certutil

Se aplica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil no se recomienda usar en ningún código de producción y no proporciona ninguna garantía de compatibilidad con sitios activos ni compatibilidad de aplicaciones. Es una herramienta utilizada por desarrolladores y administradores de TI para ver la información de contenido del certificado en los dispositivos.

Certutil.exe es un programa de línea de comandos instalado como parte de Servicios de certificados. Puede usar certutil.exe para mostrar información de configuración de entidad de certificación (CA), configurar Servicios de certificados y realizar copias de seguridad y restaurar componentes de CA. El programa también comprueba los certificados, los pares de claves y las cadenas de certificados.

Si certutil se ejecuta en una entidad de certificación sin otros parámetros, muestra la configuración actual de la entidad de certificación. Si certutil se ejecuta en una entidad que no es de certificación sin otros parámetros, el comando tiene como valor predeterminado ejecutar el certutil -dump comando. No todas las versiones de certutil proporcionan todos los parámetros y opciones que describe este documento. Puede ver las opciones que proporciona la versión de certutil ejecutando certutil -? o certutil <parameter> -?.

Tip

Para ver la ayuda completa de todos los verbos y opciones certutil, incluidos los que están ocultos del -? argumento, ejecute certutil -v -uSAGE. El uSAGE modificador distingue mayúsculas de minúsculas.

Parameters

-dump

Volca la información de configuración o los archivos.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Volca la estructura PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analiza y muestra el contenido de un archivo mediante la sintaxis de notación de sintaxis abstracta (ASN.1). Los tipos de archivo incluyen . CER, . Archivos con formato DER y PKCS #7.

certutil [options] -asn File [type]

[type]: tipo de descodificación de CRYPT_STRING_* numérico

-decodehex

Descodifica un archivo con codificación hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo de descodificación de CRYPT_STRING_* numérico

Options:

[-f]

-encodehex

Codifica un archivo en hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo de codificación numérica CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Descodifica un archivo codificado en Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codifica un archivo en Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Deniega una solicitud pendiente.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Vuelve a enviar una solicitud pendiente.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Establece atributos para una solicitud de certificado pendiente.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId es el identificador de solicitud numérico para la solicitud pendiente.
AttributeString son los pares de nombre y valor del atributo de solicitud.

Options:

[-config Machine\CAName]

Remarks

Los nombres y los valores deben estar separados por dos puntos, mientras que varios nombres y pares de valores deben estar separados por saltos de línea. Por ejemplo: CertificateTemplate:User\nEMail:User@Domain.com donde la \n secuencia se convierte en un separador de nueva línea.

-setextension

Establezca una extensión para una solicitud de certificado pendiente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID es el ID de solicitud numérico para la solicitud pendiente.
ExtensionName es la cadena ObjectId de la extensión.
Marcas establece la prioridad de la extensión. 0 se recomienda, mientras 1 que establece la extensión en crítica, 2 deshabilita la extensión y 3 lo hace.

Options:

[-config Machine\CAName]

Remarks

Si el último parámetro es numérico, se toma como Long.
Si el último parámetro se puede analizar como una fecha, se toma como una fecha.
Si el último parámetro comienza con \@, el resto del token se toma como el nombre de archivo con datos binarios o un volcado hexadecimal de texto ASCII.
Si el último parámetro es cualquier otra cosa, se toma como una cadena.

-revoke

Revoca un certificado.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber es una lista separada por comas de números de serie de certificados que se van a revocar.
La razón es la representación numérica o simbólica de la razón de revocación, que incluye:
- 0. CRL_REASON_UNSPECIFIED - Sin especificar (predeterminado)
- 1. CRL_REASON_KEY_COMPROMISE - Compromiso clave
- 2. CRL_REASON_CA_COMPROMISE - Compromiso de la autoridad de certificación
- 3. CRL_REASON_AFFILIATION_CHANGED - Afiliación cambiada
- 4. CRL_REASON_SUPERSEDED - Reemplazado
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cese de la operación
- 6. CRL_REASON_CERTIFICATE_HOLD - Retención de certificado
- 8. CRL_REASON_REMOVE_FROM_CRL - Eliminar de CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio retirado
- 10: CRL_REASON_AA_COMPROMISE - Compromiso AA
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Muestra la disposición del certificado actual.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Obtiene la cadena de configuración predeterminada.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtiene la cadena de configuración predeterminada a través de ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Obtiene la configuración a través de ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Intenta ponerse en contacto con la interfaz de solicitud de Servicios de certificados de Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList es una lista separada por comas de nombres de máquinas de CA. Para una sola máquina, use una coma de terminación. Esta opción también muestra el costo del sitio para cada máquina de CA.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Intenta ponerse en contacto con la interfaz de administrador de Servicios de certificados de Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Muestra información sobre la entidad de certificación.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName indica la propiedad CA que se va a mostrar, en función de la siguiente sintaxis del argumento infoname:
- * - Muestra todas las propiedades
- ads - Servidor avanzado
- aia [Índice] - URL de AIA
- cdp [Índice] - URL de CDP
- cert [Índice] - Certificado de CA
- certchain [Índice]: cadena de certificados de CA
- certcount - recuento de certificados de CA
- certcrlchain [Índice]: cadena de certificados de CA con CRL
- certstate [Índice]: certificado de CA
- certstatuscode [Índice]: estado de verificación de certificados de CA
- certversion [Index]: versión del certificado de CA
- CRL [Índice] - CRL base
- crlstate [Índice] - CRL
- crlstatus [Índice]: estado de publicación de CRL
- cross- [Índice] - Certificado cruzado hacia atrás
- cross+ [Índice] - Certificación cruzada directa
- crossstate- [Index] - Certificado cruzado hacia atrás
- crossstate+ [Index]: certificación cruzada directa
- deltacrl [Índice] - Delta CRL
- deltacrlstatus [Índice]: estado de publicación de Delta CRL
- dns - Nombre DNS
- dsname - Nombre corto de CA desinfectado (nombre DS)
- error1 ErrorCode : texto del mensaje de error
- error2 ErrorCode : texto del mensaje de error y código de error
- exit [Index] - Descripción del módulo de salida
- exitcount - Recuento de módulos de salida
- file - Versión del archivo
- info - CA info
- kra [Índice] - KRA cert
- kracount - Recuento de certificados KRA
- krastate [Índice] - Certificado KRA
- kraused - Recuento de certificados KRA utilizados
- localename : nombre de configuración regional de CA
- name - Nombre de CA
- ocsp [Índice]: direcciones URL de OCSP
- parent - CA principal
- policy - Descripción del módulo de políticas
- product - Versión del producto
- propidmax - PropId máximo de CA
- role - Separación de roles
- sanitizedname : nombre de CA desinfectado
- sharedfolder - Carpeta compartida
- subjecttemplateoids - OIDs de plantillas de asunto
- templates - Plantillas
- type - Tipo de CA
- xchg [Índice]: certificado de intercambio de CA
- xchgchain [Índice]: cadena de certificados de intercambio de CA
- xchgcount : recuento de certificados de intercambio de CA
- xchgcrlchain [Índice]: cadena de certificados de intercambio de CA con CRL
index es el índice de propiedad opcional de base cero.
errorcode es el código de error numérico.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Muestra información sobre el tipo de propiedad ca.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera el certificado de la entidad de certificación.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile es el archivo de salida.
Índice es el índice de renovación de certificados de CA (el valor predeterminado es el más reciente).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la cadena de certificados para la entidad de certificación.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile es el archivo de salida.
Índice es el índice de renovación de certificados de CA (el valor predeterminado es el más reciente).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtiene una lista de revocación de certificados (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Index es el índice CRL o el índice de clave (el valor predeterminado es CRL para la clave más reciente).
delta es la CRL delta (el valor predeterminado es CRL base).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica nuevas listas de revocación de certificados (CRL) o CRL delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh es el nuevo período de validez de CRL en días y horas.
republish vuelve a publicar las CRL más recientes.
delta publica solo las CRL delta (el valor predeterminado es CRL base y delta).

Options:

[-split] [-config Machine\CAName]

-shutdown

Cierra los servicios de certificados de Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Instala un certificado de entidad de certificación.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renueva un certificado de entidad de certificación.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Use -f para omitir una solicitud de renovación pendiente y para generar una nueva solicitud.

-schema

Volca el esquema del certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

El comando tiene como valor predeterminado la tabla Solicitud y certificado.
Ext es la mesa de extensión.
Atributo es la tabla de atributos.
CRL es la tabla CRL.

Options:

[-split] [-config Machine\CAName]

-view

Volca la vista de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

La cola vuelca una cola de solicitudes específica.
El registro vuelca los certificados emitidos o revocados, además de las solicitudes con errores.
LogFail vuelca las solicitudes con errores.
Revoked vuelca los certificados revocados.
Ext vuelca la tabla de extensión.
Attrib vuelca la tabla de atributos.
CRL vuelca la tabla de CRL.
CSV proporciona la salida mediante valores separados por comas.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Para visualizar la columna StatusCode para todas las entradas, escriba -out StatusCode
Para mostrar todas las columnas de la última entrada, escriba: -restrict RequestId==$
Para mostrar RequestId y Disposition para tres solicitudes, escriba: -restrict requestID>=37,requestID<40 -out requestID,disposition
Para mostrar los identificadores de fila Los identificadores de fila y los números de CRL para todas las CRL base, escriba: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Para mostrar el número 3 de CRL base, escriba: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Para mostrar toda la tabla CRL, escriba: CRL
Use Date[+|-dd:hh] para las restricciones de fecha.
Use now+dd:hh para una fecha relativa a la hora actual.
Las plantillas contienen usos de clave extendida (EKU), que son identificadores de objeto (OID) que describen cómo se usa el certificado. Los certificados no siempre incluyen nombres comunes de plantilla o nombres para mostrar, pero siempre contienen las EKU de plantilla. Puede extraer las EKU de una plantilla de certificado específica de Active Directory y, a continuación, restringir las vistas en función de esa extensión.

-db

Volca la base de datos sin procesar.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una fila de la base de datos del servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

La solicitud elimina las solicitudes fallidas y pendientes, según la fecha de envío.
Cert elimina los certificados caducados y revocados, en función de la fecha de caducidad.
Ext elimina la tabla de extensión.
Attrib elimina la tabla de atributos.
CRL elimina la tabla CRL.

Options:

[-f] [-config Machine\CAName]

Examples

Para eliminar solicitudes con errores y pendientes enviadas el 22 de enero de 2001, escriba: 1/22/2001 request
Para eliminar todos los certificados que expiraron el 22 de enero de 2001, escriba: 1/22/2001 cert
Para eliminar la fila, los atributos y las extensiones del certificado para RequestID 37, escriba: 37
Para eliminar las CRL que expiraron el 22 de enero de 2001, escriba: 1/22/2001 crl

Note

Date espera el formato mm/dd/yyyy en lugar de dd/mm/yyyy, por ejemplo 1/22/2001 , en lugar de para el 22 de 22/1/2001 enero de 2001. Si el servidor no está configurado con la configuración regional de EE. UU., el uso del argumento Date puede producir resultados inesperados.

-backup

Realiza una copia de seguridad de los servicios de certificados de Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory es el directorio para almacenar los datos de copia de seguridad.
Incremental solo realiza una copia de seguridad incremental (el valor predeterminado es copia de seguridad completa).
KeepLog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Realiza una copia de seguridad de la base de datos de Servicios de certificados de Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory es el directorio para almacenar los archivos de base de datos de copia de seguridad.
Incremental solo realiza una copia de seguridad incremental (el valor predeterminado es copia de seguridad completa).
KeepLog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

Options:

[-f] [-config Machine\CAName]

-backupkey

Realiza una copia de seguridad del certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory es el directorio para almacenar el archivo PFX de copia de seguridad.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaura los servicios de certificados de Active Directory.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory es el directorio que contiene los datos que se van a restaurar.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura la base de datos de Servicios de certificados de Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory es el directorio que contiene los archivos de base de datos que se van a restaurar.

Options:

[-f] [-config Machine\CAName]

-restorekey

Restaura el certificado de Servicios de certificados de Active Directory y la clave privada.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory es el directorio que contiene el archivo PFX que se va a restaurar.
PFXFile es el archivo PFX que se va a restaurar.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta los certificados y las claves privadas. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName es el nombre del almacén de certificados.
CertId es el certificado o token de coincidencia de CRL.
PFXFile es el archivo PFX que se va a exportar.
Los modificadores son la lista separada por comas, que puede incluir uno o varios de los siguientes:
- CryptoAlgorithm= especifica el algoritmo criptográfico que se utilizará para cifrar el archivo PFX, como TripleDES-Sha1 o Aes256-Sha256.
- EncryptCert : cifra la clave privada asociada al certificado con una contraseña.
- ExportParameters -Exports los parámetros de clave privada además del certificado y la clave privada.
- ExtendedProperties : incluye todas las propiedades extendidas asociadas al certificado en el archivo de salida.
- NoEncryptCert : exporta la clave privada sin cifrarla.
- NoChain : no importa la cadena de certificados.
- NoRoot : no importa el certificado raíz.

-importPFX

Importa los certificados y las claves privadas. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName es el nombre del almacén de certificados.
PFXFile es el archivo PFX que se va a importar.
Los modificadores son la lista separada por comas, que puede incluir uno o varios de los siguientes:
- AT_KEYEXCHANGE - Cambia la especificación clave a intercambio de claves.
- AT_SIGNATURE - Cambia la especificación clave a la firma.
- ExportEncrypted : exporta la clave privada asociada al certificado con cifrado de contraseña.
- FriendlyName= : especifica un nombre descriptivo para el certificado importado.
- KeyDescription= : especifica una descripción para la clave privada asociada al certificado importado.
- KeyFriendlyName= : especifica un nombre descriptivo para la clave privada asociada al certificado importado.
- NoCert : no importa el certificado.
- NoChain : no importa la cadena de certificados.
- NoExport : hace que la clave privada no se pueda exportar.
- NoProtect : no protege las claves con contraseña mediante una contraseña.
- NoRoot : no importa el certificado raíz.
- Pkcs8 : usa el formato PKCS8 para la clave privada en el archivo PFX.
- Proteger : protege las claves mediante una contraseña.
- ProtectHigh : especifica que se debe asociar una contraseña de alta seguridad a la clave privada.
- VSM : almacena la clave privada asociada con el certificado importado en el contenedor de tarjeta inteligente virtual (VSC).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

El valor predeterminado es el almacén de máquinas personales.

-dynamicfilelist

Muestra una lista de archivos dinámicos.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Muestra las ubicaciones de la base de datos.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Genera y muestra un hash criptográfico a través de un archivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Volca el almacén de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName es el nombre del almacén de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el certificado o token de coincidencia de CRL. Este identificador puede ser un:
- Serial number
- SHA-1 certificate
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Public key
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- E-mail address
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos identificadores pueden dar lugar a varias coincidencias.

OutputFile es el archivo utilizado para guardar los certificados coincidentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La -enterprise opción accede a un almacén empresarial de máquinas.
La -service opción accede a un almacén de servicio de máquina.
La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Los problemas de rendimiento se observan al usar el -store parámetro dados estos dos aspectos:

Cuando el número de certificados del almacén supera los 10.
Cuando se especifica un CertId , se usa para hacer coincidir todos los tipos enumerados para cada certificado. Por ejemplo, si se proporciona un número de serie , también intentará coincidir con todos los demás tipos enumerados.

Si le preocupa los problemas de rendimiento, se recomiendan comandos de PowerShell en los que solo coincidirá con el tipo de certificado especificado.

-enumstore

Enumera los almacenes de certificados.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName es el nombre de la máquina remota.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Agrega un certificado al almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName es el nombre del almacén de certificados.
InFile es el certificado o archivo CRL que desea agregar al almacén.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificado del almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName es el nombre del almacén de certificados.
CertId es el certificado o token de coincidencia de CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Comprueba un certificado en el almacén. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName es el nombre del almacén de certificados.
CertId es el certificado o token de coincidencia de CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara una asociación de claves o actualiza las propiedades del certificado o el descriptor de seguridad de clave. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName es el nombre del almacén de certificados.
CertIdList es la lista separada por comas de tokens de coincidencia de certificados o CRL. Para obtener más información, consulte la -store descripción de CertId en este artículo.

PropertyInfFile es el archivo INF que contiene propiedades externas, entre las que se incluyen:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Volca el almacén de certificados. Para obtener más información, consulte el -store parámetro de este artículo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName es el nombre del almacén de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el certificado o token de coincidencia de CRL. Esto puede ser:
- Serial number
- SHA-1 certificate
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Public key
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- E-mail address
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos pueden dar lugar a varias coincidencias.

OutputFile es el archivo utilizado para guardar los certificados coincidentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La -enterprise opción accede a un almacén empresarial de máquinas.
La -service opción accede a un almacén de servicio de máquina.
La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Elimina un certificado del almacén.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName es el nombre del almacén de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId es el certificado o token de coincidencia de CRL. Esto puede ser:
- Serial number
- SHA-1 certificate
- CRL, CTL o hash de clave pública
- Índice de certificado numérico (0, 1, etc.)
- Índice CRL numérico (.0, .1, etc.)
- Índice de CTL numérico (.. 0, .. 1, etc.)
- Public key
- ObjectId de firma o extensión
- Nombre común del firmante del certificado
- E-mail address
- Nombre DE UPN o DNS
- Nombre del contenedor de claves o nombre de CSP
- Nombre de plantilla o ObjectId
- ObjectId de EKU o directivas de aplicación
- Nombre común del emisor crL.

Muchos de estos pueden dar lugar a varias coincidencias.

OutputFile es el archivo utilizado para guardar los certificados coincidentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.
La -enterprise opción accede a un almacén empresarial de máquinas.
La -service opción accede a un almacén de servicio de máquina.
La -grouppolicy opción accede a un almacén de directivas de grupo de máquinas.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Invoca la interfaz certutil.

certutil [options] -UI File [import]

-TPMInfo

Muestra información del módulo de plataforma segura.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Especifica que se debe atestiguar el archivo de solicitud de certificado.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Selecciona un certificado de una interfaz de usuario de selección.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Muestra nombres distintivos (DS) del servicio de directorio (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina los DS DS.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Publica una lista de revocación de certificados o certificados (CRL) en Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile es el nombre del archivo de certificado que se va a publicar.
NTAuthCA publica el certificado en el almacén de DS Enterprise.
RootCA publica el certificado en el almacén raíz de confianza de DS.
SubCA publica el certificado de CA en el objeto de CA de DS.
CrossCA publica el certificado cruzado en el objeto de CA de DS.
KRA publica el certificado en el objeto DS Key Recovery Agent.
El usuario publica el certificado en el objeto DS de usuario.
Machine publica el certificado en el objeto Machine DS.
CRLfile es el nombre del archivo CRL que se va a publicar.
DSCDPContainer es el CN del contenedor DS CDP, normalmente el nombre de la máquina de CA.
DSCDPCN es el CN del objeto DS CDP basado en el nombre corto y el índice de clave de CA saneados.

Options:

[-f] [-user] [-dc DCName]

Use -f para crear un nuevo objeto DS.

-dsCert

Muestra los certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Muestra las CRL de DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Muestra las CRL delta de DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Muestra los atributos de plantilla de DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Agrega plantillas de DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Muestra plantillas de Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Muestra las plantillas de directiva de inscripción de certificados.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Muestra las entidades de certificación (CA) de una plantilla de certificado.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Muestra plantillas para la entidad de certificación.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Establece las plantillas de certificado que puede emitir la entidad de certificación.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

El + signo agrega plantillas de certificado a la lista de plantillas disponibles de la entidad de certificación.
El - signo quita las plantillas de certificado de la lista de plantillas disponibles de la entidad de certificación.

-SetCASites

Administra los nombres de sitio, incluida la configuración, la comprobación y la eliminación de nombres de sitio de la entidad de certificación.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

SiteName solo se permite cuando se dirige a una sola autoridad de certificación.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

La -config opción tiene como destino una única entidad de certificación (el valor predeterminado es todas las CA).
La -f opción se puede usar para anular los errores de validación para el SiteName especificado o para eliminar todos los nombres de sitio de CA.

Note

Para obtener más información sobre cómo configurar ca para el reconocimiento del sitio de Active Directory Domain Services (AD DS), consulte Reconocimiento del sitio de AD DS para clientes de AD CS y PKI.

-enrollmentServerURL

Muestra, agrega o elimina las direcciones URL del servidor de inscripción asociadas a una ENTIDAD de certificación.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType especifica uno de los siguientes métodos de autenticación de cliente al agregar una dirección URL:
- Kerberos : use credenciales SSL de Kerberos.
- Nombre de usuario : use una cuenta con nombre para las credenciales SSL.
- ClientCertificate : use credenciales SSL de certificado X.509.
- Anónimo : use credenciales SSL anónimas.
delete elimina la dirección URL especificada asociada a la entidad de certificación.
La prioridad predeterminada 1 es si no se especifica al agregar una URL.
Modificadores es una lista separada por comas, que incluye uno o más de los siguientes:
- AllowRenewalsSolo se pueden enviar solicitudes de renovación a esta CA a través de esta dirección URL.
- AllowKeyBasedRenewal permite el uso de un certificado que no tiene ninguna cuenta asociada en AD. Esto solo se aplica con los modos ClientCertificate y AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Muestra las entidades de certificación de Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Muestra la directiva de inscripción Entidades de certificación.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Muestra la directiva de inscripción.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Muestra o elimina entradas de caché de directivas de inscripción.

certutil [options] -PolicyCache [delete]

Where:

delete elimina las entradas de caché del servidor de políticas.
-f elimina todas las entradas de caché

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Muestra, agrega o elimina entradas del Almacén de credenciales.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL es la URL de destino. También puede usar * para buscar coincidencias con todas las entradas o https://machine* para que coincidan con un prefijo de dirección URL.
Agregar agrega una entrada de almacén de credenciales. El uso de esta opción también requiere el uso de credenciales SSL.
delete elimina las entradas del almacén de credenciales.
-f sobrescribe una sola entrada o elimina varias.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala las plantillas de certificado predeterminadas.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Comprueba las direcciones URL de certificado o CRL.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Muestra o elimina entradas de caché de direcciones URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

URL es la URL almacenada en caché.
CRL se ejecuta solo en todas las direcciones URL de CRL almacenadas en caché.
* funciona en todas las direcciones URL almacenadas en caché.
delete elimina las URL relevantes de la caché local del usuario actual.
-f fuerza la obtención de una URL específica y la actualización de la caché.

Options:

[-f] [-split]

-pulse

Pulsa un evento de inscripción automática o una tarea NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName es la tarea que se va a desencadenar.
- Pregen es la tarea de pregen de NGC Key.
- AIKEnroll es la tarea de inscripción de certificados NGC AIK. (El valor predeterminado es el evento de inscripción automática).
SRKThumbprint es la huella digital de la clave raíz de almacenamiento
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Muestra información sobre el objeto de máquina de Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Muestra información sobre el controlador de dominio. El valor predeterminado muestra certificados de controlador de dominio sin comprobación.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

La capacidad de especificar un dominio de Servicios de dominio de Active Directory (AD DS ) [Domain] y especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar correctamente el comando, debe usar una cuenta que sea miembro de Administradores de dominio o Administradores de empresa. Las modificaciones de comportamiento de este comando son las siguientes:

Si no se especifica un dominio y no se especifica un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
Si no se especifica un dominio, pero se especifica un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
Si se especifica un dominio, pero no se especifica un controlador de dominio, se genera una lista de controladores de dominio junto con informes sobre los certificados de cada controlador de dominio de la lista.
Si se especifican el dominio y el controlador de dominio, se genera una lista de controladores de dominio a partir del controlador de dominio de destino. También se genera un informe de los certificados de cada controlador de dominio de la lista.

Por ejemplo, supongamos que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL-DC1. Puede ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Muestra información sobre una entidad de certificación empresarial.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Muestra información sobre la entidad de certificación.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Muestra información sobre la tarjeta inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET elimina todas las claves de la tarjeta inteligente.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Administra certificados raíz de tarjeta inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Enumera las claves almacenadas en un contenedor de claves.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName es el nombre del contenedor de claves para la clave que se va a verificar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
El uso del - signo hace referencia al uso del contenedor de claves predeterminado.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina el contenedor de claves con nombre.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina el contenedor de Windows Hello, quitando todas las credenciales asociadas que se almacenan en el dispositivo, incluidas las credenciales WebAuthn y FIDO.

Los usuarios deben cerrar sesión después de usar esta opción para que se complete.

certutil [options] -DeleteHelloContainer

-verifykeys

Comprueba un conjunto de claves pública o privada.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName es el nombre del contenedor de claves para la clave que se va a verificar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a las claves de usuario, use -user.
CACertFile firma o cifra archivos de certificado.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Si no se especifica ningún argumento, cada certificado de entidad de certificación de firma se comprueba con su clave privada.
Esta operación solo se puede realizar en una entidad de certificación local o en claves locales.

-verify

Comprueba un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile es el nombre del certificado que se va a verificar.
ApplicationPolicyList es la lista opcional separada por comas de los ObjectIds de directiva de aplicación necesarios.
IssuancePolicyList es la lista opcional separada por comas de los ObjectIds de directiva de emisión necesarios.
CACertFile es el certificado de CA emisor opcional para verificar.
CrossedCACertFile es el certificado opcional certificado de forma cruzada por CertFile.
CRLFile es el archivo CRL que se usa para comprobar el CACertFile.
IssuedCertFile es el certificado emitido opcional cubierto por CRLfile.
DeltaCRLFile es el archivo CRL delta opcional.
Modifiers:
- Seguro: comprobación de firma segura
- MSRoot: debe encadenar a una raíz de Microsoft
- MSTestRoot: debe encadenar a una raíz de prueba de Microsoft
- AppRoot: debe encadenar a una raíz de aplicación de Microsoft
- EV: aplicación de la directiva de validación extendida

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

El uso de ApplicationPolicyList restringe la creación de cadenas a solo cadenas válidas para las directivas de aplicación especificadas.
El uso de IssuancePolicyList restringe la creación de cadenas a solo cadenas válidas para las directivas de emisión especificadas.
El uso de CACertFile comprueba los campos del archivo con CertFile o CRLfile.
Si no se especifica CACertFile , la cadena completa se compila y se comprueba con CertFile.
Si se especifican CACertFile y CrossedCACertFile , los campos de ambos archivos se comprueban con CertFile.
El uso de IssuedCertFile comprueba los campos del archivo con CRLfile.
El uso de DeltaCRLFile comprueba los campos del archivo con CertFile.

-verifyCTL

Comprueba el CTL de certificados no permitidos o AuthRoot.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject identifica la CTL que se va a verificar, incluyendo:
- AuthRootWU lee el CAB de AuthRoot y los certificados coincidentes de la caché de URL. Use -f para descargar desde Windows Update en su lugar.
- DisallowedWU lee el CAB de certificados no permitidos y el archivo de almacén de certificados no permitidos de la caché de URL. Use -f para descargar desde Windows Update en su lugar.
  - PinRulesWU lee el CAB de PinRules de la caché de URL. Use -f para descargar desde Windows Update en su lugar.
- AuthRoot lee el CTL de AuthRoot almacenado en caché del registro. Úselo con -f y un CertFile que no es de confianza para forzar la actualización de las CTL de AuthRoot y Certificado no permitido almacenadas en caché en el Registro.
- Disallowed lee el CTL de certificados no permitidos almacenados en caché del Registro. Úselo con -f y un CertFile que no es de confianza para forzar la actualización de las CTL de AuthRoot y Certificado no permitido almacenadas en caché en el Registro.
  - PinRules lee el CTL PinRules almacenado en caché del Registro. El uso -f tiene el mismo comportamiento que con PinRulesWU.
- CTLFileName especifica la ruta de acceso del archivo o http al archivo CTL o CAB.
CertDir especifica la carpeta que contiene los certificados que coinciden con las entradas CTL. El valor predeterminado es la misma carpeta o sitio web que CTLobject. El uso de una ruta de acceso de carpeta http requiere un separador de ruta de acceso al final. Si no especifica AuthRoot o Disallowed, se buscan certificados coincidentes en varias ubicaciones, incluidos los almacenes de certificados locales, los recursos crypt32.dll y la caché de direcciones URL local. Use -f para descargar desde Windows Update, según sea necesario.
CertFile especifica los certificados que se van a verificar. Los certificados se comparan con las entradas de CTL, mostrando los resultados. Esta opción suprime la mayor parte de la salida predeterminada.

Options:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados con Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir es el directorio especificado.
f fuerza una sobrescritura.
Unicode escribe la salida redirigida en Unicode.
gmt muestra las horas como GMT.
segundos muestra los tiempos con segundos y milisegundos.
v es una operación detallada.
PIN es el PIN de la tarjeta inteligente.
WELL_KNOWN_SID_TYPE es un SID numérico:
- 22 - Sistema local
- 23 - Servicio local
- 24 - Servicio de red

Remarks

Los archivos siguientes se descargan mediante el mecanismo de actualización automática:

authrootstl.cab contiene las CTL de certificados raíz que no son de Microsoft.
disallowedcertstl.cab contiene las CTL de certificados que no son de confianza.
disallowedcert.sst contiene el almacén de certificados serializados, incluidos los certificados que no son de confianza.
thumbprint.crt contiene los certificados raíz que no son de Microsoft.

Por ejemplo: certutil -syncWithWU \\server1\PKI\CTLs.

Si usa una ruta de acceso o carpeta local inexistente como carpeta de destino, verá el error: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Si usa una ubicación de red inexistente o no disponible como carpeta de destino, verá el error: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Si el servidor no puede conectarse a través del puerto TCP 80 a los servidores de Microsoft Automatic Update, recibirá el siguiente error: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Si el servidor no puede acceder a los servidores de Microsoft Automatic Update con el nombre ctldl.windowsupdate.comDNS , recibirá el siguiente error: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Si no usa el -f modificador y ya existe alguno de los archivos CTL en el directorio, aparece un archivo que existe: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Si hay un cambio en los certificados raíz de confianza, verá lo siguiente: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un archivo de almacén que se sincroniza con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile es el .sst archivo que se generará y que contiene las raíces de terceros descargadas de Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Genera un archivo de lista de confianza de certificados (CTL) que contiene una lista de reglas de anclaje.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile es el archivo XML de entrada que se va a analizar.
CTLFile es el archivo CTL de salida que se va a generar.
SSTFile es el archivo opcional .sst que se va a crear y que contiene todos los certificados utilizados para el anclaje.
QueryFilesPrefix son archivos opcionalesDomains.csv y Keys.csv que se van a crear para la consulta de la base de datos.
- La cadena QueryFilesPrefix se antepone a cada archivo creado.
- El archivoDomains.csvcontiene el nombre de la regla y las filas de dominio.
- El archivoKeys.csvcontiene el nombre de la regla, las filas de huella digital SHA256 clave.

Options:

[-f]

-downloadOcsp

Descarga las respuestas OCSP y escribe en el directorio.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir es el directorio de un certificado, almacén y archivos PFX.
OcspDir es el directorio para escribir respuestas OCSP.
ThreadCount es el número máximo opcional de subprocesos para la descarga simultánea. El valor predeterminado es 10.
Los modificadores son listas separadas por comas de uno o más de los siguientes:
- DownloadOnce : descarga una vez y se cierra.
- ReadOcsp : lee desde OcspDir en lugar de escribir.

-generateHpkpHeader

Genera el encabezado HPKP mediante certificados en un archivo o directorio especificados.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir es el archivo o directorio de certificados, que es el origen de pin-sha256.
MaxAge es el valor max-age en segundos.
ReportUri es el report-uri opcional.
Los modificadores son listas separadas por comas de uno o más de los siguientes:
- includeSubDomains : anexa includeSubDomains.

-flushCache

Vacía las memorias caché especificadas en el proceso seleccionado, como, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId es el identificador numérico de un proceso que se va a vaciar. Establézcalo en 0 para vaciar todos los procesos en los que está habilitado el vaciado.
CacheMask es la máscara de bits de las cachés que se van a vaciar, ya sea numérica o los siguientes bits:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Los modificadores son listas separadas por comas de uno o más de los siguientes:
- Mostrar : muestra las cachés que se están vaciando. Certutil debe terminarse explícitamente.

-addEccCurve

Agrega una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass es el tipo de clase de curva ECC:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName es el nombre de la curva ECC.
CurveParameters son uno de los siguientes:
- Un nombre de archivo de certificado que contiene parámetros codificados por ASN.
- Un archivo que contiene parámetros codificados por ASN.
CurveOID es el OID de la curva ECC y es uno de los siguientes:
- Un nombre de archivo de certificado que contiene un OID codificado por ASN.
- Un OID explícito de la curva ECC.
CurveType es el punto NamedCurve de Schannel ECC (numérico).

Options:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName es el nombre de la curva ECC.
CurveOID es el OID de la curva ECC.

Options:

[-f]

-displayEccCurve

Muestra la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName es el nombre de la curva ECC.
CurveOID es el OID de la curva ECC.

Options:

[-f]

-csplist

Enumera los proveedores de servicios criptográficos (CSP) instalados en esta máquina para las operaciones criptográficas.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Comprueba los CSP instalados en este equipo.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Muestra la configuración criptográfica de CNG en esta máquina.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Vuelva a firmar una lista de revocación de certificados (CRL) o un certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList es la lista separada por comas de archivos de certificado o CRL que se van a modificar y volver a firmar.
SerialNumber es el número de serie del certificado que se va a crear. El período de validez y otras opciones no pueden estar presentes.
CRL crea una CRL vacía. El período de validez y otras opciones no pueden estar presentes.
OutFileList es la lista separada por comas de certificados modificados o archivos de salida de CRL. El número de archivos debe coincidir con infilelist.
StartDate+dd:hh es el nuevo período de validez para el certificado o los archivos CRL, que incluye:
- fecha opcional más
- período de validez de días y horas opcionales Si se usan varios campos, use un separador (+) o (-). Use now[+dd:hh] para iniciarse en la hora actual. Use now-dd:hh+dd:hh para iniciarse en un desplazamiento fijo desde la hora actual y un período de validez fijo. Use never para no tener fecha de expiración (solo para CRL).
SerialNumberList es la lista de números de serie separados por comas de los archivos que se van a agregar o quitar.
ObjectIdList es la extensión separada por comas ObjectId list de los archivos que se van a quitar.

@ExtensionFile es el archivo INF que contiene las extensiones que se van a actualizar o quitar. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm es el nombre del algoritmo hash. Solo debe ser el texto precedido por el # signo.
AlternateSignatureAlgorithm es el especificador del algoritmo de firma alternativa.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

El uso del signo menos (-) quita los números de serie y las extensiones.
El uso del signo más (+) agrega números de serie a una CRL.
Puede usar una lista para quitar números de serie y ObjectIds de una CRL al mismo tiempo.
El uso del signo menos antes de AlternateSignatureAlgorithm le permite usar el formato de firma heredado.
El uso del signo más permite usar el formato de firma alternativo.
Si no especifica AlternateSignatureAlgorithm, se usa el formato de firma en el certificado o CRL.

-vroot

Crea o elimina raíces virtuales web y recursos compartidos de archivos.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina raíces virtuales web para un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Agrega una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer requiere que utilice un método de autenticación para la conexión del cliente al servidor de inscripción de certificados, que incluye:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa una cuenta con nombre para las credenciales SSL.
- ClientCertificate utiliza credenciales SSL de certificado X.509.
Modifiers:
- AllowRenewalsOnly solo permite envíos de solicitudes de renovación a la entidad de certificación a través de la dirección URL.
- AllowKeyBasedRenewal permite el uso de un certificado sin cuenta asociada en Active Directory. Esto se aplica cuando se usa con los modos ClientCertificate y AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina una aplicación del servidor de inscripción y un grupo de aplicaciones si es necesario para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer requiere que use un método de autenticación para la conexión de cliente al servidor de inscripción de certificados, que incluye:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa una cuenta con nombre para las credenciales SSL.
- ClientCertificate utiliza credenciales SSL de certificado X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

Agregue una aplicación de servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer requiere que utilice un método de autenticación para la conexión de cliente al servidor de políticas de certificados, que incluye:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa una cuenta con nombre para las credenciales SSL.
- ClientCertificate utiliza credenciales SSL de certificado X.509.
KeyBasedRenewal permite el uso de directivas devueltas al cliente que contienen plantillas keybasedrenewal. Esta opción solo se aplica a la autenticación UserName y ClientCertificate .

-deletePolicyServer

Elimina una aplicación de servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no quita archivos binarios ni paquetes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer requiere que utilice un método de autenticación para la conexión de cliente al servidor de directivas de certificados, que incluye:
- Kerberos usa credenciales SSL de Kerberos.
- UserName usa una cuenta con nombre para las credenciales SSL.
- ClientCertificate utiliza credenciales SSL de certificado X.509.
KeyBasedRenewal permite el uso de un servidor de directivas KeyBasedRenewal.

-Class

Muestra información del Registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Comprueba el certificado para codificaciones de longitud de 0x7f.

certutil [options] -7f CertFile

-oid

Muestra el identificador de objeto o establece un nombre para mostrar.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId es el identificador que se va a mostrar o agregar al nombre para mostrar.
GroupId es el número de GroupID (decimal) que enumeran los ObjectIds.
AlgId es el identificador hexadecimal que busca objectID.
AlgorithmName es el nombre del algoritmo que busca objectID.
DisplayName muestra el nombre que se va a almacenar en DS.
Eliminar elimina el nombre para mostrar.
LanguageId es el valor del identificador de idioma (el valor predeterminado es actual: 1033).
Tipo es el tipo de objeto DS que se va a crear, que incluye:
- 1 - Plantilla (valor predeterminado)
- 2 - Directiva de emisión
- 3 - Directiva de aplicación
-f crea un objeto DS.

Options:

[-f]

-error

Muestra el texto del mensaje asociado a un código de error.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtiene información simple del Protocolo de transferencia de correo (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Establece información SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Muestra un valor del Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca utiliza la clave del Registro de una entidad de certificación.
restore usa la clave de registro de restauración de la entidad de certificación.
La directiva utiliza la clave del Registro del módulo de directiva.
exit usa la clave del Registro del primer módulo de salida.
La plantilla usa la clave del Registro de la plantilla (se usa -user para plantillas de usuario).
enroll usa la clave del Registro de inscripción (se usa -user para el contexto del usuario).
chain usa la clave del Registro de configuración de cadena.
PolicyServers utiliza la clave del Registro de servidores de políticas.
ProgId usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.
RegistryValueName usa el nombre del valor del Registro (se usa Name* para la coincidencia de prefijos).
value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Si un valor de cadena comienza con + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.
Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza como [Date][+|-][dd:hh] una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
Registry aliases:
- Config
- CA
- Directiva: PolicyModules
- Exit: ExitModules
- Restaurar: RestoreInProgress
- Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscribir: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP- Software\Microsoft\Cryptography\MSCEP
- Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers: software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - Sistema\CurrentControlSet\Services\crypt32
- NGC - Sistema \ CurrentControlSet \ Control \ Criptografía \ Ngc
- AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport- Software\Policies\Microsoft\PassportForWork
- MDM- Software\Microsoft\Policies\PassportForWork

-setreg

Establece un valor del Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca utiliza la clave del Registro de una entidad de certificación.
restore usa la clave de registro de restauración de la entidad de certificación.
La directiva utiliza la clave del Registro del módulo de directiva.
exit usa la clave del Registro del primer módulo de salida.
La plantilla usa la clave del Registro de la plantilla (se usa -user para plantillas de usuario).
enroll usa la clave del Registro de inscripción (se usa -user para el contexto del usuario).
chain usa la clave del Registro de configuración de cadena.
PolicyServers utiliza la clave del Registro de servidores de políticas.
ProgId usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.
RegistryValueName usa el nombre del valor del Registro (se usa Name* para la coincidencia de prefijos).
Value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Si un valor de cadena comienza con + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.
Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza como [Date][+|-][dd:hh] una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.

-delreg

Elimina un valor del Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca utiliza la clave del Registro de una entidad de certificación.
restore usa la clave de registro de restauración de la entidad de certificación.
La directiva utiliza la clave del Registro del módulo de directiva.
exit usa la clave del Registro del primer módulo de salida.
La plantilla usa la clave del Registro de la plantilla (se usa -user para plantillas de usuario).
enroll usa la clave del Registro de inscripción (se usa -user para el contexto del usuario).
chain usa la clave del Registro de configuración de cadena.
PolicyServers utiliza la clave del Registro de servidores de políticas.
ProgId usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.
RegistryValueName usa el nombre del valor del Registro (se usa Name* para la coincidencia de prefijos).
Value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza con + o -, los bits especificados en el nuevo valor se establecen o borran en el valor del Registro existente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Si un valor de cadena comienza con + o -, y el valor existente es un REG_MULTI_SZ valor, la cadena se agrega o quita del valor del Registro existente. Para forzar la creación de un REG_MULTI_SZ valor, agregue \n al final del valor de cadena.
Si el valor comienza por \@, el resto del valor es el nombre del archivo que contiene la representación de texto hexadecimal de un valor binario.
Si no hace referencia a un archivo válido, se analiza como [Date][+|-][dd:hh] una fecha opcional más o menos días y horas opcionales.
Si se especifican ambos, use un separador de signo más (+) o signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.
Use i64 como sufijo para crear un valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para vaciar de forma eficaz las CRL almacenadas en caché.
Registry aliases:
- Config
- CA
- Directiva: PolicyModules
- Exit: ExitModules
- Restaurar: RestoreInProgress
- Plantilla: Software\Microsoft\Cryptography\CertificateTemplateCache
- Inscribir: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP- Software\Microsoft\Cryptography\MSCEP
- Cadena: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers: software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - Sistema\CurrentControlSet\Services\crypt32
- NGC - Sistema \ CurrentControlSet \ Control \ Criptografía \ Ngc
- AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport- Software\Policies\Microsoft\PassportForWork
- MDM- Software\Microsoft\Policies\PassportForWork

-importKMS

Importa las claves de usuario y los certificados en la base de datos del servidor para el archivado de claves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile es un archivo de datos con claves privadas de usuario y certificados que se van a archivar. Este archivo puede ser:
- Un archivo de exportación de Exchange Key Management Server (KMS).
- Un archivo PFX.
CertId es un token de coincidencia de certificado de descifrado de archivos de exportación de KMS. Para obtener más información, consulte el -store parámetro de este artículo.
-f importa certificados no emitidos por la entidad de certificación.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un archivo de certificado en la base de datos.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow importa el certificado en lugar de una solicitud pendiente para la misma clave.
-f importa certificados no emitidos por la entidad de certificación.

Options:

[-f] [-config Machine\CAName]

Remarks

Es posible que la entidad de certificación también tenga que configurarse para admitir certificados externos mediante la ejecución certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNde .

-GetKey

Recupera un blob de recuperación de claves privadas archivadas, genera un script de recuperación o recupera claves archivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

script genera un script para recuperar y recuperar claves (comportamiento predeterminado si se encuentran varios candidatos de recuperación coincidentes o si no se especifica el archivo de salida).
retrieve recupera uno o varios blobs de recuperación de claves (comportamiento predeterminado si se encuentra exactamente un candidato de recuperación coincidente y si se especifica el archivo de salida). El uso de esta opción trunca cualquier extensión y anexa la cadena específica del certificado y la .rec extensión para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifradas en uno o varios certificados del Agente de recuperación de claves.
recover recupera y recupera claves privadas en un solo paso (requiere certificados y claves privadas del Agente de recuperación de claves). El uso de esta opción trunca cualquier extensión y anexa la .p12 extensión. Cada archivo contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.
SearchToken selecciona las claves y los certificados que se van a recuperar, entre los que se incluyen:
- Nombre común del certificado
- Número de serie del certificado
- Hash SHA-1 del certificado (huella digital)
- Hash SHA-1 de keyid de certificado (identificador de clave de firmante)
- Nombre del solicitante (dominio\usuario)
- UPN (user@domain)
RecoveryBlobOutFile genera un archivo con una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.
OutputScriptFile genera un archivo con un script por lotes para recuperar y recuperar claves privadas.
OutputFileBaseName genera un nombre base de archivo.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Para la recuperación, se trunca cualquier extensión y se anexa una cadena específica del certificado y las .rec extensiones para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifradas en uno o varios certificados del Agente de recuperación de claves.
Para recuperar, cualquier extensión se trunca y se anexa la .p12 extensión. Contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.

-RecoverKey

Recupera una clave privada archivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Combina archivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList es una lista separada por comas de archivos de entrada PFX.
PFXOutFile es el nombre del archivo de salida PFX.
Los modificadores son listas separadas por comas de uno o más de los siguientes:
- ExtendedProperties incluye las propiedades extendidas.
- NoEncryptCert especifica que no se deben cifrar los certificados.
- EncryptCert especifica que se deben cifrar los certificados.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.
Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última contraseña es *, se solicita al usuario la contraseña del archivo de salida.

-add-chain

Agrega una cadena de certificados.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Agrega una cadena de certificados previos.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Obtiene una cabeza de árbol firmada.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Obtiene los cambios de encabezado de árbol firmados.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Obtiene una prueba de un hash de un servidor de marca de tiempo.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Recupera entradas de un registro de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Recupera los certificados raíz del almacén de certificados.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Recupera una entrada del registro de eventos y su prueba criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Comprueba un certificado en el registro de transparencia de certificados.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Muestra la lista de parámetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? muestra la lista de parámetros
-<name_of_parameter> -? muestra contenido de ayuda para el parámetro especificado.
-? -v muestra una lista detallada de parámetros y opciones.

Options

En esta sección se definen todas las opciones que puede especificar, en función del comando . Cada parámetro incluye información sobre qué opciones son válidas para su uso.

Option	Description
-admin	Use ICertAdmin2 para las propiedades de ca.
-anonymous	Use credenciales SSL anónimas.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Use las credenciales SSL del certificado X.509. Para la interfaz de usuario de selección, use `-clientcertificate`.
-config Machine\CAName	Entidad de certificación y cadena de nombre de equipo.
-csp provider	Provider: KSP - Proveedor de almacenamiento de claves de software de Microsoft TPM : proveedor de cifrado de la plataforma de Microsoft NGC - Proveedor de almacenamiento de claves de Microsoft Passport SC - Proveedor de almacenamiento de claves de tarjeta inteligente de Microsoft
-dc DCName	Dirigirse a un controlador de dominio específico.
-enterprise	Use el almacén de certificados del Registro de empresa de la máquina local.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Genere SST mediante el mecanismo de actualización automática.
-gmt	Tiempos de visualización mediante GMT.
-GroupPolicy	Use el almacén de certificados de directiva de grupo.
-idispatch	Use IDispatch en lugar de métodos nativos COM.
-kerberos	Use las credenciales SSL de Kerberos.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-mt	Mostrar plantillas de máquina.
-nocr	Codificar texto sin caracteres CR.
-nocrlf	Codificar texto sin caracteres de CR-LF.
-nullsign	Use el hash de los datos como firma.
-oldpfx	Use el cifrado PFX antiguo.
-out columnlist	Lista de columnas separadas por comas.
-p password	Password
-pin PIN	PIN de tarjeta inteligente.
-policyserver URLorID	Dirección URL o identificador del servidor de directivas. Para la selección de E/S, use `-policyserver`. Para todos los servidores de directivas, use `-policyserver *`
-privatekey	Mostrar datos de contraseña y clave privada.
-protect	Proteja las claves con contraseña.
-protectto SAMnameandSIDlist	Lista de nombres SAM/SID separados por comas.
-restrict restrictionlist	Lista de restricciones separadas por comas. Cada restricción consta de un nombre de columna, un operador relacional y un entero constante, una cadena o una fecha. Un nombre de columna puede ir precedido por un signo más o menos para indicar el criterio de ordenación. Por ejemplo: `requestID = 47`, `+requestername >= a, requestername`, o `-requestername > DOMAIN, Disposition = 21`.
-reverse	Columnas de registro inverso y cola.
-seconds	Tiempos de visualización con segundos y milisegundos.
-service	Use el almacén de certificados de servicio.
-sid	Numeric SID: 22 - Sistema local 23 - Servicio local 24 - Servicio de red
-silent	Use la `silent` marca para adquirir el contexto de cifrado.
-split	Divida los elementos ASN.1 incrustados y guárdelos en los archivos.
-sslpolicy servername	Directiva SSL que coincide con ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nombre del algoritmo de clave simétrica con longitud de clave opcional. Por ejemplo: `AES,128` o `3DES`.
-syncWithWU DestinationDir	Sincronizar con Windows Update.
-t timeout	Tiempo de espera de captura de direcciones URL en milisegundos.
-Unicode	Escribir salida redirigida en Unicode.
-UnicodeText	Escriba el archivo de salida en Unicode.
-urlfetch	Recupere y compruebe los certificados de AIA y las CRL de CDP.
-user	Use las claves de HKEY_CURRENT_USER o el almacén de certificados.
-username username	Use la cuenta con nombre para las credenciales SSL. Para la interfaz de usuario de selección, use `-username`.
-ut	Mostrar plantillas de usuario.
-v	Proporcione información más detallada (detallada).
-v1	Use interfaces V1.

Algoritmos hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Para obtener más ejemplos de cómo usar este comando, consulte los artículos siguientes:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-08-16

Compartir a través de

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA