certutil

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Försiktighet

Certutil rekommenderas inte att användas i någon produktionskod och ger inga garantier för live-webbplatsstöd eller programkompatibiliteter. Det är ett verktyg som används av utvecklare och IT-administratörer för att visa information om certifikatinnehåll på enheter.

Certutil.exe är ett kommandoradsprogram som installeras som en del av Certificate Services. Du kan använda certutil.exe för att visa konfigurationsinformation för certifikatutfärdare (CA), konfigurera Certifikattjänster och säkerhetskopiera och återställa CA-komponenter. Programmet verifierar även certifikat, nyckelpar och certifikatkedjor.

Om certutil körs på en certifikatutfärdare utan andra parametrar visas den aktuella konfigurationen för certifikatutfärdare. Om certutil körs på en icke-certifikatutfärdare utan andra parametrar kör kommandot som standard kommandot certutil -dump. Alla versioner av certutil innehåller inte alla parametrar och alternativ som beskrivs i det här dokumentet. Du kan se de alternativ som din version av certutil innehåller genom att köra certutil -? eller certutil <parameter> -?.

Dricks

Om du vill se fullständig hjälp för alla certutil-verb och alternativ, inklusive de som är dolda från argumentet -?, kör du certutil -v -uSAGE. Växeln uSAGE är skiftlägeskänslig.

Parametrar

-soptipp

Dumpar konfigurationsinformationen eller filerna.

certutil [options] [-dump]
certutil [options] [-dump] File

Alternativ:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Dumpar PFX-strukturen.

certutil [options] [-dumpPFX] File

Alternativ:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Parsar och visar innehållet i en fil med asn.1-syntax (Abstract Syntax Notation). Filtyper inkluderar . CER, . DER- och PKCS #7-formaterade filer.

certutil [options] -asn File [type]

• [type]: numerisk CRYPT_STRING_* avkodningstyp

-decodehex

Avkodar en hexadecimalkodad fil.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numerisk CRYPT_STRING_* avkodningstyp

Alternativ:

[-f]

-encodehex

Kodar en fil i hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numerisk CRYPT_STRING_* kodningstyp

Alternativ:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-avkoda

Avkodar en Base64-kodad fil.

certutil [options] -decode InFile OutFile

Alternativ:

[-f]

-koda

Kodar en fil till Base64.

certutil [options] -encode InFile OutFile

Alternativ:

[-f] [-unicodetext]

-neka

Nekar en väntande begäran.

certutil [options] -deny RequestId

Alternativ:

[-config Machine\CAName]

-Skicka

Skickar en väntande begäran igen.

certutil [options] -resubmit RequestId

Alternativ:

[-config Machine\CAName]

-setattributes

Anger attribut för en väntande certifikatbegäran.

certutil [options] -setattributes RequestId AttributeString

Var:

• RequestId är det numeriska begärande-ID:t för den väntande begäran.
• AttributeString är namn och värdepar för begärandeattribut.

Alternativ:

[-config Machine\CAName]

Anmärkningar

• Namn och värden måste vara kolonavgränsade, medan flera namn och värdepar måste avgränsas med ny rad. Till exempel: CertificateTemplate:User\nEMail:User@Domain.com där \n-sekvensen konverteras till en ny radavgränsare.

-setextension

Ange ett tillägg för en väntande certifikatbegäran.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Var:

• requestID är det numeriska begärande-ID:t för den väntande begäran.
• ExtensionName är ObjectId-strängen för tillägget.
• Flags anger tilläggets prioritet. 0 rekommenderas, medan 1 anger tillägget till kritiskt, inaktiverar 2 tillägget och 3 gör båda.

Alternativ:

[-config Machine\CAName]

Anmärkningar

• Om den sista parametern är numerisk tas den som en Long.
• Om den sista parametern kan parsas som ett datum tas den som ett Datum.
• Om den sista parametern börjar med \@tas resten av token som filnamn med binära data eller en ascii-text-hexdump.
• Om den sista parametern är något annat tas den som en sträng.

-återkalla

Återkallar ett certifikat.

certutil [options] -revoke SerialNumber [Reason]

Var:

• SerialNumber är en kommaavgränsad lista över certifikatserienummer som ska återkallas.
• Orsak är den numeriska eller symboliska representationen av återkallningsorsaken, inklusive:
  • 0. CRL_REASON_UNSPECIFIED – Ospecificerad (standard)
  • 1. CRL_REASON_KEY_COMPROMISE – Viktig kompromiss
  • 2. CRL_REASON_CA_COMPROMISE – Kompromettering av certifikatutfärdare
  • 3. CRL_REASON_AFFILIATION_CHANGED – Anknytningen har ändrats
  • 4. CRL_REASON_SUPERSEDED – Ersatt
  • 5. CRL_REASON_CESSATION_OF_OPERATION – Upphörande av driften
  • 6. CRL_REASON_CERTIFICATE_HOLD – Certifikatavspärrning
  • 8. CRL_REASON_REMOVE_FROM_CRL – Ta bort från CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN – Privilegiet dras tillbaka
  • 10: CRL_REASON_AA_COMPROMISE – AA-kompromiss
  • -1. Unrevoke - Orevokes

Alternativ:

[-config Machine\CAName]

-isvalid

Visar borttagningen av det aktuella certifikatet.

certutil [options] -isvalid SerialNumber | CertHash

Alternativ:

[-config Machine\CAName]

-getconfig

Hämtar standardkonfigurationssträngen.

certutil [options] -getconfig

Alternativ:

[-idispatch] [-config Machine\CAName]

-getconfig2

Hämtar standardkonfigurationssträngen via ICertGetConfig.

certutil [options] -getconfig2

Alternativ:

[-idispatch] 

-getconfig3

Hämtar konfiguration via ICertConfig.

certutil [options] -getconfig3

Alternativ:

[-idispatch] 

-Ping

Försöker kontakta Active Directory Certificate Services-begärandegränssnittet.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Var:

• CAMachineList är en kommaavgränsad lista över CA-datornamn. För en enskild dator använder du ett avslutande kommatecken. Det här alternativet visar även platskostnaden för varje CA-dator.

Alternativ:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Försöker kontakta Active Directory Certificate Services Admin-gränssnittet.

certutil [options] -pingadmin

Alternativ:

[-config Machine\CAName]

-CAInfo

Visar information om certifikatutfärdare.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Var:

• InfoName- anger den CA-egenskap som ska visas, baserat på följande argumentsyntax för infoname:
  • * – Visar alla egenskaper
  • annonser – Avancerad server
  • aia [Index] – AIA-URL:er
  • cdp [Index] – CDP-URL:er
  • certifikat [Index] – CA-certifikat
  • certchain [Index] – CERTIFIKATutfärdarkedja
  • certcount – antal certifikatutfärdarcertifikat
  • certcrlchain [Index] – CA-certifikatkedja med CRL:er
  • certstate [Index] – CA-certifikat
  • certstatuscode [Index] – certifikatutfärdarcertifikatsstatus
  • certversion [Index] – CA-certifikatversion
  • CRL [Index] – Grundläggande CRL
  • crlstate [Index] – CRL
  • crlstatus [Index] – CRL-publiceringsstatus
  • kors- [Index] – Bakåtkorscertifikat
  • cross+ [Index] – Vidarebefordra korscertifikat
  • crossstate– [Index] – Bakåtkors cert
  • crossstate+ [Index] – Vidarebefordra korscertifikat
  • deltacrl [Index] – Delta CRL
  • deltacrlstatus [Index] – Delta CRL-publiceringsstatus
  • dns- – DNS-namn
  • dsname – Sanitized CA short name (DS name)
  • error1 ErrorCode – Felmeddelandetext
  • error2 ErrorCode – Felmeddelandetext och felkod
  • avsluta [Index] – Beskrivning av avslutningsmodul
  • exitcount – Antal avslutsmoduler
  • fil – filversion
  • information – CA-information
  • kra [Index] – KRA-certifikat
  • kracount – ANTAL KRA-certifikat
  • krastate [Index] – KRA-certifikat
  • kraused – antal använda KRA-certifikat
  • localename – CA-språknamn
  • namn – CA-namn
  • ocsp [Index] – OCSP-URL:er
  • överordnad – överordnad ca
  • princip – Beskrivning av principmodul
  • produkt – produktversion
  • propidmax – Maximalt CA PropId
  • roll – Rollavgränsning
  • sanitizedname – Sanitized CA name
  • sharedfolder – Delad mapp
  • subjecttemplateoids – OID för ämnesmall
  • mallar – mallar
  • typ – CA-typ
  • xchg [Index] – CERTIFIKATutfärdarcertifikat
  • xchgchain [Index] – CERTIFIKATutfärdarkedja
  • xchgcount – antal certifikatutfärdarcertifikat för certifikatutfärdarcertifikat
  • xchgcrlchain [Index] – CA exchange cert chain with CRLs
• index är det valfria nollbaserade egenskapsindexet.
• felkod är den numeriska felkoden.

Alternativ:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Visar information om CA-egenskapstyp.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Alternativ:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Hämtar certifikatet för certifikatutfärdare.

certutil [options] -ca.cert OutCACertFile [Index]

Var:

• OutCACertFile är utdatafilen.
• Index är certifikatförnyelseindexet för certifikatutfärdare (standardvärdet är det senaste).

Alternativ:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Hämtar certifikatkedjan för certifikatutfärdare.

certutil [options] -ca.chain OutCACertChainFile [Index]

Var:

• OutCACertChainFile är utdatafilen.
• Index är certifikatförnyelseindexet för certifikatutfärdare (standardvärdet är det senaste).

Alternativ:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Hämtar en lista över återkallade certifikat (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Var:

• Index är CRL-indexet eller nyckelindexet (standardvärdet är CRL för den senaste nyckeln).
• delta är delta CRL (standard är bas-CRL).

Alternativ:

[-f] [-split] [-config Machine\CAName]

-CRL

Publicerar nya listor över återkallade certifikat (CRL:er) eller delta-CRL:er.

certutil [options] -CRL [dd:hh | republish] [delta]

Var:

• dd:hh är den nya CRL-giltighetsperioden i dagar och timmar.
• publicera om publicerar om de senaste CRL:erna.
• delta endast publicerar delta-CRL:er (standardvärdet är bas- och delta-CRL:er).

Alternativ:

[-split] [-config Machine\CAName]

-avstängning

Stänger av Active Directory Certificate Services.

certutil [options] -shutdown

Alternativ:

[-config Machine\CAName]

-installCert

Installerar ett certifikatutfärdarcertifikat.

certutil [options] -installCert [CACertFile]

Alternativ:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Förnyar ett certifikat för certifikatutfärdare.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Alternativ:

[-f] [-silent] [-config Machine\CAName]

• Använd -f för att ignorera en utestående förnyelsebegäran och generera en ny begäran.

-Schemat

Dumpar schemat för certifikatet.

certutil [options] -schema [Ext | Attrib | CRL]

Var:

• Kommandot är som standard tabellen Begäran och certifikat.
• Ext är tilläggstabellen.
• Attribute är attributtabellen.
• CRL- är CRL-tabellen.

Alternativ:

[-split] [-config Machine\CAName]

-utsikt

Dumpar certifikatvyn.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Var:

• Queue dumpar en specifik begärandekö.
• Log dumpar de utfärdade eller återkallade certifikaten plus misslyckade begäranden.
• LogFail dumpar misslyckade begäranden.
• Återkallad dumpar de återkallade certifikaten.
• Ext dumpar tilläggstabellen.
• Attrib dumpar attributtabellen.
• CRL dumpar CRL-tabellen.
• csv- ger utdata med kommaavgränsade värden.

Alternativ:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Anmärkningar

• Om du vill visa kolumnen StatusCode för alla poster skriver du -out StatusCode
• Om du vill visa alla kolumner för den senaste posten skriver du: -restrict RequestId==$
• Om du vill visa RequestId och Disposition för tre begäranden skriver du: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Om du vill visa rad-ID rad-ID och CRL-nummer för alla grundläggande CRL:er skriver du: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Om du vill visa bas-CRL-nummer 3 skriver du: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Om du vill visa hela CRL-tabellen skriver du: CRL
• Använd Date[+|-dd:hh] för datumbegränsningar.
• Använd now+dd:hh för ett datum i förhållande till den aktuella tiden.
• Mallar innehåller utökade nyckelanvändningar (EKUs), som är objektidentifierare (OID) som beskriver hur certifikatet används. Certifikat innehåller inte alltid vanliga mallnamn eller visningsnamn, men de innehåller alltid mall-EKU:er. Du kan extrahera EKU:er för en specifik certifikatmall från Active Directory och sedan begränsa vyer baserat på tillägget.

-Db

Dumpar rådatabasen.

certutil [options] -db

Alternativ:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Tar bort en rad från serverdatabasen.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Var:

• Begäran tar bort misslyckade och väntande begäranden baserat på sändningsdatum.
• Cert tar bort de utgångna och återkallade certifikaten baserat på förfallodatum.
• Ext tar bort tilläggstabellen.
• Attrib tar bort attributtabellen.
• CRL- tar bort CRL-tabellen.

Alternativ:

[-f] [-config Machine\CAName]

Exempel

• Om du vill ta bort misslyckade och väntande begäranden som skickats senast den 22 januari 2001 skriver du: 1/22/2001 request
• Om du vill ta bort alla certifikat som upphört att gälla den 22 januari 2001 skriver du: 1/22/2001 cert
• Om du vill ta bort certifikatraden, attributen och tilläggen för RequestID 37 skriver du: 37
• Om du vill ta bort CRL:er som upphörde att gälla den 22 januari 2001 skriver du: 1/22/2001 crl

Not

Date förväntar sig formatet mm/dd/yyyy i stället för dd/mm/yyyy, till exempel 1/22/2001 i stället för 22/1/2001 för 22 januari 2001. Om servern inte har konfigurerats med nationella inställningar i USA kan argumentet Datum ge oväntade resultat.

-säkerhetskopia

Säkerhetskopierar Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Var:

• BackupDirectory är katalogen där säkerhetskopierade data ska lagras.
• Inkrementell endast utför en inkrementell säkerhetskopiering (standard är fullständig säkerhetskopiering).
• KeepLog bevarar databasloggfilerna (standard är att trunkera loggfiler).

Alternativ:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Säkerhetskopierar Active Directory Certificate Services-databasen.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Var:

• BackupDirectory är katalogen där de säkerhetskopierade databasfilerna ska lagras.
• Inkrementell endast utför en inkrementell säkerhetskopiering (standard är fullständig säkerhetskopiering).
• KeepLog bevarar databasloggfilerna (standard är att trunkera loggfiler).

Alternativ:

[-f] [-config Machine\CAName]

-backupkey

Säkerhetskopierar Active Directory Certificate Services-certifikatet och den privata nyckeln.

certutil [options] -backupkey BackupDirectory

Var:

• BackupDirectory är katalogen som lagrar den säkerhetskopierade PFX-filen.

Alternativ:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-återställa

Återställer Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Var:

• BackupDirectory är katalogen som innehåller de data som ska återställas.

Alternativ:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Återställer Active Directory Certificate Services-databasen.

certutil [options] -restoredb BackupDirectory

Var:

• BackupDirectory är katalogen som innehåller databasfilerna som ska återställas.

Alternativ:

[-f] [-config Machine\CAName]

-restorekey

Återställer Active Directory Certificate Services-certifikatet och den privata nyckeln.

certutil [options] -restorekey BackupDirectory | PFXFile

Var:

• BackupDirectory är katalogen som innehåller PFX-filen som ska återställas.
• PFXFile är PFX-filen som ska återställas.

Alternativ:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporterar certifikat och privata nycklar. Mer information finns i parametern -store i den här artikeln.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Var:

• CertificateStoreName är namnet på certifikatarkivet.
• CertId är certifikat- eller CRL-matchningstoken.
• PFXFile är DEN PFX-fil som ska exporteras.
• modifierare är kommaavgränsade listan, som kan innehålla ett eller flera av följande:
  • CryptoAlgorithm= anger den kryptografiska algoritm som ska användas för att kryptera PFX-filen, till exempel TripleDES-Sha1 eller Aes256-Sha256.
  • EncryptCert – Krypterar den privata nyckel som är associerad med certifikatet med ett lösenord.
  • ExportParameters -Exports parametrarna för den privata nyckeln utöver certifikatet och den privata nyckeln.
  • ExtendedProperties – Innehåller alla utökade egenskaper som är associerade med certifikatet i utdatafilen.
  • NoEncryptCert – Exporterar den privata nyckeln utan att kryptera den.
  • NoChain – Importerar inte certifikatkedjan.
  • NoRoot – Importerar inte rotcertifikatet.

-importPFX

Importerar certifikaten och de privata nycklarna. Mer information finns i parametern -store i den här artikeln.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Var:

• CertificateStoreName är namnet på certifikatarkivet.
• PFXFile är DEN PFX-fil som ska importeras.
• modifierare är kommaavgränsade listan, som kan innehålla ett eller flera av följande:
  • AT_KEYEXCHANGE – Ändrar keyspec till nyckelutbyte.
  • AT_SIGNATURE – Ändrar keyspec till signatur.
  • ExportEncrypted – Exporterar den privata nyckel som är associerad med certifikatet med lösenordskryptering.
  • FriendlyName= – Anger ett eget namn för det importerade certifikatet.
  • KeyDescription= – Anger en beskrivning av den privata nyckel som är associerad med det importerade certifikatet.
  • KeyFriendlyName= – Anger ett eget namn för den privata nyckel som är associerad med det importerade certifikatet.
  • NoCert – Importerar inte certifikatet.
  • NoChain – Importerar inte certifikatkedjan.
  • NoExport – gör att den privata nyckeln inte kan exporteras.
  • NoProtect – Lösenordsskyddar inte nycklar med hjälp av ett lösenord.
  • NoRoot – Importerar inte rotcertifikatet.
  • Pkcs8 – använder PKCS8-format för den privata nyckeln i PFX-filen.
  • Skydda – Skyddar nycklar med hjälp av ett lösenord.
  • ProtectHigh – Anger att ett lösenord med hög säkerhet måste associeras med den privata nyckeln.
  • VSM- – lagrar den privata nyckeln som är associerad med det importerade certifikatet i vsc-containern (Virtual Smart Card).

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Anmärkningar

• Standardinställningen är personligt datorlager.

-dynamicfilelist

Visar en dynamisk fillista.

certutil [options] -dynamicfilelist

Alternativ:

[-config Machine\CAName]

-databaselocations

Visar databasplatser.

certutil [options] -databaselocations

Alternativ:

[-config Machine\CAName]

-hashfile

Genererar och visar en kryptografisk hash över en fil.

certutil [options] -hashfile InFile [HashAlgorithm]

-butik

Dumpar certifikatarkivet.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Var:

• CertificateStoreName är certifikatarkivets namn. Till exempel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId är certifikat- eller CRL-matchningstoken. Det här ID:t kan vara:

  • Serienummer
  • SHA-1-certifikat
  • HASH för CRL, CTL eller offentlig nyckel
  • Numeriskt certifikatindex (0, 1 och så vidare)
  • Numeriskt CRL-index (.0, .1 och så vidare)
  • Numeriskt CTL-index (.. 0, .. 1 och så vidare)
  • Offentlig nyckel
  • Objekt-ID för signatur eller tillägg
  • Certifikatämnets eget namn
  • E-postadress
  • UPN- eller DNS-namn
  • Namn på nyckelcontainer eller CSP-namn
  • Mallnamn eller ObjectId
  • Objekt-ID för EKU eller programprinciper
  • Crl-utfärdarens gemensamma namn.

Många av dessa identifierare kan resultera i flera matchningar.

• OutputFile är filen som används för att spara matchande certifikat.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Alternativet -user öppnar ett användararkiv i stället för ett datorarkiv.
• Alternativet -enterprise öppnar ett datorföretagsarkiv.
• Alternativet -service öppnar ett datortjänstarkiv.
• Alternativet -grouppolicy öppnar ett grupprinciparkiv för datorer.

Till exempel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Not

Prestandaproblem observeras när du använder parametern -store med tanke på följande två aspekter:

1. När antalet certifikat i arkivet överskrider 10.
2. När en CertId- anges används den för att matcha alla angivna typer för varje certifikat. Om till exempel ett serienummer anges försöker det även matcha alla andra typer i listan.

Om du är orolig för prestandaproblem rekommenderas PowerShell-kommandon där de endast matchar den angivna certifikattypen.

-uppräkningsarkiv

Räknar upp certifikatarkiven.

certutil [options] -enumstore [\\MachineName]

Var:

• MachineName är namnet på fjärrdatorn.

Alternativ:

[-enterprise] [-user] [-grouppolicy]

-addstore

Lägger till ett certifikat i arkivet. Mer information finns i parametern -store i den här artikeln.

certutil [options] -addstore CertificateStoreName InFile

Var:

• CertificateStoreName är certifikatarkivets namn.
• InFile är certifikatet eller CRL-filen som du vill lägga till i arkivet.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Tar bort ett certifikat från arkivet. Mer information finns i parametern -store i den här artikeln.

certutil [options] -delstore CertificateStoreName certID

Var:

• CertificateStoreName är certifikatarkivets namn.
• CertId är certifikat- eller CRL-matchningstoken.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifierar ett certifikat i arkivet. Mer information finns i parametern -store i den här artikeln.

certutil [options] -verifystore CertificateStoreName [CertId]

Var:

• CertificateStoreName är certifikatarkivets namn.
• CertId är certifikat- eller CRL-matchningstoken.

Alternativ:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Reparerar en nyckelassociation eller uppdaterar certifikategenskaper eller nyckelsäkerhetsbeskrivningen. Mer information finns i parametern -store i den här artikeln.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Var:

• CertificateStoreName är certifikatarkivets namn.

• CertIdList är kommaavgränsad lista över certifikat- eller CRL-matchningstoken. Mer information finns i beskrivningen -store CertId i den här artikeln.

• PropertyInfFile är INF-filen som innehåller externa egenskaper, inklusive:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Dumpar certifikatarkivet. Mer information finns i parametern -store i den här artikeln.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Var:

• CertificateStoreName är certifikatarkivets namn. Till exempel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId är certifikat- eller CRL-matchningstoken. Detta kan vara en:

  • Serienummer
  • SHA-1-certifikat
  • HASH för CRL, CTL eller offentlig nyckel
  • Numeriskt certifikatindex (0, 1 och så vidare)
  • Numeriskt CRL-index (.0, .1 och så vidare)
  • Numeriskt CTL-index (.. 0, .. 1 och så vidare)
  • Offentlig nyckel
  • Objekt-ID för signatur eller tillägg
  • Certifikatämnets eget namn
  • E-postadress
  • UPN- eller DNS-namn
  • Namn på nyckelcontainer eller CSP-namn
  • Mallnamn eller ObjectId
  • Objekt-ID för EKU eller programprinciper
  • Crl-utfärdarens gemensamma namn.

Många av dessa kan resultera i flera matchningar.

• OutputFile är filen som används för att spara matchande certifikat.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Alternativet -user öppnar ett användararkiv i stället för ett datorarkiv.
• Alternativet -enterprise öppnar ett datorföretagsarkiv.
• Alternativet -service öppnar ett datortjänstarkiv.
• Alternativet -grouppolicy öppnar ett grupprinciparkiv för datorer.

Till exempel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Tar bort ett certifikat från arkivet.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Var:

• CertificateStoreName är certifikatarkivets namn. Till exempel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId är certifikat- eller CRL-matchningstoken. Detta kan vara en:

  • Serienummer
  • SHA-1-certifikat
  • HASH för CRL, CTL eller offentlig nyckel
  • Numeriskt certifikatindex (0, 1 och så vidare)
  • Numeriskt CRL-index (.0, .1 och så vidare)
  • Numeriskt CTL-index (.. 0, .. 1 och så vidare)
  • Offentlig nyckel
  • Objekt-ID för signatur eller tillägg
  • Certifikatämnets eget namn
  • E-postadress
  • UPN- eller DNS-namn
  • Namn på nyckelcontainer eller CSP-namn
  • Mallnamn eller ObjectId
  • Objekt-ID för EKU eller programprinciper
  • Crl-utfärdarens gemensamma namn.

Många av dessa kan resultera i flera matchningar.

• OutputFile är filen som används för att spara matchande certifikat.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Alternativet -user öppnar ett användararkiv i stället för ett datorarkiv.
• Alternativet -enterprise öppnar ett datorföretagsarkiv.
• Alternativet -service öppnar ett datortjänstarkiv.
• Alternativet -grouppolicy öppnar ett grupprinciparkiv för datorer.

Till exempel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Anropar certutil-gränssnittet.

certutil [options] -UI File [import]

-TPMInfo

Visar information om modulen Betrodd plattform.

certutil [options] -TPMInfo

Alternativ:

[-f] [-Silent] [-split]

-attestera

Anger att certifikatbegärandefilen ska intygas.

certutil [options] -attest RequestFile

Alternativ:

[-user] [-Silent] [-split]

-getcert

Väljer ett certifikat från ett markeringsgränssnitt.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Alternativ:

[-Silent] [-split]

-Ds

Visar unika namn för katalogtjänsten (DS).

certutil [options] -ds [CommonName]

Alternativ:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Tar bort DS-DN:er.

certutil [options] -dsDel [CommonName]

Alternativ:

[-user] [-split] [-dc DCName]

-dsPublish

Publicerar en lista över återkallade certifikat (CRL) till Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Var:

• CertFile är namnet på certifikatfilen som ska publiceras.
• NTAuthCA publicerar certifikatet till DS Enterprise-arkivet.
• RootCA- publicerar certifikatet till DS Trusted Root Store.
• SubCA- publicerar CA-certifikatet till DS CA-objektet.
• CrossCA- publicerar korscertifikatet till DS CA-objektet.
• KRA publicerar certifikatet till DS Key Recovery Agent-objektet.
• Användare publicerar certifikatet till objektet Användar-DS.
• Machine publicerar certifikatet till machine DS-objektet.
• CRLfile är namnet på den CRL-fil som ska publiceras.
• DSCDPContainer är DS CDP-containerns CN, vanligtvis CA-datornamnet.
• DSCDPCN är DS CDP-objektets CN baserat på det sanerade ca-kortnamnet och nyckelindexet.

Alternativ:

[-f] [-user] [-dc DCName]

• Använd -f för att skapa ett nytt DS-objekt.

-dsCert

Visar DS-certifikat.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Alternativ:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Visar DS CRL:er.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Alternativ:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Visar DS delta CRLs.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Alternativ:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Visar DS-mallattribut.

certutil [options] -dsTemplate [Template]

Alternativ:

[Silent] [-dc DCName]

-dsAddTemplate

Lägger till DS-mallar.

certutil [options] -dsAddTemplate TemplateInfFile

Alternativ:

[-dc DCName]

-ADTemplate

Visar Active Directory-mallar.

certutil [options] -ADTemplate [Template]

Alternativ:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Mall

Visar mallarna för certifikatregistreringsprinciper.

Alternativ:

certutil [options] -Template [Template]

Alternativ:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Visar certifikatutfärdare (CA) för en certifikatmall.

certutil [options] -TemplateCAs Template

Alternativ:

[-f] [-user] [-dc DCName]

-CATemplates

Visar mallar för certifikatutfärdare.

certutil [options] -CATemplates [Template]

Alternativ:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Anger de certifikatmallar som certifikatutfärdare kan utfärda.

certutil [options] -SetCATemplates [+ | -] TemplateList

Var:

• +-tecknet lägger till certifikatmallar i certifikatutfärdares tillgängliga malllista.
• --tecknet tar bort certifikatmallar från certifikatutfärdares tillgängliga malllista.

-SetCASites

Hanterar webbplatsnamn, inklusive inställning, verifiering och borttagning av platsnamn för certifikatutfärdare.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Var:

• SiteName- tillåts endast när du riktar in dig på en enda certifikatutfärdare.

Alternativ:

[-f] [-config Machine\CAName] [-dc DCName]

Anmärkningar

• Alternativet -config riktar sig till en enda certifikatutfärdare (standard är alla certifikatutfärdare).
• Alternativet -f kan användas för att åsidosätta verifieringsfel för den angivna SiteName- eller för att ta bort alla CA-webbplatsnamn.

Not

Mer information om hur du konfigurerar certifikatutfärdare för Ad DS-webbplatsmedvetenhet (Active Directory Domain Services) finns i AD DS-platsmedvetenhet för AD CS- och PKI-klienter.

-enrollmentServerURL

Visar, lägger till eller tar bort url:er för registreringsservern som är associerade med en CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Var:

• AuthenticationType anger någon av följande klientautentiseringsmetoder när du lägger till en URL:
  • Kerberos – Använd Kerberos SSL-autentiseringsuppgifter.
  • UserName – Använd ett namngivet konto för SSL-autentiseringsuppgifter.
  • ClientCertificate – Använd X.509 Certificate SSL-autentiseringsuppgifter.
  • Anonym – Använd anonyma SSL-autentiseringsuppgifter.
• ta bort tar bort den angivna URL:en som är associerad med certifikatet.
• Prioritet standardvärdet 1 om den inte anges när du lägger till en URL.
• Modifierare är en kommaavgränsad lista som innehåller en eller flera av följande:
  • AllowRenewalsOnly endast förnyelsebegäranden kan skickas till denna CA via den här URL:en.
  • AllowKeyBasedRenewal tillåter användning av ett certifikat som inte har något associerat konto i AD. Detta gäller endast för ClientCertificate och AllowRenewalsOnly läge.

Alternativ:

[-config Machine\CAName] [-dc DCName]

-ADCA

Visar Active Directory-certifikatutfärdare.

certutil [options] -ADCA [CAName]

Alternativ:

[-f] [-split] [-dc DCName]

-CA

Visar registreringsprincipen Certifikatutfärdare.

certutil [options] -CA [CAName | TemplateName]

Alternativ:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Politik

Visar registreringsprincipen.

certutil [options] -Policy

Alternativ:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Visar eller tar bort poster för registreringsprincipcache.

certutil [options] -PolicyCache [delete]

Var:

• ta bort tar bort principserverns cacheposter.
• -f tar bort alla cacheposter

Alternativ:

[-f] [-user] [-policyserver URLorID]

-CredStore

Visar, lägger till eller tar bort arkivposter för autentiseringsuppgifter.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Var:

• URL- är mål-URL:en. Du kan också använda * för att matcha alla poster eller https://machine* för att matcha ett URL-prefix.
• lägga till lägger till en arkivpost för autentiseringsuppgifter. Om du använder det här alternativet måste du också använda SSL-autentiseringsuppgifter.
• ta bort tar bort arkivposter för autentiseringsuppgifter.
• -f skriver över en enskild post eller tar bort flera poster.

Alternativ:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installerar standardcertifikatmallarna.

certutil [options] -InstallDefaultTemplates

Alternativ:

[-dc DCName]

-URL

Verifierar certifikat- eller CRL-URL:er.

certutil [options] -URL InFile | URL

Alternativ:

[-f] [-split]

-URLCache

Visar eller tar bort URL-cacheposter.

certutil [options] -URLcache [URL | CRL | * [delete]]

Var:

• URL- är den cachelagrade URL:en.
• CRL- körs endast på alla cachelagrade CRL-URL:er.
• * fungerar på alla cachelagrade URL:er.
• ta bort tar bort relevanta URL:er från den aktuella användarens lokala cacheminne.
• -f tvingar fram hämtning av en specifik URL och uppdatering av cacheminnet.

Alternativ:

[-f] [-split]

-puls

Pulserar en autoregistreringshändelse eller NGC-aktivitet.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Var:

• TaskName är den uppgift som ska utlösas.
  • Pregen är NGC Key pregen-uppgiften.
  • AIKEnroll är registreringsuppgiften för NGC AIK-certifikat. (Standardvärdet är händelsen för automatisk registrering).
• SRKThumbprint är tumavtrycket för lagringsrotnyckeln
• Modifierare:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Alternativ:

[-user]

-MachineInfo

Visar information om Active Directory-datorobjektet.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Visar information om domänkontrollanten. Standardvärdet visar DC-certifikat utan verifiering.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifierare:

  • Kontrollera
  • DeleteBad
  • DeleteAll

Alternativ:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Dricks

Möjligheten att ange en AD DS-domän (Active Directory Domain Services) [Domän] och att ange en domänkontrollant (-dc) lades till i Windows Server 2012. Om du vill köra kommandot måste du använda ett konto som är medlem i domänadministratörer eller Företagsadministratörer. Beteendeändringarna för det här kommandot är följande:

• Om en domän inte har angetts och en specifik domänkontrollant inte har angetts returnerar det här alternativet en lista över domänkontrollanter som ska bearbetas från standarddomänkontrollanten.
• Om en domän inte har angetts, men en domänkontrollant har angetts, genereras en rapport över certifikaten på den angivna domänkontrollanten.
• Om en domän har angetts, men en domänkontrollant inte har angetts, genereras en lista över domänkontrollanter tillsammans med rapporter om certifikaten för varje domänkontrollant i listan.
• Om domän- och domänkontrollanten anges genereras en lista över domänkontrollanter från den riktade domänkontrollanten. En rapport över certifikaten för varje domänkontrollant i listan genereras också.

Anta till exempel att det finns en domän med namnet CPANDL med en domänkontrollant med namnet CPANDL-DC1. Du kan köra följande kommando för att hämta en lista över domänkontrollanter och deras certifikat från CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Visar information om en företagscertifikatutfärdare.

certutil [options] -EntInfo DomainName\MachineName$

Alternativ:

[-f] [-user]

-TCAInfo

Visar information om certifikatutfärdare.

certutil [options] -TCAInfo [DomainDN | -]

Alternativ:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Visar information om smartkortet.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Var:

• CRYPT_DELETEKEYSET tar bort alla nycklar på smartkortet.

Alternativ:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Hanterar rotcertifikat för smartkort.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Alternativ:

[-f] [-split] [-p Password]

-nyckel

Visar en lista över de nycklar som lagras i en nyckelcontainer.

certutil [options] -key [KeyContainerName | -]

Var:

• KeyContainerName är det nyckelcontainernamn som nyckeln ska verifieras. Det här alternativet är som standard datornycklar. Om du vill växla till användarnycklar använder du -user.
• Med hjälp av --tecknet refererar du till att använda standardnyckelcontainern.

Alternativ:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Tar bort den namngivna nyckelcontainern.

certutil [options] -delkey KeyContainerName

Alternativ:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Tar bort Windows Hello-containern och tar bort alla associerade autentiseringsuppgifter som lagras på enheten, inklusive alla WebAuthn- och FIDO-autentiseringsuppgifter.

Användarna måste logga ut när de har använt det här alternativet för att det ska slutföras.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifierar en offentlig eller privat nyckeluppsättning.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Var:

• KeyContainerName är det nyckelcontainernamn som nyckeln ska verifieras. Det här alternativet är som standard datornycklar. Om du vill växla till användarnycklar använder du -user.
• CACertFile signerar eller krypterar certifikatfiler.

Alternativ:

[-f] [-user] [-Silent] [-config Machine\CAName]

Anmärkningar

• Om inga argument anges verifieras varje signeringscertifikatutfärdarcertifikat mot dess privata nyckel.
• Den här åtgärden kan bara utföras mot en lokal certifikatant eller lokala nycklar.

-kontrollera

Verifierar ett certifikat, en lista över återkallade certifikat (CRL) eller en certifikatkedja.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Var:

• CertFile är namnet på certifikatet som ska verifieras.
• ApplicationPolicyList är den valfria kommaavgränsade listan över nödvändiga Application Policy ObjectIds.
• IssuancePolicyList är den valfria kommaavgränsade listan över nödvändiga ObjectIds för utfärdandeprincip.
• CACertFile är det valfria certifikatutfärdarcertifikatet som du kan verifiera mot.
• CrossedCACertFile är det valfria certifikatet som korscertifierats av CertFile.
• CRLFile är den CRL-fil som används för att verifiera CACertFile-.
• IssuedCertFile är det valfria utfärdade certifikatet som omfattas av CRLfile.
• DeltaCRLFile är den valfria delta CRL-filen.
• Modifierare:
  • Stark – Stark signaturverifiering
  • MSRoot – Måste länkas till en Microsoft-rot
  • MSTestRoot – Måste länkas till en Microsoft-testrot
  • AppRoot – Måste länkas till en Microsoft-programrot
  • EV – Framtvinga utökad valideringsprincip

Alternativ:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Anmärkningar

• Med hjälp av ApplicationPolicyList begränsar kedjebyggande till endast kedjor som är giltiga för de angivna programprinciperna.
• Om du använder IssuancePolicyList begränsar kedjebyggandet till endast kedjor som är giltiga för de angivna utfärdandeprinciperna.
• Med hjälp av CACertFile verifierar fälten i filen mot CertFile eller CRLfile.
• Om CACertFile inte anges skapas och verifieras hela kedjan mot CertFile.
• Om CACertFile och CrossedCACertFile anges verifieras fälten i båda filerna mot CertFile.
• Med hjälp av IssuedCertFile verifierar fälten i filen mot CRLfile.
• Med hjälp av DeltaCRLFile verifierar fälten i filen mot CertFile.

-verifyCTL

Verifierar CTL för AuthRoot- eller Otillåtna certifikat.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Var:

• CTLObject- identifierar den ctl som ska verifieras, inklusive:

  • AuthRootWU läser AuthRoot CAB och matchande certifikat från URL-cachen. Använd -f för att ladda ned från Windows Update i stället.
  • OtillåtnaWU- läser CAB:en för otillåtna certifikat och otillåtna certifikatarkivfiler från URL-cachen. Använd -f för att ladda ned från Windows Update i stället.
    • PinRulesWU läser PinRules CAB från URL-cachen. Använd -f för att ladda ned från Windows Update i stället.
  • AuthRoot läser registercachelagrade AuthRoot CTL. Använd med -f och en ej betrodd CertFile- för att tvinga registret som cachelagrats AuthRoot och otillåtna certifikat-CTL:er att uppdateras.
  • Tillåts inte läser ctl:en för registercachelagrade otillåtna certifikat. Använd med -f och en ej betrodd CertFile- för att tvinga registret som cachelagrats AuthRoot och otillåtna certifikat-CTL:er att uppdateras.
    • PinRules läser registrets cachelagrade PinRules CTL. Att använda -f har samma beteende som med PinRulesWU.
  • CTLFileName anger filen eller http-sökvägen till CTL- eller CAB-filen.

• CertDir anger mappen som innehåller certifikat som matchar CTL-posterna. Standardvärdet är samma mapp eller webbplats som CTLobject. Om du använder en http-mappsökväg krävs en sökvägsavgränsare i slutet. Om du inte anger AuthRoot eller Otillåtensöks flera platser efter matchande certifikat, inklusive lokala certifikatarkiv, crypt32.dll resurser och den lokala URL-cachen. Använd -f för att ladda ned från Windows Update efter behov.

• CertFile anger vilka certifikat som ska verifieras. Certifikat matchas mot CTL-poster och visar resultatet. Det här alternativet utelämnar de flesta standardutdata.

Alternativ:

[-f] [-user] [-split]

-syncWithWU

Synkroniserar certifikat med Windows Update.

certutil [options] -syncWithWU DestinationDir

Var:

• DestinationDir är den angivna katalogen.
• f tvingar fram en överskrivning.
• Unicode skriver omdirigerade utdata i Unicode.
• gmt visar tider som GMT.
• sekunder visar tider med sekunder och millisekunder.
• v är en utförlig åtgärd.
• PIN-kod är PIN-koden för smartkort.
• WELL_KNOWN_SID_TYPE är ett numeriskt SID:
  • 22 – Lokalt system
  • 23 – Lokal tjänst
  • 24 – Nätverkstjänst

Anmärkningar

Följande filer laddas ned med hjälp av mekanismen för automatisk uppdatering:

• authrootstl.cab innehåller CTL:er för rotcertifikat som inte kommer från Microsoft.
• disallowedcertstl.cab innehåller CTL:er för ej betrodda certifikat.
• otillåtnacert.sst- innehåller det serialiserade certifikatarkivet, inklusive de ej betrodda certifikaten.
• thumbprint.crt innehåller rotcertifikat som inte kommer från Microsoft.

Till exempel certutil -syncWithWU \\server1\PKI\CTLs.

• Om du använder en obefintlig lokal sökväg eller mapp som målmapp visas felet: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Om du använder en obefintlig eller otillgänglig nätverksplats som målmapp visas felet: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Om servern inte kan ansluta via TCP-port 80 till Microsofts automatiska uppdateringsservrar får du följande fel: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Om servern inte kan nå Microsofts automatiska uppdateringsservrar med DNS-namnet ctldl.windowsupdate.comfår du följande fel: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Om du inte använder växeln -f och någon av CTL-filerna redan finns i katalogen visas ett fel: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Om det sker en ändring i de betrodda rotcertifikaten ser du: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Alternativ:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genererar en lagringsfil som synkroniseras med Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Var:

• SSTFile är den .sst fil som ska genereras som innehåller rötter från tredje part som hämtats från Windows Update.

Alternativ:

[-f] [-split]

-generatePinRulesCTL

Genererar en CTL-fil (Certificate Trust List) som innehåller en lista över pinningsregler.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Var:

• XMLFile är xml-indatafilen som ska parsas.
• CTLFile är utdata-CTL-filen som ska genereras.
• SSTFile är den valfria .sst fil som ska skapas som innehåller alla certifikat som används för att fästa.
• QueryFilesPrefix är valfria Domains.csv och Keys.csv filer som ska skapas för databasfråga.
  • QueryFilesPrefix-strängen läggs till i varje skapad fil.
  • Filen Domains.csv innehåller regelnamn, domänrader.
  • Filen Keys.csv innehåller regelnamn, nyckel-SHA256 tumavtrycksrader.

Alternativ:

[-f]

-downloadOcsp

Laddar ned OCSP-svar och skrivningar till katalogen.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Var:

• CertificateDir är katalogen för ett certifikat, arkiv och PFX-filer.
• OcspDir är katalogen för att skriva OCSP-svar.
• ThreadCount är det valfria maximala antalet trådar för samtidig nedladdning. Standardvärdet är 10.
• modifierare är kommaavgränsade listor över ett eller flera av följande:
  • DownloadOnce – Nedladdningar en gång och avslutas.
  • ReadOcsp – Läsningar från OcspDir i stället för att skriva.

-generateHpkpHeader

Genererar HPKP-huvudet med hjälp av certifikat i en angiven fil eller katalog.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Var:

• CertFileOrDir är filen eller katalogen med certifikat, som är källan till pin-sha256.
• MaxAge är maxåldersvärdet i sekunder.
• ReportUri är den valfria report-uri.
• modifierare är kommaavgränsade listor över ett eller flera av följande:
  • includeSubDomains – Lägger till includeSubDomains.

-flushCache

Tömer de angivna cacheminnena i den valda processen, till exempel lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Var:

• ProcessId är det numeriska ID:t för en process som ska tömmas. Ange till 0 för att tömma alla processer där tömning är aktiverat.

• CacheMask är bitmasken för cacheminnen som ska tömmas antingen numeriskt eller följande bitar:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• modifierare är kommaavgränsade listor över ett eller flera av följande:

  • Visa – Visar cacheminnena som töms. Certutil måste uttryckligen avslutas.

-addEccCurve

Lägger till en ECC-kurva.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Var:

• CurveClass är klasstypen ECC Curve:

  • WEIERSTRASS (standard)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName är NAMNET på ECC-kurvan.

• CurveParameters är något av följande:

  • Ett certifikatfilnamn som innehåller ASN-kodade parametrar.
  • En fil som innehåller ASN-kodade parametrar.

• CurveOID är ECC Curve OID och är något av följande:

  • Ett certifikatfilnamn som innehåller en ASN-kodad OID.
  • En explicit ECC Curve OID.

• CurveType är Schannel ECC NamedCurve-punkten (numerisk).

Alternativ:

[-f]

-deleteEccCurve

Tar bort ECC-kurvan.

certutil [options] -deleteEccCurve CurveName | CurveOID

Var:

• CurveName är NAMNET på ECC-kurvan.
• CurveOID är ECC Curve OID.

Alternativ:

[-f]

-displayEccCurve

Visar ECC-kurvan.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Var:

• CurveName är NAMNET på ECC-kurvan.
• CurveOID är ECC Curve OID.

Alternativ:

[-f]

-csplist

Visar en lista över kryptografiska tjänstprovidrar (CSP:er) som är installerade på den här datorn för kryptografiska åtgärder.

certutil [options] -csplist [Algorithm]

Alternativ:

[-user] [-Silent] [-csp Provider]

-csptest

Testar de CSP:er som är installerade på den här datorn.

certutil [options] -csptest [Algorithm]

Alternativ:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Visar CNG-kryptografisk konfiguration på den här datorn.

certutil [options] -CNGConfig

Alternativ:

[-Silent]

-tecken

Signerar om en lista över återkallade certifikat (CRL) eller certifikat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Var:

• InFileList är kommaavgränsad lista över certifikat- eller CRL-filer som ska ändras och signeras igen.

• SerialNumber är serienumret för certifikatet som ska skapas. Giltighetsperioden och andra alternativ kan inte finnas.

• CRL skapar en tom CRL. Giltighetsperioden och andra alternativ kan inte finnas.

• OutFileList är kommaavgränsad lista över ändrade certifikat- eller CRL-utdatafiler. Antalet filer måste matcha infilelist.

• StartDate+dd:hh är den nya giltighetsperioden för certifikat- eller CRL-filerna, inklusive:

  • valfritt datum plus
  • valfri giltighetsperiod för dagar och timmar Om flera fält används använder du en (+) eller (-) avgränsare. Använd now[+dd:hh] för att starta vid den aktuella tidpunkten. Använd now-dd:hh+dd:hh för att starta vid en fast förskjutning från den aktuella tiden och en fast giltighetsperiod. Använd never för att inte ha något förfallodatum (endast för CRL:er).

• SerialNumberList är kommaavgränsad serienummerlista för de filer som ska läggas till eller tas bort.

• ObjectIdList är den kommaavgränsade tilläggslistan ObjectId för de filer som ska tas bort.

• @ExtensionFile är INF-filen som innehåller tilläggen som ska uppdateras eller tas bort. Till exempel:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm är namnet på hash-algoritmen. Det får bara vara texten som föregås av #-tecknet.

• AlternateSignatureAlgorithm är den alternativa signaturalgoritmsspecificeraren.

Alternativ:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Anmärkningar

• Med minustecknet (-) tar du bort serienummer och tillägg.
• Med plustecknet (+) läggs serienummer till i en CRL.
• Du kan använda en lista för att ta bort både serienummer och ObjectIds från en CRL på samma gång.
• Med minustecknet före AlternateSignatureAlgorithm kan du använda det äldre signaturformatet.
• Med plustecknet kan du använda det alternativa signaturformatet.
• Om du inte anger AlternateSignatureAlgorithmanvänds signaturformatet i certifikatet eller CRL.

-vroot

Skapar eller tar bort virtuella webbrötter och filresurser.

certutil [options] -vroot [delete]

-vocsproot

Skapar eller tar bort virtuella webbrötter för en OCSP-webbproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Lägger till ett registreringsserverprogram och en programpool om det behövs för den angivna certifikatutfärdare. Det här kommandot installerar inte binärfiler eller paket.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Var:

• addEnrollmentServer kräver att du använder en autentiseringsmetod för klientanslutningen till certifikatregistreringsservern, inklusive:

  • Kerberos använder Kerberos SSL-autentiseringsuppgifter.
  • UserName använder namngivet konto för SSL-autentiseringsuppgifter.
  • ClientCertificate använder X.509-certifikat-SSL-autentiseringsuppgifter.

• Modifierare:

  • AllowRenewalsOnly tillåter endast begäranden om förnyelse till certifikatutfärdare via URL:en.
  • AllowKeyBasedRenewal tillåter användning av ett certifikat utan associerat konto i Active Directory. Detta gäller när det används med ClientCertificate och AllowRenewalsOnly läge.

Alternativ:

[-config Machine\CAName]

-deleteEnrollmentServer

Tar bort ett program och en programpool för registreringsservern om det behövs för den angivna certifikatutfärdare. Det här kommandot installerar inte binärfiler eller paket.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Var:

• deleteEnrollmentServer kräver att du använder en autentiseringsmetod för klientanslutningen till certifikatregistreringsservern, inklusive:
  • Kerberos använder Kerberos SSL-autentiseringsuppgifter.
  • UserName använder namngivet konto för SSL-autentiseringsuppgifter.
  • ClientCertificate använder X.509-certifikat-SSL-autentiseringsuppgifter.

Alternativ:

[-config Machine\CAName]

-addPolicyServer

Lägg till ett principserverprogram och en programpool om det behövs. Det här kommandot installerar inte binärfiler eller paket.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Var:

• addPolicyServer kräver att du använder en autentiseringsmetod för klientanslutningen till certifikatprincipservern, inklusive:
  • Kerberos använder Kerberos SSL-autentiseringsuppgifter.
  • UserName använder namngivet konto för SSL-autentiseringsuppgifter.
  • ClientCertificate använder X.509-certifikat-SSL-autentiseringsuppgifter.
• KeyBasedRenewal tillåter användning av principer som returneras till klienten som innehåller keybasedrenewal-mallar. Det här alternativet gäller endast för UserName- och ClientCertificate-autentisering.

-deletePolicyServer

Tar bort ett principserverprogram och en programpool om det behövs. Det här kommandot tar inte bort binärfiler eller paket.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Var:

• deletePolicyServer kräver att du använder en autentiseringsmetod för klientanslutningen till certifikatprincipservern, inklusive:
  • Kerberos använder Kerberos SSL-autentiseringsuppgifter.
  • UserName använder namngivet konto för SSL-autentiseringsuppgifter.
  • ClientCertificate använder X.509-certifikat-SSL-autentiseringsuppgifter.
• KeyBasedRenewal tillåter användning av en KeyBasedRenewal-principserver.

-Klass

Visar COM-registerinformation.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Alternativ:

[-f]

-7f

Kontrollerar om certifikatet innehåller 0x7f längdkodningar.

certutil [options] -7f CertFile

-Oid

Visar objektidentifieraren eller anger ett visningsnamn.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Var:

• ObjectId är det ID som ska visas eller läggas till i visningsnamnet.
• GroupId är det GroupID-tal (decimal) som ObjectIds räknar upp.
• AlgId är det hexadecimala ID som objectID söker upp.
• AlgorithmName är algoritmnamnet som objectID letar upp.
• DisplayName visar namnet som ska lagras i DS.
• Ta bort tar bort visningsnamnet.
• LanguageId är språk-ID-värdet (standardvärdet är aktuellt: 1033).
• Typ är den typ av DS-objekt som ska skapas, inklusive:
  • 1 – mall (standard)
  • 2 – Utfärdandeprincip
  • 3 – Programprincip
• -f skapar ett DS-objekt.

Alternativ:

[-f]

-fel

Visar meddelandetexten som är associerad med en felkod.

certutil [options] -error ErrorCode

-getsmtpinfo

Hämtar SMTP-information (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Anger SMTP-information.

certutil [options] -setsmtpinfo LogonName

Alternativ:

[-config Machine\CAName] [-p Password]

-getreg

Visar ett registervärde.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Var:

• ca använder en certifikatutfärdares registernyckel.
• återställer använder certifikatutfärdares återställningsregisternyckel.
• princip använder principmodulens registernyckel.
• avsluta använder den första avslutsmodulens registernyckel.
• mall använder mallregisternyckeln (använd -user för användarmallar).
• registrera använder registreringsregisternyckeln (använd -user för användarkontext).
• kedja använder registernyckeln för kedjekonfiguration.
• PolicyServers använder registernyckeln principservrar.
• ProgId använder principen eller avsluta modulens ProgID (registerundernyckelnamn).
• RegistryValueName använder registervärdenamnet (använd Name* för att prefixmatcha).
• värde använder det nya numeriska, sträng- eller datumregistervärdet eller filnamnet. Om ett numeriskt värde börjar med + eller -anges eller avmarkeras de bitar som anges i det nya värdet i det befintliga registervärdet.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Anmärkningar

• Om ett strängvärde börjar med + eller -och det befintliga värdet är ett REG_MULTI_SZ värde läggs strängen till eller tas bort från det befintliga registervärdet. Om du vill tvinga fram skapandet av ett REG_MULTI_SZ värde lägger du till \n i slutet av strängvärdet.
• Om värdet börjar med \@är resten av värdet namnet på filen som innehåller den hexadecimala textrepresentationen av ett binärt värde.
• Om den inte refererar till en giltig fil parsas den i stället som [Date][+|-][dd:hh] vilket är ett valfritt datum plus eller minus valfria dagar och timmar.
• Om båda anges använder du ett plustecken (+) eller minustecken (-). Använd now+dd:hh för ett datum i förhållande till den aktuella tiden.
• Använd i64 som suffix för att skapa ett REG_QWORD värde.
• Använd chain\chaincacheresyncfiletime @now för att effektivt rensa cachelagrade CRL:er.
• Registeralias:
  • Konfiguration
  • CA
  • Princip – PolicyModuler
  • Avsluta – ExitModules
  • Återställ – RestoreInProgress
  • Mall – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrera – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Kedja – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • NGC – System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Anger ett registervärde.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Var:

• ca använder en certifikatutfärdares registernyckel.
• återställer använder certifikatutfärdares återställningsregisternyckel.
• princip använder principmodulens registernyckel.
• avsluta använder den första avslutsmodulens registernyckel.
• mall använder mallregisternyckeln (använd -user för användarmallar).
• registrera använder registreringsregisternyckeln (använd -user för användarkontext).
• kedja använder registernyckeln för kedjekonfiguration.
• PolicyServers använder registernyckeln principservrar.
• ProgId använder principen eller avsluta modulens ProgID (registerundernyckelnamn).
• RegistryValueName använder registervärdenamnet (använd Name* för att prefixmatcha).
• Value använder det nya numeriska, sträng- eller datumregistervärdet eller filnamnet. Om ett numeriskt värde börjar med + eller -anges eller avmarkeras de bitar som anges i det nya värdet i det befintliga registervärdet.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Anmärkningar

• Om ett strängvärde börjar med + eller -och det befintliga värdet är ett REG_MULTI_SZ värde läggs strängen till eller tas bort från det befintliga registervärdet. Om du vill tvinga fram skapandet av ett REG_MULTI_SZ värde lägger du till \n i slutet av strängvärdet.
• Om värdet börjar med \@är resten av värdet namnet på filen som innehåller den hexadecimala textrepresentationen av ett binärt värde.
• Om den inte refererar till en giltig fil parsas den i stället som [Date][+|-][dd:hh] vilket är ett valfritt datum plus eller minus valfria dagar och timmar.
• Om båda anges använder du ett plustecken (+) eller minustecken (-). Använd now+dd:hh för ett datum i förhållande till den aktuella tiden.
• Använd i64 som suffix för att skapa ett REG_QWORD värde.
• Använd chain\chaincacheresyncfiletime @now för att effektivt rensa cachelagrade CRL:er.

-delreg

Tar bort ett registervärde.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Var:

• ca använder en certifikatutfärdares registernyckel.
• återställer använder certifikatutfärdares återställningsregisternyckel.
• princip använder principmodulens registernyckel.
• avsluta använder den första avslutsmodulens registernyckel.
• mall använder mallregisternyckeln (använd -user för användarmallar).
• registrera använder registreringsregisternyckeln (använd -user för användarkontext).
• kedja använder registernyckeln för kedjekonfiguration.
• PolicyServers använder registernyckeln principservrar.
• ProgId använder principen eller avsluta modulens ProgID (registerundernyckelnamn).
• RegistryValueName använder registervärdenamnet (använd Name* för att prefixmatcha).
• Value använder det nya numeriska, sträng- eller datumregistervärdet eller filnamnet. Om ett numeriskt värde börjar med + eller -anges eller avmarkeras de bitar som anges i det nya värdet i det befintliga registervärdet.

Alternativ:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Anmärkningar

• Om ett strängvärde börjar med + eller -och det befintliga värdet är ett REG_MULTI_SZ värde läggs strängen till eller tas bort från det befintliga registervärdet. Om du vill tvinga fram skapandet av ett REG_MULTI_SZ värde lägger du till \n i slutet av strängvärdet.
• Om värdet börjar med \@är resten av värdet namnet på filen som innehåller den hexadecimala textrepresentationen av ett binärt värde.
• Om den inte refererar till en giltig fil parsas den i stället som [Date][+|-][dd:hh] vilket är ett valfritt datum plus eller minus valfria dagar och timmar.
• Om båda anges använder du ett plustecken (+) eller minustecken (-). Använd now+dd:hh för ett datum i förhållande till den aktuella tiden.
• Använd i64 som suffix för att skapa ett REG_QWORD värde.
• Använd chain\chaincacheresyncfiletime @now för att effektivt rensa cachelagrade CRL:er.
• Registeralias:
  • Konfiguration
  • CA
  • Princip – PolicyModuler
  • Avsluta – ExitModules
  • Återställ – RestoreInProgress
  • Mall – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrera – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Kedja – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • NGC – System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importerar användarnycklar och certifikat till serverdatabasen för nyckelarkivering.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Var:

• UserKeyAndCertFile är en datafil med privata användarnycklar och certifikat som ska arkiveras. Den här filen kan vara:
  • En exportfil för Exchange Key Management Server (KMS).
  • En PFX-fil.
• CertId är en KMS-exportfilmatchningstoken för dekrypteringscertifikat. Mer information finns i parametern -store i den här artikeln.
• -f importerar certifikat som inte utfärdats av certifikatutfärdare.

Alternativ:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importerar en certifikatfil till databasen.

certutil [options] -ImportCert Certfile [ExistingRow]

Var:

• ExistingRow importerar certifikatet i stället för en väntande begäran om samma nyckel.
• -f importerar certifikat som inte utfärdats av certifikatutfärdare.

Alternativ:

[-f] [-config Machine\CAName]

Anmärkningar

Certifikatutfärdare kan också behöva konfigureras för att stödja externa certifikat genom att köra certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Hämtar en arkiverad återställningsblob för privat nyckel, genererar ett återställningsskript eller återställer arkiverade nycklar.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Var:

• skript genererar ett skript för att hämta och återställa nycklar (standardbeteende om flera matchande återställningskandidater hittas eller om utdatafilen inte har angetts).
• hämta hämtar en eller flera Nyckelåterställningsblobar (standardbeteende om exakt en matchande återställningskandidat hittas och om utdatafilen har angetts). Med det här alternativet trunkerar alla tillägg och lägger till den certifikatspecifika strängen och .rec-tillägget för varje nyckelåterställningsblob. Varje fil innehåller en certifikatkedja och en associerad privat nyckel, fortfarande krypterad till ett eller flera Key Recovery Agent-certifikat.
• återställa hämtar och återställer privata nycklar i ett steg (kräver Key Recovery Agent-certifikat och privata nycklar). Med det här alternativet trunkerar alla tillägg och lägger till .p12-tillägget. Varje fil innehåller de återställda certifikatkedjorna och associerade privata nycklar som lagras som en PFX-fil.
• SearchToken väljer de nycklar och certifikat som ska återställas, inklusive:
  • Eget namn på certifikat
  • Certifikatserienummer
  • Sha-1-hashcertifikat (tumavtryck)
  • Certifikat KeyId SHA-1 hash (ämnesnyckelidentifierare)
  • Begärandenamn (domän\användare)
  • UPN (user@domain)
• RecoveryBlobOutFile matar ut en fil med en certifikatkedja och en associerad privat nyckel, fortfarande krypterad till ett eller flera Key Recovery Agent-certifikat.
• OutputScriptFile matar ut en fil med ett batchskript för att hämta och återställa privata nycklar.
• OutputFileBaseName matar ut ett filbasnamn.

Alternativ:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Anmärkningar

• För hämtatrunkeras alla tillägg och en certifikatspecifik sträng och .rec tillägg läggs till för varje nyckelåterställningsblob. Varje fil innehåller en certifikatkedja och en associerad privat nyckel, fortfarande krypterad till ett eller flera Key Recovery Agent-certifikat.
• För återställatrunkeras alla tillägg och tillägget .p12 läggs till. Innehåller de återställda certifikatkedjorna och associerade privata nycklar som lagras som en PFX-fil.

-RecoverKey

Återställer en arkiverad privat nyckel.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Alternativ:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Sammanfogar PFX-filer.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Var:

• PFXInFileList är en kommaavgränsad lista över PFX-indatafiler.
• PFXOutFile är namnet på PFX-utdatafilen.
• modifierare är kommaavgränsade listor med en eller flera av följande:
  • ExtendedProperties innehåller utökade egenskaper.
  • NoEncryptCert anger att certifikaten inte ska krypteras.
  • EncryptCert anger att certifikaten ska krypteras.

Alternativ:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Anmärkningar

• Lösenordet som anges på kommandoraden måste vara en kommaavgränsad lösenordslista.
• Om mer än ett lösenord anges används det sista lösenordet för utdatafilen. Om endast ett lösenord anges eller om det sista lösenordet är *uppmanas användaren att ange lösenordet för utdatafilen.

-add-chain

Lägger till en certifikatkedja.

certutil [options] -add-chain LogId certificate OutFile

Alternativ:

[-f]

-add-pre-chain

Lägger till en förcertifikatkedja.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Alternativ:

[-f]

-get-sth

Hämtar ett signerat trädhuvud.

certutil [options] -get-sth [LogId]

Alternativ:

[-f]

-get-sth-consistency

Hämtar signerade trädhuvudändringar.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Alternativ:

[-f]

-get-proof-by-hash

Hämtar bevis på en hash från en tidsstämpelserver.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Alternativ:

[-f]

-get-entries

Hämtar poster från en händelselogg.

certutil [options] -get-entries LogId FirstIndex LastIndex

Alternativ:

[-f]

-get-roots

Hämtar rotcertifikaten från certifikatarkivet.

certutil [options] -get-roots LogId

Alternativ:

[-f]

-get-entry-and-proof

Hämtar en händelseloggpost och dess kryptografiska bevis.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Alternativ:

[-f]

-VerifyCT

Verifierar ett certifikat mot loggen för certifikattransparens.

certutil [options] -VerifyCT Certificate SCT [precert]

Alternativ:

[-f]

-?

Visar listan över parametrar.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Var:

• -? visar listan över parametrar
• -<name_of_parameter>? visar hjälpinnehåll för den angivna parametern.
• -? -v visar en utförlig lista över parametrar och alternativ.

Alternativ

Det här avsnittet definierar alla alternativ som du kan ange baserat på kommandot. Varje parameter innehåller information om vilka alternativ som är giltiga för användning.

Alternativ	Beskrivning
-Admin	Använd ICertAdmin2 för CA-egenskaper.
-anonym	Använd anonyma SSL-autentiseringsuppgifter.
-cert CertId	Signeringscertifikat.
-clientcertificate clientCertId	Använd X.509 Certificate SSL-autentiseringsuppgifter. För markeringsgränssnittet använder du -clientcertificate.
-config Machine\CAName	Certifikatutfärdare och datornamnssträng.
-csp-provider	Familjeförsörjare: KSP – Microsoft Software Key Storage Provider TPM- – Microsoft Platform Crypto Provider NGC- – Microsoft Passport-nyckellagringsprovider SC – Microsoft Smart Card Key Storage Provider
-dc DCName	Rikta in dig på en specifik domänkontrollant.
-företag	Använd certifikatarkivet för företagsregister på den lokala datorn.
-f	Framtvinga överskrivning.
-generateSSTFromWU SSTFile	Generera SST med hjälp av mekanismen för automatisk uppdatering.
-Gmt	Visningstider med GMT.
-GroupPolicy	Använd certifikatarkivet för grupprincip.
-idispatch	Använd IDispatch i stället för COM-inbyggda metoder.
-kerberos	Använd Kerberos SSL-autentiseringsuppgifter.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Visa datormallar.
-nocr	Koda text utan CR-tecken.
-nocrlf	Koda text utan CR-LF tecken.
-nullsign	Använd hashen för data som en signatur.
-oldpfx	Använd gammal PFX-kryptering.
-out columnlist	Kommaavgränsad kolumnlista.
-p lösenord	Lösenord
-PIN-kod	PIN-kod för smartkort.
-policyserver URLorID	Principserver-URL eller ID. Om du vill välja U/I använder du -policyserver. Använd -policyserver * för alla principservrar
-privatekey	Visa lösenord och privata nyckeldata.
-skydda	Skydda nycklar med lösenord.
-protectto SAMnameandSIDlist	Kommaavgränsad SAM-namn/SID-lista.
-begränsa begränsningslista	Kommaavgränsad begränsningslista. Varje begränsning består av ett kolumnnamn, en relationsoperator och ett konstant heltal, en sträng eller ett datum. Ett kolumnnamn kan föregås av ett plus- eller minustecken som anger sorteringsordningen. Till exempel: requestID = 47, +requestername >= a, requesternameeller -requestername > DOMAIN, Disposition = 21.
-omvända	Kolumner för omvänd logg och kö.
-Sekunder	Visningstider med sekunder och millisekunder.
-tjänst	Använd tjänstcertifikatarkivet.
-Sid	Numeriskt SID: 22 – lokalt system 23 – lokal tjänst 24 – nätverkstjänst
-tyst	Använd flaggan silent för att hämta kryptkontext.
-klyva	Dela inbäddade ASN.1-element och spara i filer.
-sslpolicy servername	SSL-princip som matchar ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Namnet på den symmetriska nyckelalgoritmen med valfri nyckellängd. Till exempel: AES,128 eller 3DES.
-syncWithWU DestinationDir	Synkronisera med Windows Update.
-t timeout	Tidsgränsen för URL-hämtning i millisekunder.
-Unicode	Skriv omdirigerade utdata i Unicode.
-UnicodeText	Skriv utdatafil i Unicode.
-urlfetch	Hämta och verifiera AIA-certifikat och CDP-CRL:er.
-användare	Använd HKEY_CURRENT_USER nycklar eller certifikatarkivet.
-användarnamn användarnamn	Använd namngivet konto för SSL-autentiseringsuppgifter. För markeringsgränssnittet använder du -username.
-ut	Visa användarmallar.
-v	Ange mer detaljerad (utförlig) information.
-v1	Använd V1-gränssnitt.

Hash-algoritmer: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Relaterade länkar

Fler exempel på hur du använder det här kommandot finns i följande artiklar:

• Active Directory Certificate Services (AD CS)
• Certutil-uppgifter för att hantera certifikat
• Konfigurera betrodda rötter och otillåtna certifikat i Windows