certutil

Platí pro: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil nedoporučujeme používat v žádném produkčním kódu a neposkytuje žádné záruky podpory živých webů ani kompatibility aplikací. Je to nástroj, který používají vývojáři a správci IT k zobrazení informací o obsahu certifikátu na zařízeních.

Certutil.exe je program příkazového řádku nainstalovaný jako součást Certificate Services. Pomocí certutil.exe můžete zobrazit informace o konfiguraci certifikační autority, konfigurovat certifikační služby a zálohovat a obnovovat součásti certifikační autority. Program také ověřuje certifikáty, páry klíčů a řetězy certifikátů.

Pokud certutil je spuštěna v certifikační autoritě bez dalších parametrů, zobrazí aktuální konfiguraci certifikační autority. Pokud certutil je spuštěna na necertiční autoritě bez dalších parametrů, příkaz ve výchozím nastavení spustí certutil -dump příkaz. Ne všechny verze nástroje certutil poskytují všechny parametry a možnosti, které tento dokument popisuje. Můžete zobrazit volby, které vaše verze nástroje certutil poskytuje spuštěním certutil -? nebo certutil <parameter> -?.

Tip

Chcete-li zobrazit úplnou nápovědu pro všechny příkazy a možnosti nástroje certutil, včetně těch, které jsou skryté z argumentu -? , spusťte certutil -v -uSAGE. Přepínač uSAGE rozlišují malá a velká písmena.

Parameters

-dump

Vysadí informace o konfiguraci nebo soubory.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vysadí strukturu PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analyzuje a zobrazí obsah souboru pomocí syntaxe asN.1 (Abstract Syntax Notation). Mezi typy souborů patří . CER, . Soubory ve formátu DER a PKCS #7

certutil [options] -asn File [type]

[type]: typ dekódování číselného CRYPT_STRING_*

-decodehex

Dekóduje šestnáctkový soubor s kódováním.

certutil [options] -decodehex InFile OutFile [type]

[type]: typ dekódování číselného CRYPT_STRING_*

Options:

[-f]

-encodehex

Zakóduje soubor v šestnáctkové soustavě.

certutil [options] -encodehex InFile OutFile [type]

[type]: číselný typ kódování CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Dekóduje soubor s kódováním Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Zakóduje soubor do Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Odmítne nevyřízenou žádost.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Znovu odešle nevyřízenou žádost.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Nastaví atributy pro čekající žádost o certifikát.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId je číselné ID žádosti pro čekající žádost.
AttributeString je dvojice názvu atributu požadavku a hodnoty.

Options:

[-config Machine\CAName]

Remarks

Názvy a hodnoty musí být odděleny dvojtečkami, zatímco více názvů a párů hodnot musí být odděleno novými řádky. Například: CertificateTemplate:User\nEMail:User@Domain.com kde \n je sekvence převedena na oddělovač nového spojnice.

-setextension

Nastavte rozšíření pro čekající žádost o certifikát.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID je číselné ID požadavku pro čekající požadavek.
ExtensionName je řetězec ObjectId pro rozšíření.
Flags nastavuje prioritu rozšíření. 0 se doporučuje, když 1 nastaví rozšíření na kritické, 2 zakáže rozšíření a 3 provede obojí.

Options:

[-config Machine\CAName]

Remarks

Pokud je poslední parametr číselný, je považován za Long.
Pokud lze poslední parametr analyzovat jako datum, bude brán jako datum.
Pokud poslední parametr začíná na \@, zbytek tokenu je brán jako název souboru s binárními daty nebo jako hexadecimální výpis ASCII-textu.
Pokud je poslední parametr cokoli jiného, považuje se za řetězec.

-revoke

Odvolá certifikát.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber je čárkami oddělený seznam sériových čísel certifikátů, která mají být odvolána.
Důvod je číselné nebo symbolické vyjádření důvodu odvolání, včetně:
- 0. CRL_REASON_UNSPECIFIED - Nespecifikováno (výchozí)
- 1. CRL_REASON_KEY_COMPROMISE - Ohrožení zabezpečení klíče
- 2. CRL_REASON_CA_COMPROMISE - Ohrožení zabezpečení certifikační autority
- 3. CRL_REASON_AFFILIATION_CHANGED - Změna příslušnosti
- 4. CRL_REASON_SUPERSEDED - Nahrazeno
- 5. CRL_REASON_CESSATION_OF_OPERATION - Ukončení činnosti
- 6. CRL_REASON_CERTIFICATE_HOLD - Držení certifikátu
- 8. CRL_REASON_REMOVE_FROM_CRL – Odebrat z seznamu CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Právo odebráno
- 10: CRL_REASON_AA_COMPROMISE - kompromis AA
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Zobrazí dispozici aktuálního certifikátu.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Získá výchozí konfigurační řetězec.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Získá výchozí konfigurační řetězec prostřednictvím ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Získá konfiguraci přes ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Pokusí se kontaktovat rozhraní žádosti služby Active Directory Certificate Services.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList je čárkami oddělený seznam názvů počítačů certifikačních autorit. Pro jeden počítač použijte ukončovací čárku. Tato možnost také zobrazí náklady na lokalitu pro každý počítač certifikační autority.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Pokusí se kontaktovat rozhraní pro správu služby Active Directory Certificate Services.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName označuje vlastnost CA, která se má zobrazit, na základě následující syntaxe argumentu infoname:
- * – Zobrazí všechny vlastnosti.
- reklamy - Advanced Server
- aia [Rejstřík] - AIA URL adresy
- cdp [Index] – adresy URL CDP
- cert [Index] - CA cert
- certchain [Index] - Řetězec certifikátů certifikační autority
- certcount - počet certifikátů certifikační autority
- certcrlchain [Index] – Řetěz certifikátů certifikační autority s seznamy CRL
- certstate [Index] - CA cert
- certstatuscode [Index] – Stav ověření certifikátu certifikační autority
- certversion [Index] - Verze certifikátu CA
- CRL [Index] - Základní seznam CRL
- crlstate [Index] - CRL
- crlstatus [Index] – stav publikování seznamu CRL
- cross- [Index] - Zpětný křížový certifikát
- cross+ [Index] - Dopředný křížový certifikát
- crossstate- [Index] - Zpětný křížový certifikát
- crossstate+ [Index] - Dopředný křížový certifikát
- deltacrl [Index] – rozdílový seznam CRL
- deltacrlstatus [Index] – Stav publikování rozdílového seznamu CRL
- dns - název DNS
- dsname – Upravený zkrácený název certifikační autority (název DS)
- error1 ErrorCode – Text chybové zprávy
- error2 ErrorCode – Text chybové zprávy a kód chyby
- exit [Index] - popis modulu exit
- exitcount - Počet výstupních modulů
- file - Verze souboru
- info - CA info
- kra [Rejstřík] - KRA cert
- kracount - počet certifikátů KRA
- krastate [Index] - KRA cert
- kraused - počet použitých certifikátů KRA
- localename - Název národního prostředí certifikační autority
- name – název certifikační autority
- ocsp [Index] - Adresy URL protokolu OCSP
- parent - Nadřazená certifikační autorita
- policy - Popis modulu politiky
- produkt - Verze produktu
- propidmax - Maximální ID certifikační autority
- role - Oddělení rolí
- sanitizedname – upravený název certifikační autority
- sharedfolder – sdílená složka
- subjecttemplateoids - Identifikátory šablon předmětu
- šablony - Šablony
- type - typ certifikační autority
- xchg [Index] - Výměnný certifikát certifikační autority
- xchgchain [Index] - Řetězec certifikátů pro výměnu certifikátů certifikační autority
- xchgcount – počet výměnných certifikátů certifikační autority
- xchgcrlchain [Index] – Řetězec certifikátů pro výměnu certifikační autority s seznamy CRL
index je volitelný index vlastností založený na nule.
Errorcode je číselný kód chyby.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zobrazí informace o typu vlastnosti certifikační autority.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Načte certifikát pro certifikační autoritu.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

Výstupním souborem je soubor OutCACertFile.
Index je index obnovení certifikátu certifikační autority (výchozí je nejnovější).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Načte řetěz certifikátů pro certifikační autoritu.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

Výstupním souborem je soubor OutCACertChainFile.
Index je index obnovení certifikátu certifikační autority (výchozí je nejnovější).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Získá seznam odvolaných certifikátů (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Index je index seznamu CRL nebo index klíče (výchozí je CRL pro nejnovější klíč).
delta je rozdílový seznam CRL (výchozí je základní seznam CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nové seznamy odvolaných certifikátů (CRL) nebo rozdílové seznamy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh je nová doba platnosti seznamu CRL ve dnech a hodinách.
Znovu publikovat znovu publikuje nejnovější seznamy CRL.
Rozdílové seznamy CRL publikují pouze rozdílové seznamy CRL (výchozí je základní a rozdílové seznamy CRL).

Options:

[-split] [-config Machine\CAName]

-shutdown

Vypne službu Active Directory Certificate Services.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Nainstaluje certifikát certifikační autority.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Obnoví certifikát certifikační autority.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Slouží -f k ignorování nevyřízených žádostí o prodloužení a k vygenerování nové žádosti.

-schema

Vysadí schéma pro certifikát.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

Ve výchozím nastavení se příkaz nastaví na tabulku Požadavek a certifikát.
Ext je tabulka rozšíření.
Atribut je tabulka atributů.
CRL je tabulka CRL.

Options:

[-split] [-config Machine\CAName]

-view

Vysadí zobrazení certifikátu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Fronta vypíše konkrétní frontu požadavků.
Protokol vypíše vydané nebo odvolané certifikáty a všechny neúspěšné požadavky.
LogFail vypíše neúspěšné požadavky.
Zrušeno vypíše odvolané certifikáty.
Ext vypíše tabulku rozšíření.
Atribut vypíše tabulku atributů.
Seznam CRL vypíše tabulku seznamů CRL.
CSV poskytuje výstup pomocí hodnot oddělených čárkami.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Chcete-li zobrazit sloupec StatusCode pro všechny položky, zadejte -out StatusCode
Pokud chcete zobrazit všechny sloupce pro poslední položku, zadejte: -restrict RequestId==$
Chcete-li zobrazit RequestId a Disposition pro tři požadavky, zadejte: -restrict requestID>=37,requestID<40 -out requestID,disposition
Chcete-li zobrazit ID řádků, ID řádků a čísla CRL pro všechny základní seznamy CRL, zadejte: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Pokud chcete zobrazit číslo seznamu CRL základního seznamu CRL 3, zadejte: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Pokud chcete zobrazit celou tabulku seznamu CRL, zadejte: CRL
Používá se Date[+|-dd:hh] pro omezení kalendářních dat.
Slouží now+dd:hh pro datum relativní k aktuálnímu času.
Šablony obsahují rozšířené použití klíče (EKU), což jsou identifikátory objektů (ID), které popisují způsob použití certifikátu. Certifikáty vždy neobsahují běžné názvy šablon nebo zobrazované názvy, ale vždy obsahují šablony EKU. Můžete extrahovat EKU pro konkrétní šablonu certifikátu ze služby Active Directory a pak omezit zobrazení na základě daného rozšíření.

-db

Vysadí nezpracovanou databázi.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Odstraní řádek z databáze serveru.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

Požadavek odstraní neúspěšné a čekající požadavky na základě data odeslání.
Certifikát odstraní certifikáty, jejichž platnost vypršela a byly odvolány, na základě data vypršení platnosti.
Ext odstraní tabulku rozšíření.
Atribut odstraní tabulku atributů.
Seznam CRL odstraní tabulku seznamů CRL.

Options:

[-f] [-config Machine\CAName]

Examples

Pokud chcete odstranit neúspěšné a čekající žádosti odeslané do 22. ledna 2001, zadejte: 1/22/2001 request
Pokud chcete odstranit všechny certifikáty, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 cert
Pokud chcete odstranit řádek certifikátu, atributy a rozšíření pro RequestID 37, zadejte: 37
Pokud chcete odstranit seznamy CRL, jejichž platnost vypršela do 22. ledna 2001, zadejte: 1/22/2001 crl

Note

Datum očekává formát mm/dd/yyyy spíše než dd/mm/yyyy, například 1/22/2001 spíše než 22/1/2001 pro 22. ledna 2001. Pokud váš server není nakonfigurován s regionálním nastavením pro USA, může použití argumentu Datum vést k neočekávaným výsledkům.

-backup

Zálohuje službu Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory je adresář pro ukládání zálohovaných dat.
Přírůstková provádí pouze přírůstkovou zálohu (výchozí je plná záloha).
KeepLog zachová soubory protokolu databáze (výchozí je zkrácení souborů protokolu).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Zálohuje databázi služby Active Directory Certificate Services.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory je adresář pro ukládání zálohovaných databázových souborů.
Přírůstková provádí pouze přírůstkovou zálohu (výchozí je plná záloha).
KeepLog zachová soubory protokolu databáze (výchozí je zkrácení souborů protokolu).

Options:

[-f] [-config Machine\CAName]

-backupkey

Zálohuje certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory je adresář pro uložení zálohovaného souboru PFX.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Obnoví službu Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory je adresář obsahující data, která mají být obnovena.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Obnoví databázi služby Active Directory Certificate Services.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory je adresář obsahující databázové soubory, které mají být obnoveny.

Options:

[-f] [-config Machine\CAName]

-restorekey

Obnoví certifikát služby Active Directory Certificate Services a privátní klíč.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory je adresář obsahující soubor PFX, který se má obnovit.
PFXFile je soubor PFX, který se má obnovit.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportuje certifikáty a privátní klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName je název úložiště certifikátů.
CertId je shodný token certifikátu nebo seznamu CRL.
PFXFile je soubor PFX, který se má exportovat.
Modifikátory jsou čárkami oddělený seznam, který může obsahovat jednu nebo více z následujících položek:
- CryptoAlgorithm= určuje kryptografický algoritmus, který se má použít pro šifrování souboru PFX, například TripleDES-Sha1 nebo Aes256-Sha256.
- EncryptCert – Zašifruje soukromý klíč spojený s certifikátem pomocí hesla.
- ExportParameters -Exports kromě certifikátu a privátního klíče také parametry privátního klíče.
- ExtendedProperties – Zahrne do výstupního souboru všechny rozšířené vlastnosti přidružené k certifikátu.
- NoEncryptCert – Exportuje soukromý klíč bez jeho zašifrování.
- NoChain – Neimportuje řetěz certifikátů.
- NoRoot – Neimportuje kořenový certifikát.

-importPFX

Importuje certifikáty a privátní klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName je název úložiště certifikátů.
PFXFile je soubor PFX, který se má importovat.
Modifikátory jsou čárkami oddělený seznam, který může obsahovat jednu nebo více z následujících položek:
- AT_KEYEXCHANGE – Změní specifikaci klíče na výměnu klíčů.
- AT_SIGNATURE – Změní specifikaci klíče na podpis.
- ExportEncrypted – Exportuje privátní klíč přidružený k certifikátu se šifrováním hesla.
- FriendlyName= - Určuje popisný název importovaného certifikátu.
- KeyDescription= – Určuje popis privátního klíče přidruženého k importovanému certifikátu.
- KeyFriendlyName= - Určuje popisný název privátního klíče přidruženého k importovanému certifikátu.
- NoCert – Neimportuje certifikát.
- NoChain – Neimportuje řetěz certifikátů.
- NoExport – Privátní klíč nebude možné exportovat.
- NoProtect – Nechrání klíče heslem pomocí hesla.
- NoRoot – Neimportuje kořenový certifikát.
- Pkcs8 – Pro soukromý klíč v souboru PFX použije formát PKCS8.
- Protect – Chrání klíče pomocí hesla.
- ProtectHigh – Určuje, že k privátnímu klíči musí být přidruženo heslo s vysokým zabezpečením.
- VSM – Ukládá privátní klíč přidružený k importovanému certifikátu do kontejneru virtuálních čipových karet (VSC).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

Výchozí hodnota je osobní úložiště počítačů.

-dynamicfilelist

Zobrazí dynamický seznam souborů.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Zobrazí umístění databáze.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Vygeneruje a zobrazí kryptografickou hodnotu hash v souboru.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Vysadí úložiště certifikátů.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId je shodný token certifikátu nebo seznamu CRL. Toto ID může být následující:
- Serial number
- SHA-1 certificate
- CRL, CTL nebo hodnota hash veřejného klíče
- Číselný index certifikátu (0, 1 atd.)
- Číselný index seznamu CRL (.0, .1 atd.)
- Číselný index CTL (.. 0, .. 1 atd.)
- Public key
- Id objektu podpisu nebo rozšíření
- Běžný název subjektu certifikátu
- E-mail address
- Hlavní název uživatele (UPN) nebo NÁZEV DNS
- Název kontejneru klíčů nebo název CSP
- Název šablony nebo ID objektu
- EKU nebo Application Policies ObjectId
- Běžný název vystavitele seznamu CRL

Mnoho z těchto identifikátorů může mít za následek více shod.

OutputFile je soubor používaný k uložení odpovídajících certifikátů.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
Tato -service možnost přistupuje k úložišti služeb počítače.
Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Při použití parametru s těmito dvěma aspekty se pozorují problémy s výkonem -store :

Pokud počet certifikátů v úložišti překročí 10.
Pokud je zadáno CertId , použije se k vyhledání všech uvedených typů pro každý certifikát. Pokud je například zadáno sériové číslo , pokusí se také vyhledat všechny ostatní uvedené typy.

Pokud máte obavy o problémy s výkonem, doporučuje se příkazy PowerShellu, kde se bude shodovat pouze se zadaným typem certifikátu.

-enumstore

Vytvoří výčet úložišť certifikátů.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName je název vzdáleného počítače.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Přidá certifikát do úložiště. Další informace najdete v tomto článku v parametru -store .

certutil [options] -addstore CertificateStoreName InFile

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů.
InFile je certifikát nebo soubor CRL, který chcete přidat do úložiště.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Odstraní certifikát z úložiště. Další informace najdete v tomto článku v parametru -store .

certutil [options] -delstore CertificateStoreName certID

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů.
CertId je shodný token certifikátu nebo seznamu CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Ověří certifikát v úložišti. Další informace najdete v tomto článku v parametru -store .

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů.
CertId je shodný token certifikátu nebo seznamu CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Opraví přidružení klíče nebo aktualizují vlastnosti certifikátu nebo popisovač zabezpečení klíče. Další informace najdete v tomto článku v parametru -store .

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů.
CertIdList je čárkami oddělený seznam tokenů shody certifikátů nebo CRL. Další informace najdete -store v popisu CertId v tomto článku.

PropertyInfFile je soubor INF obsahující externí vlastnosti, včetně:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vysadí úložiště certifikátů. Další informace najdete v tomto článku v parametru -store .

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId je shodný token certifikátu nebo seznamu CRL. Může to být:
- Serial number
- SHA-1 certificate
- Hodnota hash CRL, CTL nebo veřejného klíče
- Číselný index certifikátu (0, 1 atd.)
- Číselný index seznamu CRL (.0, .1 atd.)
- Číselný index CTL (.. 0, .. 1 atd.)
- Public key
- Id objektu podpisu nebo rozšíření
- Běžný název subjektu certifikátu
- E-mail address
- Hlavní název uživatele (UPN) nebo NÁZEV DNS
- Název kontejneru klíčů nebo název CSP
- Název šablony nebo ID objektu
- EKU nebo Application Policies ObjectId
- Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

OutputFile je soubor používaný k uložení odpovídajících certifikátů.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
Tato -service možnost přistupuje k úložišti služeb počítače.
Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Odstraní certifikát z úložiště.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

Název úložiště certifikátů CertificateStoreName je název úložiště certifikátů. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId je shodný token certifikátu nebo seznamu CRL. Může to být:
- Serial number
- SHA-1 certificate
- Hodnota hash CRL, CTL nebo veřejného klíče
- Číselný index certifikátu (0, 1 atd.)
- Číselný index seznamu CRL (.0, .1 atd.)
- Číselný index CTL (.. 0, .. 1 atd.)
- Public key
- Id objektu podpisu nebo rozšíření
- Běžný název subjektu certifikátu
- E-mail address
- Hlavní název uživatele (UPN) nebo NÁZEV DNS
- Název kontejneru klíčů nebo název CSP
- Název šablony nebo ID objektu
- EKU nebo Application Policies ObjectId
- Běžný název vystavitele seznamu CRL

Mnoho z nich může mít za následek více shod.

OutputFile je soubor používaný k uložení odpovídajících certifikátů.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Tato -user možnost přistupuje k úložišti uživatelů místo úložiště počítačů.
Tato -enterprise možnost přistupuje k podnikovému úložišti počítačů.
Tato -service možnost přistupuje k úložišti služeb počítače.
Tato -grouppolicy možnost přistupuje k úložišti zásad skupiny počítačů.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Vyvolá rozhraní certutil.

certutil [options] -UI File [import]

-TPMInfo

Zobrazí informace o modulu Důvěryhodné platformy.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Určuje, že soubor žádosti o certifikát by měl být potvrzen.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Vybere certifikát z uživatelského rozhraní pro výběr.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Zobrazí rozlišující názvy adresářové služby (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Odstraní sítě DS DS.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certifikát nebo seznam odvolaných certifikátů (CRL) do služby Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile je název souboru certifikátu, který chcete publikovat.
Certifikační autorita NTAuthCA publikuje certifikát do úložiště DS Enterprise.
Kořenová certifikační autorita publikuje certifikát do důvěryhodného kořenového úložiště služby DS.
SubCA publikuje certifikát CA do objektu DS CA.
Licence CrossCA publikuje křížový certifikát do objektu certifikační autority DS.
Klíč KRA publikuje certifikát do objektu agenta obnovení klíče DS.
Uživatel publikuje certifikát do objektu User DS.
Machine publikuje certifikát do objektu Machine DS.
CRLfile je název souboru CRL, který chcete publikovat.
DSCDPContainer je kontejner DS CDP CN, obvykle název počítače certifikační autority.
DSCDPCN je objekt CN DS CDP založený na upraveném krátkém názvu certifikační autority a indexu klíče.

Options:

[-f] [-user] [-dc DCName]

Slouží -f k vytvoření nového objektu DS.

-dsCert

Zobrazí certifikáty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zobrazí seznamy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zobrazí rozdílové seznamy CRL DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zobrazí atributy šablony DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Přidá šablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Zobrazí šablony služby Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Zobrazí šablony zásad zápisu certifikátů.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zobrazí certifikační autority (CA) pro šablonu certifikátu.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Zobrazí šablony certifikační autority.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Nastaví šablony certifikátů, které může certifikační autorita vydat.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

Podpis + přidá šablony certifikátů do seznamu dostupných šablon certifikační autority.
Podpis - odebere šablony certifikátů ze seznamu dostupných šablon certifikační autority.

-SetCASites

Spravuje názvy webů, včetně nastavení, ověřování a odstraňování názvů webů certifikační autority.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

Název webu je povolen pouze v případě, že cílíte na jednu certifikační autoritu.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

Možnost -config cílí na jednu certifikační autoritu (výchozí hodnota je všechna certifikační autorita).
Tuto -f možnost lze použít k potlačení chyb ověřování pro určený název webu nebo k odstranění všech názvů webů certifikační autority.

Note

Další informace o konfiguraci certifikačních autorit pro sledování lokalit služby Active Directory Domain Services (AD DS) najdete v tématu Sledování lokalit služby AD DS pro klienty SLUŽBY AD CS a PKI.

-enrollmentServerURL

Zobrazí, přidá nebo odstraní adresy URL registračního serveru přidružené k certifikační autoritě.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType určuje jednu z následujících metod ověřování klienta při přidávání adresy URL:
- Kerberos – Použije přihlašovací údaje SSL protokolu Kerberos.
- Uživatelské jméno – Pro přihlašovací údaje SSL použijte pojmenovaný účet.
- ClientCertificate – Použijte přihlašovací údaje SSL certifikátu X.509.
- Anonymní – Použije anonymní přihlašovací údaje SSL.
delete odstraní zadanou adresu URL přidruženou k certifikační autoritě.
Výchozí priorita je, 1 pokud není při přidávání adresy URL zadána.
Modifikátory je seznam oddělený čárkami, který obsahuje jednu nebo více z následujících položek:
- AllowRenewalsOnly Prostřednictvím této adresy URL lze této certifikační autoritě odeslat pouze žádosti o prodloužení.
- AllowKeyBasedRenewal umožňuje použití certifikátu, který nemá ve službě AD přidružený žádný účet. To platí pouze pro režimy ClientCertificate a AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zobrazí certifikační autority služby Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Zobrazí certifikační autority zásad zápisu.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Zobrazí zásady registrace.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zobrazí nebo odstraní položky mezipaměti zásad registrace.

certutil [options] -PolicyCache [delete]

Where:

Delete odstraní položky mezipaměti serveru zásad.
-f smaže všechny záznamy mezipaměti

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zobrazí, přidá nebo odstraní položky úložiště přihlašovacích údajů.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL je cílová adresa URL. Můžete také použít * ke shodě všech položek nebo https://machine* ke shodě s předponou adresy URL.
Přidat Přidá položku úložiště přihlašovacích údajů. Použití této možnosti také vyžaduje použití přihlašovacích údajů SSL.
Delete odstraní položky úložiště přihlašovacích údajů.
-f přepíše jednu položku nebo odstraní více položek.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Nainstaluje výchozí šablony certifikátů.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Ověřuje adresy URL certifikátů nebo seznamů CRL.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Zobrazí nebo odstraní položky mezipaměti url.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

Adresa URL je adresa URL uložená v mezipaměti.
Seznam CRL je spuštěn pouze na všech adresách URL seznamů CRL uložených v mezipaměti.
* funguje na všech adresách URL uložených v mezipaměti.
delete odstraní relevantní adresy URL z lokální mezipaměti aktuálního uživatele.
-f vynutí načtení konkrétní adresy URL a aktualizaci mezipaměti.

Options:

[-f] [-split]

-pulse

Pulzuje událost automatického zápisu nebo úkolLZ.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName je úloha, která se má aktivovat.
- Pregen je NGC Key pregen task.
- AIKEnroll je úloha zápisu certifikátu NGC AIK. (Výchozí hodnota je událost automatického zápisu).
SRKThumbprint je kryptografický otisk kořenového klíče úložiště
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Zobrazí informace o objektu počítače služby Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zobrazí informace o řadiči domény. Ve výchozím nastavení se zobrazují certifikáty řadiče domény bez ověření.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

V systému Windows Server 2012 byla přidána možnost určit doménu [Domain] služby AD DS (Active Directory Domain Services) a určit řadič domény (-dc). Chcete-li příkaz úspěšně spustit, je nutné použít účet, který je členem skupiny Domain Admins nebo Enterprise Admins. Změny chování tohoto příkazu jsou následující:

Pokud není zadaná doména a není zadaný konkrétní řadič domény, vrátí tato možnost seznam řadičů domény, které se mají zpracovat z výchozího řadiče domény.
Pokud není zadaná doména, ale je zadán řadič domény, vygeneruje se sestava certifikátů na zadaném řadiči domény.
Pokud je zadaná doména, ale řadič domény není zadaný, vygeneruje se seznam řadičů domény spolu se sestavami certifikátů pro každý řadič domény v seznamu.
Pokud je zadaná doména a řadič domény, vygeneruje se seznam řadičů domény z cílového řadiče domény. Vygeneruje se také sestava certifikátů pro každý řadič domény v seznamu.

Předpokládejme například, že existuje doména CPANDL s řadičem domény S názvem CPANDL-DC1. Spuštěním následujícího příkazu můžete načíst seznam řadičů domény a jejich certifikátů z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Zobrazí informace o podnikové certifikační autoritě.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Zobrazí informace o certifikační autoritě.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zobrazí informace o čipové kartě.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET vymaže všechny klíče na čipové kartě.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Spravuje kořenové certifikáty čipových karet.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Zobrazí seznam klíčů uložených v kontejneru klíčů.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName je název kontejneru klíčů, který se má ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
- Použití znaménka odkazuje na použití výchozího kontejneru klíčů.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Odstraní pojmenovaný kontejner klíčů.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Odstraní kontejner Windows Hello a odebere všechny přidružené přihlašovací údaje uložené v zařízení, včetně všech přihlašovacích údajů WebAuthn a FIDO.

Po dokončení této možnosti se uživatelé musí odhlásit.

certutil [options] -DeleteHelloContainer

-verifykeys

Ověřuje sadu veřejného nebo privátního klíče.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName je název kontejneru klíčů, který se má ověřit. Tato možnost je ve výchozím nastavení nastavená na klíče počítače. Pokud chcete přepnout na uživatelské klíče, použijte -user.
Soubor CACertFile podepisuje nebo šifruje soubory certifikátů.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Pokud nejsou zadány žádné argumenty, každý podpisový certifikát certifikační autority je ověřený vůči jeho privátnímu klíči.
Tuto operaci lze provést pouze s místní certifikační autoritou nebo místními klíči.

-verify

Ověřuje certifikát, seznam odvolaných certifikátů (CRL) nebo řetěz certifikátů.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile je název certifikátu, který se má ověřit.
ApplicationPolicyList je volitelný čárkami oddělený seznam požadovaných identifikátorů ObjectId zásad použití.
IssuancePolicyList je volitelný seznam požadovaných identifikátorů ObjectId zásad vystavování oddělených čárkami.
CACertFile je volitelný certifikát certifikační autority, který slouží k ověření.
CrossedCACertFile je volitelný certifikát křížově certifikovaný společností CertFile.
CRLFile je soubor CRL používaný k ověření souboru CACertFile.
IssuedCertFile je volitelný vystavený certifikát, na který se vztahuje soubor CRL.
DeltaCRLFile je volitelný rozdílový soubor CRL.
Modifiers:
- Silné – ověření silného podpisu
- MSRoot – Musí se zřetězení s kořenem Microsoftu
- MSTestRoot – Musí být zřetězený do kořenového adresáře testu Microsoftu.
- AppRoot – Musí být zřetězený do kořenového adresáře aplikace Microsoftu.
- EV – Vynucení rozšířených zásad ověřování

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

Použití atributu ApplicationPolicyList omezí vytváření řetězců pouze na řetězce platné pro určené zásady použití.
Použití nástroje IssuancePolicyList omezí vytváření řetězců pouze na řetězce platné pro zadané zásady vystavování.
Pomocí příkazu CACertFile se ověří pole v souboru proti souboru CertFile nebo CRLfile.
Pokud není zadán parametr CACertFile , je celý řetězec sestaven a ověřen podle souboru CertFile.
Pokud jsou zadány parametry CACertFile a CrossedCACertFile , pole v obou souborech jsou ověřena proti souboru CertFile.
Použití souboru IssuedCertFile ověří pole v souboru proti souboru CRL.
Použití DeltaCRLFile ověří pole v souboru proti souboru CertFile.

-verifyCTL

Ověřuje hodnotu CTL certifikátů AuthRoot nebo Nepovolené certifikáty.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject identifikuje seznam CTL, který se má ověřit, včetně:
- AuthRootWU načte AuthRoot CAB a odpovídající certifikáty z mezipaměti URL. Místo toho se používá -f ke stažení ze služby Windows Update.
- DisallowedWU načte blok CAB Nepovolené certifikáty a soubor úložiště nepovolených certifikátů z mezipaměti URL. Místo toho se používá -f ke stažení ze služby Windows Update.
  - PinRulesWU načte PinRules CAB z mezipaměti URL. Místo toho se používá -f ke stažení ze služby Windows Update.
- AuthRoot načte seznam CTL AuthRoot uložený v mezipaměti registru. Použijte s -f a nedůvěryhodným souborem CertFile k vynucení aktualizace seznamů CTL AuthRoot a Disallowed Certificate uložených v registru.
- Disallowed čte CTL Nepovolené certifikáty uložené v mezipaměti registru. Použijte s -f a nedůvěryhodným souborem CertFile k vynucení aktualizace seznamů CTL AuthRoot a Disallowed Certificate uložených v registru.
  - PinRules čte PinRules CTL uložený v registru v mezipaměti. Použití -f má stejné chování jako u PinRulesWU.
- CTLFileName určuje soubor nebo cestu HTTP k souboru CTL nebo CAB.
CertDir určuje složku obsahující certifikáty odpovídající položkám CTL. Výchozí hodnota je stejná složka nebo web jako objekt CTL. Použití cesty ke složce HTTP vyžaduje oddělovač cest na konci. Pokud nezadáte AuthRoot nebo Disallowed, budou odpovídající certifikáty vyhledány na více místech, včetně místních úložišť certifikátů, prostředků crypt32.dll a místní mezipaměti URL. Podle -f potřeby můžete stáhnout ze služby Windows Update.
Soubor CertFile určuje certifikát(y), které se mají ověřit. Certifikáty se shodují s položkami seznamu CTL a zobrazují výsledky. Tato možnost potlačí většinu výchozího výstupu.

Options:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certifikáty se službou Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir je určený adresář.
F vynutí přepsání.
Unicode zapisuje přesměrovaný výstup v Unicode.
gmt zobrazuje časy jako GMT.
seconds zobrazuje časy se sekundami a milisekundami.
v je podrobná operace.
PIN je PIN čipové karty.
WELL_KNOWN_SID_TYPE je číselný identifikátor SID:
- 22 – Místní systém
- 23. Místní služba
- 24. Síťová služba

Remarks

Následující soubory se stáhnou pomocí mechanismu automatické aktualizace:

authrootstl.cab obsahuje seznamy CTL kořenových certifikátů, které nepatří společnosti Microsoft.
disallowedcertstl.cab obsahuje seznamy CTL nedůvěryhodných certifikátů.
DisallowedCert.SST obsahuje úložiště serializovaných certifikátů, včetně nedůvěryhodných certifikátů.
soubor thumbprint.crt obsahuje kořenové certifikáty, které nepatří společnosti Microsoft.

Například: certutil -syncWithWU \\server1\PKI\CTLs.

Pokud jako cílovou složku používáte neexistující místní cestu nebo složku, zobrazí se tato chyba: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Pokud jako cílovou složku používáte neexistující nebo nedostupné síťové umístění, zobrazí se tato chyba: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Pokud se váš server nemůže připojit přes port TCP 80 k serverům Microsoft Automatic Update, zobrazí se následující chyba: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Pokud se váš server nemůže spojit se servery Microsoft Automatic Update s názvem ctldl.windowsupdate.comDNS, zobrazí se následující chyba: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Pokud přepínač nepoužíváte -f a v adresáři už existují žádné soubory CTL, zobrazí se chyba: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Pokud dojde ke změně důvěryhodných kořenových certifikátů, uvidíte: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Vygeneruje soubor úložiště, který se synchronizuje se službou Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile je .sst soubor, který má být vygenerován a který obsahuje kořenové certifikáty třetích stran stažené ze služby Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Vygeneruje soubor seznamu důvěryhodných certifikátů (CTL), který obsahuje seznam pravidel připnutí.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile je vstupní soubor XML, který se má analyzovat.
CTLFile je výstupní soubor CTL, který se má vygenerovat.
SSTFile je volitelný .sst soubor, který se má vytvořit a který obsahuje všechny certifikáty používané k připínání.
QueryFilesPrefix jsou volitelné Domains.csv a Keys.csv soubory, které mají být vytvořeny pro databázový dotaz.
- Řetězec QueryFilesPrefix je předřazen ke každému vytvořenému souboru.
- Soubor Domains.csv obsahuje název pravidla, řádky domény.
- Soubor Keys.csv obsahuje název pravidla, řádky kryptografického otisku klíče SHA256.

Options:

[-f]

-downloadOcsp

Stáhne odpovědi OCSP a zapíše do adresáře.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir je adresář certifikátu, úložiště a souborů PFX.
OcspDir je adresář pro zápis odpovědí OCSP.
ThreadCount je volitelný maximální počet vláken pro souběžné stahování. Výchozí hodnota je 10.
Modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících:
- DownloadOnce - Stáhne se jednou a ukončí.
- ReadOcsp - Čte z OcspDir místo zápisu.

-generateHpkpHeader

Vygeneruje hlavičku HPKP pomocí certifikátů v zadaném souboru nebo adresáři.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir je soubor nebo adresář certifikátů, který je zdrojem pin-sha256.
MaxAge je hodnota maximálního stáří v sekundách.
ReportUri je volitelný report-uri.
Modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících:
- includeSubDomains – Připojí includeSubDomains.

-flushCache

Vyprázdní zadané mezipaměti ve vybraném procesu, například lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId je číselné ID procesu, který se má vyprázdnit. Nastavením na 0 se vyprázdní všechny procesy, u kterých je vyprázdnění povoleno.
CacheMask je bitová maska mezipamětí, která má být vyprázdněna buď číselně, nebo následujícími bity:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modifikátory jsou čárkami oddělený seznam jednoho nebo více z následujících:
- Zobrazit – Zobrazuje vyprazdňování mezipamětí. Certutil musí být explicitně ukončen.

-addEccCurve

Přidá křivku ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass je typ třídy ECC Curve:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName je název křivky ECC.
Parametry křivky jsou jedna z následujících:
- Název souboru certifikátu obsahující parametry kódované jako ASN.
- Soubor obsahující parametry kódované jako ASN.
CurveOID je identifikátor křivky ECC a je jedním z následujících:
- Název souboru certifikátu obsahující identifikátor OID kódovaný jako ASN.
- Explicitní OID křivky ECC.
CurveType je bod Schannel ECC NamedCurve (číselný).

Options:

[-f]

-deleteEccCurve

Odstraní křivku ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName je název křivky ECC.
CurveOID je křivka ECC OID.

Options:

[-f]

-displayEccCurve

Zobrazí křivku ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName je název křivky ECC.
CurveOID je křivka ECC OID.

Options:

[-f]

-csplist

Zobrazí seznam poskytovatelů kryptografických služeb (CSP) nainstalovaných na tomto počítači pro kryptografické operace.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Otestuje poskytovatele cloudových služeb nainstalovaných na tomto počítači.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zobrazí kryptografickou konfiguraci CNG na tomto počítači.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Znovu podepíše seznam odvolaných certifikátů (CRL) nebo certifikát.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList je čárkami oddělený seznam certifikátů nebo souborů CRL, které lze upravit a znovu podepsat.
Sériové číslo je sériové číslo certifikátu, který chcete vytvořit. Doba platnosti a další možnosti se nedají zobrazit.
Seznam CRL vytvoří prázdný seznam CRL. Doba platnosti a další možnosti se nedají zobrazit.
OutFileList je čárkami oddělený seznam upravených výstupních souborů certifikátů nebo seznamů CRL. Počet souborů se musí shodovat se seznamem souborů.
StartDate+dd:hh je nová doba platnosti certifikátu nebo souborů CRL, včetně:
- volitelné datum plus
- Volitelné dny a doby platnosti, pokud se používá více polí, použijte oddělovač (+) nebo (-). Slouží now[+dd:hh] k zahájení v aktuálním čase. Slouží now-dd:hh+dd:hh k zahájení pevného posunu od aktuálního času a pevného období platnosti. Použijte never k tomu, abyste neměli žádné datum vypršení platnosti (pouze pro seznamy CRL).
SerialNumberList je seznam sériových čísel souborů, které chcete přidat nebo odebrat, oddělený čárkami.
ObjectIdList je čárkami oddělený seznam souborů ObjectId souborů, které chcete odebrat.

@ExtensionFile je soubor INF, který obsahuje přípony, které chcete aktualizovat nebo odebrat. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm je název algoritmu hash. Musí se jednat pouze o text, který předchází znaménko # .
AlternateSignatureAlgorithm je specifikátor alternativního podpisového algoritmu.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

Pomocí znaménka minus (-) odeberete sériová čísla a přípony.
Pomocí znaménka plus (+) se přičte sériová čísla k seznamu CRL.
Seznam můžete použít k odebrání sériových čísel i ID objektů z seznamu CRL současně.
Použití znaménka mínus před AlternateSignatureAlgorithm vám umožní použít starší formát podpisu.
Pomocí znaménka plus můžete použít alternativní formát podpisu.
Pokud nezadáte AlternateSignatureAlgorithm, použije se formát podpisu v certifikátu nebo seznamu CRL.

-vroot

Vytvoří nebo odstraní webové virtuální kořeny a sdílené složky.

certutil [options] -vroot [delete]

-vocsproot

Vytvoří nebo odstraní webové virtuální kořeny pro webový proxy server OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

V případě potřeby přidá aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:
- Protokol Kerberos používá přihlašovací údaje SSL protokolu Kerberos.
- Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
- ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.
Modifiers:
- Vlastnost AllowRenewalsOnly umožňuje odeslat pouze žádost o prodloužení certifikátu prostřednictvím adresy URL.
- AllowKeyBasedRenewal umožňuje použití certifikátu bez přidruženého účtu ve službě Active Directory. To platí při použití s režimem ClientCertificate a AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

V případě potřeby odstraní aplikaci serveru zápisu a fond aplikací pro zadanou certifikační autoritu. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer vyžaduje, abyste pro připojení klienta k serveru zápisu certifikátů použili metodu ověřování, včetně:
- Protokol Kerberos používá přihlašovací údaje SSL protokolu Kerberos.
- Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
- ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

V případě potřeby přidejte aplikaci serveru Policy Server a fond aplikací. Tento příkaz neinstaluje binární soubory ani balíčky.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
- Protokol Kerberos používá přihlašovací údaje SSL protokolu Kerberos.
- Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
- ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.
KeyBasedRenewal umožňuje použití zásad vrácených klientovi obsahujících šablony pro obnovení na základě klíčů. Tato možnost platí pouze pro ověřování UserName a ClientCertificate .

-deletePolicyServer

V případě potřeby odstraní aplikaci Serveru zásad a fond aplikací. Tento příkaz neodebere binární soubory ani balíčky.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer vyžaduje, abyste pro připojení klienta k serveru zásad certifikátů použili metodu ověřování, včetně:
- Protokol Kerberos používá přihlašovací údaje SSL protokolu Kerberos.
- Uživatelské jméno používá pro přihlašovací údaje SSL pojmenovaný účet.
- ClientCertificate používá přihlašovací údaje SSL certifikátu X.509.
KeyBasedRenewal umožňuje použití serveru zásad KeyBasedRenewal.

-Class

Zobrazí informace registru modelu COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Kontroluje certifikát pro kódování délky 0x7f.

certutil [options] -7f CertFile

-oid

Zobrazí identifikátor objektu nebo nastaví zobrazovaný název.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId je ID, které se má zobrazit nebo přidat k zobrazovanému názvu.
GroupId je číslo ID skupiny (desítkové), které ObjectIds vyčísluje.
AlgId je hexadecimální ID, které objectID vyhledává.
AlgorithmName je název algoritmu, který objectID vyhledá.
DisplayName zobrazí název, který se má uložit do aplikace DS.
Příkaz Odstranit odstraní zobrazovaný název.
LanguageId je hodnota ID jazyka (výchozí je aktuální: 1033).
Typ je typ objektu DS, který chcete vytvořit, včetně:
- 1 – Šablona (výchozí)
- 2 – Zásady vystavování
- 3 - Zásady aplikace
-f vytvoří objekt DS.

Options:

[-f]

-error

Zobrazí text zprávy spojený s kódem chyby.

certutil [options] -error ErrorCode

-getsmtpinfo

Získá informace SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Nastaví informace SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Zobrazí hodnotu registru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

certifikační autorita používá klíč registru certifikačního úřadu.
restore používá klíč registru pro obnovení certifikační autority.
Zásada používá klíč registru modulu zásad.
exit používá klíč registru prvního exit modulu.
template používá klíč registru šablony (používá se -user pro uživatelské šablony).
Nástroj enroll používá klíč registru registrace (používá se -user pro kontext uživatele).
Chain používá klíč registru konfigurace chainu.
PolicyServers používá klíč registru Policy Servers.
ProgId používá ProgID (název podklíče registru) modulu zásad nebo ukončení.
RegistryValueName používá název hodnoty registru (slouží Name* k prefixu match).
Hodnota používá novou číselnou, řetězcovou nebo datumovou hodnotu registru nebo název souboru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.
Registry aliases:
- Config
- CA
- Zásady – PolicyModules
- Exit – ExitModules
- Obnovení – RestoreInProgress
- Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP – Software\Microsoft\Cryptography\MSCEP
- Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 – System\CurrentControlSet\Services\crypt32
- GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
- AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Nastaví hodnotu registru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

certifikační autorita používá klíč registru certifikačního úřadu.
restore používá klíč registru pro obnovení certifikační autority.
Zásada používá klíč registru modulu zásad.
exit používá klíč registru prvního exit modulu.
template používá klíč registru šablony (používá se -user pro uživatelské šablony).
Nástroj enroll používá klíč registru registrace (používá se -user pro kontext uživatele).
Chain používá klíč registru konfigurace chainu.
PolicyServers používá klíč registru Policy Servers.
ProgId používá ProgID (název podklíče registru) modulu zásad nebo ukončení.
RegistryValueName používá název hodnoty registru (slouží Name* k prefixu match).
Hodnota používá novou číselnou, řetězcovou nebo datumovou hodnotu registru nebo název souboru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.

-delreg

Odstraní hodnotu registru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

certifikační autorita používá klíč registru certifikačního úřadu.
restore používá klíč registru pro obnovení certifikační autority.
Zásada používá klíč registru modulu zásad.
exit používá klíč registru prvního exit modulu.
template používá klíč registru šablony (používá se -user pro uživatelské šablony).
Nástroj enroll používá klíč registru registrace (používá se -user pro kontext uživatele).
Chain používá klíč registru konfigurace chainu.
PolicyServers používá klíč registru Policy Servers.
ProgId používá ProgID (název podklíče registru) modulu zásad nebo ukončení.
RegistryValueName používá název hodnoty registru (slouží Name* k prefixu match).
Hodnota používá novou číselnou, řetězcovou nebo datumovou hodnotu registru nebo název souboru. Pokud číselná hodnota začíná + nebo -, bity zadané v nové hodnotě jsou nastaveny nebo vymazány v existující hodnotě registru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Pokud řetězcová hodnota začíná + nebo -a existující hodnota je REG_MULTI_SZ hodnota, řetězec se přidá nebo odebere z existující hodnoty registru. Pokud chcete vynutit vytvoření REG_MULTI_SZ hodnoty, přidejte \n na konec řetězcové hodnoty.
Pokud hodnota začíná \@, zbytek hodnoty je název souboru obsahující šestnáctkové textové vyjádření binární hodnoty.
Pokud se neodkazuje na platný soubor, je místo toho analyzován jako [Date][+|-][dd:hh] volitelné datum plus nebo minus volitelné dny a hodiny.
Pokud jsou zadány oba, použijte oddělovač znaménka plus (+) nebo znaménko minus (-). Slouží now+dd:hh pro datum relativní k aktuálnímu času.
K vytvoření REG_QWORD hodnoty použijte i64 jako příponu.
Slouží chain\chaincacheresyncfiletime @now k efektivnímu vyprázdnění seznamů CRL uložených v mezipaměti.
Registry aliases:
- Config
- CA
- Zásady – PolicyModules
- Exit – ExitModules
- Obnovení – RestoreInProgress
- Šablona – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrace – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP – Software\Microsoft\Cryptography\MSCEP
- Řetěz – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 – System\CurrentControlSet\Services\crypt32
- GRAF - System\CurrentControlSet\Control\Cryptography\Ardi
- AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importuje uživatelské klíče a certifikáty do serverové databáze pro archivaci klíčů.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile je datový soubor se soukromými klíči a certifikáty uživatelů, které mají být archivovány. Tento soubor může být následující:
- Soubor exportu Serveru správy klíčů Exchange (KMS).
- Soubor PFX.
CertId je token pro shodu certifikátu dešifrování exportního souboru KMS. Další informace najdete v tomto článku v parametru -store .
-f importuje certifikáty, které nevystavuje certifikační autorita.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje soubor certifikátu do databáze.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow importuje certifikát místo čekající žádosti o stejný klíč.
-f importuje certifikáty, které nevystavuje certifikační autorita.

Options:

[-f] [-config Machine\CAName]

Remarks

Certifikační autorita může být také potřeba nakonfigurovat tak, aby podporovala cizí certifikáty spuštěním certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Načte archivovaný objekt blob obnovení privátního klíče, vygeneruje skript pro obnovení nebo obnoví archivované klíče.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

Skript vygeneruje skript pro načtení a obnovení klíčů (výchozí chování, pokud je nalezeno více odpovídajících kandidátů na obnovení nebo pokud není zadán výstupní soubor).
retrieve načte jeden nebo více objektů blob obnovení klíčů (výchozí chování, pokud je nalezen přesně jeden odpovídající kandidát na obnovení a pokud je zadán výstupní soubor). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte řetězec specifický pro certifikát a .rec rozšíření pro každý objekt blob obnovení klíče. Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
Nástroj Recover načte a obnoví soukromé klíče v jednom kroku (vyžaduje certifikáty agenta obnovení klíčů a soukromé klíče). Pomocí této možnosti zkrátíte všechna rozšíření a připojíte .p12 rozšíření. Každý soubor obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.
SearchToken vybírá klíče a certifikáty, které se mají obnovit, včetně:
- Běžný název certifikátu
- Sériové číslo certifikátu
- Hash SHA-1 certifikátu (kryptografický otisk)
- Hodnota hash SHA-1 id certifikátu (identifikátor klíče subjektu)
- Název žadatele (doména\uživatel)
- UPN (user@domain)
Výstupem souboru RecoveryBlobOutFile je řetězec certifikátů a přidružený privátní klíč, který je stále zašifrován na jeden nebo více certifikátů agenta obnovení klíčů.
Výstupem souboru OutputScriptFile je dávkový skript pro načtení a obnovení soukromých klíčů.
VýstupFileBaseName vypíše základní název souboru.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Při načtení se všechna rozšíření zkrátí a pro každý objekt blob pro obnovení klíče se připojí řetězec specifický pro certifikát a rozšíření..rec Každý soubor obsahuje řetěz certifikátů a přidružený privátní klíč, který je stále šifrovaný na jeden nebo více certifikátů agenta obnovení klíčů.
V případě obnovení se jakýkoli doplněk zkrátí a doplněk .p12 se připojí. Obsahuje obnovené řetězy certifikátů a přidružené privátní klíče uložené jako soubor PFX.

-RecoverKey

Obnoví archivovaný privátní klíč.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Sloučí soubory PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList je čárkami oddělený seznam vstupních souborů PFX.
PFXOutFile je název výstupního souboru PFX.
Modifikátory jsou čárkami oddělené seznamy jednoho nebo více z následujících:
- Vlastnost ExtendedProperties zahrnuje všechny rozšířené vlastnosti.
- NoEncryptCert určuje, že se certifikáty nebudou šifrovat.
- EncryptCert určuje šifrování certifikátů.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Heslo zadané na příkazovém řádku musí být seznam hesel oddělený čárkami.
Pokud je zadáno více než jedno heslo, použije se poslední heslo pro výstupní soubor. Pokud je zadané jenom jedno heslo nebo pokud je *poslední heslo, zobrazí se uživateli výzva k zadání hesla výstupního souboru.

-add-chain

Přidá řetěz certifikátů.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Přidá řetěz před certifikáty.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Dostane podepsanou hlavu stromu.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Získá podepsané změny hlavy stromu.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Získá doklad o hodnotě hash ze serveru časového razítka.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Načte položky z protokolu událostí.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Načte kořenové certifikáty z úložiště certifikátů.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Načte položku protokolu událostí a kryptografickou kontrolu.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Ověřuje certifikát v protokolu průhlednosti certifikátu.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Zobrazí seznam parametrů.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? zobrazí seznam parametrů.
-<name_of_parameter> -? zobrazí obsah nápovědy pro zadaný parametr.
-? -v zobrazí podrobný seznam parametrů a možností.

Možnosti

Tato část definuje všechny možnosti, které můžete zadat na základě příkazu. Každý parametr obsahuje informace o tom, které možnosti jsou platné pro použití.

Option	Description
-admin	Pro vlastnosti certifikační autority použijte ICertAdmin2.
-anonymous	Použijte anonymní přihlašovací údaje SSL.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Použijte přihlašovací údaje SSL certifikátu X.509. Pro výběr uživatelského rozhraní použijte `-clientcertificate`.
-config Machine\CAName	Certifikační autorita a řetězec názvu počítače.
-csp provider	Provider: KSP - poskytovatel úložiště softwarových klíčů společnosti Microsoft TPM - poskytovatel kryptografických služeb platformy Microsoft NGC – zprostředkovatel úložiště klíčů Microsoft Passport SC - Zprostředkovatel úložiště klíčů čipových karet Microsoft
-dc DCName	Zaměřte se na konkrétní řadič domény.
-enterprise	Použijte úložiště certifikátů podnikového registru místního počítače.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Generování SST pomocí mechanismu automatické aktualizace
-gmt	Zobrazení časů pomocí GMT.
-GroupPolicy	Použijte úložiště certifikátů zásad skupiny.
-idispatch	Místo nativních metod modelu COM použijte IDispatch.
-kerberos	Použijte přihlašovací údaje protokolu Kerberos SSL.
-location alternatestoragelocation	`(-loc)` AlternativníUmístění úložiště.
-mt	Zobrazte šablony počítačů.
-nocr	Kódování textu bez znaků CR
-nocrlf	Zakódujte text bez CR-LF znaků.
-nullsign	Použijte hodnotu hash dat jako podpis.
-oldpfx	Použijte staré šifrování PFX.
-out columnlist	Seznam sloupců oddělený čárkami
-p password	Password
-pin PIN	PIN kód čipové karty
-policyserver URLorID	Adresa URL nebo ID serveru zásad. Pro výběr U/I použijte `-policyserver`. Pro všechny servery zásad použijte `-policyserver *`
-privatekey	Zobrazí data hesla a privátního klíče.
-protect	Chraňte klíče heslem.
-protectto SAMnameandSIDlist	Seznam názvů SAM oddělených čárkami/SID
-restrict restrictionlist	Seznam omezení oddělený čárkami Každé omezení se skládá z názvu sloupce, relačního operátoru a konstantního celého čísla, řetězce nebo data. Před jedním názvem sloupce může být znaménko plus nebo minus, které označuje pořadí řazení. Například: `requestID = 47`, `+requestername >= a, requestername`nebo `-requestername > DOMAIN, Disposition = 21`.
-reverse	Sloupce reverzního protokolu a fronty
-seconds	Časy zobrazení pomocí sekund a milisekund
-service	Použijte úložiště certifikátů služby.
-sid	Numeric SID: 22 - Místní systém 23 - Místní servis 24 - Síťová služba
-silent	Pomocí příznaku `silent` můžete získat kontext kryptografie.
-split	Rozdělte vložené prvky ASN.1 a uložte je do souborů.
-sslpolicy servername	Zásady SSL odpovídající názvu serveru.
-symkeyalg symmetrickeyalgorithm[,keylength]	Název algoritmu symetrického klíče s volitelnou délkou klíče Například: `AES,128` nebo `3DES`.
-syncWithWU DestinationDir	Synchronizace se službou Windows Update
-t timeout	Vypršení časového limitu adresy URL v milisekundách
-Unicode	Výstup pro přesměrování zápisu v kódování Unicode
-UnicodeText	Zápis výstupního souboru v kódování Unicode
-urlfetch	Načtěte a ověřte certifikáty AIA a seznamy CRL CDP.
-user	Použijte klíče HKEY_CURRENT_USER nebo úložiště certifikátů.
-username username	Pro přihlašovací údaje SSL použijte pojmenovaný účet. Pro výběr uživatelského rozhraní použijte `-username`.
-ut	Umožňuje zobrazit uživatelské šablony.
-v	Zadejte podrobnější (podrobné) informace.
-v1	Použijte rozhraní V1.

Hashovací algoritmy: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Další příklady použití tohoto příkazu najdete v následujících článcích:

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-08-16

Sdílet prostřednictvím

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA