certutil

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Precaución

Certutil no se recomienda usar en ningún código de producción y no proporciona ninguna garantía de compatibilidad con sitios activos ni compatibilidad de aplicaciones. Es una herramienta utilizada por desarrolladores y administradores de TI para ver la información de contenido del certificado en los dispositivos.

Certutil.exe es un programa de línea de comandos que se instala como parte de los servicios de certificados. Puede usar certutil.exe para mostrar la información de configuración de la entidad de certificación (CA), configurar los servicios de certificados, realizar copias de seguridad y restaurar los componentes de la CA. El programa también comprueba los certificados, los pares de claves y las cadenas de certificados.

Si certutil se ejecuta en una entidad de certificación sin otros parámetros, muestra la configuración actual de la entidad de certificación. Si certutil se ejecuta en una entidad que no es de certificación sin otros parámetros, el comando ejecuta el comando certutil -dump de forma predeterminada. No todas las versiones de certutil proporcionan todos los parámetros y opciones que se describen este documento. Puede ver las opciones que proporciona una versión específica de certutil mediante la ejecución de certutil -? o certutil <parameter> -?.

Sugerencia

Para ver la ayuda completa de todos los verbos y opciones de certutil, incluidos los que están ocultos del argumento -?, ejecute certutil -v -uSAGE. El modificador uSAGE distingue mayúsculas de minúsculas.

Parámetros

-dump

Vuelca la información o los archivos de configuración.

certutil [options] [-dump]
certutil [options] [-dump] File

Opciones:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vuelca la estructura PFX.

certutil [options] [-dumpPFX] File

Opciones:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analiza y muestra el contenido de un archivo mediante notación de sintaxis abstracta (ASN.1). Los tipos de archivo incluyen archivos con formato .CER, .DER y PKCS #7.

certutil [options] -asn File [type]

• [type]: tipo de descodificación de CRYPT_STRING_* numérico

-decodehex

Descodifica un archivo con codificación hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

• [type]: tipo de descodificación de CRYPT_STRING_* numérico

Opciones:

[-f]

-encodehex

Codifica un archivo en codificación hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: tipo de codificación numérica CRYPT_STRING_*

Opciones:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Descodifica un archivo codificado en Base64.

certutil [options] -decode InFile OutFile

Opciones:

[-f]

-encode

Codifica un archivo en Base64.

certutil [options] -encode InFile OutFile

Opciones:

[-f] [-unicodetext]

-deny

Deniega una solicitud pendiente.

certutil [options] -deny RequestId

Opciones:

[-config Machine\CAName]

-resubmit

Vuelve a enviar una solicitud pendiente.

certutil [options] -resubmit RequestId

Opciones:

[-config Machine\CAName]

-setattributes

Establece atributos para una solicitud de certificado pendiente.

certutil [options] -setattributes RequestId AttributeString

Donde:

• RequestID es el identificador numérico de solicitud para la solicitud pendiente.
• AttributeString son los pares de nombre y valor del atributo de solicitud.

Opciones:

[-config Machine\CAName]

Comentarios

• Los nombres y los valores deben estar separados por dos puntos, mientras que varios pares de nombre y valor deben estar separados por una nueva línea. Por ejemplo: CertificateTemplate:User\nEMail:User@Domain.com donde la secuencia \n se convierte en un separador de nueva línea.

-setextension

Establece una extensión para una solicitud de certificado pendiente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Donde:

• requestID es el identificador numérico de solicitud para la solicitud pendiente.
• ExtensionName es la cadena ObjectId de la extensión.
• Flags establece la prioridad de la extensión. Se recomienda 0, mientras que 1 establece la extensión en crítica, 2 deshabilita la extensión y 3 hace ambas cosas.

Opciones:

[-config Machine\CAName]

Comentarios

• Si el último parámetro es numérico, se toma como long.
• Si el último parámetro se puede analizar como una fecha, se toma como un valor Date.
• Si el último parámetro comienza por \@, el resto del token se toma como nombre de archivo con datos binarios o un volcado hexadecimal de texto ASCII.
• Si el último parámetro es cualquier otra cosa, se toma como una cadena.

-revoke

Revoca un certificado.

certutil [options] -revoke SerialNumber [Reason]

Donde:

• SerialNumber es una lista separada por comas de números de serie de certificados que se van a revocar.
• Reason es la representación numérica o simbólica del motivo de revocación, por ejemplo:
  • 0. CRL_REASON_UNSPECIFIED: sin especificar (valor predeterminado)
  • 1. CRL_REASON_KEY_COMPROMISE: riesgo clave
  • 2. CRL_REASON_CA_COMPROMISE: riesgo de la entidad de certificación
  • 3. CRL_REASON_AFFILIATION_CHANGED: cambio de afiliación
  • 4. CRL_REASON_SUPERSEDED: reemplazado
  • 5. CRL_REASON_CESSATION_OF_OPERATION: cese de funcionamiento
  • 6. CRL_REASON_CERTIFICATE_HOLD: suspensión del certificado
  • 8. CRL_REASON_REMOVE_FROM_CRL: supresión de CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN: privilegios retirados
  • 10: CRL_REASON_AA_COMPROMISE: riesgo de AA
  • -1. Anula la revocación - Unrevokes

Opciones:

[-config Machine\CAName]

-isvalid

Muestra la disposición del certificado actual.

certutil [options] -isvalid SerialNumber | CertHash

Opciones:

[-config Machine\CAName]

-getconfig

Obtiene la cadena de configuración predeterminada.

certutil [options] -getconfig

Opciones:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtiene la cadena de configuración predeterminada mediante ICertGetConfig.

certutil [options] -getconfig2

Opciones:

[-idispatch] 

-getconfig3

Obtiene la configuración mediante ICertConfig.

certutil [options] -getconfig3

Opciones:

[-idispatch] 

-ping

Intenta ponerse en contacto con la interfaz de solicitud de Servicios de certificados de Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Donde:

• CAMachineList es una lista separada por comas de nombres de máquina de la entidad de certificación. Para una sola máquina, use una coma de terminación. Esta opción también muestra el costo del sitio para cada máquina de la entidad de certificación (CA).

Opciones:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Intenta ponerse en contacto con la interfaz de administración de Servicios de certificados de Active Directory.

certutil [options] -pingadmin

Opciones:

[-config Machine\CAName]

-CAInfo

Muestra la información sobre la entidad de certificación.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Donde:

• InfoName indica la propiedad de la entidad de certificación que se va a mostrar, en función de la siguiente sintaxis del argumento infoname:
  • *: muestra todas las propiedades
  • ads: servidor avanzado
  • aia [Índice]: direcciones URL de AIA
  • cdp [Índice]: direcciones URL de CDP
  • cert [Índice]: certificado de entidad de certificación
  • cadena de certificados [Índice]: cadena de certificados de entidad de certificación
  • certcount: recuento de certificados de entidad de certificación
  • certcrlchain [Índice]: cadena de certificados de entidad de certificación con CRL
  • certstate [Índice]: certificado de entidad de certificación
  • certstatuscode [Índice]: estado de comprobación del certificado de entidad de certificación
  • certversion [Índice]: versión del certificado de entidad de certificación
  • CRL [Índice]: CRL base
  • crlstate [Índice]: CRL
  • crlstatus [Índice]: estado de publicación de CRL
  • cross- [Índice]: certificado cruzado regresivo
  • cross+ [Índice]: certificado cruzado directo
  • crossstate- [Índice]: certificado cruzado regresivo
  • crossstate+ [Índice]: certificado cruzado directo
  • deltacrl [Índice]: CRL Delta
  • deltacrlstatus [Índice]: estado de publicación de CRL Delta
  • dns: nombre del servicio de nombres de dominio
  • dsname: nombre corto de la entidad de certificación saneada (nombre de DS)
  • error1 ErrorCode: texto del mensaje de error
  • error2 ErrorCode: texto del mensaje de error y código de error
  • exit [Índice]: descripción del módulo de salida
  • exitcount: recuento de módulos de salida
  • file: versión del archivo
  • info: información de la entidad de certificación
  • kra [Índice]: certificado KRA
  • kracount: recuento de certificados de KRA
  • krastate [Índice]: certificado KRA
  • kraused: recuento usado del certificado KRA
  • localename: nombre de configuración regional de la entidad de certificación
  • name: nombre de entidad de certificación
  • ocsp [Índice]: URL de OCSP
  • primario: entidad de certificación primaria
  • policy: descripción del módulo de directivas
  • product: versión del producto
  • propidmax: valor máximo de PropId de la entidad de certificación
  • role: separación de roles
  • sanitizedname: nombre de entidad de certificación saneada
  • sharedfolder: carpeta compartida
  • subjecttemplateoids: OID de plantilla del firmante
  • templates: plantillas
  • type: tipo de entidad de certificación
  • xchg [Índice]: certificado de intercambio de CA
  • xchgchain [Índice]: cadena de certificados de intercambio de CA
  • xchgcount: recuento de certificados de intercambio de entidad de certificación
  • xchgcrlchain [Índice]: cadena de certificados de intercambio de CA con CRL
• index es el índice de propiedad de base cero opcional.
• errorcode es el código de error numérico.

Opciones:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Muestra información sobre el tipo de propiedad de CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opciones:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera el certificado de la entidad de certificación.

certutil [options] -ca.cert OutCACertFile [Index]

Donde:

• OutCACertFile es el archivo de salida.
• Index es el índice de renovación de certificados de entidad de certificación (el valor predeterminado es el más reciente).

Opciones:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la cadena de certificados para la entidad de certificación.

certutil [options] -ca.chain OutCACertChainFile [Index]

Donde:

• OutCACertChainFile es el archivo de salida.
• Index es el índice de renovación de certificados de entidad de certificación (el valor predeterminado es el más reciente).

Opciones:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtiene una lista de revocación de certificados (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Donde:

• Index es el índice de CRL o de clave (el valor predeterminado es CRL para la clave más reciente).
• delta es el CRL delta (el valor predeterminado es CRL base).

Opciones:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica nuevas listas de revocación de certificados (CRL) o CRL delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Donde:

• dd:hh es el nuevo período de validez de la CRL en días y horas.
• republish vuelve a publicar las CRL más recientes.
• delta publica solo las CRL delta (el valor predeterminado es CRL base y delta).

Opciones:

[-split] [-config Machine\CAName]

-shutdown

Apaga los Servicios de certificados de Active Directory.

certutil [options] -shutdown

Opciones:

[-config Machine\CAName]

-installCert

Instala un certificado de entidad de certificación.

certutil [options] -installCert [CACertFile]

Opciones:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renueva un certificado de entidad de certificación.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opciones:

[-f] [-silent] [-config Machine\CAName]

• Use -f para omitir una solicitud de renovación pendiente y para generar una nueva solicitud.

-schema

Vuelca el esquema del certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Donde:

• El comando tiene como valor predeterminado la tabla de certificados y solicitudes.
• Ext es la tabla de extensiones.
• Attribute es la tabla de atributos.
• CRL es la tabla de CRL.

Opciones:

[-split] [-config Machine\CAName]

-view

Vuelca la vista de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Donde:

• Queue vuelca una cola de solicitudes específica.
• Log vuelca los certificados emitidos o revocados, además de las solicitudes con errores.
• LogFail vuelca las solicitudes con errores.
• Revoked vuelca los certificados revocados.
• Ext vuelca la tabla de extensiones.
• Attrib vuelca la tabla de atributos.
• CRL vuelca la tabla de CRL.
• csv proporciona la salida mediante valores separados por comas.

Opciones:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Comentarios

• Para mostrar la columna StatusCode para todas las entradas, escriba -out StatusCode.
• Para mostrar todas las columnas de la última entrada, escriba -restrict RequestId==$.
• Para mostrar RequestId y Disposition para tres solicitudes, escriba: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Para mostrar los identificadores de fila y los números de CRL de todas las CRL base, escriba -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Para mostrar el número 3 de la CRL base, escriba: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Para mostrar toda la tabla CRL, escriba CRL.
• Use Date[+|-dd:hh] para restricciones de fecha.
• Use now+dd:hh para una fecha relativa a la hora actual.
• Las plantillas contienen usos de clave extendida (EKU), que son identificadores de objeto (OID) que describen cómo se usa el certificado. Los certificados no siempre incluyen nombres comunes de plantilla o nombres para mostrar, pero siempre contienen los EKU de plantilla. Puede extraer los EKU de una plantilla de certificado específica de Active Directory y, después, restringir las vistas en función de esa extensión.

-db

Vuelca la base de datos sin procesar.

certutil [options] -db

Opciones:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una fila de la base de datos del servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Donde:

• Request elimina las solicitudes con errores y pendientes, en función de la fecha de envío.
• Cert elimina los certificados expirados y revocados, en función de la fecha de expiración.
• Ext elimina la tabla de extensiones.
• Attrib elimina la tabla de atributos.
• CRL elimina la tabla de CRL.

Opciones:

[-f] [-config Machine\CAName]

Ejemplos

• Para eliminar solicitudes con errores y pendientes enviadas el 22 de enero de 2001, escriba 1/22/2001 request.
• Para eliminar todos los certificados que expiraron el 22 de enero de 2001, escriba 1/22/2001 cert.
• Para eliminar la fila de certificado, los atributos y las extensiones de RequestID 37, escriba 37.
• Para eliminar las CRL que expiraron el 22 de enero de 2001, escriba 1/22/2001 crl.

Nota:

Date espera el formato mm/dd/yyyy en lugar de dd/mm/yyyy, por ejemplo 1/22/2001, en lugar de 22/1/2001 para el 22 de enero de 2001. Si el servidor no está configurado con la configuración regional de EE. UU., el uso del argumento Date podría generar resultados inesperados.

-backup

Realiza una copia de seguridad de Servicios de certificados de Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Donde:

• BackupDirectory es el directorio para almacenar los datos de copia de seguridad.
• Incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).
• KeepLog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

Opciones:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Realiza una copia de seguridad de la base de datos de Servicios de certificados de Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Donde:

• BackupDirectory es el directorio para almacenar los archivos de base de datos de copia de seguridad.
• Incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).
• KeepLog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

Opciones:

[-f] [-config Machine\CAName]

-backupkey

Realiza una copia de seguridad del certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -backupkey BackupDirectory

Donde:

• BackupDirectory es el directorio para almacenar el archivo PFX de copia de seguridad.

Opciones:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaura los Servicios de certificados de Active Directory.

certutil [options] -restore BackupDirectory

Donde:

• BackupDirectory es el directorio que contiene los datos que se van a restaurar.

Opciones:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura la base de datos de Servicios de certificados de Active Directory.

certutil [options] -restoredb BackupDirectory

Donde:

• BackupDirectory es el directorio que contiene los archivos de base de datos que se van a restaurar.

Opciones:

[-f] [-config Machine\CAName]

-restorekey

Restaura el certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -restorekey BackupDirectory | PFXFile

Donde:

• BackupDirectory es el directorio que contiene el archivo PFX que se va a restaurar.
• PFXFile es el archivo PFX que se va a restaurar.

Opciones:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta los certificados y las claves privadas. Para más información, vea el parámetro -store en este artículo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Donde:

• CertificateStoreName es el nombre del almacén de certificados.
• CertId es el certificado o token de coincidencia de CRL.
• PFXFile es el archivo PFX que se va a exportar.
• Modifiers son la lista separada por comas, que puede incluir uno o varios de los siguientes elementos:
  • CryptoAlgorithm= especifica el algoritmo criptográfico que se va a usar para cifrar el archivo PFX, como TripleDES-Sha1 o Aes256-Sha256.
  • EncryptCert: cifra la clave privada asociada al certificado con una contraseña.
  • ExportParameters: exporta los parámetros de clave privada además del certificado y la clave privada.
  • ExtendedProperties: incluye todas las propiedades extendidas asociadas al certificado en el archivo de salida.
  • NoEncryptCert: exporta la clave privada sin cifrarla.
  • NoChain: no importa la cadena de certificados.
  • NoRoot: no importa el certificado raíz.

-importPFX

Importa los certificados y las claves privadas. Para más información, vea el parámetro -store en este artículo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Donde:

• CertificateStoreName es el nombre del almacén de certificados.
• PFXFile es el archivo PFX que se va a importar.
• Modifiers son la lista separada por comas, que puede incluir uno o varios de los siguientes elementos:
  • AT_KEYEXCHANGE:: cambia la especificación de claves a intercambio de claves.
  • AT_SIGNATURE: cambia la especificación de claves a firma.
  • ExportEncrypted: exporta la clave privada asociada al certificado con cifrado de contraseña.
  • FriendlyName=: especifica un nombre descriptivo para el certificado importado.
  • KeyDescription=: especifica una descripción para la clave privada asociada al certificado importado.
  • KeyFriendlyName=: especifica un nombre descriptivo para la clave privada asociada al certificado importado.
  • NoCert: no importa el certificado.
  • NoChain: no importa la cadena de certificados.
  • NoExport: hace que la clave privada no se pueda exportar.
  • NoProtect: no protege las claves mediante una contraseña.
  • NoRoot: no importa el certificado raíz.
  • Pkcs8: usa el formato PKCS8 para la clave privada en el archivo PFX.
  • Protect: protege las claves mediante una contraseña.
  • ProtectHigh: especifica que una contraseña de alta seguridad debe estar asociada a la clave privada.
  • VSM: almacena la clave privada asociada al certificado importado en el contenedor de tarjeta inteligente virtual (VSC).

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Comentarios

• El valor predeterminado es el almacén de máquinas personales.

-dynamicfilelist

Muestra una lista de archivos dinámicos.

certutil [options] -dynamicfilelist

Opciones:

[-config Machine\CAName]

-databaselocations

Muestra las ubicaciones de la base de datos.

certutil [options] -databaselocations

Opciones:

[-config Machine\CAName]

-hashfile

Genera y muestra un hash criptográfico a través de un archivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Vuelca el almacén de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Donde:

• CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId es el certificado o token de coincidencia de CRL. Este identificador puede ser un:

  • Número de serie
  • Certificado SHA-1
  • CRL, CTL o hash de clave pública
  • Índice de certificado numérico (0, 1, etc.)
  • Índice de CRL numérico (,0, ,1, etc.)
  • Índice de CTL numérico (,,0, ,,1, etc.)
  • Clave pública
  • ObjectId de firma o extensión
  • Nombre común del firmante del certificado
  • Dirección de correo electrónico
  • Nombre UPN o DNS
  • Nombre del contenedor de claves o nombre de CSP
  • Nombre de plantilla u ObjectId
  • ObjectId de EKU o directivas de aplicación
  • Nombre común del emisor de la CRL.

Es posible que muchos de estos identificadores puedan dar lugar a varias coincidencias.

• OutputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
• La opción -enterprise accede a un almacén empresarial de máquinas.
• La opción -service accede a un almacén de servicio de máquina.
• La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Nota:

Los problemas de rendimiento se observan al usar el parámetro -store dados estos dos aspectos:

1. Cuando el número de certificados del almacén supera los 10.
2. Cuando se especifica un CertId, se usa para hacer coincidir todos los tipos enumerados para cada certificado. Por ejemplo, si se proporciona un número de serie, también intentará coincidir con todos los demás tipos enumerados.

Si le preocupa los problemas de rendimiento, se recomiendan comandos de PowerShell en los que solo coincidirá con el tipo de certificado especificado.

-enumstore

Enumera los almacenes de certificados.

certutil [options] -enumstore [\\MachineName]

Donde:

• MachineName es el nombre del equipo remoto.

Opciones:

[-enterprise] [-user] [-grouppolicy]

-addstore

Agrega un certificado al almacén. Para más información, vea el parámetro -store en este artículo.

certutil [options] -addstore CertificateStoreName InFile

Donde:

• CertificateStoreName es el nombre del almacén de certificados.
• InFile es el certificado o archivo CRL que quiere agregar al almacén.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificado del almacén. Para más información, vea el parámetro -store en este artículo.

certutil [options] -delstore CertificateStoreName certID

Donde:

• CertificateStoreName es el nombre del almacén de certificados.
• CertId es el certificado o token de coincidencia de CRL.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Comprueba un certificado en el almacén. Para más información, vea el parámetro -store en este artículo.

certutil [options] -verifystore CertificateStoreName [CertId]

Donde:

• CertificateStoreName es el nombre del almacén de certificados.
• CertId es el certificado o token de coincidencia de CRL.

Opciones:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara una asociación de claves o actualiza las propiedades del certificado o el descriptor de seguridad de la clave. Para más información, vea el parámetro -store en este artículo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Donde:

• CertificateStoreName es el nombre del almacén de certificados.

• CertIdList es la lista separada por comas de tokens de coincidencia de certificados o CRL. Para más información, vea la descripción de -store CertId en este artículo.

• PropertyInfFile es el archivo INF que contiene propiedades externas, entre las que se incluyen las siguientes:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vuelca el almacén de certificados. Para más información, vea el parámetro -store en este artículo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Donde:

• CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId es el certificado o token de coincidencia de CRL. Esto puede ser:

  • Número de serie
  • Certificado SHA-1
  • CRL, CTL o hash de clave pública
  • Índice de certificado numérico (0, 1, etc.)
  • Índice de CRL numérico (,0, ,1, etc.)
  • Índice de CTL numérico (,,0, ,,1, etc.)
  • Clave pública
  • ObjectId de firma o extensión
  • Nombre común del firmante del certificado
  • Dirección de correo electrónico
  • Nombre UPN o DNS
  • Nombre del contenedor de claves o nombre de CSP
  • Nombre de plantilla u ObjectId
  • ObjectId de EKU o directivas de aplicación
  • Nombre común del emisor de la CRL.

Muchos de estos pueden dar lugar a varias coincidencias.

• OutputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
• La opción -enterprise accede a un almacén empresarial de máquinas.
• La opción -service accede a un almacén de servicio de máquina.
• La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Elimina un certificado del almacén.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Donde:

• CertificateStoreName es el nombre del almacén de certificados. Por ejemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId es el certificado o token de coincidencia de CRL. Esto puede ser:

  • Número de serie
  • Certificado SHA-1
  • CRL, CTL o hash de clave pública
  • Índice de certificado numérico (0, 1, etc.)
  • Índice de CRL numérico (,0, ,1, etc.)
  • Índice de CTL numérico (,,0, ,,1, etc.)
  • Clave pública
  • ObjectId de firma o extensión
  • Nombre común del firmante del certificado
  • Dirección de correo electrónico
  • Nombre UPN o DNS
  • Nombre del contenedor de claves o nombre de CSP
  • Nombre de plantilla u ObjectId
  • ObjectId de EKU o directivas de aplicación
  • Nombre común del emisor de la CRL. Muchos de estos pueden dar lugar a varias coincidencias.

• OutputFile es el archivo que se usa para guardar los certificados coincidentes.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• La opción -user accede a un almacén de usuarios en lugar de a un almacén de máquinas.
• La opción -enterprise accede a un almacén empresarial de máquinas.
• La opción -service accede a un almacén de servicio de máquina.
• La opción -grouppolicy accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Invoca la interfaz de certutil.

certutil [options] -UI File [import]

-TPMInfo

Muestra información del módulo de plataforma segura.

certutil [options] -TPMInfo

Opciones:

[-f] [-Silent] [-split]

-attest

Especifica que se debe atestiguar el archivo de solicitud de certificado.

certutil [options] -attest RequestFile

Opciones:

[-user] [-Silent] [-split]

-getcert

Selecciona un certificado de una interfaz de usuario de selección.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opciones:

[-Silent] [-split]

-ds

Muestra nombres distintivos (DN) del servicio de directorios (DS).

certutil [options] -ds [CommonName]

Opciones:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina los DN de DS.

certutil [options] -dsDel [CommonName]

Opciones:

[-user] [-split] [-dc DCName]

-dsPublish

Publica un certificado o una lista de revocación de certificados (CRL) en Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Donde:

• CertFile es el nombre del archivo de certificado que se va a publicar.
• NTAuthCA publica el certificado en el almacén de DS Enterprise.
• RootCA publica el certificado en el almacén raíz de confianza de DS.
• SubCA publica el certificado de entidad de certificación en el objeto de entidad de certificación de DS.
• CrossCA publica el certificado cruzado en el objeto de entidad de certificación de DS.
• KRA publica el certificado en el objeto Key Recovery Agent de DS.
• User publica el certificado en el objeto User de DS.
• Machine publica el certificado en el objeto Machine de DS.
• CRLfile es el nombre del archivo CRL que se va a publicar.
• DSCDPContainer es el CN del contenedor CDP de DS, normalmente el nombre de la máquina de la entidad de certificación.
• DSCDPCN es el CN del objeto CDP de DS basado en el nombre corto y el índice de clave de la entidad de certificación saneados.

Opciones:

[-f] [-user] [-dc DCName]

• Use -f para crear un nuevo objeto de DS.

-dsCert

Muestra los certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opciones:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Muestra las CRL de DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opciones:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Muestra las CRL delta de DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opciones:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Muestra los atributos de plantilla de DS.

certutil [options] -dsTemplate [Template]

Opciones:

[Silent] [-dc DCName]

-dsAddTemplate

Agrega plantillas de DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opciones:

[-dc DCName]

-ADTemplate

Muestra plantillas de Active Directory.

certutil [options] -ADTemplate [Template]

Opciones:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Muestra las plantillas de directiva de inscripción de certificados.

Opciones:

certutil [options] -Template [Template]

Opciones:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCA

Muestra las entidades de certificación (CA) de una plantilla de certificado.

certutil [options] -TemplateCAs Template

Opciones:

[-f] [-user] [-dc DCName]

-CATemplates

Muestra plantillas para la entidad de certificación.

certutil [options] -CATemplates [Template]

Opciones:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Establece las plantillas de certificado que puede emitir la entidad de certificación.

certutil [options] -SetCATemplates [+ | -] TemplateList

Donde:

• El signo + agrega plantillas de certificado a la lista de plantillas disponibles de la entidad de certificación.
• El signo - quita plantillas de certificado de la lista de plantillas disponibles de la entidad de certificación.

-SetCASites

Administra los nombres de sitio, incluida la configuración, comprobación y eliminación de nombres de sitio de la entidad de certificación.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Donde:

• SiteName solo se permite cuando el destino es una única entidad de certificación.

Opciones:

[-f] [-config Machine\CAName] [-dc DCName]

Comentarios

• La opción -config tiene como destino una única entidad de certificación (el valor predeterminado son todas las entidades de certificación).
• La opción -f se puede usar para invalidar los errores de validación del valor SiteName especificado, o bien para eliminar todos los nombres de sitio de la entidad de certificación.

Nota:

Para más información sobre la configuración de entidades de certificación para el reconocimiento del sitio de Active Directory Domain Services (AD DS), consulte Reconocimiento del sitio de AD DS para clientes de AD CS y PKI.

-enrollmentServerURL

Muestra, agrega o elimina las direcciones URL del servidor de inscripción asociadas a una entidad de certificación.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Donde:

• AuthenticationType especifica uno de los métodos de autenticación de cliente siguientes, al agregar una dirección URL:
  • Kerberos: usa las credenciales SSL de Kerberos.
  • .: usa una cuenta con nombre para las credenciales SSL.
  • ClientCertificate: usa credenciales SSL de certificado X.509.
  • Anonymous: usa credenciales SSL anónimas.
• delete elimina la dirección URL especificada asociada a la entidad de certificación.
• Priority tiene como valor predeterminado 1 si no se especifica al agregar una dirección URL.
• Modifiers es una lista separada por comas, que incluye uno o varios de los siguientes elementos:
  • AllowRenewalsOnly: solo se pueden enviar solicitudes de renovación a esta entidad de certificación mediante esta dirección URL.
  • AllowKeyBasedRenewal: permite el uso de un certificado que no tiene ninguna cuenta asociada en AD. Esto solo se aplica con el modo ClientCertificate y AllowRenewalsOnly.

Opciones:

[-config Machine\CAName] [-dc DCName]

-ADCA

Muestra las entidades de certificación de Active Directory.

certutil [options] -ADCA [CAName]

Opciones:

[-f] [-split] [-dc DCName]

-CA

Muestra las entidades de certificación de la directiva de inscripción.

certutil [options] -CA [CAName | TemplateName]

Opciones:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Muestra la directiva de inscripción.

certutil [options] -Policy

Opciones:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Muestra o elimina entradas de caché de directivas de inscripción.

certutil [options] -PolicyCache [delete]

Donde:

• delete elimina las entradas de caché del servidor de directivas.
• -f elimina todas las entradas de caché.

Opciones:

[-f] [-user] [-policyserver URLorID]

-CredStore

Muestra, agrega o elimina entradas del almacén de credenciales.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Donde:

• URL es la dirección URL de destino. También puede usar * para buscar coincidencias con todas las entradas o https://machine* para que coincidan con un prefijo de dirección URL.
• add agrega una entrada de almacén de credenciales. El uso de esta opción también requiere el uso de credenciales SSL.
• delete elimina las entradas del almacén de credenciales.
• -f sobrescribe una sola entrada o elimina varias entradas.

Opciones:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala las plantillas de certificado predeterminadas.

certutil [options] -InstallDefaultTemplates

Opciones:

[-dc DCName]

-URL

Comprueba las direcciones URL de certificado o CRL.

certutil [options] -URL InFile | URL

Opciones:

[-f] [-split]

-URLCache

Muestra o elimina entradas de caché de direcciones URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Donde:

• URL es la dirección URL almacenada en caché.
• CRL solo se ejecuta en todas las direcciones URL de CRL almacenadas en caché.
• * funciona en todas las direcciones URL almacenadas en caché.
• delete elimina las direcciones URL pertinentes de la caché local del usuario actual.
• -f fuerza la captura de una dirección URL específica y la actualización de la memoria caché.

Opciones:

[-f] [-split]

-pulse

Pulsa un evento de inscripción automática o una tarea NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Donde:

• TaskName es la tarea que se va a desencadenar.
  • Pregen es la tarea de pregen de la clave NGC.
  • AIKEnroll es la tarea de inscripción de certificados AIK de NGC. (El valor predeterminado es el evento de inscripción automática).
• SRKThumbprint es la huella digital de la clave raíz de almacenamiento
• Modificadores:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Opciones:

[-user]

-MachineInfo

Muestra información sobre el objeto de máquina de Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Muestra información sobre el controlador de dominio. El valor predeterminado muestra los certificados de controlador de dominio sin comprobación.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modificadores:

  • Comprobar
  • DeleteBad
  • DeleteAll

Opciones:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Sugerencia

La capacidad de especificar un dominio de Active Directory Domain Services (AD DS) [Dominio] y especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar correctamente el comando, debe usar una cuenta que sea miembro de administradores de dominio o administradores de empresa. Las modificaciones de comportamiento de este comando son las siguientes:

• Si no se especifica un dominio ni un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
• Si no se especifica un dominio, pero sí un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
• Si se especifica un dominio, pero no un controlador de dominio, se genera una lista de controladores de dominio junto con informes sobre los certificados de cada controlador de dominio de la lista.
• Si se especifican el dominio y el controlador de dominio, se genera una lista de controladores de dominio a partir del controlador de dominio de destino. También se genera un informe de los certificados de cada controlador de dominio de la lista.

Por ejemplo, supongamos que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL-DC1. Puede ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Muestra información sobre una entidad de certificación empresarial.

certutil [options] -EntInfo DomainName\MachineName$

Opciones:

[-f] [-user]

-TCAInfo

Muestra información sobre la entidad de certificación.

certutil [options] -TCAInfo [DomainDN | -]

Opciones:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Muestra información sobre la tarjeta inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Donde:

• CRYPT_DELETEKEYSET elimina todas las claves de la tarjeta inteligente.

Opciones:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Administra certificados raíz de tarjeta inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opciones:

[-f] [-split] [-p Password]

-key

Enumera las claves almacenadas en un contenedor de claves.

certutil [options] -key [KeyContainerName | -]

Donde:

• KeyContainerName es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
• El signo - hace referencia al uso del contenedor de claves predeterminado.

Opciones:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina el contenedor de claves con nombre.

certutil [options] -delkey KeyContainerName

Opciones:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina el contenedor de Windows Hello, quitando todas las credenciales asociadas almacenadas en el dispositivo, incluidas las credenciales de WebAuthn y FIDO.

Los usuarios tienen que cerrar sesión después de usar esta opción para que se complete.

certutil [options] -DeleteHelloContainer

-verifykeys

Comprueba un conjunto de claves públicas o privadas.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Donde:

• KeyContainerName es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
• CACertFile firma o cifra los archivos de certificado.

Opciones:

[-f] [-user] [-Silent] [-config Machine\CAName]

Comentarios

• Si no se especifica ningún argumento, cada certificado de entidad de certificación de firma se comprueba con su clave privada.
• Esta operación solo se puede realizar en una entidad de certificación local o en claves locales.

-verify

Comprueba un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Donde:

• CertFile es el nombre del certificado que se va a comprobar.
• ApplicationPolicyList es la lista opcional separada por comas de los identificadores de objeto de directiva de aplicación necesarios.
• IssuancePolicyList es la lista opcional separada por comas de los identificadores de objeto de directiva de emisión necesarios.
• CACertFile es el certificado de entidad de certificación emisora opcional con el que se va a realizar la comprobación.
• CrossedCACertFile es el certificado opcional con certificación cruzada por CertFile.
• CRLFile es el archivo CRL que se usa para comprobar CACertFile.
• IssuedCertFile es el certificado emitido opcional cubierto por el archivo CRL.
• DeltaCRLFile es el archivo CRL delta opcional.
• Modificadores:
  • Strong: comprobación de firma segura
  • MSRoot: debe encadenar a una raíz de Microsoft
  • MSTestRoot: debe encadenar a una raíz de prueba de Microsoft
  • AppRoot: debe encadenar a una raíz de aplicación de Microsoft
  • EV: aplicación de la directiva de validación extendida

Opciones:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Comentarios

• El uso de ApplicationPolicyList restringe la creación de cadenas solo a cadenas válidas para las directivas de aplicación especificadas.
• El uso de IssuancePolicyList restringe la creación de cadenas solo a cadenas válidas para las directivas de emisión especificadas.
• El uso de CACertFile comprueba los campos del archivo en CertFile o CRLfile.
• Si no se especifica CACertFile, se crea la cadena completa y se comprueba en CertFile.
• Si se especifican CACertFile y CrossedCACertFile, los campos de ambos archivos se comprueban en CertFile.
• El uso de IssuedCertFile comprueba los campos del archivo en CRLfile.
• El uso de DeltaCRLFile comprueba los campos del archivo en CertFile.

-verifyCTL

Comprueba el CTL de certificados AuthRoot o Disallowed.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Donde:

• CTLObject identifica el CTL que se va a comprobar, incluido lo siguiente:

  • AuthRootWU lee el CAB de AuthRoot y los certificados coincidentes de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
  • DisallowedWU lee el CAB de certificados no permitidos y el archivo de almacén de certificados no permitidos de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
    • PinRulesWU lee el CAB de PinRules de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.
  • AuthRoot lee el CTL de AuthRoot en la caché del Registro. Úselo con -f y un CertFile que no sea de confianza para forzar la AuthRootde los CTL de certificado AuthRoot y Disallowed en caché del Registro.
  • Disallowed lee el CTL de certificados Disallowed almacenados en caché en el Registro. Úselo con -f y un CertFile que no sea de confianza para forzar la AuthRootde los CTL de certificado AuthRoot y Disallowed en caché del Registro.
    • PinRules lee el CTL de PinRules almacenado en caché del Registro. El uso de -f tiene el mismo comportamiento que con PinRulesWU.
  • CTLFileName especifica el archivo o la ruta de acceso http al archivo CTL o CAB.

• CertDir especifica la carpeta que contiene certificados que coinciden con las entradas de CTL. El valor predeterminado es la misma carpeta o sitio web que el CTLobject. El uso de una ruta de acceso de carpeta http requiere un separador de rutas de acceso al final. Si no especifica AuthRoot o Disallowed, los certificados coincidentes se buscan en varias ubicaciones, incluidos almacenes de certificados locales, recursos crypt32.dll y la caché de direcciones URL local. Use -f para descargar desde Windows Update, según sea necesario.

• CertFile especifica los certificados que se van a comprobar. Los certificados se comparan con las entradas de CTL, mostrando los resultados. Esta opción suprime la mayoría de las salidas predeterminadas.

Opciones:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados con Windows Update.

certutil [options] -syncWithWU DestinationDir

Donde:

• DestinationDir es el directorio especificado.
• f fuerza una sobrescritura.
• Unicode escribe la salida redirigida en Unicode.
• gmt muestra las horas como GMT.
• seconds muestra las horas con segundos y milisegundos.
• v es una operación detallada.
• PIN es el PIN de tarjeta inteligente.
• WELL_KNOWN_SID_TYPE es un SID numérico:
  • 22: Sistema local
  • 23: servicio local
  • 24: Servicio de red

Comentarios

Los siguientes archivos se descargan mediante el mecanismo de actualización automática:

• authrootstl.cab contiene las CTL de certificados raíz que no son de Microsoft.
• disallowedcertstl.cab contiene las CTL de certificados que no son de confianza.
• disallowedcert.sst contiene el almacén de certificados en serie, incluidos los que no son de confianza.
• thumbprint.crt contiene certificados raíz que no son de Microsoft.

Por ejemplo, certutil -syncWithWU \\server1\PKI\CTLs.

• Si usa como carpeta de destino una carpeta o una ruta de acceso local que no existen, verá el error The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Si usa como carpeta de destino una ubicación de red que no existe o no está disponible, verá el error The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Si el servidor no puede conectarse desde el puerto TCP 80 a los servidores de actualización automática de Microsoft, se le notificará el error A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Si el servidor no puede obtener acceso a los servidores de actualización automática de Microsoft con el nombre DNS ctldl.windowsupdate.com, se le notificará el error The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Si no usa el conmutador -f, y si alguno de los archivos CTL ya existe en el directorio, recibirá un error certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists. de que ya existe el archivo

• Si se produce un cambio en los certificados raíz de confianza, verá Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opciones:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un archivo de almacén que se sincroniza con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Donde:

• SSTFile es el archivo .sst que se va a generar y que contiene las raíces de terceros descargadas de Windows Update.

Opciones:

[-f] [-split]

-generatePinRulesCTL

Genera un archivo de lista de confianza de certificados (CTL) que contiene una lista de reglas de asignación.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Donde:

• XMLFile es el archivo XML de entrada que se va a analizar.
• CTLFile es el archivo CTL de salida que se va a generar.
• SSTFile es el archivo .sst opcional que se va a crear y que contiene todos los certificados usados para la asignación.
• QueryFilesPrefix son archivos Domains.csv y Keys.csv opcionales que se van a crear para la consulta de base de datos.
  • La cadena QueryFilesPrefix se antepone a cada archivo creado.
  • El archivo Domains.csv contiene el nombre de regla, las filas de dominio.
  • El archivo Keys.csv contiene el nombre de la regla, las filas de huella digital SHA256 de clave.

Opciones:

[-f]

-downloadOcsp

Descarga las respuestas OCSP y escribe en el directorio.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Donde:

• CertificateDir es el directorio de un certificado, un almacén y archivos PFX.
• OcspDir es el directorio para escribir respuestas OCSP.
• ThreadCount es el número máximo opcional de subprocesos para la descarga simultánea. El valor predeterminado es 10.
• Modifiers es la lista separada por comas para uno o varios de los siguientes elementos:
  • DownloadOnce: descarga una vez y sale.
  • ReadOcsp: lee de OcspDir en lugar de escribir.

-generateHpkpHeader

Genera el encabezado HPKP mediante certificados en un archivo o directorio especificados.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Donde:

• CertFileOrDir es el archivo o directorio de certificados, que es el origen de pin-sha256.
• MaxAge es el valor de antigüedad máxima en segundos.
• ReportUri es el URI de informe opcional.
• Modifiers es la lista separada por comas para uno o varios de los siguientes elementos:
  • includeSubDomains: anexa includeSubDomains.

-flushCache

Vacía las memorias caché especificadas en el proceso seleccionado, como lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Donde:

• ProcessId es el identificador numérico de un proceso que se va a vaciar. Establézcalo en 0 para vaciar todos los procesos en los que está habilitado el vaciado.

• CacheMask es la máscara de bits de las memorias caché que se van a vaciar, ya sean numéricas o los bits siguientes:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers es la lista separada por comas para uno o varios de los siguientes elementos:

  • Show: muestra las memorias caché que se vacían. Certutil se debe terminar de forma explícita.

-addEccCurve

Agrega una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Donde:

• CurveClass es el tipo de clase de la curva ECC:

  • WEIERSTRASS (valor predeterminado)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName es el nombre de la curva ECC.

• CurveParameters es uno de los siguientes:

  • Un nombre de archivo de certificado que contiene parámetros codificados por ASN.
  • Un archivo que contiene parámetros codificados por ASN.

• CurveOID es el OID de la curva ECC y es uno de los siguientes:

  • Un nombre de archivo de certificado que contiene un OID codificado por ASN.
  • Un OID explícito de la curva ECC.

• CurveType es el punto de Schannel ECC NamedCurve (numérico).

Opciones:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Donde:

• CurveName es el nombre de la curva ECC.
• CurveOID es el OID de la curva ECC.

Opciones:

[-f]

-displayEccCurve

Muestra la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Donde:

• CurveName es el nombre de la curva ECC.
• CurveOID es el OID de la curva ECC.

Opciones:

[-f]

-csplist

Enumera los proveedores de servicios criptográficos (CSP) instalados en esta máquina para las operaciones criptográficas.

certutil [options] -csplist [Algorithm]

Opciones:

[-user] [-Silent] [-csp Provider]

-csptest

Comprueba los CSP instalados en esta máquina.

certutil [options] -csptest [Algorithm]

Opciones:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Muestra la configuración criptográfica de CNG en esta máquina.

certutil [options] -CNGConfig

Opciones:

[-Silent]

-sign

Vuelva a firmar una lista de revocación de certificados (CRL) o un certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Donde:

• InFileList es la lista separada por comas de archivos de certificado o CRL que se van a modificar y volver a firmar.

• SerialNumber es el número de serie del certificado que se va a crear. El período de validez y otras opciones no pueden estar presentes.

• CRL crea una CRL vacía. El período de validez y otras opciones no pueden estar presentes.

• OutFileList es la lista separada por comas de archivos de salida de CRL o certificados modificados. El número de archivos debe coincidir con infilelist.

• StartDate+dd:hh es el nuevo período de validez para los archivos de certificado o CRL, entre los que se incluyen los siguientes:

  • fecha opcional más
  • período de validez de días y horas opcionales Si se usan varios campos, use un separador (+) o (-). Use now[+dd:hh] para iniciar en la hora actual. Use now-dd:hh+dd:hh para el inicio en un desplazamiento fijo desde la hora actual y un período de validez fijo. Use never para no tener ninguna fecha de expiración (solo para CRL).

• SerialNumberList es la lista de números de serie separados por comas de los archivos que se van a agregar o quitar.

• ObjectIdList es la lista ObjectId de extensiones separada por comas de los archivos que se van a quitar.

• @ExtensionFile es el archivo INF que contiene las extensiones que se van a actualizar o quitar. Por ejemplo:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm es el nombre del algoritmo hash. Este solo debe ser el texto precedido por el signo #.

• AlternateSignatureAlgorithm es el especificador de algoritmo de firma alternativo.

Opciones:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Comentarios

• El uso del signo menos (-) quita los números de serie y las extensiones.
• El uso del signo más (+) agrega números de serie a una CRL.
• Puede usar una lista para quitar los números de serie y los valores ObjectId de una CRL al mismo tiempo.
• El uso del signo menos antes de AlternateSignatureAlgorithm permite utilizar el formato de firma heredado.
• El uso del signo más le permite usar el formato de firma alternativo.
• Si no especifica AlternateSignatureAlgorithm, se usa el formato de firma en el certificado o CRL.

-vroot

Crea o elimina raíces virtuales web y recursos compartidos de archivos.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina raíces virtuales web para un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Agrega una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Donde:

• addEnrollmentServer requiere que use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, entre los que se incluyen:

  • Kerberos usa credenciales SSL de Kerberos.
  • UserName usa la cuenta con nombre para las credenciales SSL.
  • ClientCertificate usa credenciales SSL de certificado X.509.

• Modificadores:

  • AllowRenewalsOnly solo permite envíos de solicitudes de renovación a la entidad de certificación desde la dirección URL.
  • AllowKeyBasedRenewal permite el uso de un certificado sin ninguna cuenta asociada en Active Directory. Esto se aplica cuando se usa con el modo ClientCertificate y AllowRenewalsOnly.

Opciones:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Donde:

• deleteEnrollmentServer requiere que use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, entre los que se incluyen:
  • Kerberos usa credenciales SSL de Kerberos.
  • UserName usa la cuenta con nombre para las credenciales SSL.
  • ClientCertificate usa credenciales SSL de certificado X.509.

Opciones:

[-config Machine\CAName]

-addPolicyServer

Agrega una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Donde:

• addPolicyServer requiere que use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, entre los que se incluyen:
  • Kerberos usa credenciales SSL de Kerberos.
  • UserName usa la cuenta con nombre para las credenciales SSL.
  • ClientCertificate usa credenciales SSL de certificado X.509.
• KeyBasedRenewal permite el uso de directivas devueltas al cliente con plantillas keybasedrenewal. Esta opción solo se aplica a la autenticación UserName y ClientCertificate.

-deletePolicyServer

Elimina una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no quita archivos binarios ni paquetes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Donde:

• deletePolicyServer requiere que se use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, entre los que se incluyen:
  • Kerberos usa credenciales SSL de Kerberos.
  • UserName usa la cuenta con nombre para las credenciales SSL.
  • ClientCertificate usa credenciales SSL de certificado X.509.
• KeyBasedRenewal permite el uso de un servidor de directivas KeyBasedRenewal.

-Class

Muestra información del registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opciones:

[-f]

-7f

Comprueba en el certificado codificaciones de longitud de 0x7f.

certutil [options] -7f CertFile

-oid

Muestra el identificador de objeto o establece un nombre para mostrar.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Donde:

• ObjectId es el identificador que se va a mostrar o agregar al nombre para mostrar.
• GroupId es el número GroupId (decimal) que enumeran los identificadores de objeto.
• AlgId es el identificador hexadecimal que busca objectID.
• AlgorithmName es el nombre del algoritmo que busca objectID.
• DisplayName muestra el nombre que se va a almacenar en DS.
• Delete elimina el nombre para mostrar.
• LanguageId es el valor del identificador de idioma (el valor predeterminado es actual: 1033).
• Type es el tipo de objeto DS que se va a crear, entre los que se incluyen:
  • 1: plantilla (valor predeterminado)
  • 2: directiva de emisión
  • 3: directiva de aplicación
• -f crea un objeto DS.

Opciones:

[-f]

-error

Muestra el texto del mensaje asociado a un código de error.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtiene información del Protocolo simple de transferencia de correo (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Establece información de SMTP.

certutil [options] -setsmtpinfo LogonName

Opciones:

[-config Machine\CAName] [-p Password]

-getreg

Muestra un valor del Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Donde:

• ca usa la clave del Registro de una entidad de certificación.
• restore usa la clave del Registro de restauración de la entidad de certificación.
• policy usa la clave del Registro del módulo de directivas.
• exit usa la primera clave del Registro del módulo de salida.
• template usa la clave del Registro de plantilla (use -user para plantillas de usuario).
• enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).
• chain usa la clave del Registro de configuración de cadena.
• PolicyServers usa la clave del Registro de servidores de directivas.
• ProgId usa el valor ProgID del módulo de directiva o salida (nombre de subclave del Registro).
• RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
• value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentarios

• Si un valor de cadena comienza con + o - y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor REG_MULTI_SZ, agregue \n al final del valor de cadena.
• Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
• Si no hace referencia a un archivo válido, en su lugar se analiza como [Date][+|-][dd:hh], que es una fecha opcional más o menos días y horas opcionales.
• Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
• Use i64 como sufijo para crear un valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
• Alias del Registro:
  • Configuración
  • CA
  • Directiva: PolicyModules
  • Salida: ExitModules
  • Restauración: RestoreInProgress
  • Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inscripción: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP: Software\Microsoft\Cryptography\MSCEP
  • Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers: Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32: System\CurrentControlSet\Services\crypt32
  • NGC: System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport: Software\Policies\Microsoft\PassportForWork
  • MDM: Software\Microsoft\Policies\PassportForWork

-setreg

Establece un valor del Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Donde:

• ca usa la clave del Registro de una entidad de certificación.
• restore usa la clave del Registro de restauración de la entidad de certificación.
• policy usa la clave del Registro del módulo de directivas.
• exit usa la primera clave del Registro del módulo de salida.
• template usa la clave del Registro de plantilla (use -user para plantillas de usuario).
• enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).
• chain usa la clave del Registro de configuración de cadena.
• PolicyServers usa la clave del Registro de servidores de directivas.
• ProgId usa el valor ProgID del módulo de directiva o salida (nombre de subclave del Registro).
• RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
• Value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentarios

• Si un valor de cadena comienza con + o - y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor REG_MULTI_SZ, agregue \n al final del valor de cadena.
• Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
• Si no hace referencia a un archivo válido, en su lugar se analiza como [Date][+|-][dd:hh], que es una fecha opcional más o menos días y horas opcionales.
• Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
• Use i64 como sufijo para crear un valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.

-delreg

Elimina un valor del Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Donde:

• ca usa la clave del Registro de una entidad de certificación.
• restore usa la clave del Registro de restauración de la entidad de certificación.
• policy usa la clave del Registro del módulo de directivas.
• exit usa la primera clave del Registro del módulo de salida.
• template usa la clave del Registro de plantilla (use -user para plantillas de usuario).
• enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).
• chain usa la clave del Registro de configuración de cadena.
• PolicyServers usa la clave del Registro de servidores de directivas.
• ProgId usa el valor ProgID del módulo de directiva o salida (nombre de subclave del Registro).
• RegistryValueName usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).
• Value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Opciones:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentarios

• Si un valor de cadena comienza con + o - y el valor existente es un valor REG_MULTI_SZ, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un valor REG_MULTI_SZ, agregue \n al final del valor de cadena.
• Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
• Si no hace referencia a un archivo válido, en su lugar se analiza como [Date][+|-][dd:hh], que es una fecha opcional más o menos días y horas opcionales.
• Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
• Use i64 como sufijo para crear un valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
• Alias del Registro:
  • Configuración
  • CA
  • Directiva: PolicyModules
  • Salida: ExitModules
  • Restauración: RestoreInProgress
  • Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inscripción: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP: Software\Microsoft\Cryptography\MSCEP
  • Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers: Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32: System\CurrentControlSet\Services\crypt32
  • NGC: System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport: Software\Policies\Microsoft\PassportForWork
  • MDM: Software\Microsoft\Policies\PassportForWork

-importKMS

Importa claves de usuario y certificados en la base de datos del servidor para el archivado de claves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Donde:

• UserKeyAndCertFile es un archivo de datos con claves privadas de usuario y certificados que se van a archivar. Este archivo puede ser:
  • Un archivo de exportación del servidor de administración de claves (KMS) de Exchange.
  • Un archivo PFX.
• CertId es un token de coincidencia de certificado de descifrado para archivos de exportación de KMS. Para más información, vea el parámetro -store en este artículo.
• -f importa certificados no emitidos por la entidad de certificación.

Opciones:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un archivo de certificado en la base de datos.

certutil [options] -ImportCert Certfile [ExistingRow]

Donde:

• ExistingRow importa el certificado en lugar de una solicitud pendiente para la misma clave.
• -f importa certificados no emitidos por la entidad de certificación.

Opciones:

[-f] [-config Machine\CAName]

Comentarios

Es posible que la entidad de certificación también deba configurarse para admitir certificados externos mediante la ejecución de certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un blob de recuperación de clave privada archivada, genera un script de recuperación o recupera claves archivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Donde:

• script genera un script para recuperar claves (comportamiento predeterminado si se encuentran varios candidatos de recuperación coincidentes o si no se especifica el archivo de salida).
• retrieve recupera uno o varios blobs de recuperación de claves (comportamiento predeterminado si se encuentra exactamente un candidato de recuperación coincidente y si se especifica el archivo de salida). Con esta opción se trunca cualquier extensión y se anexa la cadena específica del certificado y la extensión .rec para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados de Key Recovery Agent.
• recover recupera y recupera claves privadas en un paso (requiere certificados de Key Recovery Agent y claves privadas). El uso de esta opción trunca cualquier extensión y anexa la extensión .p12. Cada archivo contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.
• SearchToken selecciona las claves y los certificados que se van a recuperar, entre los que se incluyen:
  • Nombre común del certificado
  • Número de serie del certificado.
  • Hash SHA-1 de certificado (huella digital)
  • Hash SHA-1 de KeyId de certificado (identificador de clave del firmante)
  • Nombre del solicitante (dominio\usuario)
  • UPN (usuario@dominio)
• RecoveryBlobOutFile genera un archivo con una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados de Key Recovery Agent.
• OutputScriptFile genera un archivo con un script por lotes para recuperar claves privadas.
• OutputFileBaseName genera un nombre base de archivo.

Opciones:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentarios

• Para la recuperación, cualquier extensión se trunca y una cadena específica del certificado y las extensiones .rec se anexan para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados de Key Recovery Agent.
• Para la recuperación, se trunca cualquier extensión y se anexa la extensión .p12. Contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.

-RecoverKey

Recupera una clave privada archivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opciones:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Combina archivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Donde:

• PFXInFileList es una lista separada por comas de archivos de entrada PFX.
• PFXOutFile es el nombre del archivo de salida PFX.
• Modifiers son listas separadas por comas para uno o varios de los siguientes elementos:
  • ExtendedProperties incluye cualquier propiedad extendida.
  • NoEncryptCert especifica que no se cifren los certificados.
  • EncryptCert especifica que se cifren los certificados.

Opciones:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentarios

• La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.
• Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última es *, se pedirá al usuario la contraseña del archivo de salida.

-convertEPF

Convierte un archivo PFX en un archivo EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Donde:

• PFXInFileList es una lista separada por comas de archivos de entrada PFX.
• EPFOutFile es el nombre del archivo de salida PFX.
• EPF es el nombre del archivo de salida EPF.
• cast usa el cifrado CAST 64.
• cast- usa el cifrado CAST 64 (exportación).
• V3CACertId es el token de coincidencia del certificado de entidad de certificación V3. Para más información, vea el parámetro -store en este artículo.
• Salt es la cadena de sal del archivo de salida EPF.

Opciones:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Comentarios

• La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.
• Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última es *, se pedirá al usuario la contraseña del archivo de salida.

-add-chain

Agrega una cadena de certificados.

certutil [options] -add-chain LogId certificate OutFile

Opciones:

[-f]

-add-pre-chain

Agrega una cadena de certificados previos.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opciones:

[-f]

-get-sth

Obtiene un encabezado de árbol con firma.

certutil [options] -get-sth [LogId]

Opciones:

[-f]

-get-sth-consistency

Obtiene los cambios de encabezado de árbol firmados.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opciones:

[-f]

-get-proof-by-hash

Obtiene una prueba de un hash de un servidor de marca de tiempo.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opciones:

[-f]

-get-entries

Recupera entradas de un registro de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opciones:

[-f]

-get-roots

Recupera los certificados raíz del almacén de certificados.

certutil [options] -get-roots LogId

Opciones:

[-f]

-get-entry-and-proof

Recupera una entrada del registro de eventos y su prueba criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opciones:

[-f]

-VerifyCT

Comprueba un certificado en el registro de transparencia de certificados.

certutil [options] -VerifyCT Certificate SCT [precert]

Opciones:

[-f]

-?

Muestra la lista de parámetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Donde:

• -? muestra la lista de parámetros
• -<nombre_del_parámetro> -? muestra el contenido de ayuda para el parámetro especificado.
• -? -v muestra una lista detallada de parámetros y opciones.

Opciones

En esta sección se definen todas las opciones que se pueden especificar, en función del comando. Cada parámetro incluye información sobre qué opciones son válidas para su uso.

Opción	Descripción
-admin	Use ICertAdmin2 para las propiedades de CA.
-anonymous	Usa credenciales SSL anónimas.
-cert CertId	Certificado de firma
-clientcertificate clientCertId	Usa las credenciales SSL de certificado X.509. Para la interfaz de usuario de selección, use -clientcertificate.
-config Machine\CAName	Entidad de certificación y cadena de nombre de equipo.
-csp provider	Proveedor: KSP: proveedor de almacenamiento de claves de software de Microsoft TPM: proveedor criptográfico de la plataforma Microsoft NGC: proveedor de almacenamiento de claves de Microsoft Passport SC: proveedor de almacenamiento de claves de tarjeta inteligente de Microsoft
-dc DCName	Tiene como destino un controlador de dominio específico.
-enterprise	Usa el almacén de certificados del Registro de empresa de la máquina local.
-f	Fuerza la sobrescritura.
-generateSSTFromWU SSTFile	Generación de SST utilizando el mecanismo de actualización automática.
-gmt	Muestra las horas mediante GMT.
-GroupPolicy	Usa el almacén de certificados de directiva de grupo.
-idispatch	Use IDispatch en lugar de métodos nativos de COM.
-kerberos	Usa las credenciales SSL de Kerberos.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-mt	Muestra las plantillas de máquina.
-nocr	Codifique el texto sin caracteres CR.
-nocrlf	Codifique el texto sin caracteres CR-LF.
-nullsign	Usa el hash de los datos como firma.
-oldpfx	Use el cifrado PFX antiguo.
-out columnlist	Lista de columnas separadas por comas.
-p password	Contraseña
-pin PIN	PIN de tarjeta inteligente.
-policyserver URLorID	Dirección URL o identificador del servidor de directivas. Para la selección de U/I, usa -policyserver. Para todos los servidores de directivas, usa -policyserver *
-privatekey	Muestra los datos de contraseña y clave privada.
-protect	Proteja las claves con contraseña.
-protectto SAMnameandSIDlist	Lista de nombres SAM/SID separados por comas.
-restrict restrictionlist	Lista de restricciones separadas por comas. Cada restricción consta de un nombre de columna, un operador relacional y un entero constante, cadena o fecha. Un nombre de columna puede ir precedido por un signo más o menos para indicar el criterio de ordenación. Por ejemplo: requestID = 47, +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21.
-reverse	Invierta las columnas de registro y cola.
-seconds	Muestra las horas con segundos y milisegundos.
-service	Use el almacén de certificados de servicio.
-sid	SID numérico: 22: sistema local 23: servicio local 24: servicio de red
-silent	Use la marca silent para adquirir el contexto de cifrado.
-split	Divide los elementos ASN.1 insertados y los guarda en los archivos.
-sslpolicy servername	Directiva SSL que coincide con ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nombre del algoritmo de clave simétrica con longitud de clave opcional. Por ejemplo: AES,128 o 3DES.
-syncWithWU DestinationDir	Sincronización con Windows Update.
-t timeout	Tiempo de espera de captura de direcciones URL en milisegundos.
-Unicode	Escribe la salida redirigida en Unicode.
-UnicodeText	Escribe el archivo de salida en Unicode.
-urlfetch	Recupera y comprueba los certificados de AIA y las CRL de CDP.
-user	Usa las claves HKEY_CURRENT_USER o el almacén de certificados.
-username username	Usa la cuenta con nombre para las credenciales SSL. Para la interfaz de usuario de selección, use -username.
-ut	Muestra las plantillas de usuario.
-v	Proporciona información más detallada.
-v1	Use interfaces V1.

Algoritmos hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Vínculos relacionados

Para obtener más ejemplos de cómo usar este comando, vea los artículos siguientes:

• Active Directory Certificate Services (AD CS)
• Tareas certutil para administrar certificados.
• Configurar raíces de confianza y certificados no permitidos en Windows