Sdílet prostřednictvím

certutil

Upozornění

Certutil nedoporučujeme používat v žádném produkčním kódu a neposkytuje žádné záruky podpory živých webů ani kompatibility aplikací. Je to nástroj, který používají vývojáři a správci IT k zobrazení informací o obsahu certifikátu na zařízeních.

Certutil.exe je program příkazového řádku nainstalovaný jako součást Certificate Services. Pomocí certutil.exe můžete zobrazit informace o konfiguraci certifikační autority, konfigurovat certifikační služby a zálohovat a obnovovat součásti certifikační autority. Program také ověřuje certifikáty, páry klíčů a řetězy certifikátů.

Pokud certutil je spuštěna v certifikační autoritě bez dalších parametrů, zobrazí aktuální konfiguraci certifikační autority. Pokud certutil je spuštěna na necertiční autoritě bez dalších parametrů, příkaz ve výchozím nastavení spustí certutil -dump příkaz. Ne všechny verze nástroje certutil poskytují všechny parametry a možnosti, které tento dokument popisuje. Můžete zobrazit volby, které vaše verze nástroje certutil poskytuje spuštěním certutil -? nebo certutil <parameter> -?.

Návod

Chcete-li zobrazit úplnou nápovědu pro všechny příkazy a možnosti nástroje certutil, včetně těch, které jsou skryté z argumentu -? , spusťte certutil -v -uSAGE. Přepínač uSAGE rozlišují malá a velká písmena.

Parametry

-dump

Vysadí informace o konfiguraci nebo soubory.

certutil [options] [-dump]
certutil [options] [-dump] File

Možnosti:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vysadí strukturu PFX.

certutil [options] [-dumpPFX] File

Možnosti:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analyzuje a zobrazí obsah souboru pomocí syntaxe asN.1 (Abstract Syntax Notation). Mezi typy souborů patří . CER, . Soubory ve formátu DER a PKCS #7

certutil [options] -asn File [type]
  • [type]: typ dekódování číselného CRYPT_STRING_*

-decodehex

Dekóduje šestnáctkový soubor s kódováním.

certutil [options] -decodehex InFile OutFile [type]
  • [type]: typ dekódování číselného CRYPT_STRING_*

Možnosti:

[-f]

-encodehex

Zakóduje soubor v šestnáctkové soustavě.

certutil [options] -encodehex InFile OutFile [type]
  • [type]: číselný typ kódování CRYPT_STRING_*

Možnosti:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Dekóduje soubor s kódováním Base64.

certutil [options] -decode InFile OutFile

Možnosti:

[-f]

-encode

Zakóduje soubor do Base64.

certutil [options] -encode InFile OutFile

Možnosti:

[-f] [-unicodetext]

-deny

Odmítne nevyřízenou žádost.

certutil [options] -deny RequestId

Možnosti:

[-config Machine\CAName]

-resubmit

Znovu odešle nevyřízenou žádost.

certutil [options] -resubmit RequestId

Možnosti:

[-config Machine\CAName]

-setattributes

Nastaví atributy pro čekající žádost o certifikát.

certutil [options] -setattributes RequestId AttributeString

Kde:

  • RequestId je ID číselné žádosti čekající žádosti.
  • AttributeString je dvojice název atributu požadavku a hodnota.

Možnosti:

[-config Machine\CAName]

Poznámky

  • Názvy a hodnoty musí být odděleny dvojtečkami, zatímco více názvů a párů hodnot musí být odděleno novými řádky. Například: CertificateTemplate:User\nEMail:User@Domain.com kde \n je sekvence převedena na oddělovač nového spojnice.

-setextension

Nastavte rozšíření pro čekající žádost o certifikát.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Kde:

  • requestID je číselné ID požadavku čekajícího požadavku.
  • ExtensionName je řetězec ObjectId pro rozšíření.
  • Příznaky nastaví prioritu rozšíření. 0 se doporučuje, když 1 nastaví rozšíření na kritické, 2 zakáže rozšíření a 3 provede obojí.

Možnosti:

[-config Machine\CAName]

Poznámky

  • Pokud je poslední parametr číselný, trvá to jako Long.
  • Pokud je možné poslední parametr analyzovat jako datum, použije se jako datum.
  • Pokud poslední parametr začíná na \@, zbytek tokenu je brán jako název souboru s binárními daty nebo jako hexadecimální výpis ASCII-textu.
  • Pokud je poslední parametr cokoli jiného, považuje se za řetězec.

-revoke

Odvolá certifikát.

certutil [options] -revoke SerialNumber [Reason]

Kde:

  • SerialNumber je čárkami oddělený seznam sériových čísel certifikátu, která se mají odvolat.
  • Důvod je číselné nebo symbolické vyjádření důvodu odvolání, včetně:
    • 0. CRL_REASON_UNSPECIFIED – Nezadané (výchozí)
    • 1. CRL_REASON_KEY_COMPROMISE – ohrožení zabezpečení klíče
    • 2. CRL_REASON_CA_COMPROMISE – ohrožení zabezpečení certifikační autority
    • 3. CRL_REASON_AFFILIATION_CHANGED - Změna přidružení
    • 4. CRL_REASON_SUPERSEDED – nahrazeno
    • 5. CRL_REASON_CESSATION_OF_OPERATION - Ukončení provozu
    • 6. CRL_REASON_CERTIFICATE_HOLD – blokování certifikátů
    • 8. CRL_REASON_REMOVE_FROM_CRL – odebrání z seznamu CRL
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Oprávnění staženo
    • 10: CRL_REASON_AA_COMPROMISE – ohrožení zabezpečení AA
    • -1. Nerozpoznané - Zruší odvolání

Možnosti:

[-config Machine\CAName]

-isvalid

Zobrazí dispozici aktuálního certifikátu.

certutil [options] -isvalid SerialNumber | CertHash

Možnosti:

[-config Machine\CAName]

-getconfig

Získá výchozí konfigurační řetězec.

certutil [options] -getconfig

Možnosti:

[-idispatch] [-config Machine\CAName]

-getconfig2

Získá výchozí konfigurační řetězec prostřednictvím ICertGetConfig.

certutil [options] -getconfig2

Možnosti:

[-idispatch]

-getconfig3

Získá konfiguraci přes ICertConfig.

certutil [options] -getconfig3

Možnosti:

[-idispatch]

-ping

Pokusí se kontaktovat rozhraní žádosti služby Active Directory Certificate Services.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Kde:

  • CAMachineList je seznam názvů počítačů oddělených čárkami. Pro jeden počítač použijte ukončovací čárku. Tato možnost také zobrazí náklady na lokalitu pro každý počítač certifikační autority.

Možnosti:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Pokusí se kontaktovat rozhraní pro správu služby Active Directory Certificate Services.

certutil [options] -pingadmin

Možnosti:

[-config Machine\CAName]

-CAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Kde:

  • InfoName označuje vlastnost certifikační autority, která se má zobrazit na základě následující syntaxe argumentu infoname:
    • * – Zobrazí všechny vlastnosti.
    • reklamy - Advanced Server
    • aia [Index] – adresy URL AIA
    • cdp [Index] – adresy URL CDP
    • cert [Index] – certifikát certifikační autority
    • certchain [Index] – řetěz certifikátů certifikační autority
    • certcount – počet certifikátů certifikační autority
    • certcrlchain [Index] – řetěz certifikátů certifikační autority s seznamy CRL
    • certstate [Index] – certifikát certifikační autority
    • certstatuscode [Index] – stav ověření certifikátu certifikační autority
    • certversion [Index] – verze certifikátu certifikační autority
    • CRL [Index] – základní seznam CRL
    • crlstate [Index] – CRL
    • crlstatus [Index] – Stav publikování seznamu CRL
    • cross- [Index] – zpětný křížový certifikát
    • cross+ [Index] – Předávání křížového certifikátu
    • crossstate- [Index] – Zpětný křížový certifikát
    • crossstate+ [Index] – předávání křížového certifikátu
    • deltacrl [Index] – Rozdílový seznam CRL
    • deltacrlstatus [Index] – Stav publikování seznamu CRL delta
    • dns – název DNS
    • dsname – Upravený zkrácený název certifikační autority (název DS)
    • error1 ErrorCode – text chybové zprávy
    • error2 ErrorCode – text chybové zprávy a kód chyby
    • exit [Index] – popis modulu ukončení
    • exitcount – počet výstupních modulů
    • file – Verze souboru
    • info – informace o certifikační autoritě
    • kra [Index] - KRA cert
    • kracount – KRA cert count
    • krastate [Index] – KRA cert
    • kraused - počet použitých certifikátů KRA
    • localename – název národního prostředí certifikační autority
    • name – název certifikační autority
    • ocsp [Index] – adresy URL OCSP
    • parent – nadřazená certifikační autorita
    • policy – popis modulu zásad
    • produkt – verze produktu
    • propidmax - Maximální ID certifikační autority
    • role – Oddělení rolí
    • sanitizedname – sanitized CA name
    • sharedfolder – Sdílená složka
    • subjecttemplateoids – identifikátory identifikátorů OID šablon předmětu
    • šablony – Šablony
    • type – typ certifikační autority
    • xchg [Index] – certifikát exchange certifikační autority
    • xchgchain [Index] – řetěz certifikátů exchange certifikační autority
    • xchgcount – počet certifikátů exchange certifikační autority
    • xchgcrlchain [Index] – řetěz certifikátů certifikační autority s seznamy CRL
  • index je volitelný index vlastností založený na nule.
  • kód chyby je číselný kód chyby.

Možnosti:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zobrazí informace o typu vlastnosti certifikační autority.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Možnosti:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Načte certifikát pro certifikační autoritu.

certutil [options] -ca.cert OutCACertFile [Index]

Kde:

  • OutCACertFile je výstupní soubor.
  • Index je index obnovení certifikátu certifikační autority (výchozí hodnota je nejnovější).

Možnosti:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Načte řetěz certifikátů pro certifikační autoritu.

certutil [options] -ca.chain OutCACertChainFile [Index]

Kde:

  • OutCACertChainFile je výstupní soubor.
  • Index je index obnovení certifikátu certifikační autority (výchozí hodnota je nejnovější).

Možnosti:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Získá seznam odvolaných certifikátů (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Kde:

  • Index je index seznamu CRL nebo index klíče (výchozí hodnota je CRL pro nejnovější klíč).
  • delta je rozdílový seznam CRL (výchozí hodnota je základní seznam CRL).

Možnosti:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nové seznamy odvolaných certifikátů (CRL) nebo rozdílové seznamy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Kde:

  • dd:hh je nové období platnosti seznamu CRL ve dnech a hodinách.
  • Opětovným publikováním znovu publikuje nejnovější seznamy CRL.
  • delta publikuje pouze rozdílové seznamy CRL (výchozí hodnota je základní a rozdílová).

Možnosti:

[-split] [-config Machine\CAName]

-shutdown

Vypne službu Active Directory Certificate Services.

certutil [options] -shutdown

Možnosti:

[-config Machine\CAName]

-installCert

Nainstaluje certifikát certifikační autority.

certutil [options] -installCert [CACertFile]

Možnosti:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Obnoví certifikát certifikační autority.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Možnosti:

[-f] [-silent] [-config Machine\CAName]
  • Slouží -f k ignorování nevyřízených žádostí o prodloužení a k vygenerování nové žádosti.

-schema

Vysadí schéma pro certifikát.

certutil [options] -schema [Ext | Attrib | CRL]

Kde:

  • Ve výchozím nastavení se příkaz nastaví na tabulku Požadavek a certifikát.
  • Ext je rozšiřující tabulka.
  • Atribut je tabulka atributů.
  • Seznam CRL je tabulka seznamu CRL.

Možnosti:

[-split] [-config Machine\CAName]

-view

Vysadí zobrazení certifikátu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Kde:

  • Fronta vyřadí konkrétní frontu požadavků.
  • Protokol vypíše vystavené nebo odvolané certifikáty a všechny neúspěšné požadavky.
  • LogFail vypíše neúspěšné požadavky.
  • Odvolán výpis odvolaných certifikátů.
  • Ext vysadí tabulku rozšíření.
  • Attrib vypisuje tabulku atributů.
  • Seznam CRL vysadí tabulku seznamu CRL.
  • Csv poskytuje výstup pomocí hodnot oddělených čárkami.

Možnosti:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Poznámky

  • Pokud chcete zobrazit sloupec StatusCode pro všechny položky, zadejte -out StatusCode
  • Pokud chcete zobrazit všechny sloupce pro poslední položku, zadejte: -restrict RequestId==$
  • Pokud chcete zobrazit ID požadavku a dispozici pro tři požadavky, zadejte: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • Pokud chcete zobrazit ID řádků a čísla CRL pro všechny základní seznamy CRL, zadejte: -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • Pokud chcete zobrazit číslo seznamu CRL základního seznamu CRL 3, zadejte: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • Pokud chcete zobrazit celou tabulku seznamu CRL, zadejte: CRL
  • Používá se Date[+|-dd:hh] pro omezení kalendářních dat.
  • Slouží now+dd:hh pro datum relativní k aktuálnímu času.
  • Šablony obsahují rozšířené použití klíče (EKU), což jsou identifikátory objektů (ID), které popisují způsob použití certifikátu. Certifikáty vždy neobsahují běžné názvy šablon nebo zobrazované názvy, ale vždy obsahují šablony EKU. Můžete extrahovat EKU pro konkrétní šablonu certifikátu ze služby Active Directory a pak omezit zobrazení na základě daného rozšíření.

-db

Vysadí nezpracovanou databázi.

certutil [options] -db

Možnosti:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Odstraní řádek z databáze serveru.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Kde:

  • Požadavek odstraní neúspěšné a nevyřízené žádosti na základě data odeslání.
  • Certifikát odstraní prošlé a odvolané certifikáty na základě data vypršení platnosti.
  • Ext odstraní tabulku rozšíření.
  • Attrib odstraní tabulku atributů.
  • Seznam CRL odstraní tabulku seznamu CRL.

Možnosti:

[-f] [-config Machine\CAName]

Příklady

  • Pokud chcete odstranit neúspěšné a čekající žádosti odeslané do 22. ledna 2001, zadejte: 1/22/2001 request
  • Pokud chcete odstranit všechny certifikáty, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 cert
  • Pokud chcete odstranit řádek certifikátu, atributy a rozšíření pro RequestID 37, zadejte: 37
  • Pokud chcete odstranit seznamy CRL, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 crl

Poznámka:

Datum místo 22. ledna 2001 očekává formát mm/dd/yyyydd/mm/yyyy1/22/200122/1/2001. Pokud váš server není nakonfigurovaný s místním nastavením USA, může použití argumentu Date vést k neočekávaným výsledkům.

-backup

Zálohuje službu Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Kde:

  • BackupDirectory je adresář pro ukládání zálohovaných dat.
  • Přírůstkové provádí pouze přírůstkové zálohování (výchozí hodnota je úplné zálohování).
  • KeepLog zachovává soubory protokolu databáze (výchozí hodnota je zkrácení souborů protokolu).

Možnosti:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Zálohuje databázi služby Active Directory Certificate Services.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Kde:

  • BackupDirectory je adresář pro ukládání zálohovaných databázových souborů.
  • Přírůstkové provádí pouze přírůstkové zálohování (výchozí hodnota je úplné zálohování).
  • KeepLog zachovává soubory protokolu databáze (výchozí hodnota je zkrácení souborů protokolu).

Možnosti:

[-f] [-config Machine\CAName]

-backupkey

Zálohuje certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -backupkey BackupDirectory

Kde:

  • BackupDirectory je adresář pro uložení zálohovaného souboru PFX.

Možnosti:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Obnoví službu Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Kde:

  • BackupDirectory je adresář obsahující data, která se mají obnovit.

Možnosti:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Obnoví databázi služby Active Directory Certificate Services.

certutil [options] -restoredb BackupDirectory

Kde:

  • BackupDirectory je adresář obsahující soubory databáze, které se mají obnovit.

Možnosti:

[-f] [-config Machine\CAName]

-restorekey

Obnoví certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -restorekey BackupDirectory | PFXFile

Kde:

  • BackupDirectory je adresář obsahující soubor PFX, který se má obnovit.
  • PFXFile je soubor PFX , který se má obnovit.

Možnosti:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportuje certifikáty a privátní klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Kde:

  • CertificateStoreName je název úložiště certifikátů.
  • CertId je token shody certifikátu nebo seznamu CRL.
  • PFXFile je soubor PFX , který se má exportovat.
  • Modifikátory jsou seznam oddělený čárkami, který může obsahovat jednu nebo více z následujících:
    • CryptoAlgorithm= určuje kryptografický algoritmus, který se má použít k šifrování souboru PFX, například TripleDES-Sha1 nebo Aes256-Sha256.
    • EncryptCert – Zašifruje privátní klíč přidružený k certifikátu pomocí hesla.
    • ExportParameters -Exports parametry privátního klíče kromě certifikátu a privátního klíče.
    • ExtendedProperties – Zahrnuje všechny rozšířené vlastnosti přidružené k certifikátu ve výstupním souboru.
    • NoEncryptCert – Exportuje privátní klíč bez jeho šifrování.
    • NoChain – Neimportuje řetěz certifikátů.
    • NoRoot – Neimportuje kořenový certifikát.

-importPFX

Importuje certifikáty a privátní klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Kde:

  • CertificateStoreName je název úložiště certifikátů.
  • PFXFile je soubor PFX , který se má importovat.
  • Modifikátory jsou seznam oddělený čárkami, který může obsahovat jednu nebo více z následujících:
    • AT_KEYEXCHANGE – změní klíč na výměnu klíčů.
    • AT_SIGNATURE – změní klíč klíče na podpis.
    • ExportEncrypted – Exportuje privátní klíč přidružený k certifikátu s šifrováním hesla.
    • FriendlyName= – Určuje popisný název importovaného certifikátu.
    • KeyDescription= – Určuje popis privátního klíče přidruženého k importovanému certifikátu.
    • KeyFriendlyName= – Určuje popisný název privátního klíče přidruženého k importovanému certifikátu.
    • NoCert – Neimportuje certifikát.
    • NoChain – Neimportuje řetěz certifikátů.
    • NoExport – znepřístupňuje privátní klíč.
    • NoProtect – nechrání klíče heslem pomocí hesla.
    • NoRoot – Neimportuje kořenový certifikát.
    • Pkcs8 – pro privátní klíč v souboru PFX používá formát PKCS8.
    • Ochrana – chrání klíče pomocí hesla.
    • ProtectHigh – Určuje, že heslo s vysokým zabezpečením musí být přidružené k privátnímu klíči.
    • VSM – Uloží privátní klíč přidružený k importovanému certifikátu do kontejneru virtuální čipové karty (VSC).

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Poznámky

  • Výchozí hodnota je osobní úložiště počítačů.

-dynamicfilelist

Zobrazí dynamický seznam souborů.

certutil [options] -dynamicfilelist

Možnosti:

[-config Machine\CAName]

-databaselocations

Zobrazí umístění databáze.

certutil [options] -databaselocations

Možnosti:

[-config Machine\CAName]

-hashfile

Vygeneruje a zobrazí kryptografickou hodnotu hash v souboru.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Vysadí úložiště certifikátů.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Kde:

  • CertificateStoreName je název úložiště certifikátů. Například:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId je token shody certifikátu nebo seznamu CRL. Toto ID může být následující:

    • Sériové číslo
    • Certifikát SHA-1
    • CRL, CTL nebo hodnota hash veřejného klíče
    • Číselný index certifikátu (0, 1 atd.)
    • Číselný index seznamu CRL (.0, .1 atd.)
    • Číselný index CTL (.. 0, .. 1 atd.)
    • Veřejný klíč
    • Id objektu podpisu nebo rozšíření
    • Běžný název subjektu certifikátu
    • E-mailová adresa
    • Hlavní název uživatele (UPN) nebo NÁZEV DNS
    • Název kontejneru klíčů nebo název CSP
    • Název šablony nebo ID objektu
    • EKU nebo Application Policies ObjectId
    • Běžný název vystavitele seznamu CRL

Mnoho z těchto identifikátorů může mít za následek více shod.

  • OutputFile je soubor použitý k uložení odpovídajících certifikátů.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
  • Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
  • Tato -service možnost přistupuje k úložišti služeb počítače.
  • Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

Například:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Poznámka:

Při použití parametru s těmito dvěma aspekty se pozorují problémy s výkonem -store :

  1. Pokud počet certifikátů v úložišti překročí 10.
  2. Když zadáte identifikátor CertId , použije se ke shodě všech uvedených typů pro každý certifikát. Pokud je například zadané sériové číslo , pokusí se také shodovat se všemi ostatními uvedenými typy.

Pokud máte obavy o problémy s výkonem, doporučuje se příkazy PowerShellu, kde se bude shodovat pouze se zadaným typem certifikátu.

-enumstore

Vytvoří výčet úložišť certifikátů.

certutil [options] -enumstore [\\MachineName]

Kde:

  • MachineName je název vzdáleného počítače.

Možnosti:

[-enterprise] [-user] [-grouppolicy]

-addstore

Přidá certifikát do úložiště. Další informace najdete v tomto článku v parametru -store .

certutil [options] -addstore CertificateStoreName InFile

Kde:

  • CertificateStoreName je název úložiště certifikátů.
  • InFile je soubor certifikátu nebo seznamu CRL, který chcete přidat do úložiště.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Odstraní certifikát z úložiště. Další informace najdete v tomto článku v parametru -store .

certutil [options] -delstore CertificateStoreName certID

Kde:

  • CertificateStoreName je název úložiště certifikátů.
  • CertId je token shody certifikátu nebo seznamu CRL.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Ověří certifikát v úložišti. Další informace najdete v tomto článku v parametru -store .

certutil [options] -verifystore CertificateStoreName [CertId]

Kde:

  • CertificateStoreName je název úložiště certifikátů.
  • CertId je token shody certifikátu nebo seznamu CRL.

Možnosti:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Opraví přidružení klíče nebo aktualizují vlastnosti certifikátu nebo popisovač zabezpečení klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Kde:

  • CertificateStoreName je název úložiště certifikátů.

  • CertIdList je čárkami oddělený seznam tokenů shody certifikátu nebo seznamu CRL. Další informace najdete -store v popisu CertId v tomto článku.

  • PropertyInfFile je soubor INF obsahující externí vlastnosti, včetně:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vysadí úložiště certifikátů. Další informace najdete v tomto článku v parametru -store .

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Kde:

  • CertificateStoreName je název úložiště certifikátů. Například:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId je token shody certifikátu nebo seznamu CRL. Může to být:

    • Sériové číslo
    • Certifikát SHA-1
    • Hodnota hash CRL, CTL nebo veřejného klíče
    • Číselný index certifikátu (0, 1 atd.)
    • Číselný index seznamu CRL (.0, .1 atd.)
    • Číselný index CTL (.. 0, .. 1 atd.)
    • Veřejný klíč
    • Id objektu podpisu nebo rozšíření
    • Běžný název subjektu certifikátu
    • E-mailová adresa
    • Hlavní název uživatele (UPN) nebo NÁZEV DNS
    • Název kontejneru klíčů nebo název CSP
    • Název šablony nebo ID objektu
    • EKU nebo Application Policies ObjectId
    • Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

  • OutputFile je soubor použitý k uložení odpovídajících certifikátů.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
  • Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
  • Tato -service možnost přistupuje k úložišti služeb počítače.
  • Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

Například:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Odstraní certifikát z úložiště.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Kde:

  • CertificateStoreName je název úložiště certifikátů. Například:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId je token shody certifikátu nebo seznamu CRL. Může to být:

    • Sériové číslo
    • Certifikát SHA-1
    • Hodnota hash CRL, CTL nebo veřejného klíče
    • Číselný index certifikátu (0, 1 atd.)
    • Číselný index seznamu CRL (.0, .1 atd.)
    • Číselný index CTL (.. 0, .. 1 atd.)
    • Veřejný klíč
    • Id objektu podpisu nebo rozšíření
    • Běžný název subjektu certifikátu
    • E-mailová adresa
    • Hlavní název uživatele (UPN) nebo NÁZEV DNS
    • Název kontejneru klíčů nebo název CSP
    • Název šablony nebo ID objektu
    • EKU nebo Application Policies ObjectId
    • Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

  • OutputFile je soubor použitý k uložení odpovídajících certifikátů.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
  • Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
  • Tato -service možnost přistupuje k úložišti služeb počítače.
  • Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

Například:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

Vyvolá rozhraní certutil.

certutil [options] -UI File [import]

-TPMInfo

Zobrazí informace o modulu Důvěryhodné platformy.

certutil [options] -TPMInfo

Možnosti:

[-f] [-Silent] [-split]

-attest

Určuje, že soubor žádosti o certifikát by měl být potvrzen.

certutil [options] -attest RequestFile

Možnosti:

[-user] [-Silent] [-split]

-getcert

Vybere certifikát z uživatelského rozhraní pro výběr.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Možnosti:

[-Silent] [-split]

-ds

Zobrazí rozlišující názvy adresářové služby (DS).

certutil [options] -ds [CommonName]

Možnosti:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Odstraní sítě DS DS.

certutil [options] -dsDel [CommonName]

Možnosti:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certifikát nebo seznam odvolaných certifikátů (CRL) do služby Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Kde:

  • CertFile je název souboru certifikátu, který se má publikovat.
  • NTAuthCA publikuje certifikát do úložiště DS Enterprise.
  • RootCA publikuje certifikát do důvěryhodného kořenového úložiště DS.
  • SubCA publikuje certifikát certifikační autority do objektu certifikační autority DS.
  • CrossCA publikuje křížový certifikát do objektu certifikační autority DS.
  • KRA publikuje certifikát do objektu agenta obnovení klíčů DS.
  • Uživatel publikuje certifikát do objektu User DS.
  • Počítač publikuje certifikát do objektu Machine DS.
  • CRLfile je název souboru CRL, který se má publikovat.
  • DSCDPContainer je CN kontejneru CDP DS, obvykle název počítače certifikační autority.
  • DSCDPCN je objekt DS CDP CN založený na upraveném krátkém názvu certifikační autority a indexu klíče.

Možnosti:

[-f] [-user] [-dc DCName]
  • Slouží -f k vytvoření nového objektu DS.

-dsCert

Zobrazí certifikáty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Možnosti:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zobrazí seznamy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Možnosti:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zobrazí rozdílové seznamy CRL DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Možnosti:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zobrazí atributy šablony DS.

certutil [options] -dsTemplate [Template]

Možnosti:

[Silent] [-dc DCName]

-dsAddTemplate

Přidá šablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Možnosti:

[-dc DCName]

-ADTemplate

Zobrazí šablony služby Active Directory.

certutil [options] -ADTemplate [Template]

Možnosti:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Zobrazí šablony zásad zápisu certifikátů.

Možnosti:

certutil [options] -Template [Template]

Možnosti:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zobrazí certifikační autority (CA) pro šablonu certifikátu.

certutil [options] -TemplateCAs Template

Možnosti:

[-f] [-user] [-dc DCName]

-CATemplates

Zobrazí šablony certifikační autority.

certutil [options] -CATemplates [Template]

Možnosti:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Nastaví šablony certifikátů, které může certifikační autorita vydat.

certutil [options] -SetCATemplates [+ | -] TemplateList

Kde:

  • Podpis + přidá šablony certifikátů do seznamu dostupných šablon certifikační autority.
  • Podpis - odebere šablony certifikátů ze seznamu dostupných šablon certifikační autority.

-SetCASites

Spravuje názvy webů, včetně nastavení, ověřování a odstraňování názvů webů certifikační autority.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Kde:

  • Název webu je povolený jenom při cílení na jednu certifikační autoritu.

Možnosti:

[-f] [-config Machine\CAName] [-dc DCName]

Poznámky

  • Možnost -config cílí na jednu certifikační autoritu (výchozí hodnota je všechna certifikační autorita).
  • Tuto -f možnost lze použít k přepsání chyb ověřování pro zadaný název webu nebo k odstranění všech názvů webů certifikační autority.

Poznámka:

Další informace o konfiguraci certifikačních autorit pro sledování lokalit služby Active Directory Domain Services (AD DS) najdete v tématu Sledování lokalit služby AD DS pro klienty SLUŽBY AD CS a PKI.

-enrollmentServerURL

Zobrazí, přidá nebo odstraní adresy URL registračního serveru přidružené k certifikační autoritě.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Kde:

  • AuthenticationType určuje jednu z následujících metod ověřování klienta při přidávání adresy URL:
    • Kerberos – Použijte přihlašovací údaje protokolu Kerberos SSL.
    • Uživatelské jméno – Pro přihlašovací údaje SSL použijte pojmenovaný účet.
    • ClientCertificate – Použijte přihlašovací údaje SSL certifikátu X.509.
    • Anonymní – Použijte anonymní přihlašovací údaje SSL.
  • odstraní zadanou adresu URL přidruženou k certifikační autoritě.
  • Priorita1 je výchozí hodnota, pokud není zadána při přidávání adresy URL.
  • Modifikátory jsou čárkami oddělený seznam, který obsahuje jednu nebo více z následujících položek:
    • PovolitRenewalsOnly lze do této certifikační autority odeslat pouze žádosti o obnovení prostřednictvím této adresy URL.
    • AllowKeyBasedRenewal umožňuje použít certifikát, který nemá v AD přidružený účet. To platí jenom v režimu ClientCertificate a AllowRenewalsOnly .

Možnosti:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zobrazí certifikační autority služby Active Directory.

certutil [options] -ADCA [CAName]

Možnosti:

[-f] [-split] [-dc DCName]

-CA

Zobrazí certifikační autority zásad zápisu.

certutil [options] -CA [CAName | TemplateName]

Možnosti:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Zobrazí zásady registrace.

certutil [options] -Policy

Možnosti:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zobrazí nebo odstraní položky mezipaměti zásad registrace.

certutil [options] -PolicyCache [delete]

Kde:

  • odstraní položky mezipaměti serveru zásad.
  • -f odstraní všechny položky mezipaměti.

Možnosti:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zobrazí, přidá nebo odstraní položky úložiště přihlašovacích údajů.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Kde:

  • Adresa URL je cílová adresa URL. Můžete také použít * ke shodě všech položek nebo https://machine* ke shodě s předponou adresy URL.
  • přidání přidá položku úložiště přihlašovacích údajů. Použití této možnosti také vyžaduje použití přihlašovacích údajů SSL.
  • odstranění odstraní položky úložiště přihlašovacích údajů.
  • -f přepíše jednu položku nebo odstraní více položek.

Možnosti:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Nainstaluje výchozí šablony certifikátů.

certutil [options] -InstallDefaultTemplates

Možnosti:

[-dc DCName]

-URL

Ověřuje adresy URL certifikátů nebo seznamů CRL.

certutil [options] -URL InFile | URL

Možnosti:

[-f] [-split]

-URLCache

Zobrazí nebo odstraní položky mezipaměti url.

certutil [options] -URLcache [URL | CRL | * [delete]]

Kde:

  • Adresa URL je adresa URL uložená v mezipaměti.
  • CRL běží jenom na všech adresách URL seznamu CRL uložených v mezipaměti.
  • * funguje na všech adresách URL uložených v mezipaměti.
  • odstraní relevantní adresy URL z místní mezipaměti aktuálního uživatele.
  • -f vynutí načtení konkrétní adresy URL a aktualizaci mezipaměti.

Možnosti:

[-f] [-split]

-pulse

Pulzuje událost automatického zápisu nebo úkolLZ.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Kde:

  • TaskName je úkol, který se má aktivovat.
    • Pregen je předgenová úloha KLÍČE KLÍČE.
    • AIKEnroll je úloha zápisu certifikátu AIK NA PLATFORMĚ. (Výchozí hodnota je událost automatického zápisu).
  • SRKThumbprint je kryptografický otisk kořenového klíče úložiště.
  • Modifikátory:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • Kryptopolitika
    • Klávesová zkratka
    • DIMSRoam

Možnosti:

[-user]

-MachineInfo

Zobrazí informace o objektu počítače služby Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zobrazí informace o řadiči domény. Ve výchozím nastavení se zobrazují certifikáty řadiče domény bez ověření.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

  • Modifikátory:

    • Ověřte
    • SmazatBad
    • SmazatVše

Možnosti:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Návod

Možnost zadat doménu služby Active Directory Domain Services (AD DS) [Domain] a zadat řadič domény (-dc) byl přidán ve Windows Serveru 2012. Pokud chcete příkaz úspěšně spustit, musíte použít účet, který je členem Domain Admins nebo Enterprise Admins. Změny chování tohoto příkazu jsou následující:

  • Pokud není zadaná doména a není zadaný konkrétní řadič domény, vrátí tato možnost seznam řadičů domény, které se mají zpracovat z výchozího řadiče domény.
  • Pokud není zadaná doména, ale je zadán řadič domény, vygeneruje se sestava certifikátů na zadaném řadiči domény.
  • Pokud je zadaná doména, ale řadič domény není zadaný, vygeneruje se seznam řadičů domény spolu se sestavami certifikátů pro každý řadič domény v seznamu.
  • Pokud je zadaná doména a řadič domény, vygeneruje se seznam řadičů domény z cílového řadiče domény. Vygeneruje se také sestava certifikátů pro každý řadič domény v seznamu.

Předpokládejme například, že existuje doména CPANDL s řadičem domény S názvem CPANDL-DC1. Spuštěním následujícího příkazu můžete načíst seznam řadičů domény a jejich certifikátů z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Zobrazí informace o podnikové certifikační autoritě.

certutil [options] -EntInfo DomainName\MachineName$

Možnosti:

[-f] [-user]

-TCAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -TCAInfo [DomainDN | -]

Možnosti:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zobrazí informace o čipové kartě.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Kde:

  • CRYPT_DELETEKEYSET odstraní všechny klávesy na čipové kartě.

Možnosti:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Spravuje kořenové certifikáty čipových karet.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Možnosti:

[-f] [-split] [-p Password]

-key

Zobrazí seznam klíčů uložených v kontejneru klíčů.

certutil [options] -key [KeyContainerName | -]

Kde:

  • KeyContainerName je název kontejneru klíčů, který má klíč ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
  • - Použití znaménka odkazuje na použití výchozího kontejneru klíčů.

Možnosti:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Odstraní pojmenovaný kontejner klíčů.

certutil [options] -delkey KeyContainerName

Možnosti:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Odstraní kontejner Windows Hello a odebere všechny přidružené přihlašovací údaje uložené v zařízení, včetně všech přihlašovacích údajů WebAuthn a FIDO.

Po dokončení této možnosti se uživatelé musí odhlásit.

certutil [options] -DeleteHelloContainer

-verifykeys

Ověřuje sadu veřejného nebo privátního klíče.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Kde:

  • KeyContainerName je název kontejneru klíčů, který má klíč ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
  • CACertFile podepíše nebo šifruje soubory certifikátů.

Možnosti:

[-f] [-user] [-Silent] [-config Machine\CAName]

Poznámky

  • Pokud nejsou zadány žádné argumenty, každý podpisový certifikát certifikační autority je ověřený vůči jeho privátnímu klíči.
  • Tuto operaci lze provést pouze s místní certifikační autoritou nebo místními klíči.

-verify

Ověřuje certifikát, seznam odvolaných certifikátů (CRL) nebo řetěz certifikátů.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Kde:

  • CertFile je název certifikátu, který chcete ověřit.
  • ApplicationPolicyList je volitelný čárkami oddělený seznam požadovaných ID objektu zásad aplikace.
  • IssuancePolicyList je volitelný čárkami oddělený seznam požadovaných ID objektu zásad vystavování.
  • CACertFile je volitelný vydávající certifikát certifikační autority pro ověření.
  • CrossedCACertFile je volitelný certifikát, který certifikuje CertFile.
  • CRLFile je soubor CRL použitý k ověření souboru CACertFile.
  • IssuedCertFile je volitelný vystavený certifikát, na který se vztahuje crlfile.
  • DeltaCRLFile je volitelný rozdílový soubor CRL.
  • Modifikátory:
    • Silné – ověření silného podpisu
    • MSRoot – Musí se zřetězení s kořenem Microsoftu
    • MSTestRoot – Musí být zřetězený do kořenového adresáře testu Microsoftu.
    • AppRoot – Musí být zřetězený do kořenového adresáře aplikace Microsoftu.
    • EV – Vynucení rozšířených zásad ověřování

Možnosti:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Poznámky

  • Použití ApplicationPolicyList omezuje řetězové sestavování pouze na řetězy platné pro zadané zásady aplikace.
  • Použití nástroje IssuancePolicyList omezuje řetězové sestavování pouze na řetězy platné pro zadané zásady vystavování.
  • Pomocí souboru CACertFile ověříte pole v souboru proti souboru CertFile nebo CRLfile.
  • Pokud není zadaný soubor CACertFile , celý řetěz se sestaví a ověří v souboru CertFile.
  • Pokud jsou zadány oba soubory CACertFile a CrossedCACertFile , jsou pole v obou souborech ověřena vůči souboru CertFile.
  • Použití IssuedCertFile ověřuje pole v souboru proti CRLfile.
  • Použití souboru DeltaCRLFile ověřuje pole v souboru proti souboru CertFile.

-verifyCTL

Ověřuje hodnotu CTL certifikátů AuthRoot nebo Nepovolené certifikáty.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Kde:

  • Objekt CTLObject identifikuje hodnotu CTL k ověření, včetně následujících:

    • AuthRootWU přečte soubor AuthRoot CAB a odpovídající certifikáty z mezipaměti URL. Místo toho se používá -f ke stažení ze služby Windows Update.
    • NepovolenéWU přečte soubor CAB nepovolené certifikáty a nepovolí soubor úložiště certifikátů z mezipaměti URL. Místo toho se používá -f ke stažení ze služby Windows Update.
      • PinRulesWU čte kód CAB PinRules z mezipaměti url. Místo toho se používá -f ke stažení ze služby Windows Update.
    • AuthRoot přečte hodnotu CTL AuthRoot uloženou v mezipaměti registru. Pomocí souboru CertFile a nedůvěryhodným souborem -f vynutí aktualizaci seznamů CTL s certifikátem uložených v mezipaměti v mezipaměti AuthRoot a Nepovolené certifikáty.
    • Nepovolené čtení hodnoty CTL certifikátů uložených v mezipaměti registru. Pomocí souboru CertFile a nedůvěryhodným souborem -f vynutí aktualizaci seznamů CTL s certifikátem uložených v mezipaměti v mezipaměti AuthRoot a Nepovolené certifikáty.
      • Připnutírules čte hodnotu CTL v mezipaměti registru PinRules. Použití -f má stejné chování jako u PinRulesWU.
    • CTLFileName určuje soubor nebo cestu HTTP k souboru CTL nebo CAB.

  • CertDir určuje složku obsahující certifikáty odpovídající položkám CTL. Výchozí hodnota je stejná složka nebo web jako objekt CTLobject. Použití cesty ke složce HTTP vyžaduje oddělovač cest na konci. Pokud AuthRoot nebo Nepovolíte, vyhledá se v několika umístěních odpovídající certifikáty, včetně místních úložišť certifikátů, crypt32.dll prostředků a místní mezipaměti URL. Podle -f potřeby můžete stáhnout ze služby Windows Update.

  • Soubor CertFile určuje certifikáty, které se mají ověřit. Certifikáty se shodují s položkami seznamu CTL a zobrazují výsledky. Tato možnost potlačí většinu výchozího výstupu.

Možnosti:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certifikáty se službou Windows Update.

certutil [options] -syncWithWU DestinationDir

Kde:

  • DestinationDir je zadaný adresář.
  • f vynutí přepsání.
  • Kódování Unicode zapisuje přesměrovaný výstup v kódování Unicode.
  • gmt zobrazuje časy jako GMT.
  • sekundy zobrazují časy s sekundami a milisekundami.
  • v je podrobná operace.
  • PIN kód je PIN kód čipové karty.
  • WELL_KNOWN_SID_TYPE je číselný identifikátor SID:
    • 22 – Místní systém
    • 23. Místní služba
    • 24. Síťová služba

Poznámky

Následující soubory se stáhnou pomocí mechanismu automatické aktualizace:

  • authrootstl.cab obsahuje seznamy CTL kořenových certifikátů jiných společností než Microsoft.
  • disallowedcertstl.cab obsahuje seznamy CTL nedůvěryhodných certifikátů.
  • disallowedcert.sst obsahuje serializované úložiště certifikátů, včetně nedůvěryhodných certifikátů.
  • thumbprint.crt obsahuje kořenové certifikáty od jiných společností než Microsoft.

Například: certutil -syncWithWU \\server1\PKI\CTLs.

  • Pokud jako cílovou složku používáte neexistující místní cestu nebo složku, zobrazí se tato chyba: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Pokud jako cílovou složku používáte neexistující nebo nedostupné síťové umístění, zobrazí se tato chyba: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Pokud se váš server nemůže připojit přes port TCP 80 k serverům Microsoft Automatic Update, zobrazí se následující chyba: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Pokud se váš server nemůže spojit se servery Microsoft Automatic Update s názvem ctldl.windowsupdate.comDNS, zobrazí se následující chyba: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Pokud přepínač nepoužíváte -f a v adresáři už existují žádné soubory CTL, zobrazí se chyba: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • Pokud dojde ke změně důvěryhodných kořenových certifikátů, uvidíte: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Možnosti:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Vygeneruje soubor úložiště, který se synchronizuje se službou Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Kde:

  • SSTFile je .sst soubor, který se má vygenerovat, který obsahuje kořeny třetích stran stažené ze služby Windows Update.

Možnosti:

[-f] [-split]

-generatePinRulesCTL

Vygeneruje soubor seznamu důvěryhodných certifikátů (CTL), který obsahuje seznam pravidel připnutí.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Kde:

  • XMLFile je vstupní soubor XML, který se má analyzovat.
  • CTLFile je výstupní soubor CTL, který se má vygenerovat.
  • SSTFile je volitelný .sst soubor, který se má vytvořit, který obsahuje všechny certifikáty použité k připnutí.
  • QueryFilesPrefix jsou volitelné Domains.csv a Keys.csv soubory, které se mají vytvořit pro databázový dotaz.
    • Řetězec QueryFilesPrefix je před každým vytvořeným souborem.
    • Soubor Domains.csv obsahuje název pravidla, řádky domény.
    • Soubor Keys.csv obsahuje název pravidla, řádky kryptografického otisku SHA256 klíče.

Možnosti:

[-f]

-downloadOcsp

Stáhne odpovědi OCSP a zapíše do adresáře.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Kde:

  • CertificateDir je adresář certifikátu, ukládání a souborů PFX.
  • OcspDir je adresář pro zápis odpovědí OCSP.
  • ThreadCount je volitelný maximální počet vláken pro souběžné stahování. Výchozí hodnota je 10.
  • Modifikátory jsou čárkami oddělený seznam jednoho nebo několika z následujících:
    • DownloadOnce - Stahování jednou a ukončí se.
    • ReadOcsp – čte z OcspDir místo zápisu.

-generateHpkpHeader

Vygeneruje hlavičku HPKP pomocí certifikátů v zadaném souboru nebo adresáři.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Kde:

  • CertFileOrDir je soubor nebo adresář certifikátů, což je zdroj pin-sha256.
  • MaxAge je hodnota maximálního stáří v sekundách.
  • ReportUri je volitelný identifikátor URI sestavy.
  • Modifikátory jsou čárkami oddělený seznam jednoho nebo několika z následujících:
    • includeSubDomains – připojí includeSubDomains .

-flushCache

Vyprázdní zadané mezipaměti ve vybraném procesu, například lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Kde:

  • ProcessId je číselné ID procesu, který se má vyprázdnit. Nastavte na hodnotu 0 pro vyprázdnění všech procesů, kde je povoleno vyprazdování.

  • CacheMask je bitová maska mezipamětí, která se má vyprázdnit číselnými nebo následujícími bity:

    • 0: Zobrazit pouze
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

  • Modifikátory jsou čárkami oddělený seznam jednoho nebo několika z následujících:

    • Zobrazit – zobrazuje vyprázdnění mezipamětí. Certutil musí být explicitně ukončen.

-addEccCurve

Přidá křivku ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Kde:

  • CurveClass je typ třídy ECC Curve:

    • WEIERSTRASS (výchozí)
    • MONTGOMERY
    • TWISTED_EDWARDS

  • CurveName je název křivky ECC.

  • CurveParameters jsou jedna z následujících možností:

    • Název souboru certifikátu obsahující parametry kódované jako ASN.
    • Soubor obsahující parametry kódované jako ASN.

  • CurveOID je OID křivky ECC a je jedním z následujících:

    • Název souboru certifikátu obsahující identifikátor OID kódovaný jako ASN.
    • Explicitní OID křivky ECC.

  • CurveType je bod Schannel ECC NamedCurve (číselný).

Možnosti:

[-f]

-deleteEccCurve

Odstraní křivku ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Kde:

  • CurveName je název křivky ECC.
  • CurveOID je OID křivky ECC.

Možnosti:

[-f]

-displayEccCurve

Zobrazí křivku ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Kde:

  • CurveName je název křivky ECC.
  • CurveOID je OID křivky ECC.

Možnosti:

[-f]

-csplist

Zobrazí seznam poskytovatelů kryptografických služeb (CSP) nainstalovaných na tomto počítači pro kryptografické operace.

certutil [options] -csplist [Algorithm]

Možnosti:

[-user] [-Silent] [-csp Provider]

-csptest

Otestuje poskytovatele cloudových služeb nainstalovaných na tomto počítači.

certutil [options] -csptest [Algorithm]

Možnosti:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zobrazí kryptografickou konfiguraci CNG na tomto počítači.

certutil [options] -CNGConfig

Možnosti:

[-Silent]

-sign

Znovu podepíše seznam odvolaných certifikátů (CRL) nebo certifikát.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Kde:

  • InFileList je čárkami oddělený seznam souborů certifikátu nebo seznamu CRL pro úpravy a opětovné podepsání.

  • SerialNumber je sériové číslo certifikátu, který se má vytvořit. Doba platnosti a další možnosti se nedají zobrazit.

  • Seznam CRL vytvoří prázdný seznam CRL. Doba platnosti a další možnosti se nedají zobrazit.

  • OutFileList je čárkami oddělený seznam upravených certifikátů nebo výstupních souborů seznamu CRL. Počet souborů se musí shodovat se seznamem souborů.

  • StartDate+dd:hh je nové období platnosti pro soubory certifikátu nebo seznamu CRL, včetně:

    • volitelné datum plus
    • Volitelné dny a doby platnosti, pokud se používá více polí, použijte oddělovač (+) nebo (-). Slouží now[+dd:hh] k zahájení v aktuálním čase. Slouží now-dd:hh+dd:hh k zahájení pevného posunu od aktuálního času a pevného období platnosti. Použijte never k tomu, abyste neměli žádné datum vypršení platnosti (pouze pro seznamy CRL).

  • SerialNumberList je seznam sériových čísel oddělených čárkami souborů, které chcete přidat nebo odebrat.

  • ObjectIdList je čárkami oddělený seznam ID objektu objektu souborů, které chcete odebrat.

  • @ExtensionFile je soubor INF, který obsahuje přípony pro aktualizaci nebo odebrání. Například:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • HashAlgorithm je název algoritmu hash. Musí se jednat pouze o text, který předchází znaménko # .

  • AlternateSignatureAlgorithm je specifikátor alternativního algoritmu podpisu.

Možnosti:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Poznámky

  • Pomocí znaménka minus (-) odeberete sériová čísla a přípony.
  • Pomocí znaménka plus (+) se přičte sériová čísla k seznamu CRL.
  • Seznam můžete použít k odebrání sériových čísel i ID objektů ze seznamu CRL najednou.
  • Použití znaménka minus před AlternateSignatureAlgorithm umožňuje použít starší formát podpisu.
  • Pomocí znaménka plus můžete použít alternativní formát podpisu.
  • Pokud nezadáte AlternativníSignatureAlgorithm, použije se formát podpisu v certifikátu nebo seznamu CRL.

-vroot

Vytvoří nebo odstraní webové virtuální kořeny a sdílené složky.

certutil [options] -vroot [delete]

-vocsproot

Vytvoří nebo odstraní webové virtuální kořeny pro webový proxy server OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

V případě potřeby přidá aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Kde:

  • addEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:

    • Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
    • Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
    • ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.

  • Modifikátory:

    • AllowRenewalsOnly umožňuje pouze odeslání žádostí o obnovení certifikační autoritě prostřednictvím adresy URL.
    • AllowKeyBasedRenewal umožňuje používat certifikát bez přidruženého účtu ve službě Active Directory. To platí pro použití s režimem ClientCertificate a AllowRenewalsOnly .

Možnosti:

[-config Machine\CAName]

-deleteEnrollmentServer

V případě potřeby odstraní aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Kde:

  • deleteEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:
    • Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
    • Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
    • ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.

Možnosti:

[-config Machine\CAName]

-addPolicyServer

V případě potřeby přidejte aplikaci serveru Policy Server a fond aplikací. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Kde:

  • addPolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
    • Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
    • Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
    • ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.
  • KeyBasedRenewal umožňuje použití zásad vrácených klientovi obsahujícím šablony keybasedrenewal. Tato možnost platí pouze pro ověřování UserName a ClientCertificate .

-deletePolicyServer

V případě potřeby odstraní aplikaci Serveru zásad a fond aplikací. Tento příkaz neodebere binární soubory ani balíčky.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Kde:

  • deletePolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
    • Kerberos používá přihlašovací údaje protokolu Kerberos SSL.
    • Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
    • ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.
  • KeyBasedRenewal umožňuje použít server zásad KeyBasedRenewal.

-Class

Zobrazí informace registru modelu COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Možnosti:

[-f]

-7f

Kontroluje certifikát pro kódování délky 0x7f.

certutil [options] -7f CertFile

-oid

Zobrazí identifikátor objektu nebo nastaví zobrazovaný název.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Kde:

  • ObjectId je ID, které se má zobrazit nebo přidat do zobrazovaného názvu.
  • GroupId je číslo GroupID (desítkové), které ObjectIds vypíše.
  • AlgId je šestnáctkové ID, které objectID vyhledá.
  • AlgorithmName je název algoritmu, který objectID vyhledá.
  • DisplayName zobrazí název, který se má uložit do DS.
  • Odstranění odstraní zobrazovaný název.
  • LanguageId je hodnota ID jazyka (výchozí hodnota je aktuální: 1033).
  • Typ je typ objektu DS, který se má vytvořit, včetně:
    • 1 – Šablona (výchozí)
    • 2 – Zásady vystavování
    • 3 - Zásady aplikace
  • -f vytvoří objekt DS.

Možnosti:

[-f]

-error

Zobrazí text zprávy spojený s kódem chyby.

certutil [options] -error ErrorCode

-getsmtpinfo

Získá informace SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Nastaví informace SMTP.

certutil [options] -setsmtpinfo LogonName

Možnosti:

[-config Machine\CAName] [-p Password]

-getreg

Zobrazí hodnotu registru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Kde:

  • Ca používá klíč registru certifikační autority.
  • restore používá klíč registru obnovení certifikační autority.
  • zásada používá klíč registru modulu zásad.
  • exit používá klíč registru prvního výstupního modulu.
  • šablona používá klíč registru šablony (používá se -user pro uživatelské šablony).
  • registrace používá klíč registru registrace (používá se -user pro kontext uživatele).
  • chain používá klíč registru konfigurace řetězu.
  • PolicyServers používá klíč registru Servery zásad.
  • ProgId používá identifikátor ProgID zásad nebo ukončení modulu (název podklíče registru).
  • RegistryValueName používá název hodnoty registru (slouží Name* k porovnávání předpon).
  • hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu nebo název souboru registru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

  • Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
  • Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
  • Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
  • Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
  • K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
  • Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.
  • Aliasy registru:
    • Nastavení
    • CA
    • Zásady – PolicyModules
    • Exit – ExitModules
    • Obnovení – RestoreInProgress
    • Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
    • Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP – Software\Microsoft\Cryptography\MSCEP
    • Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 – System\CurrentControlSet\Services\crypt32
    • GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
    • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport – Software\Policies\Microsoft\PassportForWork
    • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Nastaví hodnotu registru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Kde:

  • Ca používá klíč registru certifikační autority.
  • restore používá klíč registru obnovení certifikační autority.
  • zásada používá klíč registru modulu zásad.
  • exit používá klíč registru prvního výstupního modulu.
  • šablona používá klíč registru šablony (používá se -user pro uživatelské šablony).
  • registrace používá klíč registru registrace (používá se -user pro kontext uživatele).
  • chain používá klíč registru konfigurace řetězu.
  • PolicyServers používá klíč registru Servery zásad.
  • ProgId používá identifikátor ProgID zásad nebo ukončení modulu (název podklíče registru).
  • RegistryValueName používá název hodnoty registru (slouží Name* k porovnávání předpon).
  • Hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu nebo název souboru registru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

  • Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
  • Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
  • Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
  • Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
  • K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
  • Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.

-delreg

Odstraní hodnotu registru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Kde:

  • Ca používá klíč registru certifikační autority.
  • restore používá klíč registru obnovení certifikační autority.
  • zásada používá klíč registru modulu zásad.
  • exit používá klíč registru prvního výstupního modulu.
  • šablona používá klíč registru šablony (používá se -user pro uživatelské šablony).
  • registrace používá klíč registru registrace (používá se -user pro kontext uživatele).
  • chain používá klíč registru konfigurace řetězu.
  • PolicyServers používá klíč registru Servery zásad.
  • ProgId používá identifikátor ProgID zásad nebo ukončení modulu (název podklíče registru).
  • RegistryValueName používá název hodnoty registru (slouží Name* k porovnávání předpon).
  • Hodnota používá novou číselnou, řetězcovou nebo datovou hodnotu registru nebo název souboru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Možnosti:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Poznámky

  • Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
  • Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
  • Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
  • Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
  • K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
  • Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.
  • Aliasy registru:
    • Nastavení
    • CA
    • Zásady – PolicyModules
    • Exit – ExitModules
    • Obnovení – RestoreInProgress
    • Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
    • Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP – Software\Microsoft\Cryptography\MSCEP
    • Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 – System\CurrentControlSet\Services\crypt32
    • GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
    • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport – Software\Policies\Microsoft\PassportForWork
    • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importuje uživatelské klíče a certifikáty do serverové databáze pro archivaci klíčů.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Kde:

  • UserKeyAndCertFile je datový soubor s privátními klíči uživatele a certifikáty, které se mají archivovat. Tento soubor může být následující:
    • Soubor exportu Serveru správy klíčů Exchange (KMS).
    • Soubor PFX.
  • CertId je token shody certifikátu pro dešifrování souboru exportu Služby správy klíčů. Další informace najdete v tomto článku v parametru -store .
  • -f importuje certifikáty, které nevystavuje certifikační autorita.

Možnosti:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje soubor certifikátu do databáze.

certutil [options] -ImportCert Certfile [ExistingRow]

Kde:

  • ExistujícíRow importuje certifikát místo čekající žádosti o stejný klíč.
  • -f importuje certifikáty, které nevystavuje certifikační autorita.

Možnosti:

[-f] [-config Machine\CAName]

Poznámky

Certifikační autorita může být také potřeba nakonfigurovat tak, aby podporovala cizí certifikáty spuštěním certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Načte archivovaný objekt blob obnovení privátního klíče, vygeneruje skript pro obnovení nebo obnoví archivované klíče.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Kde:

  • Skript vygeneruje skript pro načtení a obnovení klíčů (výchozí chování, pokud se najde více odpovídajících kandidátů obnovení nebo pokud není zadaný výstupní soubor).
  • načte jeden nebo více objektů blob obnovení klíčů (výchozí chování, pokud se najde přesně jeden odpovídající kandidát pro obnovení a pokud je zadán výstupní soubor). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte řetězec specifický pro certifikát a .rec rozšíření pro každý objekt blob obnovení klíče. Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
  • obnovení načte a obnoví privátní klíče v jednom kroku (vyžaduje certifikáty agenta obnovení klíčů a privátní klíče). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte .p12 rozšíření. Každý soubor obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.
  • SearchToken vybere klíče a certifikáty, které se mají obnovit, včetně:
    • Běžný název certifikátu
    • Sériové číslo certifikátu
    • Hash SHA-1 certifikátu (kryptografický otisk)
    • Hodnota hash SHA-1 id certifikátu (identifikátor klíče subjektu)
    • Název žadatele (doména\uživatel)
    • Hlavní názvy uživatele (UPN) (user@domain)
  • RecoveryBlobOutFile vypíše soubor s řetězem certifikátů a přidruženým privátním klíčem, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
  • OutputScriptFile vypíše soubor s dávkovým skriptem pro načtení a obnovení privátních klíčů.
  • OutputFileBaseName vytvoří výstup základního názvu souboru.

Možnosti:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Poznámky

  • Pro načtení se všechna rozšíření zkrátí a řetězec specifický pro certifikát a .rec rozšíření se připojí pro každý objekt blob obnovení klíče. Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
  • Pro obnovení se všechna rozšíření zkrátí a .p12 rozšíření se připojí. Obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.

-RecoverKey

Obnoví archivovaný privátní klíč.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Možnosti:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Sloučí soubory PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Kde:

  • PFXInFileList je čárkami oddělený seznam vstupních souborů PFX.
  • PFXOutFile je název výstupního souboru PFX.
  • Modifikátory jsou čárkami oddělené seznamy jednoho nebo několika z následujících seznamů:
    • ExtendedProperties zahrnuje všechny rozšířené vlastnosti.
    • NoEncryptCert určuje, že se certifikáty nešifrují.
    • EncryptCert určuje šifrování certifikátů.

Možnosti:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Poznámky

  • Heslo zadané na příkazovém řádku musí být seznam hesel oddělený čárkami.
  • Pokud je zadáno více než jedno heslo, použije se poslední heslo pro výstupní soubor. Pokud je zadané jenom jedno heslo nebo pokud je *poslední heslo, zobrazí se uživateli výzva k zadání hesla výstupního souboru.

-add-chain

Přidá řetěz certifikátů.

certutil [options] -add-chain LogId certificate OutFile

Možnosti:

[-f]

-add-pre-chain

Přidá řetěz před certifikáty.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Možnosti:

[-f]

-get-sth

Dostane podepsanou hlavu stromu.

certutil [options] -get-sth [LogId]

Možnosti:

[-f]

-get-sth-consistency

Získá podepsané změny hlavy stromu.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Možnosti:

[-f]

-get-proof-by-hash

Získá doklad o hodnotě hash ze serveru časového razítka.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Možnosti:

[-f]

-get-entries

Načte položky z protokolu událostí.

certutil [options] -get-entries LogId FirstIndex LastIndex

Možnosti:

[-f]

-get-roots

Načte kořenové certifikáty z úložiště certifikátů.

certutil [options] -get-roots LogId

Možnosti:

[-f]

-get-entry-and-proof

Načte položku protokolu událostí a kryptografickou kontrolu.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Možnosti:

[-f]

-VerifyCT

Ověřuje certifikát v protokolu průhlednosti certifikátu.

certutil [options] -VerifyCT Certificate SCT [precert]

Možnosti:

[-f]

-?

Zobrazí seznam parametrů.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Kde:

  • -? zobrazí seznam parametrů.
  • -<name_of_parameter> -? zobrazí obsah nápovědy pro zadaný parametr.
  • -? -v zobrazí podrobný seznam parametrů a možností.

Možnosti

Tato část definuje všechny možnosti, které můžete zadat na základě příkazu. Každý parametr obsahuje informace o tom, které možnosti jsou platné pro použití.

Možnost Popis
-Admin Pro vlastnosti certifikační autority použijte ICertAdmin2.
-anonymní Použijte anonymní přihlašovací údaje SSL.
-cert Identifikátor certifikátu Podpisový certifikát.
-clientcertificate clientCertId Použijte přihlašovací údaje SSL certifikátu X.509. Pro výběr uživatelského rozhraní použijte -clientcertificate.
-config Machine\CAName Certifikační autorita a řetězec názvu počítače.
-poskytovatel csp Poskytovatel:
KSP – Poskytovatel úložiště softwarových klíčů Microsoftu
TPM – Poskytovatel kryptografických služeb platformy Microsoft
EXPORT – Microsoft Passport Key Storage Provider
SC – Zprostředkovatel úložiště klíčů Smart Card Od Microsoftu
-dc dcOzp se Zaměřte se na konkrétní řadič domény.
-podnik Použijte úložiště certifikátů podnikového registru místního počítače.
-f Vynutit přepsání.
-generateSSTFromWU SSTFile Generování SST pomocí mechanismu automatické aktualizace
-Gmt Zobrazení časů pomocí GMT.
-Zásady skupiny Použijte úložiště certifikátů zásad skupiny.
-idispatch Místo nativních metod modelu COM použijte IDispatch.
-kerberos Použijte přihlašovací údaje protokolu Kerberos SSL.
-umístění AlternateStorage Location (-loc) AlternativníUmístění úložiště.
-Mt Zobrazte šablony počítačů.
-nocr Kódování textu bez znaků CR
-nocrlf Zakódujte text bez CR-LF znaků.
-nullsign Použijte hodnotu hash dat jako podpis.
-oldpfx Použijte staré šifrování PFX.
-out columnlist Seznam sloupců oddělený čárkami
-p heslo Heslo
-pin kód PIN PIN kód čipové karty
-policyserver URLorID Adresa URL nebo ID serveru zásad. Pro výběr U/I použijte -policyserver. Pro všechny servery zásad použijte -policyserver *
-soukromý klíč Zobrazí data hesla a privátního klíče.
-chránit Chraňte klíče heslem.
-protectto SAMnameandSIDlist Seznam názvů SAM oddělených čárkami/SID
-omezit seznam omezení Seznam omezení oddělený čárkami Každé omezení se skládá z názvu sloupce, relačního operátoru a konstantního celého čísla, řetězce nebo data. Před jedním názvem sloupce může být znaménko plus nebo minus, které označuje pořadí řazení. Například: requestID = 47, +requestername >= a, requesternamenebo -requestername > DOMAIN, Disposition = 21.
-reverzní Sloupce reverzního protokolu a fronty
-sekundy Časy zobrazení pomocí sekund a milisekund
-služba Použijte úložiště certifikátů služby.
-sid Číselný identifikátor SID:
22 – Místní systém
23 . Místní služba
24 . Síťová služba
-tichý Pomocí příznaku silent můžete získat kontext kryptografie.
-rozdělit Rozdělte vložené prvky ASN.1 a uložte je do souborů.
-sslpolicy název serveru Zásady SSL odpovídající názvu serveru.
-symkeyalg symmetrickeyalgorithm[,délka klíče] Název algoritmu symetrického klíče s volitelnou délkou klíče Například: AES,128 nebo 3DES.
-syncWithWU CílovýDir Synchronizace se službou Windows Update
-t – časový limit Vypršení časového limitu adresy URL v milisekundách
-Unicode Výstup pro přesměrování zápisu v kódování Unicode
-UnicodeText Zápis výstupního souboru v kódování Unicode
-urlfetch Načtěte a ověřte certifikáty AIA a seznamy CRL CDP.
-uživatel Použijte klíče HKEY_CURRENT_USER nebo úložiště certifikátů.
-uživatelské jméno Pro přihlašovací údaje SSL použijte pojmenovaný účet. Pro výběr uživatelského rozhraní použijte -username.
-Ut Umožňuje zobrazit uživatelské šablony.
-v Zadejte podrobnější (podrobné) informace.
-v1 Použijte rozhraní V1.

Hashovací algoritmy: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Další příklady použití tohoto příkazu najdete v následujících článcích: