certutil

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Осторожность

Certutil не рекомендуется использовать в любом рабочем коде и не предоставляет никаких гарантий поддержки динамических сайтов или совместимости приложений. Это средство, используемое разработчиками и ИТ-администраторами для просмотра сведений о содержимом сертификата на устройствах.

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.

Если certutil выполняется в центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil выполняется в центре сертификации без других параметров, команда по умолчанию выполняет команду certutil -dump. Не все версии certutil предоставляют все параметры и параметры, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые версией certutil, выполнив certutil -? или certutil <parameter> -?.

Кончик

Чтобы просмотреть полную справку для всех команд и параметров certutil, включая те, которые скрыты от аргумента -?, выполните certutil -v -uSAGE. Параметр uSAGE учитывает регистр.

Параметры

-свалка

Дампает сведения о конфигурации или файлы.

certutil [options] [-dump]
certutil [options] [-dump] File

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Дамп структуры PFX.

certutil [options] [-dumpPFX] File

Параметры:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной нотации синтаксиса (ASN.1). К типам файлов относятся. CER, . Отформатированные файлы DER и PKCS #7.

certutil [options] -asn File [type]

• [type]: тип декодирования числовых CRYPT_STRING_*

-decodehex

Декодирует шестнадцатеричный файл в кодировке.

certutil [options] -decodehex InFile OutFile [type]

• [type]: тип декодирования числовых CRYPT_STRING_*

Параметры:

[-f]

-encodehex

Кодирует файл в шестнадцатеричном формате.

certutil [options] -encodehex InFile OutFile [type]

• [type]: тип кодирования числовых CRYPT_STRING_*

Параметры:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-расшифровывать

Декодирует файл в кодировке Base64.

certutil [options] -decode InFile OutFile

Параметры:

[-f]

-кодировать

Кодирует файл в Base64.

certutil [options] -encode InFile OutFile

Параметры:

[-f] [-unicodetext]

-отрицать

Запрещает ожидающий запрос.

certutil [options] -deny RequestId

Параметры:

[-config Machine\CAName]

-Повторно отправить

Повторно отправляет ожидающий запрос.

certutil [options] -resubmit RequestId

Параметры:

[-config Machine\CAName]

-setattributes

Задает атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestId AttributeString

Где:

• RequestId является числовым идентификатором запроса для ожидающего запроса.
• AttributeString — это пары атрибутов запроса и значения.

Параметры:

[-config Machine\CAName]

Замечания

• Имена и значения должны быть разделены двоеточием, а несколько имен и пар значений должны быть разделены новой линией. Например, CertificateTemplate:User\nEMail:User@Domain.com, где последовательность \n преобразуется в разделитель новой линии.

-setextension

Задайте расширение для ожидающего запроса сертификата.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Где:

• идентификатор запроса является числовым идентификатором запроса для ожидающего запроса.
• ExtensionName — это строка ObjectId для расширения.
• Флаги задает приоритет расширения. 0 рекомендуется, а 1 задает для расширения критически важное значение, 2 отключает расширение и 3 выполняет оба.

Параметры:

[-config Machine\CAName]

Замечания

• Если последний параметр является числовым, он принимается как Long.
• Если последний параметр можно проанализировать как дату, он принимается как дата.
• Если последний параметр начинается с \@, остальная часть маркера принимается в качестве имени файла с двоичными данными или хэкс-дампа ascii-text.
• Если последний параметр является любым другим, он принимается как строка.

-отменять

Отменяет сертификат.

certutil [options] -revoke SerialNumber [Reason]

Где:

• serialNumber — это разделенный запятыми список серийных номеров сертификатов для отзыва.
• причина является числовым или символическим представлением причины отзыва, в том числе:
  • 0. CRL_REASON_UNSPECIFIED — не указано (по умолчанию)
  • 1. CRL_REASON_KEY_COMPROMISE — компрометация ключей
  • 2. CRL_REASON_CA_COMPROMISE — компрометация центра сертификации
  • 3. CRL_REASON_AFFILIATION_CHANGED — изменена принадлежность
  • 4. CRL_REASON_SUPERSEDED — заменено
  • 5. CRL_REASON_CESSATION_OF_OPERATION — прекращение работы
  • 6. CRL_REASON_CERTIFICATE_HOLD — удержание сертификатов
  • 8. CRL_REASON_REMOVE_FROM_CRL— удаление из списка отзыва сертификатов
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN — отмена привилегий
  • 10: CRL_REASON_AA_COMPROMISE - компромисс AA
  • -1. Unrevoke - Unrevokes

Параметры:

[-config Machine\CAName]

-isvalid

Отображает ликвидацию текущего сертификата.

certutil [options] -isvalid SerialNumber | CertHash

Параметры:

[-config Machine\CAName]

-getconfig

Возвращает строку конфигурации по умолчанию.

certutil [options] -getconfig

Параметры:

[-idispatch] [-config Machine\CAName]

-getconfig2

Возвращает строку конфигурации по умолчанию через ICertGetConfig.

certutil [options] -getconfig2

Параметры:

[-idispatch] 

-getconfig3

Получает конфигурацию с помощью ICertConfig.

certutil [options] -getconfig3

Параметры:

[-idispatch] 

-гудение

Пытается связаться с интерфейсом запроса служб сертификатов Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Где:

• CAMachineList — это разделенный запятыми список имен компьютеров ЦС. Для одного компьютера используйте завершающееся запятое. Этот параметр также отображает стоимость сайта для каждого компьютера ЦС.

Параметры:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Пытается связаться с интерфейсом администрирования служб сертификатов Active Directory.

certutil [options] -pingadmin

Параметры:

[-config Machine\CAName]

-CAInfo

Отображает сведения о центре сертификации.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Где:

• InfoName указывает свойство ЦС для отображения на основе следующего синтаксиса аргумента infoname:
  • * — отображает все свойства
  • рекламы — расширенный сервер
  • aia [Index] — URL-адреса AIA
  • cdp [Index] — URL-адреса CDP
  • сертификат [индекс] — сертификат ЦС
  • certchain [Index] — цепочка сертификатов ЦС
  • certcount — число сертификатов ЦС
  • certcrlchain [Index] — цепочка сертификатов ЦС с crLs
  • certstate [Index] — сертификат ЦС
  • certstatuscode [Index] — проверка состояния сертификата ЦС
  • certversion [Index] — версия сертификата ЦС
  • CRL [индекс] — базовый список отзыва сертификатов
  • crlstate [Index] — CRL
  • crlstatus [Index] — состояние публикации CRL
  • кросс-[индекс] — обратный перекрестный сертификат
  • cross+ [Index] — перекрестный сертификат
  • crossstate- [Index] — обратный перекрестный сертификат
  • crossstate+ [Index] — перекрестный сертификат
  • deltacrl [Index] — Delta CRL
  • deltacrlstatus [Index] — состояние публикации Delta CRL
  • dns — DNS-имя
  • dsname — короткое имя ЦС с sanitized (ds name)
  • error1 ErrorCode — текст сообщения об ошибке
  • error2 ErrorCode — текст сообщения об ошибке и код ошибки
  • выхода [Index] — описание модуля выхода
  • exitcount — количество модулей выхода
  • файла — версия файла
  • сведения — сведения о ЦС
  • kra [Index] - KRA cert
  • kracount — количество сертификатов KRA
  • krastate [Index] - KRA cert
  • kraused — количество использованных сертификатов KRA
  • localename — имя языкового стандарта ЦС
  • имя — имя ЦС
  • ocsp [Index] — URL-адреса OCSP
  • родительской — родительский ЦС
  • политики — описание модуля политики
  • продукта — версия продукта
  • propidmax — максимальный объем PropId ЦС
  • роли — разделение ролей
  • sanitizedname — sanitized CA name
  • общих папок — общая папка
  • subjecttemplateoids — OID шаблона субъекта
  • Шаблоны — Шаблоны
  • тип типа — тип ЦС
  • xchg [Index] — сертификат exchange CERT ЦС
  • xchgchain [Index] — цепочка сертификатов ЦС exchange
  • xchgcount — количество сертификатов exchange ЦС
  • xchgcrlchain [Index] — цепочка сертификатов ЦС exchange с crLs
• индекс является необязательным индексом свойств на основе нуля.
• код ошибки является числовым кодом ошибки.

Параметры:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Отображает сведения о типе свойства ЦС.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Параметры:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Извлекает сертификат для центра сертификации.

certutil [options] -ca.cert OutCACertFile [Index]

Где:

• OutCACertFile — выходной файл.
• индекс — это индекс продления сертификата ЦС (по умолчанию — последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Извлекает цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain OutCACertChainFile [Index]

Где:

• OutCACertChainFile — выходной файл.
• индекс — это индекс продления сертификата ЦС (по умолчанию — последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Возвращает список отзыва сертификатов (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Где:

• индекс — индекс CRL или ключевой индекс (по умолчанию используется CRL для последнего ключа).
• разностных — это разностный список отзыва сертификатов (по умолчанию — базовый список отзыва сертификатов).

Параметры:

[-f] [-split] [-config Machine\CAName]

-Список отзыва сертификатов

Публикует новые списки отзыва сертификатов (CRLs) или разностные списки отзыва сертификатов.

certutil [options] -CRL [dd:hh | republish] [delta]

Где:

• dd:hh — это новый срок действия CRL в днях и часах.
• повторно опубликовать повторно публикует последние списки отзыва сертификатов.
• разностных публикует только разностные списки crLS (по умолчанию — базовые и разностные списки crLS).

Параметры:

[-split] [-config Machine\CAName]

-выключение

Завершает работу служб сертификатов Active Directory.

certutil [options] -shutdown

Параметры:

[-config Machine\CAName]

-installCert

Устанавливает сертификат центра сертификации.

certutil [options] -installCert [CACertFile]

Параметры:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Обновляет сертификат центра сертификации.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Параметры:

[-f] [-silent] [-config Machine\CAName]

• Используйте -f, чтобы игнорировать невыполненные запросы на продление и создать новый запрос.

-схема

Дамп схемы для сертификата.

certutil [options] -schema [Ext | Attrib | CRL]

Где:

• Команда по умолчанию используется в таблице "Запрос" и "Сертификат".
• ext — это таблица расширений.
• Атрибут — это таблица атрибутов.
• CRL — это таблица CRL.

Параметры:

[-split] [-config Machine\CAName]

-вид

Дамп представления сертификата.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Где:

• очереди дампает определенную очередь запросов.
• журнал дамп выданных или отозванных сертификатов, а также любые неудачные запросы.
• LogFail дамп неудачных запросов.
• отозванные дампы отозванных сертификатов.
• ext дамп таблицы расширений.
• Attrib дамп таблицы атрибутов.
• CRL дампает таблицу CRL.
• CSV- предоставляет выходные данные с помощью разделенных запятыми значений.

Параметры:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Замечания

• Чтобы отобразить столбец StatusCode для всех записей, введите
• Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$
• Чтобы отобразить RequestId и ликвидации для трех запросов, введите -restrict requestID>=37,requestID<40 -out requestID,disposition
• Чтобы отобразить идентификаторы строк идентификаторы строк и номера списка отзыва сертификатов для всех базовых идентификаторов, введите -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Чтобы отобразить номер 3 базового списка отзыва сертификатов, введите: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Чтобы отобразить всю таблицу CRL, введите CRL
• Используйте Date[+|-dd:hh] для ограничений даты.
• Используйте now+dd:hh для даты относительно текущего времени.
• Шаблоны содержат расширенные значения использования ключей (EKUs), которые являются идентификаторами объектов (OID), описывающими использование сертификата. Сертификаты не всегда включают общие имена шаблонов или отображаемые имена, но они всегда содержат EKUs шаблона. Вы можете извлечь EKUs для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.

-дБ

Дамп необработанной базы данных.

certutil [options] -db

Параметры:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Где:

• запрос удаляет неудачные и ожидающие запросы на основе даты отправки.
• сертификат Cert удаляет просроченные и отозванные сертификаты на основе даты окончания срока действия.
• ext удаляет таблицу расширений.
• Attrib удаляет таблицу атрибутов.
• CRL удаляет таблицу CRL.

Параметры:

[-f] [-config Machine\CAName]

Примеры

• Чтобы удалить неудачные и ожидающие запросы, отправленные 22 января 2001 г., введите: 1/22/2001 request
• Чтобы удалить все сертификаты, истекшие 22 января 2001 г., введите: 1/22/2001 cert
• Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37
• Чтобы удалить списки отзыва, истекшие 22 января 2001 г., введите: 1/22/2001 crl

Заметка

Дата ожидает формат mm/dd/yyyy, а не dd/mm/yyyy, например 1/22/2001, а не 22/1/2001 22 января 2001 года. Если сервер не настроен с региональными параметрами США, использование аргумента даты может привести к непредвиденным результатам.

-резервная копия

Резервное копирование служб сертификатов Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Где:

• BackupDirectory — это каталог для хранения резервных копий данных.
• добавочная выполняет добавочное резервное копирование только (по умолчанию — полная резервная копия).
• KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).

Параметры:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Резервное копирование базы данных служб сертификатов Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Где:

• BackupDirectory — это каталог для хранения резервных копий файлов базы данных.
• добавочная выполняет добавочное резервное копирование только (по умолчанию — полная резервная копия).
• KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).

Параметры:

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата служб сертификатов Active Directory и закрытого ключа.

certutil [options] -backupkey BackupDirectory

Где:

• BackupDirectory — это каталог для хранения резервного копирования PFX-файла.

Параметры:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-восстанавливать

Восстанавливает службы сертификатов Active Directory.

certutil [options] -restore BackupDirectory

Где:

• BackupDirectory — это каталог, содержащий данные для восстановления.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-восстановлено

Восстанавливает базу данных служб сертификатов Active Directory.

certutil [options] -restoredb BackupDirectory

Где:

• BackupDirectory — это каталог, содержащий файлы базы данных, которые необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат служб сертификатов Active Directory и закрытый ключ.

certutil [options] -restorekey BackupDirectory | PFXFile

Где:

• BackupDirectory — это каталог, содержащий PFX-файл для восстановления.
• PFXFile — это PFX-файл, который необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId является маркером соответствия сертификата или списка отзыва сертификатов.
• PFXFile — это PFX-файл для экспорта.
• модификаторы — это разделенный запятыми список, который может включать одно или несколько следующих элементов:
  • CryptoAlgorithm= указывает алгоритм шифрования, используемый для шифрования PFX-файла, например TripleDES-Sha1 или Aes256-Sha256.
  • EncryptCert — шифрует закрытый ключ, связанный с сертификатом с паролем.
  • ExportParameters -Exports параметры закрытого ключа в дополнение к сертификату и закрытому ключу.
  • ExtendedProperties — включает все расширенные свойства, связанные с сертификатом в выходном файле.
  • NoEncryptCert — экспортирует закрытый ключ без шифрования.
  • NoChain — не импортирует цепочку сертификатов.
  • NoRoot — не импортирует корневой сертификат.

-importPFX

Импортирует сертификаты и закрытые ключи. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• PFXFile является импортируемым PFX-файлом.
• модификаторы — это разделенный запятыми список, который может включать одно или несколько следующих элементов:
  • AT_KEYEXCHANGE. Изменяет ключpec на обмен ключами.
  • AT_SIGNATURE — изменяет ключиpec на сигнатуру.
  • ExportEncrypted — экспорт закрытого ключа, связанного с сертификатом с шифрованием паролей.
  • FriendlyName= — указывает понятное имя импортированного сертификата.
  • KeyDescription= . Указывает описание закрытого ключа, связанного с импортированным сертификатом.
  • KeyFriendlyName= — указывает понятное имя закрытого ключа, связанного с импортированным сертификатом.
  • NoCert — не импортирует сертификат.
  • NoChain — не импортирует цепочку сертификатов.
  • NoExport — делает закрытый ключ не экспортируемым.
  • NoProtect — не защищает ключи паролем с помощью пароля.
  • NoRoot — не импортирует корневой сертификат.
  • Pkcs8 — использует формат PKCS8 для закрытого ключа в PFX-файле.
  • Защита — защищает ключи с помощью пароля.
  • ProtectHigh . Указывает, что пароль с высоким уровнем безопасности должен быть связан с закрытым ключом.
  • VSM — сохраняет закрытый ключ, связанный с импортированным сертификатом в контейнере Виртуальной смарт-карты (VSC).

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Замечания

• По умолчанию используется личное хранилище компьютеров.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

Параметры:

[-config Machine\CAName]

-databaselocations

Отображает расположения базы данных.

certutil [options] -databaselocations

Параметры:

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш над файлом.

certutil [options] -hashfile InFile [HashAlgorithm]

-магазин

Дамп хранилища сертификатов.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId является маркером соответствия сертификата или списка отзыва сертификатов. Этот идентификатор может быть следующим:

  • Порядковый номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL.

Многие из этих идентификаторов могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к корпоративному хранилищу компьютеров.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Например:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Заметка

Проблемы с производительностью наблюдаются при использовании параметра -store с учетом этих двух аспектов:

1. Если число сертификатов в хранилище превышает 10.
2. Если указан CertId, он используется для сопоставления всех перечисленных типов для каждого сертификата. Например, если указан серийный номер, он также попытается сопоставить все остальные перечисленные типы.

Если вы обеспокоены проблемами с производительностью, команды PowerShell рекомендуется использовать, где он будет соответствовать только указанному типу сертификата.

-enumstore

Перечисляет хранилища сертификатов.

certutil [options] -enumstore [\\MachineName]

Где:

• Имя компьютера — это имя удаленного компьютера.

Параметры:

[-enterprise] [-user] [-grouppolicy]

-addstore

Добавляет сертификат в хранилище. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -addstore CertificateStoreName InFile

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• InFile — это сертификат или файл CRL, который требуется добавить в хранилище.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Удаляет сертификат из хранилища. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -delstore CertificateStoreName certID

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId является маркером соответствия сертификата или списка отзыва сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Проверяет сертификат в хранилище. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -verifystore CertificateStoreName [CertId]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId является маркером соответствия сертификата или списка отзыва сертификатов.

Параметры:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Восстанавливает свойства сертификата связи ключей или обновляет свойства сертификата или дескриптор безопасности ключа. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Где:

• CertificateStoreName — это имя хранилища сертификатов.

• CertIdList — это разделенный запятыми список маркеров соответствия сертификатов или CRL. Дополнительные сведения см. в описании -store CertId в этой статье.

• PropertyInfFile — это INF-файл, содержащий внешние свойства, включая:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Дамп хранилища сертификатов. Дополнительные сведения см. в разделе -store параметра в этой статье.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId является маркером соответствия сертификата или списка отзыва сертификатов. Это может быть следующее:

  • Порядковый номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или хэш открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL.

Многие из них могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к корпоративному хранилищу компьютеров.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Например:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Удаляет сертификат из хранилища.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId является маркером соответствия сертификата или списка отзыва сертификатов. Это может быть следующее:

  • Порядковый номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или хэш открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL.

Многие из них могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к корпоративному хранилищу компьютеров.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Например:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-Пользовательского интерфейса

Вызывает интерфейс certutil.

certutil [options] -UI File [import]

-TPMInfo

Отображает сведения о доверенном модуле платформы.

certutil [options] -TPMInfo

Параметры:

[-f] [-Silent] [-split]

-удостоверять

Указывает, что файл запроса сертификата должен быть подтвержден.

certutil [options] -attest RequestFile

Параметры:

[-user] [-Silent] [-split]

-getcert

Выбирает сертификат из пользовательского интерфейса выбора.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Параметры:

[-Silent] [-split]

-ds

Отображает различающиеся имена служб каталогов (DS).

certutil [options] -ds [CommonName]

Параметры:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Удаляет доменные сети.

certutil [options] -dsDel [CommonName]

Параметры:

[-user] [-split] [-dc DCName]

-dsPublish

Публикует список отзыва сертификатов или сертификатов в Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Где:

• CertFile — это имя файла сертификата для публикации.
• NTAuthCA публикует сертификат в хранилище DS Enterprise.
• RootCA публикует сертификат в доверенном корневом хранилище DS.
• SubCA публикует сертификат ЦС в объект ЦС DS.
• CrossCA публикует кросс-сертификат в объект ЦС DS.
• KRA публикует сертификат в объект агента восстановления ключей DS.
• user публикует сертификат в объекте User DS.
• Machine публикует сертификат в объекте Machine DS.
• CRLfile — это имя файла CRL для публикации.
• DSCDPContainer — это cn контейнера CDP DS, как правило, имя компьютера ЦС.
• DSCDPCN — это cn объекта DS CDP на основе сокращенного имени ЦС и индекса ключа.

Параметры:

[-f] [-user] [-dc DCName]

• Используйте -f для создания нового объекта DS.

-dsCert

Отображает сертификаты DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Отображает списки отзыва сертификатов доменных служб.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Отображает разностные url-адреса DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Отображает атрибуты шаблона DS.

certutil [options] -dsTemplate [Template]

Параметры:

[Silent] [-dc DCName]

-dsAddTemplate

Добавляет шаблоны DS.

certutil [options] -dsAddTemplate TemplateInfFile

Параметры:

[-dc DCName]

-ADTemplate

Отображает шаблоны Active Directory.

certutil [options] -ADTemplate [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Шаблон

Отображает шаблоны политик регистрации сертификатов.

Параметры:

certutil [options] -Template [Template]

Параметры:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -TemplateCAs Template

Параметры:

[-f] [-user] [-dc DCName]

-CATemplates

Отображает шаблоны центра сертификации.

certutil [options] -CATemplates [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Задает шаблоны сертификатов, которые может выдавать центр сертификации.

certutil [options] -SetCATemplates [+ | -] TemplateList

Где:

• Знак + добавляет шаблоны сертификатов в список доступных шаблонов ЦС.
• Знак - удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.

-SetCASites

Управляет именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Где:

• имя_сайта разрешено только при указании одного центра сертификации.

Параметры:

[-f] [-config Machine\CAName] [-dc DCName]

Замечания

• Параметр -config предназначен для одного центра сертификации (по умолчанию — все ЦС).
• Параметр -f можно использовать для переопределения ошибок проверки для указанного Имени сайта или удаления всех имен сайтов ЦС.

Заметка

Дополнительные сведения о настройке ЦС для доменных служб Active Directory (AD DS) см. в осведомленности о сайте AD DS для клиентов AD CS и PKI.

-enrollmentServerURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с ЦС.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Где:

• AuthenticationType задает один из следующих методов проверки подлинности клиента при добавлении URL-адреса:
  • Kerberos . Используйте учетные данные SSL Kerberos.
  • userName . Используйте именованную учетную запись для учетных данных SSL.
  • ClientCertificate. Используйте учетные данные SSL сертификата X.509.
  • анонимных — используйте анонимные учетные данные SSL.
• удалить удаляет указанный URL-адрес, связанный с ЦС.
• приоритет по умолчанию 1, если он не указан при добавлении URL-адреса.
• Модификаторы — это разделенный запятыми список, который включает одно или несколько следующих элементов:
  • AllowRenewalsOnly только запросы на продление можно отправить в этот ЦС с помощью этого URL-адреса.
  • AllowKeyBasedRenewal позволяет использовать сертификат, не имеющий связанной учетной записи в AD. Это относится только к ClientCertificate и режиму AllowRenewalsOnly.

Параметры:

[-config Machine\CAName] [-dc DCName]

-ADCA

Отображает центры сертификации Active Directory.

certutil [options] -ADCA [CAName]

Параметры:

[-f] [-split] [-dc DCName]

-Центр сертификации

Отображает центры сертификации политики регистрации.

certutil [options] -CA [CAName | TemplateName]

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Политика

Отображает политику регистрации.

certutil [options] -Policy

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -PolicyCache [delete]

Где:

• удалить удаляет записи кэша сервера политики.
• -f удаляет все записи кэша

Параметры:

[-f] [-user] [-policyserver URLorID]

-CredStore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Где:

• URL-адрес является целевым URL-адресом. Вы также можете использовать * для сопоставления всех записей или https://machine* для сопоставления префикса URL-адреса.
• добавить добавляет запись хранилища учетных данных. Для использования этого параметра также требуется использование учетных данных SSL.
• удалить удаляет записи хранилища учетных данных.
• -f перезаписывает одну запись или удаляет несколько записей.

Параметры:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -InstallDefaultTemplates

Параметры:

[-dc DCName]

-URL

Проверяет url-адреса сертификатов или списков отзыва сертификатов.

certutil [options] -URL InFile | URL

Параметры:

[-f] [-split]

-URLCache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Где:

• URL-адрес — это кэшированный URL-адрес.
• CRL выполняется только на всех КЭШированных URL-адресах CRL.
• * работает со всеми кэшируемыми URL-адресами.
• удалить удаляет соответствующие URL-адреса из локального кэша текущего пользователя.
• -f принудительно извлекает определенный URL-адрес и обновляет кэш.

Параметры:

[-f] [-split]

-пульс

Импульсы события автоматической регистрации или задачи NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Где:

• Имя задачи — это задача для активации.
  • pregen — это задача подготовки ключа NGC.
  • AIKEnroll — это задача регистрации сертификатов NGC AIK. (По умолчанию используется событие автоматической регистрации).
• SRKThumbprint — отпечаток корневого ключа хранилища
• модификаторы:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Параметры:

[-user]

-MachineInfo

Отображает сведения об объекте компьютера Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Отображает сведения о контроллере домена. По умолчанию отображаются сертификаты контроллера домена без проверки.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• модификаторы:

  • Проверять
  • DeleteBad
  • DeleteAll

Параметры:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Кончик

Возможность указывать домен доменных служб Active Directory (AD DS) [домен] и указывать контроллер домена (-dc) добавлена в Windows Server 2012. Чтобы успешно выполнить команду, необходимо использовать учетную запись, которая является членом администраторов домена или корпоративных администраторов. Изменения поведения этой команды приведены следующим образом:

• Если домен не указан и определенный контроллер домена не указан, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
• Если домен не указан, но указан контроллер домена, создается отчет о сертификатах указанного контроллера домена.
• Если указан домен, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
• Если указан домен и контроллер домена, создается список контроллеров домена из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что есть домен CPANDL с контроллером домена CPANDL-DC1. Чтобы получить список контроллеров домена и их сертификаты из CPANDL-DC1, выполните следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Отображает сведения о корпоративном центре сертификации.

certutil [options] -EntInfo DomainName\MachineName$

Параметры:

[-f] [-user]

-TCAInfo

Отображает сведения об центре сертификации.

certutil [options] -TCAInfo [DomainDN | -]

Параметры:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Отображает сведения о смарт-карте.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Где:

• CRYPT_DELETEKEYSET удаляет все ключи на смарт-карте.

Параметры:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Управляет корневыми сертификатами смарт-карт.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Параметры:

[-f] [-split] [-p Password]

-ключ

Выводит список ключей, хранящихся в контейнере ключей.

certutil [options] -key [KeyContainerName | -]

Где:

• KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте -user.
• При использовании знака - используется контейнер ключей по умолчанию.

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Удаляет именованный контейнер ключей.

certutil [options] -delkey KeyContainerName

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователи должны выйти после использования этого параметра, чтобы он был завершен.

certutil [options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Где:

• KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте -user.
• CACertFile подписывает или шифрует файлы сертификатов.

Параметры:

[-f] [-user] [-Silent] [-config Machine\CAName]

Замечания

• Если аргументы не заданы, каждый сертификат ЦС подписи проверяется с помощью закрытого ключа.
• Эта операция может выполняться только для локального ЦС или локальных ключей.

-проверять

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Где:

• CertFile — это имя сертификата для проверки.
• ApplicationPolicyList является необязательным разделенным запятыми списком обязательных объектов политики приложений.
• IssuancePolicyList — это необязательный список разделенных запятыми обязательных объектов политики выдачи.
• CACertFile — это необязательный сертификат ЦС для проверки.
• CrossedCACertFile является необязательным сертификатом, сертифицированным CertFile.
• CRLFile — это файл CRL, используемый для проверки CACertFile.
• IssuedCertFile является необязательным выданным сертификатом, охватываемым CRLfile.
• DeltaCRLFile — это необязательный разностный CRL-файл.
• модификаторы:
  • Строгой — строгой проверки подписи
  • MSRoot — должна быть цепочка с корнем Майкрософт
  • MSTestRoot — должен быть цепочкой в корневом каталоге тестирования Майкрософт
  • AppRoot — должна быть цепочка с корнем приложения Майкрософт
  • EV — применение расширенной политики проверки

Параметры:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Замечания

• Использование ApplicationPolicyList ограничивает сборку цепочки только для указанных политик приложений.
• Использование IssuancePolicyList ограничивает построение цепочки только цепочками, допустимыми для указанных политик выдачи.
• Используя CACertFile проверяет поля в файле на CertFile или CRLfile.
• Если CACertFile не указано, полная цепочка создается и проверяется на CertFile.
• Если указаны CACertFile и CrossedCACertFile, поля в обоих файлах проверяются CertFile.
• Использование IssuedCertFile проверяет поля в файле на CRLfile.
• Использование DeltaCRLFile проверяет поля в файле по CertFile.

-verifyCTL

Проверяет CTL сертификатов AuthRoot или Запрещено.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Где:

• CTLObject определяет CTL для проверки, в том числе:

  • AuthRootWU считывает CAB-файл AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте -f для скачивания из Центра обновления Windows.
  • DisallowedWU считывает CAB-файл хранилища запрещенных сертификатов и запрещает файл хранилища сертификатов из кэша URL-адресов. Вместо этого используйте -f для скачивания из Центра обновления Windows.
    • PinRulesWU считывает CAB-файл PinRules из кэша URL-адресов. Вместо этого используйте -f для скачивания из Центра обновления Windows.
  • AuthRoot считывает кэшированный реестр authRoot CTL. Используйте -f и ненадежный CertFile, чтобы принудительно кэшировать кэшированные AuthRoot и неподдерживаемые списки сертификатов для обновления.
  • запрещено считывает кэшированные в реестре сертификаты CTL. Используйте -f и ненадежный CertFile, чтобы принудительно кэшировать кэшированные AuthRoot и неподдерживаемые списки сертификатов для обновления.
    • PinRules считывает кэшированный CTL реестра PinRules. Использование -f имеет то же поведение, что и PinRulesWU.
  • CTLFileName указывает файл или http-путь к CTL или CAB-файлу.

• CertDir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и CTLobject. Для использования пути к папке http требуется разделитель путей в конце. Если вы не указываете AuthRoot или запрещено, поиск нескольких расположений выполняется для сопоставления сертификатов, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. При необходимости используйте -f для скачивания из Центра обновления Windows.

• CertFile указывает сертификаты для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть выходных данных по умолчанию.

Параметры:

[-f] [-user] [-split]

-syncWithWU

Синхронизирует сертификаты с Центром обновления Windows.

certutil [options] -syncWithWU DestinationDir

Где:

• DestinationDir — это указанный каталог.
• f принудительно перезаписывает.
• Юникод записывает перенаправленные выходные данные в Юникоде.
• gmt отображает время в формате GMT.
• секунды отображает время с секундами и миллисекундами.
• v — это подробная операция.
• ПИН-код смарт-карты — это ПИН-код смарт-карты.
• WELL_KNOWN_SID_TYPE является числовым идентификатором безопасности:
  • 22 — локальная система
  • 23 — локальная служба
  • 24 — сетевая служба

Замечания

Следующие файлы загружаются с помощью механизма автоматического обновления:

• authrootstl.cab содержит списки сертификатов, отличных от Майкрософт.
• disallowedcertstl.cab содержит списки сертификатов, ненадежных.
• disallowedcert.sst содержит сериализованное хранилище сертификатов, включая ненадежные сертификаты.
• thumbprint.crt содержит корневые сертификаты, отличные от Майкрософт.

Например, certutil -syncWithWU \\server1\PKI\CTLs.

• Если в качестве целевой папки используется несуществующий локальный путь или папка, появится ошибка: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Если в качестве целевой папки используется несуществующее или недоступное сетевое расположение, появится сообщение об ошибке: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Если сервер не может подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, вы получите следующую ошибку: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Если серверу не удается связаться с серверами автоматического обновления Майкрософт с ctldl.windowsupdate.comDNS-имени, вы получите следующую ошибку: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Если вы не используете параметр -f, а файлы CTL уже существуют в каталоге, вы получите ошибку: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Если есть изменение доверенных корневых сертификатов, вы увидите: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Параметры:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Создает файл хранилища, синхронизированный с Центром обновления Windows.

certutil [options] -generateSSTFromWU SSTFile

Где:

• SSTFile — это файл .sst, который содержит сторонние корни, скачанные из Центра обновления Windows.

Параметры:

[-f] [-split]

-generatePinRulesCTL

Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Где:

• XMLFile является входным XML-файлом для анализа.
• CTLFile — это выходной файл CTL для создания.
• SSTFile является необязательным файлом .sst, который содержит все сертификаты, используемые для закрепления.
• QueryFilesPrefix являются необязательными Domains.csv и Keys.csv файлами для запроса базы данных.
  • Строка QueryFilesPrefix добавляется к каждому созданному файлу.
  • Файл Domains.csv содержит имя правила, строки домена.
  • Файл Keys.csv содержит имя правила, строки отпечатка клавиш SHA256.

Параметры:

[-f]

-downloadOcsp

Загружает ответы OCSP и записывает их в каталог.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Где:

• CertificateDir — это каталог сертификата, хранилища и PFX-файлов.
• OcspDir — это каталог для записи ответов OCSP.
• ThreadCount является необязательным максимальным числом потоков для параллельного скачивания. По умолчанию используется 10.
• модификаторы разделены запятыми одного или нескольких из следующих:
  • DownloadOnce — скачивает один раз и завершает работу.
  • ReadOcsp — чтение из OcspDir вместо записи.

-generateHpkpHeader

Создает заголовок HPKP с помощью сертификатов в указанном файле или каталоге.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Где:

• CertFileOrDir — это файл или каталог сертификатов, который является источником pin-sha256.
• MaxAge — это максимальное значение возраста в секундах.
• ReportUri — это необязательный универсальный код ресурса (URI) отчета.
• модификаторы разделены запятыми одного или нескольких из следующих:
  • includeSubDomains — добавляет includeSubDomains.

-flushCache

Очищает указанные кэши в выбранном процессе, например lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Где:

• ProcessId является числовым идентификатором процесса для очистки. Установите значение 0 для очистки всех процессов, в которых включена очистка.

• CacheMask — это битовая маска кэшей для очистки числовых или следующих битов:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• модификаторы разделены запятыми одного или нескольких из следующих:

  • показать — отображает кэши, которые сбрасываются. Certutil должен быть явно завершен.

-addEccCurve

Добавляет кривую ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Где:

• CurveClass — это тип класса кривой ECC:

  • WEIERSTRASS (по умолчанию)
  • МОНТГОМЕРИ
  • TWISTED_EDWARDS

• имя кривой — это имя кривой ECC.

• CurveParameters являются одним из следующих:

  • Имя файла сертификата, содержащее параметры в кодировке ASN.
  • Файл, содержащий в кодировке ASN параметры.

• кривой является OID кривой ECC и является одним из следующих элементов:

  • Имя файла сертификата, содержащее идентификатор OID в кодировке ASN.
  • Явный OID кривой ECC.

• CurveType — это точка Schannel ECC NamedCurve (числовой).

Параметры:

[-f]

-deleteEccCurve

Удаляет кривую ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Где:

• имя кривой — это имя кривой ECC.
• кривая — это OID кривой ECC.

Параметры:

[-f]

-displayEccCurve

Отображает кривую ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Где:

• имя кривой — это имя кривой ECC.
• кривая — это OID кривой ECC.

Параметры:

[-f]

-csplist

Выводит список поставщиков криптографических служб (CSPS), установленных на этом компьютере для криптографических операций.

certutil [options] -csplist [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-csptest

Проверяет поставщики служб, установленные на этом компьютере.

certutil [options] -csptest [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Отображает на этом компьютере криптографическую конфигурацию CNG.

certutil [options] -CNGConfig

Параметры:

[-Silent]

-знак

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Где:

• InFileList — это разделенный запятыми список файлов сертификатов или списков отзыва сертификатов для изменения и повторного входа.

• serialNumber — это серийный номер создаваемого сертификата. Срок действия и другие параметры не могут присутствовать.

• CRL создает пустой список отзыва сертификатов. Срок действия и другие параметры не могут присутствовать.

• OutFileList — это разделенный запятыми список измененных файлов сертификатов или выходных файлов CRL. Количество файлов должно соответствовать списку infilelist.

• StartDate+dd:hh — это новый срок действия для файлов сертификата или списка отзыва сертификатов, в том числе:

  • необязательная дата плюс
  • Необязательный период действия дней и часов, если используются несколько полей, используйте разделитель (+) или (-). Используйте now[+dd:hh], чтобы начать в текущее время. Используйте now-dd:hh+dd:hh, чтобы начать с фиксированного смещения с текущего времени и фиксированного срока действия. Используйте never, чтобы не иметь даты окончания срока действия (только для списков отзыва данных).

• SerialNumberList — это список серийных номеров, разделенных запятыми, для добавления или удаления файлов.

• ObjectIdList — это список объектов расширения, разделенных запятыми.

• @ExtensionFile — это INF-файл, содержащий расширения для обновления или удаления. Например:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm — это имя хэш-алгоритма. Это должен быть только текст, предшествующий знаку #.

• AlternateSignatureAlgorithm — это описатель альтернативного алгоритма подписи.

Параметры:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Замечания

• При использовании знака минус (-) удаляются серийные номера и расширения.
• Использование знака плюса (+) добавляет серийные номера в список отзыва сертификатов.
• Список можно использовать для удаления серийных номеров и ObjectIds из списка отзыва сертификатов одновременно.
• Использование знака минуса перед AlternateSignatureAlgorithm позволяет использовать устаревший формат подписи.
• Использование знака "плюс" позволяет использовать альтернативный формат подписи.
• ЕслиAlternateSignatureAlgorithm не указан, используется формат подписи в сертификате или списке отзыва сертификатов.

-vroot

Создает или удаляет корневую веб-виртуальную виртуальную папку и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет корневую веб-виртуальную сеть для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Добавляет приложение сервера регистрации и пул приложений при необходимости для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Где:

• addEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, в том числе:

  • Kerberos использует учетные данные SSL Kerberos.
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.

• модификаторы:

  • AllowRenewalsOnly разрешает только отправку запросов на продление в центр сертификации по URL-адресу.
  • AllowKeyBasedRenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применяется при использовании с ClientCertificate и режимом AllowRenewalsOn ly.

Параметры:

[-config Machine\CAName]

-deleteEnrollmentServer

При необходимости удаляет приложение сервера регистрации и пул приложений для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Где:

• deleteEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, включая:
  • Kerberos использует учетные данные SSL Kerberos.
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.

Параметры:

[-config Machine\CAName]

-addPolicyServer

При необходимости добавьте приложение и пул приложений сервера политик. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

• addPolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, включая:
  • Kerberos использует учетные данные SSL Kerberos.
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.
• KeyBasedRenewal позволяет использовать политики, возвращаемые клиенту, содержащим шаблоны keybasedrenewal. Этот параметр применяется только для проверки подлинности UserName и ClientCertificate.

-deletePolicyServer

При необходимости удаляет приложение и пул приложений сервера политик. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

• deletePolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, включая:
  • Kerberos использует учетные данные SSL Kerberos.
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.
• KeyBasedRenewal позволяет использовать сервер политики KeyBasedRenewal.

-Класс

Отображает сведения о реестре COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Параметры:

[-f]

-7f

Проверяет сертификат для кодирования 0x7f длины.

certutil [options] -7f CertFile

-oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Где:

• ObjectId — это идентификатор для отображения или добавления в отображаемое имя.
• GroupId — это число GroupID (десятичное), перечисление ObjectIds.
• AlgId является шестнадцатеричным идентификатором, который ищет объектный идентификатор.
• Имя алгоритма — это имя алгоритма, которое ищет объектНЫЙ ИДЕНТИФИКАТОР.
• DisplayName отображает имя для хранения в DS.
• Delete удаляет отображаемое имя.
• LanguageId — это значение идентификатора языка (по умолчанию — 1033).
• Тип — это тип создаваемого объекта DS, в том числе:
  • 1 — шаблон (по умолчанию)
  • 2 — политика выдачи
  • 3 — политика приложения
• -f создает объект DS.

Параметры:

[-f]

-ошибка

Отображает текст сообщения, связанный с кодом ошибки.

certutil [options] -error ErrorCode

-getsmtpinfo

Получает сведения об простом протоколе передачи почты (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Задает сведения SMTP.

certutil [options] -setsmtpinfo LogonName

Параметры:

[-config Machine\CAName] [-p Password]

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Где:

• ЦС использует раздел реестра центра сертификации.
• восстановления использует раздел реестра реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• выход использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используйте -user для пользовательских шаблонов).
• регистрации использует раздел реестра регистрации (используйте -user для контекста пользователя).
• цепочка использует раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра серверов политик.
• ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используйте Name* для сопоставления префикса).
• значение использует новое числовое, строковое или имя реестра дат. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значение REG_MULTI_SZ, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не относится к допустимому файлу, он вместо этого анализируется как [Date][+|-][dd:hh] который является необязательной датой плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте now+dd:hh для даты относительно текущего времени.
• Используйте i64 в качестве суффикса для создания значения REG_QWORD.
• Используйте chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.
• Псевдонимы реестра:
  • Конфигурация
  • Центр сертификации
  • Политика — PolicyModules
  • Exit — ExitModules
  • Восстановление — RestoreInProgresss
  • Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
  • Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
  • Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Software\Microsoft\Policies\PassportForWork

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Где:

• ЦС использует раздел реестра центра сертификации.
• восстановления использует раздел реестра реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• выход использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используйте -user для пользовательских шаблонов).
• регистрации использует раздел реестра регистрации (используйте -user для контекста пользователя).
• цепочка использует раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра серверов политик.
• ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используйте Name* для сопоставления префикса).
• значение использует новое числовое значение, строку или имя реестра дат. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значение REG_MULTI_SZ, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не относится к допустимому файлу, он вместо этого анализируется как [Date][+|-][dd:hh] который является необязательной датой плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте now+dd:hh для даты относительно текущего времени.
• Используйте i64 в качестве суффикса для создания значения REG_QWORD.
• Используйте chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Где:

• ЦС использует раздел реестра центра сертификации.
• восстановления использует раздел реестра реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• выход использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используйте -user для пользовательских шаблонов).
• регистрации использует раздел реестра регистрации (используйте -user для контекста пользователя).
• цепочка использует раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра серверов политик.
• ProgId использует идентификатор progID или модуль выхода (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используйте Name* для сопоставления префикса).
• значение использует новое числовое, строковое или имя реестра дат. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать значение REG_MULTI_SZ, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не относится к допустимому файлу, он вместо этого анализируется как [Date][+|-][dd:hh] который является необязательной датой плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используйте now+dd:hh для даты относительно текущего времени.
• Используйте i64 в качестве суффикса для создания значения REG_QWORD.
• Используйте chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.
• Псевдонимы реестра:
  • Конфигурация
  • Центр сертификации
  • Политика — PolicyModules
  • Exit — ExitModules
  • Восстановление — RestoreInProgresss
  • Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
  • Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
  • Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Software\Microsoft\Policies\PassportForWork

-importKMS

Импортирует ключи и сертификаты пользователей в базу данных сервера для архивации ключей.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Где:

• UserKeyAndCertFile — это файл данных с закрытыми ключами пользователя и сертификатами, которые необходимо архивировать. Этот файл может быть следующим:
  • Файл экспорта сервера управления ключами Exchange (KMS).
  • PFX-файл.
• сертификат CertId — это маркер соответствия сертификата расшифровки файла KMS. Дополнительные сведения см. в разделе -store параметра в этой статье.
• -f импортирует сертификаты, не выданные центром сертификации.

Параметры:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Импортирует файл сертификата в базу данных.

certutil [options] -ImportCert Certfile [ExistingRow]

Где:

• ExistingRow импортирует сертификат вместо ожидающего запроса на тот же ключ.
• -f импортирует сертификаты, не выданные центром сертификации.

Параметры:

[-f] [-config Machine\CAName]

Замечания

Центр сертификации также может быть настроен для поддержки внешних сертификатов, выполнив certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Извлекает архивированный BLOB-объект восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Где:

• скрипт создает скрипт для извлечения и восстановления ключей (поведение по умолчанию при обнаружении нескольких подходящих кандидатов восстановления или если выходной файл не указан).
• получить извлекает один или несколько blob-объектов восстановления ключей (поведение по умолчанию, если найден именно один соответствующий кандидат восстановления и если указан выходной файл). При использовании этого параметра выполняется усечение любого расширения и добавляется строка для конкретного сертификата и расширение .rec для каждого большого двоичного объекта восстановления ключей. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей.
• восстановить извлекает и восстанавливает закрытые ключи на одном шаге (требуется сертификат агента восстановления ключей и закрытые ключи). При использовании этого параметра выполняется усечение любого расширения и добавляется расширение .p12. Каждый файл содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.
• SearchToken выбирает ключи и сертификаты, которые необходимо восстановить, в том числе:
  • Общее имя сертификата
  • Серийный номер сертификата
  • Хэш SHA-1 сертификата (отпечаток)
  • Хэш keyId KEYId SHA-1 (идентификатор ключа субъекта)
  • Имя запрашивающего пользователя (домен\пользователь)
  • Имя участника-участника (user@domain)
• RecoveryBlobOutFile выводит файл с цепочкой сертификатов и связанным закрытым ключом, который по-прежнему зашифрован на один или несколько сертификатов агента восстановления ключей.
• OutputScriptFile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.
• OutputFileBaseName выводит базовое имя файла.

Параметры:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

• Для получениялюбое расширение усечено, а строка для конкретного сертификата и расширения .rec добавляются для каждого большого двоичного объекта восстановления ключей. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей.
• Для восстановлениялюбое расширение усечено и добавляется расширение .p12. Содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.

-RecoverKey

Восстанавливает архивированный закрытый ключ.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Объединяет PFX-файлы.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Где:

• PFXInFileList — это разделенный запятыми список входных файлов PFX.
• PFXOutFile — это имя выходного файла PFX.
• модификаторы разделены запятыми в одном или нескольких следующих списках:
  • ExtendedProperties включает любые расширенные свойства.
  • NoEncryptCert указывает, чтобы не шифровать сертификаты.
  • EncryptCert указывает для шифрования сертификатов.

Параметры:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

• Пароль, указанный в командной строке, должен быть списком паролей, разделенным запятыми.
• Если задано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль *, пользователю будет предложено ввести пароль выходного файла.

-add-chain

Добавляет цепочку сертификатов.

certutil [options] -add-chain LogId certificate OutFile

Параметры:

[-f]

-add-pre-chain

Добавляет цепочку предварительного сертификата.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Параметры:

[-f]

-get-sth

Получает подписанную голову дерева.

certutil [options] -get-sth [LogId]

Параметры:

[-f]

-get-sth-consistency

Возвращает изменения головки дерева подписи.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Параметры:

[-f]

-get-proof-by-hash

Получает подтверждение хэша с сервера метки времени.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Параметры:

[-f]

-get-entries

Извлекает записи из журнала событий.

certutil [options] -get-entries LogId FirstIndex LastIndex

Параметры:

[-f]

-get-root

Извлекает корневые сертификаты из хранилища сертификатов.

certutil [options] -get-roots LogId

Параметры:

[-f]

-get-entry-and-proof

Извлекает запись журнала событий и его криптографическое подтверждение.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Параметры:

[-f]

-VerifyCT

Проверяет сертификат в журнале прозрачности сертификата.

certutil [options] -VerifyCT Certificate SCT [precert]

Параметры:

[-f]

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Где:

• -? отображает список параметров
• -<name_of_parameter> -? отображает содержимое справки для указанного параметра.
• -? -v отображает подробный список параметров и параметров.

Параметры

В этом разделе определяются все параметры, которые можно указать на основе команды. Каждый параметр содержит сведения о том, какие параметры допустимы для использования.

Выбор	Описание
-Администратора	Используйте ICertAdmin2 для свойств ЦС.
-анонимный	Используйте анонимные учетные данные SSL.
-cert CertId	Сертификат подписывания.
-clientcertificate clientCertId	Используйте учетные данные SSL сертификата X.509. Для выбора пользовательского интерфейса используйте -clientcertificate.
-config Machine\CAName	Строка имени центра сертификации и компьютера.
Поставщик -csp	Поставщик: KSP — поставщик хранилища ключей программного обеспечения Майкрософт доверенного платформенного модуля — поставщик шифрования Microsoft Platform NGC — поставщик хранилища ключей Microsoft Passport SC — поставщик хранилища ключей смарт-карт Майкрософт
-dc DCName	Назначение определенного контроллера домена.
-предприятие	Используйте хранилище сертификатов локального компьютера корпоративного реестра.
-f	Принудительное перезаписи.
-generateSSTFromWU SSTFile	Создайте SST с помощью механизма автоматического обновления.
-gmt	Время отображения с помощью GMT.
-GroupPolicy	Используйте хранилище сертификатов групповой политики.
-idispatch	Используйте IDispatch вместо собственных методов COM.
-kerberos	Используйте учетные данные SSL Kerberos.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-мт	Отображение шаблонов компьютеров.
-nocr	Кодирование текста без символов CR.
-nocrlf	Кодирование текста без CR-LF символов.
-nullsign	Используйте хэш данных в качестве подписи.
-oldpfx	Используйте старое шифрование PFX.
-out columnlist	Список столбцов, разделенных запятыми.
-p password	Пароль
-pin PIN-код	ПИН-код смарт-карты.
-policyserver URLorID	URL-адрес или идентификатор сервера политик. Для выбора U/I используйте -policyserver. Для всех серверов политик используйте -policyserver *
-privatekey	Отображение данных пароля и закрытого ключа.
-защищать	Защита ключей паролем.
-protectto SAMnameandSIDlist	Разделенный запятыми список имен SAM или SID.
-ограничить список ограничений	Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константного целого числа, строки или даты. Имя одного столбца может предшествовать знаку "плюс" или "минус", чтобы указать порядок сортировки. Например, requestID = 47, +requestername >= a, requesternameили -requestername > DOMAIN, Disposition = 21.
-обратный	Столбцы обратного журнала и очереди.
-товары второго сорта	Отображение времени с использованием секунд и миллисекунд.
-служба	Используйте хранилище сертификатов службы.
-ид безопасности	Числовые идентификаторы БЕЗОПАСНОСТИ: 22 — локальная система 23 — локальная служба 24 — сетевая служба
-молчаливый	Используйте флаг silent для получения контекста шифрования.
-раскалывать	Разделение внедренных элементов ASN.1 и сохранение в файлы.
-sslpolicy servername	SSL Policy matching ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Имя алгоритма симметричного ключа с необязательной длиной ключа. Например, AES,128 или 3DES.
-syncWithWU DestinationDir	Синхронизация с Центром обновления Windows.
Время ожидания -t	Время ожидания получения URL-адреса в миллисекундах.
-Юникод	Запись перенаправленных выходных данных в Юникоде.
-ЮникодТекст	Запись выходного файла в Юникоде.
-urlfetch	Получение и проверка сертификатов AIA и cdP CRLs.
-пользователь	Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-username username	Используйте именованную учетную запись для учетных данных SSL. Для выбора пользовательского интерфейса используйте -username.
-ut	Отображение пользовательских шаблонов.
-v	Укажите более подробные (подробные) сведения.
-v1	Используйте интерфейсы версии 1.

Хэш-алгоритмы: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Связанные ссылки

Дополнительные примеры использования этой команды см. в следующих статьях:

• службы сертификатов Active Directory (AD CS)
• задачи Certutil для управления сертификатами
• Настройка доверенных корней и запрещенных сертификатов в Windows