certutil

Certutil.exe es un programa de línea de comandos instalado como parte de Servicios de certificados. Puede usar certutil.exe para volcar y mostrar información de configuración de la entidad de certificación (CA), configurar Servicios de certificados, copia de seguridad y restauración de componentes de CA, y comprobar certificados, pares de claves y cadenas de certificados.

Si certutil se ejecuta en una entidad de certificación sin parámetros adicionales, muestra la configuración actual de la entidad de certificación. Si certutil se ejecuta en una entidad que no es de certificación, el comando tiene como valor predeterminado ejecutar el certutil [-dump] comando.

Importante

Es posible que las versiones anteriores de certutil no proporcionen todas las opciones que se describen en este documento. Puede ver todas las opciones que proporciona una versión específica de certutil ejecutando certutil -? o certutil <parameter> -?.

Parámetros

-dump

Información o archivos de configuración de volcado de memoria.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

Analice y muestre el contenido de un archivo mediante la sintaxis de notación de sintaxis abstracta (ASN.1). Los tipos de archivo incluyen . CER. Archivos con formato DER y PKCS #7.

certutil [options] -asn file [type]

[type]: tipo de descodificación numérica CRYPT_STRING_*

-decodehex

Descodificar un archivo con codificación hexadecimal.

certutil [options] -decodehex infile outfile [type]

[type]: tipo de codificación numérica CRYPT_STRING_*

[-f]

-descodificar

Descodificar un archivo codificado en Base64.

certutil [options] -decode infile outfile
[-f]

-encode

Codificar un archivo en Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-deny

Denegar una solicitud pendiente.

certutil [options] -deny requestID
[-config Machine\CAName]

-resubmit

Vuelva a enviar una solicitud pendiente.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

Establezca atributos para una solicitud de certificado pendiente.

certutil [options] -setattributes RequestID attributestring

Donde:

  • requestID es el identificador numérico de solicitud de la solicitud pendiente.

  • attributestring es el nombre del atributo de solicitud y los pares de valor.

[-config Machine\CAName]

Comentarios

  • Los nombres y valores deben estar separados por dos puntos, mientras que varios pares de nombre y valor deben estar separados por líneas nuevas. Por ejemplo: CertificateTemplate:User\nEMail:User@Domain.com donde la \n secuencia se convierte en un separador de nueva línea.

-setextension

Establezca una extensión para una solicitud de certificado pendiente.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Donde:

  • requestID es el identificador numérico de solicitud de la solicitud pendiente.

  • extensionname es la cadena ObjectId de la extensión.

  • flags establece la prioridad de la extensión. 0 se recomienda, mientras 1 que establece la extensión en crítica, 2 deshabilita la extensión y 3 hace ambas cosas.

[-config Machine\CAName]

Comentarios

  • Si el último parámetro es numérico, se toma como long.

  • Si el último parámetro se puede analizar como una fecha, se toma como fecha.

  • Si el último parámetro comienza con \@, el resto del token se toma como nombre de archivo con datos binarios o un volcado hexadecimal de texto ascii.

  • Si el último parámetro es cualquier otra cosa, se toma como una cadena.

-revoke

Revocar un certificado.

certutil [options] -revoke serialnumber [reason]

Donde:

  • serialnumber es una lista separada por comas de números de serie de certificados que se van a revocar.

  • reason es la representación numérica o simbólica del motivo de revocación, entre las que se incluyen:

    • 0. CRL_REASON_UNSPECIFIED : sin especificar (valor predeterminado)

    • 1. CRL_REASON_KEY_COMPROMISE : riesgo clave

    • 2. CRL_REASON_CA_COMPROMISE : compromiso de la entidad de certificación

    • 3. CRL_REASON_AFFILIATION_CHANGED - Cambio de afiliación

    • 4. CRL_REASON_SUPERSEDED - Reemplazado

    • 5. CRL_REASON_CESSATION_OF_OPERATION - Cese de funcionamiento

    • 6. CRL_REASON_CERTIFICATE_HOLD : suspensión del certificado

    • 8. CRL_REASON_REMOVE_FROM_CRL - Quitar de CRL

    • -1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

Muestra la disposición del certificado actual.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

Obtiene la cadena de configuración predeterminada.

certutil [options] -getconfig
[-config Machine\CAName]

-ping

Intente ponerse en contacto con la interfaz de solicitud de Servicios de certificados de Active Directory.

certutil [options] -ping [maxsecondstowait | camachinelist]

Donde:

  • camachinelist es una lista separada por comas de nombres de máquina de CA. Para una sola máquina, use una coma de terminación. Esta opción también muestra el costo del sitio para cada máquina de CA.
[-config Machine\CAName]

-cainfo

Mostrar información sobre la entidad de certificación.

certutil [options] -cainfo [infoname [index | errorcode]]

Donde:

  • infoname indica la propiedad ca que se va a mostrar, en función de la siguiente sintaxis del argumento infoname:

    • file : versión del archivo

    • product : versión del producto

    • exitcount: recuento de módulos de salida

    • Salida [index] - Salir de la descripción del módulo

    • policy : descripción del módulo de directivas

    • name : nombre de la entidad de certificación

    • sanitizedname : nombre de la ENTIDAD de certificación saneada

    • dsname : nombre corto de ca saneada (nombre de DS)

    • sharedfolder : carpeta compartida

    • error1 ErrorCode : texto del mensaje de error

    • error2 ErrorCode : texto del mensaje de error y código de error

    • type : tipo de ENTIDAD de certificación

    • info : información de CA

    • primario : entidad de certificación primaria

    • certcount : recuento de certificados de entidad de certificación

    • xchgcount : recuento de certificados de intercambio de CA

    • kracount : recuento de certificados KRA

    • kraused : recuento de certificados KRA usados

    • propidmax: máximo de CA PropId

    • certstate [index] - Certificado de ENTIDAD de certificación

    • certversion [index] - Versión del certificado de entidad de certificación

    • certstatuscode [index] - Estado de comprobación del certificado de entidad de certificación

    • crlstate [index] - CRL

    • krastate [index] - Certificado KRA

    • crossstate+ [index] - Forward cross cert (Reenviar certificado cruzado)

    • crossstate- [index] - Certificado cruzado hacia atrás

    • Cert [index] - Certificado de ENTIDAD de certificación

    • certchain [index] - Cadena de certificados de ENTIDAD de certificación

    • certcrlchain [index] - Cadena de certificados de entidad de certificación con CRL

    • xchg [index] - Certificado de intercambio de CA

    • cadena xchg [index] - Cadena de certificados de intercambio de CA

    • xchgcrlchain [index] - Cadena de certificados de intercambio de CA con CRL

    • Kra [index] - Certificado KRA

    • cross+ [index] - Forward cross cert (Reenviar certificado cruzado)

    • cross- [index] - Certificado cruzado hacia atrás

    • CRL [index] - CRL base

    • deltacrl [index] - CRL delta

    • crlstatus [index] - Estado de publicación de CRL

    • deltacrlstatus [index] - Delta CRL Publish Status (Estado de publicación de CRL delta)

    • dns : nombre DNS

    • role : separación de roles

    • ads : servidor avanzado

    • plantillas : plantillas

    • Csp [index] - Direcciones URL de OCSP

    • Aia [index] - Direcciones URL de AIA

    • Cdp [index] - Direcciones URL de CDP

    • localename : nombre de la configuración regional de la entidad de certificación

    • subjecttemplateoids: identificadores de identificadores de plantilla de asunto

    • * : muestra todas las propiedades

  • index es el índice de propiedad de base cero opcional.

  • errorcode es el código de error numérico.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Recupere el certificado de la entidad de certificación.

certutil [options] -ca.cert outcacertfile [index]

Donde:

  • outcacertfile es el archivo de salida.

  • index es el índice de renovación de certificados de ENTIDAD de certificación (el valor predeterminado es el más reciente).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupere la cadena de certificados de la entidad de certificación.

certutil [options] -ca.chain outcacertchainfile [index]

Donde:

  • outcacertchainfile es el archivo de salida.

  • index es el índice de renovación de certificados de ENTIDAD de certificación (el valor predeterminado es el más reciente).

[-f] [-split] [-config Machine\CAName]

-getcrl

Obtiene una lista de revocación de certificados (CRL).

certutil [options] -getcrl outfile [index] [delta]

Donde:

  • index es el índice CRL o el índice de clave (el valor predeterminado es CRL para la clave más reciente).

  • delta es la CRL delta (el valor predeterminado es CRL base).

[-f] [-split] [-config Machine\CAName]

-crl

Publique nuevas listas de revocación de certificados (CRL) o CRL diferenciales.

certutil [options] -crl [dd:hh | republish] [delta]

Donde:

  • dd:hh es el nuevo período de validez de CRL en días y horas.

  • vuelve a publicar vuelve a publicar las CRL más recientes.

  • delta publica solo las CRL diferenciales (el valor predeterminado es CRL base y delta).

[-split] [-config Machine\CAName]

-shutdown

Cierra los Servicios de certificados de Active Directory.

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

Instala un certificado de entidad de certificación.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

Renueva un certificado de entidad de certificación.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Use -f para omitir una solicitud de renovación pendiente y para generar una nueva solicitud.
[-f] [-silent] [-config Machine\CAName]

-schema

Volca el esquema del certificado.

certutil [options] -schema [ext | attrib | cRL]

Donde:

  • El comando tiene como valor predeterminado la tabla Solicitud y certificado.

  • ext es la tabla de extensiones.

  • attribute es la tabla de atributos.

  • crl es la tabla CRL.

[-split] [-config Machine\CAName]

-view

Volca la vista de certificado.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Donde:

  • queue volca una cola de solicitudes específica.

  • log volca los certificados emitidos o revocados, además de las solicitudes con error.

  • logfail volca las solicitudes con errores.

  • revocados volca los certificados revocados.

  • ext volca la tabla de extensión.

  • el atributo volca la tabla de atributos.

  • crl volca la tabla CRL.

  • csv proporciona la salida mediante valores separados por comas.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Comentarios

  • Para mostrar la columna StatusCode para todas las entradas, escriba -out StatusCode

  • Para mostrar todas las columnas de la última entrada, escriba: -restrict RequestId==$

  • Para mostrar requestID y Disposition para tres solicitudes, escriba: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Para mostrar los identificadores de fila Derow ylos números CRL de todas las CRL base, escriba: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Para mostrar , escriba: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Para mostrar toda la tabla CRL, escriba: CRL

  • Se usa Date[+|-dd:hh] para las restricciones de fecha.

  • Use now+dd:hh para una fecha relativa a la hora actual.

-db

Volca la base de datos sin procesar.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una fila de la base de datos del servidor.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Donde:

  • request elimina las solicitudes con errores y pendientes, en función de la fecha de envío.

  • cert elimina los certificados expirados y revocados, en función de la fecha de expiración.

  • ext elimina la tabla de extensión.

  • attribute elimina la tabla de atributos.

  • crl elimina la tabla CRL.

[-f] [-config Machine\CAName]

Ejemplos

  • Para eliminar solicitudes con errores y pendientes enviadas el 22 de enero de 2001, escriba: 1/22/2001 request

  • Para eliminar todos los certificados que expiraron el 22 de enero de 2001, escriba: 1/22/2001 cert

  • Para eliminar la fila de certificado, los atributos y las extensiones de RequestID 37, escriba: 37

  • Para eliminar las CRL que expiraron el 22 de enero de 2001, escriba: 1/22/2001 crl

-backup

Realiza una copia de seguridad de los Servicios de certificados de Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Donde:

  • backupdirectory es el directorio para almacenar los datos de copia de seguridad.

  • incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).

  • keeplog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Realiza una copia de seguridad de la base de datos de Servicios de certificados de Active Directory.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Donde:

  • backupdirectory es el directorio para almacenar los archivos de base de datos de copia de seguridad.

  • incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).

  • keeplog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

[-f] [-config Machine\CAName]

-backupkey

Realiza una copia de seguridad del certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -backupkey backupdirectory

Donde:

  • backupdirectory es el directorio para almacenar el archivo PFX de copia de seguridad.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Restaura los Servicios de certificados de Active Directory.

certutil [options] -restore backupdirectory

Donde:

  • backupdirectory es el directorio que contiene los datos que se van a restaurar.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura la base de datos de Servicios de certificados de Active Directory.

certutil [options] -restoredb backupdirectory

Donde:

  • backupdirectory es el directorio que contiene los archivos de base de datos que se van a restaurar.
[-f] [-config Machine\CAName]

-restorekey

Restaura el certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -restorekey backupdirectory | pfxfile

Donde:

  • backupdirectory es el directorio que contiene el archivo PFX que se va a restaurar.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importe el certificado y la clave privada. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • Los modificadores son la lista separada por comas, que puede incluir una o varias de las siguientes opciones:

    1. AT_SIGNATURE : cambia la especificación de claves a la firma

    2. AT_KEYEXCHANGE : cambia la especificación de claves al intercambio de claves

    3. NoExport : hace que la clave privada no se pueda exportar

    4. NoCert : no importa el certificado

    5. NoChain : no importa la cadena de certificados

    6. NoRoot : no importa el certificado raíz

    7. Proteger: protege las claves mediante una contraseña

    8. NoProtect : no protege las claves con contraseña mediante una contraseña

[-f] [-user] [-p password] [-csp provider]

Comentarios

  • El valor predeterminado es el almacén de máquinas personales.

-dynamicfilelist

Muestra una lista de archivos dinámicos.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

Muestra las ubicaciones de la base de datos.

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

Genera y muestra un hash criptográfico a través de un archivo.

certutil [options] -hashfile infile [hashalgorithm]

-store

Volca el almacén de certificados.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados. Por ejemplo:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID es el certificado o token de coincidencia crL. Puede ser un número de serie, un certificado SHA-1, CRL, CTL o hash de clave pública, un índice de certificado numérico (0, 1, etc.), un índice CRL numérico (.0, .1, etc.), un índice CTL numérico (.. 0, .. 1, etc.), una clave pública, una firma o un objectId de extensión, un nombre común del firmante del certificado, una dirección de correo electrónico, un nombre de UPN o DNS, un nombre de contenedor de claves o un nombre de CSP, un nombre de plantilla o ObjectId, una EKU o un objectId de directivas de aplicación o un nombre común del emisor de CRL. Muchos de estos pueden dar lugar a varias coincidencias.

  • outputfile es el archivo que se usa para guardar los certificados coincidentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Opciones

  • La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción accede a un almacén empresarial de máquinas.

  • La -service opción accede a un almacén de servicio de máquina.

  • La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Agrega un certificado al almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -addstore certificatestorename infile

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • infile es el certificado o el archivo CRL que desea agregar al almacén.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Elimina un certificado del almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -delstore certificatestorename certID

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o token de coincidencia crL.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Comprueba un certificado en el almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -verifystore certificatestorename [certID]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o token de coincidencia crL.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Repara una asociación de claves o actualiza las propiedades del certificado o el descriptor de seguridad de la clave. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certIDlist es la lista separada por comas de tokens de coincidencia de certificados o CRL. Para obtener más información, consulta la -store certID descripción de este artículo.

  • propertyinffile es el archivo INF que contiene propiedades externas, entre las que se incluyen:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Volca el almacén de certificados. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o token de coincidencia crL.

  • outputfile es el archivo que se usa para guardar los certificados coincidentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opciones

  • La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción accede a un almacén empresarial de máquinas.

  • La -service opción accede a un almacén de servicio de máquina.

  • La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Elimina un certificado del almacén.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o token de coincidencia crL.

  • outputfile es el archivo que se usa para guardar los certificados coincidentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opciones

  • La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción accede a un almacén empresarial de máquinas.

  • La -service opción accede a un almacén de servicio de máquina.

  • La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Publica un certificado o una lista de revocación de certificados (CRL) en Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Donde:

  • certfile es el nombre del archivo de certificado que se va a publicar.

  • NTAuthCA publica el certificado en el almacén de Enterprise DS.

  • RootCA publica el certificado en el almacén raíz de confianza de DS.

  • SubCA publica el certificado de entidad de certificación en el objeto de CA de DS.

  • CrossCA publica el certificado cruzado en el objeto de entidad de certificación de DS.

  • KRA publica el certificado en el objeto DS Key Recovery Agent.

  • El usuario publica el certificado en el objeto User DS.

  • La máquina publica el certificado en el objeto Machine DS.

  • CRLfile es el nombre del archivo CRL que se va a publicar.

  • DSCDPContainer es el CN del contenedor de CDP de DS, normalmente el nombre de la máquina de ca.

  • DSCDPCN es el CN del objeto CDP de DS, normalmente basado en el nombre corto y el índice de clave de ca saneado.

  • Use -f para crear un nuevo objeto DS.

[-f] [-user] [-dc DCName]

-adtemplate

Muestra plantillas de Active Directory.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-template

Muestra las plantillas de certificado.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Muestra las entidades de certificación (CA) de una plantilla de certificado.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

Muestra plantillas para la entidad de certificación.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Administra los nombres de sitio, incluida la configuración, la comprobación y la eliminación de nombres de sitio de la entidad de certificación.

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Donde:

  • sitename solo se permite cuando el destino es una única entidad de certificación.
[-f] [-config Machine\CAName] [-dc DCName]

Comentarios

  • La -config opción tiene como destino una única entidad de certificación (el valor predeterminado es todas las entidades de certificación).

  • La -f opción se puede usar para invalidar los errores de validación del nombre de sitio especificado o para eliminar todos los nombres de sitio de ca.

Nota

Para obtener más información sobre la configuración de entidades de certificación para el reconocimiento del sitio de Servicios de dominio de Active Directory (AD DS), consulte Reconocimiento del sitio de AD DS para clientes de AD CS y PKI.

-enrollmentserverURL

Muestra, agrega o elimina las direcciones URL del servidor de inscripción asociadas a una ENTIDAD de certificación.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Donde:

  • authenticationtype especifica uno de los métodos de autenticación de cliente siguientes, al agregar una dirección URL:

    1. kerberos : use las credenciales SSL de Kerberos.

    2. username : use una cuenta con nombre para las credenciales SSL.

    3. clientcertificate: : use credenciales SSL de certificado X.509.

    4. anonymous : use credenciales SSL anónimas.

  • delete elimina la dirección URL especificada asociada a la ENTIDAD de certificación.

  • Priority tiene 1 como valor predeterminado si no se especifica al agregar una dirección URL.

  • Los modificadores son una lista separada por comas, que incluye uno o varios de los siguientes elementos:

  1. allowrenewalsonly : solo se pueden enviar solicitudes de renovación a esta ENTIDAD de certificación a través de esta dirección URL.

  2. allowkeybasedrenewal : permite el uso de un certificado que no tiene ninguna cuenta asociada en AD. Esto solo se aplica con el modo clientcertificate y allowrenewalsonly

[-config Machine\CAName] [-dc DCName]

-adca

Muestra las entidades de certificación de Active Directory.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

Muestra la directiva de inscripción Entidades de certificación.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policy

Muestra la directiva de inscripción.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Muestra o elimina entradas de caché de directivas de inscripción.

certutil [options] -policycache [delete]

Donde:

  • delete elimina las entradas de caché del servidor de directivas.

  • -f elimina todas las entradas de caché.

[-f] [-user] [-policyserver URLorID]

-credstore

Muestra, agrega o elimina entradas del Almacén de credenciales.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Donde:

  • La dirección URL es la dirección URL de destino. También puede usar * para buscar coincidencias con todas las entradas o https://machine* para que coincidan con un prefijo de dirección URL.

  • agregar agrega una entrada de almacén de credenciales. El uso de esta opción también requiere el uso de credenciales SSL.

  • delete elimina las entradas del almacén de credenciales.

  • -f sobrescribe una sola entrada o elimina varias entradas.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Instala plantillas de certificado predeterminadas.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

Muestra o elimina entradas de caché de direcciones URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Donde:

  • La dirección URL es la dirección URL almacenada en caché.

  • CRL solo se ejecuta en todas las direcciones URL de CRL almacenadas en caché.

  • * funciona en todas las direcciones URL almacenadas en caché.

  • delete elimina las direcciones URL pertinentes de la caché local del usuario actual.

  • -f fuerza la captura de una dirección URL específica y la actualización de la memoria caché.

[-f] [-split]

-pulse

Pulsa los eventos de inscripción automática.

certutil [options] -pulse
[-user]

-machineinfo

Muestra información sobre el objeto de máquina de Active Directory.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Muestra información sobre el controlador de dominio. El valor predeterminado muestra los certificados de controlador de dominio sin comprobación.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Sugerencia

La capacidad de especificar un dominio de Servicios de dominio de Active Directory (AD DS) [Dominio] y especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar correctamente el comando, debe usar una cuenta que sea miembro de administradores de dominio o administradores de Enterprise. Las modificaciones de comportamiento de este comando son las siguientes:

  1. 1. Si no se especifica un dominio y no se especifica un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
  2. 2. Si no se especifica un dominio, pero se especifica un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
  3. 3. Si se especifica un dominio, pero no se especifica un controlador de dominio, se genera una lista de controladores de dominio junto con informes sobre los certificados de cada controlador de dominio de la lista.
  4. 4. Si se especifica el dominio y el controlador de dominio, se genera una lista de controladores de dominio del controlador de dominio de destino. También se genera un informe de los certificados de cada controlador de dominio de la lista.

Por ejemplo, suponga que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL-DC1. Puede ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Muestra información sobre una entidad de certificación empresarial.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

Muestra información sobre la entidad de certificación.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Muestra información sobre la tarjeta inteligente.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Donde:

  • CRYPT_DELETEKEYSET elimina todas las claves de la tarjeta inteligente.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Administra certificados raíz de tarjeta inteligente.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys

Comprueba un conjunto de claves pública o privada.

certutil [options] -verifykeys [keycontainername cacertfile]

Donde:

  • keycontainername es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.

  • cacertfile firma o cifra los archivos de certificado.

[-f] [-user] [-silent] [-config Machine\CAName]

Comentarios

  • Si no se especifica ningún argumento, se comprueba cada certificado de entidad de certificación de firma con su clave privada.

  • Esta operación solo se puede realizar en una entidad de certificación local o claves locales.

-verify

Comprueba un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Donde:

  • certfile es el nombre del certificado que se va a comprobar.

  • applicationpolicylist es la lista opcional separada por comas de los identificadores de objeto de directiva de aplicación necesarios.

  • issuancepolicylist es la lista opcional separada por comas de los id. de objeto de directiva de emisión necesarios.

  • cacertfile es el certificado de entidad de certificación emisora opcional con el que comprobar.

  • crossedcacertfile es el certificado opcional certificado certificado cruzado por certfile.

  • CRLfile es el archivo CRL que se usa para comprobar el cacertfile.

  • issuedcertfile es el certificado emitido opcional cubierto por el CRLfile.

  • deltaCRLfile es el archivo CRL delta opcional.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Comentarios

  • El uso de applicationpolicylist restringe la creación de cadenas solo a cadenas válidas para las directivas de aplicación especificadas.

  • El uso de issuancepolicylist restringe la creación de cadenas solo a cadenas válidas para las directivas de emisión especificadas.

  • El uso de cacertfile comprueba los campos del archivo con certfile o CRLfile.

  • El uso de issuedcertfile comprueba los campos del archivo con CRLfile.

  • El uso de deltaCRLfile comprueba los campos del archivo con certfile.

  • Si no se especifica cacertfile , la cadena completa se compila y comprueba con certfile.

  • Si se especifican cacertfile y crossedcacertfile , los campos de ambos archivos se comprueban con certfile.

-verifyCTL

Comprueba el CTL de certificados AuthRoot o No permitidos.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Donde:

  • CTLobject identifica el CTL que se va a comprobar, entre los que se incluyen:

    • AuthRootWU : lee el CAB de AuthRoot y los certificados coincidentes de la memoria caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.

    • No permitidoWU : lee el CAB de certificados no permitidos y el archivo de almacén de certificados no permitido de la caché de direcciones URL. Use -f para descargar desde Windows Update en su lugar.

    • AuthRoot : lee el CTL de AuthRoot almacenado en caché en el registro. Úselo con -f y un archivo de certificado que no sea de confianza para forzar que se actualicen las CTL de certificado de AuthRoot y No permitidos del Registro.

    • No permitido : lee el CTL de certificados no permitidos en caché del registro. Úselo con -f y un archivo de certificado que no sea de confianza para forzar que se actualicen las CTL de certificado de AuthRoot y No permitidos del Registro.

  • CTLfilename especifica el archivo o la ruta de acceso http al archivo CTL o CAB.

  • certdir especifica la carpeta que contiene certificados que coinciden con las entradas de CTL. El valor predeterminado es la misma carpeta o sitio web que el objeto CTL. El uso de una ruta de acceso de carpeta http requiere un separador de ruta de acceso al final. Si no especifica AuthRoot o No permitido, se buscarán varias ubicaciones para buscar certificados coincidentes, incluidos los almacenes de certificados locales, los recursos crypt32.dll y la caché de direcciones URL locales. Use -f para descargar desde Windows Update, según sea necesario.

  • certfile especifica los certificados que se van a comprobar. Los certificados se comparan con las entradas de CTL, que muestran los resultados. Esta opción suprime la mayor parte de la salida predeterminada.

[-f] [-user] [-split]

-sign

Vuelva a firma una lista de revocación de certificados (CRL) o un certificado.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Donde:

  • infilelist es la lista separada por comas de archivos de certificado o CRL para modificar y volver a firmar.

  • serialnumber es el número de serie del certificado que se va a crear. El período de validez y otras opciones no pueden estar presentes.

  • CRL crea una CRL vacía. El período de validez y otras opciones no pueden estar presentes.

  • outfilelist es la lista separada por comas de archivos de salida de certificados modificados o CRL. El número de archivos debe coincidir con infilelist.

  • startdate+dd:hh es el nuevo período de validez para los archivos de certificado o CRL, entre los que se incluyen:

    • fecha opcional más

    • período de validez de días y horas opcionales

    Si se especifican ambos, debe usar un separador de signo más (+). Use now[+dd:hh] para empezar en la hora actual. Use never para no tener ninguna fecha de expiración (solo para CRL).

  • serialnumberlist es la lista de números de serie separados por comas de los archivos que se van a agregar o quitar.

  • objectIDlist es la lista objectId de extensión separada por comas de los archivos que se van a quitar.

  • @extensionfile es el archivo INF que contiene las extensiones que se van a actualizar o quitar. Por ejemplo:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm es el nombre del algoritmo hash. Solo debe ser el texto precedido por el # signo.

  • alternatesignaturealgorithm es el especificador de algoritmo de firma alternativo.

[-nullsign] [-f] [-silent] [-cert certID]

Comentarios

  • El uso del signo menos (-) quita los números de serie y las extensiones.

  • El uso del signo más (+) agrega números de serie a una CRL.

  • Puede usar una lista para quitar números de serie y ObjectID de una CRL al mismo tiempo.

  • El uso del signo menos antes de alternatesignaturealgorithm permite usar el formato de firma heredado. El uso del signo más le permite usar el formato de firma alternativo. Si no especifica alternatesignaturealgorithm, se usa el formato de firma en el certificado o CRL.

-vroot

Crea o elimina raíces virtuales web y recursos compartidos de archivos.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina raíces virtuales web para un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Agregue una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Donde:

  • addenrollmentserver requiere que use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, entre los que se incluyen:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa la cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • allowrenewalsonly solo permite envíos de solicitudes de renovación a la entidad de certificación a través de la dirección URL.

  • allowkeybasedrenewal permite el uso de un certificado sin ninguna cuenta asociada en Active Directory. Esto se aplica cuando se usa con el modo clientcertificate y allowrenewalsonly .

[-config Machine\CAName]

-deleteenrollmentserver

Elimina una aplicación del servidor de inscripción y un grupo de aplicaciones, si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Donde:

  • deleteenrollmentserver requiere que use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, entre los que se incluyen:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa la cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

[-config Machine\CAName]

-addpolicyserver

Agregue una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Donde:

  • addpolicyserver requiere que use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, entre los que se incluyen:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa la cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • keybasedrenewal permite el uso de directivas devueltas al cliente que contiene plantillas keybasedrenewal. Esta opción solo se aplica para el nombre de usuario y la autenticación clientcertificate .

-deletepolicyserver

Elimina una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no quita archivos binarios ni paquetes.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Donde:

  • deletepolicyserver requiere que use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, entre los que se incluyen:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa la cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • keybasedrenewal permite el uso de un servidor de directivas KeyBasedRenewal.

-oid

Muestra el identificador de objeto o establece un nombre para mostrar.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Donde:

  • objectID muestra o para agregar el nombre para mostrar.

  • groupID es el número groupID (decimal) que enumeran los id. de objeto.

  • algID es el identificador hexadecimal que busca objectID.

  • algorithmname es el nombre del algoritmo que busca objectID.

  • displayname muestra el nombre que se va a almacenar en DS.

  • delete elimina el nombre para mostrar.

  • LanguageId es el valor del identificador de idioma (el valor predeterminado es actual: 1033).

  • Type es el tipo de objeto DS que se va a crear, entre los que se incluyen:

    • 1 - Plantilla (valor predeterminado)

    • 2 - Directiva de emisión

    • 3 - Directiva de aplicación

  • -f crea un objeto DS.

-error

Muestra el texto del mensaje asociado a un código de error.

certutil [options] -error errorcode

-getreg

Muestra un valor del Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • policy usa la clave del Registro del módulo de directivas.

  • exit usa la primera clave del Registro del módulo de salida.

  • template usa la clave del Registro de plantilla (se usa -user para plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).

  • registryvaluename usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).

  • value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentarios

  • Si un valor de cadena comienza con + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.

  • Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] : una fecha opcional más o menos días y horas opcionales. Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use chain\chaincacheresyncfiletime \@now para vaciar de forma eficaz las CRL almacenadas en caché.

-setreg

Establece un valor del Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • policy usa la clave del Registro del módulo de directivas.

  • exit usa la primera clave del Registro del módulo de salida.

  • template usa la clave del Registro de plantilla (se usa -user para plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).

  • registryvaluename usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).

  • value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentarios

  • Si un valor de cadena comienza con + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.

  • Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] : una fecha opcional más o menos días y horas opcionales. Si se especifican ambos, use un signo más (+) o un separador de signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use chain\chaincacheresyncfiletime \@now para vaciar de forma eficaz las CRL almacenadas en caché.

-delreg

Elimina un valor del Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • policy usa la clave del Registro del módulo de directivas.

  • exit usa la primera clave del Registro del módulo de salida.

  • la plantilla usa la clave del Registro de plantillas (use -user para las plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (use -user para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID del módulo de directiva o salida (nombre de subclave del Registro).

  • registryvaluename usa el nombre del valor del Registro (use Name* para hacer coincidir el prefijo).

  • value usa el nuevo valor numérico, cadena o fecha del Registro o nombre de archivo. Si un valor numérico comienza por + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentarios

  • Si un valor de cadena comienza por + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.

  • Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [Date][+|-][dd:hh] : una fecha opcional más o menos días y horas opcionales. Si se especifican ambos, use un signo más (+) o un separador de signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use chain\chaincacheresyncfiletime \@now para vaciar de forma eficaz las CRL almacenadas en caché.

-importKMS

Importa claves de usuario y certificados en la base de datos del servidor para el archivado de claves.

certutil [options] -importKMS userkeyandcertfile [certID]

Donde:

  • userkeyandcertfile es un archivo de datos con claves privadas de usuario y certificados que se van a archivar. Este archivo puede ser:

    • Un archivo de exportación de Exchange Key Management Server (KMS).

    • Un archivo PFX.

  • certID es un token de coincidencia de certificado de descifrado de archivo de exportación KMS. Para obtener más información, consulte el -store parámetro de este artículo.

  • -f importa certificados no emitidos por la entidad de certificación.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importa un archivo de certificado en la base de datos.

certutil [options] -importcert certfile [existingrow]

Donde:

  • existingrow importa el certificado en lugar de una solicitud pendiente para la misma clave.

  • -f importa certificados no emitidos por la entidad de certificación.

[-f] [-config Machine\CAName]

Comentarios

Es posible que también sea necesario configurar la entidad de certificación para admitir certificados externos. Para ello, escriba import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-getkey

Recupera un blob de recuperación de clave privada archivada, genera un script de recuperación o recupera claves archivadas.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Donde:

  • script genera un script para recuperar y recuperar claves (comportamiento predeterminado si se encuentran varios candidatos de recuperación coincidentes o si no se especifica el archivo de salida).

  • retrieve recupera uno o varios blobs de recuperación de claves (comportamiento predeterminado si se encuentra exactamente un candidato de recuperación coincidente y si se especifica el archivo de salida). Con esta opción se trunca cualquier extensión y se anexa la cadena específica del certificado y la extensión .rec para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.

  • recover recupera y recupera claves privadas en un paso (requiere certificados de Key Recovery Agent y claves privadas). El uso de esta opción trunca cualquier extensión y anexa la extensión .p12. Cada archivo contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.

  • searchtoken selecciona las claves y los certificados que se van a recuperar, entre los que se incluyen:

      1. Nombre común del certificado
      1. Número de serie del certificado
      1. Hash SHA-1 de certificado (huella digital)
      1. Hash SHA-1 de KeyId de certificado (identificador de clave de sujeto)
      1. Nombre del solicitante (dominio\usuario)
      1. UPN (user@domain)
  • recoverybloboutfile genera un archivo con una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.

  • outputscriptfile genera un archivo con un script por lotes para recuperar y recuperar claves privadas.

  • outputfilebasename genera un nombre base de archivo.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Recuperar una clave privada archivada.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Combina archivos PFX.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Donde:

  • PFXinfilelist es una lista separada por comas de archivos de entrada PFX.

  • PFXoutfile es el nombre del archivo de salida PFX.

  • extendedproperties incluye cualquier propiedad extendida.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Comentarios

  • La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.

  • Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última es *, se pedirá al usuario la contraseña del archivo de salida.

-convertEPF

Convierte un archivo PFX en un archivo EPF.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Donde:

  • PFXinfilelist es una lista separada por comas de archivos de entrada PFX.

  • PFXoutfile es el nombre del archivo de salida PFX.

  • EPF es el nombre del archivo de salida EPF.

  • La conversión usa el cifrado CAST 64.

  • cast: usa el cifrado CAST 64 (exportación)

  • V3CAcertID es el token de coincidencia del certificado de ca V3. Para obtener más información, consulte el -store parámetro de este artículo.

  • salt es la cadena de sal del archivo de salida EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Comentarios

  • La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.

  • Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última es *, se pedirá al usuario la contraseña del archivo de salida.

-?

Muestra la lista de parámetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Donde:

  • -? muestra la lista completa de parámetros

  • -<name_of_parameter> -? muestra el contenido de ayuda para el parámetro especificado.

  • -? -v muestra una lista completa de parámetros y opciones.

Opciones

En esta sección se definen todas las opciones que se pueden especificar, en función del comando . Cada parámetro incluye información sobre qué opciones son válidas para su uso.

Opciones Descripción
-nullsign Use el hash de los datos como firma.
-f Forzar sobrescritura.
-enterprise Use el almacén de certificados del Registro de empresa de la máquina local.
-user Use las claves de HKEY_CURRENT_USER o el almacén de certificados.
-GroupPolicy Use el almacén de certificados de directiva de grupo.
-ut Mostrar plantillas de usuario.
-mt Mostrar plantillas de máquina.
-Unicode Escribir salida redirigida en Unicode.
-UnicodeText Escriba el archivo de salida en Unicode.
-gmt Mostrar horas con GMT.
-seconds Muestra los tiempos con segundos y milisegundos.
-silent Use la silent marca para adquirir el contexto de cifrado.
-split Divida los elementos ASN.1 incrustados y guárdelos en archivos.
-v Proporcione información más detallada (detallada).
-privatekey Muestra los datos de contraseña y clave privada.
-pin PIN PIN de tarjeta inteligente.
-urlfetch Recupere y compruebe los certificados de AIA y las CRL de CDP.
-config Machine\CAName Entidad de certificación y cadena de nombre de equipo.
-policyserver URLorID Dirección URL o identificador del servidor de directivas. Para la selección de E/S, use -policyserver. Para todos los servidores de directivas, use -policyserver *
-anonymous Use credenciales SSL anónimas.
-kerberos Use las credenciales SSL de Kerberos.
-clientcertificate clientcertID Use credenciales SSL de certificado X.509. Para la selección de E/S, use -clientcertificate.
-username username Use la cuenta con nombre para las credenciales SSL. Para la selección de E/S, use -username.
-cert certID Certificado de firma.
-dc DCName Establecer como destino un controlador de dominio específico.
-restrict restrictionlist Lista de restricciones separadas por comas. Cada restricción consta de un nombre de columna, un operador relacional y un entero constante, cadena o fecha. Un nombre de columna puede ir precedido por un signo más o menos para indicar el criterio de ordenación. Por ejemplo: requestID = 47, +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21
-out columnlist Lista de columnas separadas por comas.
-p password Contraseña
-protectto SAMnameandSIDlist Lista de nombres o SID de SAM separados por comas.
-csp provider Proveedor
-t tiempo de espera Tiempo de espera de captura de direcciones URL en milisegundos.
-symkeyalg symmetrickeyalgorithm[,keylength] Nombre del algoritmo de clave simétrica con longitud de clave opcional. Por ejemplo, AES,128 o 3DES.

Referencias adicionales

Para obtener algunos ejemplos más sobre cómo usar este comando, consulte