certutil

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil von Zertifikatdiensten installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle (Zertifizierungsstelle) abzubilden und anzuzeigen, Zertifikatdienste zu konfigurieren, Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen und Zertifikate, Schlüsselpaare und Zertifikatketten zu überprüfen.

Wenn certutil ohne zusätzliche Parameter auf einer Zertifizierungsstelle ausgeführt wird, wird die aktuelle Konfiguration der Zertifizierungsstelle angezeigt. Wenn certutil auf einer Nichtzertifizierungsstelle ausgeführt wird, wird der Befehl standardmäßig ausgeführt, um den certutil [-dump] Befehl auszuführen.

Wichtig

Frühere Versionen von certutil stellen möglicherweise nicht alle Optionen bereit, die in diesem Dokument beschrieben werden. Sie können alle Optionen sehen, die eine bestimmte Version von certutil bereitstellt, indem Sie ausführen certutil -? oder certutil <parameter> -?.

Parameter

-dump

Konfigurationsinformationen oder Dateien abbilden.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

Analysieren und Anzeigen des Inhalts einer Datei mithilfe der Syntaxnotation (ABSTRACT Syntax Notation, ASN.1) Dateitypen enthalten . CER. DER und PKCS #7 formatierte Dateien.

certutil [options] -asn file [type]

[type]: numerischer CRYPT_STRING_* Decodierungstyp

-decodehex

Decodieren Sie eine hexadezimal codierte Datei.

certutil [options] -decodehex infile outfile [type]

[type]: numerischer CRYPT_STRING_* Codierungstyp

[-f]

-Decodieren

Decodieren Sie eine Base64-codierte Datei.

certutil [options] -decode infile outfile
[-f]

-codieren

Codieren Sie eine Datei in Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-verweigern

Ablehnen einer ausstehenden Anforderung.

certutil [options] -deny requestID
[-config Machine\CAName]

-Erneut übermitteln

Senden Sie eine ausstehende Anforderung erneut.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

Legen Sie Attribute für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setattributes RequestID attributestring

Hierbei gilt:

  • requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.

  • attributstring is the request attribute name and value pairs.

[-config Machine\CAName]

Bemerkungen

  • Namen und Werte müssen durch Doppelpunkt getrennt werden, während mehrere Namen, Wertpaare neu definiert sein müssen. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com Wo die \n Sequenz in ein Newlinetrennzeichen konvertiert wird.

-setextension

Legen Sie eine Erweiterung für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Hierbei gilt:

  • requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.

  • extensionname is the ObjectId string for the extension.

  • flags legt die Priorität der Erweiterung fest. 0 wird empfohlen, während 1 die Erweiterung auf kritisch festgelegt wird, 2 die Erweiterung deaktiviert und 3 beides ausführt.

[-config Machine\CAName]

Bemerkungen

  • Wenn der letzte Parameter numerischer Wert ist, wird er als Long verwendet.

  • Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Datum verwendet.

  • Wenn der letzte Parameter mit \@beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder einem ASCII-Text-Hexabbild verwendet.

  • Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.

-widerrufen

Widerrufen eines Zertifikats.

certutil [options] -revoke serialnumber [reason]

Hierbei gilt:

  • Serialnumber ist eine durch Kommas getrennte Liste von Zertifikatsseriennummern, die widerrufen werden sollen.

  • Grund ist die numerische oder symbolische Darstellung des Widerrufsgrundes, einschließlich:

    • 0. CRL_REASON_UNSPECIFIED – Nicht angegeben (Standard)

    • 1. CRL_REASON_KEY_COMPROMISE - Schlüsselkompromittierung

    • 2. CRL_REASON_CA_COMPROMISE - Kompromittierung der Zertifizierungsstelle

    • 3. CRL_REASON_AFFILIATION_CHANGED - Zugehörigkeit geändert

    • 4. CRL_REASON_SUPERSEDED - Ersetzt

    • 5. CRL_REASON_CESSATION_OF_OPERATION - Betriebsabbruch

    • 6. CRL_REASON_CERTIFICATE_HOLD - Zertifikatarchiv

    • 8. CRL_REASON_REMOVE_FROM_CRL – Aus CRL entfernen

    • – 1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

Zeigt die Anordnung des aktuellen Zertifikats an.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

Rufen Sie die Standardkonfigurationszeichenfolge ab.

certutil [options] -getconfig
[-config Machine\CAName]

-ping

Versuchen Sie, die Active Directory-Zertifikatdiensteanforderungsschnittstelle zu kontaktieren.

certutil [options] -ping [maxsecondstowait | camachinelist]

Hierbei gilt:

  • Camachinelist ist eine durch Kommas getrennte Liste von CA-Computernamen. Verwenden Sie für einen einzelnen Computer ein endendes Komma. Diese Option zeigt auch die Standortkosten für jeden Ca-Computer an.
[-config Machine\CAName]

-cainfo

Zeigen Sie Informationen zur Zertifizierungsstelle an.

certutil [options] -cainfo [infoname [index | errorcode]]

Hierbei gilt:

  • infoname gibt die anzuzeigende CA-Eigenschaft basierend auf der folgenden Infoname-Argumentsyntax an:

    • datei – Dateiversion

    • Produkt - Produktversion

    • exitcount – Anzahl des Exit-Moduls

    • Ausfahrt [index] - Beschreibung des Exit-Moduls

    • Richtlinie – Beschreibung des Richtlinienmoduls

    • Name - Ca-Name

    • sanitizedname - Sanitized CA name

    • dsname - Sanitized CA short name (DS name)

    • sharedfolder – Freigegebener Ordner

    • error1 ErrorCode – Fehlermeldungstext

    • error2 ErrorCode – Fehlermeldungstext und Fehlercode

    • Typ - CA-Typ

    • Info - CA-Informationen

    • übergeordnetes Element – übergeordnete Zertifizierungsstelle

    • certcount – Zertifizierungsstellenanzahl

    • xchgcount – Anzahl der Zertifizierungsstelle

    • Kracount - KRA Cert Count

    • kraused - KRA cert used count

    • propidmax - Maximum CA PropId

    • certstate [index] - Zertifizierungsstelle

    • certversion [index] - Zertifizierungsstelle-Zertifizierungsversion

    • certstatuscode [index] - Zertifizierungsstellenzertifizierungsstatus

    • crlstate [index] - CRL

    • krastate [index] - KRA-Zertifikat

    • crossstate+ [index] - Weiterleiten eines Kreuzzertifikats

    • crossstate- [index] - Rückwärts-Kreuzzertifikat

    • Cert [index] - Zertifizierungsstelle

    • certchain [index] - Zertifizierungskette

    • certcrlchain [index] - Zertifizierungskette mit CRLs

    • xchg [index] - Zertifizierungsstelle

    • xchgchain [index] - Zertifizierungskette der Zertifizierungsstelle

    • xchgcrlchain [index] - Zertifizierungskette von CA mit CRLs

    • Kra [index] - KRA-Zertifikat

    • kreuz+ [index] - Weiterleiten eines Kreuzzertifikats

    • [index]Kreuz - Rückwärts-Kreuzzertifikat

    • ZERTIFIKATSPERRLISTE [index] - Basis-CRL

    • deltacrl [index] - Delta-CRL

    • crlstatus [index] - CRL-Veröffentlichungsstatus

    • deltacrlstatus [index] - Delta-CRL-Veröffentlichungsstatus

    • DNS - DNS-Name

    • rolle - Rollentrennung

    • Anzeigen – Erweiterter Server

    • Vorlagen – Vorlagen

    • Csp [index] - OCSP-URLs

    • Aia [index] - AIA-URLs

    • Cdp [index] - CDP-URLs

    • Gebietsschemaname – Gebietsschemaname

    • subjecttemplateoids - Betreffvorlage OIDs

    • * - Zeigt alle Eigenschaften an

  • index ist der optionale nullbasierte Eigenschaftsindex.

  • errorcode ist der numerische Fehlercode.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Rufen Sie das Zertifikat für die Zertifizierungsstelle ab.

certutil [options] -ca.cert outcacertfile [index]

Hierbei gilt:

  • outcacertfile ist die Ausgabedatei.

  • index is the CA certificate renewal index (defaults to zuletzt).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Rufen Sie die Zertifikatkette für die Zertifizierungsstelle ab.

certutil [options] -ca.chain outcacertchainfile [index]

Hierbei gilt:

  • outcacertchainfile ist die Ausgabedatei.

  • index is the CA certificate renewal index (defaults to zuletzt).

[-f] [-split] [-config Machine\CAName]

-getcrl

Ruft eine Zertifikatsperrliste (CRL) ab.

certutil [options] -getcrl outfile [index] [delta]

Hierbei gilt:

  • index is the CRL index or key index (defaults to CRL for most recent key).

  • delta ist die Delta-CRL (Standard ist Basis-CRL).

[-f] [-split] [-config Machine\CAName]

-crl

Veröffentlichen Sie neue Zertifikatsperrlisten (CRLs) oder Delta-CRLs.

certutil [options] -crl [dd:hh | republish] [delta]

Hierbei gilt:

  • dd:hh ist der neue CRL-Gültigkeitszeitraum in Tagen und Stunden.

  • Erneut veröffentlichen Sie die neuesten CRLs.

  • delta veröffentlicht nur die Delta-CRLs (Standard ist Basis- und Delta-CRLs).

[-split] [-config Machine\CAName]

-Herunterfahren

Beendet die Active Directory-Zertifikatdienste.

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

Installiert ein Zertifizierungsstellezertifikat.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

Verlängert ein Zertifizierungsstellezertifikat.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Verwenden Sie -f die Verwendung, um eine hervorragende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.
[-f] [-silent] [-config Machine\CAName]

-schema

Gibt das Schema für das Zertifikat ab.

certutil [options] -schema [ext | attrib | cRL]

Hierbei gilt:

  • Der Befehl ist standardmäßig in der Tabelle "Anforderung" und "Zertifikat" festgelegt.

  • ext ist die Erweiterungstabelle.

  • Attribut ist die Attributtabelle.

  • crl ist die CRL-Tabelle.

[-split] [-config Machine\CAName]

-Ansicht

Abbilden der Zertifikatansicht.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Hierbei gilt:

  • In der Warteschlange wird eine bestimmte Anforderungswarteschlange angezeigt.

  • protokollabbildt die ausgestellten oder widerrufenen Zertifikate sowie alle fehlgeschlagenen Anforderungen.

  • Logfail-Dumps die fehlgeschlagenen Anforderungen.

  • widerrufene Dumps der widerrufenen Zertifikate.

  • ext dumps the extension table.

  • Attributabbild der Attributtabelle.

  • crl dumps the CRL table.

  • csv stellt die Ausgabe mithilfe von kommatrennten Werten bereit.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Bemerkungen

  • Geben Sie zum Anzeigen der Spalte "StatusCode " für alle Einträge den Typ "StatusCode" ein. -out StatusCode

  • Geben Sie zum Anzeigen aller Spalten für den letzten Eintrag folgendes ein: -restrict RequestId==$

  • Geben Sie zum Anzeigen der Anforderungs-ID und der Disposition für drei Anforderungen Folgendes ein: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Um Zeilen-IDsRow-IDs und CRL-Nummern für alle Basis-CRLs anzuzeigen, geben Sie Folgendes ein: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • So zeigen Sie folgendes an: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Geben Sie zum Anzeigen der gesamten CRL-Tabelle Folgendes ein: CRL

  • Verwenden Sie Date[+|-dd:hh] für Datumseinschränkungen.

  • Verwenden Sie now+dd:hh ein Datum relativ zur aktuellen Uhrzeit.

-db

Abbilden der unformatierten Datenbank.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Löscht eine Zeile aus der Serverdatenbank.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Hierbei gilt:

  • Die Anforderung löscht die fehlgeschlagenen und ausstehenden Anforderungen basierend auf dem Übermittlungsdatum.

  • cert löscht die abgelaufenen und widerrufenen Zertifikate basierend auf Ablaufdatum.

  • ext löscht die Erweiterungstabelle.

  • Attribut löscht die Attributtabelle.

  • crl löscht die CRL-Tabelle.

[-f] [-config Machine\CAName]

Beispiele

  • Geben Sie zum Löschen fehlgeschlagener und ausstehender Anforderungen vom 22. Januar 2001 folgendes ein: 1/22/2001 request

  • Um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 cert

  • Um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen, geben Sie Folgendes ein: 37

  • Um CRLs zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 crl

-backup

Sichern Sie die Active Directory-Zertifikatdienste.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Hierbei gilt:

  • backupdirectory ist das Verzeichnis zum Speichern der gesicherten Daten.

  • Inkrementelles Ausführen einer inkrementellen Sicherung nur (Standard ist vollständige Sicherung).

  • keeplog behält die Datenbankprotokolldateien bei (Standard ist das Abschneiden von Protokolldateien).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Sichert die Active Directory-Zertifikatdienste-Datenbank.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Hierbei gilt:

  • backupdirectory ist das Verzeichnis zum Speichern der gesicherten Datenbankdateien.

  • Inkrementelles Ausführen einer inkrementellen Sicherung nur (Standard ist vollständige Sicherung).

  • keeplog behält die Datenbankprotokolldateien bei (Standard ist das Abschneiden von Protokolldateien).

[-f] [-config Machine\CAName]

-backupkey

Sichern Sie das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel.

certutil [options] -backupkey backupdirectory

Hierbei gilt:

  • backupdirectory ist das Verzeichnis zum Speichern der gesicherten PFX-Datei.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Stellt die Active Directory-Zertifikatdienste wiederhergestellt.

certutil [options] -restore backupdirectory

Hierbei gilt:

  • backupdirectory ist das Verzeichnis, das die daten enthält, die wiederhergestellt werden sollen.
[-f] [-config Machine\CAName] [-p password]

-wiederhergestellt

Stellt die Active Directory-Zertifikatdienstedatenbank wiederhergestellt.

certutil [options] -restoredb backupdirectory

Hierbei gilt:

  • backupdirectory ist das Verzeichnis, das die Datenbankdateien enthält, die wiederhergestellt werden sollen.
[-f] [-config Machine\CAName]

-Restorekey

Stellt das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel wiederhergestellt.

certutil [options] -restorekey backupdirectory | pfxfile

Hierbei gilt:

  • backupdirectory ist das Verzeichnis mit PFX-Datei, das wiederhergestellt werden soll.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importieren Sie das Zertifikat und den privaten Schlüssel. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Hierbei gilt:

  • certificatestorename ist der Name des Zertifikatspeichers.

  • Modifizierer sind die durch Kommas getrennte Liste, die eine oder mehrere der folgenden Enthalten kann:

    1. AT_SIGNATURE – Ändert die Schlüsselart in signatur

    2. AT_KEYEXCHANGE – Ändert die Schlüsselart in den Schlüsselaustausch

    3. NoExport – Macht den privaten Schlüssel nicht exportierbar

    4. NoCert – Importiert das Zertifikat nicht

    5. NoChain – Importiert die Zertifikatkette nicht

    6. NoRoot – Importiert das Stammzertifikat nicht

    7. Schützen – Schützt Schlüssel mithilfe eines Kennworts

    8. NoProtect – Keine Kennwortschutzschlüssel mithilfe eines Kennworts

[-f] [-user] [-p password] [-csp provider]

Bemerkungen

  • Standardwerte für den persönlichen Computerspeicher.

-dynamicfilelist

Zeigt eine dynamische Dateiliste an.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

Zeigt Datenbankspeicherorte an.

certutil [options] -databaselocations
[-config Machine\CAName]

-Hashdatei

Generiert und zeigt einen kryptografischen Hash über eine Datei an.

certutil [options] -hashfile infile [hashalgorithm]

-store

Abbilden des Zertifikatspeichers.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername. Beispiel:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID ist das Zertifikat- oder CRL-Übereinstimmungstoken. Dies kann eine Seriennummer, ein SHA-1-Zertifikat, eine CRL, CTL oder ein öffentlicher Schlüsselhash, ein numerischer Zertifikatindex (0, 1 usw.), ein numerischer CRL-Index (.0, .1 usw.), ein numerischer CTL-Index (.) sein. 0, .. 1 usw.), einen öffentlichen Schlüssel, eine Signatur oder eine Erweiterung ObjectId, einen gemeinsamen Zertifikatsbeschriftungsnamen, eine E-Mail-Adresse, einen UPN- oder DNS-Namen, einen Schlüsselcontainernamen oder CSP-Namen, einen Vorlagennamen oder objectId, eine EKU oder eine Anwendungsrichtlinien-Objektid oder einen gemeinsamen CRL-Aussteller. Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

  • Ausgabedatei ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Optionen

  • Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.

  • Die -enterprise Option greift auf einen Computerunternehmensspeicher zu.

  • Die -service Option greift auf einen Computerdienstspeicher zu.

  • Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -addstore certificatestorename infile

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername.

  • Infile ist die Zertifikat- oder CRL-Datei, die Sie zum Speichern hinzufügen möchten.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -delstore certificatestorename certID

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername.

  • certID ist das Zertifikat- oder CRL-Übereinstimmungstoken.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Überprüft ein Zertifikat im Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -verifystore certificatestorename [certID]

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername.

  • certID ist das Zertifikat- oder CRL-Übereinstimmungstoken.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Repariert eine Schlüsselzuordnung oder aktualisieren Sie Zertifikateigenschaften oder den Schlüsselsicherheitsdeskriptor. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername.

  • certIDlist ist die durch Kommas getrennte Liste von Zertifikats- oder CRL-Übereinstimmungstoken. Weitere Informationen finden Sie in der -store certID Beschreibung in diesem Artikel.

  • propertyinffile ist die INF-Datei , die externe Eigenschaften enthält, einschließlich:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Abbilden des Zertifikatspeichers. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Hierbei gilt:

  • certificatestorename ist der Zertifikatspeichername.

  • certID ist das Zertifikat- oder CRL-Übereinstimmungstoken.

  • Ausgabedatei ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Optionen

  • Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.

  • Die -enterprise Option greift auf einen Computerunternehmensspeicher zu.

  • Die -service Option greift auf einen Computerdienstspeicher zu.

  • Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Löscht ein Zertifikat aus dem Speicher.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Hierbei gilt:

  • der Zertifikatspeichername ist der Name des Zertifikatspeichers.

  • certID ist das Zertifikat oder das CRL-Übereinstimmungstoken.

  • Ausgabedatei ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Optionen

  • Die -user Option greift anstelle eines Computerspeichers auf einen Benutzerspeicher zu.

  • Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.

  • Die -service Option greift auf einen Computerdienstspeicher zu.

  • Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Veröffentlicht eine Zertifikat- oder Zertifikatsperrliste (CRL) in Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Hierbei gilt:

  • certfile ist der Name der zu veröffentlichenden Zertifikatdatei.

  • NTAuthCA veröffentlicht das Zertifikat im DS-Enterprise Store.

  • RootCA veröffentlicht das Zertifikat im DS Trusted Root Store.

  • SubCA veröffentlicht das CA-Zertifikat im DS CA-Objekt.

  • CrossCA veröffentlicht das Kreuzzertifikat im DS CA-Objekt.

  • KRA veröffentlicht das Zertifikat im DS Key Recovery Agent-Objekt.

  • Der Benutzer veröffentlicht das Zertifikat im User DS-Objekt.

  • Computer veröffentlicht das Zertifikat im Machine DS-Objekt.

  • CRLfile ist der Name der zu veröffentlichenden CRL-Datei.

  • DSCDPContainer ist der DS CDP-Container CN, normalerweise der Ca-Computername.

  • DSCDPCN ist das DS CDP-Objekt CN, in der Regel basierend auf dem sanitisierten CA-Kurznamen und dem Schlüsselindex.

  • Verwenden Sie -f zum Erstellen eines neuen DS-Objekts.

[-f] [-user] [-dc DCName]

-adtemplate

Zeigt Active Directory-Vorlagen an.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-Vorlage

Zeigt die Zertifikatvorlagen an.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Zeigt die Zertifizierungsstellen (CAs) für eine Zertifikatvorlage an.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

Zeigt Vorlagen für die Zertifizierungsstelle an.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Verwaltet Websitenamen, einschließlich Einstellung, Überprüfung und Löschen von Websitenamen der Zertifizierungsstelle

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Hierbei gilt:

  • Websitename ist nur bei der Ausrichtung einer einzelnen Zertifizierungsstelle zulässig.
[-f] [-config Machine\CAName] [-dc DCName]

Bemerkungen

  • Die -config Option zielt auf eine einzelne Zertifizierungsstelle (Standard ist alle CAs).

  • Die -f Option kann verwendet werden, um Überprüfungsfehler für den angegebenen Websitenamen außer Kraft zu setzen oder alle CA-Websitenamen zu löschen.

Hinweis

Weitere Informationen zum Konfigurieren von CAs für Active Directory Domain Services (AD DS)-Websitebewusstsein finden Sie unter AD DS Site Awareness für AD CS- und PKI-Clients.

-registrierungsserverURL

Zeigt registrierungsserver-URLs an, die einer Zertifizierungsstelle zugeordnet sind, hinzu, oder löscht sie.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Hierbei gilt:

  • Authentifizierungstyp gibt eine der folgenden Clientauthentifizierungsmethoden an, während sie eine URL hinzufügen:

    1. kerberos – Verwenden sie Kerberos-SSL-Anmeldeinformationen.

    2. Benutzername – Verwenden Sie ein benanntes Konto für SSL-Anmeldeinformationen.

    3. clientcertificate: - Verwenden Sie X.509-Zertifikat-SSL-Anmeldeinformationen.

    4. anonym – Verwenden Sie anonyme SSL-Anmeldeinformationen.

  • löscht die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.

  • Die Priorität wird standardmäßig festgelegt, wenn keine URL hinzugefügt wird 1 .

  • Modifiers ist eine durch Komma getrennte Liste, die eine oder mehrere der folgenden enthält:

  1. allowrenewalsonly – Nur Verlängerungsanfragen können über diese URL an diese Zertifizierungsstelle übermittelt werden.

  2. allowkeybasedrenewal – Ermöglicht die Verwendung eines Zertifikats, das kein zugeordnetes Konto in der AD aufweist. Dies gilt nur für clientcertificate und allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-adca

Zeigt Active Directory-Zertifikatstellen an.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

Zeigt Registrierungsrichtlinienzertifikatstellen an.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-richtlinie

Zeigt die Registrierungsrichtlinie an.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Zeigt Registrierungsrichtliniencacheeinträge an oder löscht sie.

certutil [options] -policycache [delete]

Hierbei gilt:

  • löscht die Cacheeinträge des Richtlinienservers.

  • -f löscht alle Cacheeinträge

[-f] [-user] [-policyserver URLorID]

-credstore

Zeigt anmeldeinformationen Store Einträge an, fügt sie hinzu oder löscht sie.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Hierbei gilt:

  • URL ist die Ziel-URL. Sie können auch * alle Einträge übereinstimmen oder https://machine* einem URL-Präfix entsprechen.

  • fügen Sie einen Anmeldeinformationenspeichereintrag hinzu. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.

  • löscht Anmeldeinformationenspeichereinträge.

  • -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Installiert Standardzertifikatvorlagen.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

Zeigt URL-Cacheeinträge an oder löscht sie.

certutil [options] -URLcache [URL | CRL | * [delete]]

Hierbei gilt:

  • URL ist die zwischengespeicherte URL.

  • CRL wird nur auf allen zwischengespeicherten CRL-URLs ausgeführt.

  • * funktioniert auf allen zwischengespeicherten URLs.

  • löscht relevante URLs aus dem lokalen Cache des aktuellen Benutzers.

  • -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.

[-f] [-split]

-Puls

Pulses automatische Registrierungsereignisse.

certutil [options] -pulse
[-user]

-machineinfo

Zeigt Informationen zum Active Directory-Computerobjekt an.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Zeigt Informationen zum Domänencontroller an. Der Standard zeigt DC-Zertifikate ohne Überprüfung an.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Tipp

Die Möglichkeit, eine Active Directory Domain Services (AD DS)-Domäne [Domäne] anzugeben und einen Domänencontroller (-dc) anzugeben, wurde in Windows Server 2012 hinzugefügt. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied von Domänenadministratoren oder Enterprise Administratoren ist. Die Verhaltensänderungen dieses Befehls sind wie folgt:

  1. 1. Wenn eine Domäne nicht angegeben wird und ein bestimmter Domänencontroller nicht angegeben wird, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller verarbeitet werden sollen.
  2. 2. Wenn eine Domäne nicht angegeben wird, aber ein Domänencontroller angegeben wird, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
  3. 3. Wenn eine Domäne angegeben wird, aber kein Domänencontroller angegeben wird, wird eine Liste der Domänencontroller zusammen mit Berichten über die Zertifikate für jeden Domänencontroller in der Liste generiert.
  4. 4. Wenn der Domänen- und Domänencontroller angegeben wird, wird eine Liste der Domänencontroller aus dem zielspezifischen Domänencontroller generiert. Ein Bericht der Zertifikate für jeden Domänencontroller in der Liste wird ebenfalls generiert.

Angenommen, es gibt eine Domäne namens CPANDL mit einem Domänencontroller namens CPANDL-DC1. Sie können den folgenden Befehl ausführen, um eine Liste von Domänencontrollern und deren Zertifikate abzurufen, die von CPANDL-DC1 stammen: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Zeigt Informationen zu einer Unternehmenszertifikatsstelle an.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Zeigt Informationen zur Smartcard an.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Hierbei gilt:

  • CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Verwaltet Smartcard-Stammzertifikate.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys

Überprüft einen öffentlichen oder privaten Schlüsselsatz.

certutil [options] -verifykeys [keycontainername cacertfile]

Hierbei gilt:

  • keycontainername ist der Schlüsselcontainername für den Schlüssel, um zu überprüfen. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzerschlüsseln zu wechseln, verwenden Sie -user.

  • cacertfile-Zeichen oder verschlüsselt Zertifikatdateien.

[-f] [-user] [-silent] [-config Machine\CAName]

Bemerkungen

  • Wenn keine Argumente angegeben werden, wird jedes Signaturzertifikat gegen seinen privaten Schlüssel überprüft.

  • Dieser Vorgang kann nur für eine lokale CA oder lokale Schlüssel ausgeführt werden.

-überprüfen

Überprüft ein Zertifikat, eine Zertifikatsperrliste (CRL) oder eine Zertifikatkette.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Hierbei gilt:

  • certfile ist der Name des Zertifikats, das überprüft werden soll.

  • applicationpolicylist ist die optionale kommatrennte Liste der erforderlichen Application Policy ObjectIds.

  • die ausgabepolicylist ist die optionale kommatrennte Liste der erforderlichen Ausgaberichtlinie-ObjektIds.

  • cacertfile ist das optionale ausstellende CA-Zertifikat, um zu überprüfen.

  • crossedcacertfile ist das optionale Zertifikat, das durch Certfile zertifiziert ist.

  • CRLfile ist die CRL-Datei , die zum Überprüfen der Cacertfile verwendet wird.

  • issuedcertfile ist das optionale ausgestellte Zertifikat, das von der CRLfile abgedeckt ist.

  • deltaCRLfile ist die optionale Delta-CRL-Datei.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Bemerkungen

  • Die Verwendung von applicationpolicylist beschränkt das Chain Building auf nur ketten, die für die angegebenen Anwendungsrichtlinien gültig sind.

  • Die Verwendung der Ausgabepolicylist beschränkt das Chain Building auf nur ketten, die für die angegebenen Ausgaberichtlinien gültig sind.

  • Mithilfe von cacertfile wird die Felder in der Datei gegen Certfile oder CRLfile überprüft.

  • Die Verwendung von ausgestelltcertfile überprüft die Felder in der Datei gegen CRLfile.

  • Mithilfe von deltaCRLfile wird die Felder in der Datei gegen Certfile überprüft.

  • Wenn cacertfile nicht angegeben ist, wird die vollständige Kette erstellt und gegen Certfile überprüft.

  • Wenn cacertfile und crossedcacertfile beide angegeben sind, werden die Felder in beiden Dateien gegen Certfile überprüft.

-verifyCTL

Überprüft die CTL-Zertifikate "AuthRoot" oder "Nicht zugelassene Zertifikate".

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Hierbei gilt:

  • CTLobject identifiziert die CTL, um zu überprüfen, einschließlich:

    • AuthRootWU – Liest die AuthRoot CAB und übereinstimmende Zertifikate aus dem URL-Cache. Verwenden Sie stattdessen -f Windows Update zum Herunterladen von Windows Update.

    • Nicht zulässigeWU - Liest die NICHT zulässige ZERTIFIKATSPEICHERdatei aus dem URL-Cache. Verwenden Sie stattdessen -f Windows Update zum Herunterladen von Windows Update.

    • AuthRoot – Liest die registrierungscached AuthRoot CTL. Verwenden Sie mit -f und einer nicht vertrauenswürdigen Certfile , um die Registrierungscached AuthRoot und Nicht zulässige Zertifikat-CTLs zum Aktualisieren zu erzwingen.

    • Nicht zulässig – Liest die zwischengespeicherten zwischengespeicherten Zertifikate CTL vor. Verwenden Sie mit -f und einer nicht vertrauenswürdigen Certfile , um die Registrierungscached AuthRoot und Nicht zulässige Zertifikat-CTLs zum Aktualisieren zu erzwingen.

  • CTLfilename gibt die Datei oder den HTTP-Pfad zur CTL- oder CAB-Datei an.

  • certdir gibt den Ordner an, der Zertifikate enthält, die den CTL-Einträgen entsprechen. Standardeinstellung für denselben Ordner oder die gleiche Website wie das CTLObject. Die Verwendung eines http-Ordnerpfads erfordert ein Pfadtrennzeichen am Ende. Wenn Sie nicht AuthRoot oder Nicht zulässig angeben, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten gesucht, einschließlich lokaler Zertifikatspeicher, crypt32.dll Ressourcen und dem lokalen URL-Cache. Verwenden Sie -f zum Herunterladen von Windows Update nach Bedarf.

  • certfile gibt das Zertifikat an, das überprüft werden soll. Zertifikate werden mit CTL-Einträgen übereinstimmen und die Ergebnisse anzeigen. Diese Option unterdrückt die meisten der Standardausgabe.

[-f] [-user] [-split]

-Signieren

Signiert eine Zertifikatsperrliste (CRL) oder ein Zertifikat erneut.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Hierbei gilt:

  • infilelist ist die kommatrennte Liste der Zertifikat- oder CRL-Dateien, um die Anmeldung zu ändern und erneut zu signieren.

  • serialnumber is the serial number of the certificate to create. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

  • CRL erstellt eine leere CRL. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

  • Outfilelist ist die kommatrennte Liste von geänderten Zertifikat- oder CRL-Ausgabedateien. Die Anzahl der Dateien muss mit der Dateiliste übereinstimmen.

  • startdate+dd:hh ist der neue Gültigkeitszeitraum für die Zertifikat- oder CRL-Dateien, einschließlich:

    • optionales Datum plus

    • optionale Tage und Stunden Gültigkeitszeitraum

    Wenn beide angegeben sind, müssen Sie ein Pluszeichen (+)-Trennzeichen verwenden. Verwenden Sie now[+dd:hh] zum Starten zum aktuellen Zeitpunkt. Verwenden Sie never kein Ablaufdatum (nur für CRLs).

  • serialnumberlist ist die durch Komma getrennte Seriennummernliste der Dateien, die hinzugefügt oder entfernt werden sollen.

  • objectIDlist ist die durch Komma getrennte ErweiterungsobjektId-Liste der zu entfernenden Dateien.

  • @extensionfile ist die INF-Datei, die die Erweiterungen enthält, um sie zu aktualisieren oder zu entfernen. Beispiel:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm ist der Name des Hash-Algorithmus. Dies muss nur der Text vor dem # Zeichen sein.

  • alternativeSignaturealgorithm ist der alternative Signaturalgorithmus-Spezifikation.

[-nullsign] [-f] [-silent] [-cert certID]

Bemerkungen

  • Mithilfe des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.

  • Mithilfe des Pluszeichens (+) wird einer CRL seriennummern hinzugefügt.

  • Sie können eine Liste verwenden, um sowohl Seriennummern als auch ObjectIDs gleichzeitig aus einer CRL zu entfernen.

  • Mithilfe des Minuszeichens vor alternativemSignaturealgorithm können Sie das Legacysignaturformat verwenden. Mithilfe des Pluszeichens können Sie das alternative Signaturformat verwenden. Wenn Sie keine alternativeSignaturealgorithm angeben, wird das Signaturformat im Zertifikat oder CRL verwendet.

-vroot

Erstellt oder löscht virtuelle Wurzeln und Dateifreigaben im Web.

certutil [options] -vroot [delete]

-vocsproot

Erstellt oder löscht virtuelle Webwurzeln für einen OCSP-Webproxy.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Fügen Sie bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle hinzu. Dieser Befehl installiert keine Binärdateien oder Pakete.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Hierbei gilt:

  • Addenrollmentserver erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:

    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.

    • Benutzername verwendet benanntes Konto für SSL-Anmeldeinformationen.

    • clientcertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

  • allowrenewalsonly erlaubt nur Verlängerungsanforderungsübermittlungen an die Zertifizierungsstelle über die URL.

  • allowkeybasedrenewal ermöglicht die Verwendung eines Zertifikats ohne zugeordnetes Konto in Active Directory. Dies gilt für die Verwendung mit clientcertificate und allowrenewalsonly mode.

[-config Machine\CAName]

-deleteenrollmentserver

Löscht bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle. Dieser Befehl installiert keine Binärdateien oder Pakete.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Hierbei gilt:

  • deleteenrollmentserver erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver verwenden, einschließlich:

    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.

    • Benutzername verwendet benanntes Konto für SSL-Anmeldeinformationen.

    • clientcertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

[-config Machine\CAName]

-addpolicyserver

Fügen Sie ggf. eine Policy Server-Anwendung und einen Anwendungspool hinzu. Dieser Befehl installiert keine Binärdateien oder Pakete.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Hierbei gilt:

  • addpolicyserver erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:

    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.

    • Benutzername verwendet benanntes Konto für SSL-Anmeldeinformationen.

    • clientcertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

  • keybasedrenewal ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden, der keybasedrenewal-Vorlagen enthält. Diese Option gilt nur für benutzernamen - und clientcertificate-Authentifizierung .

-deletepolicyserver

Löscht bei Bedarf eine Policy Server-Anwendung und einen Anwendungspool. Dieser Befehl entfernt keine Binärdateien oder Pakete.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Hierbei gilt:

  • deletepolicyserver erfordert, dass Sie eine Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver verwenden, einschließlich:

    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.

    • Benutzername verwendet benanntes Konto für SSL-Anmeldeinformationen.

    • clientcertificate verwendet X.509-Zertifikat-SSL-Anmeldeinformationen.

  • keybasedrenewal ermöglicht die Verwendung eines KeyBasedRenewal-Richtlinienservers.

-oid

Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Hierbei gilt:

  • objectID zeigt an oder fügt den Anzeigenamen hinzu.

  • groupID ist die GroupID-Zahl (Dezimalzahl), die objektIDs aufzählen.

  • algID ist die Hexadezimal-ID, die objektID nachschlagen soll.

  • algorithmusname ist der Algorithmusname , den objectID nachschlagen soll.

  • displayname zeigt den Namen an, der in DS gespeichert werden soll.

  • löscht den Anzeigenamen.

  • LanguageId ist der Sprach-ID-Wert (Standardwert: 1033).

  • Typ ist der Typ des zu erstellenden DS-Objekts, einschließlich:

    • 1 - Vorlage (Standard)

    • 2 - Ausstellungsrichtlinie

    • 3 - Anwendungsrichtlinie

  • -f erstellt ein DS-Objekt.

-error

Zeigt den Nachrichtentext an, der einem Fehlercode zugeordnet ist.

certutil [options] -error errorcode

-getreg

Zeigt einen Registrierungswert an.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.

  • Die Wiederherstellung verwendet den Registrierungsschlüssel der Zertifizierungsstelle.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.

  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.

  • vorlage verwendet den Vorlagenregistrierungsschlüssel (für Benutzervorlagen verwenden -user ).

  • die Registrierung verwendet den Registrierungsschlüssel (für den Benutzerkontext).-user

  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.

  • policyservers verwendet den Registrierungsschlüssel "Richtlinienserver".

  • progID verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).

  • registryvaluename verwendet den Namen des Registrierungswerts (zum Name* Präfixen).

  • wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder , -und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts hinzu \n .

  • Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die Hexadezimaltextdarstellung eines binären Werts enthält. Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] ein optionales Datum plus oder minus optionale Tage und Stunden analysiert. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder minuszeichen (-) Trennzeichen. Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .

  • Wird verwendet chain\chaincacheresyncfiletime \@now , um zwischengespeicherte CRLs effektiv zu leeren.

-setreg

Legt einen Registrierungswert fest.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.

  • Die Wiederherstellung verwendet den Registrierungsschlüssel der Zertifizierungsstelle.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.

  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.

  • vorlage verwendet den Vorlagenregistrierungsschlüssel (für Benutzervorlagen verwenden -user ).

  • die Registrierung verwendet den Registrierungsschlüssel (für den Benutzerkontext).-user

  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.

  • policyservers verwendet den Registrierungsschlüssel "Richtlinienserver".

  • progID verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).

  • registryvaluename verwendet den Namen des Registrierungswerts (zum Name* Präfixen).

  • wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder , -und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts hinzu \n .

  • Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die Hexadezimaltextdarstellung eines binären Werts enthält. Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] ein optionales Datum plus oder minus optionale Tage und Stunden analysiert. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder minuszeichen (-) Trennzeichen. Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .

  • Wird verwendet chain\chaincacheresyncfiletime \@now , um zwischengespeicherte CRLs effektiv zu leeren.

-delreg

Löscht einen Registrierungswert.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.

  • Die Wiederherstellung verwendet den Registrierungsschlüssel der Zertifizierungsstelle.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinienmoduls.

  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.

  • vorlage verwendet den Vorlagenregistrierungsschlüssel (für Benutzervorlagen verwenden -user ).

  • die Registrierung verwendet den Registrierungsschlüssel (für den Benutzerkontext).-user

  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.

  • policyservers verwendet den Registrierungsschlüssel "Richtlinienserver".

  • progID verwendet die ProgID des Richtlinien- oder Exitmoduls (Registrierungsunterschlüsselname).

  • registryvaluename verwendet den Namen des Registrierungswerts (zum Name* Präfixen).

  • wert verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Bemerkungen

  • Wenn ein Zeichenfolgenwert mit + oder , -und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie am Ende des Zeichenfolgenwerts hinzu \n .

  • Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die Hexadezimaltextdarstellung eines binären Werts enthält. Wenn sie nicht auf eine gültige Datei verweist, wird sie stattdessen als [Date][+|-][dd:hh] ein optionales Datum plus oder minus optionale Tage und Stunden analysiert. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder minuszeichen (-) Trennzeichen. Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .

  • Wird verwendet chain\chaincacheresyncfiletime \@now , um zwischengespeicherte CRLs effektiv zu leeren.

-importKMS

Importiert Benutzerschlüssel und Zertifikate in die Serverdatenbank für die Schlüsselarchivierung.

certutil [options] -importKMS userkeyandcertfile [certID]

Hierbei gilt:

  • userkeyandcertfile ist eine Datendatei mit privaten Benutzerschlüsseln und Zertifikaten, die archiviert werden sollen. Diese Datei kann folgendes sein:

    • Eine Exchange Schlüsselverwaltungsserver (KMS) Exportdatei.

    • Eine PFX-Datei.

  • certID ist ein KMS Exportdateischlüsselzertifikat-Übereinstimmungstokens. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

  • -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importiert eine Zertifikatdatei in die Datenbank.

certutil [options] -importcert certfile [existingrow]

Hierbei gilt:

  • vorhandenerow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.

  • -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

[-f] [-config Machine\CAName]

Bemerkungen

Die Zertifizierungsstelle muss möglicherweise auch so konfiguriert werden, dass ausländische Zertifikate unterstützt werden. Geben Sie dazu die Eingabe import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNein.

-getkey

Ruft ein archiviertes Blob für die Wiederherstellung privater Schlüssel ab, generiert ein Wiederherstellungsskript oder stellt archivierte Schlüssel wieder her.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Hierbei gilt:

  • script generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungskandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).

  • Retrieves one or more Key Recovery Blobs (Standardverhalten, wenn genau ein übereinstimmender Wiederherstellungskandidat gefunden wird, und wenn die Ausgabedatei angegeben ist). Mit dieser Option werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die REC-Erweiterung für jeden Schlüsselwiederherstellungs-Blob angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.

  • Abrufen und Wiederherstellen privater Schlüssel in einem Schritt (erfordert Schlüsselwiederherstellungs-Agent-Zertifikate und private Schlüssel). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die P12-Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.

  • searchtoken wählt die Schlüssel und Zertifikate aus, die wiederhergestellt werden sollen, einschließlich:

      1. Allgemeiner Name (CN) für das Zertifikat
      1. Seriennummer des Zertifikats
      1. Zertifikat SHA-1 Hash (Fingerabdruck)
      1. Zertifikatschlüsselschlüssel-SHA-1-Hash (Subject Key Identifier)
      1. Anforderungsname (Domäne\Benutzer)
      1. UPN (user@domain)
  • recoverybloboutfile gibt eine Datei mit einer Zertifikatkette und einem zugeordneten privaten Schlüssel aus, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.

  • outputscriptfile gibt eine Datei mit einem Batchskript aus, um private Schlüssel abzurufen und wiederherzustellen.

  • outputfilebasename gibt einen Dateibasisnamen aus.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Wiederherstellen eines archivierten privaten Schlüssels.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Führt PFX-Dateien zusammen.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Hierbei gilt:

  • PFXinfilelist ist eine durch Kommas getrennte Liste der PFX-Eingabedateien.

  • PFXoutfile ist der Name der PFX-Ausgabedatei.

  • ExtendedProperties enthält alle erweiterten Eigenschaften.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Bemerkungen

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.

  • Wenn mehr als ein Kennwort angegeben ist, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder wenn das letzte Kennwort lautet *, wird der Benutzer zur Eingabe des Ausgabedateikennworts aufgefordert.

-convertEPF

Konvertiert eine PFX-Datei in eine EPF-Datei.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Hierbei gilt:

  • PFXinfilelist ist eine durch Kommas getrennte Liste der PFX-Eingabedateien.

  • PFXoutfile ist der Name der PFX-Ausgabedatei.

  • EPF ist der Name der EPF-Ausgabedatei.

  • cast verwendet DIE CAST 64-Verschlüsselung.

  • cast- verwendet CAST 64-Verschlüsselung (Export)

  • V3CAcertID ist das V3 CA-Zertifikat-Übereinstimmungstoken. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

  • salt is the EPF output file salt string.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Bemerkungen

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.

  • Wenn mehr als ein Kennwort angegeben ist, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder wenn das letzte Kennwort lautet *, wird der Benutzer zur Eingabe des Ausgabedateikennworts aufgefordert.

-?

Zeigt die Liste der Parameter an.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Hierbei gilt:

  • -? zeigt die vollständige Liste der Parameter an

  • -<name_of_parameter> -? zeigt Hilfeinhalte für den angegebenen Parameter an.

  • -? -v zeigt eine vollständige Liste der Parameter und Optionen an.

Optionen

In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen darüber, welche Optionen für die Verwendung gültig sind.

Optionen BESCHREIBUNG
-nullsign Verwenden Sie den Hash der Daten als Signatur.
-f Erzwingen des Überschreibens.
-enterprise Verwenden Sie den Registrierungszertifikatspeicher des lokalen Computers für Unternehmen.
-Benutzer Verwenden Sie die HKEY_CURRENT_USER Schlüssel oder den Zertifikatspeicher.
-GroupPolicy Verwenden Sie den Gruppenrichtlinienzertifikatspeicher.
-ut Benutzervorlagen anzeigen.
-mt Computervorlagen anzeigen.
-Unicode Umgeleitete Ausgabe in Unicode schreiben.
-UnicodeText Schreiben sie die Ausgabedatei in Unicode.
-gmt Anzeigezeiten mithilfe von GMT.
-Sekunden Anzeigezeiten mithilfe von Sekunden und Millisekunden.
-silent Verwenden Sie das silent Flag, um den Krypto-Kontext zu erwerben.
-geteilt Teilen Sie eingebettete ASN.1-Elemente auf, und speichern Sie sie in Dateien.
-v Geben Sie ausführlichere (ausführlichere) Informationen an.
-privatekey Anzeigen von Kennwort- und privaten Schlüsseldaten
-Pin anheften Smartcard-PIN.
-urlfetch Abrufen und Überprüfen von AIA-Zertifikaten und CDP-CRLs.
-config Machine\CAName Zeichenfolge für Zertifizierungsstelle und Computername.
-policyserver URLorID Richtlinienserver-URL oder ID. Verwenden Sie -policyserverfür auswahl U/I . Verwenden Sie für alle Richtlinienserver -policyserver *
-anonym Verwenden Sie anonyme SSL-Anmeldeinformationen.
-kerberos Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
-clientcertificate clientcertID Verwenden Sie X.509-Zertifikat-SSL-Anmeldeinformationen. Verwenden Sie -clientcertificatefür auswahl U/I .
-Benutzername Verwenden Sie benanntes Konto für SSL-Anmeldeinformationen. Verwenden Sie -usernamefür auswahl U/I .
-certID Signaturzertifikat.
-dc DCName Ziel eines bestimmten Domänencontrollers.
-Einschränkungsliste einschränken Durch Trennzeichen getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer konstanten Ganzzahl, einer Zeichenfolge oder einem Datum. Ein Spaltenname kann einem Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Beispiel: requestID = 47, +requestername >= a, requestername oder -requestername > DOMAIN, Disposition = 21
-out columnlist Durch Trennzeichen getrennte Spaltenliste.
-p Kennwort Kennwort
-protectto SAMnameandSIDlist Durch Trennzeichen getrennte SAM-Name/SID-Liste.
-csp-Anbieter Anbieter
-t Timeout URL-Timeout in Millisekunden abrufen.
-symkeyalg symmetrickeyalgorithm[,keylength] Name des Symmetrik-Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES.

Zusätzliche Referenzen

Weitere Beispiele zur Verwendung dieses Befehls finden Sie unter