Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Vorsicht
Certutil
wird nicht empfohlen, in einem Produktionscode zu verwenden und bietet keine Garantien für die Unterstützung von Livewebsites oder Anwendungskompatibilitäten. Es ist ein Tool, das von Entwicklern und IT-Administratoren verwendet wird, um Zertifikatinhaltsinformationen auf Geräten anzuzeigen.
Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren und Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen. Das Programm überprüft auch Zertifikate, Schlüsselpaare und Zertifikatketten.
Wenn certutil
sie auf einer Zertifizierungsstelle ohne andere Parameter ausgeführt wird, wird die aktuelle Konfiguration der Zertifizierungsstelle angezeigt. Wenn certutil
sie auf einer Nichtzertifizierungsstelle ohne andere Parameter ausgeführt wird, wird standardmäßig der Befehl ausgeführt certutil -dump
. Nicht alle Versionen von certutil stellen alle Parameter und Optionen bereit, die in diesem Dokument beschrieben werden. Sie können die Auswahlmöglichkeiten sehen, die Ihre Version von certutil bereitstellt, indem Sie ausführen certutil -?
oder certutil <parameter> -?
.
Tipp
Um die vollständige Hilfe für alle Certutil-Verben und -Optionen anzuzeigen, einschließlich derer, die -?
im Argument ausgeblendet sind, führen Sie aus certutil -v -uSAGE
. Bei der uSAGE
Option wird die Groß-/Kleinschreibung beachtet.
Die Parameter
-dump
Gibt die Konfigurationsinformationen oder Dateien aus.
certutil [options] [-dump]
certutil [options] [-dump] File
Optionen:
[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]
-dumpPFX
Stellt die PFX-Struktur ab.
certutil [options] [-dumpPFX] File
Optionen:
[-f] [-Silent] [-split] [-p Password] [-csp Provider]
-asn
Analysiert und zeigt den Inhalt einer Datei mithilfe der Syntaxnotation (ASN.1) an. Dateitypen enthalten . CER, . Der und PKCS #7 formatierte Dateien.
certutil [options] -asn File [type]
-
[type]
: numerischer CRYPT_STRING_*-Decodierungstyp
-decodehex
Decodiert eine hexadezimal codierte Datei.
certutil [options] -decodehex InFile OutFile [type]
-
[type]
: numerischer CRYPT_STRING_*-Decodierungstyp
Optionen:
[-f]
-encodehex
Codiert eine Datei in hexadezimaler Zahl.
certutil [options] -encodehex InFile OutFile [type]
-
[type]
: numerischer CRYPT_STRING_* Codierungstyp
Optionen:
[-f] [-nocr] [-nocrlf] [-UnicodeText]
-decode
Decodiert eine Base64-codierte Datei.
certutil [options] -decode InFile OutFile
Optionen:
[-f]
-encode
Codiert eine Datei in Base64.
certutil [options] -encode InFile OutFile
Optionen:
[-f] [-unicodetext]
-deny
Verweigert eine ausstehende Anforderung.
certutil [options] -deny RequestId
Optionen:
[-config Machine\CAName]
-resubmit
Sendet eine ausstehende Anforderung erneut.
certutil [options] -resubmit RequestId
Optionen:
[-config Machine\CAName]
-setattributes
Legt Attribute für eine ausstehende Zertifikatanforderung fest.
certutil [options] -setattributes RequestId AttributeString
Ort:
- RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.
- AttributeString ist der Anforderungsattributname und wertpaare.
Optionen:
[-config Machine\CAName]
Bemerkungen
- Namen und Werte müssen durch Doppelpunkte getrennt werden, während mehrere Namen und Wertpaare durch Zeilenumbrüche getrennt werden müssen. Beispiel:
CertificateTemplate:User\nEMail:User@Domain.com
Hier wird die\n
Sequenz in ein Neulinientrennzeichen konvertiert.
-setextension
Legen Sie eine Erweiterung für eine ausstehende Zertifikatanforderung fest.
certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}
Ort:
- requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.
- ExtensionName ist die ObjectId-Zeichenfolge für die Erweiterung.
-
Flags legt die Priorität der Erweiterung fest.
0
wird empfohlen, während1
die Erweiterung auf kritisch festgelegt wird,2
deaktiviert die Erweiterung und3
führt beides aus.
Optionen:
[-config Machine\CAName]
Bemerkungen
- Wenn der letzte Parameter numerisch ist, wird er als Long verwendet.
- Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Datum verwendet.
- Wenn der letzte Parameter mit
\@
beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder einem ASCII-Text-Hex-Dump verwendet. - Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.
-revoke
Widerruft ein Zertifikat.
certutil [options] -revoke SerialNumber [Reason]
Ort:
- SerialNumber ist eine durch Trennzeichen getrennte Liste von Zertifikatsseriennummern, die widerrufen werden sollen.
-
Grund ist die numerische oder symbolische Darstellung des Widerrufsgrundes, einschließlich:
- 0. CRL_REASON_UNSPECIFIED - Nicht angegeben (Standard)
- 1. CRL_REASON_KEY_COMPROMISE - Schlüsselkompromittierung
- 2. CRL_REASON_CA_COMPROMISE - Kompromittierung der Zertifizierungsstelle
- 3. CRL_REASON_AFFILIATION_CHANGED - Zugehörigkeit geändert
- 4. CRL_REASON_SUPERSEDED - Abgelöst
- 5. CRL_REASON_CESSATION_OF_OPERATION - Einstellung des Betriebs
- 6. CRL_REASON_CERTIFICATE_HOLD - Zertifikatsperre
- 8. CRL_REASON_REMOVE_FROM_CRL - Aus CRL entfernen
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privileg zurückgezogen
- 10: CRL_REASON_AA_COMPROMISE - AA-Kompromiss
- -1. Widerruf aufheben - Unwiderruflich
Optionen:
[-config Machine\CAName]
-isvalid
Zeigt die Anordnung des aktuellen Zertifikats an.
certutil [options] -isvalid SerialNumber | CertHash
Optionen:
[-config Machine\CAName]
-getconfig
Ruft die Standardkonfigurationszeichenfolge ab.
certutil [options] -getconfig
Optionen:
[-idispatch] [-config Machine\CAName]
-getconfig2
Ruft die Standardkonfigurationszeichenfolge über ICertGetConfig ab.
certutil [options] -getconfig2
Optionen:
[-idispatch]
-getconfig3
Ruft die Konfiguration über ICertConfig ab.
certutil [options] -getconfig3
Optionen:
[-idispatch]
-ping
Versucht, die Anforderungsschnittstelle für Active Directory-Zertifikatdienste zu kontaktieren.
certutil [options] -ping [MaxSecondsToWait | CAMachineList]
Ort:
- CAMachineList ist eine durch Trennzeichen getrennte Liste der Computernamen der Zertifizierungsstelle. Verwenden Sie für einen einzelnen Computer ein beendendes Komma. Diese Option zeigt auch die Standortkosten für jeden Ca-Computer an.
Optionen:
[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-pingadmin
Versucht, die Active Directory-Zertifikatdienste-Administratorschnittstelle zu kontaktieren.
certutil [options] -pingadmin
Optionen:
[-config Machine\CAName]
-CAInfo
Zeigt Informationen zur Zertifizierungsstelle an.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Ort:
-
InfoName gibt die anzuzeigende CA-Eigenschaft basierend auf der folgenden Syntax des Infoname-Arguments an:
- * - Zeigt alle Eigenschaften an
- Anzeigen – Erweiterter Server
- aia [Index] – AIA-URLs
- cdp [Index] – CDP-URLs
- cert [Index] - CA-Zertifikat
- certchain [Index] – Zertifizierungsstellen-Zertifikatkette
- certcount - Anzahl der CA-Zertifikate
- certcrlchain [Index] – Zertifizierungsstellenkette mit CRLs
- certstate [Index] - CA-Zertifikat
- certstatuscode [Index] – Zertifizierungsstellenzertifikatstatus
- certversion [Index] – Zertifizierungsstellen-Zertifikatversion
- CRL [Index] - Basis-CRL
- crlstate [Index] - CRL
- crlstatus [Index] – CRL-Veröffentlichungsstatus
- cross- [Index] - Rückwärts-Kreuzzertifikat
- cross+ [Index] - Vorwärts-Kreuz-Zertifikat
- crossstate- [Index] - Rückwärts-Kreuzzertifikat
- crossstate+ [Index] - Vorwärts-Kreuzzertifikat
- deltacrl [Index] - Delta-CRL
- deltacrlstatus [Index] – Status der Delta-CRL-Veröffentlichung
- dns – DNS-Name
- dsname - Kurzname der bereinigten Zertifizierungsstelle (DS-Name)
- error1 ErrorCode - Fehlermeldungstext
- error2 ErrorCode - Fehlermeldungstext und Fehlercode
- exit [Index] – Beschreibung des Exit-Moduls
- exitcount - Exit Module Count
- datei – Dateiversion
- info - Ca Info
- kra [Index] - KRA cert
- kracount - KRA CERT Count
- krastate [Index] - KRA cert
- kraused - KRA cert verwendete Anzahl
- Gebietsschemaname – Gebietsschemaname der Zertifizierungsstelle
- name - CA-Name
- ocsp [Index] – OCSP-URLs
- übergeordnetes Element – übergeordnete Zertifizierungsstelle
- policy – Beschreibung des Richtlinienmoduls
- produkt - Produktversion
- propidmax - Maximale CA PropId
- rolle - Rollentrennung
- sanitizedname - Name der bereinigten Zertifizierungsstelle
- sharedfolder – Freigegebener Ordner
- subjecttemplateoids - OIDs für Themenvorlagen
- Vorlagen – Vorlagen
- typ - CA-Typ
- xchg [Index] – Zertifizierungsstellenzertifikat
- xchgchain [Index] - Ca Exchange Cert Chain
- xchgcount – Anzahl der Zertifizierungsstellenzertifikate
- xchgcrlchain [Index] – ZERTIFIZIERUNGsstellen-Zertifikatkette mit CRLs
- Index ist der optionale nullbasierte Eigenschaftenindex.
- errorcode ist der numerische Fehlercode.
Optionen:
[-f] [-split] [-config Machine\CAName]
-CAPropInfo
Zeigt Informationen zum Ca-Eigenschaftstyp an.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Optionen:
[-idispatch] [-v1] [-admin] [-config Machine\CAName]
-ca.cert
Ruft das Zertifikat für die Zertifizierungsstelle ab.
certutil [options] -ca.cert OutCACertFile [Index]
Ort:
- OutCACertFile ist die Ausgabedatei.
- Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).
Optionen:
[-f] [-split] [-config Machine\CAName]
-ca.chain
Ruft die Zertifikatkette für die Zertifizierungsstelle ab.
certutil [options] -ca.chain OutCACertChainFile [Index]
Ort:
- OutCACertChainFile ist die Ausgabedatei.
- Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).
Optionen:
[-f] [-split] [-config Machine\CAName]
-GetCRL
Ruft eine Zertifikatsperrliste (Certificate Revocation List, CRL) ab.
certutil [options] -GetCRL OutFile [Index] [delta]
Ort:
- Index ist der CRL-Index oder der Schlüsselindex (standardeinstellung für CRL für den letzten Schlüssel).
- Delta ist die Delta-CRL (Standard ist Basis-CRL).
Optionen:
[-f] [-split] [-config Machine\CAName]
-CRL
Veröffentlicht neue Zertifikatsperrlisten (CRLs) oder Delta-CRLs.
certutil [options] -CRL [dd:hh | republish] [delta]
Ort:
- dd:hh ist der neue Gültigkeitszeitraum der CRL in Tagen und Stunden.
- Veröffentlicht die neuesten CRLs erneut.
- Delta veröffentlicht nur die Delta-CRLs (Standard ist Basis- und Delta-CRLs).
Optionen:
[-split] [-config Machine\CAName]
-shutdown
Beendet die Active Directory-Zertifikatdienste.
certutil [options] -shutdown
Optionen:
[-config Machine\CAName]
-installCert
Installiert ein Zertifizierungsstellenzertifikat.
certutil [options] -installCert [CACertFile]
Optionen:
[-f] [-silent] [-config Machine\CAName]
-renewCert
Erneuert ein Zertifizierungsstellenzertifikat.
certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]
Optionen:
[-f] [-silent] [-config Machine\CAName]
- Wird verwendet
-f
, um eine ausstehende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.
-schema
Erstellt ein Dump des Schemas für das Zertifikat.
certutil [options] -schema [Ext | Attrib | CRL]
Ort:
- Der Befehl ist standardmäßig auf die Tabelle "Anforderung" und "Zertifikat" festgelegt.
- Ext ist die Erweiterungstabelle.
- Attribut ist die Attributtabelle.
- CRL ist die CRL-Tabelle .
Optionen:
[-split] [-config Machine\CAName]
-view
Erstellt einen Dump der Zertifikatsansicht.
certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
Ort:
- In der Warteschlange wird eine bestimmte Anforderungswarteschlange abgeladen.
- Protokollabbilder der ausgestellten oder widerrufenen Zertifikate sowie alle fehlgeschlagenen Anforderungen.
- LogFail gibt die fehlgeschlagenen Anforderungen aus.
- Widerrufene Abbilder der widerrufenen Zertifikate.
- Ext gibt die Erweiterungstabelle aus.
- Attrib erstellt einen Dump der Attributtabelle.
- CRL gibt die CRL-Tabelle aus.
- csv stellt die Ausgabe mithilfe von durch Trennzeichen getrennten Werten bereit.
Optionen:
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
Bemerkungen
- Um die StatusCode-Spalte für alle Einträge anzuzeigen, geben Sie
-out StatusCode
- Um alle Spalten für den letzten Eintrag anzuzeigen, geben Sie Folgendes ein:
-restrict RequestId==$
- Geben Sie Folgendes ein, um die RequestId und Disposition für drei Anforderungen anzuzeigen:
-restrict requestID>=37,requestID<40 -out requestID,disposition
- Geben Sie Folgendes ein, um Zeilen-IDs und CRL-Nummern für alle Basis-CRLs anzuzeigen:
-restrict crlminbase=0 -out crlrowID,crlnumber crl
- Geben Sie Folgendes ein, um die Basis-CRL-Nummer 3 anzuzeigen:
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
- Geben Sie Folgendes ein, um die gesamte CRL-Tabelle anzuzeigen:
CRL
- Wird
Date[+|-dd:hh]
für Datumseinschränkungen verwendet. - Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet
now+dd:hh
. - Vorlagen enthalten erweiterte Schlüsselverwendungen (Extended Key Usages, EKUs), die Objektbezeichner (OIDs) sind, die beschreiben, wie das Zertifikat verwendet wird. Zertifikate enthalten nicht immer allgemeine Vorlagennamen oder Anzeigenamen, aber sie enthalten immer die Vorlagen-EKUs. Sie können die EKUs für eine bestimmte Zertifikatvorlage aus Active Directory extrahieren und dann Ansichten basierend auf dieser Erweiterung einschränken.
-db
Gibt die Rohdatenbank aus.
certutil [options] -db
Optionen:
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
-deleterow
Löscht eine Zeile aus der Serverdatenbank.
certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]
Ort:
- Die Anforderung löscht die fehlgeschlagenen und ausstehenden Anforderungen basierend auf dem Übermittlungsdatum.
- Zertifikat löscht die abgelaufenen und widerrufenen Zertifikate basierend auf dem Ablaufdatum.
- Ext löscht die Erweiterungstabelle.
- Attrib löscht die Attributtabelle.
- CRL löscht die CRL-Tabelle.
Optionen:
[-f] [-config Machine\CAName]
Beispiele
- Um fehlgeschlagene und ausstehende Anforderungen zu löschen, die bis zum 22. Januar 2001 übermittelt wurden, geben Sie Folgendes ein:
1/22/2001 request
- Um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein:
1/22/2001 cert
- Um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen, geben Sie Folgendes ein:
37
- Um CRLs zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein:
1/22/2001 crl
Hinweis
Datum erwartet das Format mm/dd/yyyy
anstelle dd/mm/yyyy
von beispielsweise 1/22/2001
22/1/2001
für den 22. Januar 2001. Wenn Ihr Server nicht mit regionalen US-Einstellungen konfiguriert ist, kann die Verwendung des Arguments "Date " zu unerwarteten Ergebnissen führen.
-backup
Sichert die Active Directory-Zertifikatdienste.
certutil [options] -backup BackupDirectory [Incremental] [KeepLog]
Ort:
- BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Daten.
- Inkrementelles Ausführen einer inkrementellen Sicherung (Standard ist vollständige Sicherung).
- KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).
Optionen:
[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]
-backupDB
Sichert die Active Directory-Zertifikatdienste-Datenbank.
certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]
Ort:
- BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Datenbankdateien.
- Inkrementelles Ausführen einer inkrementellen Sicherung (Standard ist vollständige Sicherung).
- KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).
Optionen:
[-f] [-config Machine\CAName]
-backupkey
Sichert das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel.
certutil [options] -backupkey BackupDirectory
Ort:
- BackupDirectory ist das Verzeichnis zum Speichern der gesicherten PFX-Datei.
Optionen:
[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]
-restore
Stellt die Active Directory-Zertifikatdienste wieder her.
certutil [options] -restore BackupDirectory
Ort:
- BackupDirectory ist das Verzeichnis, das die zu wiederherstellenden Daten enthält.
Optionen:
[-f] [-config Machine\CAName] [-p password]
-restoredb
Stellt die Active Directory-Zertifikatdienste-Datenbank wieder her.
certutil [options] -restoredb BackupDirectory
Ort:
- BackupDirectory ist das Verzeichnis, das die Datenbankdateien enthält, die wiederhergestellt werden sollen.
Optionen:
[-f] [-config Machine\CAName]
-restorekey
Stellt das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel wieder her.
certutil [options] -restorekey BackupDirectory | PFXFile
Ort:
- BackupDirectory ist das Verzeichnis, das PFX-Datei enthält, die wiederhergestellt werden soll.
- PFXFile ist die PFX-Datei , die wiederhergestellt werden soll.
Optionen:
[-f] [-config Machine\CAName] [-p password]
-exportPFX
Exportiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]
Ort:
- CertificateStoreName ist der Name des Zertifikatspeichers.
- CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.
- PFXFile ist die zu exportierende PFX-Datei.
-
Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
-
CryptoAlgorithm= gibt den kryptografischen Algorithmus an, der zum Verschlüsseln der PFX-Datei verwendet werden soll, z
TripleDES-Sha1
. B. oderAes256-Sha256
. - EncryptCert – Verschlüsselt den privaten Schlüssel, der dem Zertifikat mit einem Kennwort zugeordnet ist.
- ExportParameters -Exports die Parameter des privaten Schlüssels zusätzlich zum Zertifikat und privaten Schlüssel.
- ExtendedProperties – Enthält alle erweiterten Eigenschaften, die dem Zertifikat in der Ausgabedatei zugeordnet sind.
- NoEncryptCert – Exportiert den privaten Schlüssel, ohne ihn zu verschlüsseln.
- NoChain – Importiert die Zertifikatkette nicht.
- NoRoot – Importiert das Stammzertifikat nicht.
-
CryptoAlgorithm= gibt den kryptografischen Algorithmus an, der zum Verschlüsseln der PFX-Datei verwendet werden soll, z
-importPFX
Importiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]
Ort:
- CertificateStoreName ist der Name des Zertifikatspeichers.
- PFXFile ist die ZU importierende PFX-Datei.
-
Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
- AT_KEYEXCHANGE – Ändert die Schlüsselspezifikation in den Schlüsselaustausch.
- AT_SIGNATURE – Ändert die Schlüsselspezifikation in signatur.
- ExportEncrypted - Exportiert den privaten Schlüssel, der dem Zertifikat mit Kennwortverschlüsselung zugeordnet ist.
- FriendlyName= – Gibt einen Anzeigenamen für das importierte Zertifikat an.
- KeyDescription= – Gibt eine Beschreibung für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
- KeyFriendlyName= – Gibt einen Anzeigenamen für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
- NoCert – Importiert das Zertifikat nicht.
- NoChain – Importiert die Zertifikatkette nicht.
- NoExport - Macht den privaten Schlüssel nicht exportierbar.
- NoProtect – Schützt schlüssel nicht mithilfe eines Kennworts.
- NoRoot – Importiert das Stammzertifikat nicht.
- Pkcs8 – Verwendet das PKCS8-Format für den privaten Schlüssel in der PFX-Datei.
- Schützen – Schützt Schlüssel mithilfe eines Kennworts.
- ProtectHigh – Gibt an, dass dem privaten Schlüssel ein kennwort mit hoher Sicherheit zugeordnet werden muss.
- VSM : Speichert den privaten Schlüssel, der dem importierten Zertifikat zugeordnet ist, im Container "Virtual Smart Card(VSC)".
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]
Bemerkungen
- Standardmäßig wird der persönliche Computerspeicher gespeichert.
-dynamicfilelist
Zeigt eine dynamische Dateiliste an.
certutil [options] -dynamicfilelist
Optionen:
[-config Machine\CAName]
-databaselocations
Zeigt Datenbankspeicherorte an.
certutil [options] -databaselocations
Optionen:
[-config Machine\CAName]
-hashfile
Generiert und zeigt einen kryptografischen Hash über eine Datei an.
certutil [options] -hashfile InFile [HashAlgorithm]
-store
Abbilden des Zertifikatspeichers.
certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]
Ort:
CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Diese ID kann eine sein:
- Seriennummer
- SHA-1-Zertifikat
- CRL, CTL oder Public Key Hash
- Numerischer Zertifikatindex (0, 1 usw.)
- Numerischer CRL-Index (.0, .1 usw.)
- Numerischer CTL-Index (.. 0, .. 1 usw.)
- Öffentlicher Schlüssel
- Signatur- oder Erweiterungsobjekt-ID
- Allgemeiner Name des Zertifikatsbetreffs
- E-Mail-Adresse
- UPN- oder DNS-Name
- Schlüsselcontainername oder CSP-Name
- Vorlagenname oder ObjectId
- Objekt-ID für EKU- oder Anwendungsrichtlinien
- Allgemeiner Name des Zertifikatsperrlistenausstellers.
Viele dieser Bezeichner können zu mehreren Übereinstimmungen führen.
- OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
- Die
-user
Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu. - Die
-enterprise
Option greift auf einen Computer-Unternehmensspeicher zu. - Die
-service
Option greift auf einen Computerdienstspeicher zu. - Die
-grouppolicy
Option greift auf einen Computergruppenrichtlinienspeicher zu.
Beispiel:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
Hinweis
Leistungsprobleme werden bei Verwendung des Parameters beobachtet, der in den -store
folgenden beiden Aspekten angegeben ist:
- Wenn die Anzahl der Zertifikate im Speicher 10 überschreitet.
- Wenn eine CertId angegeben wird, wird sie verwendet, um alle aufgelisteten Typen für jedes Zertifikat abzugleichen. Wenn beispielsweise eine Seriennummer angegeben wird, wird auch versucht, alle anderen aufgelisteten Typen zuzuordnen.
Wenn Sie sich gedanken über Leistungsprobleme machen, werden PowerShell-Befehle empfohlen, bei denen sie nur mit dem angegebenen Zertifikattyp übereinstimmt.
-enumstore
Listet die Zertifikatspeicher auf.
certutil [options] -enumstore [\\MachineName]
Ort:
- MachineName ist der Name des Remotecomputers.
Optionen:
[-enterprise] [-user] [-grouppolicy]
-addstore
Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -addstore CertificateStoreName InFile
Ort:
- CertificateStoreName ist der Name des Zertifikatspeichers.
- InFile ist die Zertifikat- oder CRL-Datei, die Sie dem Speicher hinzufügen möchten.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
-delstore
Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -delstore CertificateStoreName certID
Ort:
- CertificateStoreName ist der Name des Zertifikatspeichers.
- CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]
-verifystore
Überprüft ein Zertifikat im Speicher. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -verifystore CertificateStoreName [CertId]
Ort:
- CertificateStoreName ist der Name des Zertifikatspeichers.
- CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.
Optionen:
[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]
-repairstore
Repariert eine Schlüsselzuordnung oder aktualisiert Zertifikateigenschaften oder den Schlüsselsicherheitsdeskriptor. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]
Ort:
CertificateStoreName ist der Name des Zertifikatspeichers.
CertIdList ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Übereinstimmungstoken. Weitere Informationen finden Sie in der
-store
CertId-Beschreibung in diesem Artikel.PropertyInfFile ist die INF-Datei mit externen Eigenschaften, einschließlich:
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]
-viewstore
Speichert den Zertifikatspeicher. Weitere Informationen finden Sie im -store
Parameter in diesem Artikel.
certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]
Ort:
CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:
- Seriennummer
- SHA-1-Zertifikat
- CRL-, CTL- oder Public Key-Hash
- Numerischer Zertifikatindex (0, 1 usw.)
- Numerischer CRL-Index (.0, .1 usw.)
- Numerischer CTL-Index (.. 0, .. 1 usw.)
- Öffentlicher Schlüssel
- Signatur- oder Erweiterungsobjekt-ID
- Allgemeiner Name des Zertifikatsbetreffs
- E-Mail-Adresse
- UPN- oder DNS-Name
- Schlüsselcontainername oder CSP-Name
- Vorlagenname oder ObjectId
- Objekt-ID für EKU- oder Anwendungsrichtlinien
- Allgemeiner Name des Zertifikatsperrlistenausstellers.
Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.
- OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- Die
-user
Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu. - Die
-enterprise
Option greift auf einen Computer-Unternehmensspeicher zu. - Die
-service
Option greift auf einen Computerdienstspeicher zu. - Die
-grouppolicy
Option greift auf einen Computergruppenrichtlinienspeicher zu.
Beispiel:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-viewdelstore
Löscht ein Zertifikat aus dem Speicher.
certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]
Ort:
CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:
- Seriennummer
- SHA-1-Zertifikat
- CRL-, CTL- oder Public Key-Hash
- Numerischer Zertifikatindex (0, 1 usw.)
- Numerischer CRL-Index (.0, .1 usw.)
- Numerischer CTL-Index (.. 0, .. 1 usw.)
- Öffentlicher Schlüssel
- Signatur- oder Erweiterungsobjekt-ID
- Allgemeiner Name des Zertifikatsbetreffs
- E-Mail-Adresse
- UPN- oder DNS-Name
- Schlüsselcontainername oder CSP-Name
- Vorlagenname oder ObjectId
- Objekt-ID für EKU- oder Anwendungsrichtlinien
- Allgemeiner Name des Zertifikatsperrlistenausstellers.
Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.
- OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- Die
-user
Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu. - Die
-enterprise
Option greift auf einen Computer-Unternehmensspeicher zu. - Die
-service
Option greift auf einen Computerdienstspeicher zu. - Die
-grouppolicy
Option greift auf einen Computergruppenrichtlinienspeicher zu.
Beispiel:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-UI
Ruft die certutil-Schnittstelle auf.
certutil [options] -UI File [import]
-TPMInfo
Zeigt Informationen zu vertrauenswürdigen Plattformmodulen an.
certutil [options] -TPMInfo
Optionen:
[-f] [-Silent] [-split]
-attest
Gibt an, dass die Zertifikatanforderungsdatei bestätigt werden soll.
certutil [options] -attest RequestFile
Optionen:
[-user] [-Silent] [-split]
-getcert
Wählt ein Zertifikat aus einer Auswahl-UI aus.
certutil [options] [ObjectId | ERA | KRA [CommonName]]
Optionen:
[-Silent] [-split]
-ds
Zeigt Distinguished Names (DNs) des Verzeichnisdiensts (DS) an.
certutil [options] -ds [CommonName]
Optionen:
[-f] [-user] [-split] [-dc DCName]
-dsDel
Löscht DS-DNs.
certutil [options] -dsDel [CommonName]
Optionen:
[-user] [-split] [-dc DCName]
-dsPublish
Veröffentlicht eine Zertifikat- oder Zertifikatsperrliste (Certificate Revocation List, CRL) in Active Directory.
certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
Ort:
- CertFile ist der Name der zu veröffentlichenden Zertifikatdatei.
- NTAuthCA veröffentlicht das Zertifikat im DS Enterprise-Speicher.
- RootCA veröffentlicht das Zertifikat im DS Trusted Root Store.
- SubCA veröffentlicht das Zertifizierungsstellenzertifikat im DS CA-Objekt.
- CrossCA veröffentlicht das zertifikatübergreifende Zertifikat für das DS CA-Objekt.
- KRA veröffentlicht das Zertifikat im DS Key Recovery Agent-Objekt.
- Der Benutzer veröffentlicht das Zertifikat für das User DS-Objekt.
- Computer veröffentlicht das Zertifikat im Machine DS-Objekt.
- CRLfile ist der Name der zu veröffentlichenden CRL-Datei.
- DSCDPContainer ist der CN des DS CDP-Containers, in der Regel der Name des Ca-Computers.
- DSCDPCN ist das DS CDP-Objekt CN basierend auf dem sanitisierten CA-Kurznamen und Schlüsselindex.
Optionen:
[-f] [-user] [-dc DCName]
- Dient
-f
zum Erstellen eines neuen DS-Objekts.
-dsCert
Zeigt DS-Zertifikate an.
certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]
Optionen:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsCRL
Zeigt DS-CRLs an.
certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]
Optionen:
[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsDeltaCRL
Zeigt DS-Delta-CRLs an.
certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]
Optionen:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsTemplate
Zeigt DS-Vorlagenattribute an.
certutil [options] -dsTemplate [Template]
Optionen:
[Silent] [-dc DCName]
-dsAddTemplate
Fügt DS-Vorlagen hinzu.
certutil [options] -dsAddTemplate TemplateInfFile
Optionen:
[-dc DCName]
-ADTemplate
Zeigt Active Directory-Vorlagen an.
certutil [options] -ADTemplate [Template]
Optionen:
[-f] [-user] [-ut] [-mt] [-dc DCName]
-Template
Zeigt die Vorlagen für die Zertifikatregistrierungsrichtlinie an.
Optionen:
certutil [options] -Template [Template]
Optionen:
[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-TemplateCAs
Zeigt die Zertifizierungsstellen (CAs) für eine Zertifikatvorlage an.
certutil [options] -TemplateCAs Template
Optionen:
[-f] [-user] [-dc DCName]
-CATemplates
Zeigt Vorlagen für die Zertifizierungsstelle an.
certutil [options] -CATemplates [Template]
Optionen:
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
-SetCATemplates
Legt die Zertifikatvorlagen fest, die von der Zertifizierungsstelle auszugeben sind.
certutil [options] -SetCATemplates [+ | -] TemplateList
Ort:
- Das
+
Zeichen fügt der verfügbaren Vorlagenliste der Zertifizierungsstelle Zertifikatvorlagen hinzu. - Das
-
Zeichen entfernt Zertifikatvorlagen aus der verfügbaren Vorlagenliste der Zertifizierungsstelle.
-SetCASites
Verwaltet Websitenamen, einschließlich Einstellung, Überprüfung und Löschen von Websitenamen der Zertifizierungsstelle.
certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete
Ort:
- SiteName ist nur zulässig, wenn sie auf eine einzelne Zertifizierungsstelle ausgerichtet ist.
Optionen:
[-f] [-config Machine\CAName] [-dc DCName]
Bemerkungen
- Die
-config
Option zielt auf eine einzelne Zertifizierungsstelle ab (Standard ist alle Zertifizierungsstellen). - Die
-f
Option kann zum Überschreiben von Überprüfungsfehlern für den angegebenen SiteName oder zum Löschen aller Zertifizierungsstelle-Websitenamen verwendet werden.
Hinweis
Weitere Informationen zum Konfigurieren von CAs für Ad Directory Domain Services (AD DS)-Standortinformationen finden Sie unter AD DS Site Awareness für AD CS- und PKI-Clients.
-enrollmentServerURL
Zeigt Registrierungsserver-URLs an, die einer Zertifizierungsstelle zugeordnet sind, werden hinzugefügt oder gelöscht.
certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete
Ort:
-
AuthenticationType gibt eine der folgenden Clientauthentifizierungsmethoden beim Hinzufügen einer URL an:
- Kerberos – Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
- UserName : Verwenden Sie ein benanntes Konto für SSL-Anmeldeinformationen.
- ClientCertificate – Verwenden Sie X.509-Zertifikat-SSL-Anmeldeinformationen.
- Anonym – Anonyme SSL-Anmeldeinformationen verwenden.
- löscht die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.
-
Priorität wird
1
standardmäßig festgelegt, wenn sie beim Hinzufügen einer URL nicht angegeben wird. -
Modifizierer sind eine durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthält:
- AllowRenewalsOnly nur Verlängerungsanforderungen können über diese URL an diese Zertifizierungsstelle übermittelt werden.
- AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats, das kein zugeordnetes Konto in der AD aufweist. Dies gilt nur für den ClientCertificate - und AllowRenewalsOnly-Modus .
Optionen:
[-config Machine\CAName] [-dc DCName]
-ADCA
Zeigt die Active Directory-Zertifizierungsstellen an.
certutil [options] -ADCA [CAName]
Optionen:
[-f] [-split] [-dc DCName]
-CA
Zeigt die Registrierungsrichtlinienzertifizierungsstellen an.
certutil [options] -CA [CAName | TemplateName]
Optionen:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-Policy
Zeigt die Registrierungsrichtlinie an.
certutil [options] -Policy
Optionen:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-PolicyCache
Zeigt Registrierungsrichtliniencacheeinträge an oder löscht sie.
certutil [options] -PolicyCache [delete]
Ort:
- löscht die Cacheeinträge des Richtlinienservers.
- -f löscht alle Cacheeinträge.
Optionen:
[-f] [-user] [-policyserver URLorID]
-CredStore
Zeigt Anmeldeinformationsspeichereinträge an, fügt sie hinzu oder löscht sie.
certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete
Ort:
-
DIE URL ist die Ziel-URL . Sie können auch zum Abgleichen aller Einträge oder
*
zum Abgleichen eines URL-Präfixes verwendenhttps://machine*
. - add a credential store entry. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.
- löscht Anmeldeinformationsspeichereinträge.
- -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.
Optionen:
[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-InstallDefaultTemplates
Installiert die Standardzertifikatvorlagen.
certutil [options] -InstallDefaultTemplates
Optionen:
[-dc DCName]
-URL
Überprüft Zertifikat- oder CRL-URLs.
certutil [options] -URL InFile | URL
Optionen:
[-f] [-split]
-URLCache
Zeigt URL-Cacheeinträge an oder löscht sie.
certutil [options] -URLcache [URL | CRL | * [delete]]
Ort:
- DIE URL ist die zwischengespeicherte URL.
- CRL wird nur für alle zwischengespeicherten CRL-URLs ausgeführt.
- * wird für alle zwischengespeicherten URLs ausgeführt.
- Löscht relevante URLs aus dem lokalen Cache des aktuellen Benutzers.
- -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.
Optionen:
[-f] [-split]
-pulse
Pulsiert ein Autoenrollment-Ereignis oder eine NGC-Aufgabe.
certutil [options] -pulse [TaskName [SRKThumbprint]]
Ort:
-
TaskName ist die Aufgabe, die ausgelöst werden soll.
- Pregen ist die NGC Key Pregen-Aufgabe.
- AIKEnroll ist die NGC AIK-Zertifikatregistrierungsaufgabe. (Standardmäßig wird das Ereignis für die automatische Registrierung verwendet).
- SRKThumbprint ist der Fingerabdruck des Speicherstammschlüssels.
-
Modifizierer:
- Pregen
- PregenDelay
- AIKEnroll
- Krypto-Politik
- NgcPregenKey
- DIMSRoam
Optionen:
[-user]
-MachineInfo
Zeigt Informationen zum Active Directory-Computerobjekt an.
certutil [options] -MachineInfo DomainName\MachineName$
-DCInfo
Zeigt Informationen zum Domänencontroller an. Standardmäßig werden DC-Zertifikate ohne Überprüfung angezeigt.
certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
Modifizierer:
- Überprüfen
- LöschenSchlecht
- Alles löschen
Optionen:
[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
Tipp
Die Möglichkeit, eine Active Directory Domain Services (AD DS)-Domäne [Domäne] anzugeben und einen Domänencontroller (-dc) anzugeben, wurde in Windows Server 2012 hinzugefügt. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied von Domänenadministratoren oder Unternehmensadministratoren ist. Die Verhaltensänderungen dieses Befehls sind wie folgt:
- Wenn keine Domäne angegeben ist und kein bestimmter Domänencontroller angegeben wird, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller verarbeitet werden sollen.
- Wenn keine Domäne angegeben ist, aber ein Domänencontroller angegeben wird, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
- Wenn eine Domäne angegeben ist, aber kein Domänencontroller angegeben ist, wird eine Liste der Domänencontroller zusammen mit Berichten zu den Zertifikaten für jeden Domänencontroller in der Liste generiert.
- Wenn die Domäne und der Domänencontroller angegeben sind, wird eine Liste der Domänencontroller vom zielbezogenen Domänencontroller generiert. Außerdem wird ein Bericht der Zertifikate für jeden Domänencontroller in der Liste generiert.
Angenommen, es gibt eine Domäne namens "CPANDL" mit einem Domänencontroller namens "CPANDL-DC1". Sie können den folgenden Befehl ausführen, um eine Liste der Domänencontroller und deren Zertifikate aus CPANDL-DC1 abzurufen: certutil -dc cpandl-dc1 -DCInfo cpandl
-EntInfo
Zeigt Informationen zu einer Unternehmenszertifizierungsstelle an.
certutil [options] -EntInfo DomainName\MachineName$
Optionen:
[-f] [-user]
-TCAInfo
Zeigt Informationen zur Zertifizierungsstelle an.
certutil [options] -TCAInfo [DomainDN | -]
Optionen:
[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
-SCInfo
Zeigt Informationen zur Smartcard an.
certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]
Ort:
- CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.
Optionen:
[-Silent] [-split] [-urlfetch] [-t Timeout]
-SCRoots
Verwaltet Smartcardstammzertifikate.
certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]
Optionen:
[-f] [-split] [-p Password]
-key
Listet die Schlüssel auf, die in einem Schlüsselcontainer gespeichert sind.
certutil [options] -key [KeyContainerName | -]
Ort:
-
KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie
-user
. - Die Verwendung des
-
Zeichens bezieht sich auf die Verwendung des Standardschlüsselcontainers.
Optionen:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-delkey
Löscht den benannten Schlüsselcontainer.
certutil [options] -delkey KeyContainerName
Optionen:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-DeleteHelloContainer
Löscht den Windows Hello-Container, wobei alle zugeordneten Anmeldeinformationen entfernt werden, die auf dem Gerät gespeichert sind, einschließlich aller WebAuthn- und FIDO-Anmeldeinformationen.
Benutzer müssen sich abmelden, nachdem Sie diese Option verwendet haben, damit sie abgeschlossen werden kann.
certutil [options] -DeleteHelloContainer
-verifykeys
Überprüft einen öffentlichen oder privaten Schlüsselsatz.
certutil [options] -verifykeys [KeyContainerName CACertFile]
Ort:
-
KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie
-user
. - CACertFile signiert oder verschlüsselt Zertifikatdateien.
Optionen:
[-f] [-user] [-Silent] [-config Machine\CAName]
Bemerkungen
- Wenn keine Argumente angegeben werden, wird jedes Signaturzertifizierungsstellenzertifikat anhand seines privaten Schlüssels überprüft.
- Dieser Vorgang kann nur für eine lokale Zertifizierungsstelle oder lokale Schlüssel ausgeführt werden.
-verify
Überprüft ein Zertifikat, eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder eine Zertifikatkette.
certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]
Ort:
- CertFile ist der Name des zu überprüfenden Zertifikats.
- ApplicationPolicyList ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Application Policy ObjectIds.
- "IssuancePolicyList " ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Ausstellungsrichtlinienobjekt-IDs.
- CACertFile ist das optionale ausstellende Zertifizierungsstellenzertifikat, das überprüft werden soll.
- CrossedCACertFile ist das optionale zertifikatübergreifende Zertifikat von CertFile.
- CRLFile ist die CRL-Datei , die verwendet wird, um die CACertFile zu überprüfen.
- "IssuedCertFile" ist das optionale ausgestellte Zertifikat, das von der CRLfile-Datei abgedeckt ist.
- DeltaCRLFile ist die optionale Delta-CRL-Datei.
-
Modifizierer:
- Stark – Überprüfung der starken Signatur
- MSRoot – Muss mit einem Microsoft-Stamm verkettet werden
- MSTestRoot – Muss mit einem Microsoft-Teststamm verkettet werden
- AppRoot – Muss mit einem Microsoft-Anwendungsstamm verkettet werden
- EV – Erweiterte Gültigkeitsprüfungsrichtlinie erzwingen
Optionen:
[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]
Bemerkungen
- Die Verwendung von ApplicationPolicyList schränkt das Erstellen von Ketten nur auf Ketten ein, die für die angegebenen Anwendungsrichtlinien gültig sind.
- Die Verwendung von "IssuancePolicyList " schränkt das Erstellen von Ketten auf nur Ketten ein, die für die angegebenen Ausstellungsrichtlinien gültig sind.
- Mithilfe von CACertFile werden die Felder in der Datei anhand von CertFile oder CRLfile überprüft.
- Wenn CACertFile nicht angegeben ist, wird die vollständige Kette erstellt und anhand von CertFile überprüft.
- Wenn CACertFile und CrossedCACertFile beide angegeben sind, werden die Felder in beiden Dateien anhand von CertFile überprüft.
- Die Verwendung von IssuedCertFile überprüft die Felder in der Datei anhand von CRLfile.
- Die Verwendung von DeltaCRLFile überprüft die Felder in der Datei anhand von CertFile.
-verifyCTL
Überprüft die CTL-Zertifikate "AuthRoot" oder "Unzulässige Zertifikate".
certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]
Ort:
CTLObject identifiziert die zu überprüfende CTL, einschließlich:
-
AuthRootWU liest die AuthRoot CAB und übereinstimmende Zertifikate aus dem URL-Cache. Verwenden Sie
-f
stattdessen den Download von Windows Update. -
UnzulässigeWU liest die CAB-Datei für unzulässige Zertifikate und die datei des Zertifikatspeichers aus dem URL-Cache. Verwenden Sie
-f
stattdessen den Download von Windows Update.-
PinRulesWU liest die PinRules CAB aus dem URL-Cache. Verwenden Sie
-f
stattdessen den Download von Windows Update.
-
PinRulesWU liest die PinRules CAB aus dem URL-Cache. Verwenden Sie
-
AuthRoot liest die registrierungscached AuthRoot CTL. Wird mit
-f
und einer nicht vertrauenswürdigen CertFile-Datei verwendet, um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot - und nicht zulässige Zertifikat-CTLs aktualisiert werden. -
Unzulässige Leseberechtigungen für die Registrierungscache-Zertifikat-CTL. Wird mit
-f
und einer nicht vertrauenswürdigen CertFile-Datei verwendet, um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot - und nicht zulässige Zertifikat-CTLs aktualisiert werden.-
PinRules liest die Zwischenspeicherung von PinRules CTL. Die Verwendung
-f
hat das gleiche Verhalten wie bei PinRulesWU.
-
PinRules liest die Zwischenspeicherung von PinRules CTL. Die Verwendung
- CTLFileName gibt die Datei oder den HTTP-Pfad zur CTL- oder CAB-Datei an.
-
AuthRootWU liest die AuthRoot CAB und übereinstimmende Zertifikate aus dem URL-Cache. Verwenden Sie
CertDir gibt den Ordner an, der Zertifikate enthält, die den CTL-Einträgen entsprechen. Standardmäßig wird derselbe Ordner oder dieselbe Website wie das CTLobject verwendet. Für die Verwendung eines HTTP-Ordnerpfads ist am Ende ein Pfadtrennzeichen erforderlich. Wenn Sie "AuthRoot " oder " Unzulässig" nicht angeben, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten gesucht, einschließlich lokaler Zertifikatspeicher, crypt32.dll Ressourcen und dem lokalen URL-Cache. Wird
-f
verwendet, um nach Bedarf von Windows Update herunterzuladen.CertFile gibt die zu überprüfenden Zertifikate an. Zertifikate werden mit CTL-Einträgen abgeglichen, wobei die Ergebnisse angezeigt werden. Mit dieser Option wird der Großteil der Standardausgabe unterdrückt.
Optionen:
[-f] [-user] [-split]
-syncWithWU
Synchronisiert Zertifikate mit Windows Update.
certutil [options] -syncWithWU DestinationDir
Ort:
- DestinationDir ist das angegebene Verzeichnis.
- f erzwingt eine Überschreibung.
- Unicode schreibt umgeleitete Ausgabe in Unicode.
- gmt zeigt Uhrzeiten als GMT an.
- Sekunden zeigen Uhrzeiten mit Sekunden und Millisekunden an.
- v ist eine ausführliche Operation.
- PIN ist die Smartcard-PIN.
-
WELL_KNOWN_SID_TYPE ist eine numerische SID:
- 22 – Lokales System
- 23 - Lokaler Dienst
- 24 – Netzwerkdienst
Bemerkungen
Die folgenden Dateien werden mithilfe des Mechanismus für automatische Updates heruntergeladen:
- authrootstl.cab enthält die CTLs von Nicht-Microsoft-Stammzertifikaten.
- disallowedcertstl.cab enthält die CTLs von nicht vertrauenswürdigen Zertifikaten.
- "disallowedcert.sst " enthält den serialisierten Zertifikatspeicher, einschließlich der nicht vertrauenswürdigen Zertifikate.
- thumbprint.crt enthält die Nicht-Microsoft-Stammzertifikate.
Beispiel: certutil -syncWithWU \\server1\PKI\CTLs
.
Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner verwenden, wird der Fehler angezeigt:
The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Wenn Sie einen nicht vorhandenen oder nicht verfügbaren Netzwerkspeicherort als Zielordner verwenden, wird der Fehler angezeigt:
The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Wenn Ihr Server keine Verbindung über TCP-Port 80 mit Microsoft Automatic Update-Servern herstellen kann, wird die folgende Fehlermeldung angezeigt:
A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Wenn Ihr Server die Microsoft Automatic Update-Server mit dem DNS-Namen
ctldl.windowsupdate.com
nicht erreichen kann, wird die folgende Fehlermeldung angezeigt:The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Wenn Sie den
-f
Schalter nicht verwenden und eine der CTL-Dateien im Verzeichnis bereits vorhanden ist, wird eine Datei angezeigt:certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Wenn sich die vertrauenswürdigen Stammzertifikate ändern, wird Folgendes angezeigt:
Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.
Optionen:
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]
-generateSSTFromWU
Generiert eine Speicherdatei, die mit Windows Update synchronisiert wird.
certutil [options] -generateSSTFromWU SSTFile
Ort:
-
SSTFile ist die Datei, die
.sst
generiert werden soll, die die von Windows Update heruntergeladenen Wurzeln von Drittanbietern enthält.
Optionen:
[-f] [-split]
-generatePinRulesCTL
Generiert eine Zertifikatvertrauenslistendatei (Certificate Trust List, CTL), die eine Liste der Anheftungsregeln enthält.
certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]
Ort:
- XMLFile ist die zu analysierende XML-Eingabedatei.
- CTLFile ist die zu generierende CTL-Ausgabedatei.
-
SSTFile ist die optionale
.sst
Datei, die erstellt werden soll, die alle Zertifikate enthält, die zum Anheften verwendet werden. -
QueryFilesPrefix sind optionale Domains.csv und Keys.csv Dateien, die für Datenbankabfragen erstellt werden sollen.
- Die QueryFilesPrefix-Zeichenfolge wird jeder erstellten Datei vorangestellt.
- Die dateiDomains.csv enthält Regelname, Domänenzeilen.
- Die dateiKeys.csv enthält regelname, key SHA256 fingerabdruck rows.
Optionen:
[-f]
-downloadOcsp
Lädt die OCSP-Antworten herunter und schreibt in das Verzeichnis.
certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]
Ort:
- CertificateDir ist das Verzeichnis einer Zertifikat-, Speicher- und PFX-Datei.
- OcspDir ist das Verzeichnis zum Schreiben von OCSP-Antworten.
- ThreadCount ist die optionale maximale Anzahl von Threads für gleichzeitiges Herunterladen. Der Standardwert ist 10.
-
Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:
- DownloadOnce – Einmal heruntergeladen und beendet.
- ReadOcsp – Liest von OcspDir statt zu schreiben.
-generateHpkpHeader
Generiert den HPKP-Header mithilfe von Zertifikaten in einer angegebenen Datei oder einem angegebenen Verzeichnis.
certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]
Ort:
- CertFileOrDir ist die Datei oder das Verzeichnis von Zertifikaten, die die Quelle von pin-sha256 ist.
- MaxAge ist der Wert für das maximale Alter in Sekunden.
- ReportUri ist der optionale Berichts-URI.
-
Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:
- includeSubDomains – Fügt die includeSubDomains an.
-flushCache
Löscht die angegebenen Caches im ausgewählten Prozess, z. B. lsass.exe.
certutil [options] -flushCache ProcessId CacheMask [Modifiers]
Ort:
ProcessId ist die numerische ID eines Prozesses, der geleert werden soll. Legen Sie auf 0 fest, um alle Prozesse zu leeren, bei denen "Flush" aktiviert ist.
CacheMask ist die Bitmaske von Caches, die entweder numerisch oder die folgenden Bits geleert werden sollen:
- 0: Nur anzeigen
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:
- Anzeigen – Zeigt die zwischengespeicherten Caches an, die geleert werden. Certutil muss explizit beendet werden.
-addEccCurve
Fügt eine ECC-Kurve hinzu.
certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]
Ort:
CurveClass ist der ECC Curve Class-Typ:
- WEIERRASS (Standard)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName ist der NAME der ECC-Kurve.
CurveParameters sind eine der folgenden:
- Ein Zertifikatdateiname, der ASN-codierte Parameter enthält.
- Eine Datei mit ASN-codierten Parametern.
CurveOID ist die ECC Curve OID und ist eine der folgenden:
- Ein Zertifikatdateiname, der ein ASN-codiertes OID enthält.
- Eine explizite ECC-Kurven-OID.
CurveType ist der Schannel ECC NamedCurve-Punkt (numerisch).
Optionen:
[-f]
-deleteEccCurve
Löscht die ECC-Kurve.
certutil [options] -deleteEccCurve CurveName | CurveOID
Ort:
- CurveName ist der NAME der ECC-Kurve.
- CurveOID ist die ECC-Kurven-OID.
Optionen:
[-f]
-displayEccCurve
Zeigt die ECC-Kurve an.
certutil [options] -displayEccCurve [CurveName | CurveOID]
Ort:
- CurveName ist der NAME der ECC-Kurve.
- CurveOID ist die ECC-Kurven-OID.
Optionen:
[-f]
-csplist
Listet die auf diesem Computer installierten Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) für kryptografische Vorgänge auf.
certutil [options] -csplist [Algorithm]
Optionen:
[-user] [-Silent] [-csp Provider]
-csptest
Testet die auf diesem Computer installierten CSPs.
certutil [options] -csptest [Algorithm]
Optionen:
[-user] [-Silent] [-csp Provider]
-CNGConfig
Zeigt die CNG-Kryptografiekonfiguration auf diesem Computer an.
certutil [options] -CNGConfig
Optionen:
[-Silent]
-sign
Signiert eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder ein Zertifikat erneut.
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]
Ort:
InFileList ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Dateien zum Ändern und erneuten Signieren.
SerialNumber ist die Seriennummer des zu erstellenden Zertifikats. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.
CRL erstellt eine leere CRL. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.
OutFileList ist die durch Trennzeichen getrennte Liste der geänderten Zertifikat- oder CRL-Ausgabedateien. Die Anzahl der Dateien muss mit der Infilelist übereinstimmen.
StartDate+dd:hh ist der neue Gültigkeitszeitraum für die Zertifikat- oder CRL-Dateien, einschließlich:
- optionales Datum plus
- optionaler Gültigkeitszeitraum für Tage und Stunden Wenn mehrere Felder verwendet werden, verwenden Sie ein (+) oder (-) Trennzeichen. Wird verwendet
now[+dd:hh]
, um zur aktuellen Zeit zu beginnen. Wird verwendetnow-dd:hh+dd:hh
, um mit einem festen Offset von der aktuellen Uhrzeit und einem festen Gültigkeitszeitraum zu beginnen. Wird verwendetnever
, um kein Ablaufdatum (nur für CRLs) zu verwenden.
SerialNumberList ist die durch Trennzeichen getrennte Seriennummernliste der dateien, die hinzugefügt oder entfernt werden sollen.
ObjectIdList ist die durch Trennzeichen getrennte Erweiterung ObjectId-Liste der zu entfernenden Dateien.
@ExtensionFile ist die INF-Datei, die die zu aktualisierenden oder zu entfernenden Erweiterungen enthält. Beispiel:
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86
HashAlgorithm ist der Name des Hashalgorithmus. Dies darf nur der Text sein, dem das
#
Zeichen vorangestellt ist.AlternateSignatureAlgorithm ist der alternative Signaturalgorithmusbezeichner.
Optionen:
[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]
Bemerkungen
- Durch Die Verwendung des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.
- Durch Verwenden des Pluszeichens (+) werden seriennummern zu einer CRL hinzugefügt.
- Sie können eine Liste verwenden, um seriennummern und ObjectIds gleichzeitig aus einer CRL zu entfernen.
- Wenn Sie das Minuszeichen vor AlternateSignatureAlgorithm verwenden, können Sie das Legacysignaturformat verwenden.
- Mit dem Pluszeichen können Sie das alternative Signaturformat verwenden.
- Wenn Sie " AlternateSignatureAlgorithm" nicht angeben, wird das Signaturformat im Zertifikat oder der CRL verwendet.
-vroot
Erstellt oder löscht virtuelle Webstamm- und Dateifreigaben.
certutil [options] -vroot [delete]
-vocsproot
Erstellt oder löscht virtuelle Webwurzeln für einen OCSP-Webproxy.
certutil [options] -vocsproot [delete]
-addEnrollmentServer
Fügt bei Bedarf für die angegebene Zertifizierungsstelle eine Registrierungsserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.
certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]
Ort:
addEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:
- Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
- UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
- ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
Modifizierer:
- AllowRenewalsOnly lässt nur Übermittlungen von Verlängerungsanforderungen an die Zertifizierungsstelle über die URL zu.
- AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats ohne zugeordnetes Konto in Active Directory. Dies gilt für die Verwendung mit dem Modus "ClientCertificate " und "AllowRenewalsOnly" .
Optionen:
[-config Machine\CAName]
-deleteEnrollmentServer
Löscht bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.
certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate
Ort:
-
deleteEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:
- Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
- UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
- ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
Optionen:
[-config Machine\CAName]
-addPolicyServer
Fügen Sie bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.
certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Ort:
-
addPolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
- Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
- UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
- ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
- KeyBasedRenewal ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden, der Keybasedrenewal-Vorlagen enthält. Diese Option gilt nur für die Authentifizierung "UserName " und "ClientCertificate ".
-deletePolicyServer
Löscht bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.
certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Ort:
-
deletePolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
- Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
- UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
- ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
- KeyBasedRenewal ermöglicht die Verwendung eines KeyBasedRenewal-Richtlinienservers.
-Class
Zeigt COM-Registrierungsinformationen an.
certutil [options] -Class [ClassId | ProgId | DllName | *]
Optionen:
[-f]
-7f
Überprüft das Zertifikat auf 0x7f Längencodierungen.
certutil [options] -7f CertFile
-oid
Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.
certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]
Ort:
- ObjectId ist die ID, die angezeigt oder dem Anzeigenamen hinzugefügt werden soll.
- GroupId ist die GroupID-Nummer (Dezimalzahl), die ObjectIds aufzählt.
- AlgId ist die hexadezimale ID, die objectID nachschlagen soll.
- AlgorithmName ist der Algorithmusname, den objectID nachschlagen soll.
- DisplayName zeigt den Namen an, der in DS gespeichert werden soll.
- Löscht den Anzeigenamen.
- LanguageId ist der Sprach-ID-Wert (Standardwert: 1033).
-
Typ ist der Typ des zu erstellenden DS-Objekts, einschließlich:
-
1
- Vorlage (Standard) -
2
- Ausstellungsrichtlinie -
3
- Anwendungsrichtlinie
-
-
-f
erstellt ein DS-Objekt.
Optionen:
[-f]
-error
Zeigt den Meldungstext an, der einem Fehlercode zugeordnet ist.
certutil [options] -error ErrorCode
-getsmtpinfo
Ruft Smtp-Informationen (Simple Mail Transfer Protocol) ab.
certutil [options] -getsmtpinfo
-setsmtpinfo
Legt SMTP-Informationen fest.
certutil [options] -setsmtpinfo LogonName
Optionen:
[-config Machine\CAName] [-p Password]
-getreg
Zeigt einen Registrierungswert an.
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]
Ort:
- ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
- Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
- die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
- exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
-
die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden
-user
). -
"enrollment " verwendet den Registrierungsschlüssel (für
-user
den Benutzerkontext). - chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
- PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
- ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
-
RegistryValueName verwendet den Registrierungswertnamen (zum
Name*
Präfixen). -
wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit
+
oder-
beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Bemerkungen
- Wenn ein Zeichenfolgenwert mit
+
oder oder-
beginnt und der vorhandene Wert einREG_MULTI_SZ
Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung einesREG_MULTI_SZ
Werts zu erzwingen, fügen Sie\n
am Ende des Zeichenfolgenwerts hinzu. - Wenn der Wert beginnt,
\@
ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält. - Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da
[Date][+|-][dd:hh]
es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt. - Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet
now+dd:hh
. - Dient
i64
zum Erstellen eines REG_QWORD Werts als Suffix. - Wird verwendet
chain\chaincacheresyncfiletime @now
, um zwischengespeicherte CRLs effektiv zu leeren. - Registrierungsaliasen:
- Konfiguration
- CA
- Richtlinie – PolicyModules
- Beenden - ExitModules
- Wiederherstellen - RestoreInProgress
- Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Dienste\crypt32
- NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
- AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork
-setreg
Legt einen Registrierungswert fest.
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value
Ort:
- ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
- Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
- die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
- exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
-
die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden
-user
). -
"enrollment " verwendet den Registrierungsschlüssel (für
-user
den Benutzerkontext). - chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
- PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
- ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
-
RegistryValueName verwendet den Registrierungswertnamen (zum
Name*
Präfixen). -
Der Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit
+
oder-
beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Bemerkungen
- Wenn ein Zeichenfolgenwert mit
+
oder oder-
beginnt und der vorhandene Wert einREG_MULTI_SZ
Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung einesREG_MULTI_SZ
Werts zu erzwingen, fügen Sie\n
am Ende des Zeichenfolgenwerts hinzu. - Wenn der Wert beginnt,
\@
ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält. - Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da
[Date][+|-][dd:hh]
es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt. - Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet
now+dd:hh
. - Dient
i64
zum Erstellen eines REG_QWORD Werts als Suffix. - Wird verwendet
chain\chaincacheresyncfiletime @now
, um zwischengespeicherte CRLs effektiv zu leeren.
-delreg
Löscht einen Registrierungswert.
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]
Ort:
- ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
- Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
- die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
- exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
-
die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden
-user
). -
"enrollment " verwendet den Registrierungsschlüssel (für
-user
den Benutzerkontext). - chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
- PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
- ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
-
RegistryValueName verwendet den Registrierungswertnamen (zum
Name*
Präfixen). -
Der Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit
+
oder-
beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.
Optionen:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
Bemerkungen
- Wenn ein Zeichenfolgenwert mit
+
oder oder-
beginnt und der vorhandene Wert einREG_MULTI_SZ
Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung einesREG_MULTI_SZ
Werts zu erzwingen, fügen Sie\n
am Ende des Zeichenfolgenwerts hinzu. - Wenn der Wert beginnt,
\@
ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält. - Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da
[Date][+|-][dd:hh]
es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt. - Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet
now+dd:hh
. - Dient
i64
zum Erstellen eines REG_QWORD Werts als Suffix. - Wird verwendet
chain\chaincacheresyncfiletime @now
, um zwischengespeicherte CRLs effektiv zu leeren. - Registrierungsaliasen:
- Konfiguration
- CA
- Richtlinie – PolicyModules
- Beenden - ExitModules
- Wiederherstellen - RestoreInProgress
- Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Dienste\crypt32
- NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
- AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork
-importKMS
Importiert Benutzerschlüssel und Zertifikate für die Schlüsselarchivierung in die Serverdatenbank.
certutil [options] -importKMS UserKeyAndCertFile [CertId]
Ort:
-
UserKeyAndCertFile ist eine Datendatei mit privaten Benutzerschlüsseln und Zertifikaten, die archiviert werden sollen. Diese Datei kann wie folgt sein:
- Eine KMS-Exportdatei (Exchange Key Management Server).
- Eine PFX-Datei.
-
CertId ist ein KMS-Exportdatei-Entschlüsselungszertifikat-Übereinstimmungstoken. Weitere Informationen finden Sie im
-store
Parameter in diesem Artikel. -
-f
importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.
Optionen:
[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]
-ImportCert
Importiert eine Zertifikatdatei in die Datenbank.
certutil [options] -ImportCert Certfile [ExistingRow]
Ort:
- ExistingRow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.
-
-f
importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.
Optionen:
[-f] [-config Machine\CAName]
Bemerkungen
Die Zertifizierungsstelle muss möglicherweise auch so konfiguriert werden, dass fremdzertifikate durch Ausführen unterstützt certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
werden.
-GetKey
Ruft ein archiviertes Private Key-Wiederherstellungs-BLOB ab, generiert ein Wiederherstellungsskript oder stellt archivierte Schlüssel wieder her.
certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName
Ort:
- script generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungskandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).
-
Retrieves one or more Key Recovery Blobs (Standardverhalten, wenn genau ein übereinstimmender Wiederherstellungskandidat gefunden wird und wenn die Ausgabedatei angegeben ist). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die
.rec
Erweiterung für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist. -
Abrufen und Wiederherstellen privater Schlüssel in einem Schritt (erfordert Schlüsselwiederherstellungs-Agent-Zertifikate und private Schlüssel). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die
.p12
Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und die zugehörigen privaten Schlüssel, die als PFX-Datei gespeichert sind. -
SearchToken wählt die Schlüssel und Zertifikate aus, die wiederhergestellt werden sollen, einschließlich:
- Allgemeiner Zertifikatname
- Seriennummer des Zertifikats
- Sha-1-Hash des Zertifikats (Fingerabdruck)
- Sha-1-Hash der Zertifikatschlüssel-ID (Antragstellerschlüsselbezeichner)
- Antragstellername (Domäne\Benutzer)
- UPN (user@domain)
- RecoveryBlobOutFile gibt eine Datei mit einer Zertifikatkette und einem zugeordneten privaten Schlüssel aus, die weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
- OutputScriptFile gibt eine Datei mit einem Batchskript aus, um private Schlüssel abzurufen und wiederherzustellen.
- OutputFileBaseName gibt einen Dateinamen aus.
Optionen:
[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
Bemerkungen
- Zum Abrufen wird jede Erweiterung abgeschnitten, und eine zertifikatspezifische Zeichenfolge und die
.rec
Erweiterungen werden für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist. - Zur Wiederherstellung wird jede Erweiterung abgeschnitten, und die
.p12
Erweiterung wird angefügt. Enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.
-RecoverKey
Stellt einen archivierten privaten Schlüssel wieder her.
certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]
Optionen:
[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]
-mergePFX
Führt PFX-Dateien zusammen.
certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]
Ort:
- PFXInFileList ist eine durch Trennzeichen getrennte Liste von PFX-Eingabedateien.
- PFXOutFile ist der Name der PFX-Ausgabedatei.
-
Modifizierer sind durch Kommas getrennte Listen einer oder mehrerer der folgenden Optionen:
- ExtendedProperties enthält alle erweiterten Eigenschaften.
- NoEncryptCert gibt an, dass die Zertifikate nicht verschlüsselt werden sollen.
- EncryptCert gibt an, dass die Zertifikate verschlüsselt werden sollen.
Optionen:
[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
Bemerkungen
- Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.
- Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort lautet
*
, wird der Benutzer zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.
-add-chain
Fügt eine Zertifikatkette hinzu.
certutil [options] -add-chain LogId certificate OutFile
Optionen:
[-f]
-add-pre-chain
Fügt eine Vorzertifikatkette hinzu.
certutil [options] -add-pre-chain LogId pre-certificate OutFile
Optionen:
[-f]
-get-sth
Ruft einen signierten Baumkopf ab.
certutil [options] -get-sth [LogId]
Optionen:
[-f]
-get-sth-consistency
Ruft signierte Strukturkopfänderungen ab.
certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2
Optionen:
[-f]
-get-proof-by-hash
Ruft den Nachweis eines Hashs von einem Zeitstempelserver ab.
certutil [options] -get-proof-by-hash LogId Hash [TreeSize]
Optionen:
[-f]
-get-entries
Ruft Einträge aus einem Ereignisprotokoll ab.
certutil [options] -get-entries LogId FirstIndex LastIndex
Optionen:
[-f]
-get-roots
Ruft die Stammzertifikate aus dem Zertifikatspeicher ab.
certutil [options] -get-roots LogId
Optionen:
[-f]
-get-entry-and-proof
Ruft einen Ereignisprotokolleintrag und seinen kryptografischen Nachweis ab.
certutil [options] -get-entry-and-proof LogId Index [TreeSize]
Optionen:
[-f]
-VerifyCT
Überprüft ein Zertifikat anhand des Zertifikattransparenzprotokolls.
certutil [options] -VerifyCT Certificate SCT [precert]
Optionen:
[-f]
-?
Zeigt die Liste der Parameter an.
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
Ort:
- -? zeigt die Liste der Parameter an.
- -<name_of_parameter> -? zeigt Hilfeinhalte für den angegebenen Parameter an.
- -? -v zeigt eine ausführliche Liste von Parametern und Optionen an.
Optionen
In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen dazu, welche Optionen für die Verwendung gültig sind.
Auswahlmöglichkeit | BESCHREIBUNG |
---|---|
-Administrator | Verwenden Sie ICertAdmin2 für Ca-Eigenschaften. |
-anonym | Anonyme SSL-Anmeldeinformationen verwenden. |
-cert CertId | Signaturzertifikat. |
-clientcertificate clientCertId | Verwenden Sie SSL-Anmeldeinformationen für X.509-Zertifikate. Verwenden Sie -clientcertificate für die Auswahl-UI . |
-config Maschine\CAName | Zeichenfolge für Zertifizierungsstelle und Computername. |
-csp-Anbieter | Anbieter: KSP – Microsoft Software Key Storage Provider TPM – Microsoft Platform Crypto Provider NGC – Microsoft Passport Key Storage Provider SC – Microsoft SmartCard Key Storage Provider |
-dc DCName | Ziel eines bestimmten Domänencontrollers. |
-Unternehmen | Verwenden Sie den Registrierungsspeicher des lokalen Computers für unternehmensweite Registrierungszertifikate. |
f- | Überschreiben erzwingen. |
-generateSSTFromWU SSTFile | Generieren Sie SST mithilfe des Mechanismus für automatische Updates. |
-Gmt | Anzeigezeiten mithilfe von GMT. |
-Gruppenrichtlinie | Verwenden Sie den Gruppenrichtlinienzertifikatspeicher. |
-idispatch | Verwenden Sie IDispatch anstelle von systemeigenen COM-Methoden. |
-kerberos | Verwenden Sie Kerberos-SSL-Anmeldeinformationen. |
-location alternatestoragelocation |
(-loc) AlternateStorageLocation. |
-Mt | Anzeigen von Computervorlagen. |
-nocr | Codieren Sie Text ohne CR-Zeichen. |
-nocrlf | Codieren sie Text ohne CR-LF Zeichen. |
-nullzeichen | Verwenden Sie den Hash der Daten als Signatur. |
-altpfx | Verwenden Sie die alte PFX-Verschlüsselung. |
-out Spaltenliste | Durch Trennzeichen getrennte Spaltenliste. |
-p-Kennwort | Passwort |
-PIN anheften | Smartcard-PIN. |
-policyserver URLorID | Richtlinienserver-URL oder -ID. Verwenden Sie -policyserver für die Auswahl U/I . Verwenden Sie für alle Richtlinienserver -policyserver * |
-privatekey | Anzeigen von Kennwort- und privaten Schlüsseldaten. |
-schützen | Schützen Von Schlüsseln mit Kennwort. |
-protectzu SAMnameundSIDlist | Durch Trennzeichen getrennte SAM-Name/SID-Liste. |
-restrictionlist einschränken | Durch Trennzeichen getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer konstanten ganzen Zahl, Zeichenfolge oder einem Datum. Einem Spaltennamen kann ein Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Zum Beispiel: requestID = 47 , +requestername >= a, requestername , oder -requestername > DOMAIN, Disposition = 21 . |
-Rückwärts | Umgekehrte Protokoll- und Warteschlangenspalten. |
-Nachschlag | Anzeigezeiten mit Sekunden und Millisekunden. |
-Dienst | Verwenden Sie den Dienstzertifikatspeicher. |
-sid | Numerische SID: 22 – Lokales System 23 - Lokaler Dienst 24 – Netzwerkdienst |
-Leise | Verwenden Sie das silent Flag, um den Kryptakontext zu erhalten. |
-trennen | Teilen Sie eingebettete ASN.1-Elemente, und speichern Sie sie in Dateien. |
-sslpolicy Servername | SSL-Richtlinie, die mit ServerName übereinstimmt. |
-symkeyalg symmetrischer Schlüsselalgorithmus[,Schlüssellänge] | Name des Symmetrischen Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES . |
-syncWithWU Zielverzeichnis | Synchronisieren mit Windows Update. |
-t Timeout | URL fetch timeout in Millisekunden. |
-Unicode | Umgeleitete Ausgabe in Unicode schreiben. |
-UnicodeText | Schreiben sie die Ausgabedatei in Unicode. |
-urlfetch | Abrufen und Überprüfen von AIA-Zertifikaten und CDP-CRLs. |
-Benutzer | Verwenden Sie die HKEY_CURRENT_USER Schlüssel oder den Zertifikatspeicher. |
-Benutzername | Verwenden Sie benanntes Konto für SSL-Anmeldeinformationen. Verwenden Sie -username für die Auswahl-UI . |
-Ut | Benutzervorlagen anzeigen. |
-v | Geben Sie ausführlichere (ausführlichere) Informationen an. |
-v1 | Verwenden Sie V1-Schnittstellen. |
Hashalgorithmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.
Verwandte Links
Weitere Beispiele für die Verwendung dieses Befehls finden Sie in den folgenden Artikeln: