certutil
Осторожность
Certutil
не рекомендуется использовать в любом рабочем коде и не предоставляет никаких гарантий поддержки динамических сайтов или совместимости приложений. Это средство, используемое разработчиками и ИТ-администраторами для просмотра сведений о содержимом сертификата на устройствах.
Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.
Если certutil
выполняется в центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil
выполняется в центре сертификации без других параметров, команда по умолчанию выполняет команду certutil -dump
. Не все версии certutil предоставляют все параметры и параметры, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые версией certutil, выполнив certutil -?
или certutil <parameter> -?
.
Кончик
Чтобы просмотреть полную справку для всех команд и параметров certutil, включая те, которые скрыты от аргумента -?
, выполните certutil -v -uSAGE
. Параметр uSAGE
учитывает регистр.
Параметры
-свалка
Дампает сведения о конфигурации или файлы.
certutil [options] [-dump]
certutil [options] [-dump] File
Параметры:
[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]
-dumpPFX
Дамп структуры PFX.
certutil [options] [-dumpPFX] File
Параметры:
[-f] [-Silent] [-split] [-p Password] [-csp Provider]
-asn
Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной нотации синтаксиса (ASN.1). К типам файлов относятся. CER, . Отформатированные файлы DER и PKCS #7.
certutil [options] -asn File [type]
-
[type]
: тип декодирования числовых CRYPT_STRING_*
-decodehex
Декодирует шестнадцатеричный файл в кодировке.
certutil [options] -decodehex InFile OutFile [type]
-
[type]
: тип декодирования числовых CRYPT_STRING_*
Параметры:
[-f]
-encodehex
Кодирует файл в шестнадцатеричном формате.
certutil [options] -encodehex InFile OutFile [type]
-
[type]
: тип кодирования числовых CRYPT_STRING_*
Параметры:
[-f] [-nocr] [-nocrlf] [-UnicodeText]
-расшифровывать
Декодирует файл в кодировке Base64.
certutil [options] -decode InFile OutFile
Параметры:
[-f]
-кодировать
Кодирует файл в Base64.
certutil [options] -encode InFile OutFile
Параметры:
[-f] [-unicodetext]
-отрицать
Запрещает ожидающий запрос.
certutil [options] -deny RequestId
Параметры:
[-config Machine\CAName]
-Повторно отправить
Повторно отправляет ожидающий запрос.
certutil [options] -resubmit RequestId
Параметры:
[-config Machine\CAName]
-setattributes
Задает атрибуты для ожидающего запроса сертификата.
certutil [options] -setattributes RequestId AttributeString
Где:
- RequestId является числовым идентификатором запроса для ожидающего запроса.
- AttributeString — это пары атрибутов запроса и значения.
Параметры:
[-config Machine\CAName]
Замечания
- Имена и значения должны быть разделены двоеточием, а несколько имен и пар значений должны быть разделены новой линией. Например,
CertificateTemplate:User\nEMail:User@Domain.com
, где последовательность\n
преобразуется в разделитель новой линии.
-setextension
Задайте расширение для ожидающего запроса сертификата.
certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}
Где:
- идентификатор запроса является числовым идентификатором запроса для ожидающего запроса.
- ExtensionName — это строка ObjectId для расширения.
-
Флаги задает приоритет расширения.
0
рекомендуется, а1
задает для расширения критически важное значение,2
отключает расширение и3
выполняет оба.
Параметры:
[-config Machine\CAName]
Замечания
- Если последний параметр является числовым, он принимается как Long.
- Если последний параметр можно проанализировать как дату, он принимается как дата.
- Если последний параметр начинается с
\@
, остальная часть маркера принимается в качестве имени файла с двоичными данными или хэкс-дампа ascii-text. - Если последний параметр является любым другим, он принимается как строка.
-отменять
Отменяет сертификат.
certutil [options] -revoke SerialNumber [Reason]
Где:
- serialNumber — это разделенный запятыми список серийных номеров сертификатов для отзыва.
-
причина является числовым или символическим представлением причины отзыва, в том числе:
- 0. CRL_REASON_UNSPECIFIED — не указано (по умолчанию)
- 1. CRL_REASON_KEY_COMPROMISE — компрометация ключей
- 2. CRL_REASON_CA_COMPROMISE — компрометация центра сертификации
- 3. CRL_REASON_AFFILIATION_CHANGED — изменена принадлежность
- 4. CRL_REASON_SUPERSEDED — заменено
- 5. CRL_REASON_CESSATION_OF_OPERATION — прекращение работы
- 6. CRL_REASON_CERTIFICATE_HOLD — удержание сертификатов
- 8. CRL_REASON_REMOVE_FROM_CRL— удаление из списка отзыва сертификатов
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN — отмена привилегий
- 10: CRL_REASON_AA_COMPROMISE - компромисс AA
- -1. Unrevoke - Unrevokes
Параметры:
[-config Machine\CAName]
-isvalid
Отображает ликвидацию текущего сертификата.
certutil [options] -isvalid SerialNumber | CertHash
Параметры:
[-config Machine\CAName]
-getconfig
Возвращает строку конфигурации по умолчанию.
certutil [options] -getconfig
Параметры:
[-idispatch] [-config Machine\CAName]
-getconfig2
Возвращает строку конфигурации по умолчанию через ICertGetConfig.
certutil [options] -getconfig2
Параметры:
[-idispatch]
-getconfig3
Получает конфигурацию с помощью ICertConfig.
certutil [options] -getconfig3
Параметры:
[-idispatch]
-гудение
Пытается связаться с интерфейсом запроса служб сертификатов Active Directory.
certutil [options] -ping [MaxSecondsToWait | CAMachineList]
Где:
- CAMachineList — это разделенный запятыми список имен компьютеров ЦС. Для одного компьютера используйте завершающееся запятое. Этот параметр также отображает стоимость сайта для каждого компьютера ЦС.
Параметры:
[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-pingadmin
Пытается связаться с интерфейсом администрирования служб сертификатов Active Directory.
certutil [options] -pingadmin
Параметры:
[-config Machine\CAName]
-CAInfo
Отображает сведения о центре сертификации.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Где:
-
InfoName указывает свойство ЦС для отображения на основе следующего синтаксиса аргумента infoname:
- * — отображает все свойства
- рекламы — расширенный сервер
- aia [Index] — URL-адреса AIA
- cdp [Index] — URL-адреса CDP
- сертификат [индекс] — сертификат ЦС
- certchain [Index] — цепочка сертификатов ЦС
- certcount — число сертификатов ЦС
- certcrlchain [Index] — цепочка сертификатов ЦС с crLs
- certstate [Index] — сертификат ЦС
- certstatuscode [Index] — проверка состояния сертификата ЦС
- certversion [Index] — версия сертификата ЦС
- CRL [индекс] — базовый список отзыва сертификатов
- crlstate [Index] — CRL
- crlstatus [Index] — состояние публикации CRL
- кросс-[индекс] — обратный перекрестный сертификат
- cross+ [Index] — перекрестный сертификат
- crossstate- [Index] — обратный перекрестный сертификат
- crossstate+ [Index] — перекрестный сертификат
- deltacrl [Index] — Delta CRL
- deltacrlstatus [Index] — состояние публикации Delta CRL
- dns — DNS-имя
- dsname — короткое имя ЦС с sanitized (ds name)
- error1 ErrorCode — текст сообщения об ошибке
- error2 ErrorCode — текст сообщения об ошибке и код ошибки
- выхода [Index] — описание модуля выхода
- exitcount — количество модулей выхода
- файла — версия файла
- сведения — сведения о ЦС
- kra [Index] - KRA cert
- kracount — количество сертификатов KRA
- krastate [Index] - KRA cert
- kraused — количество использованных сертификатов KRA
- localename — имя языкового стандарта ЦС
- имя — имя ЦС
- ocsp [Index] — URL-адреса OCSP
- родительской — родительский ЦС
- политики
— описание модуля политики - продукта — версия продукта
- propidmax — максимальный объем PropId ЦС
- роли — разделение ролей
- sanitizedname — sanitized CA name
- общих папок — общая папка
- subjecttemplateoids — OID шаблона субъекта
- Шаблоны — Шаблоны
- тип типа
— тип ЦС - xchg [Index] — сертификат exchange CERT ЦС
- xchgchain [Index] — цепочка сертификатов ЦС exchange
- xchgcount — количество сертификатов exchange ЦС
- xchgcrlchain [Index] — цепочка сертификатов ЦС exchange с crLs
- индекс является необязательным индексом свойств на основе нуля.
- код ошибки является числовым кодом ошибки.
Параметры:
[-f] [-split] [-config Machine\CAName]
-CAPropInfo
Отображает сведения о типе свойства ЦС.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Параметры:
[-idispatch] [-v1] [-admin] [-config Machine\CAName]
-ca.cert
Извлекает сертификат для центра сертификации.
certutil [options] -ca.cert OutCACertFile [Index]
Где:
- OutCACertFile — выходной файл.
- индекс — это индекс продления сертификата ЦС (по умолчанию — последний).
Параметры:
[-f] [-split] [-config Machine\CAName]
-ca.chain
Извлекает цепочку сертификатов для центра сертификации.
certutil [options] -ca.chain OutCACertChainFile [Index]
Где:
- OutCACertChainFile — выходной файл.
- индекс — это индекс продления сертификата ЦС (по умолчанию — последний).
Параметры:
[-f] [-split] [-config Machine\CAName]
-GetCRL
Возвращает список отзыва сертификатов (CRL).
certutil [options] -GetCRL OutFile [Index] [delta]
Где:
- индекс — индекс CRL или ключевой индекс (по умолчанию используется CRL для последнего ключа).
- разностных — это разностный список отзыва сертификатов (по умолчанию — базовый список отзыва сертификатов).
Параметры:
[-f] [-split] [-config Machine\CAName]
-Список отзыва сертификатов
Публикует новые списки отзыва сертификатов (CRLs) или разностные списки отзыва сертификатов.
certutil [options] -CRL [dd:hh | republish] [delta]
Где:
- dd:hh — это новый срок действия CRL в днях и часах.
- повторно опубликовать повторно публикует последние списки отзыва сертификатов.
- разностных публикует только разностные списки crLS (по умолчанию — базовые и разностные списки crLS).
Параметры:
[-split] [-config Machine\CAName]
-выключение
Завершает работу служб сертификатов Active Directory.
certutil [options] -shutdown
Параметры:
[-config Machine\CAName]
-installCert
Устанавливает сертификат центра сертификации.
certutil [options] -installCert [CACertFile]
Параметры:
[-f] [-silent] [-config Machine\CAName]
-renewCert
Обновляет сертификат центра сертификации.
certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]
Параметры:
[-f] [-silent] [-config Machine\CAName]
- Используйте
-f
, чтобы игнорировать невыполненные запросы на продление и создать новый запрос.
-схема
Дамп схемы для сертификата.
certutil [options] -schema [Ext | Attrib | CRL]
Где:
- Команда по умолчанию используется в таблице "Запрос" и "Сертификат".
- ext — это таблица расширений.
- Атрибут — это таблица атрибутов.
- CRL — это таблица CRL.
Параметры:
[-split] [-config Machine\CAName]
-вид
Дамп представления сертификата.
certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
Где:
- очереди дампает определенную очередь запросов.
- журнал дамп выданных или отозванных сертификатов, а также любые неудачные запросы.
- LogFail дамп неудачных запросов.
- отозванные дампы отозванных сертификатов.
- ext дамп таблицы расширений.
- Attrib дамп таблицы атрибутов.
- CRL дампает таблицу CRL.
- CSV- предоставляет выходные данные с помощью разделенных запятыми значений.
Параметры:
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
Замечания
- Чтобы отобразить столбец StatusCode
для всех записей, введите - Чтобы отобразить все столбцы для последней записи, введите:
-restrict RequestId==$
- Чтобы отобразить RequestId и ликвидации для трех запросов, введите
-restrict requestID>=37,requestID<40 -out requestID,disposition
- Чтобы отобразить идентификаторы строк идентификаторы строк и номера списка отзыва сертификатов для всех базовых идентификаторов, введите
-restrict crlminbase=0 -out crlrowID,crlnumber crl
- Чтобы отобразить номер 3 базового списка отзыва сертификатов, введите:
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
- Чтобы отобразить всю таблицу CRL, введите
CRL
- Используйте
Date[+|-dd:hh]
для ограничений даты. - Используйте
now+dd:hh
для даты относительно текущего времени. - Шаблоны содержат расширенные значения использования ключей (EKUs), которые являются идентификаторами объектов (OID), описывающими использование сертификата. Сертификаты не всегда включают общие имена шаблонов или отображаемые имена, но они всегда содержат EKUs шаблона. Вы можете извлечь EKUs для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.
-дБ
Дамп необработанной базы данных.
certutil [options] -db
Параметры:
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
-deleterow
Удаляет строку из базы данных сервера.
certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]
Где:
- запрос удаляет неудачные и ожидающие запросы на основе даты отправки.
- сертификат Cert удаляет просроченные и отозванные сертификаты на основе даты окончания срока действия.
- ext удаляет таблицу расширений.
- Attrib удаляет таблицу атрибутов.
- CRL удаляет таблицу CRL.
Параметры:
[-f] [-config Machine\CAName]
Примеры
- Чтобы удалить неудачные и ожидающие запросы, отправленные 22 января 2001 г., введите:
1/22/2001 request
- Чтобы удалить все сертификаты, истекшие 22 января 2001 г., введите:
1/22/2001 cert
- Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите:
37
- Чтобы удалить списки отзыва, истекшие 22 января 2001 г., введите:
1/22/2001 crl
Заметка
Дата ожидает формат mm/dd/yyyy
, а не dd/mm/yyyy
, например 1/22/2001
, а не 22/1/2001
22 января 2001 года. Если сервер не настроен с региональными параметрами США, использование аргумента даты
-резервная копия
Резервное копирование служб сертификатов Active Directory.
certutil [options] -backup BackupDirectory [Incremental] [KeepLog]
Где:
- BackupDirectory — это каталог для хранения резервных копий данных.
- добавочная выполняет добавочное резервное копирование только (по умолчанию — полная резервная копия).
- KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).
Параметры:
[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]
-backupDB
Резервное копирование базы данных служб сертификатов Active Directory.
certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]
Где:
- BackupDirectory — это каталог для хранения резервных копий файлов базы данных.
- добавочная выполняет добавочное резервное копирование только (по умолчанию — полная резервная копия).
- KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).
Параметры:
[-f] [-config Machine\CAName]
-backupkey
Резервное копирование сертификата служб сертификатов Active Directory и закрытого ключа.
certutil [options] -backupkey BackupDirectory
Где:
- BackupDirectory — это каталог для хранения резервного копирования PFX-файла.
Параметры:
[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]
-восстанавливать
Восстанавливает службы сертификатов Active Directory.
certutil [options] -restore BackupDirectory
Где:
- BackupDirectory — это каталог, содержащий данные для восстановления.
Параметры:
[-f] [-config Machine\CAName] [-p password]
-восстановлено
Восстанавливает базу данных служб сертификатов Active Directory.
certutil [options] -restoredb BackupDirectory
Где:
- BackupDirectory — это каталог, содержащий файлы базы данных, которые необходимо восстановить.
Параметры:
[-f] [-config Machine\CAName]
-restorekey
Восстанавливает сертификат служб сертификатов Active Directory и закрытый ключ.
certutil [options] -restorekey BackupDirectory | PFXFile
Где:
- BackupDirectory — это каталог, содержащий PFX-файл для восстановления.
- PFXFile — это PFX-файл, который необходимо восстановить.
Параметры:
[-f] [-config Machine\CAName] [-p password]
-exportPFX
Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]
Где:
- CertificateStoreName — это имя хранилища сертификатов.
- CertId является маркером соответствия сертификата или списка отзыва сертификатов.
- PFXFile — это PFX-файл для экспорта.
-
модификаторы — это разделенный запятыми список, который может включать одно или несколько следующих элементов:
-
CryptoAlgorithm= указывает алгоритм шифрования, используемый для шифрования PFX-файла, например
TripleDES-Sha1
илиAes256-Sha256
. - EncryptCert — шифрует закрытый ключ, связанный с сертификатом с паролем.
- ExportParameters -Exports параметры закрытого ключа в дополнение к сертификату и закрытому ключу.
- ExtendedProperties — включает все расширенные свойства, связанные с сертификатом в выходном файле.
- NoEncryptCert — экспортирует закрытый ключ без шифрования.
- NoChain — не импортирует цепочку сертификатов.
- NoRoot — не импортирует корневой сертификат.
-
CryptoAlgorithm= указывает алгоритм шифрования, используемый для шифрования PFX-файла, например
-importPFX
Импортирует сертификаты и закрытые ключи. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]
Где:
- CertificateStoreName — это имя хранилища сертификатов.
- PFXFile является импортируемым PFX-файлом.
-
модификаторы — это разделенный запятыми список, который может включать одно или несколько следующих элементов:
- AT_KEYEXCHANGE. Изменяет ключpec на обмен ключами.
- AT_SIGNATURE — изменяет ключиpec на сигнатуру.
- ExportEncrypted — экспорт закрытого ключа, связанного с сертификатом с шифрованием паролей.
- FriendlyName= — указывает понятное имя импортированного сертификата.
- KeyDescription= . Указывает описание закрытого ключа, связанного с импортированным сертификатом.
- KeyFriendlyName= — указывает понятное имя закрытого ключа, связанного с импортированным сертификатом.
- NoCert — не импортирует сертификат.
- NoChain — не импортирует цепочку сертификатов.
- NoExport — делает закрытый ключ не экспортируемым.
- NoProtect — не защищает ключи паролем с помощью пароля.
- NoRoot — не импортирует корневой сертификат.
- Pkcs8 — использует формат PKCS8 для закрытого ключа в PFX-файле.
- Защита — защищает ключи с помощью пароля.
- ProtectHigh . Указывает, что пароль с высоким уровнем безопасности должен быть связан с закрытым ключом.
- VSM — сохраняет закрытый ключ, связанный с импортированным сертификатом в контейнере Виртуальной смарт-карты (VSC).
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]
Замечания
- По умолчанию используется личное хранилище компьютеров.
-dynamicfilelist
Отображает динамический список файлов.
certutil [options] -dynamicfilelist
Параметры:
[-config Machine\CAName]
-databaselocations
Отображает расположения базы данных.
certutil [options] -databaselocations
Параметры:
[-config Machine\CAName]
-hashfile
Создает и отображает криптографический хэш над файлом.
certutil [options] -hashfile InFile [HashAlgorithm]
-магазин
Дамп хранилища сертификатов.
certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]
Где:
CertificateStoreName — это имя хранилища сертификатов. Например:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId является маркером соответствия сертификата или списка отзыва сертификатов. Этот идентификатор может быть следующим:
- Порядковый номер
- Сертификат SHA-1
- Хэш CRL, CTL или открытого ключа
- Числовый индекс сертификата (0, 1 и т. д.)
- Числовый индекс CRL (.0, .1 и т. д.)
- Числовый индекс CTL (.). 0, .. 1, и т. д.
- Открытый ключ
- Сигнатура или расширение ObjectId
- Общее имя субъекта сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или ObjectId политик приложений
- Общее имя издателя CRL.
Многие из этих идентификаторов могут привести к нескольким совпадениям.
- OutputFile — это файл, используемый для сохранения соответствующих сертификатов.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
- Параметр
-user
обращается к хранилищу пользователей вместо хранилища компьютеров. - Параметр
-enterprise
обращается к корпоративному хранилищу компьютеров. - Параметр
-service
обращается к хранилищу служб компьютеров. - Параметр
-grouppolicy
обращается к хранилищу групповой политики компьютера.
Например:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
Заметка
Проблемы с производительностью наблюдаются при использовании параметра -store
с учетом этих двух аспектов:
- Если число сертификатов в хранилище превышает 10.
- Если указан
CertId, он используется для сопоставления всех перечисленных типов для каждого сертификата. Например, если указан серийный номер, он также попытается сопоставить все остальные перечисленные типы.
Если вы обеспокоены проблемами с производительностью, команды PowerShell рекомендуется использовать, где он будет соответствовать только указанному типу сертификата.
-enumstore
Перечисляет хранилища сертификатов.
certutil [options] -enumstore [\\MachineName]
Где:
- Имя компьютера — это имя удаленного компьютера.
Параметры:
[-enterprise] [-user] [-grouppolicy]
-addstore
Добавляет сертификат в хранилище. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -addstore CertificateStoreName InFile
Где:
- CertificateStoreName — это имя хранилища сертификатов.
- InFile — это сертификат или файл CRL, который требуется добавить в хранилище.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
-delstore
Удаляет сертификат из хранилища. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -delstore CertificateStoreName certID
Где:
- CertificateStoreName — это имя хранилища сертификатов.
- CertId является маркером соответствия сертификата или списка отзыва сертификатов.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]
-verifystore
Проверяет сертификат в хранилище. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -verifystore CertificateStoreName [CertId]
Где:
- CertificateStoreName — это имя хранилища сертификатов.
- CertId является маркером соответствия сертификата или списка отзыва сертификатов.
Параметры:
[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]
-repairstore
Восстанавливает свойства сертификата связи ключей или обновляет свойства сертификата или дескриптор безопасности ключа. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]
Где:
CertificateStoreName — это имя хранилища сертификатов.
CertIdList — это разделенный запятыми список маркеров соответствия сертификатов или CRL. Дополнительные сведения см. в описании
-store
CertId в этой статье.PropertyInfFile — это INF-файл, содержащий внешние свойства, включая:
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]
-viewstore
Дамп хранилища сертификатов. Дополнительные сведения см. в разделе -store
параметра в этой статье.
certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]
Где:
CertificateStoreName — это имя хранилища сертификатов. Например:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId является маркером соответствия сертификата или списка отзыва сертификатов. Это может быть следующее:
- Порядковый номер
- Сертификат SHA-1
- Хэш CRL, CTL или хэш открытого ключа
- Числовый индекс сертификата (0, 1 и т. д.)
- Числовый индекс CRL (.0, .1 и т. д.)
- Числовый индекс CTL (.). 0, .. 1, и т. д.
- Открытый ключ
- Сигнатура или расширение ObjectId
- Общее имя субъекта сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или ObjectId политик приложений
- Общее имя издателя CRL.
Многие из них могут привести к нескольким совпадениям.
- OutputFile — это файл, используемый для сохранения соответствующих сертификатов.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- Параметр
-user
обращается к хранилищу пользователей вместо хранилища компьютеров. - Параметр
-enterprise
обращается к корпоративному хранилищу компьютеров. - Параметр
-service
обращается к хранилищу служб компьютеров. - Параметр
-grouppolicy
обращается к хранилищу групповой политики компьютера.
Например:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-viewdelstore
Удаляет сертификат из хранилища.
certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]
Где:
CertificateStoreName — это имя хранилища сертификатов. Например:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId является маркером соответствия сертификата или списка отзыва сертификатов. Это может быть следующее:
- Порядковый номер
- Сертификат SHA-1
- Хэш CRL, CTL или хэш открытого ключа
- Числовый индекс сертификата (0, 1 и т. д.)
- Числовый индекс CRL (.0, .1 и т. д.)
- Числовый индекс CTL (.). 0, .. 1, и т. д.
- Открытый ключ
- Сигнатура или расширение ObjectId
- Общее имя субъекта сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или ObjectId политик приложений
- Общее имя издателя CRL.
Многие из них могут привести к нескольким совпадениям.
- OutputFile — это файл, используемый для сохранения соответствующих сертификатов.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- Параметр
-user
обращается к хранилищу пользователей вместо хранилища компьютеров. - Параметр
-enterprise
обращается к корпоративному хранилищу компьютеров. - Параметр
-service
обращается к хранилищу служб компьютеров. - Параметр
-grouppolicy
обращается к хранилищу групповой политики компьютера.
Например:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-Пользовательского интерфейса
Вызывает интерфейс certutil.
certutil [options] -UI File [import]
-TPMInfo
Отображает сведения о доверенном модуле платформы.
certutil [options] -TPMInfo
Параметры:
[-f] [-Silent] [-split]
-удостоверять
Указывает, что файл запроса сертификата должен быть подтвержден.
certutil [options] -attest RequestFile
Параметры:
[-user] [-Silent] [-split]
-getcert
Выбирает сертификат из пользовательского интерфейса выбора.
certutil [options] [ObjectId | ERA | KRA [CommonName]]
Параметры:
[-Silent] [-split]
-ds
Отображает различающиеся имена служб каталогов (DS).
certutil [options] -ds [CommonName]
Параметры:
[-f] [-user] [-split] [-dc DCName]
-dsDel
Удаляет доменные сети.
certutil [options] -dsDel [CommonName]
Параметры:
[-user] [-split] [-dc DCName]
-dsPublish
Публикует список отзыва сертификатов или сертификатов в Active Directory.
certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
Где:
- CertFile — это имя файла сертификата для публикации.
- NTAuthCA публикует сертификат в хранилище DS Enterprise.
- RootCA публикует сертификат в доверенном корневом хранилище DS.
- SubCA публикует сертификат ЦС в объект ЦС DS.
- CrossCA публикует кросс-сертификат в объект ЦС DS.
- KRA публикует сертификат в объект агента восстановления ключей DS.
- user публикует сертификат в объекте User DS.
- Machine публикует сертификат в объекте Machine DS.
- CRLfile — это имя файла CRL для публикации.
- DSCDPContainer — это cn контейнера CDP DS, как правило, имя компьютера ЦС.
- DSCDPCN — это cn объекта DS CDP на основе сокращенного имени ЦС и индекса ключа.
Параметры:
[-f] [-user] [-dc DCName]
- Используйте
-f
для создания нового объекта DS.
-dsCert
Отображает сертификаты DS.
certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]
Параметры:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsCRL
Отображает списки отзыва сертификатов доменных служб.
certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]
Параметры:
[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsDeltaCRL
Отображает разностные url-адреса DS.
certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]
Параметры:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsTemplate
Отображает атрибуты шаблона DS.
certutil [options] -dsTemplate [Template]
Параметры:
[Silent] [-dc DCName]
-dsAddTemplate
Добавляет шаблоны DS.
certutil [options] -dsAddTemplate TemplateInfFile
Параметры:
[-dc DCName]
-ADTemplate
Отображает шаблоны Active Directory.
certutil [options] -ADTemplate [Template]
Параметры:
[-f] [-user] [-ut] [-mt] [-dc DCName]
-Шаблон
Отображает шаблоны политик регистрации сертификатов.
Параметры:
certutil [options] -Template [Template]
Параметры:
[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-TemplateCAs
Отображает центры сертификации (ЦС) для шаблона сертификата.
certutil [options] -TemplateCAs Template
Параметры:
[-f] [-user] [-dc DCName]
-CATemplates
Отображает шаблоны центра сертификации.
certutil [options] -CATemplates [Template]
Параметры:
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
-SetCATemplates
Задает шаблоны сертификатов, которые может выдавать центр сертификации.
certutil [options] -SetCATemplates [+ | -] TemplateList
Где:
- Знак
+
добавляет шаблоны сертификатов в список доступных шаблонов ЦС. - Знак
-
удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.
-SetCASites
Управляет именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.
certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete
Где:
- имя_сайта разрешено только при указании одного центра сертификации.
Параметры:
[-f] [-config Machine\CAName] [-dc DCName]
Замечания
- Параметр
-config
предназначен для одного центра сертификации (по умолчанию — все ЦС). - Параметр
-f
можно использовать для переопределения ошибок проверки для указанного Имени сайта или удаления всех имен сайтов ЦС.
Заметка
Дополнительные сведения о настройке ЦС для доменных служб Active Directory (AD DS) см. в осведомленности о сайте AD DS для клиентов AD CS и PKI.
-enrollmentServerURL
Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с ЦС.
certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete
Где:
-
AuthenticationType задает один из следующих методов проверки подлинности клиента при добавлении URL-адреса:
- Kerberos . Используйте учетные данные SSL Kerberos.
- userName . Используйте именованную учетную запись для учетных данных SSL.
- ClientCertificate. Используйте учетные данные SSL сертификата X.509.
- анонимных — используйте анонимные учетные данные SSL.
- удалить удаляет указанный URL-адрес, связанный с ЦС.
-
приоритет по умолчанию
1
, если он не указан при добавлении URL-адреса. -
Модификаторы — это разделенный запятыми список, который включает одно или несколько следующих элементов:
- AllowRenewalsOnly только запросы на продление можно отправить в этот ЦС с помощью этого URL-адреса.
- AllowKeyBasedRenewal позволяет использовать сертификат, не имеющий связанной учетной записи в AD. Это относится только к ClientCertificate и режиму AllowRenewalsOnly.
Параметры:
[-config Machine\CAName] [-dc DCName]
-ADCA
Отображает центры сертификации Active Directory.
certutil [options] -ADCA [CAName]
Параметры:
[-f] [-split] [-dc DCName]
-Центр сертификации
Отображает центры сертификации политики регистрации.
certutil [options] -CA [CAName | TemplateName]
Параметры:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-Политика
Отображает политику регистрации.
certutil [options] -Policy
Параметры:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-PolicyCache
Отображает или удаляет записи кэша политики регистрации.
certutil [options] -PolicyCache [delete]
Где:
- удалить удаляет записи кэша сервера политики.
- -f удаляет все записи кэша
Параметры:
[-f] [-user] [-policyserver URLorID]
-CredStore
Отображает, добавляет или удаляет записи хранилища учетных данных.
certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete
Где:
-
URL-адрес является целевым URL-адресом. Вы также можете использовать
*
для сопоставления всех записей илиhttps://machine*
для сопоставления префикса URL-адреса. - добавить добавляет запись хранилища учетных данных. Для использования этого параметра также требуется использование учетных данных SSL.
- удалить удаляет записи хранилища учетных данных.
- -f перезаписывает одну запись или удаляет несколько записей.
Параметры:
[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-InstallDefaultTemplates
Устанавливает шаблоны сертификатов по умолчанию.
certutil [options] -InstallDefaultTemplates
Параметры:
[-dc DCName]
-URL
Проверяет url-адреса сертификатов или списков отзыва сертификатов.
certutil [options] -URL InFile | URL
Параметры:
[-f] [-split]
-URLCache
Отображает или удаляет записи кэша URL-адресов.
certutil [options] -URLcache [URL | CRL | * [delete]]
Где:
- URL-адрес — это кэшированный URL-адрес.
- CRL выполняется только на всех КЭШированных URL-адресах CRL.
- * работает со всеми кэшируемыми URL-адресами.
- удалить удаляет соответствующие URL-адреса из локального кэша текущего пользователя.
- -f принудительно извлекает определенный URL-адрес и обновляет кэш.
Параметры:
[-f] [-split]
-пульс
Импульсы события автоматической регистрации или задачи NGC.
certutil [options] -pulse [TaskName [SRKThumbprint]]
Где:
-
Имя задачи — это задача для активации.
- pregen — это задача подготовки ключа NGC.
- AIKEnroll — это задача регистрации сертификатов NGC AIK. (По умолчанию используется событие автоматической регистрации).
- SRKThumbprint — отпечаток корневого ключа хранилища
-
модификаторы:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam
Параметры:
[-user]
-MachineInfo
Отображает сведения об объекте компьютера Active Directory.
certutil [options] -MachineInfo DomainName\MachineName$
-DCInfo
Отображает сведения о контроллере домена. По умолчанию отображаются сертификаты контроллера домена без проверки.
certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
модификаторы:
- Проверять
- DeleteBad
- DeleteAll
Параметры:
[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
Кончик
Возможность указывать домен доменных служб Active Directory (AD DS) [домен] и указывать контроллер домена (-dc) добавлена в Windows Server 2012. Чтобы успешно выполнить команду, необходимо использовать учетную запись, которая является членом администраторов домена или корпоративных администраторов. Изменения поведения этой команды приведены следующим образом:
- Если домен не указан и определенный контроллер домена не указан, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
- Если домен не указан, но указан контроллер домена, создается отчет о сертификатах указанного контроллера домена.
- Если указан домен, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
- Если указан домен и контроллер домена, создается список контроллеров домена из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.
Например, предположим, что есть домен CPANDL с контроллером домена CPANDL-DC1. Чтобы получить список контроллеров домена и их сертификаты из CPANDL-DC1, выполните следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl
.
-EntInfo
Отображает сведения о корпоративном центре сертификации.
certutil [options] -EntInfo DomainName\MachineName$
Параметры:
[-f] [-user]
-TCAInfo
Отображает сведения об центре сертификации.
certutil [options] -TCAInfo [DomainDN | -]
Параметры:
[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
-SCInfo
Отображает сведения о смарт-карте.
certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]
Где:
- CRYPT_DELETEKEYSET удаляет все ключи на смарт-карте.
Параметры:
[-Silent] [-split] [-urlfetch] [-t Timeout]
-SCRoots
Управляет корневыми сертификатами смарт-карт.
certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]
Параметры:
[-f] [-split] [-p Password]
-ключ
Выводит список ключей, хранящихся в контейнере ключей.
certutil [options] -key [KeyContainerName | -]
Где:
-
KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте
-user
. - При использовании знака
-
используется контейнер ключей по умолчанию.
Параметры:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-delkey
Удаляет именованный контейнер ключей.
certutil [options] -delkey KeyContainerName
Параметры:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-DeleteHelloContainer
Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.
Пользователи должны выйти после использования этого параметра, чтобы он был завершен.
certutil [options] -DeleteHelloContainer
-verifykeys
Проверяет набор открытых или закрытых ключей.
certutil [options] -verifykeys [KeyContainerName CACertFile]
Где:
-
KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте
-user
. - CACertFile подписывает или шифрует файлы сертификатов.
Параметры:
[-f] [-user] [-Silent] [-config Machine\CAName]
Замечания
- Если аргументы не заданы, каждый сертификат ЦС подписи проверяется с помощью закрытого ключа.
- Эта операция может выполняться только для локального ЦС или локальных ключей.
-проверять
Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.
certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]
Где:
- CertFile — это имя сертификата для проверки.
- ApplicationPolicyList является необязательным разделенным запятыми списком обязательных объектов политики приложений.
- IssuancePolicyList — это необязательный список разделенных запятыми обязательных объектов политики выдачи.
- CACertFile — это необязательный сертификат ЦС для проверки.
- CrossedCACertFile является необязательным сертификатом, сертифицированным CertFile.
- CRLFile — это файл CRL, используемый для проверки CACertFile.
- IssuedCertFile является необязательным выданным сертификатом, охватываемым CRLfile.
- DeltaCRLFile — это необязательный разностный CRL-файл.
-
модификаторы:
- Строгой — строгой проверки подписи
- MSRoot — должна быть цепочка с корнем Майкрософт
- MSTestRoot — должен быть цепочкой в корневом каталоге тестирования Майкрософт
- AppRoot — должна быть цепочка с корнем приложения Майкрософт
- EV — применение расширенной политики проверки
Параметры:
[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]
Замечания
- Использование ApplicationPolicyList ограничивает сборку цепочки только для указанных политик приложений.
- Использование IssuancePolicyList ограничивает построение цепочки только цепочками, допустимыми для указанных политик выдачи.
- Используя CACertFile проверяет поля в файле на CertFile или CRLfile.
- Если CACertFile не указано, полная цепочка создается и проверяется на CertFile.
- Если указаны CACertFile и CrossedCACertFile, поля в обоих файлах проверяются CertFile.
- Использование IssuedCertFile проверяет поля в файле на CRLfile.
- Использование DeltaCRLFile проверяет поля в файле по CertFile.
-verifyCTL
Проверяет CTL сертификатов AuthRoot или Запрещено.
certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]
Где:
CTLObject определяет CTL для проверки, в том числе:
-
AuthRootWU считывает CAB-файл AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте
-f
для скачивания из Центра обновления Windows. -
DisallowedWU считывает CAB-файл хранилища запрещенных сертификатов и запрещает файл хранилища сертификатов из кэша URL-адресов. Вместо этого используйте
-f
для скачивания из Центра обновления Windows.-
PinRulesWU считывает CAB-файл PinRules из кэша URL-адресов. Вместо этого используйте
-f
для скачивания из Центра обновления Windows.
-
PinRulesWU считывает CAB-файл PinRules из кэша URL-адресов. Вместо этого используйте
-
AuthRoot считывает кэшированный реестр authRoot CTL. Используйте
-f
и ненадежный CertFile, чтобы принудительно кэшировать кэшированные AuthRoot и неподдерживаемые списки сертификатов для обновления. -
запрещено считывает кэшированные в реестре сертификаты CTL. Используйте
-f
и ненадежный CertFile, чтобы принудительно кэшировать кэшированные AuthRoot и неподдерживаемые списки сертификатов для обновления.-
PinRules считывает кэшированный CTL реестра PinRules. Использование
-f
имеет то же поведение, что и PinRulesWU.
-
PinRules считывает кэшированный CTL реестра PinRules. Использование
- CTLFileName указывает файл или http-путь к CTL или CAB-файлу.
-
AuthRootWU считывает CAB-файл AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте
CertDir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и CTLobject. Для использования пути к папке http требуется разделитель путей в конце. Если вы не указываете AuthRoot или запрещено, поиск нескольких расположений выполняется для сопоставления сертификатов, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. При необходимости используйте
-f
для скачивания из Центра обновления Windows.CertFile указывает сертификаты для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть выходных данных по умолчанию.
Параметры:
[-f] [-user] [-split]
-syncWithWU
Синхронизирует сертификаты с Центром обновления Windows.
certutil [options] -syncWithWU DestinationDir
Где:
- DestinationDir — это указанный каталог.
- f принудительно перезаписывает.
- Юникод записывает перенаправленные выходные данные в Юникоде.
- gmt отображает время в формате GMT.
- секунды отображает время с секундами и миллисекундами.
- v — это подробная операция.
- ПИН-код смарт-карты — это ПИН-код смарт-карты.
-
WELL_KNOWN_SID_TYPE является числовым идентификатором безопасности:
- 22 — локальная система
- 23 — локальная служба
- 24 — сетевая служба
Замечания
Следующие файлы загружаются с помощью механизма автоматического обновления:
- authrootstl.cab содержит списки сертификатов, отличных от Майкрософт.
- disallowedcertstl.cab содержит списки сертификатов, ненадежных.
- disallowedcert.sst содержит сериализованное хранилище сертификатов, включая ненадежные сертификаты.
- thumbprint.crt содержит корневые сертификаты, отличные от Майкрософт.
Например, certutil -syncWithWU \\server1\PKI\CTLs
.
Если в качестве целевой папки используется несуществующий локальный путь или папка, появится ошибка:
The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Если в качестве целевой папки используется несуществующее или недоступное сетевое расположение, появится сообщение об ошибке:
The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Если сервер не может подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, вы получите следующую ошибку:
A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Если серверу не удается связаться с серверами автоматического обновления Майкрософт с
ctldl.windowsupdate.com
DNS-имени, вы получите следующую ошибку:The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Если вы не используете параметр
-f
, а файлы CTL уже существуют в каталоге, вы получите ошибку:certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Если есть изменение доверенных корневых сертификатов, вы увидите:
Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.
Параметры:
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]
-generateSSTFromWU
Создает файл хранилища, синхронизированный с Центром обновления Windows.
certutil [options] -generateSSTFromWU SSTFile
Где:
-
SSTFile — это файл
.sst
, который содержит сторонние корни, скачанные из Центра обновления Windows.
Параметры:
[-f] [-split]
-generatePinRulesCTL
Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.
certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]
Где:
- XMLFile является входным XML-файлом для анализа.
- CTLFile — это выходной файл CTL для создания.
-
SSTFile является необязательным файлом
.sst
, который содержит все сертификаты, используемые для закрепления. -
QueryFilesPrefix являются необязательными Domains.csv и Keys.csv файлами для запроса базы данных.
- Строка QueryFilesPrefix добавляется к каждому созданному файлу.
- Файл Domains.csv содержит имя правила, строки домена.
- Файл Keys.csv содержит имя правила, строки отпечатка клавиш SHA256.
Параметры:
[-f]
-downloadOcsp
Загружает ответы OCSP и записывает их в каталог.
certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]
Где:
- CertificateDir — это каталог сертификата, хранилища и PFX-файлов.
- OcspDir — это каталог для записи ответов OCSP.
- ThreadCount является необязательным максимальным числом потоков для параллельного скачивания. По умолчанию используется 10.
-
модификаторы разделены запятыми одного или нескольких из следующих:
- DownloadOnce — скачивает один раз и завершает работу.
- ReadOcsp — чтение из OcspDir вместо записи.
-generateHpkpHeader
Создает заголовок HPKP с помощью сертификатов в указанном файле или каталоге.
certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]
Где:
- CertFileOrDir — это файл или каталог сертификатов, который является источником pin-sha256.
- MaxAge — это максимальное значение возраста в секундах.
- ReportUri — это необязательный универсальный код ресурса (URI) отчета.
-
модификаторы разделены запятыми одного или нескольких из следующих:
- includeSubDomains — добавляет includeSubDomains.
-flushCache
Очищает указанные кэши в выбранном процессе, например lsass.exe.
certutil [options] -flushCache ProcessId CacheMask [Modifiers]
Где:
ProcessId является числовым идентификатором процесса для очистки. Установите значение 0 для очистки всех процессов, в которых включена очистка.
CacheMask — это битовая маска кэшей для очистки числовых или следующих битов:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
модификаторы разделены запятыми одного или нескольких из следующих:
- показать — отображает кэши, которые сбрасываются. Certutil должен быть явно завершен.
-addEccCurve
Добавляет кривую ECC.
certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]
Где:
CurveClass — это тип класса кривой ECC:
- WEIERSTRASS (по умолчанию)
- МОНТГОМЕРИ
- TWISTED_EDWARDS
имя кривой — это имя кривой ECC.
CurveParameters являются одним из следующих:
- Имя файла сертификата, содержащее параметры в кодировке ASN.
- Файл, содержащий в кодировке ASN параметры.
кривой является OID кривой ECC и является одним из следующих элементов:
- Имя файла сертификата, содержащее идентификатор OID в кодировке ASN.
- Явный OID кривой ECC.
CurveType — это точка Schannel ECC NamedCurve (числовой).
Параметры:
[-f]
-deleteEccCurve
Удаляет кривую ECC.
certutil [options] -deleteEccCurve CurveName | CurveOID
Где:
- имя кривой — это имя кривой ECC.
- кривая — это OID кривой ECC.
Параметры:
[-f]
-displayEccCurve
Отображает кривую ECC.
certutil [options] -displayEccCurve [CurveName | CurveOID]
Где:
- имя кривой — это имя кривой ECC.
- кривая — это OID кривой ECC.
Параметры:
[-f]
-csplist
Выводит список поставщиков криптографических служб (CSPS), установленных на этом компьютере для криптографических операций.
certutil [options] -csplist [Algorithm]
Параметры:
[-user] [-Silent] [-csp Provider]
-csptest
Проверяет поставщики служб, установленные на этом компьютере.
certutil [options] -csptest [Algorithm]
Параметры:
[-user] [-Silent] [-csp Provider]
-CNGConfig
Отображает на этом компьютере криптографическую конфигурацию CNG.
certutil [options] -CNGConfig
Параметры:
[-Silent]
-знак
Повторно подписывает список отзыва сертификатов (CRL) или сертификат.
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]
Где:
InFileList — это разделенный запятыми список файлов сертификатов или списков отзыва сертификатов для изменения и повторного входа.
serialNumber — это серийный номер создаваемого сертификата. Срок действия и другие параметры не могут присутствовать.
CRL создает пустой список отзыва сертификатов. Срок действия и другие параметры не могут присутствовать.
OutFileList — это разделенный запятыми список измененных файлов сертификатов или выходных файлов CRL. Количество файлов должно соответствовать списку infilelist.
StartDate+dd:hh — это новый срок действия для файлов сертификата или списка отзыва сертификатов, в том числе:
- необязательная дата плюс
- Необязательный период действия дней и часов, если используются несколько полей, используйте разделитель (+) или (-). Используйте
now[+dd:hh]
, чтобы начать в текущее время. Используйтеnow-dd:hh+dd:hh
, чтобы начать с фиксированного смещения с текущего времени и фиксированного срока действия. Используйтеnever
, чтобы не иметь даты окончания срока действия (только для списков отзыва данных).
SerialNumberList — это список серийных номеров, разделенных запятыми, для добавления или удаления файлов.
ObjectIdList — это список объектов расширения, разделенных запятыми.
@ExtensionFile — это INF-файл, содержащий расширения для обновления или удаления. Например:
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86
HashAlgorithm — это имя хэш-алгоритма. Это должен быть только текст, предшествующий знаку
#
.AlternateSignatureAlgorithm — это описатель альтернативного алгоритма подписи.
Параметры:
[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]
Замечания
- При использовании знака минус (-) удаляются серийные номера и расширения.
- Использование знака плюса (+) добавляет серийные номера в список отзыва сертификатов.
- Список можно использовать для удаления серийных номеров и ObjectIds из списка отзыва сертификатов одновременно.
- Использование знака минуса перед AlternateSignatureAlgorithm позволяет использовать устаревший формат подписи.
- Использование знака "плюс" позволяет использовать альтернативный формат подписи.
- Если
AlternateSignatureAlgorithm не указан, используется формат подписи в сертификате или списке отзыва сертификатов.
-vroot
Создает или удаляет корневую веб-виртуальную виртуальную папку и общие папки.
certutil [options] -vroot [delete]
-vocsproot
Создает или удаляет корневую веб-виртуальную сеть для веб-прокси OCSP.
certutil [options] -vocsproot [delete]
-addEnrollmentServer
Добавляет приложение сервера регистрации и пул приложений при необходимости для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.
certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]
Где:
addEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, в том числе:
- Kerberos использует учетные данные SSL Kerberos.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
модификаторы:
- AllowRenewalsOnly разрешает только отправку запросов на продление в центр сертификации по URL-адресу.
- AllowKeyBasedRenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применяется при использовании с ClientCertificate и режимом AllowRenewalsOn ly.
Параметры:
[-config Machine\CAName]
-deleteEnrollmentServer
При необходимости удаляет приложение сервера регистрации и пул приложений для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.
certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate
Где:
-
deleteEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, включая:
- Kerberos использует учетные данные SSL Kerberos.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
Параметры:
[-config Machine\CAName]
-addPolicyServer
При необходимости добавьте приложение и пул приложений сервера политик. Эта команда не устанавливает двоичные файлы или пакеты.
certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Где:
-
addPolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, включая:
- Kerberos использует учетные данные SSL Kerberos.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
- KeyBasedRenewal позволяет использовать политики, возвращаемые клиенту, содержащим шаблоны keybasedrenewal. Этот параметр применяется только для проверки подлинности UserName и ClientCertificate.
-deletePolicyServer
При необходимости удаляет приложение и пул приложений сервера политик. Эта команда не удаляет двоичные файлы или пакеты.
certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Где:
-
deletePolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, включая:
- Kerberos использует учетные данные SSL Kerberos.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
- KeyBasedRenewal позволяет использовать сервер политики KeyBasedRenewal.
-Класс
Отображает сведения о реестре COM.
certutil [options] -Class [ClassId | ProgId | DllName | *]
Параметры:
[-f]
-7f
Проверяет сертификат для кодирования 0x7f длины.
certutil [options] -7f CertFile
-oid
Отображает идентификатор объекта или задает отображаемое имя.
certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]
Где:
- ObjectId — это идентификатор для отображения или добавления в отображаемое имя.
- GroupId — это число GroupID (десятичное), перечисление ObjectIds.
- AlgId является шестнадцатеричным идентификатором, который ищет объектный идентификатор.
- Имя алгоритма — это имя алгоритма, которое ищет объектНЫЙ ИДЕНТИФИКАТОР.
- DisplayName отображает имя для хранения в DS.
- Delete удаляет отображаемое имя.
- LanguageId — это значение идентификатора языка (по умолчанию — 1033).
-
Тип — это тип создаваемого объекта DS, в том числе:
-
1
— шаблон (по умолчанию) -
2
— политика выдачи -
3
— политика приложения
-
-
-f
создает объект DS.
Параметры:
[-f]
-ошибка
Отображает текст сообщения, связанный с кодом ошибки.
certutil [options] -error ErrorCode
-getsmtpinfo
Получает сведения об простом протоколе передачи почты (SMTP).
certutil [options] -getsmtpinfo
-setsmtpinfo
Задает сведения SMTP.
certutil [options] -setsmtpinfo LogonName
Параметры:
[-config Machine\CAName] [-p Password]
-getreg
Отображает значение реестра.
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]
Где:
- ЦС использует раздел реестра центра сертификации.
- восстановления использует раздел реестра реестра центра сертификации.
- политика использует раздел реестра модуля политики.
- выход использует раздел реестра первого модуля выхода.
-
шаблон использует раздел реестра шаблонов (используйте
-user
для пользовательских шаблонов). -
регистрации использует раздел реестра регистрации (используйте
-user
для контекста пользователя). - цепочка использует раздел реестра конфигурации цепочки.
- PolicyServers использует раздел реестра серверов политик.
- ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
-
RegistryValueName использует имя значения реестра (используйте
Name*
для сопоставления префикса). -
значение использует новое числовое, строковое или имя реестра дат. Если числовое значение начинается с
+
или-
, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Замечания
- Если строковое значение начинается с
+
или-
, а существующее значение являетсяREG_MULTI_SZ
значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значениеREG_MULTI_SZ
, добавьте\n
в конец строкового значения. - Если значение начинается с
\@
, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. - Если он не относится к допустимому файлу, он вместо этого анализируется как
[Date][+|-][dd:hh]
который является необязательной датой плюс или минус необязательные дни и часы. - Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте
now+dd:hh
для даты относительно текущего времени. - Используйте
i64
в качестве суффикса для создания значения REG_QWORD. - Используйте
chain\chaincacheresyncfiletime @now
для эффективного очистки кэшированных списков отзыва сертификатов. - Псевдонимы реестра:
- Конфигурация
- Центр сертификации
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление — RestoreInProgresss
- Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
- Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Software\Microsoft\Policies\PassportForWork
-setreg
Задает значение реестра.
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value
Где:
- ЦС использует раздел реестра центра сертификации.
- восстановления использует раздел реестра реестра центра сертификации.
- политика использует раздел реестра модуля политики.
- выход использует раздел реестра первого модуля выхода.
-
шаблон использует раздел реестра шаблонов (используйте
-user
для пользовательских шаблонов). -
регистрации использует раздел реестра регистрации (используйте
-user
для контекста пользователя). - цепочка использует раздел реестра конфигурации цепочки.
- PolicyServers использует раздел реестра серверов политик.
- ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
-
RegistryValueName использует имя значения реестра (используйте
Name*
для сопоставления префикса). -
значение использует новое числовое значение, строку или имя реестра дат. Если числовое значение начинается с
+
или-
, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Замечания
- Если строковое значение начинается с
+
или-
, а существующее значение являетсяREG_MULTI_SZ
значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значениеREG_MULTI_SZ
, добавьте\n
в конец строкового значения. - Если значение начинается с
\@
, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. - Если он не относится к допустимому файлу, он вместо этого анализируется как
[Date][+|-][dd:hh]
который является необязательной датой плюс или минус необязательные дни и часы. - Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте
now+dd:hh
для даты относительно текущего времени. - Используйте
i64
в качестве суффикса для создания значения REG_QWORD. - Используйте
chain\chaincacheresyncfiletime @now
для эффективного очистки кэшированных списков отзыва сертификатов.
-delreg
Удаляет значение реестра.
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]
Где:
- ЦС использует раздел реестра центра сертификации.
- восстановления использует раздел реестра реестра центра сертификации.
- политика использует раздел реестра модуля политики.
- выход использует раздел реестра первого модуля выхода.
-
шаблон использует раздел реестра шаблонов (используйте
-user
для пользовательских шаблонов). -
регистрации использует раздел реестра регистрации (используйте
-user
для контекста пользователя). - цепочка использует раздел реестра конфигурации цепочки.
- PolicyServers использует раздел реестра серверов политик.
- ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
-
RegistryValueName использует имя значения реестра (используйте
Name*
для сопоставления префикса). -
значение использует новое числовое, строковое или имя реестра дат. Если числовое значение начинается с
+
или-
, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.
Параметры:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Замечания
- Если строковое значение начинается с
+
или-
, а существующее значение являетсяREG_MULTI_SZ
значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значениеREG_MULTI_SZ
, добавьте\n
в конец строкового значения. - Если значение начинается с
\@
, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. - Если он не относится к допустимому файлу, он вместо этого анализируется как
[Date][+|-][dd:hh]
который является необязательной датой плюс или минус необязательные дни и часы. - Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте
now+dd:hh
для даты относительно текущего времени. - Используйте
i64
в качестве суффикса для создания значения REG_QWORD. - Используйте
chain\chaincacheresyncfiletime @now
для эффективного очистки кэшированных списков отзыва сертификатов. - Псевдонимы реестра:
- Конфигурация
- Центр сертификации
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление — RestoreInProgresss
- Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
- Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Software\Microsoft\Policies\PassportForWork
-importKMS
Импортирует ключи и сертификаты пользователей в базу данных сервера для архивации ключей.
certutil [options] -importKMS UserKeyAndCertFile [CertId]
Где:
-
UserKeyAndCertFile — это файл данных с закрытыми ключами пользователя и сертификатами, которые необходимо архивировать. Этот файл может быть следующим:
- Файл экспорта сервера управления ключами Exchange (KMS).
- PFX-файл.
-
сертификат CertId — это маркер соответствия сертификата расшифровки файла KMS. Дополнительные сведения см. в разделе
-store
параметра в этой статье. -
-f
импортирует сертификаты, не выданные центром сертификации.
Параметры:
[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]
-ImportCert
Импортирует файл сертификата в базу данных.
certutil [options] -ImportCert Certfile [ExistingRow]
Где:
- ExistingRow импортирует сертификат вместо ожидающего запроса на тот же ключ.
-
-f
импортирует сертификаты, не выданные центром сертификации.
Параметры:
[-f] [-config Machine\CAName]
Замечания
Центр сертификации также может быть настроен для поддержки внешних сертификатов, выполнив certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
.
-GetKey
Извлекает архивированный BLOB-объект восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.
certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName
Где:
- скрипт создает скрипт для извлечения и восстановления ключей (поведение по умолчанию при обнаружении нескольких подходящих кандидатов восстановления или если выходной файл не указан).
-
получить извлекает один или несколько blob-объектов восстановления ключей (поведение по умолчанию, если найден именно один соответствующий кандидат восстановления и если указан выходной файл). При использовании этого параметра выполняется усечение любого расширения и добавляется строка для конкретного сертификата и расширение
.rec
для каждого большого двоичного объекта восстановления ключей. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей. -
восстановить извлекает и восстанавливает закрытые ключи на одном шаге (требуется сертификат агента восстановления ключей и закрытые ключи). При использовании этого параметра выполняется усечение любого расширения и добавляется расширение
.p12
. Каждый файл содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла. -
SearchToken выбирает ключи и сертификаты, которые необходимо восстановить, в том числе:
- Общее имя сертификата
- Серийный номер сертификата
- Хэш SHA-1 сертификата (отпечаток)
- Хэш keyId KEYId SHA-1 (идентификатор ключа субъекта)
- Имя запрашивающего пользователя (домен\пользователь)
- Имя участника-участника (user@domain)
- RecoveryBlobOutFile выводит файл с цепочкой сертификатов и связанным закрытым ключом, который по-прежнему зашифрован на один или несколько сертификатов агента восстановления ключей.
- OutputScriptFile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.
- OutputFileBaseName выводит базовое имя файла.
Параметры:
[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
Замечания
- Для получениялюбое расширение усечено, а строка для конкретного сертификата и расширения
.rec
добавляются для каждого большого двоичного объекта восстановления ключей. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей. - Для восстановлениялюбое расширение усечено и добавляется расширение
.p12
. Содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.
-RecoverKey
Восстанавливает архивированный закрытый ключ.
certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]
Параметры:
[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]
-mergePFX
Объединяет PFX-файлы.
certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]
Где:
- PFXInFileList — это разделенный запятыми список входных файлов PFX.
- PFXOutFile — это имя выходного файла PFX.
-
модификаторы разделены запятыми в одном или нескольких следующих списках:
- ExtendedProperties включает любые расширенные свойства.
- NoEncryptCert указывает, чтобы не шифровать сертификаты.
- EncryptCert указывает для шифрования сертификатов.
Параметры:
[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
Замечания
- Пароль, указанный в командной строке, должен быть списком паролей, разделенным запятыми.
- Если задано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль
*
, пользователю будет предложено ввести пароль выходного файла.
-add-chain
Добавляет цепочку сертификатов.
certutil [options] -add-chain LogId certificate OutFile
Параметры:
[-f]
-add-pre-chain
Добавляет цепочку предварительного сертификата.
certutil [options] -add-pre-chain LogId pre-certificate OutFile
Параметры:
[-f]
-get-sth
Получает подписанную голову дерева.
certutil [options] -get-sth [LogId]
Параметры:
[-f]
-get-sth-consistency
Возвращает изменения головки дерева подписи.
certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2
Параметры:
[-f]
-get-proof-by-hash
Получает подтверждение хэша с сервера метки времени.
certutil [options] -get-proof-by-hash LogId Hash [TreeSize]
Параметры:
[-f]
-get-entries
Извлекает записи из журнала событий.
certutil [options] -get-entries LogId FirstIndex LastIndex
Параметры:
[-f]
-get-root
Извлекает корневые сертификаты из хранилища сертификатов.
certutil [options] -get-roots LogId
Параметры:
[-f]
-get-entry-and-proof
Извлекает запись журнала событий и его криптографическое подтверждение.
certutil [options] -get-entry-and-proof LogId Index [TreeSize]
Параметры:
[-f]
-VerifyCT
Проверяет сертификат в журнале прозрачности сертификата.
certutil [options] -VerifyCT Certificate SCT [precert]
Параметры:
[-f]
-?
Отображает список параметров.
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
Где:
- -? отображает список параметров
- -<name_of_parameter> -? отображает содержимое справки для указанного параметра.
- -? -v отображает подробный список параметров и параметров.
Параметры
В этом разделе определяются все параметры, которые можно указать на основе команды. Каждый параметр содержит сведения о том, какие параметры допустимы для использования.
Выбор | Описание |
---|---|
-Администратора | Используйте ICertAdmin2 для свойств ЦС. |
-анонимный | Используйте анонимные учетные данные SSL. |
-cert CertId | Сертификат подписывания. |
-clientcertificate clientCertId | Используйте учетные данные SSL сертификата X.509. Для выбора пользовательского интерфейса используйте -clientcertificate . |
-config Machine\CAName | Строка имени центра сертификации и компьютера. |
Поставщик -csp | Поставщик: KSP — поставщик хранилища ключей программного обеспечения Майкрософт доверенного платформенного модуля — поставщик шифрования Microsoft Platform NGC — поставщик хранилища ключей Microsoft Passport SC — поставщик хранилища ключей смарт-карт Майкрософт |
-dc DCName | Назначение определенного контроллера домена. |
-предприятие | Используйте хранилище сертификатов локального компьютера корпоративного реестра. |
-f | Принудительное перезаписи. |
-generateSSTFromWU SSTFile | Создайте SST с помощью механизма автоматического обновления. |
-gmt | Время отображения с помощью GMT. |
-GroupPolicy | Используйте хранилище сертификатов групповой политики. |
-idispatch | Используйте IDispatch вместо собственных методов COM. |
-kerberos | Используйте учетные данные SSL Kerberos. |
-location alternatestoragelocation |
(-loc) AlternateStorageLocation. |
-мт | Отображение шаблонов компьютеров. |
-nocr | Кодирование текста без символов CR. |
-nocrlf | Кодирование текста без CR-LF символов. |
-nullsign | Используйте хэш данных в качестве подписи. |
-oldpfx | Используйте старое шифрование PFX. |
-out columnlist | Список столбцов, разделенных запятыми. |
-p password | Пароль |
-pin PIN-код | ПИН-код смарт-карты. |
-policyserver URLorID | URL-адрес или идентификатор сервера политик. Для выбора U/I используйте -policyserver . Для всех серверов политик используйте -policyserver * |
-privatekey | Отображение данных пароля и закрытого ключа. |
-защищать | Защита ключей паролем. |
-protectto SAMnameandSIDlist | Разделенный запятыми список имен SAM или SID. |
-ограничить список ограничений | Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константного целого числа, строки или даты. Имя одного столбца может предшествовать знаку "плюс" или "минус", чтобы указать порядок сортировки. Например, requestID = 47 , +requestername >= a, requestername или -requestername > DOMAIN, Disposition = 21 . |
-обратный | Столбцы обратного журнала и очереди. |
-товары второго сорта | Отображение времени с использованием секунд и миллисекунд. |
-служба | Используйте хранилище сертификатов службы. |
-ид безопасности | Числовые идентификаторы БЕЗОПАСНОСТИ: 22 — локальная система 23 — локальная служба 24 — сетевая служба |
-молчаливый | Используйте флаг silent для получения контекста шифрования. |
-раскалывать | Разделение внедренных элементов ASN.1 и сохранение в файлы. |
-sslpolicy servername | SSL Policy matching ServerName. |
-symkeyalg symmetrickeyalgorithm[,keylength] | Имя алгоритма симметричного ключа с необязательной длиной ключа. Например, AES,128 или 3DES . |
-syncWithWU DestinationDir | Синхронизация с Центром обновления Windows. |
Время ожидания -t | Время ожидания получения URL-адреса в миллисекундах. |
-Юникод | Запись перенаправленных выходных данных в Юникоде. |
-ЮникодТекст | Запись выходного файла в Юникоде. |
-urlfetch | Получение и проверка сертификатов AIA и cdP CRLs. |
-пользователь | Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов. |
-username username | Используйте именованную учетную запись для учетных данных SSL. Для выбора пользовательского интерфейса используйте -username . |
-ut | Отображение пользовательских шаблонов. |
-v | Укажите более подробные (подробные) сведения. |
-v1 | Используйте интерфейсы версии 1. |
Хэш-алгоритмы: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.
Связанные ссылки
Дополнительные примеры использования этой команды см. в следующих статьях: