certutil

Vorsicht

Certutil wird nicht empfohlen, in einem Produktionscode zu verwenden und bietet keine Garantien für die Unterstützung von Livewebsites oder Anwendungskompatibilitäten. Es ist ein Tool, das von Entwicklern und IT-Administratoren verwendet wird, um Zertifikatinhaltsinformationen auf Geräten anzuzeigen.

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren und Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen. Das Programm überprüft auch Zertifikate, Schlüsselpaare und Zertifikatketten.

Wenn certutil sie auf einer Zertifizierungsstelle ohne andere Parameter ausgeführt wird, wird die aktuelle Konfiguration der Zertifizierungsstelle angezeigt. Wenn certutil sie auf einer Nichtzertifizierungsstelle ohne andere Parameter ausgeführt wird, wird standardmäßig der Befehl ausgeführt certutil -dump . Nicht alle Versionen von certutil stellen alle Parameter und Optionen bereit, die in diesem Dokument beschrieben werden. Sie können die Auswahlmöglichkeiten sehen, die Ihre Version von certutil bereitstellt, indem Sie ausführen certutil -? oder certutil <parameter> -?.

Tipp

Um die vollständige Hilfe für alle Certutil-Verben und -Optionen anzuzeigen, einschließlich derer, die -? im Argument ausgeblendet sind, führen Sie aus certutil -v -uSAGE. Bei der uSAGE Option wird die Groß-/Kleinschreibung beachtet.

Die Parameter

-dump

Gibt die Konfigurationsinformationen oder Dateien aus.

certutil [options] [-dump]
certutil [options] [-dump] File

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Stellt die PFX-Struktur ab.

certutil [options] [-dumpPFX] File

Optionen:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analysiert und zeigt den Inhalt einer Datei mithilfe der Syntaxnotation (ASN.1) an. Dateitypen enthalten . CER, . Der und PKCS #7 formatierte Dateien.

certutil [options] -asn File [type]

• [type]: numerischer CRYPT_STRING_*-Decodierungstyp

-decodehex

Decodiert eine hexadezimal codierte Datei.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numerischer CRYPT_STRING_*-Decodierungstyp

Optionen:

[-f]

-encodehex

Codiert eine Datei in hexadezimaler Zahl.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numerischer CRYPT_STRING_* Codierungstyp

Optionen:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodiert eine Base64-codierte Datei.

certutil [options] -decode InFile OutFile

Optionen:

[-f]

-encode

Codiert eine Datei in Base64.

certutil [options] -encode InFile OutFile

Optionen:

[-f] [-unicodetext]

-deny

Verweigert eine ausstehende Anforderung.

certutil [options] -deny RequestId

Optionen:

[-config Machine\CAName]

-resubmit

Sendet eine ausstehende Anforderung erneut.

certutil [options] -resubmit RequestId

Optionen:

[-config Machine\CAName]

-setattributes

Legt Attribute für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setattributes RequestId AttributeString

Ort:

• RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.
• AttributeString ist der Anforderungsattributname und wertpaare.

Optionen:

[-config Machine\CAName]

Bemerkungen

• Namen und Werte müssen durch Doppelpunkte getrennt werden, während mehrere Namen und Wertpaare durch Zeilenumbrüche getrennt werden müssen. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com Hier wird die \n Sequenz in ein Neulinientrennzeichen konvertiert.

-setextension

Legen Sie eine Erweiterung für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Ort:

• requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.
• ExtensionName ist die ObjectId-Zeichenfolge für die Erweiterung.
• Flags legt die Priorität der Erweiterung fest. 0 wird empfohlen, während 1 die Erweiterung auf kritisch festgelegt wird, 2 deaktiviert die Erweiterung und 3 führt beides aus.

Optionen:

[-config Machine\CAName]

Bemerkungen

• Wenn der letzte Parameter numerisch ist, wird er als Long verwendet.
• Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Datum verwendet.
• Wenn der letzte Parameter mit \@beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder einem ASCII-Text-Hex-Dump verwendet.
• Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.

-revoke

Widerruft ein Zertifikat.

certutil [options] -revoke SerialNumber [Reason]

Ort:

• SerialNumber ist eine durch Trennzeichen getrennte Liste von Zertifikatsseriennummern, die widerrufen werden sollen.
• Grund ist die numerische oder symbolische Darstellung des Widerrufsgrundes, einschließlich:
  • 0. CRL_REASON_UNSPECIFIED - Nicht angegeben (Standard)
  • 1. CRL_REASON_KEY_COMPROMISE - Schlüsselkompromittierung
  • 2. CRL_REASON_CA_COMPROMISE - Kompromittierung der Zertifizierungsstelle
  • 3. CRL_REASON_AFFILIATION_CHANGED - Zugehörigkeit geändert
  • 4. CRL_REASON_SUPERSEDED - Abgelöst
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Einstellung des Betriebs
  • 6. CRL_REASON_CERTIFICATE_HOLD - Zertifikatsperre
  • 8. CRL_REASON_REMOVE_FROM_CRL - Aus CRL entfernen
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privileg zurückgezogen
  • 10: CRL_REASON_AA_COMPROMISE - AA-Kompromiss
  • -1. Widerruf aufheben - Unwiderruflich

Optionen:

[-config Machine\CAName]

-isvalid

Zeigt die Anordnung des aktuellen Zertifikats an.

certutil [options] -isvalid SerialNumber | CertHash

Optionen:

[-config Machine\CAName]

-getconfig

Ruft die Standardkonfigurationszeichenfolge ab.

certutil [options] -getconfig

Optionen:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ruft die Standardkonfigurationszeichenfolge über ICertGetConfig ab.

certutil [options] -getconfig2

Optionen:

[-idispatch]

-getconfig3

Ruft die Konfiguration über ICertConfig ab.

certutil [options] -getconfig3

Optionen:

[-idispatch]

-ping

Versucht, die Anforderungsschnittstelle für Active Directory-Zertifikatdienste zu kontaktieren.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Ort:

• CAMachineList ist eine durch Trennzeichen getrennte Liste der Computernamen der Zertifizierungsstelle. Verwenden Sie für einen einzelnen Computer ein beendendes Komma. Diese Option zeigt auch die Standortkosten für jeden Ca-Computer an.

Optionen:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Versucht, die Active Directory-Zertifikatdienste-Administratorschnittstelle zu kontaktieren.

certutil [options] -pingadmin

Optionen:

[-config Machine\CAName]

-CAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Ort:

• InfoName gibt die anzuzeigende CA-Eigenschaft basierend auf der folgenden Syntax des Infoname-Arguments an:
  • * - Zeigt alle Eigenschaften an
  • Anzeigen – Erweiterter Server
  • aia [Index] – AIA-URLs
  • cdp [Index] – CDP-URLs
  • cert [Index] - CA-Zertifikat
  • certchain [Index] – Zertifizierungsstellen-Zertifikatkette
  • certcount - Anzahl der CA-Zertifikate
  • certcrlchain [Index] – Zertifizierungsstellenkette mit CRLs
  • certstate [Index] - CA-Zertifikat
  • certstatuscode [Index] – Zertifizierungsstellenzertifikatstatus
  • certversion [Index] – Zertifizierungsstellen-Zertifikatversion
  • CRL [Index] - Basis-CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] – CRL-Veröffentlichungsstatus
  • cross- [Index] - Rückwärts-Kreuzzertifikat
  • cross+ [Index] - Vorwärts-Kreuz-Zertifikat
  • crossstate- [Index] - Rückwärts-Kreuzzertifikat
  • crossstate+ [Index] - Vorwärts-Kreuzzertifikat
  • deltacrl [Index] - Delta-CRL
  • deltacrlstatus [Index] – Status der Delta-CRL-Veröffentlichung
  • dns – DNS-Name
  • dsname - Kurzname der bereinigten Zertifizierungsstelle (DS-Name)
  • error1 ErrorCode - Fehlermeldungstext
  • error2 ErrorCode - Fehlermeldungstext und Fehlercode
  • exit [Index] – Beschreibung des Exit-Moduls
  • exitcount - Exit Module Count
  • datei – Dateiversion
  • info - Ca Info
  • kra [Index] - KRA cert
  • kracount - KRA CERT Count
  • krastate [Index] - KRA cert
  • kraused - KRA cert verwendete Anzahl
  • Gebietsschemaname – Gebietsschemaname der Zertifizierungsstelle
  • name - CA-Name
  • ocsp [Index] – OCSP-URLs
  • übergeordnetes Element – übergeordnete Zertifizierungsstelle
  • policy – Beschreibung des Richtlinienmoduls
  • produkt - Produktversion
  • propidmax - Maximale CA PropId
  • rolle - Rollentrennung
  • sanitizedname - Name der bereinigten Zertifizierungsstelle
  • sharedfolder – Freigegebener Ordner
  • subjecttemplateoids - OIDs für Themenvorlagen
  • Vorlagen – Vorlagen
  • typ - CA-Typ
  • xchg [Index] – Zertifizierungsstellenzertifikat
  • xchgchain [Index] - Ca Exchange Cert Chain
  • xchgcount – Anzahl der Zertifizierungsstellenzertifikate
  • xchgcrlchain [Index] – ZERTIFIZIERUNGsstellen-Zertifikatkette mit CRLs
• Index ist der optionale nullbasierte Eigenschaftenindex.
• errorcode ist der numerische Fehlercode.

Optionen:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zeigt Informationen zum Ca-Eigenschaftstyp an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Optionen:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Ruft das Zertifikat für die Zertifizierungsstelle ab.

certutil [options] -ca.cert OutCACertFile [Index]

Ort:

• OutCACertFile ist die Ausgabedatei.
• Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).

Optionen:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Ruft die Zertifikatkette für die Zertifizierungsstelle ab.

certutil [options] -ca.chain OutCACertChainFile [Index]

Ort:

• OutCACertChainFile ist die Ausgabedatei.
• Index ist der Zertifikaterneuerungsindex der Zertifizierungsstelle (standardeinstellung für die neueste Version).

Optionen:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ruft eine Zertifikatsperrliste (Certificate Revocation List, CRL) ab.

certutil [options] -GetCRL OutFile [Index] [delta]

Ort:

• Index ist der CRL-Index oder der Schlüsselindex (standardeinstellung für CRL für den letzten Schlüssel).
• Delta ist die Delta-CRL (Standard ist Basis-CRL).

Optionen:

[-f] [-split] [-config Machine\CAName]

-CRL

Veröffentlicht neue Zertifikatsperrlisten (CRLs) oder Delta-CRLs.

certutil [options] -CRL [dd:hh | republish] [delta]

Ort:

• dd:hh ist der neue Gültigkeitszeitraum der CRL in Tagen und Stunden.
• Veröffentlicht die neuesten CRLs erneut.
• Delta veröffentlicht nur die Delta-CRLs (Standard ist Basis- und Delta-CRLs).

Optionen:

[-split] [-config Machine\CAName]

-shutdown

Beendet die Active Directory-Zertifikatdienste.

certutil [options] -shutdown

Optionen:

[-config Machine\CAName]

-installCert

Installiert ein Zertifizierungsstellenzertifikat.

certutil [options] -installCert [CACertFile]

Optionen:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Erneuert ein Zertifizierungsstellenzertifikat.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Optionen:

[-f] [-silent] [-config Machine\CAName]

• Wird verwendet -f , um eine ausstehende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.

-schema

Erstellt ein Dump des Schemas für das Zertifikat.

certutil [options] -schema [Ext | Attrib | CRL]

Ort:

• Der Befehl ist standardmäßig auf die Tabelle "Anforderung" und "Zertifikat" festgelegt.
• Ext ist die Erweiterungstabelle.
• Attribut ist die Attributtabelle.
• CRL ist die CRL-Tabelle .

Optionen:

[-split] [-config Machine\CAName]

-view

Erstellt einen Dump der Zertifikatsansicht.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Ort:

• In der Warteschlange wird eine bestimmte Anforderungswarteschlange abgeladen.
• Protokollabbilder der ausgestellten oder widerrufenen Zertifikate sowie alle fehlgeschlagenen Anforderungen.
• LogFail gibt die fehlgeschlagenen Anforderungen aus.
• Widerrufene Abbilder der widerrufenen Zertifikate.
• Ext gibt die Erweiterungstabelle aus.
• Attrib erstellt einen Dump der Attributtabelle.
• CRL gibt die CRL-Tabelle aus.
• csv stellt die Ausgabe mithilfe von durch Trennzeichen getrennten Werten bereit.

Optionen:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Bemerkungen

• Um die StatusCode-Spalte für alle Einträge anzuzeigen, geben Sie -out StatusCode
• Um alle Spalten für den letzten Eintrag anzuzeigen, geben Sie Folgendes ein: -restrict RequestId==$
• Geben Sie Folgendes ein, um die RequestId und Disposition für drei Anforderungen anzuzeigen: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Geben Sie Folgendes ein, um Zeilen-IDs und CRL-Nummern für alle Basis-CRLs anzuzeigen: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Geben Sie Folgendes ein, um die Basis-CRL-Nummer 3 anzuzeigen: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Geben Sie Folgendes ein, um die gesamte CRL-Tabelle anzuzeigen: CRL
• Wird Date[+|-dd:hh] für Datumseinschränkungen verwendet.
• Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Vorlagen enthalten erweiterte Schlüsselverwendungen (Extended Key Usages, EKUs), die Objektbezeichner (OIDs) sind, die beschreiben, wie das Zertifikat verwendet wird. Zertifikate enthalten nicht immer allgemeine Vorlagennamen oder Anzeigenamen, aber sie enthalten immer die Vorlagen-EKUs. Sie können die EKUs für eine bestimmte Zertifikatvorlage aus Active Directory extrahieren und dann Ansichten basierend auf dieser Erweiterung einschränken.

-db

Gibt die Rohdatenbank aus.

certutil [options] -db

Optionen:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Löscht eine Zeile aus der Serverdatenbank.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Ort:

• Die Anforderung löscht die fehlgeschlagenen und ausstehenden Anforderungen basierend auf dem Übermittlungsdatum.
• Zertifikat löscht die abgelaufenen und widerrufenen Zertifikate basierend auf dem Ablaufdatum.
• Ext löscht die Erweiterungstabelle.
• Attrib löscht die Attributtabelle.
• CRL löscht die CRL-Tabelle.

Optionen:

[-f] [-config Machine\CAName]

Beispiele

• Um fehlgeschlagene und ausstehende Anforderungen zu löschen, die bis zum 22. Januar 2001 übermittelt wurden, geben Sie Folgendes ein: 1/22/2001 request
• Um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 cert
• Um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen, geben Sie Folgendes ein: 37
• Um CRLs zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 crl

Hinweis

Datum erwartet das Format mm/dd/yyyy anstelle dd/mm/yyyyvon beispielsweise 1/22/200122/1/2001 für den 22. Januar 2001. Wenn Ihr Server nicht mit regionalen US-Einstellungen konfiguriert ist, kann die Verwendung des Arguments "Date " zu unerwarteten Ergebnissen führen.

-backup

Sichert die Active Directory-Zertifikatdienste.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Ort:

• BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Daten.
• Inkrementelles Ausführen einer inkrementellen Sicherung (Standard ist vollständige Sicherung).
• KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).

Optionen:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sichert die Active Directory-Zertifikatdienste-Datenbank.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Ort:

• BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Datenbankdateien.
• Inkrementelles Ausführen einer inkrementellen Sicherung (Standard ist vollständige Sicherung).
• KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien abgeschnitten).

Optionen:

[-f] [-config Machine\CAName]

-backupkey

Sichert das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel.

certutil [options] -backupkey BackupDirectory

Ort:

• BackupDirectory ist das Verzeichnis zum Speichern der gesicherten PFX-Datei.

Optionen:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Stellt die Active Directory-Zertifikatdienste wieder her.

certutil [options] -restore BackupDirectory

Ort:

• BackupDirectory ist das Verzeichnis, das die zu wiederherstellenden Daten enthält.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Stellt die Active Directory-Zertifikatdienste-Datenbank wieder her.

certutil [options] -restoredb BackupDirectory

Ort:

• BackupDirectory ist das Verzeichnis, das die Datenbankdateien enthält, die wiederhergestellt werden sollen.

Optionen:

[-f] [-config Machine\CAName]

-restorekey

Stellt das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel wieder her.

certutil [options] -restorekey BackupDirectory | PFXFile

Ort:

• BackupDirectory ist das Verzeichnis, das PFX-Datei enthält, die wiederhergestellt werden soll.
• PFXFile ist die PFX-Datei , die wiederhergestellt werden soll.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.
• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.
• PFXFile ist die zu exportierende PFX-Datei.
• Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
  • CryptoAlgorithm= gibt den kryptografischen Algorithmus an, der zum Verschlüsseln der PFX-Datei verwendet werden soll, z TripleDES-Sha1 . B. oder Aes256-Sha256.
  • EncryptCert – Verschlüsselt den privaten Schlüssel, der dem Zertifikat mit einem Kennwort zugeordnet ist.
  • ExportParameters -Exports die Parameter des privaten Schlüssels zusätzlich zum Zertifikat und privaten Schlüssel.
  • ExtendedProperties – Enthält alle erweiterten Eigenschaften, die dem Zertifikat in der Ausgabedatei zugeordnet sind.
  • NoEncryptCert – Exportiert den privaten Schlüssel, ohne ihn zu verschlüsseln.
  • NoChain – Importiert die Zertifikatkette nicht.
  • NoRoot – Importiert das Stammzertifikat nicht.

-importPFX

Importiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.
• PFXFile ist die ZU importierende PFX-Datei.
• Modifizierer sind die durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthalten kann:
  • AT_KEYEXCHANGE – Ändert die Schlüsselspezifikation in den Schlüsselaustausch.
  • AT_SIGNATURE – Ändert die Schlüsselspezifikation in signatur.
  • ExportEncrypted - Exportiert den privaten Schlüssel, der dem Zertifikat mit Kennwortverschlüsselung zugeordnet ist.
  • FriendlyName= – Gibt einen Anzeigenamen für das importierte Zertifikat an.
  • KeyDescription= – Gibt eine Beschreibung für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
  • KeyFriendlyName= – Gibt einen Anzeigenamen für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
  • NoCert – Importiert das Zertifikat nicht.
  • NoChain – Importiert die Zertifikatkette nicht.
  • NoExport - Macht den privaten Schlüssel nicht exportierbar.
  • NoProtect – Schützt schlüssel nicht mithilfe eines Kennworts.
  • NoRoot – Importiert das Stammzertifikat nicht.
  • Pkcs8 – Verwendet das PKCS8-Format für den privaten Schlüssel in der PFX-Datei.
  • Schützen – Schützt Schlüssel mithilfe eines Kennworts.
  • ProtectHigh – Gibt an, dass dem privaten Schlüssel ein kennwort mit hoher Sicherheit zugeordnet werden muss.
  • VSM : Speichert den privaten Schlüssel, der dem importierten Zertifikat zugeordnet ist, im Container "Virtual Smart Card(VSC)".

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Bemerkungen

• Standardmäßig wird der persönliche Computerspeicher gespeichert.

-dynamicfilelist

Zeigt eine dynamische Dateiliste an.

certutil [options] -dynamicfilelist

Optionen:

[-config Machine\CAName]

-databaselocations

Zeigt Datenbankspeicherorte an.

certutil [options] -databaselocations

Optionen:

[-config Machine\CAName]

-hashfile

Generiert und zeigt einen kryptografischen Hash über eine Datei an.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Abbilden des Zertifikatspeichers.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Diese ID kann eine sein:

  • Seriennummer
  • SHA-1-Zertifikat
  • CRL, CTL oder Public Key Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Öffentlicher Schlüssel
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-Mail-Adresse
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Bezeichner können zu mehreren Übereinstimmungen führen.

• OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Hinweis

Leistungsprobleme werden bei Verwendung des Parameters beobachtet, der in den -store folgenden beiden Aspekten angegeben ist:

1. Wenn die Anzahl der Zertifikate im Speicher 10 überschreitet.
2. Wenn eine CertId angegeben wird, wird sie verwendet, um alle aufgelisteten Typen für jedes Zertifikat abzugleichen. Wenn beispielsweise eine Seriennummer angegeben wird, wird auch versucht, alle anderen aufgelisteten Typen zuzuordnen.

Wenn Sie sich gedanken über Leistungsprobleme machen, werden PowerShell-Befehle empfohlen, bei denen sie nur mit dem angegebenen Zertifikattyp übereinstimmt.

-enumstore

Listet die Zertifikatspeicher auf.

certutil [options] -enumstore [\\MachineName]

Ort:

• MachineName ist der Name des Remotecomputers.

Optionen:

[-enterprise] [-user] [-grouppolicy]

-addstore

Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -addstore CertificateStoreName InFile

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.
• InFile ist die Zertifikat- oder CRL-Datei, die Sie dem Speicher hinzufügen möchten.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -delstore CertificateStoreName certID

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.
• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Überprüft ein Zertifikat im Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -verifystore CertificateStoreName [CertId]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.
• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken.

Optionen:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repariert eine Schlüsselzuordnung oder aktualisiert Zertifikateigenschaften oder den Schlüsselsicherheitsdeskriptor. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers.

• CertIdList ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Übereinstimmungstoken. Weitere Informationen finden Sie in der -store CertId-Beschreibung in diesem Artikel.

• PropertyInfFile ist die INF-Datei mit externen Eigenschaften, einschließlich:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Speichert den Zertifikatspeicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:

  • Seriennummer
  • SHA-1-Zertifikat
  • CRL-, CTL- oder Public Key-Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Öffentlicher Schlüssel
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-Mail-Adresse
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

• OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Löscht ein Zertifikat aus dem Speicher.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Ort:

• CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann folgendes sein:

  • Seriennummer
  • SHA-1-Zertifikat
  • CRL-, CTL- oder Public Key-Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Öffentlicher Schlüssel
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-Mail-Adresse
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

• OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Ruft die certutil-Schnittstelle auf.

certutil [options] -UI File [import]

-TPMInfo

Zeigt Informationen zu vertrauenswürdigen Plattformmodulen an.

certutil [options] -TPMInfo

Optionen:

[-f] [-Silent] [-split]

-attest

Gibt an, dass die Zertifikatanforderungsdatei bestätigt werden soll.

certutil [options] -attest RequestFile

Optionen:

[-user] [-Silent] [-split]

-getcert

Wählt ein Zertifikat aus einer Auswahl-UI aus.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Optionen:

[-Silent] [-split]

-ds

Zeigt Distinguished Names (DNs) des Verzeichnisdiensts (DS) an.

certutil [options] -ds [CommonName]

Optionen:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Löscht DS-DNs.

certutil [options] -dsDel [CommonName]

Optionen:

[-user] [-split] [-dc DCName]

-dsPublish

Veröffentlicht eine Zertifikat- oder Zertifikatsperrliste (Certificate Revocation List, CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Ort:

• CertFile ist der Name der zu veröffentlichenden Zertifikatdatei.
• NTAuthCA veröffentlicht das Zertifikat im DS Enterprise-Speicher.
• RootCA veröffentlicht das Zertifikat im DS Trusted Root Store.
• SubCA veröffentlicht das Zertifizierungsstellenzertifikat im DS CA-Objekt.
• CrossCA veröffentlicht das zertifikatübergreifende Zertifikat für das DS CA-Objekt.
• KRA veröffentlicht das Zertifikat im DS Key Recovery Agent-Objekt.
• Der Benutzer veröffentlicht das Zertifikat für das User DS-Objekt.
• Computer veröffentlicht das Zertifikat im Machine DS-Objekt.
• CRLfile ist der Name der zu veröffentlichenden CRL-Datei.
• DSCDPContainer ist der CN des DS CDP-Containers, in der Regel der Name des Ca-Computers.
• DSCDPCN ist das DS CDP-Objekt CN basierend auf dem sanitisierten CA-Kurznamen und Schlüsselindex.

Optionen:

[-f] [-user] [-dc DCName]

• Dient -f zum Erstellen eines neuen DS-Objekts.

-dsCert

Zeigt DS-Zertifikate an.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zeigt DS-CRLs an.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zeigt DS-Delta-CRLs an.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zeigt DS-Vorlagenattribute an.

certutil [options] -dsTemplate [Template]

Optionen:

[Silent] [-dc DCName]

-dsAddTemplate

Fügt DS-Vorlagen hinzu.

certutil [options] -dsAddTemplate TemplateInfFile

Optionen:

[-dc DCName]

-ADTemplate

Zeigt Active Directory-Vorlagen an.

certutil [options] -ADTemplate [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Zeigt die Vorlagen für die Zertifikatregistrierungsrichtlinie an.

Optionen:

certutil [options] -Template [Template]

Optionen:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zeigt die Zertifizierungsstellen (CAs) für eine Zertifikatvorlage an.

certutil [options] -TemplateCAs Template

Optionen:

[-f] [-user] [-dc DCName]

-CATemplates

Zeigt Vorlagen für die Zertifizierungsstelle an.

certutil [options] -CATemplates [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Legt die Zertifikatvorlagen fest, die von der Zertifizierungsstelle auszugeben sind.

certutil [options] -SetCATemplates [+ | -] TemplateList

Ort:

• Das + Zeichen fügt der verfügbaren Vorlagenliste der Zertifizierungsstelle Zertifikatvorlagen hinzu.
• Das - Zeichen entfernt Zertifikatvorlagen aus der verfügbaren Vorlagenliste der Zertifizierungsstelle.

-SetCASites

Verwaltet Websitenamen, einschließlich Einstellung, Überprüfung und Löschen von Websitenamen der Zertifizierungsstelle.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Ort:

• SiteName ist nur zulässig, wenn sie auf eine einzelne Zertifizierungsstelle ausgerichtet ist.

Optionen:

[-f] [-config Machine\CAName] [-dc DCName]

Bemerkungen

• Die -config Option zielt auf eine einzelne Zertifizierungsstelle ab (Standard ist alle Zertifizierungsstellen).
• Die -f Option kann zum Überschreiben von Überprüfungsfehlern für den angegebenen SiteName oder zum Löschen aller Zertifizierungsstelle-Websitenamen verwendet werden.

Hinweis

Weitere Informationen zum Konfigurieren von CAs für Ad Directory Domain Services (AD DS)-Standortinformationen finden Sie unter AD DS Site Awareness für AD CS- und PKI-Clients.

-enrollmentServerURL

Zeigt Registrierungsserver-URLs an, die einer Zertifizierungsstelle zugeordnet sind, werden hinzugefügt oder gelöscht.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Ort:

• AuthenticationType gibt eine der folgenden Clientauthentifizierungsmethoden beim Hinzufügen einer URL an:
  • Kerberos – Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
  • UserName : Verwenden Sie ein benanntes Konto für SSL-Anmeldeinformationen.
  • ClientCertificate – Verwenden Sie X.509-Zertifikat-SSL-Anmeldeinformationen.
  • Anonym – Anonyme SSL-Anmeldeinformationen verwenden.
• löscht die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.
• Priorität wird 1 standardmäßig festgelegt, wenn sie beim Hinzufügen einer URL nicht angegeben wird.
• Modifizierer sind eine durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Elemente enthält:
  • AllowRenewalsOnly nur Verlängerungsanforderungen können über diese URL an diese Zertifizierungsstelle übermittelt werden.
  • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats, das kein zugeordnetes Konto in der AD aufweist. Dies gilt nur für den ClientCertificate - und AllowRenewalsOnly-Modus .

Optionen:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zeigt die Active Directory-Zertifizierungsstellen an.

certutil [options] -ADCA [CAName]

Optionen:

[-f] [-split] [-dc DCName]

-CA

Zeigt die Registrierungsrichtlinienzertifizierungsstellen an.

certutil [options] -CA [CAName | TemplateName]

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Zeigt die Registrierungsrichtlinie an.

certutil [options] -Policy

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zeigt Registrierungsrichtliniencacheeinträge an oder löscht sie.

certutil [options] -PolicyCache [delete]

Ort:

• löscht die Cacheeinträge des Richtlinienservers.
• -f löscht alle Cacheeinträge.

Optionen:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zeigt Anmeldeinformationsspeichereinträge an, fügt sie hinzu oder löscht sie.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Ort:

• DIE URL ist die Ziel-URL . Sie können auch zum Abgleichen aller Einträge oder * zum Abgleichen eines URL-Präfixes verwendenhttps://machine*.
• add a credential store entry. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.
• löscht Anmeldeinformationsspeichereinträge.
• -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.

Optionen:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installiert die Standardzertifikatvorlagen.

certutil [options] -InstallDefaultTemplates

Optionen:

[-dc DCName]

-URL

Überprüft Zertifikat- oder CRL-URLs.

certutil [options] -URL InFile | URL

Optionen:

[-f] [-split]

-URLCache

Zeigt URL-Cacheeinträge an oder löscht sie.

certutil [options] -URLcache [URL | CRL | * [delete]]

Ort:

• DIE URL ist die zwischengespeicherte URL.
• CRL wird nur für alle zwischengespeicherten CRL-URLs ausgeführt.
• * wird für alle zwischengespeicherten URLs ausgeführt.
• Löscht relevante URLs aus dem lokalen Cache des aktuellen Benutzers.
• -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.

Optionen:

[-f] [-split]

-pulse

Pulsiert ein Autoenrollment-Ereignis oder eine NGC-Aufgabe.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Ort:

• TaskName ist die Aufgabe, die ausgelöst werden soll.
  • Pregen ist die NGC Key Pregen-Aufgabe.
  • AIKEnroll ist die NGC AIK-Zertifikatregistrierungsaufgabe. (Standardmäßig wird das Ereignis für die automatische Registrierung verwendet).
• SRKThumbprint ist der Fingerabdruck des Speicherstammschlüssels.
• Modifizierer:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • Krypto-Politik
  • NgcPregenKey
  • DIMSRoam

Optionen:

[-user]

-MachineInfo

Zeigt Informationen zum Active Directory-Computerobjekt an.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zeigt Informationen zum Domänencontroller an. Standardmäßig werden DC-Zertifikate ohne Überprüfung angezeigt.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifizierer:

  • Überprüfen
  • LöschenSchlecht
  • Alles löschen

Optionen:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tipp

Die Möglichkeit, eine Active Directory Domain Services (AD DS)-Domäne [Domäne] anzugeben und einen Domänencontroller (-dc) anzugeben, wurde in Windows Server 2012 hinzugefügt. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied von Domänenadministratoren oder Unternehmensadministratoren ist. Die Verhaltensänderungen dieses Befehls sind wie folgt:

• Wenn keine Domäne angegeben ist und kein bestimmter Domänencontroller angegeben wird, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller verarbeitet werden sollen.
• Wenn keine Domäne angegeben ist, aber ein Domänencontroller angegeben wird, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
• Wenn eine Domäne angegeben ist, aber kein Domänencontroller angegeben ist, wird eine Liste der Domänencontroller zusammen mit Berichten zu den Zertifikaten für jeden Domänencontroller in der Liste generiert.
• Wenn die Domäne und der Domänencontroller angegeben sind, wird eine Liste der Domänencontroller vom zielbezogenen Domänencontroller generiert. Außerdem wird ein Bericht der Zertifikate für jeden Domänencontroller in der Liste generiert.

Angenommen, es gibt eine Domäne namens "CPANDL" mit einem Domänencontroller namens "CPANDL-DC1". Sie können den folgenden Befehl ausführen, um eine Liste der Domänencontroller und deren Zertifikate aus CPANDL-DC1 abzurufen: certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

Zeigt Informationen zu einer Unternehmenszertifizierungsstelle an.

certutil [options] -EntInfo DomainName\MachineName$

Optionen:

[-f] [-user]

-TCAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -TCAInfo [DomainDN | -]

Optionen:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zeigt Informationen zur Smartcard an.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Ort:

• CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.

Optionen:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Verwaltet Smartcardstammzertifikate.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Optionen:

[-f] [-split] [-p Password]

-key

Listet die Schlüssel auf, die in einem Schlüsselcontainer gespeichert sind.

certutil [options] -key [KeyContainerName | -]

Ort:

• KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie -user.
• Die Verwendung des - Zeichens bezieht sich auf die Verwendung des Standardschlüsselcontainers.

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Löscht den benannten Schlüsselcontainer.

certutil [options] -delkey KeyContainerName

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Löscht den Windows Hello-Container, wobei alle zugeordneten Anmeldeinformationen entfernt werden, die auf dem Gerät gespeichert sind, einschließlich aller WebAuthn- und FIDO-Anmeldeinformationen.

Benutzer müssen sich abmelden, nachdem Sie diese Option verwendet haben, damit sie abgeschlossen werden kann.

certutil [options] -DeleteHelloContainer

-verifykeys

Überprüft einen öffentlichen oder privaten Schlüsselsatz.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Ort:

• KeyContainerName ist der Schlüsselcontainername für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie -user.
• CACertFile signiert oder verschlüsselt Zertifikatdateien.

Optionen:

[-f] [-user] [-Silent] [-config Machine\CAName]

Bemerkungen

• Wenn keine Argumente angegeben werden, wird jedes Signaturzertifizierungsstellenzertifikat anhand seines privaten Schlüssels überprüft.
• Dieser Vorgang kann nur für eine lokale Zertifizierungsstelle oder lokale Schlüssel ausgeführt werden.

-verify

Überprüft ein Zertifikat, eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder eine Zertifikatkette.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Ort:

• CertFile ist der Name des zu überprüfenden Zertifikats.
• ApplicationPolicyList ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Application Policy ObjectIds.
• "IssuancePolicyList " ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Ausstellungsrichtlinienobjekt-IDs.
• CACertFile ist das optionale ausstellende Zertifizierungsstellenzertifikat, das überprüft werden soll.
• CrossedCACertFile ist das optionale zertifikatübergreifende Zertifikat von CertFile.
• CRLFile ist die CRL-Datei , die verwendet wird, um die CACertFile zu überprüfen.
• "IssuedCertFile" ist das optionale ausgestellte Zertifikat, das von der CRLfile-Datei abgedeckt ist.
• DeltaCRLFile ist die optionale Delta-CRL-Datei.
• Modifizierer:
  • Stark – Überprüfung der starken Signatur
  • MSRoot – Muss mit einem Microsoft-Stamm verkettet werden
  • MSTestRoot – Muss mit einem Microsoft-Teststamm verkettet werden
  • AppRoot – Muss mit einem Microsoft-Anwendungsstamm verkettet werden
  • EV – Erweiterte Gültigkeitsprüfungsrichtlinie erzwingen

Optionen:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Bemerkungen

• Die Verwendung von ApplicationPolicyList schränkt das Erstellen von Ketten nur auf Ketten ein, die für die angegebenen Anwendungsrichtlinien gültig sind.
• Die Verwendung von "IssuancePolicyList " schränkt das Erstellen von Ketten auf nur Ketten ein, die für die angegebenen Ausstellungsrichtlinien gültig sind.
• Mithilfe von CACertFile werden die Felder in der Datei anhand von CertFile oder CRLfile überprüft.
• Wenn CACertFile nicht angegeben ist, wird die vollständige Kette erstellt und anhand von CertFile überprüft.
• Wenn CACertFile und CrossedCACertFile beide angegeben sind, werden die Felder in beiden Dateien anhand von CertFile überprüft.
• Die Verwendung von IssuedCertFile überprüft die Felder in der Datei anhand von CRLfile.
• Die Verwendung von DeltaCRLFile überprüft die Felder in der Datei anhand von CertFile.

-verifyCTL

Überprüft die CTL-Zertifikate "AuthRoot" oder "Unzulässige Zertifikate".

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Ort:

• CTLObject identifiziert die zu überprüfende CTL, einschließlich:

  • AuthRootWU liest die AuthRoot CAB und übereinstimmende Zertifikate aus dem URL-Cache. Verwenden Sie -f stattdessen den Download von Windows Update.
  • UnzulässigeWU liest die CAB-Datei für unzulässige Zertifikate und die datei des Zertifikatspeichers aus dem URL-Cache. Verwenden Sie -f stattdessen den Download von Windows Update.
    • PinRulesWU liest die PinRules CAB aus dem URL-Cache. Verwenden Sie -f stattdessen den Download von Windows Update.
  • AuthRoot liest die registrierungscached AuthRoot CTL. Wird mit -f und einer nicht vertrauenswürdigen CertFile-Datei verwendet, um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot - und nicht zulässige Zertifikat-CTLs aktualisiert werden.
  • Unzulässige Leseberechtigungen für die Registrierungscache-Zertifikat-CTL. Wird mit -f und einer nicht vertrauenswürdigen CertFile-Datei verwendet, um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot - und nicht zulässige Zertifikat-CTLs aktualisiert werden.
    • PinRules liest die Zwischenspeicherung von PinRules CTL. Die Verwendung -f hat das gleiche Verhalten wie bei PinRulesWU.
  • CTLFileName gibt die Datei oder den HTTP-Pfad zur CTL- oder CAB-Datei an.

• CertDir gibt den Ordner an, der Zertifikate enthält, die den CTL-Einträgen entsprechen. Standardmäßig wird derselbe Ordner oder dieselbe Website wie das CTLobject verwendet. Für die Verwendung eines HTTP-Ordnerpfads ist am Ende ein Pfadtrennzeichen erforderlich. Wenn Sie "AuthRoot " oder " Unzulässig" nicht angeben, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten gesucht, einschließlich lokaler Zertifikatspeicher, crypt32.dll Ressourcen und dem lokalen URL-Cache. Wird -f verwendet, um nach Bedarf von Windows Update herunterzuladen.

• CertFile gibt die zu überprüfenden Zertifikate an. Zertifikate werden mit CTL-Einträgen abgeglichen, wobei die Ergebnisse angezeigt werden. Mit dieser Option wird der Großteil der Standardausgabe unterdrückt.

Optionen:

[-f] [-user] [-split]

-syncWithWU

Synchronisiert Zertifikate mit Windows Update.

certutil [options] -syncWithWU DestinationDir

Ort:

• DestinationDir ist das angegebene Verzeichnis.
• f erzwingt eine Überschreibung.
• Unicode schreibt umgeleitete Ausgabe in Unicode.
• gmt zeigt Uhrzeiten als GMT an.
• Sekunden zeigen Uhrzeiten mit Sekunden und Millisekunden an.
• v ist eine ausführliche Operation.
• PIN ist die Smartcard-PIN.
• WELL_KNOWN_SID_TYPE ist eine numerische SID:
  • 22 – Lokales System
  • 23 - Lokaler Dienst
  • 24 – Netzwerkdienst

Bemerkungen

Die folgenden Dateien werden mithilfe des Mechanismus für automatische Updates heruntergeladen:

• authrootstl.cab enthält die CTLs von Nicht-Microsoft-Stammzertifikaten.
• disallowedcertstl.cab enthält die CTLs von nicht vertrauenswürdigen Zertifikaten.
• "disallowedcert.sst " enthält den serialisierten Zertifikatspeicher, einschließlich der nicht vertrauenswürdigen Zertifikate.
• thumbprint.crt enthält die Nicht-Microsoft-Stammzertifikate.

Beispiel: certutil -syncWithWU \\server1\PKI\CTLs.

• Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner verwenden, wird der Fehler angezeigt: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Wenn Sie einen nicht vorhandenen oder nicht verfügbaren Netzwerkspeicherort als Zielordner verwenden, wird der Fehler angezeigt: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Wenn Ihr Server keine Verbindung über TCP-Port 80 mit Microsoft Automatic Update-Servern herstellen kann, wird die folgende Fehlermeldung angezeigt: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Wenn Ihr Server die Microsoft Automatic Update-Server mit dem DNS-Namen ctldl.windowsupdate.comnicht erreichen kann, wird die folgende Fehlermeldung angezeigt: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Wenn Sie den -f Schalter nicht verwenden und eine der CTL-Dateien im Verzeichnis bereits vorhanden ist, wird eine Datei angezeigt: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Wenn sich die vertrauenswürdigen Stammzertifikate ändern, wird Folgendes angezeigt: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Optionen:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generiert eine Speicherdatei, die mit Windows Update synchronisiert wird.

certutil [options] -generateSSTFromWU SSTFile

Ort:

• SSTFile ist die Datei, die .sst generiert werden soll, die die von Windows Update heruntergeladenen Wurzeln von Drittanbietern enthält.

Optionen:

[-f] [-split]

-generatePinRulesCTL

Generiert eine Zertifikatvertrauenslistendatei (Certificate Trust List, CTL), die eine Liste der Anheftungsregeln enthält.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Ort:

• XMLFile ist die zu analysierende XML-Eingabedatei.
• CTLFile ist die zu generierende CTL-Ausgabedatei.
• SSTFile ist die optionale .sst Datei, die erstellt werden soll, die alle Zertifikate enthält, die zum Anheften verwendet werden.
• QueryFilesPrefix sind optionale Domains.csv und Keys.csv Dateien, die für Datenbankabfragen erstellt werden sollen.
  • Die QueryFilesPrefix-Zeichenfolge wird jeder erstellten Datei vorangestellt.
  • Die dateiDomains.csv enthält Regelname, Domänenzeilen.
  • Die dateiKeys.csv enthält regelname, key SHA256 fingerabdruck rows.

Optionen:

[-f]

-downloadOcsp

Lädt die OCSP-Antworten herunter und schreibt in das Verzeichnis.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Ort:

• CertificateDir ist das Verzeichnis einer Zertifikat-, Speicher- und PFX-Datei.
• OcspDir ist das Verzeichnis zum Schreiben von OCSP-Antworten.
• ThreadCount ist die optionale maximale Anzahl von Threads für gleichzeitiges Herunterladen. Der Standardwert ist 10.
• Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:
  • DownloadOnce – Einmal heruntergeladen und beendet.
  • ReadOcsp – Liest von OcspDir statt zu schreiben.

-generateHpkpHeader

Generiert den HPKP-Header mithilfe von Zertifikaten in einer angegebenen Datei oder einem angegebenen Verzeichnis.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Ort:

• CertFileOrDir ist die Datei oder das Verzeichnis von Zertifikaten, die die Quelle von pin-sha256 ist.
• MaxAge ist der Wert für das maximale Alter in Sekunden.
• ReportUri ist der optionale Berichts-URI.
• Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:
  • includeSubDomains – Fügt die includeSubDomains an.

-flushCache

Löscht die angegebenen Caches im ausgewählten Prozess, z. B. lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Ort:

• ProcessId ist die numerische ID eines Prozesses, der geleert werden soll. Legen Sie auf 0 fest, um alle Prozesse zu leeren, bei denen "Flush" aktiviert ist.

• CacheMask ist die Bitmaske von Caches, die entweder numerisch oder die folgenden Bits geleert werden sollen:

  • 0: Nur anzeigen
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifizierer sind durch Kommas getrennte Liste einer oder mehrerer der folgenden Optionen:

  • Anzeigen – Zeigt die zwischengespeicherten Caches an, die geleert werden. Certutil muss explizit beendet werden.

-addEccCurve

Fügt eine ECC-Kurve hinzu.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Ort:

• CurveClass ist der ECC Curve Class-Typ:

  • WEIERRASS (Standard)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName ist der NAME der ECC-Kurve.

• CurveParameters sind eine der folgenden:

  • Ein Zertifikatdateiname, der ASN-codierte Parameter enthält.
  • Eine Datei mit ASN-codierten Parametern.

• CurveOID ist die ECC Curve OID und ist eine der folgenden:

  • Ein Zertifikatdateiname, der ein ASN-codiertes OID enthält.
  • Eine explizite ECC-Kurven-OID.

• CurveType ist der Schannel ECC NamedCurve-Punkt (numerisch).

Optionen:

[-f]

-deleteEccCurve

Löscht die ECC-Kurve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Ort:

• CurveName ist der NAME der ECC-Kurve.
• CurveOID ist die ECC-Kurven-OID.

Optionen:

[-f]

-displayEccCurve

Zeigt die ECC-Kurve an.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Ort:

• CurveName ist der NAME der ECC-Kurve.
• CurveOID ist die ECC-Kurven-OID.

Optionen:

[-f]

-csplist

Listet die auf diesem Computer installierten Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) für kryptografische Vorgänge auf.

certutil [options] -csplist [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-csptest

Testet die auf diesem Computer installierten CSPs.

certutil [options] -csptest [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zeigt die CNG-Kryptografiekonfiguration auf diesem Computer an.

certutil [options] -CNGConfig

Optionen:

[-Silent]

-sign

Signiert eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder ein Zertifikat erneut.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Ort:

• InFileList ist die durch Trennzeichen getrennte Liste von Zertifikat- oder CRL-Dateien zum Ändern und erneuten Signieren.

• SerialNumber ist die Seriennummer des zu erstellenden Zertifikats. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

• CRL erstellt eine leere CRL. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

• OutFileList ist die durch Trennzeichen getrennte Liste der geänderten Zertifikat- oder CRL-Ausgabedateien. Die Anzahl der Dateien muss mit der Infilelist übereinstimmen.

• StartDate+dd:hh ist der neue Gültigkeitszeitraum für die Zertifikat- oder CRL-Dateien, einschließlich:

  • optionales Datum plus
  • optionaler Gültigkeitszeitraum für Tage und Stunden Wenn mehrere Felder verwendet werden, verwenden Sie ein (+) oder (-) Trennzeichen. Wird verwendet now[+dd:hh] , um zur aktuellen Zeit zu beginnen. Wird verwendet now-dd:hh+dd:hh , um mit einem festen Offset von der aktuellen Uhrzeit und einem festen Gültigkeitszeitraum zu beginnen. Wird verwendet never , um kein Ablaufdatum (nur für CRLs) zu verwenden.

• SerialNumberList ist die durch Trennzeichen getrennte Seriennummernliste der dateien, die hinzugefügt oder entfernt werden sollen.

• ObjectIdList ist die durch Trennzeichen getrennte Erweiterung ObjectId-Liste der zu entfernenden Dateien.

• @ExtensionFile ist die INF-Datei, die die zu aktualisierenden oder zu entfernenden Erweiterungen enthält. Beispiel:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm ist der Name des Hashalgorithmus. Dies darf nur der Text sein, dem das # Zeichen vorangestellt ist.

• AlternateSignatureAlgorithm ist der alternative Signaturalgorithmusbezeichner.

Optionen:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Bemerkungen

• Durch Die Verwendung des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.
• Durch Verwenden des Pluszeichens (+) werden seriennummern zu einer CRL hinzugefügt.
• Sie können eine Liste verwenden, um seriennummern und ObjectIds gleichzeitig aus einer CRL zu entfernen.
• Wenn Sie das Minuszeichen vor AlternateSignatureAlgorithm verwenden, können Sie das Legacysignaturformat verwenden.
• Mit dem Pluszeichen können Sie das alternative Signaturformat verwenden.
• Wenn Sie " AlternateSignatureAlgorithm" nicht angeben, wird das Signaturformat im Zertifikat oder der CRL verwendet.

-vroot

Erstellt oder löscht virtuelle Webstamm- und Dateifreigaben.

certutil [options] -vroot [delete]

-vocsproot

Erstellt oder löscht virtuelle Webwurzeln für einen OCSP-Webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Fügt bei Bedarf für die angegebene Zertifizierungsstelle eine Registrierungsserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Ort:

• addEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:

  • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
  • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
  • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.

• Modifizierer:

  • AllowRenewalsOnly lässt nur Übermittlungen von Verlängerungsanforderungen an die Zertifizierungsstelle über die URL zu.
  • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats ohne zugeordnetes Konto in Active Directory. Dies gilt für die Verwendung mit dem Modus "ClientCertificate " und "AllowRenewalsOnly" .

Optionen:

[-config Machine\CAName]

-deleteEnrollmentServer

Löscht bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Ort:

• deleteEnrollmentServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:
  • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
  • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
  • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.

Optionen:

[-config Machine\CAName]

-addPolicyServer

Fügen Sie bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Ort:

• addPolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
  • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
  • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
  • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
• KeyBasedRenewal ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden, der Keybasedrenewal-Vorlagen enthält. Diese Option gilt nur für die Authentifizierung "UserName " und "ClientCertificate ".

-deletePolicyServer

Löscht bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Ort:

• deletePolicyServer erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:
  • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
  • UserName verwendet benanntes Konto für SSL-Anmeldeinformationen.
  • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
• KeyBasedRenewal ermöglicht die Verwendung eines KeyBasedRenewal-Richtlinienservers.

-Class

Zeigt COM-Registrierungsinformationen an.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Optionen:

[-f]

-7f

Überprüft das Zertifikat auf 0x7f Längencodierungen.

certutil [options] -7f CertFile

-oid

Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Ort:

• ObjectId ist die ID, die angezeigt oder dem Anzeigenamen hinzugefügt werden soll.
• GroupId ist die GroupID-Nummer (Dezimalzahl), die ObjectIds aufzählt.
• AlgId ist die hexadezimale ID, die objectID nachschlagen soll.
• AlgorithmName ist der Algorithmusname, den objectID nachschlagen soll.
• DisplayName zeigt den Namen an, der in DS gespeichert werden soll.
• Löscht den Anzeigenamen.
• LanguageId ist der Sprach-ID-Wert (Standardwert: 1033).
• Typ ist der Typ des zu erstellenden DS-Objekts, einschließlich:
  • 1 - Vorlage (Standard)
  • 2 - Ausstellungsrichtlinie
  • 3 - Anwendungsrichtlinie
• -f erstellt ein DS-Objekt.

Optionen:

[-f]

-error

Zeigt den Meldungstext an, der einem Fehlercode zugeordnet ist.

certutil [options] -error ErrorCode

-getsmtpinfo

Ruft Smtp-Informationen (Simple Mail Transfer Protocol) ab.

certutil [options] -getsmtpinfo

-setsmtpinfo

Legt SMTP-Informationen fest.

certutil [options] -setsmtpinfo LogonName

Optionen:

[-config Machine\CAName] [-p Password]

-getreg

Zeigt einen Registrierungswert an.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Ort:

• ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
• Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
• die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
• exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
• die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden -user ).
• "enrollment " verwendet den Registrierungsschlüssel (für -user den Benutzerkontext).
• chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
• PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
• ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
• RegistryValueName verwendet den Registrierungswertnamen (zum Name* Präfixen).
• wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.
• Registrierungsaliasen:
  • Konfiguration
  • CA
  • Richtlinie – PolicyModules
  • Beenden - ExitModules
  • Wiederherstellen - RestoreInProgress
  • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Dienste\crypt32
  • NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Legt einen Registrierungswert fest.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Ort:

• ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
• Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
• die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
• exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
• die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden -user ).
• "enrollment " verwendet den Registrierungsschlüssel (für -user den Benutzerkontext).
• chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
• PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
• ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
• RegistryValueName verwendet den Registrierungswertnamen (zum Name* Präfixen).
• Der Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.

-delreg

Löscht einen Registrierungswert.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Ort:

• ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
• Die Wiederherstellung verwendet den Wiederherstellungsregistrierungsschlüssel der Zertifizierungsstelle.
• die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.
• exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
• die Vorlage verwendet den Registrierungsschlüssel der Vorlage (für Benutzervorlagen verwenden -user ).
• "enrollment " verwendet den Registrierungsschlüssel (für -user den Benutzerkontext).
• chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
• PolicyServers verwendet den Registrierungsschlüssel "Richtlinienserver".
• ProgId verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).
• RegistryValueName verwendet den Registrierungswertnamen (zum Name* Präfixen).
• Der Wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Bemerkungen

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.
• Registrierungsaliasen:
  • Konfiguration
  • CA
  • Richtlinie – PolicyModules
  • Beenden - ExitModules
  • Wiederherstellen - RestoreInProgress
  • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Dienste\crypt32
  • NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importiert Benutzerschlüssel und Zertifikate für die Schlüsselarchivierung in die Serverdatenbank.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Ort:

• UserKeyAndCertFile ist eine Datendatei mit privaten Benutzerschlüsseln und Zertifikaten, die archiviert werden sollen. Diese Datei kann wie folgt sein:
  • Eine KMS-Exportdatei (Exchange Key Management Server).
  • Eine PFX-Datei.
• CertId ist ein KMS-Exportdatei-Entschlüsselungszertifikat-Übereinstimmungstoken. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.
• -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Optionen:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importiert eine Zertifikatdatei in die Datenbank.

certutil [options] -ImportCert Certfile [ExistingRow]

Ort:

• ExistingRow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.
• -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Optionen:

[-f] [-config Machine\CAName]

Bemerkungen

Die Zertifizierungsstelle muss möglicherweise auch so konfiguriert werden, dass fremdzertifikate durch Ausführen unterstützt certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNwerden.

-GetKey

Ruft ein archiviertes Private Key-Wiederherstellungs-BLOB ab, generiert ein Wiederherstellungsskript oder stellt archivierte Schlüssel wieder her.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Ort:

• script generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungskandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).
• Retrieves one or more Key Recovery Blobs (Standardverhalten, wenn genau ein übereinstimmender Wiederherstellungskandidat gefunden wird und wenn die Ausgabedatei angegeben ist). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die .rec Erweiterung für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
• Abrufen und Wiederherstellen privater Schlüssel in einem Schritt (erfordert Schlüsselwiederherstellungs-Agent-Zertifikate und private Schlüssel). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die .p12 Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und die zugehörigen privaten Schlüssel, die als PFX-Datei gespeichert sind.
• SearchToken wählt die Schlüssel und Zertifikate aus, die wiederhergestellt werden sollen, einschließlich:
  • Allgemeiner Zertifikatname
  • Seriennummer des Zertifikats
  • Sha-1-Hash des Zertifikats (Fingerabdruck)
  • Sha-1-Hash der Zertifikatschlüssel-ID (Antragstellerschlüsselbezeichner)
  • Antragstellername (Domäne\Benutzer)
  • UPN (user@domain)
• RecoveryBlobOutFile gibt eine Datei mit einer Zertifikatkette und einem zugeordneten privaten Schlüssel aus, die weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
• OutputScriptFile gibt eine Datei mit einem Batchskript aus, um private Schlüssel abzurufen und wiederherzustellen.
• OutputFileBaseName gibt einen Dateinamen aus.

Optionen:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Bemerkungen

• Zum Abrufen wird jede Erweiterung abgeschnitten, und eine zertifikatspezifische Zeichenfolge und die .rec Erweiterungen werden für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
• Zur Wiederherstellung wird jede Erweiterung abgeschnitten, und die .p12 Erweiterung wird angefügt. Enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.

-RecoverKey

Stellt einen archivierten privaten Schlüssel wieder her.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Führt PFX-Dateien zusammen.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Ort:

• PFXInFileList ist eine durch Trennzeichen getrennte Liste von PFX-Eingabedateien.
• PFXOutFile ist der Name der PFX-Ausgabedatei.
• Modifizierer sind durch Kommas getrennte Listen einer oder mehrerer der folgenden Optionen:
  • ExtendedProperties enthält alle erweiterten Eigenschaften.
  • NoEncryptCert gibt an, dass die Zertifikate nicht verschlüsselt werden sollen.
  • EncryptCert gibt an, dass die Zertifikate verschlüsselt werden sollen.

Optionen:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Bemerkungen

• Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.
• Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort lautet *, wird der Benutzer zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.

-add-chain

Fügt eine Zertifikatkette hinzu.

certutil [options] -add-chain LogId certificate OutFile

Optionen:

[-f]

-add-pre-chain

Fügt eine Vorzertifikatkette hinzu.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Optionen:

[-f]

-get-sth

Ruft einen signierten Baumkopf ab.

certutil [options] -get-sth [LogId]

Optionen:

[-f]

-get-sth-consistency

Ruft signierte Strukturkopfänderungen ab.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Optionen:

[-f]

-get-proof-by-hash

Ruft den Nachweis eines Hashs von einem Zeitstempelserver ab.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Optionen:

[-f]

-get-entries

Ruft Einträge aus einem Ereignisprotokoll ab.

certutil [options] -get-entries LogId FirstIndex LastIndex

Optionen:

[-f]

-get-roots

Ruft die Stammzertifikate aus dem Zertifikatspeicher ab.

certutil [options] -get-roots LogId

Optionen:

[-f]

-get-entry-and-proof

Ruft einen Ereignisprotokolleintrag und seinen kryptografischen Nachweis ab.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Optionen:

[-f]

-VerifyCT

Überprüft ein Zertifikat anhand des Zertifikattransparenzprotokolls.

certutil [options] -VerifyCT Certificate SCT [precert]

Optionen:

[-f]

-?

Zeigt die Liste der Parameter an.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Ort:

• -? zeigt die Liste der Parameter an.
• -<name_of_parameter> -? zeigt Hilfeinhalte für den angegebenen Parameter an.
• -? -v zeigt eine ausführliche Liste von Parametern und Optionen an.

Optionen

In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen dazu, welche Optionen für die Verwendung gültig sind.

Auswahlmöglichkeit	BESCHREIBUNG
-Administrator	Verwenden Sie ICertAdmin2 für Ca-Eigenschaften.
-anonym	Anonyme SSL-Anmeldeinformationen verwenden.
-cert CertId	Signaturzertifikat.
-clientcertificate clientCertId	Verwenden Sie SSL-Anmeldeinformationen für X.509-Zertifikate. Verwenden Sie -clientcertificatefür die Auswahl-UI .
-config Maschine\CAName	Zeichenfolge für Zertifizierungsstelle und Computername.
-csp-Anbieter	Anbieter: KSP – Microsoft Software Key Storage Provider TPM – Microsoft Platform Crypto Provider NGC – Microsoft Passport Key Storage Provider SC – Microsoft SmartCard Key Storage Provider
-dc DCName	Ziel eines bestimmten Domänencontrollers.
-Unternehmen	Verwenden Sie den Registrierungsspeicher des lokalen Computers für unternehmensweite Registrierungszertifikate.
f-	Überschreiben erzwingen.
-generateSSTFromWU SSTFile	Generieren Sie SST mithilfe des Mechanismus für automatische Updates.
-Gmt	Anzeigezeiten mithilfe von GMT.
-Gruppenrichtlinie	Verwenden Sie den Gruppenrichtlinienzertifikatspeicher.
-idispatch	Verwenden Sie IDispatch anstelle von systemeigenen COM-Methoden.
-kerberos	Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Anzeigen von Computervorlagen.
-nocr	Codieren Sie Text ohne CR-Zeichen.
-nocrlf	Codieren sie Text ohne CR-LF Zeichen.
-nullzeichen	Verwenden Sie den Hash der Daten als Signatur.
-altpfx	Verwenden Sie die alte PFX-Verschlüsselung.
-out Spaltenliste	Durch Trennzeichen getrennte Spaltenliste.
-p-Kennwort	Passwort
-PIN anheften	Smartcard-PIN.
-policyserver URLorID	Richtlinienserver-URL oder -ID. Verwenden Sie -policyserverfür die Auswahl U/I . Verwenden Sie für alle Richtlinienserver -policyserver *
-privatekey	Anzeigen von Kennwort- und privaten Schlüsseldaten.
-schützen	Schützen Von Schlüsseln mit Kennwort.
-protectzu SAMnameundSIDlist	Durch Trennzeichen getrennte SAM-Name/SID-Liste.
-restrictionlist einschränken	Durch Trennzeichen getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer konstanten ganzen Zahl, Zeichenfolge oder einem Datum. Einem Spaltennamen kann ein Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Zum Beispiel: requestID = 47, +requestername >= a, requestername, oder -requestername > DOMAIN, Disposition = 21.
-Rückwärts	Umgekehrte Protokoll- und Warteschlangenspalten.
-Nachschlag	Anzeigezeiten mit Sekunden und Millisekunden.
-Dienst	Verwenden Sie den Dienstzertifikatspeicher.
-sid	Numerische SID: 22 – Lokales System 23 - Lokaler Dienst 24 – Netzwerkdienst
-Leise	Verwenden Sie das silent Flag, um den Kryptakontext zu erhalten.
-trennen	Teilen Sie eingebettete ASN.1-Elemente, und speichern Sie sie in Dateien.
-sslpolicy Servername	SSL-Richtlinie, die mit ServerName übereinstimmt.
-symkeyalg symmetrischer Schlüsselalgorithmus[,Schlüssellänge]	Name des Symmetrischen Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES.
-syncWithWU Zielverzeichnis	Synchronisieren mit Windows Update.
-t Timeout	URL fetch timeout in Millisekunden.
-Unicode	Umgeleitete Ausgabe in Unicode schreiben.
-UnicodeText	Schreiben sie die Ausgabedatei in Unicode.
-urlfetch	Abrufen und Überprüfen von AIA-Zertifikaten und CDP-CRLs.
-Benutzer	Verwenden Sie die HKEY_CURRENT_USER Schlüssel oder den Zertifikatspeicher.
-Benutzername	Verwenden Sie benanntes Konto für SSL-Anmeldeinformationen. Verwenden Sie -usernamefür die Auswahl-UI .
-Ut	Benutzervorlagen anzeigen.
-v	Geben Sie ausführlichere (ausführlichere) Informationen an.
-v1	Verwenden Sie V1-Schnittstellen.

Hashalgorithmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Verwandte Links

Weitere Beispiele für die Verwendung dieses Befehls finden Sie in den folgenden Artikeln:

• Active Directory-Zertifikatdienste (AD CS)
• Certutil-Aufgaben zum Verwalten von Zertifikaten
• Konfigurieren von vertrauenswürdigen Wurzeln und unzulässigen Zertifikaten in Windows