certutil

Caution

Certutil wird nicht empfohlen, in einem Produktionscode zu verwenden und bietet keine Garantien für die Unterstützung von Livewebsites oder Anwendungskompatibilitäten. Es ist ein Tool, das von Entwicklern und IT-Administratoren verwendet wird, um Zertifikatinhaltsinformationen auf Geräten anzuzeigen.

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert ist. Sie können certutil.exe verwenden, um Konfigurationsinformationen der Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren und Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen. Das Programm überprüft auch Zertifikate, Schlüsselpaare und Zertifikatketten.

Wenn certutil sie auf einer Zertifizierungsstelle ohne andere Parameter ausgeführt wird, wird die aktuelle Konfiguration der Zertifizierungsstelle angezeigt. Wenn certutil sie auf einer Nichtzertifizierungsstelle ohne andere Parameter ausgeführt wird, wird standardmäßig der Befehl ausgeführt certutil -dump . Nicht alle Versionen von certutil stellen alle Parameter und Optionen bereit, die in diesem Dokument beschrieben werden. Sie können die Auswahlmöglichkeiten sehen, die Ihre Version von certutil bereitstellt, indem Sie ausführen certutil -? oder certutil <parameter> -?.

Tip

Um die vollständige Hilfe für alle Certutil-Verben und -Optionen anzuzeigen, einschließlich derer, die -? im Argument ausgeblendet sind, führen Sie aus certutil -v -uSAGE. Bei der uSAGE Option wird die Groß-/Kleinschreibung beachtet.

Parameters

-dump

Gibt die Konfigurationsinformationen oder Dateien aus.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Stellt die PFX-Struktur ab.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analysiert und zeigt den Inhalt einer Datei mithilfe der Syntaxnotation (ASN.1) an. Dateitypen enthalten . CER, . Der und PKCS #7 formatierte Dateien.

certutil [options] -asn File [type]

• [type]: numerischer CRYPT_STRING_*-Decodierungstyp

-decodehex

Decodiert eine hexadezimal codierte Datei.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numerischer CRYPT_STRING_*-Decodierungstyp

Options:

[-f]

-encodehex

Codiert eine Datei in hexadezimaler Zahl.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numerischer CRYPT_STRING_* Codierungstyp

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodiert eine Base64-codierte Datei.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codiert eine Datei in Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Verweigert eine ausstehende Anforderung.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Sendet eine ausstehende Anforderung erneut.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Legt Attribute für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId is the numeric Request ID for the pending request.
• AttributeString is the request attribute name and value pairs.

Options:

[-config Machine\CAName]

Remarks

• Namen und Werte müssen durch Doppelpunkte getrennt werden, während mehrere Namen und Wertpaare durch Zeilenumbrüche getrennt werden müssen. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com Hier wird die \n Sequenz in ein Neulinientrennzeichen konvertiert.

-setextension

Legen Sie eine Erweiterung für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID is the numeric Request ID for the pending request.
• ExtensionName is the ObjectId string for the extension.
• Flags sets the priority of the extension. 0 wird empfohlen, während 1 die Erweiterung auf kritisch festgelegt wird, 2 deaktiviert die Erweiterung und 3 führt beides aus.

Options:

[-config Machine\CAName]

Remarks

• If the last parameter is numeric, it's taken as a Long.
• If the last parameter can be parsed as a date, it's taken as a Date.
• Wenn der letzte Parameter mit \@beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder einem ASCII-Text-Hex-Dump verwendet.
• Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.

-revoke

Widerruft ein Zertifikat.

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber is a comma-separated list of certificate serial numbers to revoke.
• Reason is the numeric or symbolic representation of the revocation reason, including:
  • 0. CRL_REASON_UNSPECIFIED - Unspecified (default)
  • 1. CRL_REASON_KEY_COMPROMISE - Key compromise
  • 2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed
  • 4. CRL_REASON_SUPERSEDED - Superseded
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold
  • 8. CRL_REASON_REMOVE_FROM_CRL - Remove from CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege withdrawn
  • 10: CRL_REASON_AA_COMPROMISE - AA compromise
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Zeigt die Anordnung des aktuellen Zertifikats an.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Ruft die Standardkonfigurationszeichenfolge ab.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ruft die Standardkonfigurationszeichenfolge über ICertGetConfig ab.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Ruft die Konfiguration über ICertConfig ab.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Versucht, die Anforderungsschnittstelle für Active Directory-Zertifikatdienste zu kontaktieren.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList is a comma-separated list of CA machine names. Verwenden Sie für einen einzelnen Computer ein beendendes Komma. Diese Option zeigt auch die Standortkosten für jeden Ca-Computer an.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Versucht, die Active Directory-Zertifikatdienste-Administratorschnittstelle zu kontaktieren.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName indicates the CA property to display, based on the following infoname argument syntax:
  • * - Zeigt alle Eigenschaften an
  • ads - Advanced Server
  • aia [Index] - AIA URLs
  • cdp [Index] - CDP URLs
  • cert [Index] - CA cert
  • certchain [Index] - CA cert chain
  • certcount - CA cert count
  • certcrlchain [Index] - CA cert chain with CRLs
  • certstate [Index] - CA cert
  • certstatuscode [Index] - CA cert verify status
  • certversion [Index] - CA cert version
  • CRL [Index] - Base CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL Publish Status
  • cross- [Index] - Backward cross cert
  • cross+ [Index] - Forward cross cert
  • crossstate- [Index] - Backward cross cert
  • crossstate+ [Index] - Forward cross cert
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Delta CRL Publish Status
  • dns - DNS Name
  • dsname - Sanitized CA short name (DS name)
  • error1 ErrorCode - Error message text
  • error2 ErrorCode - Error message text and error code
  • exit [Index] - Exit module description
  • exitcount - Exit module count
  • file - File version
  • info - CA info
  • kra [Index] - KRA cert
  • kracount - KRA cert count
  • krastate [Index] - KRA cert
  • kraused - KRA cert used count
  • localename - CA locale name
  • name - CA name
  • ocsp [Index] - OCSP URLs
  • parent - Parent CA
  • policy - Policy module description
  • product - Product version
  • propidmax - Maximum CA PropId
  • role - Role Separation
  • sanitizedname - Sanitized CA name
  • sharedfolder - Shared folder
  • subjecttemplateoids - Subject Template OIDs
  • templates - Templates
  • type - CA type
  • xchg [Index] - CA exchange cert
  • xchgchain [Index] - CA exchange cert chain
  • xchgcount - CA exchange cert count
  • xchgcrlchain [Index] - CA exchange cert chain with CRLs
• index is the optional zero-based property index.
• errorcode is the numeric error code.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zeigt Informationen zum Ca-Eigenschaftstyp an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Ruft das Zertifikat für die Zertifizierungsstelle ab.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Ruft die Zertifikatkette für die Zertifizierungsstelle ab.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ruft eine Zertifikatsperrliste (Certificate Revocation List, CRL) ab.

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index is the CRL index or key index (defaults to CRL for most recent key).
• delta is the delta CRL (default is base CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Veröffentlicht neue Zertifikatsperrlisten (CRLs) oder Delta-CRLs.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh is the new CRL validity period in days and hours.
• republish republishes the most recent CRLs.
• delta publishes the delta CRLs only (default is base and delta CRLs).

Options:

[-split] [-config Machine\CAName]

-shutdown

Beendet die Active Directory-Zertifikatdienste.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Installiert ein Zertifizierungsstellenzertifikat.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Erneuert ein Zertifizierungsstellenzertifikat.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• Wird verwendet -f , um eine ausstehende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.

-schema

Erstellt ein Dump des Schemas für das Zertifikat.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• Der Befehl ist standardmäßig auf die Tabelle "Anforderung" und "Zertifikat" festgelegt.
• Ext is the extension table.
• Attribute is the attribute table.
• CRL is the CRL table.

Options:

[-split] [-config Machine\CAName]

-view

Erstellt einen Dump der Zertifikatsansicht.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Queue dumps a specific request queue.
• Log dumps the issued or revoked certificates, plus any failed requests.
• LogFail dumps the failed requests.
• Revoked dumps the revoked certificates.
• Ext dumps the extension table.
• Attrib dumps the attribute table.
• CRL dumps the CRL table.
• csv provides the output using comma-separated values.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• To display the StatusCode column for all entries, type -out StatusCode
• Um alle Spalten für den letzten Eintrag anzuzeigen, geben Sie Folgendes ein: -restrict RequestId==$
• To display the RequestId and Disposition for three requests, type: -restrict requestID>=37,requestID<40 -out requestID,disposition
• To display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Geben Sie Folgendes ein, um die Basis-CRL-Nummer 3 anzuzeigen: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Geben Sie Folgendes ein, um die gesamte CRL-Tabelle anzuzeigen: CRL
• Wird Date[+|-dd:hh] für Datumseinschränkungen verwendet.
• Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Vorlagen enthalten erweiterte Schlüsselverwendungen (Extended Key Usages, EKUs), die Objektbezeichner (OIDs) sind, die beschreiben, wie das Zertifikat verwendet wird. Zertifikate enthalten nicht immer allgemeine Vorlagennamen oder Anzeigenamen, aber sie enthalten immer die Vorlagen-EKUs. Sie können die EKUs für eine bestimmte Zertifikatvorlage aus Active Directory extrahieren und dann Ansichten basierend auf dieser Erweiterung einschränken.

-db

Gibt die Rohdatenbank aus.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Löscht eine Zeile aus der Serverdatenbank.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• Request deletes the failed and pending requests, based on submission date.
• Cert deletes the expired and revoked certificates, based on expiration date.
• Ext deletes the extension table.
• Attrib deletes the attribute table.
• CRL deletes the CRL table.

Options:

[-f] [-config Machine\CAName]

Examples

• Um fehlgeschlagene und ausstehende Anforderungen zu löschen, die bis zum 22. Januar 2001 übermittelt wurden, geben Sie Folgendes ein: 1/22/2001 request
• Um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 cert
• Um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen, geben Sie Folgendes ein: 37
• Um CRLs zu löschen, die bis zum 22. Januar 2001 abgelaufen sind, geben Sie Folgendes ein: 1/22/2001 crl

Note

Date expects the format mm/dd/yyyy rather than dd/mm/yyyy, for example 1/22/2001 rather than 22/1/2001 for January 22, 2001. If your server isn't configured with US regional settings, using the Date argument might produce unexpected results.

-backup

Sichert die Active Directory-Zertifikatdienste.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up data.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sichert die Active Directory-Zertifikatdienste-Datenbank.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up database files.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName]

-backupkey

Sichert das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel.

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory is the directory to store the backed up PFX file.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Stellt die Active Directory-Zertifikatdienste wieder her.

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory is the directory containing the data to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Stellt die Active Directory-Zertifikatdienste-Datenbank wieder her.

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory is the directory containing the database files to be restored.

Options:

[-f] [-config Machine\CAName]

-restorekey

Stellt das Active Directory-Zertifikatdienstezertifikat und den privaten Schlüssel wieder her.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory is the directory containing PFX file to be restored.
• PFXFile is the PFX file to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• CertId is the certificate or CRL match token.
• PFXFile is the PFX file to be exported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • CryptoAlgorithm= specifies the cryptographic algorithm to use for encrypting the PFX file, such as TripleDES-Sha1 or Aes256-Sha256.
  • EncryptCert - Encrypts the private key associated with the certificate with a password.
  • ExportParameters -Exports the private key parameters in addition to the certificate and private key.
  • ExtendedProperties - Includes all extended properties associated with the certificate in the output file.
  • NoEncryptCert - Exports the private key without encrypting it.
  • NoChain - Doesn't import the certificate chain.
  • NoRoot - Doesn't import the root certificate.

-importPFX

Importiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• PFXFile is the PFX file to be imported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • AT_KEYEXCHANGE - Changes the keyspec to key exchange.
  • AT_SIGNATURE - Changes the keyspec to signature.
  • ExportEncrypted - Exports the private key associated with the certificate with password encryption.
  • FriendlyName= - Specifies a friendly name for the imported certificate.
  • KeyDescription= - Specifies a description for the private key associated with the imported certificate.
  • KeyFriendlyName= - Specifies a friendly name for the private key associated with the imported certificate.
  • NoCert - Doesn't import the certificate.
  • NoChain - Doesn't import the certificate chain.
  • NoExport - Makes the private key non-exportable.
  • NoProtect - Doesn't password protect keys by using a password.
  • NoRoot - Doesn't import the root certificate.
  • Pkcs8 - Uses PKCS8 format for the private key in the PFX file.
  • Protect - Protects keys by using a password.
  • ProtectHigh - Specifies that a high-security password must be associated with the private key.
  • VSM - Stores the private key associated with the imported certificate in the Virtual Smart Card (VSC) container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• Standardmäßig wird der persönliche Computerspeicher gespeichert.

-dynamicfilelist

Zeigt eine dynamische Dateiliste an.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Zeigt Datenbankspeicherorte an.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Generiert und zeigt einen kryptografischen Hash über eine Datei an.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Abbilden des Zertifikatspeichers.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Diese ID kann eine sein:

  • Serial number
  • SHA-1 certificate
  • CRL, CTL oder Public Key Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Public key
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-mail address
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Bezeichner können zu mehreren Übereinstimmungen führen.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Note

Leistungsprobleme werden bei Verwendung des Parameters beobachtet, der in den -store folgenden beiden Aspekten angegeben ist:

1. Wenn die Anzahl der Zertifikate im Speicher 10 überschreitet.
2. When a CertId is specified, it's used to match all the listed types for every certificate. For example, if a serial number is provided, it will also attempt to match all other listed types.

Wenn Sie sich gedanken über Leistungsprobleme machen, werden PowerShell-Befehle empfohlen, bei denen sie nur mit dem angegebenen Zertifikattyp übereinstimmt.

-enumstore

Listet die Zertifikatspeicher auf.

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName is the remote machine name.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName is the certificate store name.
• InFile is the certificate or CRL file you want to add to the store.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Überprüft ein Zertifikat im Speicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repariert eine Schlüsselzuordnung oder aktualisiert Zertifikateigenschaften oder den Schlüsselsicherheitsdeskriptor. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName is the certificate store name.

• CertIdList is the comma-separated list of certificate or CRL match tokens. Weitere Informationen finden Sie in der -store CertId-Beschreibung in diesem Artikel.

• PropertyInfFile is the INF file containing external properties, including:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Speichert den Zertifikatspeicher. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Dies kann folgendes sein:

  • Serial number
  • SHA-1 certificate
  • CRL-, CTL- oder Public Key-Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Public key
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-mail address
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Löscht ein Zertifikat aus dem Speicher.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Dies kann folgendes sein:

  • Serial number
  • SHA-1 certificate
  • CRL-, CTL- oder Public Key-Hash
  • Numerischer Zertifikatindex (0, 1 usw.)
  • Numerischer CRL-Index (.0, .1 usw.)
  • Numerischer CTL-Index (.. 0, .. 1 usw.)
  • Public key
  • Signatur- oder Erweiterungsobjekt-ID
  • Allgemeiner Name des Zertifikatsbetreffs
  • E-mail address
  • UPN- oder DNS-Name
  • Schlüsselcontainername oder CSP-Name
  • Vorlagenname oder ObjectId
  • Objekt-ID für EKU- oder Anwendungsrichtlinien
  • Allgemeiner Name des Zertifikatsperrlistenausstellers.

Viele dieser Ergebnisse können zu mehreren Übereinstimmungen führen.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
• Die -enterprise Option greift auf einen Computer-Unternehmensspeicher zu.
• Die -service Option greift auf einen Computerdienstspeicher zu.
• Die -grouppolicy Option greift auf einen Computergruppenrichtlinienspeicher zu.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Ruft die certutil-Schnittstelle auf.

certutil [options] -UI File [import]

-TPMInfo

Zeigt Informationen zu vertrauenswürdigen Plattformmodulen an.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Gibt an, dass die Zertifikatanforderungsdatei bestätigt werden soll.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Wählt ein Zertifikat aus einer Auswahl-UI aus.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Zeigt Distinguished Names (DNs) des Verzeichnisdiensts (DS) an.

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Löscht DS-DNs.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Veröffentlicht eine Zertifikat- oder Zertifikatsperrliste (Certificate Revocation List, CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile is the name of the certificate file to publish.
• NTAuthCA publishes the certificate to the DS Enterprise store.
• RootCA publishes the certificate to the DS Trusted Root store.
• SubCA publishes the CA certificate to the DS CA object.
• CrossCA publishes the cross-certificate to the DS CA object.
• KRA publishes the certificate to the DS Key Recovery Agent object.
• User publishes the certificate to the User DS object.
• Machine publishes the certificate to the Machine DS object.
• CRLfile is the name of the CRL file to publish.
• DSCDPContainer is the DS CDP container CN, usually the CA machine name.
• DSCDPCN is the DS CDP object CN based on the sanitized CA short name and key index.

Options:

[-f] [-user] [-dc DCName]

• Dient -f zum Erstellen eines neuen DS-Objekts.

-dsCert

Zeigt DS-Zertifikate an.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zeigt DS-CRLs an.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zeigt DS-Delta-CRLs an.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zeigt DS-Vorlagenattribute an.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Fügt DS-Vorlagen hinzu.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Zeigt Active Directory-Vorlagen an.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Zeigt die Vorlagen für die Zertifikatregistrierungsrichtlinie an.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Zeigt die Zertifizierungsstellen (CAs) für eine Zertifikatvorlage an.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Zeigt Vorlagen für die Zertifizierungsstelle an.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Legt die Zertifikatvorlagen fest, die von der Zertifizierungsstelle auszugeben sind.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• Das + Zeichen fügt der verfügbaren Vorlagenliste der Zertifizierungsstelle Zertifikatvorlagen hinzu.
• Das - Zeichen entfernt Zertifikatvorlagen aus der verfügbaren Vorlagenliste der Zertifizierungsstelle.

-SetCASites

Verwaltet Websitenamen, einschließlich Einstellung, Überprüfung und Löschen von Websitenamen der Zertifizierungsstelle.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName is allowed only when targeting a single Certificate Authority.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• Die -config Option zielt auf eine einzelne Zertifizierungsstelle ab (Standard ist alle Zertifizierungsstellen).
• The -f option can be used to override validation errors for the specified SiteName or to delete all CA site names.

Note

Weitere Informationen zum Konfigurieren von CAs für Ad Directory Domain Services (AD DS)-Standortinformationen finden Sie unter AD DS Site Awareness für AD CS- und PKI-Clients.

-enrollmentServerURL

Zeigt Registrierungsserver-URLs an, die einer Zertifizierungsstelle zugeordnet sind, werden hinzugefügt oder gelöscht.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType specifies one of the following client authentication methods while adding a URL:
  • Kerberos - Use Kerberos SSL credentials.
  • UserName - Use a named account for SSL credentials.
  • ClientCertificate - Use X.509 Certificate SSL credentials.
  • Anonymous - Use anonymous SSL credentials.
• delete deletes the specified URL associated with the CA.
• Priority defaults to 1 if not specified when adding a URL.
• Modifiers is a comma-separated list, which includes one or more of the following:
  • AllowRenewalsOnly only renewal requests can be submitted to this CA via this URL.
  • AllowKeyBasedRenewal allows use of a certificate that has no associated account in the AD. This applies only with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zeigt die Active Directory-Zertifizierungsstellen an.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Zeigt die Registrierungsrichtlinienzertifizierungsstellen an.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Zeigt die Registrierungsrichtlinie an.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Zeigt Registrierungsrichtliniencacheeinträge an oder löscht sie.

certutil [options] -PolicyCache [delete]

Where:

• delete deletes the policy server cache entries.
• -f deletes all cache entries

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Zeigt Anmeldeinformationsspeichereinträge an, fügt sie hinzu oder löscht sie.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL is the target URL. Sie können auch zum Abgleichen aller Einträge oder * zum Abgleichen eines URL-Präfixes verwendenhttps://machine*.
• add adds a credential store entry. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.
• delete deletes credential store entries.
• -f overwrites a single entry or deletes multiple entries.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installiert die Standardzertifikatvorlagen.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Überprüft Zertifikat- oder CRL-URLs.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Zeigt URL-Cacheeinträge an oder löscht sie.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL is the cached URL.
• CRL runs on all cached CRL URLs only.
• * wird für alle zwischengespeicherten URLs ausgeführt.
• delete deletes relevant URLs from the current user's local cache.
• -f forces fetching a specific URL and updating the cache.

Options:

[-f] [-split]

-pulse

Pulsiert ein Autoenrollment-Ereignis oder eine NGC-Aufgabe.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName is the task to trigger.
  • Pregen is the NGC Key pregen task.
  • AIKEnroll is the NGC AIK certificate enrollment task. (Standardmäßig wird das Ereignis für die automatische Registrierung verwendet).
• SRKThumbprint is the thumbprint of the Storage Root Key
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Zeigt Informationen zum Active Directory-Computerobjekt an.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Zeigt Informationen zum Domänencontroller an. Standardmäßig werden DC-Zertifikate ohne Überprüfung angezeigt.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. Die Verhaltensänderungen dieses Befehls sind wie folgt:

• Wenn keine Domäne angegeben ist und kein bestimmter Domänencontroller angegeben wird, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller verarbeitet werden sollen.
• Wenn keine Domäne angegeben ist, aber ein Domänencontroller angegeben wird, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
• Wenn eine Domäne angegeben ist, aber kein Domänencontroller angegeben ist, wird eine Liste der Domänencontroller zusammen mit Berichten zu den Zertifikaten für jeden Domänencontroller in der Liste generiert.
• Wenn die Domäne und der Domänencontroller angegeben sind, wird eine Liste der Domänencontroller vom zielbezogenen Domänencontroller generiert. Außerdem wird ein Bericht der Zertifikate für jeden Domänencontroller in der Liste generiert.

Angenommen, es gibt eine Domäne namens "CPANDL" mit einem Domänencontroller namens "CPANDL-DC1". Sie können den folgenden Befehl ausführen, um eine Liste der Domänencontroller und deren Zertifikate aus CPANDL-DC1 abzurufen: certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

Zeigt Informationen zu einer Unternehmenszertifizierungsstelle an.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Zeigt Informationen zur Smartcard an.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET deletes all keys on the smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Verwaltet Smartcardstammzertifikate.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Listet die Schlüssel auf, die in einem Schlüsselcontainer gespeichert sind.

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName is the key container name for the key to verify. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie -user.
• Die Verwendung des - Zeichens bezieht sich auf die Verwendung des Standardschlüsselcontainers.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Löscht den benannten Schlüsselcontainer.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Löscht den Windows Hello-Container, wobei alle zugeordneten Anmeldeinformationen entfernt werden, die auf dem Gerät gespeichert sind, einschließlich aller WebAuthn- und FIDO-Anmeldeinformationen.

Benutzer müssen sich abmelden, nachdem Sie diese Option verwendet haben, damit sie abgeschlossen werden kann.

certutil [options] -DeleteHelloContainer

-verifykeys

Überprüft einen öffentlichen oder privaten Schlüsselsatz.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName is the key container name for the key to verify. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzertasten zu wechseln, verwenden Sie -user.
• CACertFile signs or encrypts certificate files.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• Wenn keine Argumente angegeben werden, wird jedes Signaturzertifizierungsstellenzertifikat anhand seines privaten Schlüssels überprüft.
• Dieser Vorgang kann nur für eine lokale Zertifizierungsstelle oder lokale Schlüssel ausgeführt werden.

-verify

Überprüft ein Zertifikat, eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder eine Zertifikatkette.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile is the name of the certificate to verify.
• ApplicationPolicyList is the optional comma-separated list of required Application Policy ObjectIds.
• IssuancePolicyList is the optional comma-separated list of required Issuance Policy ObjectIds.
• CACertFile is the optional issuing CA certificate to verify against.
• CrossedCACertFile is the optional certificate cross-certified by CertFile.
• CRLFile is the CRL file used to verify the CACertFile.
• IssuedCertFile is the optional issued certificate covered by the CRLfile.
• DeltaCRLFile is the optional delta CRL file.
• Modifiers:
  • Stark – Überprüfung der starken Signatur
  • MSRoot – Muss mit einem Microsoft-Stamm verkettet werden
  • MSTestRoot – Muss mit einem Microsoft-Teststamm verkettet werden
  • AppRoot – Muss mit einem Microsoft-Anwendungsstamm verkettet werden
  • EV – Erweiterte Gültigkeitsprüfungsrichtlinie erzwingen

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• Using ApplicationPolicyList restricts chain building to only chains valid for the specified Application Policies.
• Using IssuancePolicyList restricts chain building to only chains valid for the specified Issuance Policies.
• Using CACertFile verifies the fields in the file against CertFile or CRLfile.
• If CACertFile isn't specified, the full chain is built and verified against CertFile.
• If CACertFile and CrossedCACertFile are both specified, the fields in both files are verified against CertFile.
• Using IssuedCertFile verifies the fields in the file against CRLfile.
• Using DeltaCRLFile verifies the fields in the file against CertFile.

-verifyCTL

Überprüft die CTL-Zertifikate "AuthRoot" oder "Unzulässige Zertifikate".

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identifies the CTL to verify, including:

  • AuthRootWU reads the AuthRoot CAB and matching certificates from the URL cache. Verwenden Sie -f stattdessen den Download von Windows Update.
  • DisallowedWU reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. Verwenden Sie -f stattdessen den Download von Windows Update.
    • PinRulesWU reads the PinRules CAB from the URL cache. Verwenden Sie -f stattdessen den Download von Windows Update.
  • AuthRoot reads the registry-cached AuthRoot CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
  • Disallowed reads the registry-cached Disallowed Certificates CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
    • PinRules reads the registry cached PinRules CTL. Using -f has the same behavior as with PinRulesWU.
  • CTLFileName specifies the file or http path to the CTL or CAB file.

• CertDir specifies the folder containing certificates matching the CTL entries. Defaults to the same folder or website as the CTLobject. Für die Verwendung eines HTTP-Ordnerpfads ist am Ende ein Pfadtrennzeichen erforderlich. If you don't specify AuthRoot or Disallowed, multiple locations are searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. Wird -f verwendet, um nach Bedarf von Windows Update herunterzuladen.

• CertFile specifies the certificate(s) to verify. Zertifikate werden mit CTL-Einträgen abgeglichen, wobei die Ergebnisse angezeigt werden. Mit dieser Option wird der Großteil der Standardausgabe unterdrückt.

Options:

[-f] [-user] [-split]

-syncWithWU

Synchronisiert Zertifikate mit Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir is the specified directory.
• f forces an overwrite.
• Unicode writes redirected output in Unicode.
• gmt displays times as GMT.
• seconds displays times with seconds and milliseconds.
• v is a verbose operation.
• PIN is the Smart Card PIN.
• WELL_KNOWN_SID_TYPE is a numeric SID:
  • 22 – Lokales System
  • 23 - Lokaler Dienst
  • 24 – Netzwerkdienst

Remarks

Die folgenden Dateien werden mithilfe des Mechanismus für automatische Updates heruntergeladen:

• authrootstl.cab contains the CTLs of non-Microsoft root certificates.
• disallowedcertstl.cab contains the CTLs of untrusted certificates.
• disallowedcert.sst contains the serialized certificate store, including the untrusted certificates.
• thumbprint.crt contains the non-Microsoft root certificates.

Beispiel: certutil -syncWithWU \\server1\PKI\CTLs.

• Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner verwenden, wird der Fehler angezeigt: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Wenn Sie einen nicht vorhandenen oder nicht verfügbaren Netzwerkspeicherort als Zielordner verwenden, wird der Fehler angezeigt: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Wenn Ihr Server keine Verbindung über TCP-Port 80 mit Microsoft Automatic Update-Servern herstellen kann, wird die folgende Fehlermeldung angezeigt: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Wenn Ihr Server die Microsoft Automatic Update-Server mit dem DNS-Namen ctldl.windowsupdate.comnicht erreichen kann, wird die folgende Fehlermeldung angezeigt: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Wenn Sie den -f Schalter nicht verwenden und eine der CTL-Dateien im Verzeichnis bereits vorhanden ist, wird eine Datei angezeigt: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Wenn sich die vertrauenswürdigen Stammzertifikate ändern, wird Folgendes angezeigt: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generiert eine Speicherdatei, die mit Windows Update synchronisiert wird.

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile is the .sst file to be generated that contains the Third Party Roots downloaded from Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Generiert eine Zertifikatvertrauenslistendatei (Certificate Trust List, CTL), die eine Liste der Anheftungsregeln enthält.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile is the input XML file to be parsed.
• CTLFile is the output CTL file to be generated.
• SSTFile is the optional .sst file to be created that contains all of the certificates used for pinning.
• QueryFilesPrefix are optional Domains.csv and Keys.csv files to be created for database query.
  • The QueryFilesPrefix string is prepended to each created file.
  • The Domains.csv file contains rule name, domain rows.
  • The Keys.csv file contains rule name, key SHA256 thumbprint rows.

Options:

[-f]

-downloadOcsp

Lädt die OCSP-Antworten herunter und schreibt in das Verzeichnis.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir is the directory of a certificate, store and PFX files.
• OcspDir is the directory to write OCSP responses.
• ThreadCount is the optional maximum number of threads for concurrent downloading. Default is 10.
• Modifiers are comma separated list of one or more of the following:
  • DownloadOnce - Downloads once and exits.
  • ReadOcsp - Reads from OcspDir instead of writing.

-generateHpkpHeader

Generiert den HPKP-Header mithilfe von Zertifikaten in einer angegebenen Datei oder einem angegebenen Verzeichnis.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir is the file or directory of certificates, which is the source of pin-sha256.
• MaxAge is the max-age value in seconds.
• ReportUri is the optional report-uri.
• Modifiers are comma separated list of one or more of the following:
  • includeSubDomains - Appends the includeSubDomains.

-flushCache

Löscht die angegebenen Caches im ausgewählten Prozess, z. B. lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId is the numeric ID of a process to flush. Set to 0 to flush all processes where flush is enabled.

• CacheMask is the bit mask of caches to be flushed either numeric or the following bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers are comma separated list of one or more of the following:

  • Show - Shows the caches being flushed. Certutil muss explizit beendet werden.

-addEccCurve

Fügt eine ECC-Kurve hinzu.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass is the ECC Curve Class type:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is the ECC Curve name.

• CurveParameters are one of the following:

  • Ein Zertifikatdateiname, der ASN-codierte Parameter enthält.
  • Eine Datei mit ASN-codierten Parametern.

• CurveOID is the ECC Curve OID and is one of the following:

  • Ein Zertifikatdateiname, der ein ASN-codiertes OID enthält.
  • Eine explizite ECC-Kurven-OID.

• CurveType is the Schannel ECC NamedCurve point (numeric).

Options:

[-f]

-deleteEccCurve

Löscht die ECC-Kurve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-displayEccCurve

Zeigt die ECC-Kurve an.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-csplist

Listet die auf diesem Computer installierten Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) für kryptografische Vorgänge auf.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Testet die auf diesem Computer installierten CSPs.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zeigt die CNG-Kryptografiekonfiguration auf diesem Computer an.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Signiert eine Zertifikatsperrliste (Certificate Revocation List, CRL) oder ein Zertifikat erneut.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList is the comma-separated list of certificate or CRL files to modify and re-sign.

• SerialNumber is the serial number of the certificate to create. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

• CRL creates an empty CRL. Der Gültigkeitszeitraum und andere Optionen können nicht vorhanden sein.

• OutFileList is the comma-separated list of modified certificate or CRL output files. Die Anzahl der Dateien muss mit der Infilelist übereinstimmen.

• StartDate+dd:hh is the new validity period for the certificate or CRL files, including:

  • optionales Datum plus
  • optionaler Gültigkeitszeitraum für Tage und Stunden Wenn mehrere Felder verwendet werden, verwenden Sie ein (+) oder (-) Trennzeichen. Wird verwendet now[+dd:hh] , um zur aktuellen Zeit zu beginnen. Wird verwendet now-dd:hh+dd:hh , um mit einem festen Offset von der aktuellen Uhrzeit und einem festen Gültigkeitszeitraum zu beginnen. Wird verwendet never , um kein Ablaufdatum (nur für CRLs) zu verwenden.

• SerialNumberList is the comma-separated serial number list of the files to add or remove.

• ObjectIdList is the comma-separated extension ObjectId list of the files to remove.

• @ExtensionFile is the INF file that contains the extensions to update or remove. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is the name of the hash algorithm. Dies darf nur der Text sein, dem das # Zeichen vorangestellt ist.

• AlternateSignatureAlgorithm is the alternate signature algorithm specifier.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• Durch Die Verwendung des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.
• Durch Verwenden des Pluszeichens (+) werden seriennummern zu einer CRL hinzugefügt.
• You can use a list to remove both serial numbers and ObjectIds from a CRL at the same time.
• Using the minus sign before AlternateSignatureAlgorithm allows you to use the legacy signature format.
• Mit dem Pluszeichen können Sie das alternative Signaturformat verwenden.
• If you don't specify AlternateSignatureAlgorithm, the signature format in the certificate or CRL is used.

-vroot

Erstellt oder löscht virtuelle Webstamm- und Dateifreigaben.

certutil [options] -vroot [delete]

-vocsproot

Erstellt oder löscht virtuelle Webwurzeln für einen OCSP-Webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Fügt bei Bedarf für die angegebene Zertifizierungsstelle eine Registrierungsserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

• Modifiers:

  • AllowRenewalsOnly allows only renewal request submissions to the Certificate Authority through the URL.
  • AllowKeyBasedRenewal allows use of a certificate with no associated account in Active Directory. This applies when used with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Löscht bei Bedarf eine Registrierungsserveranwendung und einen Anwendungspool für die angegebene Zertifizierungsstelle. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

Options:

[-config Machine\CAName]

-addPolicyServer

Fügen Sie bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool hinzu. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of policies returned to the client containing keybasedrenewal templates. This option applies only for UserName and ClientCertificate authentication.

-deletePolicyServer

Löscht bei Bedarf eine Richtlinienserveranwendung und einen Anwendungspool. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of a KeyBasedRenewal policy server.

-Class

Zeigt COM-Registrierungsinformationen an.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Überprüft das Zertifikat auf 0x7f Längencodierungen.

certutil [options] -7f CertFile

-oid

Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId is the ID to be displayed or to add to the display name.
• GroupId is the GroupID number (decimal) that ObjectIds enumerate.
• AlgId is the hexadecimal ID that objectID looks up.
• AlgorithmName is the algorithm name that objectID looks up.
• DisplayName displays the name to store in DS.
• Delete deletes the display name.
• LanguageId is the language ID value (defaults to current: 1033).
• Type is the type of DS object to create, including:
  • 1 - Vorlage (Standard)
  • 2 - Ausstellungsrichtlinie
  • 3 - Anwendungsrichtlinie
• -f erstellt ein DS-Objekt.

Options:

[-f]

-error

Zeigt den Meldungstext an, der einem Fehlercode zugeordnet ist.

certutil [options] -error ErrorCode

-getsmtpinfo

Ruft Smtp-Informationen (Simple Mail Transfer Protocol) ab.

certutil [options] -getsmtpinfo

-setsmtpinfo

Legt SMTP-Informationen fest.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Zeigt einen Registrierungswert an.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• value uses the new numeric, string, or date registry value or filename. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.
• Registry aliases:
  • Config
  • CA
  • Richtlinie – PolicyModules
  • Beenden - ExitModules
  • Wiederherstellen - RestoreInProgress
  • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Dienste\crypt32
  • NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Legt einen Registrierungswert fest.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string, or date registry value or filename. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.

-delreg

Löscht einen Registrierungswert.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string or date registry value or filename. Wenn ein numerischer Wert mit + oder -beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Wenn ein Zeichenfolgenwert mit + oder oder -beginnt und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder daraus entfernt. Um die Erstellung eines REG_MULTI_SZ Werts zu erzwingen, fügen Sie \n am Ende des Zeichenfolgenwerts hinzu.
• Wenn der Wert beginnt, \@ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines Binärwerts enthält.
• Wenn sie sich nicht auf eine gültige Datei bezieht, wird sie stattdessen analysiert, da [Date][+|-][dd:hh] es sich um ein optionales Datum plus oder minus optionale Tage und Stunden handelt.
• Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-). Wird für ein Datum relativ zur aktuellen Uhrzeit verwendet now+dd:hh .
• Dient i64 zum Erstellen eines REG_QWORD Werts als Suffix.
• Wird verwendet chain\chaincacheresyncfiletime @now , um zwischengespeicherte CRLs effektiv zu leeren.
• Registry aliases:
  • Config
  • CA
  • Richtlinie – PolicyModules
  • Beenden - ExitModules
  • Wiederherstellen - RestoreInProgress
  • Vorlage – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrieren – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Kette – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Dienste\crypt32
  • NGC - System\CurrentControlSet\Steuerung\Kryptographie\NGC
  • AutoUpdate – Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importiert Benutzerschlüssel und Zertifikate für die Schlüsselarchivierung in die Serverdatenbank.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile is a data file with user private keys and certificates that are to be archived. Diese Datei kann wie folgt sein:
  • Eine KMS-Exportdatei (Exchange Key Management Server).
  • Eine PFX-Datei.
• CertId is a KMS export file decryption certificate match token. Weitere Informationen finden Sie im -store Parameter in diesem Artikel.
• -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importiert eine Zertifikatdatei in die Datenbank.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow imports the certificate in place of a pending request for the same key.
• -f importiert zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Options:

[-f] [-config Machine\CAName]

Remarks

Die Zertifizierungsstelle muss möglicherweise auch so konfiguriert werden, dass fremdzertifikate durch Ausführen unterstützt certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNwerden.

-GetKey

Ruft ein archiviertes Private Key-Wiederherstellungs-BLOB ab, generiert ein Wiederherstellungsskript oder stellt archivierte Schlüssel wieder her.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file isn't specified).
• retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die .rec Erweiterung für jedes Schlüsselwiederherstellungs-BLOB angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
• recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die .p12 Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und die zugehörigen privaten Schlüssel, die als PFX-Datei gespeichert sind.
• SearchToken selects the keys and certificates to be recovered, including:
  • Allgemeiner Zertifikatname
  • Seriennummer des Zertifikats
  • Sha-1-Hash des Zertifikats (Fingerabdruck)
  • Sha-1-Hash der Zertifikatschlüssel-ID (Antragstellerschlüsselbezeichner)
  • Antragstellername (Domäne\Benutzer)
  • UPN (user@domain)
• RecoveryBlobOutFile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.
• OutputScriptFile outputs a file with a batch script to retrieve and recover private keys.
• OutputFileBaseName outputs a file base name.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• For retrieve, any extension is truncated and a certificate-specific string and the .rec extensions are appended for each key recovery blob. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt ist.
• For recover, any extension is truncated and the .p12 extension is appended. Enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.

-RecoverKey

Stellt einen archivierten privaten Schlüssel wieder her.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Führt PFX-Dateien zusammen.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList is a comma-separated list of PFX input files.
• PFXOutFile is the name of the PFX output file.
• Modifiers are comma separated lists of one or more of the following:
  • ExtendedProperties includes any extended properties.
  • NoEncryptCert specifies to not encrypt the certificates.
  • EncryptCert specifies to encrypt the certificates.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kennwortliste sein.
• Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort lautet *, wird der Benutzer zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.

-add-chain

Fügt eine Zertifikatkette hinzu.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Fügt eine Vorzertifikatkette hinzu.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Ruft einen signierten Baumkopf ab.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Ruft signierte Strukturkopfänderungen ab.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Ruft den Nachweis eines Hashs von einem Zeitstempelserver ab.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Ruft Einträge aus einem Ereignisprotokoll ab.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Ruft die Stammzertifikate aus dem Zertifikatspeicher ab.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Ruft einen Ereignisprotokolleintrag und seinen kryptografischen Nachweis ab.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Überprüft ein Zertifikat anhand des Zertifikattransparenzprotokolls.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Zeigt die Liste der Parameter an.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? zeigt die Liste der Parameter an.
• -<name_of_parameter> -? zeigt Hilfeinhalte für den angegebenen Parameter an.
• -? -v zeigt eine ausführliche Liste von Parametern und Optionen an.

Options

In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen dazu, welche Optionen für die Verwendung gültig sind.

Option	Description
-admin	Verwenden Sie ICertAdmin2 für Ca-Eigenschaften.
-anonymous	Anonyme SSL-Anmeldeinformationen verwenden.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Verwenden Sie SSL-Anmeldeinformationen für X.509-Zertifikate. Verwenden Sie -clientcertificatefür die Auswahl-UI .
-config Machine\CAName	Zeichenfolge für Zertifizierungsstelle und Computername.
-csp provider	Provider: KSP - Microsoft Software Key Storage Provider TPM - Microsoft Platform Crypto Provider NGC - Microsoft Passport Key Storage Provider SC - Microsoft Smart Card Key Storage Provider
-dc DCName	Ziel eines bestimmten Domänencontrollers.
-enterprise	Verwenden Sie den Registrierungsspeicher des lokalen Computers für unternehmensweite Registrierungszertifikate.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Generieren Sie SST mithilfe des Mechanismus für automatische Updates.
-gmt	Anzeigezeiten mithilfe von GMT.
-GroupPolicy	Verwenden Sie den Gruppenrichtlinienzertifikatspeicher.
-idispatch	Verwenden Sie IDispatch anstelle von systemeigenen COM-Methoden.
-kerberos	Verwenden Sie Kerberos-SSL-Anmeldeinformationen.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-mt	Anzeigen von Computervorlagen.
-nocr	Codieren Sie Text ohne CR-Zeichen.
-nocrlf	Codieren sie Text ohne CR-LF Zeichen.
-nullsign	Verwenden Sie den Hash der Daten als Signatur.
-oldpfx	Verwenden Sie die alte PFX-Verschlüsselung.
-out columnlist	Durch Trennzeichen getrennte Spaltenliste.
-p password	Password
-pin PIN	Smartcard-PIN.
-policyserver URLorID	Richtlinienserver-URL oder -ID. Verwenden Sie -policyserverfür die Auswahl U/I . Verwenden Sie für alle Richtlinienserver -policyserver *
-privatekey	Anzeigen von Kennwort- und privaten Schlüsseldaten.
-protect	Schützen Von Schlüsseln mit Kennwort.
-protectto SAMnameandSIDlist	Durch Trennzeichen getrennte SAM-Name/SID-Liste.
-restrict restrictionlist	Durch Trennzeichen getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer konstanten ganzen Zahl, Zeichenfolge oder einem Datum. Einem Spaltennamen kann ein Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Zum Beispiel: requestID = 47, +requestername >= a, requestername, oder -requestername > DOMAIN, Disposition = 21.
-reverse	Umgekehrte Protokoll- und Warteschlangenspalten.
-seconds	Anzeigezeiten mit Sekunden und Millisekunden.
-service	Verwenden Sie den Dienstzertifikatspeicher.
-sid	Numeric SID: 22 - Local System 23 - Local Service 24 - Network Service
-silent	Verwenden Sie das silent Flag, um den Kryptakontext zu erhalten.
-split	Teilen Sie eingebettete ASN.1-Elemente, und speichern Sie sie in Dateien.
-sslpolicy servername	SSL-Richtlinie, die mit ServerName übereinstimmt.
-symkeyalg symmetrickeyalgorithm[,keylength]	Name des Symmetrischen Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES.
-syncWithWU DestinationDir	Synchronisieren mit Windows Update.
-t timeout	URL fetch timeout in Millisekunden.
-Unicode	Umgeleitete Ausgabe in Unicode schreiben.
-UnicodeText	Schreiben sie die Ausgabedatei in Unicode.
-urlfetch	Abrufen und Überprüfen von AIA-Zertifikaten und CDP-CRLs.
-user	Verwenden Sie die HKEY_CURRENT_USER Schlüssel oder den Zertifikatspeicher.
-username username	Verwenden Sie benanntes Konto für SSL-Anmeldeinformationen. Verwenden Sie -usernamefür die Auswahl-UI .
-ut	Benutzervorlagen anzeigen.
-v	Geben Sie ausführlichere (ausführlichere) Informationen an.
-v1	Verwenden Sie V1-Schnittstellen.

Hashalgorithmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Related links

Weitere Beispiele für die Verwendung dieses Befehls finden Sie in den folgenden Artikeln:

• Active Directory-Zertifikatdienste (AD CS)
• Certutil-Aufgaben zum Verwalten von Zertifikaten
• Konfigurieren von vertrauenswürdigen Wurzeln und unzulässigen Zertifikaten in Windows