice] - KRA cert
- kracount - KRA cert count
- krastate [Índice] - KRA cert
- kraused - KRA cert used count
- localename - Nome da localidade da autoridade de certificação
- nome - nome da autoridade de certificação
- ocsp [Índice] - URLs OCSP
- pai - CA pai
- de políticas - Descrição do módulo de políticas
- do produto - Versão do produto
- propidmax - Máximo CA PropId
- de Funções - Separação de Funções
- sanitizedname - Nome da CA higienizado
- sharedfolder - Pasta compartilhada
- subjecttemplateoids - OIDs de modelo de assunto
- modelos - Modelos
- tipo - tipo CA
- xchg [Índice] - CA exchange cert
- xchgchain [Índice] - CA exchange cert chain
- xchgcount - Contagem de certificados de troca de CA
- xchgcrlchain [Índice] - CA exchange cert chain with CRLs
índice é o índice de propriedade baseado em zero opcional.
código de erro é o código de erro numérico.

Opções:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Exibe informações sobre o tipo de propriedade da autoridade de certificação.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opções:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera o certificado da autoridade de certificação.

certutil [options] -ca.cert OutCACertFile [Index]

Em que:

OutCACertFile é o arquivo de saída.
Index é o índice de renovação de certificados da autoridade de certificação (o padrão é o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera a cadeia de certificados da autoridade de certificação.

certutil [options] -ca.chain OutCACertChainFile [Index]

Em que:

OutCACertChainFile é o arquivo de saída.
Index é o índice de renovação de certificados da autoridade de certificação (o padrão é o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtém uma lista de revogação de certificados (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Em que:

de índice é o índice de CRL ou índice de chave (o padrão é CRL para a chave mais recente).
delta é a CRL delta (o padrão é CRL base).

Opções:

[-f] [-split] [-config Machine\CAName]

-LCR

Publica novas listas de revogação de certificados (CRLs) ou CRLs delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Em que:

dd:hh é o novo período de validade da CRL em dias e horas.
republica republica os CRLs mais recentes.
delta publica apenas as CRLs delta (o padrão é CRLs base e delta).

Opções:

[-split] [-config Machine\CAName]

-desligamento

Desliga os Serviços de Certificados do Ative Directory.

certutil [options] -shutdown

Opções:

[-config Machine\CAName]

-installCert

Instala um certificado de autoridade de certificação.

certutil [options] -installCert [CACertFile]

Opções:

[-f] [-silent] [-config Machine\CAName]

-renovarCert

Renova um certificado de autoridade de certificação.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opções:

[-f] [-silent] [-config Machine\CAName]

Use -f para ignorar uma solicitação de renovação pendente e gerar uma nova solicitação.

-esquema

Despeja o esquema para o certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Em que:

O comando assume como padrão a tabela Solicitação e Certificado.
Ext é a tabela de extensão.
Atributo é a tabela de atributos.
CRL é a tabela CRL.

Opções:

[-split] [-config Machine\CAName]

-ver

Despeja a exibição de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Em que:

Fila despeja uma fila de solicitação específica.
Log despeja os certificados emitidos ou revogados, além de quaisquer solicitações com falha.
LogFail despeja as solicitações com falha.
Revogado despeja os certificados revogados.
Ext despeja a tabela de extensão.
Attrib despeja a tabela de atributos.
de CRL despeja a tabela de CRL.
CSV fornece a saída usando valores separados por vírgula.

Opções:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Comentários

Para exibir a coluna StatusCode para todas as entradas, digite
Para exibir todas as colunas da última entrada, digite: -restrict RequestId==$
Para exibir o RequestId e o de disposição para três solicitações, digite:
Para exibir IDs de Linha IDs de Linha e números de CRL para todas as CRLs de Base, digite: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Para exibir o número 3 da CRL base, digite: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Para exibir a tabela CRL inteira, digite: CRL
Use Date[+|-dd:hh] para restrições de data.
Use now+dd:hh para uma data relativa à hora atual.
Os modelos contêm EKUs (Extended Key Usages), que são identificadores de objeto (OIDs) que descrevem como o certificado é usado. Os certificados nem sempre incluem nomes comuns de modelo ou nomes de exibição, mas sempre contêm os EKUs de modelo. Você pode extrair os EKUs de um modelo de certificado específico do Ative Directory e, em seguida, restringir modos de exibição com base nessa extensão.

-db

Despeja o banco de dados bruto.

certutil [options] -db

Opções:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Exclui uma linha do banco de dados do servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Em que:

de solicitação exclui as solicitações falhadas e pendentes, com base na data de envio.
Cert exclui os certificados expirados e revogados, com base na data de validade.
Ext exclui a tabela de extensão.
Attrib exclui a tabela de atributos.
de CRL exclui a tabela de CRL.

Opções:

[-f] [-config Machine\CAName]

Exemplos

Para excluir solicitações com falha e pendentes enviadas até 22 de janeiro de 2001, digite: 1/22/2001 request
Para excluir todos os certificados que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 cert
Para excluir a linha, os atributos e as extensões do certificado para RequestID 37, digite: 37
Para excluir CRLs que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 crl

Observação

Data espera que o formato mm/dd/yyyy em vez de dd/mm/yyyy, por exemplo, 1/22/2001 em vez de 22/1/2001 para 22 de janeiro de 2001. Se o servidor não estiver configurado com as configurações regionais dos EUA, usar o argumento Data pode produzir resultados inesperados.

-backup

Faz backup dos Serviços de Certificados do Ative Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Em que:

BackupDirectory é o diretório para armazenar os dados de backup.
incremental executa apenas um backup incremental (o padrão é o backup completo).
KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar os arquivos de log).

Opções:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Faz backup do banco de dados dos Serviços de Certificados do Ative Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Em que:

BackupDirectory é o diretório para armazenar os arquivos de banco de dados de backup.
incremental executa apenas um backup incremental (o padrão é o backup completo).
KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar os arquivos de log).

Opções:

[-f] [-config Machine\CAName]

-chave de backup

Faz backup do certificado e da chave privada dos Serviços de Certificados do Ative Directory.

certutil [options] -backupkey BackupDirectory

Em que:

BackupDirectory é o diretório para armazenar o arquivo PFX de backup.

Opções:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restaurar

Restaura os Serviços de Certificados do Ative Directory.

certutil [options] -restore BackupDirectory

Em que:

BackupDirectory é o diretório que contém os dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName] [-p password]

-restauradob

Restaura o banco de dados dos Serviços de Certificados do Ative Directory.

certutil [options] -restoredb BackupDirectory

Em que:

BackupDirectory é o diretório que contém os arquivos de banco de dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName]

-restorekey

Restaura o certificado e a chave privada dos Serviços de Certificados do Ative Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Em que:

BackupDirectory é o diretório que contém o arquivo PFX a ser restaurado.
PFXFile é o arquivo PFX a ser restaurado.

Opções:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta os certificados e chaves privadas. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Em que:

CertificateStoreName é o nome do repositório de certificados.
CertId é o certificado ou token de correspondência de CRL.
PFXFile é o arquivo PFX a ser exportado.
Modificadores são a lista separada por vírgula, que pode incluir um ou mais dos seguintes itens:
- CryptoAlgorithm= especifica o algoritmo criptográfico a ser usado para criptografar o arquivo PFX, como TripleDES-Sha1 ou Aes256-Sha256.
- EncryptCert - Criptografa a chave privada associada ao certificado com uma senha.
- ExportParameters -Exports os parâmetros de chave privada, além do certificado e da chave privada.
- ExtendedProperties - Inclui todas as propriedades estendidas associadas ao certificado no arquivo de saída.
- NoEncryptCert - Exporta a chave privada sem criptografá-la.
- NoChain - Não importa a cadeia de certificados.
- NoRoot - Não importa o certificado raiz.

-importPFX

Importa os certificados e chaves privadas. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Em que:

CertificateStoreName é o nome do repositório de certificados.
PFXFile é o arquivo PFX a ser importado.
Modificadores são a lista separada por vírgula, que pode incluir um ou mais dos seguintes itens:
- AT_KEYEXCHANGE - Altera o keyspec para troca de chaves.
- AT_SIGNATURE - Altera o keyspec para assinatura.
- ExportEncrypted - Exporta a chave privada associada ao certificado com criptografia de senha.
- FriendlyName= - Especifica um nome amigável para o certificado importado.
- KeyDescription= - Especifica uma descrição para a chave privada associada ao certificado importado.
- KeyFriendlyName= - Especifica um nome amigável para a chave privada associada ao certificado importado.
- NoCert - Não importa o certificado.
- NoChain - Não importa a cadeia de certificados.
- NoExport - Torna a chave privada não exportável.
- NoProtect - Não protege chaves com senha usando uma senha.
- NoRoot - Não importa o certificado raiz.
- Pkcs8 - Usa o formato PKCS8 para a chave privada no arquivo PFX.
- Protect - Protege as chaves usando uma senha.
- ProtectHigh - Especifica que uma senha de alta segurança deve ser associada à chave privada.
- VSM - Armazena a chave privada associada ao certificado importado no contêiner Virtual Smart Card (VSC).

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Comentários

O padrão é o armazenamento pessoal da máquina.

-dynamicfilelist

Exibe uma lista de arquivos dinâmicos.

certutil [options] -dynamicfilelist

Opções:

[-config Machine\CAName]

-databaselocations

Exibe locais de banco de dados.

certutil [options] -databaselocations

Opções:

[-config Machine\CAName]

-hashfile

Gera e exibe um hash criptográfico sobre um arquivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-loja

Despeja o armazenamento de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Em que:

CertificateStoreName é o nome do armazenamento de certificados. Por exemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou token de correspondência de CRL. Este ID pode ser:
- Número de série
- Certificado SHA-1
- CRL, CTL ou hash de chave pública
- Índice de certificação numérica (0, 1 e assim por diante)
- Índice CRL numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Chave pública
- Assinatura ou extensão ObjectId
- Nome comum do assunto do certificado
- Endereço de e-mail
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- EKU ou Políticas de Aplicação ObjectId
- Nome comum do emissor de CRL.

Muitos desses identificadores podem resultar em várias correspondências.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

A opção -user acessa um repositório de usuário em vez de um armazenamento de máquina.
A opção -enterprise acessa uma loja corporativa de máquinas.
A opção -service acessa um repositório de serviço de máquina.
A opção -grouppolicy acessa um repositório de políticas de grupo de máquina.

Por exemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Observação

Problemas de desempenho são observados ao usar o parâmetro -store devido a estes dois aspetos:

Quando o número de certificados no armazenamento exceder 10.
Quando um CertId é especificado, ele é usado para corresponder a todos os tipos listados para cada certificado. Por exemplo, se um de número de série for fornecido, ele também tentará corresponder a todos os outros tipos listados.

Se você estiver preocupado com problemas de desempenho, os comandos do PowerShell são recomendados onde ele corresponderá apenas ao tipo de certificado especificado.

-enumstore

Enumera os repositórios de certificados.

certutil [options] -enumstore [\\MachineName]

Em que:

MachineName é o nome da máquina remota.

Opções:

[-enterprise] [-user] [-grouppolicy]

-addstore

Adiciona um certificado ao armazenamento. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -addstore CertificateStoreName InFile

Em que:

CertificateStoreName é o nome do armazenamento de certificados.
InFile é o certificado ou arquivo CRL que você deseja adicionar ao armazenamento.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Exclui um certificado do armazenamento. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -delstore CertificateStoreName certID

Em que:

CertificateStoreName é o nome do armazenamento de certificados.
CertId é o certificado ou token de correspondência de CRL.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica um certificado no armazenamento. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -verifystore CertificateStoreName [CertId]

Em que:

CertificateStoreName é o nome do armazenamento de certificados.
CertId é o certificado ou token de correspondência de CRL.

Opções:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-loja de reparação

Repara uma associação de chave ou atualiza as propriedades do certificado ou o descritor de segurança da chave. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Em que:

CertificateStoreName é o nome do armazenamento de certificados.
CertIdList é a lista separada por vírgulas de tokens de correspondência de certificado ou CRL. Para obter mais informações, consulte a descrição do -store CertId neste artigo.

PropertyInfFile é o arquivo INF que contém propriedades externas, incluindo:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-ViewStore

Despeja o armazenamento de certificados. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Em que:

CertificateStoreName é o nome do armazenamento de certificados. Por exemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou token de correspondência de CRL. Pode tratar-se de:
- Número de série
- Certificado SHA-1
- CRL, CTL ou hash de chave pública
- Índice de certificação numérica (0, 1 e assim por diante)
- Índice CRL numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Chave pública
- Assinatura ou extensão ObjectId
- Nome comum do assunto do certificado
- Endereço de e-mail
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- EKU ou Políticas de Aplicação ObjectId
- Nome comum do emissor de CRL.

Muitas delas podem resultar em várias correspondências.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

A opção -user acessa um repositório de usuário em vez de um armazenamento de máquina.
A opção -enterprise acessa uma loja corporativa de máquinas.
A opção -service acessa um repositório de serviço de máquina.
A opção -grouppolicy acessa um repositório de políticas de grupo de máquina.

Por exemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-Viewdelstore

Exclui um certificado do armazenamento.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Em que:

CertificateStoreName é o nome do armazenamento de certificados. Por exemplo:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou token de correspondência de CRL. Pode tratar-se de:
- Número de série
- Certificado SHA-1
- CRL, CTL ou hash de chave pública
- Índice de certificação numérica (0, 1 e assim por diante)
- Índice CRL numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Chave pública
- Assinatura ou extensão ObjectId
- Nome comum do assunto do certificado
- Endereço de e-mail
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- EKU ou Políticas de Aplicação ObjectId
- Nome comum do emissor de CRL.

Muitas delas podem resultar em várias partidas.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

A opção -user acessa um repositório de usuário em vez de um armazenamento de máquina.
A opção -enterprise acessa uma loja corporativa de máquinas.
A opção -service acessa um repositório de serviço de máquina.
A opção -grouppolicy acessa um repositório de políticas de grupo de máquina.

Por exemplo:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Invoca a interface certutil.

certutil [options] -UI File [import]

-TPMInfo

Exibe informações do Trusted Platform Module.

certutil [options] -TPMInfo

Opções:

[-f] [-Silent] [-split]

-atestar

Especifica que o arquivo de solicitação de certificado deve ser atestado.

certutil [options] -attest RequestFile

Opções:

[-user] [-Silent] [-split]

-getcert

Seleciona um certificado de uma interface do usuário de seleção.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opções:

[-Silent] [-split]

-DS

Exibe nomes distintos (DNs) do serviço de diretório (DS).

certutil [options] -ds [CommonName]

Opções:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Exclui DNs DS.

certutil [options] -dsDel [CommonName]

Opções:

[-user] [-split] [-dc DCName]

-dsPublish

Publica um certificado ou uma lista de revogação de certificados (CRL) no Ative Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Em que:

CertFile é o nome do arquivo de certificado a ser publicado.
NTAuthCA publica o certificado no armazenamento DS Enterprise.
RootCA publica o certificado no armazenamento DS Trusted Root.
SubCA publica o certificado da autoridade de certificação no objeto da autoridade de certificação DS.
CrossCA publica o certificado cruzado para o objeto DS CA.
KRA publica o certificado no objeto DS Key Recovery Agent.
User publica o certificado no objeto User DS.
Machine publica o certificado no objeto Machine DS.
CRLfile é o nome do arquivo CRL a ser publicado.
DSCDPContainer é o contêiner DS CDP CN, geralmente o nome da máquina CA.
DSCDPCN é o objeto CN CDP do DS baseado no nome curto e no índice de chave da autoridade de certificação limpos.

Opções:

[-f] [-user] [-dc DCName]

Use -f para criar um novo objeto DS.

-dsCert

Exibe certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Exibe CRLs DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Exibe CRLs delta do DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Exibe atributos de modelo DS.

certutil [options] -dsTemplate [Template]

Opções:

[Silent] [-dc DCName]

-dsAddTemplate

Adiciona modelos DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opções:

[-dc DCName]

-ADTemplate

Exibe modelos do Ative Directory.

certutil [options] -ADTemplate [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Modelo

Exibe os modelos de política de registro de certificado.

Opções:

certutil [options] -Template [Template]

Opções:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Exibe as autoridades de certificação (CAs) de um modelo de certificado.

certutil [options] -TemplateCAs Template

Opções:

[-f] [-user] [-dc DCName]

-CATemplates

Exibe modelos para a Autoridade de Certificação.

certutil [options] -CATemplates [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Define os modelos de certificado que a Autoridade de Certificação pode emitir.

certutil [options] -SetCATemplates [+ | -] TemplateList

Em que:

O sinal de + adiciona modelos de certificado à lista de modelos disponíveis da autoridade de certificação.
O sinal de - remove modelos de certificado da lista de modelos disponíveis da autoridade de certificação.

-SetCASites

Gerencia nomes de sites, incluindo a configuração, verificação e exclusão de nomes de sites da Autoridade de Certificação.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Em que:

SiteName só é permitida quando se destina a uma única Autoridade de Certificação.

Opções:

[-f] [-config Machine\CAName] [-dc DCName]

Comentários

A opção -config destina-se a uma única Autoridade de Certificação (o padrão é todas as CAs).
A opção pode ser usada para substituir erros de validação para o SiteName de especificado ou para excluir todos os nomes de sites de autoridades de certificação.

Observação

Para obter mais informações sobre como configurar autoridades de certificação para reconhecimento de site dos Serviços de Domínio Ative Directory (AD DS), consulte Reconhecimento de site do AD DS para clientes AD CS e PKI.

-enrollmentServerURL

Exibe, adiciona ou exclui URLs de servidor de registro associadas a uma autoridade de certificação.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Em que:

AuthenticationType especifica um dos seguintes métodos de autenticação de cliente ao adicionar uma URL:
- Kerberos - Use credenciais Kerberos SSL.
- UserName - Use uma conta nomeada para credenciais SSL.
- ClientCertificate - Use as credenciais SSL do Certificado X.509.
- Anonymous - Use credenciais SSL anônimas.
excluir exclui a URL especificada associada à autoridade de certificação.
de prioridade assume como padrão 1 se não for especificado ao adicionar uma URL.
Modificadores é uma lista separada por vírgula, que inclui um ou mais dos seguintes itens:
- AllowRenewalsOnly apenas pedidos de renovação podem ser submetidos a esta AC através deste URL.
- AllowKeyBasedRenewal permite o uso de um certificado que não tem nenhuma conta associada no AD. Isso se aplica somente com ClientCertificate e modo de AllowRenewalsOnly.

Opções:

[-config Machine\CAName] [-dc DCName]

-ADCA

Exibe as autoridades de certificação do Ative Directory.

certutil [options] -ADCA [CAName]

Opções:

[-f] [-split] [-dc DCName]

-AC

Exibe as Autoridades de Certificação da política de registro.

certutil [options] -CA [CAName | TemplateName]

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Política

Exibe a política de inscrição.

certutil [options] -Policy

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Exibe ou exclui entradas de cache da política de registro.

certutil [options] -PolicyCache [delete]

Em que:

excluir exclui as entradas de cache do servidor de políticas.
-f exclui todas as entradas de cache

Opções:

[-f] [-user] [-policyserver URLorID]

-CredStore

Exibe, adiciona ou exclui entradas do Repositório de Credenciais.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Em que:

URL é o URL de destino. Você também pode usar * para corresponder a todas as entradas ou https://machine* para corresponder a um prefixo de URL.
adicionar adiciona uma entrada de armazenamento de credenciais. O uso dessa opção também requer o uso de credenciais SSL.
excluir exclui entradas do armazenamento de credenciais.
-f substitui uma única entrada ou exclui várias entradas.

Opções:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala os modelos de certificado padrão.

certutil [options] -InstallDefaultTemplates

Opções:

[-dc DCName]

-URL

Verifica URLs de certificado ou CRL.

certutil [options] -URL InFile | URL

Opções:

[-f] [-split]

-URLCache

Exibe ou exclui entradas de cache de URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Em que:

URL é o URL armazenado em cache.
de CRL é executado apenas em todas as URLs de CRL armazenadas em cache.
* opera em todas as URLs armazenadas em cache.
excluir exclui URLs relevantes do cache local do usuário atual.
-f força a busca de uma URL específica e a atualização do cache.

Opções:

[-f] [-split]

-pulso

Pulsa um evento de registro automático ou tarefa NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Em que:

TaskName é a tarefa a ser acionada.
- Pregen é a tarefa NGC Key pregen.
- AIKEnroll é a tarefa de registro de certificado NGC AIK. (O padrão é o evento de inscrição automática).
SRKThumbprint é a impressão digital da chave raiz de armazenamento
Modificadores:
- Pregen
- PregenDelay
- AIKEnroll
- Política de criptografia
- NgcPregenKey
- DIMSRoam

Opções:

[-user]

-MachineInfo

Exibe informações sobre o objeto de máquina do Ative Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Exibe informações sobre o controlador de domínio. O padrão exibe certificados DC sem verificação.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modificadores:
- Verificar
- DeleteBad
- ExcluirTodos

Opções:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Dica

A capacidade de especificar um domínio dos Serviços de Domínio Ative Directory (AD DS) [Domínio] e de especificar um controlador de domínio (-dc) foi adicionada no Windows Server 2012. Para executar o comando com êxito, você deve usar uma conta que seja membro do Domain Admins ou Enterprise Admins. As modificações de comportamento deste comando são as seguintes:

Se um domínio não for especificado e um controlador de domínio específico não for especificado, essa opção retornará uma lista de controladores de domínio a serem processados a partir do controlador de domínio padrão.
Se um domínio não for especificado, mas um controlador de domínio for especificado, um relatório dos certificados no controlador de domínio especificado será gerado.
Se um domínio for especificado, mas um controlador de domínio não for especificado, uma lista de controladores de domínio será gerada juntamente com relatórios sobre os certificados para cada controlador de domínio na lista.
Se o domínio e o controlador de domínio forem especificados, uma lista de controladores de domínio será gerada a partir do controlador de domínio de destino. Um relatório dos certificados para cada controlador de domínio na lista também é gerado.

Por exemplo, suponha que há um domínio chamado CPANDL com um controlador de domínio chamado CPANDL-DC1. Você pode executar o seguinte comando para recuperar uma lista de controladores de domínio e seus certificados do CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Exibe informações sobre uma Autoridade de Certificação corporativa.

certutil [options] -EntInfo DomainName\MachineName$

Opções:

[-f] [-user]

-TCAInfo

Exibe informações sobre a Autoridade de Certificação.

certutil [options] -TCAInfo [DomainDN | -]

Opções:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Exibe informações sobre o cartão inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Em que:

CRYPT_DELETEKEYSET exclui todas as chaves no cartão inteligente.

Opções:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gerencia certificados raiz de cartão inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opções:

[-f] [-split] [-p Password]

-chave

Lista as chaves armazenadas em um contêiner de chaves.

certutil [options] -key [KeyContainerName | -]

Em que:

KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Esta opção assume como padrão as chaves da máquina. Para alternar para chaves de usuário, use -user.
Usar o sinal de - refere-se ao uso do contêiner de chave padrão.

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Exclui o contêiner de chave nomeado.

certutil [options] -delkey KeyContainerName

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Exclui o contêiner do Windows Hello, removendo todas as credenciais associadas armazenadas no dispositivo, incluindo quaisquer credenciais WebAuthn e FIDO.

Os usuários precisam sair depois de usar essa opção para que ela seja concluída.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica um conjunto de chaves públicas ou privadas.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Em que:

KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Esta opção assume como padrão as chaves da máquina. Para alternar para chaves de usuário, use -user.
CACertFile assina ou encripta ficheiros de certificado.

Opções:

[-f] [-user] [-Silent] [-config Machine\CAName]

Comentários

Se nenhum argumento for especificado, cada certificado de autoridade de certificação de assinatura será verificado em relação à sua chave privada.
Esta operação só pode ser executada em relação a uma autoridade de certificação local ou chaves locais.

-verificar

Verifica um certificado, uma lista de certificados revogados (CRL) ou uma cadeia de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Em que:

CertFile é o nome do certificado a ser verificado.
ApplicationPolicyList é a lista opcional separada por vírgulas dos ObjectIds de Política de Aplicativo necessários.
IssuancePolicyList é a lista opcional separada por vírgulas dos ObjectIds de Política de Emissão necessários.
CACertFile é o certificado de autoridade de certificação de emissão opcional para verificação.
CrossedCACertFile é o certificado opcional certificado cruzado pelo CertFile.
CRLFile é o arquivo CRL usado para verificar o CACertFile.
IssuedCertFile é o certificado emitido opcional coberto pelo arquivo CRL.
DeltaCRLFile é o arquivo CRL delta opcional.
Modificadores:
- Forte - Verificação de assinatura forte
- MSRoot - Deve ser encadeado para uma raiz da Microsoft
- MSTestRoot - Deve ser encadeado para uma raiz de teste da Microsoft
- AppRoot - Deve ser encadeado para uma raiz de aplicativo da Microsoft
- EV - Aplicar Política de Validação Estendida

Opções:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Comentários

O uso ApplicationPolicyList restringe a construção de cadeias apenas a cadeias válidas para as Políticas de Aplicativo especificadas.
O uso IssuancePolicyList restringe a construção de cadeias apenas a cadeias válidas para as Políticas de Emissão especificadas.
Usando CACertFile verifica os campos no arquivo em relação a CertFile ou CRLfile.
Se CACertFile não for especificado, toda a cadeia será criada e verificada em relação a CertFile.
Se CACertFile e CrossedCACertFile forem especificados, os campos em ambos os arquivos serão verificados em relação a CertFile.
Usando IssuedCertFile verifica os campos no arquivo em relação a CRLfile.
Usando DeltaCRLFile verifica os campos no arquivo em relação a CertFile.

-verificarCTL

Verifica a CTL AuthRoot ou Certificados Não Permitidos.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Em que:

CTLObject identifica a CTL a verificar, incluindo:
- AuthRootWU lê o CAB AuthRoot e os certificados correspondentes do cache de URL. Em vez disso, utilize -f para transferir a partir do Windows Update.
- DisallowedWU lê o CAB de Certificados Não Permitidos e o arquivo de armazenamento de certificados não permitidos do cache de URL. Em vez disso, utilize -f para transferir a partir do Windows Update.
  - PinRulesWU lê o CAB PinRules do cache de URL. Em vez disso, utilize -f para transferir a partir do Windows Update.
- AuthRoot lê a CTL AuthRoot armazenada em cache no registro. Use com e um CertFile de não confiável para forçar a atualização do AuthRoot e CTLs de certificado não permitido do Registro em cache.
- Não permitido lê a CTL de Certificados Não Permitidos armazenada em cache no Registro. Use com
  e um CertFile de
  não confiável para forçar a atualização do AuthRoot e CTLs de certificado não permitido do
  Registro em cache.
  
  PinRules lê a CTL PinRules armazenada em cache no registro. Usar -f tem o mesmo comportamento que com PinRulesWU.
- CTLFileName especifica o arquivo ou caminho http para o arquivo CTL ou CAB.
CertDir especifica a pasta que contém certificados correspondentes às entradas CTL. O padrão é a mesma pasta ou site que o CTLobject. Usar um caminho de pasta http requer um separador de caminho no final. Se você não especificar AuthRoot ou Não permitido, vários locais serão pesquisados por certificados correspondentes, incluindo repositórios de certificados locais, recursos de crypt32.dll e o cache de URL local. Use -f para baixar do Windows Update, conforme necessário.
CertFile especifica o(s) certificado(s) a verificar. Os certificados são comparados com entradas CTL, exibindo os resultados. Esta opção suprime a maior parte da saída padrão.

Opções:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados com o Windows Update.

certutil [options] -syncWithWU DestinationDir

Em que:

DestinationDir é o diretório especificado.
f força uma substituição.
Unicode grava a saída redirecionada em Unicode.
GMT exibe os horários como GMT.
segundos exibe tempos com segundos e milissegundos.
v é uma operação detalhada.
PIN é o PIN do cartão inteligente.
WELL_KNOWN_SID_TYPE é um SID numérico:
- 22 - Sistema Local
- 23 - Serviço Local
- 24 - Serviço de Rede

Comentários

Os seguintes arquivos são baixados usando o mecanismo de atualização automática:

authrootstl.cab contém as CTLs de certificados raiz que não são da Microsoft.
disallowedcertstl.cab contém as CTLs de certificados não confiáveis.
disallowedcert.sst contém o armazenamento de certificados serializados, incluindo os certificados não confiáveis.
thumbprint.crt contém os certificados raiz que não são da Microsoft.

Por exemplo, certutil -syncWithWU \\server1\PKI\CTLs.

Se você usar um caminho ou pasta local inexistente como a pasta de destino, verá o erro: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Se você usar um local de rede inexistente ou indisponível como a pasta de destino, verá o erro: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Se o servidor não conseguir se conectar pela porta TCP 80 aos servidores de Atualização Automática da Microsoft, você receberá o seguinte erro: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Se o servidor não conseguir aceder aos servidores de atualização automática da Microsoft com o nome DNS ctldl.windowsupdate.com, receberá o seguinte erro: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Se você não usar a opção -f e qualquer um dos arquivos CTL já existir no diretório, você receberá um erro de arquivo existe: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Se houver uma alteração nos certificados raiz confiáveis, você verá: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opções:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Gera um arquivo de armazenamento que é sincronizado com o Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Em que:

SSTFile é o .sst arquivo a ser gerado que contém as raízes de terceiros baixadas do Windows Update.

Opções:

[-f] [-split]

-generatePinRulesCTL

Gera um arquivo CTL (Lista de Certificados Confiáveis) que contém uma lista de regras de fixação.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Em que:

XMLFile é o arquivo XML de entrada a ser analisado.
CTLFile é o arquivo CTL de saída a ser gerado.
SSTFile é o arquivo de .sst opcional a ser criado que contém todos os certificados usados para fixação.
QueryFilesPrefix são Domains.csv opcionais e Keys.csv arquivos a serem criados para consulta de banco de dados.
- A cadeia de caracteres QueryFilesPrefix é anexada a cada arquivo criado.
- O arquivo Domains.csv contém o nome da regra, linhas de domínio.
- O arquivo Keys.csv contém o nome da regra, as principais linhas de impressão digital SHA256.

Opções:

[-f]

-downloadOcsp

Baixa as respostas do OCSP e grava no diretório.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Em que:

CertificateDir é o diretório de um certificado, armazenamento e arquivos PFX.
OcspDir é o diretório para escrever respostas OCSP.
ThreadCount é o número máximo opcional de threads para download simultâneo. O padrão é 10.
Modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- DownloadOnce - Downloads uma vez e sai.
- ReadOcsp - Lê de OcspDir em vez de escrever.

-generateHpkpHeader

Gera o cabeçalho HPKP usando certificados em um arquivo ou diretório especificado.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Em que:

CertFileOrDir é o arquivo ou diretório de certificados, que é a fonte do pin-sha256.
MaxAge é o valor da idade máxima em segundos.
ReportUri é o report-uri opcional.
Modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- includeSubDomains - Acrescenta o includeSubDomains.

-flushCache

Libera os caches especificados no processo selecionado, como lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Em que:

ProcessId é a ID numérica de um processo a ser liberado. Defina como 0 para liberar todos os processos em que a liberação está habilitada.
CacheMask é a máscara de bits de caches a serem liberados numéricos ou os seguintes bits:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- Mostrar - Mostra os caches que estão sendo liberados. Certutil deve ser explicitamente encerrado.

-addEccCurve

Adiciona uma curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Em que:

CurveClass é o tipo de classe de curva ECC:
- WEIERSTRASS (padrão)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName é o nome da curva ECC.
CurveParameters são uma das seguintes:
- Um nome de arquivo de certificado contendo parâmetros codificados ASN.
- Um arquivo contendo parâmetros codificados ASN.
CurveOID é o OID da Curva ECC e é um dos seguintes:
- Um nome de arquivo de certificado contendo um OID codificado ASN.
- Um OID de curva ECC explícito.
CurveType é o ponto Schannel ECC NamedCurve (numérico).

Opções:

[-f]

-deleteEccCurve

Exclui a curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Em que:

CurveName é o nome da curva ECC.
CurveOID é o OID da Curva ECC.

Opções:

[-f]

-displayEccCurve

Exibe a curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Em que:

CurveName é o nome da curva ECC.
CurveOID é o OID da Curva ECC.

Opções:

[-f]

-CSPlist

Lista os provedores de serviços de criptografia (CSPs) instalados nesta máquina para operações criptográficas.

certutil [options] -csplist [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-csptest

Testa os CSPs instalados nesta máquina.

certutil [options] -csptest [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Exibe a configuração criptográfica CNG nesta máquina.

certutil [options] -CNGConfig

Opções:

[-Silent]

-sinal

Assina novamente uma lista de revogação de certificados (CRL) ou um certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Em que:

InFileList é a lista separada por vírgulas de arquivos de certificado ou CRL para modificar e assinar novamente.
SerialNumber é o número de série do certificado a ser criado. O período de validade e outras opções não podem estar presentes.
CRL cria uma CRL vazia. O período de validade e outras opções não podem estar presentes.
OutFileList é a lista separada por vírgulas de arquivos de saída de certificado ou CRL modificados. O número de arquivos deve corresponder a infilelist.
StartDate+dd:hh é o novo período de validade para os arquivos de certificado ou CRL, incluindo:
- data opcional mais
- Período de validade opcional de dias e horas Se forem utilizados vários campos, utilize um separador (+) ou (-). Use now[+dd:hh] para iniciar no momento atual. Use now-dd:hh+dd:hh para iniciar com um deslocamento fixo da hora atual e um período de validade fixo. Use never para não ter data de validade (apenas para CRLs).
SerialNumberList é a lista de números de série separados por vírgulas dos arquivos a serem adicionados ou removidos.
ObjectIdList é a lista ObjectId da extensão separada por vírgulas dos arquivos a serem removidos.

@ExtensionFile é o arquivo INF que contém as extensões a serem atualizadas ou removidas. Por exemplo:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm é o nome do algoritmo de hash. Este deve ser apenas o texto precedido do sinal #.
AlternateSignatureAlgorithm é o especificador de algoritmo de assinatura alternativa.

Opções:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Comentários

O uso do sinal de subtração (-) remove números de série e extensões.
O uso do sinal de adição (+) adiciona números de série a uma CRL.
Você pode usar uma lista para remover números de série e ObjectIds de uma CRL ao mesmo tempo.
Usar o sinal de subtração antes AlternateSignatureAlgorithm permite que você use o formato de assinatura herdado.
O uso do sinal de adição permite que você use o formato de assinatura alternativo.
Se você não especificar AlternateSignatureAlgorithm, o formato de assinatura no certificado ou CRL será usado.

-vroot

Cria ou exclui raízes virtuais da Web e compartilhamentos de arquivos.

certutil [options] -vroot [delete]

-Vocsproot

Cria ou exclui raízes virtuais da Web para um proxy da Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Adiciona um aplicativo Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Este comando não instala binários ou pacotes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Em que:

addEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:
- Kerberos usa credenciais SSL Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- ClientCertificate usa credenciais SSL de certificado X.509.
Modificadores:
- AllowRenewalsOnly permite apenas envios de solicitações de renovação para a Autoridade de Certificação por meio da URL.
- AllowKeyBasedRenewal permite o uso de um certificado sem conta associada no Ative Directory. Isso se aplica quando usado com ClientCertificate e modo de AllowRenewalsOnly.

Opções:

[-config Machine\CAName]

-deleteEnrollmentServer

Exclui um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Este comando não instala binários ou pacotes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Em que:

deleteEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:
- Kerberos usa credenciais SSL Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- ClientCertificate usa credenciais SSL de certificado X.509.

Opções:

[-config Machine\CAName]

-addPolicyServer

Adicione um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Este comando não instala binários ou pacotes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Em que:

addPolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Políticas de Certificado, incluindo:
- Kerberos usa credenciais SSL Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- ClientCertificate usa credenciais SSL de certificado X.509.
KeyBasedRenewal permite o uso de políticas retornadas ao cliente contendo modelos keybasedrenewal . Esta opção aplica-se apenas para UserName e autenticação ClientCertificate.

-deletePolicyServer

Exclui um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Este comando não remove binários ou pacotes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Em que:

deletePolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Políticas de Certificado, incluindo:
- Kerberos usa credenciais SSL Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- ClientCertificate usa credenciais SSL de certificado X.509.
KeyBasedRenewal permite o uso de um servidor de políticas KeyBasedRenewal .

-Classe

Exibe informações do registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opções:

[-f]

-7 F

Verifica o certificado para codificações de comprimento 0x7f.

certutil [options] -7f CertFile

-oide

Exibe o identificador de objeto ou define um nome para exibição.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Em que:

ObjectId é o ID a ser exibido ou a ser adicionado ao nome para exibição.
GroupId é o número GroupID (decimal) que ObjectIds enumera.
AlgId é a ID hexadecimal que objectID procura.
AlgorithmName é o nome do algoritmo que objectID procura.
DisplayName exibe o nome a ser armazenado no DS.
Excluir exclui o nome para exibição.
LanguageId é o valor de ID de idioma (o padrão é atual: 1033).
Tipo é o tipo de objeto DS a ser criado, incluindo:
- 1 - Modelo (padrão)
- 2 - Política de Emissão
- 3 - Política de Aplicação
-f cria um objeto DS.

Opções:

[-f]

-erro

Exibe o texto da mensagem associado a um código de erro.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtém informações SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Define informações SMTP.

certutil [options] -setsmtpinfo LogonName

Opções:

[-config Machine\CAName] [-p Password]

-GetReg

Exibe um valor do Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Em que:

ca usa a chave do Registro de uma Autoridade de Certificação.
restaurar usa a chave do Registro de restauração da Autoridade de Certificação.
de política usa a chave do Registro do módulo de política.
de saída usa a chave do Registro do primeiro módulo de saída.
modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
de inscrição usa a chave do Registro de registro (use -user para contexto do usuário).
cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
ProgId usa o ProgID do módulo de política ou saída (nome da subchave do Registro).
RegistryValueName usa o nome do valor do Registro (use Name* para correspondência de prefixo).
valor usa o novo valor ou nome do arquivo do Registro numérico, de cadeia de caracteres ou de data. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

Se um valor de cadeia de caracteres começar com + ou -e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor do Registro existente. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de mais (+) ou sinal de menos (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como um sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
Aliases do Registro:
- Configuração
- AC
- Política - PolicyModules
- Sair - ExitModules
- Restaurar - RestoreInProgress
- Modelo - Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscrever-se - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Criptografia\MSCEP
- Cadeia - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - Sistema\CurrentControlSet\Services\crypt32
- NGC - Sistema\CurrentControlSet\Control\Criptografia\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Políticas\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-Setreg

Define um valor do Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Em que:

ca usa a chave do Registro de uma Autoridade de Certificação.
restaurar usa a chave do Registro de restauração da Autoridade de Certificação.
de política usa a chave do Registro do módulo de política.
de saída usa a chave do Registro do primeiro módulo de saída.
modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
de inscrição usa a chave do Registro de registro (use -user para contexto do usuário).
cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
ProgId usa o ProgID do módulo de política ou saída (nome da subchave do Registro).
RegistryValueName usa o nome do valor do Registro (use Name* para correspondência de prefixo).
Value usa o novo valor ou nome do arquivo do Registro numérico, de cadeia de caracteres ou de data. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

Se um valor de cadeia de caracteres começar com + ou -e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor do Registro existente. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de mais (+) ou sinal de menos (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como um sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.

-Delreg

Exclui um valor do Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Em que:

ca usa a chave do Registro de uma Autoridade de Certificação.
restaurar usa a chave do Registro de restauração da Autoridade de Certificação.
de política usa a chave do Registro do módulo de política.
de saída usa a chave do Registro do primeiro módulo de saída.
modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
de inscrição usa a chave do Registro de registro (use -user para contexto do usuário).
cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
ProgId usa o ProgID do módulo de política ou saída (nome da subchave do Registro).
RegistryValueName usa o nome do valor do Registro (use Name* para correspondência de prefixo).
Value usa o novo valor ou nome do arquivo do Registro numérico, string ou date. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

Se um valor de cadeia de caracteres começar com + ou -e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor do Registro existente. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de mais (+) ou sinal de menos (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como um sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
Aliases do Registro:
- Configuração
- AC
- Política - PolicyModules
- Sair - ExitModules
- Restaurar - RestoreInProgress
- Modelo - Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscrever-se - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Criptografia\MSCEP
- Cadeia - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - Sistema\CurrentControlSet\Services\crypt32
- NGC - Sistema\CurrentControlSet\Control\Criptografia\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Políticas\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importa chaves de usuário e certificados para o banco de dados do servidor para arquivamento de chaves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Em que:

UserKeyAndCertFile é um arquivo de dados com chaves privadas do usuário e certificados que devem ser arquivados. Este ficheiro pode ser:
- Um arquivo de exportação KMS (Exchange Key Management Server).
- Um arquivo PFX.
CertId é um token de correspondência de certificado de descriptografia de arquivo de exportação KMS. Para obter mais informações, consulte o parâmetro -store neste artigo.
-f importa certificados não emitidos pela autoridade de certificação.

Opções:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa um arquivo de certificado para o banco de dados.

certutil [options] -ImportCert Certfile [ExistingRow]

Em que:

ExistingRow importa o certificado em vez de uma solicitação pendente para a mesma chave.
-f importa certificados não emitidos pela autoridade de certificação.

Opções:

[-f] [-config Machine\CAName]

Comentários

A Autoridade de Certificação também pode precisar ser configurada para oferecer suporte a certificados estrangeiros executando certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera um blob de recuperação de chave privada arquivado, gera um script de recuperação ou recupera chaves arquivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Em que:

script gera um script para recuperar e recuperar chaves (comportamento padrão se vários candidatos de recuperação correspondentes forem encontrados ou se o arquivo de saída não for especificado).
recuperar recupera um ou mais Blobs de Recuperação de Chave (comportamento padrão se exatamente um candidato de recuperação correspondente for encontrado e se o arquivo de saída for especificado). O uso dessa opção trunca qualquer extensão e acrescenta a cadeia de caracteres específica do certificado e a extensão .rec para cada blob de recuperação de chave. Cada ficheiro contém uma cadeia de certificados e uma chave privada associada, ainda encriptada para um ou mais certificados do Agente de Recuperação de Chaves.
recuperar recupera e recupera chaves privadas em uma etapa (requer certificados do Agente de Recuperação de Chaves e chaves privadas). O uso dessa opção trunca qualquer extensão e acrescenta a extensão .p12. Cada arquivo contém as cadeias de certificados recuperados e chaves privadas associadas, armazenadas como um arquivo PFX.
SearchToken seleciona as chaves e certificados a serem recuperados, incluindo:
- Nome Comum do Certificado
- Número de série do certificado
- Certificado SHA-1 hash (impressão digital)
- Certificate KeyId SHA-1 hash (Identificador de Chave de Assunto)
- Nome do solicitante (domínio\usuário)
- UPN (user@domain)
RecoveryBlobOutFile gera um arquivo com uma cadeia de certificados e uma chave privada associada, ainda criptografados para um ou mais certificados do Key Recovery Agent.
OutputScriptFile produz um arquivo com um script em lote para recuperar e recuperar chaves privadas.
OutputFileBaseName gera um nome de base de arquivo.

Opções:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentários

Para recuperar, qualquer extensão é truncada e uma cadeia de caracteres específica do certificado e as extensões .rec são acrescentadas para cada blob de recuperação de chave. Cada ficheiro contém uma cadeia de certificados e uma chave privada associada, ainda encriptada para um ou mais certificados do Agente de Recuperação de Chaves.
Para recuperar, qualquer extensão é truncada e a extensão .p12 é acrescentada. Contém as cadeias de certificados recuperados e chaves privadas associadas, armazenadas como um arquivo PFX.

-RecoverKey

Recupera uma chave privada arquivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Mescla arquivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Em que:

PFXInFileList é uma lista separada por vírgulas de arquivos de entrada PFX.
PFXOutFile é o nome do arquivo de saída PFX.
Modificadores são listas separadas por vírgulas de um ou mais dos seguintes:
- ExtendedProperties inclui quaisquer propriedades estendidas.
- NoEncryptCert especifica para não criptografar os certificados.
- EncryptCert especifica para criptografar os certificados.

Opções:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentários

A senha especificada na linha de comando deve ser uma lista de senhas separadas por vírgula.
Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-add-chain

Adiciona uma cadeia de certificados.

certutil [options] -add-chain LogId certificate OutFile

Opções:

[-f]

-add-pré-cadeia

Adiciona uma cadeia de pré-certificados.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opções:

[-f]

-get-sth

Obtém uma cabeça de árvore assinada.

certutil [options] -get-sth [LogId]

Opções:

[-f]

-get-sth-consistência

Obtém alterações de cabeça de árvore assinadas.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opções:

[-f]

-get-proof-por-hash

Obtém a prova de um hash de um servidor de carimbo de data/hora.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opções:

[-f]

-get-entradas

Recupera entradas de um log de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opções:

[-f]

-raízes

Recupera os certificados raiz do armazenamento de certificados.

certutil [options] -get-roots LogId

Opções:

[-f]

-get-entry-and-proof

Recupera uma entrada de log de eventos e sua prova criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opções:

[-f]

-VerificarCT

Verifica um certificado em relação ao log de Transparência de Certificado.

certutil [options] -VerifyCT Certificate SCT [precert]

Opções:

[-f]

-?

Exibe a lista de parâmetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Em que:

-? exibe a lista de parâmetros
-<name_of_parameter> -? Exibe o conteúdo da Ajuda para o parâmetro especificado.
-? -v Exibe uma lista detalhada de parâmetros e opções.

Opções

Esta seção define todas as opções que você pode especificar, com base no comando. Cada parâmetro inclui informações sobre quais opções são válidas para uso.

Opção	Descrição
-administrador	Use ICertAdmin2 para propriedades de CA.
-anónimo	Use credenciais SSL anônimas.
-cert CertId	Certificado de assinatura.
-clientcertificate clientCertId	Use as credenciais SSL do Certificado X.509. Para a interface do usuário de seleção, use `-clientcertificate`.
-config Máquina\CAName	Autoridade de certificação e cadeia de caracteres de nome do computador.
-provedor csp	Fornecedor: KSP - Fornecedor de Armazenamento de Chaves de Software Microsoft TPM - Microsoft Platform Crypto Provider NGC - Provedor de armazenamento de chaves do Microsoft Passport SC - Microsoft Smart Card Key Storage Provider
-dc DCName	Direcione um controlador de domínio específico.
-empresa	Use o armazenamento de certificados do Registro Empresarial da máquina local.
-f	Forçar a substituição.
-generateSSTFromWU SSTFile	Gere SST usando o mecanismo de atualização automática.
-GMT	Tempos de exibição usando GMT.
-Política de Grupo	Use o repositório de certificados de diretiva de grupo.
-idispatch	Use IDispatch em vez de métodos nativos COM.
-Kerberos	Use credenciais SSL Kerberos.
-localização alternativalocal de armazenamento	`(-loc)` AlternateStorageLocation.
-mt	Modelos de máquina de exibição.
-NOCR	Codifique texto sem caracteres CR.
-NOCRLF	Codifique texto sem CR-LF caracteres.
-nullsign	Use o hash dos dados como uma assinatura.
-oldpfx	Use criptografia PFX antiga.
-out columnlist	Lista de colunas separadas por vírgula.
-p palavra-passe	Palavra-passe
-PIN PIN	PIN do cartão inteligente.
-policyserver URLorID	URL ou ID do Servidor de Políticas. Para a seleção U/I, use `-policyserver`. Para todos os Servidores de Políticas, use `-policyserver *`
-chave privada	Exiba a senha e os dados da chave privada.
-proteger	Proteja as chaves com senha.
-protectto SAMnameandSIDlist	Lista de nomes SAM/SID separados por vírgula.
-restringir lista de restrições	Lista de restrições separada por vírgula. Cada restrição consiste em um nome de coluna, um operador relacional e um inteiro, cadeia de caracteres ou data constante. Um nome de coluna pode ser precedido por um sinal de mais ou menos para indicar a ordem de classificação. Por exemplo: `requestID = 47`, `+requestername >= a, requestername`ou `-requestername > DOMAIN, Disposition = 21`.
-reverso	Inverter as colunas Log e Queue.
-segundos	Tempos de exibição usando segundos e milissegundos.
-serviço	Use o armazenamento de certificados de serviço.
-SID	SID numérico: 22 - Sistema Local 23 - Serviço Local 24 - Serviço de Rede
-silencioso	Use o sinalizador `silent` para adquirir o contexto de criptografia.
-divisão	Divida elementos ASN.1 incorporados e salve em arquivos.
-sslpolicy servername	Política SSL correspondente ServerName.
-symkeyalg symmetrickeyalgorithm[,comprimento de chave]	Nome do algoritmo de chave simétrica com comprimento de chave opcional. Por exemplo: `AES,128` ou `3DES`.
-syncWithWU DestinationDir	Sincronize com o Windows Update.
-t tempo limite	Tempo limite de busca de URL em milissegundos.
-Unicode	Escreva a saída redirecionada em Unicode.
-UnicodeText	Escreva o arquivo de saída em Unicode.
-urlfetch	Recupere e verifique certificados AIA e CRLs CDP.
-utilizador	Use as chaves HKEY_CURRENT_USER ou o armazenamento de certificados.
-nome de usuário nome de usuário	Use a conta nomeada para credenciais SSL. Para a interface do usuário de seleção, use `-username`.
-ut	Exibir modelos de usuário.
-v	Forneça informações mais detalhadas (detalhadas).
-v1	Use interfaces V1.

Algoritmos de hash: MD2, MD4, MD5, SHA1, SHA256, SHA384, SHA512.

Para obter mais exemplos de como usar esse comando, consulte os seguintes artigos:

Partilhar via

certutil

Parâmetros

-despejo

-dumpPFX

-ASN

-decodehex

-encodehex

-descodificar

-codificar

-negar

-reenviar

-setatributos

Comentários

-SetExtension

Comentários

-revogar

-é válido

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-LCR

-desligamento

-installCert

-renovarCert

-esquema

-ver

Comentários

-db

-deleterow

Exemplos

-backup

-backupDB

-chave de backup

-restaurar

-restauradob

-restorekey

-exportPFX

-importPFX

Comentários

-dynamicfilelist

-databaselocations

-hashfile

-loja

-enumstore

-addstore

-delstore

-verifystore

-loja de reparação

-ViewStore

-Viewdelstore

-UI

-TPMInfo

-atestar

-getcert

-DS

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Modelo

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Comentários

-enrollmentServerURL

-ADCA

-AC