certutil

發行項
01/15/2025
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

謹慎

不建議在任何生產程序代碼中使用 Certutil，也不會提供即時網站支援或應用程式相容性的任何保證。這是開發人員和IT系統管理員用來檢視裝置上憑證內容資訊的工具。

Certutil.exe 是安裝為憑證服務的一部分的命令行程式。您可以使用 certutil.exe 來顯示證書頒發機構單位（CA）組態資訊、設定憑證服務，以及備份和還原 CA 元件。此程式也會驗證憑證、金鑰組和憑證鏈結。

如果在沒有其他參數的證書頒發機構單位上執行 certutil，則會顯示目前的證書頒發機構單位設定。如果 certutil 是在沒有其他參數的非證書頒發機構單位上執行，則命令預設為執行 certutil -dump 命令。並非所有版本的 certutil 都提供本檔描述的所有參數和選項。您可以藉由執行 certutil -? 或 certutil <parameter> -?來查看 certutil 版本所提供的選項。

提示

若要查看所有 certutil 動詞和選項的完整說明，包括隱藏自 -? 自變數的指令，請執行 certutil -v -uSAGE。 uSAGE 參數會區分大小寫。

參數

-轉儲

傾印組態資訊或檔案。

certutil [options] [-dump]
certutil [options] [-dump] File

選項：

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

傾印 PFX 結構。

certutil [options] [-dumpPFX] File

選項：

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

使用抽象語法表示法（ASN.1）語法剖析和顯示檔案的內容。檔案類型包括。CER，。DER 和 PKCS #7 格式的檔案。

certutil [options] -asn File [type]

[type]：數值CRYPT_STRING_* 譯碼類型

-decodehex

譯碼十六進位編碼的檔案。

certutil [options] -decodehex InFile OutFile [type]

[type]：數值CRYPT_STRING_* 譯碼類型

選項：

[-f]

-encodehex

以十六進位編碼檔案。

certutil [options] -encodehex InFile OutFile [type]

[type]：數值CRYPT_STRING_* 編碼類型

選項：

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-解碼

譯碼Base64編碼的檔案。

certutil [options] -decode InFile OutFile

選項：

[-f]

-編碼

將檔案編碼為Base64。

certutil [options] -encode InFile OutFile

選項：

[-f] [-unicodetext]

-否認

拒絕擱置的要求。

certutil [options] -deny RequestId

選項：

[-config Machine\CAName]

-提交

重新提交擱置的要求。

certutil [options] -resubmit RequestId

選項：

[-config Machine\CAName]

-setattributes

設定擱置憑證要求的屬性。

certutil [options] -setattributes RequestId AttributeString

哪裡：

RequestId 是擱置要求的數位要求標識碼。
AttributeString 是要求屬性名稱和值組。

選項：

[-config Machine\CAName]

言論

名稱和值必須以冒號分隔，而多個名稱和值組必須以換行符分隔。例如：CertificateTemplate:User\nEMail:User@Domain.com 其中 \n 序列轉換成換行符。

-setextension

設定擱置憑證要求的延伸模組。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

哪裡：

requestID 是擱置要求的數位要求標識符。
ExtensionName 是擴充功能的 ObjectId 字串。
旗標設定延伸模組的優先順序。建議使用 0，而 1 將擴充功能設定為重大，2 會停用擴充功能，而且 3 兩者都會這麼做。

選項：

[-config Machine\CAName]

言論

如果最後一個參數是數值，則會將其視為long 。
如果最後一個參數可以剖析為日期，則會將其視為 Date。
如果最後一個參數以 \@開頭，則會使用二進位數據或 ascii 文字十六進位傾印作為檔名。
如果最後一個參數是任何其他參數，則會將其視為 String。

-撤回

撤銷憑證。

certutil [options] -revoke SerialNumber [Reason]

哪裡：

SerialNumber 是要撤銷的憑證序號逗號分隔清單。
Reason 是撤銷原因的數值或符號表示法，包括：
- 0。CRL_REASON_UNSPECIFIED - 未指定（預設值）
- 1.CRL_REASON_KEY_COMPROMISE - 金鑰洩露
- 2。CRL_REASON_CA_COMPROMISE - 證書頒發機構單位洩露
- 3.CRL_REASON_AFFILIATION_CHANGED - 已變更關聯性
- 4.CRL_REASON_SUPERSEDED - 已取代
- 5.CRL_REASON_CESSATION_OF_OPERATION - 停止作業
- 6.CRL_REASON_CERTIFICATE_HOLD - 憑證保留
- 8.CRL_REASON_REMOVE_FROM_CRL - 從 CRL 移除
- 9： CRL_REASON_PRIVILEGE_WITHDRAWN - 已撤銷許可權
- 10：CRL_REASON_AA_COMPROMISE - AA 入侵
- -1. Unrevoke - 取消復原

選項：

[-config Machine\CAName]

-isvalid

顯示目前憑證的處置。

certutil [options] -isvalid SerialNumber | CertHash

選項：

[-config Machine\CAName]

-getconfig

取得預設組態字串。

certutil [options] -getconfig

選項：

[-idispatch] [-config Machine\CAName]

-getconfig2

透過 ICertGetConfig 取得預設組態字串。

certutil [options] -getconfig2

選項：

[-idispatch]

-getconfig3

透過 ICertConfig 取得設定。

certutil [options] -getconfig3

選項：

[-idispatch]

-乒

嘗試連絡 Active Directory 憑證服務要求介面。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

哪裡：

CAMachineList 是 CA 機器名稱的逗號分隔清單。對於單一計算機，請使用終止逗號。這個選項也會顯示每個 CA 電腦的月臺成本。

選項：

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

嘗試連絡 Active Directory 憑證服務系統管理介面。

certutil [options] -pingadmin

選項：

[-config Machine\CAName]

-CAInfo

顯示證書頒發機構單位的相關信息。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

哪裡：

InfoName 會根據下列 infoname 自變數語法指出要顯示的 CA 屬性：
- * - 顯示所有屬性
- 廣告 - 進階伺服器
- aia [索引] - AIA URL
- cdp [Index] - CDP URL
- 憑證 [索引] - CA 憑證
- 憑證鏈 [索引] - CA 憑證鏈結
- certcount - CA 憑證計數
- certcrlchain [Index] - 具有 CRL 的 CA 憑證鏈結
- certstate [Index] - CA 憑證
- certstatuscode [索引] - CA 憑證驗證狀態
- certversion [Index] - CA 憑證版本
- CRL [索引] - 基底 CRL
- crlstate [Index] - CRL
- crlstatus [索引] - CRL 發佈狀態
- 交叉 - [索引] - 向後交叉憑證
- 交叉+ [索引] - 轉寄交叉憑證
- crossstate- [Index] - 回溯交叉憑證
- crossstate+ [Index] - 轉寄交叉憑證
- deltacrl [索引] - Delta CRL
- deltacrlstatus [索引] - Delta CRL 發佈狀態
- dns - DNS 名稱
- dsname - 清理 CA 簡短名稱（DS 名稱）
- 錯誤1 ErrorCode - 錯誤訊息正文
- error2 ErrorCode - 錯誤訊息正文和錯誤碼
- 結束 [索引] - 結束模組描述
- exitcount - 結束模組計數
- 檔案 - 檔案版本
- 資訊 - CA 資訊
- 克拉 [索引] - KRA 憑證
- 克拉count - KRA 憑證計數
- 克拉斯塔特 [索引] - KRA 憑證
- 克勞斯 - KRA 憑證使用的計數
- localename - CA 地區設定名稱
- 名稱 - CA 名稱
- ocsp [索引] - OCSP URL
- 父 - 父 CA
- 原則 - 原則模組描述
- 產品 - 產品版本
- propidmax - CA PropId 上限
- 角色 - 角色分離
- sanitizedname - Sanitized CA 名稱
- sharedfolder - 共享資料夾
- subjecttemplateoids - 主題範本 OID
- 範本 - 範本
- 類型 - CA 類型
- xchg [索引] - CA 交換憑證
- xchgchain [索引] - CA 交換憑證鏈結
- xchgcount - CA 交換憑證計數
- xchgcrlchain [索引] - CA 交換憑證鏈結與 CRL
索引是選擇性的以零起始的屬性索引。
錯誤碼 是數值錯誤碼。

選項：

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

顯示 CA 屬性類型資訊。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

選項：

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

擷取證書頒發機構單位的憑證。

certutil [options] -ca.cert OutCACertFile [Index]

哪裡：

OutCACertFile 是輸出檔案。
索引是 CA 憑證更新索引（預設為最新的）。

選項：

[-f] [-split] [-config Machine\CAName]

-ca.chain

擷取證書頒發機構單位的憑證鏈結。

certutil [options] -ca.chain OutCACertChainFile [Index]

哪裡：

OutCACertChainFile 是輸出檔。
索引是 CA 憑證更新索引（預設為最新的）。

選項：

[-f] [-split] [-config Machine\CAName]

-GetCRL

取得證書吊銷清單（CRL）。

certutil [options] -GetCRL OutFile [Index] [delta]

哪裡：

Index 是 CRL 索引或索引鍵索引（預設為最近索引鍵的 CRL）。
差異是差異 CRL（預設值為基底 CRL）。

選項：

[-f] [-split] [-config Machine\CAName]

-CRL

發佈新的證書吊銷清單（CRL）或差異 CRL。

certutil [options] -CRL [dd:hh | republish] [delta]

哪裡：

dd：hh 是天數和小時的新 CRL 有效期間。
重新發佈 重新發佈最新的 CRL。
差異只發佈差異 CRL（預設值為基底和差異 CRL）。

選項：

[-split] [-config Machine\CAName]

-關閉

關閉 Active Directory 憑證服務。

certutil [options] -shutdown

選項：

[-config Machine\CAName]

-installCert

安裝證書頒發機構單位憑證。

certutil [options] -installCert [CACertFile]

選項：

[-f] [-silent] [-config Machine\CAName]

-renewCert

更新證書頒發機構單位憑證。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

選項：

[-f] [-silent] [-config Machine\CAName]

使用 -f 忽略未完成的續約要求，併產生新的要求。

-圖式

傾印憑證的架構。

certutil [options] -schema [Ext | Attrib | CRL]

哪裡：

命令預設為 [要求] 和 [憑證] 數據表。
Ext 是擴充數據表。
屬性是屬性數據表。
CRL 是 CRL 數據表。

選項：

[-split] [-config Machine\CAName]

-視圖

傾印憑證檢視。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

哪裡：

佇列傾印特定要求佇列。
Log 傾印已核發或撤銷的憑證，以及任何失敗的要求。
LogFail 傾印失敗的要求。
Revoked 傾印已撤銷的憑證。
Ext 傾印延伸模組數據表。
Attrib 傾印屬性數據表。
CRL 傾印 CRL 數據表。
csv 會使用逗號分隔值來提供輸出。

選項：

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

言論

若要顯示所有專案的 StatusCode 數據行，請輸入 -out StatusCode
若要顯示最後一個專案的所有數據行，請輸入：-restrict RequestId==$
若要顯示三個要求的 RequestId 和 Disposition，請輸入： -restrict requestID>=37,requestID<40 -out requestID,disposition
若要顯示所有基底 CRL 的列標識碼 數據列標識碼 和 CRL 數位，請輸入： -restrict crlminbase=0 -out crlrowID,crlnumber crl
若要顯示基底 CRL 數位 3，請輸入：-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
若要顯示整個 CRL 資料表，請輸入：CRL
針對日期限制使用 Date[+|-dd:hh]。
針對相對於目前時間的日期使用 now+dd:hh。
範本包含擴充密鑰使用方式（EKU），這些是描述憑證使用方式的物件識別碼（OIDs）。憑證不一定會包含範本一般名稱或顯示名稱，但一律包含範本 EKU。您可以從 Active Directory 擷取特定證書範本的 EKU，然後根據該延伸模組限制檢視。

-分貝

傾印原始資料庫。

certutil [options] -db

選項：

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

從伺服器資料庫刪除數據列。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

哪裡：

要求會根據提交日期刪除失敗和擱置的要求。
憑證會根據到期日刪除過期和撤銷的憑證。
Ext 會刪除延伸模組數據表。
Attrib 會刪除屬性數據表。
CRL 會刪除 CRL 資料表。

選項：

[-f] [-config Machine\CAName]

例子

若要刪除在 2001 年 1 月 22 日之前提交的失敗和擱置要求，請輸入：1/22/2001 request
若要刪除 2001 年 1 月 22 日到期的所有憑證，請輸入：1/22/2001 cert
若要刪除 RequestID 37 的憑證數據列、屬性和延伸模組，請輸入：37
若要刪除 2001 年 1 月 22 日到期的 CRL，請輸入：1/22/2001 crl

注意

Date 預期格式為 mm/dd/yyyy，而不是 dd/mm/yyyy，例如 1/22/2001，而不是 2001 年 1 月 22 日 22/1/2001。如果您的伺服器未設定美國地區設定，則使用 Date 自變數可能會產生非預期的結果。

-備份

備份 Active Directory 憑證服務。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

哪裡：

BackupDirectory 是用來儲存備份數據的目錄。
增量只會執行增量備份（預設值為完整備份）。
KeepLog 會保留資料庫記錄檔（預設值為截斷記錄檔）。

選項：

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

備份 Active Directory 憑證服務資料庫。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

哪裡：

BackupDirectory 是用來儲存備份資料庫檔案的目錄。
增量只會執行增量備份（預設值為完整備份）。
KeepLog 會保留資料庫記錄檔（預設值為截斷記錄檔）。

選項：

[-f] [-config Machine\CAName]

-backupkey

備份 Active Directory 憑證服務憑證和私鑰。

certutil [options] -backupkey BackupDirectory

哪裡：

BackupDirectory 是用來儲存備份 PFX 檔案的目錄。

選項：

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-恢復

還原 Active Directory 憑證服務。

certutil [options] -restore BackupDirectory

哪裡：

BackupDirectory 是包含要還原之數據的目錄。

選項：

[-f] [-config Machine\CAName] [-p password]

-restoredb

還原 Active Directory 憑證服務資料庫。

certutil [options] -restoredb BackupDirectory

哪裡：

BackupDirectory 是包含要還原之資料庫檔案的目錄。

選項：

[-f] [-config Machine\CAName]

-restorekey

還原 Active Directory 憑證服務憑證和私鑰。

certutil [options] -restorekey BackupDirectory | PFXFile

哪裡：

BackupDirectory 是包含要還原之 PFX 檔案的目錄。
PFXFile 是要還原的 PFX 檔案。

選項：

[-f] [-config Machine\CAName] [-p password]

-exportPFX

匯出憑證和私鑰。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

哪裡：

CertificateStoreName 是證書存儲的名稱。
CertId 是憑證或 CRL 比對令牌。
PFXFile 是要導出的 PFX 檔案。
修飾詞 是逗號分隔清單，可包含下列一或多個內容：
- CryptoAlgorithm= 指定要用於加密 PFX 檔案的密碼編譯演算法，例如 TripleDES-Sha1 或 Aes256-Sha256。
- EncryptCert - 使用密碼加密與憑證相關聯的私鑰。
- 除了憑證和私鑰之外，ExportParameters -Exports 私鑰參數。
- ExtendedProperties - 在輸出檔案中包含與憑證相關聯的所有擴充屬性。
- NoEncryptCert - 匯出私鑰而不加密私鑰。
- NoChain - 不會匯入憑證鏈結。
- NoRoot - 不會匯入跟證書。

-importPFX

匯入憑證和私鑰。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

哪裡：

CertificateStoreName 是證書存儲的名稱。
PFXFile 是要匯入的 PFX 檔案。
修飾詞 是逗號分隔清單，可包含下列一或多個內容：
- AT_KEYEXCHANGE - 將 keyspec 變更為金鑰交換。
- AT_SIGNATURE - 將 keyspec 變更為簽章。
- ExportEncrypted - 匯出與密碼加密憑證相關聯的私鑰。
- FriendlyName= - 指定匯入憑證的易記名稱。
- KeyDescription= - 指定與匯入憑證相關聯的私鑰描述。
- KeyFriendlyName= - 指定與匯入憑證相關聯之私鑰的易記名稱。
- NoCert - 不會匯入憑證。
- NoChain - 不會匯入憑證鏈結。
- NoExport - 使私鑰不可匯出。
- NoProtect - 不會使用密碼來保護密鑰。
- NoRoot - 不會匯入跟證書。
- Pkcs8 - 針對 PFX 檔案中的私鑰使用 PKCS8 格式。
- 保護 - 使用密碼保護金鑰。
- ProtectHigh - 指定高安全性密碼必須與私鑰相關聯。
- VSM - 將與匯入憑證相關聯的私鑰儲存在虛擬智慧卡（VSC）容器中。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

言論

默認為個人計算機存放區。

-dynamicfilelist

顯示動態檔案清單。

certutil [options] -dynamicfilelist

選項：

[-config Machine\CAName]

-databaselocations

顯示資料庫位置。

certutil [options] -databaselocations

選項：

[-config Machine\CAName]

-hashfile

透過檔案產生並顯示密碼編譯哈希。

certutil [options] -hashfile InFile [HashAlgorithm]

-商店

傾印證書存儲。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

哪裡：

CertificateStoreName 是證書儲存名稱。例如：
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId 是憑證或 CRL 比對令牌。這個識別碼可以是：
- 序號
- SHA-1 憑證
- CRL、CTL 或公鑰哈希
- 數值憑證索引（0、1 等等）
- 數值 CRL 索引（.0、.1 等等）
- 數值 CTL 索引（..0, ..1 等等）
- 公鑰
- Signature 或 extension ObjectId
- 憑證主體一般名稱
- 電子郵件位址
- UPN 或 DNS 名稱
- 金鑰容器名稱或 CSP 名稱
- 範本名稱或 ObjectId
- EKU 或應用程式原則 ObjectId
- CRL 簽發者一般名稱。

其中許多標識碼可能會導致多個相符專案。

OutputFile 是用來儲存相符憑證的檔案。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

-user 選項會存取使用者存放區，而不是計算機存放區。
-enterprise 選項會存取計算機企業存放區。
-service 選項會存取計算機服務存放區。
-grouppolicy 選項會存取計算機組策略存放區。

例如：

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

注意

使用 -store 參數時，會觀察到效能問題，這兩個層面如下：

當存放區中的憑證數目超過 10 時。
指定 CertId 時，它會用來比對每個憑證的所有列出的類型。例如，如果提供序號，它也會嘗試比對所有其他列出的類型。

如果您擔心效能問題，建議使用PowerShell命令，其中只會符合指定的憑證類型。

-enumstore

列舉證書存儲。

certutil [options] -enumstore [\\MachineName]

哪裡：

MachineName 是遠端電腦名稱。

選項：

[-enterprise] [-user] [-grouppolicy]

-addstore

將憑證新增至存放區。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -addstore CertificateStoreName InFile

哪裡：

CertificateStoreName 是證書儲存名稱。
InFile 是您想要新增至存放區的憑證或 CRL 檔案。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

從存放區刪除憑證。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -delstore CertificateStoreName certID

哪裡：

CertificateStoreName 是證書儲存名稱。
CertId 是憑證或 CRL 比對令牌。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

驗證存放區中的憑證。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -verifystore CertificateStoreName [CertId]

哪裡：

CertificateStoreName 是證書儲存名稱。
CertId 是憑證或 CRL 比對令牌。

選項：

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

修復金鑰關聯或更新憑證屬性或金鑰安全性描述元。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

哪裡：

CertificateStoreName 是證書儲存名稱。
CertIdList 是憑證或 CRL 比對令牌的逗號分隔清單。如需詳細資訊，請參閱本文中的 -store CertId 描述。

PropertyInfFile 是包含外部屬性的 INF 檔案，包括：

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

傾印憑證存放區。如需詳細資訊，請參閱本文中的 -store 參數。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

哪裡：

CertificateStoreName 是證書儲存名稱。例如：
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId 是憑證或 CRL 比對令牌。這可以是：
- 序號
- SHA-1 憑證
- CRL、CTL 或公鑰哈希
- 數值憑證索引（0、1 等等）
- 數值 CRL 索引（.0、.1 等等）
- 數值 CTL 索引（..0, ..1 等等）
- 公鑰
- Signature 或 extension ObjectId
- 憑證主體一般名稱
- 電子郵件位址
- UPN 或 DNS 名稱
- 金鑰容器名稱或 CSP 名稱
- 範本名稱或 ObjectId
- EKU 或應用程式原則 ObjectId
- CRL 簽發者一般名稱。

其中許多都可能導致多個相符專案。

OutputFile 是用來儲存相符憑證的檔案。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-user 選項會存取使用者存放區，而不是計算機存放區。
-enterprise 選項會存取計算機企業存放區。
-service 選項會存取計算機服務存放區。
-grouppolicy 選項會存取計算機組策略存放區。

例如：

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

從存放區刪除憑證。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

哪裡：

CertificateStoreName 是證書儲存名稱。例如：
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId 是憑證或 CRL 比對令牌。這可以是：
- 序號
- SHA-1 憑證
- CRL、CTL 或公鑰哈希
- 數值憑證索引（0、1 等等）
- 數值 CRL 索引（.0、.1 等等）
- 數值 CTL 索引（..0, ..1 等等）
- 公鑰
- Signature 或 extension ObjectId
- 憑證主體一般名稱
- 電子郵件位址
- UPN 或 DNS 名稱
- 金鑰容器名稱或 CSP 名稱
- 範本名稱或 ObjectId
- EKU 或應用程式原則 ObjectId
- CRL 簽發者一般名稱。

其中許多可能會導致多個相符專案。

OutputFile 是用來儲存相符憑證的檔案。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-user 選項會存取使用者存放區，而不是計算機存放區。
-enterprise 選項會存取計算機企業存放區。
-service 選項會存取計算機服務存放區。
-grouppolicy 選項會存取計算機組策略存放區。

例如：

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-用戶介面

叫用 certutil 介面。

certutil [options] -UI File [import]

-TPMInfo

顯示信任的平臺模組資訊。

certutil [options] -TPMInfo

選項：

[-f] [-Silent] [-split]

-證明

指定應該證明憑證要求檔案。

certutil [options] -attest RequestFile

選項：

[-user] [-Silent] [-split]

-getcert

從選取 UI 選取憑證。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

選項：

[-Silent] [-split]

-ds

顯示目錄服務（DS）辨別名稱（DN）。

certutil [options] -ds [CommonName]

選項：

[-f] [-user] [-split] [-dc DCName]

-dsDel

刪除 DS DN。

certutil [options] -dsDel [CommonName]

選項：

[-user] [-split] [-dc DCName]

-dsPublish

將憑證或證書吊銷清單（CRL）發佈至 Active Directory。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

哪裡：

CertFile 是要發行的憑證檔案名稱。
NTAuthCA 將憑證發佈至 DS Enterprise 市集。
RootCA 將憑證發佈至 DS 信任的根存放區。
SubCA 將 CA 憑證發佈至 DS CA 物件。
CrossCA 將跨憑證發佈至 DS CA 物件。
KRA 將憑證發佈至 DS Key Recovery Agent 物件。
使用者 將憑證發佈至 User DS 物件。
Machine 將憑證發佈至 Machine DS 物件。
CRLfile 是要發行的 CRL 檔案名稱。
DSCDPContainer 是 DS CDP 容器 CN，通常是 CA 計算機名稱。
DSCDPCN 是以清理 CA 簡短名稱和索引鍵索引為基礎的 DS CDP 物件 CN。

選項：

[-f] [-user] [-dc DCName]

使用 -f 建立新的 DS 物件。

-dsCert

顯示 DS 憑證。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

選項：

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

顯示 DS CRL。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

選項：

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

顯示 DS 差異 CRL。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

選項：

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

顯示 DS 樣本屬性。

certutil [options] -dsTemplate [Template]

選項：

[Silent] [-dc DCName]

-dsAddTemplate

新增 DS 範本。

certutil [options] -dsAddTemplate TemplateInfFile

選項：

[-dc DCName]

-ADTemplate

顯示 Active Directory 範本。

certutil [options] -ADTemplate [Template]

選項：

[-f] [-user] [-ut] [-mt] [-dc DCName]

-範本

顯示憑證註冊原則範本。

選項：

certutil [options] -Template [Template]

選項：

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCA

顯示證書範本的證書頒發機構單位（CA）。

certutil [options] -TemplateCAs Template

選項：

[-f] [-user] [-dc DCName]

-CATemplates

顯示證書頒發機構單位的範本。

certutil [options] -CATemplates [Template]

選項：

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

設定證書頒發機構單位可以發出的證書範本。

certutil [options] -SetCATemplates [+ | -] TemplateList

哪裡：

+ 符號會將證書範本新增至 CA 的可用範本清單。
- 符號會從 CA 的可用範本清單中移除證書範本。

-SetCASites

管理網站名稱，包括設定、驗證和刪除證書頒發機構單位網站名稱。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

哪裡：

只有在以單一證書頒發機構單位為目標時，才允許 SiteName。

選項：

[-f] [-config Machine\CAName] [-dc DCName]

言論

-config 選項是以單一證書頒發機構單位為目標（預設值為所有 CA）。
-f 選項可用來覆寫指定 SiteName 的驗證錯誤，或刪除所有 CA 網站名稱。

注意

如需設定 Active Directory 網域服務（AD DS）網站感知 CA 的詳細資訊，請參閱 AD CS 和 PKI 用戶端的 AD DS 網站感知。

-enrollmentServerURL

顯示、新增或刪除與 CA 相關聯的註冊伺服器 URL。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

哪裡：

AuthenticationType 在新增 URL 時指定下列其中一個客戶端驗證方法：
- Kerberos - 使用 Kerberos SSL 認證。
- UserName - 使用具名帳戶進行 SSL 認證。
- ClientCertificate - 使用 X.509 憑證 SSL 認證。
- 匿名 - 使用匿名 SSL 認證。
刪除刪除與 CA 相關聯的指定 URL。
優先順序 新增 URL 時，預設為 1。
修飾詞 是逗號分隔清單，其中包含下列一或多個內容：
- AllowRenewalsOnly 只能透過此 URL 提交至此 CA 的更新要求。
- AllowKeyBasedRenewal 允許使用 AD 中沒有相關聯帳戶的憑證。這隻適用於 ClientCertificate 和 AllowRenewalsOnly 模式。

選項：

[-config Machine\CAName] [-dc DCName]

-ADCA

顯示 Active Directory 證書頒發機構單位。

certutil [options] -ADCA [CAName]

選項：

[-f] [-split] [-dc DCName]

-CA

顯示註冊原則證書頒發機構單位。

certutil [options] -CA [CAName | TemplateName]

選項：

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-政策

顯示註冊原則。

certutil [options] -Policy

選項：

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

顯示或刪除註冊原則快取專案。

certutil [options] -PolicyCache [delete]

哪裡：

刪除會刪除原則伺服器快取專案。
-f 會刪除所有快取專案

選項：

[-f] [-user] [-policyserver URLorID]

-CredStore

顯示、新增或刪除認證存放區專案。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

哪裡：

URL 是目標 URL。您也可以使用 * 來比對所有專案或 https://machine* 來比對 URL 前置詞。
新增新增認證存放區專案。使用此選項也需要使用 SSL 認證。
刪除刪除認證存放區專案。
-f 會覆寫單一專案或刪除多個專案。

選項：

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

安裝預設證書範本。

certutil [options] -InstallDefaultTemplates

選項：

[-dc DCName]

-URL

驗證憑證或CRL URL。

certutil [options] -URL InFile | URL

選項：

[-f] [-split]

-URLCache

顯示或刪除 URL 快取專案。

certutil [options] -URLcache [URL | CRL | * [delete]]

哪裡：

URL 是快取的 URL。
CRL 只會在所有快取的 CRL URL 上執行。
* 適用於所有快取 URL。
刪除從目前使用者的本機快取中刪除相關的 URL。
-f 強制擷取特定 URL 並更新快取。

選項：

[-f] [-split]

-脈衝

脈衝自動註冊事件或NGC工作。

certutil [options] -pulse [TaskName [SRKThumbprint]]

哪裡：

TaskName 是要觸發的工作。
- Pregen 是 NGC Key pregen 工作。
- AIKEnroll 是 NGC AIK 憑證註冊工作。（預設為自動註冊事件）。
SRKThumbprint 是記憶體根密鑰的指紋
修飾詞：
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

選項：

[-user]

-MachineInfo

顯示 Active Directory 計算機對象的相關信息。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

顯示域控制器的相關信息。預設會顯示沒有驗證的DC憑證。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

修飾詞：
- 驗證
- DeleteBad
- DeleteAll

選項：

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

提示

已在 Windows Server 2012 中新增指定 Active Directory 網域服務（AD DS）網域 [網域]，並指定域控制器（-dc）。若要成功執行命令，您必須使用屬於 Domain Admins 或 Enterprise Admins成員的帳戶。此指令的行為修改如下：

如果未指定網域，且未指定特定的域控制器，此選項會傳回要從預設域控制器處理的域控制器清單。
如果未指定網域，但已指定域控制器，就會產生指定域控制器上的憑證報告。
如果指定了網域，但未指定域控制器，就會產生域控制器清單，以及清單中每個域控制器的憑證報告。
如果指定網域和域控制器，則會從目標域控制器產生域控制器清單。也會產生清單中每個域控制器的憑證報告。

例如，假設有名為 CPANDL 的網域與名為 CPANDL-DC1 的域控制器。您可以執行下列命令，從 CPANDL-DC1 擷取域控制器及其憑證清單：certutil -dc cpandl-dc1 -DCInfo cpandl。

-EntInfo

顯示企業證書頒發機構單位的相關信息。

certutil [options] -EntInfo DomainName\MachineName$

選項：

[-f] [-user]

-TCAInfo

顯示證書頒發機構單位的相關信息。

certutil [options] -TCAInfo [DomainDN | -]

選項：

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

顯示智慧卡的相關信息。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

哪裡：

CRYPT_DELETEKEYSET 刪除智慧卡上的所有金鑰。

選項：

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

管理智慧卡跟證書。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

選項：

[-f] [-split] [-p Password]

-鑰匙

列出儲存在金鑰容器中的金鑰。

certutil [options] -key [KeyContainerName | -]

哪裡：

KeyContainerName 是密鑰要驗證的金鑰容器名稱。這個選項預設為計算機金鑰。若要切換至使用者金鑰，請使用 -user。
使用 - 符號是指使用預設金鑰容器。

選項：

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

刪除具名金鑰容器。

certutil [options] -delkey KeyContainerName

選項：

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

刪除 Windows Hello 容器，移除儲存在裝置上的所有相關聯認證，包括任何 WebAuthn 和 FIDO 認證。

用戶必須在使用此選項後註銷，才能完成。

certutil [options] -DeleteHelloContainer

-verifykeys

驗證公用或私鑰集。

certutil [options] -verifykeys [KeyContainerName CACertFile]

哪裡：

KeyContainerName 是密鑰要驗證的金鑰容器名稱。這個選項預設為計算機金鑰。若要切換至使用者金鑰，請使用 -user。
CACertFile 簽署或加密憑證檔案。

選項：

[-f] [-user] [-Silent] [-config Machine\CAName]

言論

如果未指定任何自變數，則會針對其私鑰驗證每個簽署 CA 憑證。
這項作業只能針對本機 CA 或本機金鑰執行。

-驗證

驗證憑證、證書吊銷清單（CRL）或憑證鏈結。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

哪裡：

CertFile 是要驗證的憑證名稱。
ApplicationPolicyList 是必要應用程式原則 ObjectIds 的選擇性逗號分隔清單。
IssuancePolicyList 是必要發行原則 ObjectIds 的選擇性逗號分隔清單。
CACertFile 是選擇性的發行 CA 憑證，可供驗證。
CrossedCACertFile 是 CertFile所交叉認證的選擇性憑證。
CRLFile 是用來驗證 CACertFileCRL 檔案。
IssuedCertFile 是 CRLfile 所涵蓋的選擇性發行憑證。
DeltaCRLFile 是選擇性的差異 CRL 檔案。
修飾詞：
- 強式 - 強式簽章驗證
- MSRoot - 必須鏈結至Microsoft根目錄
- MSTestRoot - 必須鏈結至Microsoft測試根目錄
- AppRoot - 必須鏈結至Microsoft應用程式根目錄
- EV - 強制執行擴充驗證原則

選項：

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

言論

使用 ApplicationPolicyList 會將鏈結建制限制為只針對指定之應用程式原則有效的鏈結。
使用 IssuancePolicyList 會將鏈結建置限制為只對指定發行原則有效的鏈結。
使用 CACertFile 會針對 CertFile 或 CRLfile驗證檔案中的欄位。
如果未指定 CACertFile，則會針對 CertFile建置並驗證完整鏈結。
如果同時指定 CACertFile 和 CrossedCACertFile，則會針對 CertFile驗證這兩個檔案中的字段。
使用 IssuedCertFile 會針對 CRLfile驗證檔案中的字段。
使用 DeltaCRLFile 會針對 CertFile驗證檔案中的欄位。

-verifyCTL

驗證 AuthRoot 或不允許的憑證 CTL。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

哪裡：

CTLObject 識別要驗證的 CTL，包括：
- AuthRootWU 會從 URL 快取讀取 AuthRoot CAB 和相符憑證。請改用 -f 從 Windows Update 下載。
- 不允許的WU 會從URL快取讀取不允許的憑證 CAB 和不允許的證書存儲檔案。請改用 -f 從 Windows Update 下載。
  - PinRulesWU 從 URL 快取讀取 PinRules CAB。請改用 -f 從 Windows Update 下載。
- AuthRoot 會讀取登錄快取的 AuthRoot CTL。搭配使用 -f 和不受信任的 CertFile，以強制登錄快取 AuthRoot 和不允許的憑證 CTL 更新。
- 不允許 讀取登錄快取的不允許憑證 CTL。搭配使用 -f 和不受信任的 CertFile，以強制登錄快取 AuthRoot 和不允許的憑證 CTL 更新。
  - PinRules 讀取登錄快取的 PinRules CTL。使用 -f 的行為與 PinRulesWU相同。
- CTLFileName 指定 CTL 或 CAB 檔案的檔案或 HTTP 路徑。
CertDir 指定包含符合 CTL 專案之憑證的資料夾。默認為與 CTLobject相同的資料夾或網站。使用 HTTP 資料夾路徑需要結尾的路徑分隔符。如果您未指定 AuthRoot 或 不允許，則會搜尋多個位置來尋找相符的憑證，包括本機證書存儲、crypt32.dll 資源和本機 URL 快取。視需要使用 -f 從 Windows Update 下載。
CertFile 指定要驗證的憑證。憑證會比對 CTL 專案，並顯示結果。這個選項會隱藏大部分的預設輸出。

選項：

[-f] [-user] [-split]

-syncWithWU

使用 Windows Update 同步處理憑證。

certutil [options] -syncWithWU DestinationDir

哪裡：

DestinationDir 是指定的目錄。
f 會強制覆寫。
Unicode 在 Unicode 中寫入重新導向的輸出。
gmt 將時間顯示為 GMT。
秒數以秒和毫秒顯示時間。
v 是詳細資訊作業。
PIN 是智慧卡 PIN。
WELL_KNOWN_SID_TYPE 是數值 SID：
- 22 - 本機系統
- 23 - 本地服務
- 24 - 網路服務

言論

使用自動更新機制下載下列檔案：

authrootstl.cab 包含非Microsoft跟證書的 CCL。
disallowedcertstl.cab 包含不受信任憑證的 CCL。
不允許的cert.sst 包含串行化證書存儲，包括不受信任的憑證。
thumbprint.crt 包含非Microsoft跟證書。

例如，certutil -syncWithWU \\server1\PKI\CTLs。

如果您使用不存在的本機路徑或資料夾作為目的地資料夾，您會看到錯誤：The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
如果您使用不存在或無法使用的網路位置作為目的地資料夾，您會看到錯誤：The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
如果您的伺服器無法透過 TCP 連接埠 80 連線到Microsoft自動更新伺服器，您會收到下列錯誤：A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
如果您的伺服器無法使用 DNS 名稱 ctldl.windowsupdate.com連線到Microsoft自動更新伺服器，您會收到下列錯誤： The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
如果您沒有使用 -f 參數，而且目錄中已有任何 CTL 檔案，您會收到檔案存在錯誤：certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
如果受信任的跟證書有所變更，您會看到：Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

選項：

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

產生與 Windows Update 同步的存放區檔案。

certutil [options] -generateSSTFromWU SSTFile

哪裡：

SSTFile 是要產生的 .sst 檔案，其中包含從 Windows Update 下載的第三方根目錄。

選項：

[-f] [-split]

-generatePinRulesCTL

產生包含釘選規則清單的憑證信任清單（CTL）檔案。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

哪裡：

XMLFile 是要剖析的輸入 XML 檔案。
CTLFile 是要產生的輸出 CTL 檔案。
SSTFile 是選擇性 .sst 檔案，其中包含用於釘選的所有憑證。
QueryFilesPrefix 是選擇性的 Domains.csv 和要為資料庫查詢建立的 Keys.csv 檔案。
- QueryFilesPrefix 字串前面會加上每個已建立的檔案。
- Domains.csv 檔案包含規則名稱、網域數據列。
- Keys.csv 檔案包含規則名稱、索引鍵 SHA256 指紋數據列。

選項：

[-f]

-downloadOcsp

下載 OCSP 回應並寫入目錄。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

哪裡：

CertificateDir 是憑證、存放區和 PFX 檔案的目錄。
OcspDir 是寫入 OCSP 回應的目錄。
ThreadCount 是並行下載的選擇性線程數目上限。預設值為 10。
修飾詞 是下列一或多個逗號分隔清單：
- DownloadOnce - 下載一次並結束。
- ReadOcsp - 從 OcspDir 讀取，而不是寫入。

-generateHpkpHeader

使用指定檔案或目錄中的憑證來產生 HPKP 標頭。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

哪裡：

CertFileOrDir 是憑證的檔案或目錄，這是 pin-sha256 的來源。
MaxAge 是以秒為單位的最大值。
ReportUri 是選擇性的 report-uri。
修飾詞 是下列一或多個逗號分隔清單：
- includeSubDomains - 附加 includeSubDomains。

-flushCache

在選取的行程中排清指定的快取，例如，lsass.exe。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

哪裡：

ProcessId 是要排清的進程數值標識碼。設定為 0，以排清已啟用 flush 的所有進程。
CacheMask 是要排清數值或下列位的快取位掩碼：
- 0： ShowOnly
- 0x01： CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02： CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04： CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08： CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10： CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20： CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40：CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
修飾詞 是下列一或多個逗號分隔清單：
- 顯示 - 顯示正在排清的快取。 Certutil 必須明確終止。

-addEccCurve

加入 ECC 曲線。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

哪裡：

CurveClass 是 ECC 曲線類別類型：
- WEIERSTRASS （預設值）
- 蒙哥馬利
- TWISTED_EDWARDS
CurveName 是 ECC 曲線名稱。
CurveParameters 為下列其中一項：
- 包含 ASN 編碼參數的憑證檔名。
- 包含 ASN 編碼參數的檔案。
CurveOID 是 ECC 曲線 OID，且為下列其中一項：
- 包含 ASN 編碼 OID 的憑證檔名。
- 明確的 ECC 曲線 OID。
CurveType 是 Schannel ECC NamedCurve 點（numeric）。

選項：

[-f]

-deleteEccCurve

刪除 ECC 曲線。

certutil [options] -deleteEccCurve CurveName | CurveOID

哪裡：

CurveName 是 ECC 曲線名稱。
CurveOID 是 ECC 曲線 OID。

選項：

[-f]

-displayEccCurve

顯示 ECC 曲線。

certutil [options] -displayEccCurve [CurveName | CurveOID]

哪裡：

CurveName 是 ECC 曲線名稱。
CurveOID 是 ECC 曲線 OID。

選項：

[-f]

-csplist

列出此電腦上安裝的密碼編譯服務提供者（CSP），以進行密碼編譯作業。

certutil [options] -csplist [Algorithm]

選項：

[-user] [-Silent] [-csp Provider]

-csptest

測試此電腦上安裝的 CSP。

certutil [options] -csptest [Algorithm]

選項：

[-user] [-Silent] [-csp Provider]

-CNGConfig

在此電腦上顯示 CNG 密碼編譯組態。

certutil [options] -CNGConfig

選項：

[-Silent]

-標誌

重新簽署證書吊銷清單（CRL）或憑證。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

哪裡：

InFileList 是要修改和重新簽署的憑證或 CRL 檔案逗號分隔清單。
SerialNumber 是要建立的憑證序號。無效期間和其他選項無法存在。
CRL 會建立空的 CRL。無效期間和其他選項無法存在。
OutFileList 是已修改憑證或 CRL 輸出檔案的逗號分隔清單。檔案數目必須符合 infilelist。
StartDate+dd：hh 是憑證或 CRL 檔案的新有效期間，包括：
- 選擇性日期加上
- 選擇性的天數和小時有效期間如果使用多個字段，請使用（+）或（-）分隔符。使用 now[+dd:hh] 從目前時間開始。使用 now-dd:hh+dd:hh 從目前時間和固定有效期間開始的固定位移。使用 never 沒有到期日（僅適用於CRL）。
SerialNumberList 是要新增或移除之檔案的逗號分隔序號清單。
ObjectIdList 是要移除之檔案的逗號分隔擴展名 ObjectId 清單。

@ExtensionFile 是包含更新或移除延伸模組的 INF 檔案。例如：

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm 是哈希演算法的名稱。這必須是前面加上 # 符號的文字。
AlternateSignatureAlgorithm 是替代簽章演算法規範。

選項：

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

言論

使用減號（-）會移除序號和延伸模組。
使用加號（+）會將序號新增至 CRL。
您可以使用清單同時從CRL 移除序號和 ObjectIds。
使用 AlternateSignatureAlgorithm 之前的減號可讓您使用舊版簽章格式。
使用加號可讓您使用替代簽章格式。
如果您未指定 AlternateSignatureAlgorithm，則會使用憑證或 CRL 中的簽章格式。

-vroot

建立或刪除 Web 虛擬根目錄和檔案共用。

certutil [options] -vroot [delete]

-vocsproot

建立或刪除 OCSP Web Proxy 的 Web 虛擬根目錄。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

視需要為指定的證書頒發機構單位新增註冊伺服器應用程式和應用程式集區。此命令不會安裝二進位檔或套件。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

哪裡：

addEnrollmentServer 需要您將驗證方法用於憑證註冊伺服器的用戶端連線，包括：
- Kerberos 使用 Kerberos SSL 認證。
- UserName 使用具名帳戶進行 SSL 認證。
- ClientCertificate 使用 X.509 憑證 SSL 認證。
修飾詞：
- AllowRenewalsOnly 只允許透過 URL 向證書頒發機構單位提交更新要求。
- AllowKeyBasedRenewal 允許使用 Active Directory 中沒有相關聯帳戶的憑證。這適用於搭配 ClientCertificate 和 AllowRenewalsOnly 模式使用時。

選項：

[-config Machine\CAName]

-deleteEnrollmentServer

視需要刪除指定證書頒發機構單位的註冊伺服器應用程式和應用程式集區。此命令不會安裝二進位檔或套件。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

哪裡：

deleteEnrollmentServer 需要您將驗證方法用於憑證註冊伺服器的用戶端連線，包括：
- Kerberos 使用 Kerberos SSL 認證。
- UserName 使用具名帳戶進行 SSL 認證。
- ClientCertificate 使用 X.509 憑證 SSL 認證。

選項：

[-config Machine\CAName]

-addPolicyServer

視需要新增原則伺服器應用程式和應用程式集區。此命令不會安裝二進位檔或套件。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

哪裡：

addPolicyServer 會要求您對憑證原則伺服器的用戶端連線使用驗證方法，包括：
- Kerberos 使用 Kerberos SSL 認證。
- UserName 使用具名帳戶進行 SSL 認證。
- ClientCertificate 使用 X.509 憑證 SSL 認證。
KeyBasedRenewal 允許使用傳回給包含 keybasedrenewal 範本的客戶端的原則。此選項僅適用於 UserName 和 ClientCertificate 驗證。

-deletePolicyServer

視需要刪除原則伺服器應用程式和應用程式集區。此命令不會移除二進位檔或套件。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

哪裡：

deletePolicyServer 會要求您對憑證原則伺服器的用戶端連線使用驗證方法，包括：
- Kerberos 使用 Kerberos SSL 認證。
- UserName 使用具名帳戶進行 SSL 認證。
- ClientCertificate 使用 X.509 憑證 SSL 認證。
KeyBasedRenewal 允許使用 KeyBasedRenewal 原則伺服器。

-類

顯示 COM 登錄資訊。

certutil [options] -Class [ClassId | ProgId | DllName | *]

選項：

[-f]

-7f

檢查憑證是否有0x7f長度編碼。

certutil [options] -7f CertFile

-oid

顯示物件識別碼或設定顯示名稱。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

哪裡：

ObjectId 是要顯示或新增至顯示名稱的標識碼。
GroupId 是 ObjectIds 列舉的 GroupID 編號（decimal）。
AlgId 是 objectID 查閱的十六進位標識碼。
AlgorithmName 是 objectID 查閱的演算法名稱。
DisplayName 會顯示要儲存在 DS 中的名稱。
刪除會刪除顯示名稱。
LanguageId 是語言標識碼值（預設值為目前：1033）。
Type 是要建立的 DS 物件類型，包括：
- 1 - 樣本（預設值）
- 2 - 發行原則
- 3 - 應用程式原則
-f 會建立 DS 物件。

選項：

[-f]

-錯誤

顯示與錯誤碼相關聯的消息正文。

certutil [options] -error ErrorCode

-getsmtpinfo

取得簡單郵件傳輸通訊協定（SMTP）資訊。

certutil [options] -getsmtpinfo

-setsmtpinfo

設定 SMTP 資訊。

certutil [options] -setsmtpinfo LogonName

選項：

[-config Machine\CAName] [-p Password]

-getreg

顯示登錄值。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

哪裡：

ca 會使用證書頒發機構單位的登錄機碼。
還原會使用證書頒發機構單位的還原登錄機碼。
原則會使用原則模組的登錄機碼。
結束使用第一個結束模組的登錄機碼。
範本會使用範本登錄機碼（針對用戶範本使用 -user）。
註冊會使用註冊登錄機碼（針對用戶內容使用 -user）。
鏈結使用鏈結組態登錄機碼。
PolicyServers 會使用原則伺服器登錄機碼。
ProgId 會使用原則或結束模組的 ProgID（登錄子機碼名稱）。
RegistryValueName 會使用登錄值名稱（使用 Name* 前置詞比對）。
值會使用新的數值、字串或日期登錄值或檔名。如果數值以 + 或 -開頭，則會在現有的登錄值中設定或清除新值中指定的位。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

言論

如果字串值以 + 或 -開頭，而且現有的值是 REG_MULTI_SZ 值，則會將字串新增至現有登錄值或從現有的登錄值中移除。若要強制建立 REG_MULTI_SZ 值，請將 \n 新增至字串值的結尾。
如果值以 \@開頭，則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
如果它未參考有效的檔案，則會將其剖析為選擇性日期加上或減去選擇性天數和小時 [Date][+|-][dd:hh]。
如果同時指定兩者，請使用加號（+）或減號（-）分隔符。針對相對於目前時間的日期使用 now+dd:hh。
使用 i64 作為後綴來建立REG_QWORD值。
使用 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。
登錄別名：
- 組態
- CA
- 原則 - PolicyModules
- Exit - ExitModules
- 還原 - RestoreInProgress
- 範本 - Software\Microsoft\Cryptography\CertificateTemplateCache
- 註冊 - Software\Microsoft\Cryptography\AutoEnrollment （Software\Policies\Microsoft\Cryptography\AutoEnrollment）
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers （Software\Policies\Microsoft\Cryptography\PolicyServers）
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-setreg

設定登錄值。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

哪裡：

ca 會使用證書頒發機構單位的登錄機碼。
還原會使用證書頒發機構單位的還原登錄機碼。
原則會使用原則模組的登錄機碼。
結束使用第一個結束模組的登錄機碼。
範本會使用範本登錄機碼（針對用戶範本使用 -user）。
註冊會使用註冊登錄機碼（針對用戶內容使用 -user）。
鏈結使用鏈結組態登錄機碼。
PolicyServers 會使用原則伺服器登錄機碼。
ProgId 會使用原則或結束模組的 ProgID（登錄子機碼名稱）。
RegistryValueName 會使用登錄值名稱（使用 Name* 前置詞比對）。
Value 會使用新的數值、字串或日期登錄值或檔名。如果數值以 + 或 -開頭，則會在現有的登錄值中設定或清除新值中指定的位。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

言論

如果字串值以 + 或 -開頭，而且現有的值是 REG_MULTI_SZ 值，則會將字串新增至現有登錄值或從現有的登錄值中移除。若要強制建立 REG_MULTI_SZ 值，請將 \n 新增至字串值的結尾。
如果值以 \@開頭，則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
如果它未參考有效的檔案，則會將其剖析為選擇性日期加上或減去選擇性天數和小時 [Date][+|-][dd:hh]。
如果同時指定兩者，請使用加號（+）或減號（-）分隔符。針對相對於目前時間的日期使用 now+dd:hh。
使用 i64 作為後綴來建立REG_QWORD值。
使用 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。

-delreg

刪除登錄值。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

哪裡：

ca 會使用證書頒發機構單位的登錄機碼。
還原會使用證書頒發機構單位的還原登錄機碼。
原則會使用原則模組的登錄機碼。
結束使用第一個結束模組的登錄機碼。
範本會使用範本登錄機碼（針對用戶範本使用 -user）。
註冊會使用註冊登錄機碼（針對用戶內容使用 -user）。
鏈結使用鏈結組態登錄機碼。
PolicyServers 會使用原則伺服器登錄機碼。
ProgId 會使用原則或結束模組的 ProgID（登錄子機碼名稱）。
RegistryValueName 會使用登錄值名稱（使用 Name* 前置詞比對）。
Value 會使用新的數值、字串或日期登錄值或檔名。如果數值以 + 或 -開頭，則會在現有的登錄值中設定或清除新值中指定的位。

選項：

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

言論

如果字串值以 + 或 -開頭，而且現有的值是 REG_MULTI_SZ 值，則會將字串新增至現有登錄值或從現有的登錄值中移除。若要強制建立 REG_MULTI_SZ 值，請將 \n 新增至字串值的結尾。
如果值以 \@開頭，則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
如果它未參考有效的檔案，則會將其剖析為選擇性日期加上或減去選擇性天數和小時 [Date][+|-][dd:hh]。
如果同時指定兩者，請使用加號（+）或減號（-）分隔符。針對相對於目前時間的日期使用 now+dd:hh。
使用 i64 作為後綴來建立REG_QWORD值。
使用 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。
登錄別名：
- 組態
- CA
- 原則 - PolicyModules
- Exit - ExitModules
- 還原 - RestoreInProgress
- 範本 - Software\Microsoft\Cryptography\CertificateTemplateCache
- 註冊 - Software\Microsoft\Cryptography\AutoEnrollment （Software\Policies\Microsoft\Cryptography\AutoEnrollment）
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers （Software\Policies\Microsoft\Cryptography\PolicyServers）
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

將使用者金鑰和憑證匯入伺服器資料庫中以進行金鑰封存。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

哪裡：

UserKeyAndCertFile 是一個數據檔，其中包含要封存的使用者私鑰和憑證。此檔案可以是：
- Exchange 金鑰管理伺服器（KMS）匯出檔案。
- PFX 檔案。
CertId 是 KMS 匯出檔案解密憑證比對令牌。如需詳細資訊，請參閱本文中的 -store 參數。
-f 匯入證書頒發機構單位未發行的憑證。

選項：

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

將憑證檔案匯入資料庫。

certutil [options] -ImportCert Certfile [ExistingRow]

哪裡：

ExistingRow 匯入憑證，以取代相同密鑰的擱置要求。
-f 匯入證書頒發機構單位未發行的憑證。

選項：

[-f] [-config Machine\CAName]

言論

證書頒發機構單位也可能需要藉由執行 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN來支援外部憑證。

-GetKey

擷取封存的私鑰復原 Blob、產生復原腳本，或復原封存的密鑰。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

哪裡：

文稿會產生要擷取和復原金鑰的腳本（如果找到多個相符的復原候選專案，或未指定輸出檔案時的預設行為）。
擷取擷取一或多個密鑰復原 Blob（如果找到一個相符的復原候選專案，以及指定輸出檔案時的預設行為）。使用此選項會截斷任何延伸模組，並附加每個密鑰復原 Blob 的憑證特定字串和 .rec 擴充功能。每個檔案都包含憑證鏈結和相關聯的私鑰，仍會加密至一或多個密鑰復原代理程序憑證。
復原在一個步驟中擷取和復原私鑰（需要金鑰復原代理程序憑證和私鑰）。使用此選項會截斷任何延伸模組，並附加 .p12 延伸模組。每個檔案都包含已復原的憑證鏈結和相關聯的私鑰，儲存為 PFX 檔案。
SearchToken 會選取要復原的密鑰和憑證，包括：
- 憑證一般名稱
- 憑證序號
- 憑證 SHA-1 哈希（指紋）
- 憑證 KeyId SHA-1 哈希（主體金鑰標識碼）
- 要求者名稱（domain\user）
- UPN （user@domain）
RecoveryBlobOutFile 輸出具有憑證鏈結和相關聯私鑰的檔案，仍會加密至一或多個密鑰復原代理程式憑證。
OutputScriptFile 輸出具有批次腳本的檔案，以擷取和復原私鑰。
OutputFileBaseName 輸出檔案基底名稱。

選項：

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

言論

針對擷取，會截斷任何延伸模組，並且會為每個密鑰復原 Blob 附加憑證特定的字串和 .rec 延伸模組。每個檔案都包含憑證鏈結和相關聯的私鑰，仍會加密至一或多個密鑰復原代理程序憑證。
針對復原，會截斷任何延伸模組，並附加 .p12 延伸模組。包含已復原的憑證鏈結和相關聯的私鑰，儲存為 PFX 檔案。

-RecoverKey

復原封存的私鑰。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

選項：

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

合併 PFX 檔案。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

哪裡：

PFXInFileList 是以逗號分隔的 PFX 輸入檔清單。
PFXOutFile 是 PFX 輸出檔的名稱。
修飾詞 是下列一或多個逗號分隔清單：
- ExtendedProperties 包含任何擴充屬性。
- NoEncryptCert 指定不要加密憑證。
- EncryptCert 指定加密憑證。

選項：

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

言論

命令行上指定的密碼必須是逗號分隔密碼清單。
如果指定了一個以上的密碼，則最後一個密碼會用於輸出檔案。如果只提供一個密碼，或最後一個密碼是 *，則會提示使用者輸入輸出檔案密碼。

-add-chain

新增憑證鏈結。

certutil [options] -add-chain LogId certificate OutFile

選項：

[-f]

-add-pre-chain

新增憑證前鏈結。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

選項：

[-f]

-get-sth

取得帶正負號的樹狀樹頭。

certutil [options] -get-sth [LogId]

選項：

[-f]

-get-sth-consistency

取得帶正負號的樹狀目錄前端變更。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

選項：

[-f]

-get-proof-by-hash

從時間戳伺服器取得哈希的證明。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

選項：

[-f]

-get-entries

從事件記錄檔擷取專案。

certutil [options] -get-entries LogId FirstIndex LastIndex

選項：

[-f]

-get-root

從證書存儲擷取跟證書。

certutil [options] -get-roots LogId

選項：

[-f]

-get-entry-and-proof

擷取事件記錄檔專案及其密碼編譯證明。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

選項：

[-f]

-VerifyCT

根據憑證透明度記錄來驗證憑證。

certutil [options] -VerifyCT Certificate SCT [precert]

選項：

[-f]

-?

顯示參數清單。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

哪裡：

-? 顯示參數清單
-<name_of_parameter> -？ 顯示指定參數的說明內容。
-? -v 會顯示參數和選項的詳細資訊清單。

選項

本節會根據命令定義所有能夠指定的選項。每個參數都包含哪些選項有效使用的相關信息。

選擇	描述
-管理	針對 CA 屬性使用 ICertAdmin2。
-匿名	使用匿名 SSL 認證。
-cert CertId	簽署憑證。
-clientcertificate clientCertId	使用 X.509 憑證 SSL 認證。針對選取 UI，請使用 `-clientcertificate`。
-config Machine\CAName	證書頒發機構單位和計算機名稱字串。
-csp 提供者	供應商： KSP - Microsoft軟體金鑰儲存提供者 TPM - Microsoft 平台密碼編譯提供者 NGC - Microsoft Passport 金鑰儲存提供者 SC - Microsoft智慧卡金鑰儲存提供者
-dc DCName	以特定域控制器為目標。
-企業	使用本機計算機企業登錄證書存儲。
-f	強制覆寫。
-generateSSTFromWU SSTFile	使用自動更新機制產生 SST。
-gmt	使用 GMT 顯示時間。
-GroupPolicy	使用組策略證書存儲。
-idispatch	使用 IDispatch，而不是 COM 原生方法。
-kerberos	使用 Kerberos SSL 認證。
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation。
-mt	顯示計算機範本。
-nocr	編碼沒有CR字元的文字。
-nocrlf	編碼沒有 CR-LF 字元的文字。
-nullsign	使用數據的哈希做為簽章。
-oldpfx	使用舊的 PFX 加密。
-out 資料行清單	以逗號分隔的數據列清單。
-p 密碼	密碼
-pin PIN	智慧卡 PIN。
-policyserver URLorID	原則伺服器 URL 或識別碼。針對選取 U/I，請使用 `-policyserver`。針對所有原則伺服器，請使用 `-policyserver *`
-privatekey	顯示密碼和私鑰數據。
-保護	使用密碼保護金鑰。
-protectto SAMnameandSIDlist	以逗號分隔的 SAM 名稱/SID 清單。
-restrict restrictionlist	逗號分隔的限制清單。每個限制都包含數據行名稱、關係運算元和常數整數、字串或日期。一個數據行名稱前面可能會加上加號或減號，以指出排序順序。例如：`requestID = 47`、`+requestername >= a, requestername`或 `-requestername > DOMAIN, Disposition = 21`。
-反向	反向記錄和佇列數據行。
-秒	使用秒和毫秒顯示時間。
-服務	使用服務證書存儲。
-sid	數值 SID： 22 - 本機系統 23 - 本地服務 24 - 網路服務
-沉默	使用 `silent` 旗標來取得 crypt 內容。
-分裂	分割內嵌的 ASN.1 專案，並儲存至檔案。
-sslpolicy 伺服器名稱	符合 ServerName 的 SSL 原則。
-symkeyalg symmetrickeyalgorithm[，keylength]	選擇性金鑰長度的對稱金鑰演演算法名稱。例如：`AES,128` 或 `3DES`。
-syncWithWU DestinationDir	與 Windows Update 同步處理。
-t 逾時	以毫秒為單位的 URL 擷取逾時。
-Unicode	在 Unicode 中寫入重新導向的輸出。
-UnicodeText	在 Unicode 中寫入輸出檔案。
-urlfetch	擷取並驗證 AIA 憑證和 CDP CRL。
-使用者	使用HKEY_CURRENT_USER金鑰或證書存儲。
-username username	針對 SSL 認證使用具名帳戶。針對選取 UI，請使用 `-username`。
-ut	顯示用戶範本。
-v	提供更詳細的（詳細資訊）資訊。
-v1	使用 V1 介面。

哈希演算法：MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

如需如何使用此命令的更多範例，請參閱下列文章：

共用方式為