certutil
Certutil.exe est un programme en ligne de commande installé dans le cadre des services de certificats. Vous pouvez utiliser certutil.exe pour vider et afficher les informations de configuration de l’autorité de certification, configurer les services de certificats, sauvegarder et restaurer des composants d’autorité de certification et vérifier les certificats, les paires de clés et les chaînes de certificats.
Si certutil est exécuté sur une autorité de certification sans paramètres supplémentaires, il affiche la configuration actuelle de l’autorité de certification. Si certutil est exécuté sur une autorité non de certification, la commande exécute la certutil [-dump]
commande par défaut.
Important
Les versions antérieures de certutil peuvent ne pas fournir toutes les options décrites dans ce document. Vous pouvez voir toutes les options qu’une version spécifique de certutil fournit en exécutant certutil -?
ou certutil <parameter> -?
.
Paramètres
-Décharge
Informations ou fichiers de configuration de vidage.
certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]
-Asn
Analysez et affichez le contenu d’un fichier à l’aide de la syntaxe ASN.1 (Abstract Syntax Notation). Les types de fichiers incluent . CER. Fichiers au format DER et PKCS #7.
certutil [options] -asn file [type]
[type]
: type de décodage numérique CRYPT_STRING_*
-decodehex
Décodez un fichier hexadécimal.
certutil [options] -decodehex infile outfile [type]
[type]
: type d’encodage CRYPT_STRING_* numérique
[-f]
-Décoder
Décodez un fichier encodé en Base64.
certutil [options] -decode infile outfile
[-f]
-Encoder
Encoder un fichier en Base64.
certutil [options] -encode infile outfile
[-f] [-unicodetext]
-Nier
Refuser une demande en attente.
certutil [options] -deny requestID
[-config Machine\CAName]
-Resoumettre
Renvoyer une demande en attente.
certutil [options] -resubmit requestId
[-config Machine\CAName]
-setattributes
Définissez des attributs pour une demande de certificat en attente.
certutil [options] -setattributes RequestID attributestring
Où :
requestID est l’ID de demande numérique de la demande en attente.
attributestring est le nom de l’attribut de requête et les paires valeur.
[-config Machine\CAName]
Notes
- Les noms et les valeurs doivent être séparés par deux-points, tandis que plusieurs noms, les paires de valeurs doivent être séparées par une nouvelle ligne. Par exemple :
CertificateTemplate:User\nEMail:User@Domain.com
où la\n
séquence est convertie en séparateur de nouvelle ligne.
-setextension
Définissez une extension pour une demande de certificat en attente.
certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}
Où :
requestID est l’ID de demande numérique de la demande en attente.
extensionname est la chaîne ObjectId de l’extension.
les indicateurs définissent la priorité de l’extension.
0
est recommandé, tandis que1
définit l’extension sur critique,2
désactive l’extension et3
effectue les deux.
[-config Machine\CAName]
Notes
Si le dernier paramètre est numérique, il est pris en tant que long.
Si le dernier paramètre peut être analysé en tant que date, il est pris en tant que Date.
Si le dernier paramètre commence par
\@
, le reste du jeton est pris comme nom de fichier avec des données binaires ou un vidage hexadécimal de texte ascii.Si le dernier paramètre est autre chose, il est pris comme une chaîne.
-Révoquer
Révoquer un certificat.
certutil [options] -revoke serialnumber [reason]
Où :
serialnumber est une liste séparée par des virgules de numéros de série de certificats à révoquer.
reason est la représentation numérique ou symbolique du motif de révocation, notamment :
0. CRL_REASON_UNSPECIFIED - Non spécifié (par défaut)
1. CRL_REASON_KEY_COMPROMISE - Compromission des clés
2. CRL_REASON_CA_COMPROMISE - Compromission de l’autorité de certification
3. CRL_REASON_AFFILIATION_CHANGED - Affiliation modifiée
4. CRL_REASON_SUPERSEDED - Remplacé
5. CRL_REASON_CESSATION_OF_OPERATION - Arrêt de l’opération
6. CRL_REASON_CERTIFICATE_HOLD - Conservation du certificat
8. CRL_REASON_REMOVE_FROM_CRL - Supprimer de la liste de révocation de certificats
-1. Unrevoke - Unrevoke
[-config Machine\CAName]
-isvalid
Affichez la disposition du certificat actif.
certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]
-Getconfig
Obtenez la chaîne de configuration par défaut.
certutil [options] -getconfig
[-config Machine\CAName]
-Ping
Essayez de contacter l’interface de demande des services de certificats Active Directory.
certutil [options] -ping [maxsecondstowait | camachinelist]
Où :
- camachinelist est une liste séparée par des virgules de noms de machines d’autorité de certification. Pour un seul ordinateur, utilisez une virgule de fin. Cette option affiche également le coût du site pour chaque ordinateur d’autorité de certification.
[-config Machine\CAName]
-cainfo
Affichez des informations sur l’autorité de certification.
certutil [options] -cainfo [infoname [index | errorcode]]
Où :
infoname indique la propriété d’autorité de certification à afficher, en fonction de la syntaxe de l’argument infoname suivante :
file - Version du fichier
product - Version du produit
exitcount - Nombre de modules de sortie
Sortie
[index]
- Description du module de sortiestratégie - Description du module de stratégie
name - Nom de l’autorité de certification
sanitizedname - Nom de l’autorité de certification assainie
dsname - Nom court de l’autorité de certification assainie (nom DS)
sharedfolder - Dossier partagé
error1 ErrorCode - Texte du message d’erreur
error2 ErrorCode - Texte et code d’erreur du message d’erreur
type : type d’autorité de certification
info - Informations d’autorité de certification
parent - Autorité de certification parente
certcount - Nombre de certificats d’autorité de certification
xchgcount - Nombre de certificats exchange de l’autorité de certification
kracount - Nombre de certificats KRA
kraused - Nombre d’utilisations de certificats KRA
propidmax - PropId d’autorité de certification maximale
certstate
[index]
- Certificat d’autorité de certificationcertversion
[index]
- Version du certificat d’autorité de certificationcertstatuscode
[index]
- État de vérification du certificat d’autorité de certificationcrlstate
[index]
-LCRkrastate
[index]
- Certificat KRAcrossstate+
[index]
- Certificat croisé avantcrossstate-
[index]
- Certificat croisé vers l’arrièreCert
[index]
- Certificat d’autorité de certificationcertchain
[index]
- Chaîne de certificats d’autorité de certificationcertcrlchain
[index]
- Chaîne de certificats d’autorité de certification avec listes de contrôle d’accèsxchg
[index]
- Certificat d’échange de l’autorité de certificationxchgchain
[index]
- Chaîne de certificats d’échange d’autorité de certificationxchgcrlchain
[index]
- Chaîne de certificats d’échange d’autorité de certification avec des listes de contrôle d’accèsKra
[index]
- Certificat KRAcross+
[index]
- Certificat croisé avantCroix-
[index]
- Certificat croisé vers l’arrièreLCR
[index]
- Liste de révocation de certificats de basedeltacrl
[index]
- Liste de révocation de certificats Deltacrlstatus
[index]
- État de publication de la liste de révocation de certificatsdeltacrlstatus
[index]
- État de publication de la liste de révocation de certificats Deltadns - Nom DNS
role - Séparation des rôles
annonces - Serveur avancé
modèles - Modèles
Csp
[index]
- URL OCSPAia
[index]
- URL AIACdp
[index]
- URL CDPlocalename - Nom des paramètres régionaux de l’autorité de certification
subjecttemplateoids - OID de modèle de sujet
* - Affiche toutes les propriétés
index est l’index de propriété de base zéro facultatif.
errorcode est le code d’erreur numérique.
[-f] [-split] [-config Machine\CAName]
-ca.cert
Récupérez le certificat de l’autorité de certification.
certutil [options] -ca.cert outcacertfile [index]
Où :
outcacertfile est le fichier de sortie.
index est l’index de renouvellement de certificat de l’autorité de certification (par défaut est le plus récent).
[-f] [-split] [-config Machine\CAName]
-ca.chain
Récupérez la chaîne de certificats pour l’autorité de certification.
certutil [options] -ca.chain outcacertchainfile [index]
Où :
outcacertchainfile est le fichier de sortie.
index est l’index de renouvellement de certificat de l’autorité de certification (par défaut est le plus récent).
[-f] [-split] [-config Machine\CAName]
-getcrl
Obtient une liste de révocation de certificats (CRL).
certutil [options] -getcrl outfile [index] [delta]
Où :
index est l’index ou l’index de clé de la liste de révocation de certificats (par défaut, CRL pour la clé la plus récente).
delta est la liste de révocation de certificats delta (la valeur par défaut est la liste de révocation de certificats de base).
[-f] [-split] [-config Machine\CAName]
-Lcr
Publiez de nouvelles listes de révocation de certificats (CRL) ou des listes de révocation de certificats delta.
certutil [options] -crl [dd:hh | republish] [delta]
Où :
dd:hh est la nouvelle période de validité de la liste de révocation de certificats en jours et en heures.
republier republie les listes de contrôle de contrôle les plus récentes.
delta publie uniquement les listes de contrôle d’accès delta (la valeur par défaut est les listes de contrôle d’accès de base et de delta).
[-split] [-config Machine\CAName]
-Arrêt
Arrête les services de certificats Active Directory.
certutil [options] -shutdown
[-config Machine\CAName]
-installcert
Installe un certificat d’autorité de certification.
certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]
-renewcert
Renouvelle un certificat d’autorité de certification.
certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
- Utilisez
-f
pour ignorer une demande de renouvellement en attente et générer une nouvelle demande.
[-f] [-silent] [-config Machine\CAName]
-Schéma
Vide le schéma du certificat.
certutil [options] -schema [ext | attrib | cRL]
Où :
La commande est définie par défaut sur la table Requête et certificat.
ext est la table d’extension.
attribute est la table d’attributs.
crl est la table CRL.
[-split] [-config Machine\CAName]
-Vue
Vide la vue de certificat.
certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]
Où :
file d’attente vide une file d’attente de requête spécifique.
journal vide les certificats émis ou révoqués, ainsi que les demandes ayant échoué.
logfail vide les demandes ayant échoué.
revoked dump les certificats révoqués.
ext vide la table d’extension.
attribute vide la table d’attributs.
crl vide la table CRL.
csv fournit la sortie à l’aide de valeurs séparées par des virgules.
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
Notes
Pour afficher la colonne StatusCode pour toutes les entrées, tapez
-out StatusCode
Pour afficher toutes les colonnes de la dernière entrée, tapez :
-restrict RequestId==$
Pour afficher l’ID de requête et la disposition pour trois demandes, tapez :
-restrict requestID>37,requestID<40 -out requestID,disposition
Pour afficher les ID de ligne d’ID deligne et lesnuméros de liste de révocation de listes de révocation de toutes les listes de contrôle de base, tapez :
-restrict crlminbase=0 -out crlrowID,crlnumber crl
Pour afficher , tapez :
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Pour afficher l’intégralité de la table de liste de révocation de certificats, tapez :
CRL
Utilisez pour les
Date[+|-dd:hh]
restrictions de date.Utilisez
now+dd:hh
pour une date relative à l’heure actuelle.
-db
Vide la base de données brute.
certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
-deleterow
Supprime une ligne de la base de données du serveur.
certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]
Où :
request supprime les demandes ayant échoué et en attente, en fonction de la date de soumission.
cert supprime les certificats expirés et révoqués, en fonction de la date d’expiration.
ext supprime la table d’extension.
l’attribut supprime la table d’attributs.
crl supprime la table CRL.
[-f] [-config Machine\CAName]
Exemples
Pour supprimer les demandes ayant échoué et en attente soumises avant le 22 janvier 2001, tapez :
1/22/2001 request
Pour supprimer tous les certificats qui ont expiré le 22 janvier 2001, tapez :
1/22/2001 cert
Pour supprimer la ligne de certificat, les attributs et les extensions pour RequestID 37, tapez :
37
Pour supprimer les listes de contrôle d’accès qui ont expiré le 22 janvier 2001, tapez :
1/22/2001 crl
-backup
Sauvegarde les services de certificats Active Directory.
certutil [options] -backup backupdirectory [incremental] [keeplog]
Où :
backupdirectory est le répertoire permettant de stocker les données sauvegardées.
incrémentiel effectue une sauvegarde incrémentielle uniquement (la valeur par défaut est la sauvegarde complète).
keeplog conserve les fichiers journaux de base de données (la valeur par défaut est de tronquer les fichiers journaux).
[-f] [-config Machine\CAName] [-p Password]
-backupdb
Sauvegarde la base de données Des services de certificats Active Directory.
certutil [options] -backupdb backupdirectory [incremental] [keeplog]
Où :
backupdirectory est le répertoire pour stocker les fichiers de base de données sauvegardés.
incrémentiel effectue une sauvegarde incrémentielle uniquement (la valeur par défaut est la sauvegarde complète).
keeplog conserve les fichiers journaux de base de données (la valeur par défaut est de tronquer les fichiers journaux).
[-f] [-config Machine\CAName]
-backupkey
Sauvegarde le certificat et la clé privée des services de certificats Active Directory.
certutil [options] -backupkey backupdirectory
Où :
- backupdirectory est le répertoire permettant de stocker le fichier PFX sauvegardé.
[-f] [-config Machine\CAName] [-p password] [-t timeout]
-restore
Restaure les services de certificats Active Directory.
certutil [options] -restore backupdirectory
Où :
- backupdirectory est le répertoire contenant les données à restaurer.
[-f] [-config Machine\CAName] [-p password]
-restauréb
Restaure la base de données Des services de certificats Active Directory.
certutil [options] -restoredb backupdirectory
Où :
- backupdirectory est le répertoire contenant les fichiers de base de données à restaurer.
[-f] [-config Machine\CAName]
-restorekey
Restaure le certificat et la clé privée des services de certificats Active Directory.
certutil [options] -restorekey backupdirectory | pfxfile
Où :
- backupdirectory est le répertoire contenant le fichier PFX à restaurer.
[-f] [-config Machine\CAName] [-p password]
-importpfx
Importez le certificat et la clé privée. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]
Où :
certificatestorename est le nom du magasin de certificats.
modificateurs sont la liste séparée par des virgules, qui peut inclure un ou plusieurs des éléments suivants :
AT_SIGNATURE : remplace la clé par signature
AT_KEYEXCHANGE : modifie la spécification de clé en échange de clés
NoExport : rend la clé privée non exportable
NoCert : n’importe pas le certificat
NoChain : n’importe pas la chaîne de certificats
NoRoot : n’importe pas le certificat racine
Protéger : protège les clés à l’aide d’un mot de passe
NoProtect : ne protège pas les clés par mot de passe à l’aide d’un mot de passe
[-f] [-user] [-p password] [-csp provider]
Notes
- Les valeurs par défaut sont le magasin d’ordinateurs personnels.
-dynamicfilelist
Affiche une liste de fichiers dynamique.
certutil [options] -dynamicfilelist
[-config Machine\CAName]
-databaselocations
Affiche les emplacements de base de données.
certutil [options] -databaselocations
[-config Machine\CAName]
-hashfile
Génère et affiche un hachage de chiffrement sur un fichier.
certutil [options] -hashfile infile [hashalgorithm]
-boutique
Vide le magasin de certificats.
certutil [options] -store [certificatestorename [certID [outputfile]]]
Où :
certificatestorename est le nom du magasin de certificats. Par exemple :
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
certID est le jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un numéro de série, d’un certificat SHA-1, d’une liste de révocation de certificats, d’une CTL ou d’un hachage de clé publique, d’un index de certificat numérique (0, 1, etc.), d’un index CTL numérique (.. 0, .. 1, et ainsi de suite), une clé publique, une signature ou une extension ObjectId, un objet de certificat Nom commun, une adresse e-mail, un nom UPN ou DNS, un nom de conteneur de clé ou un nom CSP, un nom de modèle ou ObjectId, une référence EKU ou Des stratégies d’application ObjectId, ou un nom commun de l’émetteur de listes de révocation de certificats. La plupart d’entre elles peuvent entraîner plusieurs correspondances.
outputfile est le fichier utilisé pour enregistrer les certificats correspondants.
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]
Options
L’option
-user
accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.L’option
-enterprise
accède à un magasin d’entreprise d’ordinateurs.L’option
-service
accède à un magasin de service d’ordinateur.L’option
-grouppolicy
accède à un magasin de stratégies de groupe d’ordinateurs.
Par exemple :
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-addstore
Ajoute un certificat au magasin. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -addstore certificatestorename infile
Où :
certificatestorename est le nom du magasin de certificats.
infile est le fichier de certificat ou de liste de révocation de certificats que vous souhaitez ajouter pour stocker.
[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]
-delstore
Supprime un certificat du magasin. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -delstore certificatestorename certID
Où :
certificatestorename est le nom du magasin de certificats.
certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.
[-enterprise] [-user] [-grouppolicy] [-dc DCName]
-verifystore
Vérifie un certificat dans le magasin. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -verifystore certificatestorename [certID]
Où :
certificatestorename est le nom du magasin de certificats.
certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.
[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]
-repairstore
Répare une association de clé ou met à jour les propriétés de certificat ou le descripteur de sécurité de clé. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]
Où :
certificatestorename est le nom du magasin de certificats.
certIDlist est la liste séparée par des virgules des jetons de correspondance de certificat ou de liste de révocation de certificats. Pour plus d’informations, consultez la
-store certID
description de cet article.propertyinffile est le fichier INF contenant des propriétés externes, notamment :
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]
-viewstore
Vide le magasin de certificats. Pour plus d’informations, consultez le -store
paramètre dans cet article.
certutil [options] -viewstore [certificatestorename [certID [outputfile]]]
Où :
certificatestorename est le nom du magasin de certificats.
certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.
outputfile est le fichier utilisé pour enregistrer les certificats correspondants.
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]
Options
L’option
-user
accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.L’option
-enterprise
accède à un magasin d’entreprise d’ordinateurs.L’option
-service
accède à un magasin de service d’ordinateur.L’option
-grouppolicy
accède à un magasin de stratégies de groupe d’ordinateurs.
Par exemple :
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-viewdelstore
Supprime un certificat du magasin.
certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]
Où :
certificatestorename est le nom du magasin de certificats.
certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.
outputfile est le fichier utilisé pour enregistrer les certificats correspondants.
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]
Options
L’option
-user
accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.L’option
-enterprise
accède à un magasin d’entreprise d’ordinateurs.L’option
-service
accède à un magasin de service d’ordinateur.L’option
-grouppolicy
accède à un magasin de stratégies de groupe d’ordinateurs.
Par exemple :
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-dspublish
Publie un certificat ou une liste de révocation de certificats (CRL) dans Active Directory.
certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
Où :
certfile est le nom du fichier de certificat à publier.
NTAuthCA publie le certificat dans le magasin DS Enterprise.
RootCA publie le certificat dans le magasin racine approuvé DS.
SubCA publie le certificat d’autorité de certification dans l’objet d’autorité de certification DS.
CrossCA publie le certificat croisé dans l’objet d’autorité de certification DS.
KRA publie le certificat dans l’objet Agent de récupération de clé DS.
L’utilisateur publie le certificat dans l’objet User DS.
L’ordinateur publie le certificat dans l’objet Machine DS.
CRLfile est le nom du fichier CRL à publier.
DSCDPContainer est le cn du conteneur CDP DS, généralement le nom de l’ordinateur de l’autorité de certification.
DSCDPCN est le CN de l’objet CDP DS, généralement basé sur le nom court et l’index de clé de l’autorité de certification assainis.
Utilisez
-f
pour créer un objet DS.
[-f] [-user] [-dc DCName]
-adtemplate
Affiche les modèles Active Directory.
certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]
-Modèle
Affiche les modèles de certificat.
certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-templatecas
Affiche les autorités de certification pour un modèle de certificat.
certutil [options] -templatecas template
[-f] [-user] [-dc DCName]
-catemplates
Affiche les modèles pour l’autorité de certification.
certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
-setcasites
Gère les noms de sites, y compris la définition, la vérification et la suppression des noms de sites de l’autorité de certification
certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete
Où :
- sitename est autorisé uniquement lorsque vous ciblez une seule autorité de certification.
[-f] [-config Machine\CAName] [-dc DCName]
Notes
L’option
-config
cible une autorité de certification unique (la valeur par défaut est toutes les autorités de certification).L’option
-f
peut être utilisée pour remplacer les erreurs de validation pour le nom de site spécifié ou pour supprimer tous les noms de site d’autorité de certification.
Notes
Pour plus d’informations sur la configuration des autorités de certification pour services de domaine Active Directory la sensibilisation du site AD DS (AD DS), consultez Sensibilisation du site AD DS pour les clients AD CS et PKI.
-enrollmentserverURL
Affiche, ajoute ou supprime les URL de serveur d’inscription associées à une autorité de certification.
certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete
Où :
authenticationtype spécifie l’une des méthodes d’authentification client suivantes, lors de l’ajout d’une URL :
kerberos : utilisez les informations d’identification SSL Kerberos.
nom d’utilisateur : utilisez un compte nommé pour les informations d’identification SSL.
clientcertificate : - Utilisez les informations d’identification SSL du certificat X.509.
anonyme : utilisez des informations d’identification SSL anonymes.
delete supprime l’URL spécifiée associée à l’autorité de certification.
la priorité par défaut est si elle n’est
1
pas spécifiée lors de l’ajout d’une URL.modificateurs est une liste séparée par des virgules, qui comprend un ou plusieurs des éléments suivants :
allowrenewalsonly : seules les demandes de renouvellement peuvent être envoyées à cette autorité de certification via cette URL.
allowkeybasedrenewal : autorise l’utilisation d’un certificat qui n’a aucun compte associé dans ad. Cela s’applique uniquement avec le mode clientcertificate et allowrenewalsonly
[-config Machine\CAName] [-dc DCName]
-adca
Affiche les autorités de certification Active Directory.
certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]
-ca
Affiche les autorités de certification de stratégie d’inscription.
certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-Politique
Affiche la stratégie d’inscription.
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-policycache
Affiche ou supprime les entrées de cache de stratégie d’inscription.
certutil [options] -policycache [delete]
Où :
delete supprime les entrées de cache du serveur de stratégie.
-f supprime toutes les entrées de cache
[-f] [-user] [-policyserver URLorID]
-credstore
Affiche, ajoute ou supprime les entrées du magasin d’informations d’identification.
certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete
Où :
URL est l’URL cible. Vous pouvez également utiliser pour faire
*
correspondre toutes les entrées ouhttps://machine*
pour faire correspondre un préfixe d’URL.add ajoute une entrée de magasin d’informations d’identification. L’utilisation de cette option nécessite également l’utilisation d’informations d’identification SSL.
delete supprime les entrées du magasin d’informations d’identification.
-f remplace une seule entrée ou supprime plusieurs entrées.
[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-installdefaulttemplates
Installe les modèles de certificat par défaut.
certutil [options] -installdefaulttemplates
[-dc DCName]
-URLcache
Affiche ou supprime les entrées de cache d’URL.
certutil [options] -URLcache [URL | CRL | * [delete]]
Où :
URL est l’URL mise en cache.
La liste de révocation de certificats s’exécute uniquement sur toutes les URL de liste de révocation de certificats mises en cache.
* fonctionne sur toutes les URL mises en cache.
delete supprime les URL pertinentes du cache local de l’utilisateur actuel.
-f force l’extraction d’une URL spécifique et la mise à jour du cache.
[-f] [-split]
-Impulsion
Pulse les événements d’inscription automatique.
certutil [options] -pulse
[-user]
-machineinfo
Affiche des informations sur l’objet de machine Active Directory.
certutil [options] -machineinfo domainname\machinename$
-DCInfo
Affiche des informations sur le contrôleur de domaine. La valeur par défaut affiche les certificats DC sans vérification.
certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]
Conseil
La possibilité de spécifier un domaine services de domaine Active Directory (AD DS) [Domaine] et de spécifier un contrôleur de domaine (-dc) a été ajoutée dans Windows Server 2012. Pour exécuter correctement la commande, vous devez utiliser un compte membre des administrateurs de domaine ou des administrateurs d’entreprise. Les modifications de comportement de cette commande sont les suivantes :
- 1. Si un domaine n’est pas spécifié et qu’aucun contrôleur de domaine spécifique n’est spécifié, cette option retourne une liste de contrôleurs de domaine à traiter à partir du contrôleur de domaine par défaut.
- 2. Si un domaine n’est pas spécifié, mais qu’un contrôleur de domaine est spécifié, un rapport des certificats sur le contrôleur de domaine spécifié est généré.
- 3. Si un domaine est spécifié, mais qu’aucun contrôleur de domaine n’est spécifié, une liste de contrôleurs de domaine est générée avec des rapports sur les certificats pour chaque contrôleur de domaine de la liste.
- 4. Si le domaine et le contrôleur de domaine sont spécifiés, une liste de contrôleurs de domaine est générée à partir du contrôleur de domaine ciblé. Un rapport des certificats pour chaque contrôleur de domaine de la liste est également généré.
Par exemple, supposons qu’il existe un domaine nommé CPANDL avec un contrôleur de domaine nommé CPANDL-DC1. Vous pouvez exécuter la commande suivante pour récupérer une liste de contrôleurs de domaine et de leurs certificats à partir de CPANDL-DC1 : certutil -dc cpandl-dc1 -DCInfo cpandl
-entinfo
Affiche des informations sur une autorité de certification d’entreprise.
certutil [options] -entinfo domainname\machinename$
[-f] [-user]
-tcainfo
Affiche des informations sur l’autorité de certification.
certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]
-scinfo
Affiche des informations sur la carte à puce.
certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]
Où :
- CRYPT_DELETEKEYSET supprime toutes les clés de la carte à puce.
[-silent] [-split] [-urlfetch] [-t timeout]
-scroots
Gère les certificats racine de carte à puce.
certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]
-DeleteHelloContainer
Supprime le conteneur Windows Hello, en supprimant toutes les informations d’identification associées stockées sur l’appareil, y compris les informations d’identification WebAuthn et FIDO.
Les utilisateurs devront se déconnecter après avoir utilisé cette option pour qu’elle se termine.
CertUtil [Options] -DeleteHelloContainer
-verifykeys
Vérifie un ensemble de clés publiques ou privées.
certutil [options] -verifykeys [keycontainername cacertfile]
Où :
keycontainername est le nom du conteneur de clé à vérifier. Cette option est définie par défaut sur les clés d’ordinateur. Pour basculer vers des clés utilisateur, utilisez
-user
.cacertfile signe ou chiffre les fichiers de certificat.
[-f] [-user] [-silent] [-config Machine\CAName]
Notes
Si aucun argument n’est spécifié, chaque certificat d’autorité de certification de signature est vérifié par rapport à sa clé privée.
Cette opération ne peut être effectuée que sur une autorité de certification locale ou des clés locales.
-Vérifier
Vérifie un certificat, une liste de révocation de certificats (CRL) ou une chaîne de certificats.
certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]
Où :
certfile est le nom du certificat à vérifier.
applicationpolicylist est la liste facultative séparée par des virgules des ObjectIds de stratégie d’application requis.
issuancepolicylist est la liste facultative séparée par des virgules des ObjectIds de stratégie d’émission requis.
cacertfile est le certificat d’autorité de certification émis facultatif à vérifier.
crossedcacertfile est le certificat facultatif certifié par certfile.
CRLfile est le fichier CRL utilisé pour vérifier le cacertfile.
issuedcertfile est le certificat émis facultatif couvert par le CRLfile.
deltaCRLfile est le fichier CRL delta facultatif.
[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]
Notes
L’utilisation d’applicationpolicylist limite la génération de chaînes aux chaînes valides pour les stratégies d’application spécifiées.
L’utilisation de la stratégie d’émission limite la création de chaînes aux chaînes valides pour les stratégies d’émission spécifiées.
L’utilisation de cacertfile vérifie les champs du fichier par rapport à certfile ou CRLfile.
L’utilisation de issuedcertfile vérifie les champs du fichier par rapport à CRLfile.
L’utilisation de deltaCRLfile vérifie les champs du fichier par rapport à certfile.
Si cacertfile n’est pas spécifié, la chaîne complète est générée et vérifiée par rapport à certfile.
Si cacertfile et crossedcacertfile sont tous deux spécifiés, les champs des deux fichiers sont vérifiés par rapport à certfile.
-verifyCTL
Vérifie la CTL AuthRoot ou Les certificats non autorisés.
certutil [options] -verifyCTL CTLobject [certdir] [certfile]
Où :
CTLobject identifie la CTL à vérifier, notamment :
AuthRootWU : lit le CAB AuthRoot et les certificats correspondants à partir du cache d’URL. Utilisez
-f
plutôt pour télécharger à partir de Windows Update.DisallowedWU : lit le fichier CAB des certificats non autorisés et du magasin de certificats non autorisé à partir du cache d’URL. Utilisez
-f
plutôt pour télécharger à partir de Windows Update.AuthRoot : lit la CTL AuthRoot mise en cache dans le Registre. Utilisez avec
-f
et un certfile non approuvé pour forcer la mise à jour des listes de contrôle cloud AuthRoot et De certificat non autorisé mises en cache du Registre.Non autorisé : lit la CTL des certificats non autorisés mis en cache dans le Registre. Utilisez avec
-f
et un certfile non approuvé pour forcer la mise à jour des listes de contrôle cloud AuthRoot et De certificat non autorisé mises en cache du Registre.
CTLfilename spécifie le fichier ou le chemin http du fichier CTL ou CAB.
certdir spécifie le dossier contenant les certificats correspondant aux entrées CTL. Par défaut, le même dossier ou site web que l’objet CTLobject. L’utilisation d’un chemin d’accès http nécessite un séparateur de chemin à la fin. Si vous ne spécifiez pas AuthRoot ou Disallowed, plusieurs emplacements seront recherchés pour les certificats correspondants, y compris les magasins de certificats locaux, les ressources crypt32.dll et le cache d’URL local. Utilisez
-f
pour télécharger à partir de Windows Update, si nécessaire.certfile spécifie le ou les certificats à vérifier. Les certificats sont mis en correspondance avec les entrées CTL, affichant les résultats. Cette option supprime la plupart de la sortie par défaut.
[-f] [-user] [-split]
-Signe
Re-signe une liste de révocation de certificats (CRL) ou un certificat.
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]
Où :
infilelist est la liste séparée par des virgules des fichiers de certificat ou de liste de révocation de certificats à modifier et à signer à nouveau.
serialnumber est le numéro de série du certificat à créer. La période de validité et les autres options ne peuvent pas être présentes.
La liste de révocation de certificats crée une liste de révocation de certificats vide. La période de validité et les autres options ne peuvent pas être présentes.
outfilelist est la liste séparée par des virgules des fichiers de sortie de certificat ou de liste de révocation de certificats modifiés. Le nombre de fichiers doit correspondre à infilelist.
startdate+dd:hh est la nouvelle période de validité pour les fichiers de certificat ou de liste de révocation de certificats, notamment :
date facultative plus
période de validité facultative de jours et d’heures
Si les deux sont spécifiés, vous devez utiliser un séparateur de signe plus (+). Utilisez
now[+dd:hh]
pour commencer à l’heure actuelle. Utiliseznever
pour n’avoir aucune date d’expiration (pour les listes de licences de licence uniquement).serialnumberlist est la liste de numéros de série séparés par des virgules des fichiers à ajouter ou à supprimer.
objectIDlist est la liste ObjectId de l’extension séparée par des virgules des fichiers à supprimer.
@extensionfile est le fichier INF qui contient les extensions à mettre à jour ou à supprimer. Par exemple :
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86
hashalgorithm est le nom de l’algorithme de hachage. Il ne doit s’agir que du texte précédé du
#
signe.alternatesignaturealgorithm est le spécificateur d’algorithme de signature de remplacement.
[-nullsign] [-f] [-silent] [-cert certID]
Notes
L’utilisation du signe moins (-) supprime les numéros de série et les extensions.
L’utilisation du signe plus (+) ajoute des numéros de série à une liste de révocation de certificats.
Vous pouvez utiliser une liste pour supprimer les numéros de série et les ObjectID d’une liste de révocation de certificats en même temps.
L’utilisation du signe moins avant alternatesignaturealgorithm vous permet d’utiliser le format de signature hérité. L’utilisation du signe plus vous permet d’utiliser le format de signature de remplacement. Si vous ne spécifiez pas alternatesignaturealgorithm, le format de signature dans le certificat ou la liste de révocation de certificats est utilisé.
-vroot
Crée ou supprime des racines virtuelles web et des partages de fichiers.
certutil [options] -vroot [delete]
-vocsproot
Crée ou supprime des racines virtuelles web pour un proxy web OCSP.
certutil [options] -vocsproot [delete]
-addenrollmentserver
Ajoutez une application serveur d’inscription et un pool d’applications si nécessaire, pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.
certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]
Où :
addenrollmentserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificats, notamment :
Kerberos utilise les informations d’identification SSL Kerberos.
nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.
clientcertificate utilise les informations d’identification SSL du certificat X.509.
allowrenewalsonly autorise uniquement les soumissions de demandes de renouvellement à l’autorité de certification via l’URL.
allowkeybasedrenewal autorise l’utilisation d’un certificat sans compte associé dans Active Directory. Cela s’applique en cas d’utilisation avec le mode clientcertificate et allowrenewalsonly .
[-config Machine\CAName]
-deleteenrollmentserver
Supprime une application serveur d’inscription et un pool d’applications si nécessaire, pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.
certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate
Où :
deleteenrollmentserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificats, notamment :
Kerberos utilise les informations d’identification SSL Kerberos.
nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.
clientcertificate utilise les informations d’identification SSL du certificat X.509.
[-config Machine\CAName]
-addpolicyserver
Ajoutez une application policy Server et un pool d’applications, si nécessaire. Cette commande n’installe pas de fichiers binaires ou de packages.
certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]
Où :
addpolicyserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :
Kerberos utilise les informations d’identification SSL Kerberos.
nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.
clientcertificate utilise les informations d’identification SSL du certificat X.509.
keybasedrenewal permet d’utiliser des stratégies retournées au client contenant des modèles keybasedrenewal. Cette option s’applique uniquement à l’authentification du nom d’utilisateur et du clientcertificat .
-deletepolicyserver
Supprime une application et un pool d’applications Policy Server, si nécessaire. Cette commande ne supprime pas les fichiers binaires ou les packages.
certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]
Où :
deletepolicyserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :
Kerberos utilise les informations d’identification SSL Kerberos.
nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.
clientcertificate utilise les informations d’identification SSL du certificat X.509.
keybasedrenewal permet d’utiliser un serveur de stratégie KeyBasedRenewal.
-Oid
Affiche l’identificateur d’objet ou définit un nom d’affichage.
certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]
Où :
objectID affiche ou pour ajouter le nom d’affichage.
groupID est le numéro groupID (décimal) énuméré par les objectID.
algID est l’ID hexadécimal que l’objectID recherche.
algorithmname est le nom de l’algorithme que objectID recherche.
displayname affiche le nom à stocker dans DS.
delete supprime le nom d’affichage.
LanguageId est la valeur d’ID de langue (valeur par défaut : 1033).
Type est le type d’objet DS à créer, notamment :
1
- Modèle (par défaut)2
- Stratégie d’émission3
- Stratégie d’application
-f
crée un objet DS.
-Erreur
Affiche le texte du message associé à un code d’erreur.
certutil [options] -error errorcode
-getreg
Affiche une valeur de Registre.
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]
Où :
ca utilise la clé de Registre d’une autorité de certification.
restore utilise la clé de Registre de restauration de l’autorité de certification.
la stratégie utilise la clé de Registre du module de stratégie.
exit utilise la clé de Registre du premier module de sortie.
le modèle utilise la clé de Registre de modèles (à utiliser pour les
-user
modèles utilisateur).l’inscription utilise la clé de Registre d’inscription (à utiliser
-user
pour le contexte utilisateur).chain utilise la clé de Registre de configuration de chaîne.
policyservers utilise la clé de Registre Des serveurs de stratégies.
progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).
registryvaluename utilise le nom de la valeur du Registre (utilisez
Name*
pour préfixer la correspondance).value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par
+
ou-
, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
Notes
Si une valeur de chaîne commence par
+
ou-
et que la valeur existante est uneREG_MULTI_SZ
valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’uneREG_MULTI_SZ
valeur, ajoutez\n
à la fin de la valeur de chaîne.Si la valeur commence par
\@
, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que[Date][+|-][dd:hh]
date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utiliseznow+dd:hh
pour une date relative à l’heure actuelle.Utilisez
chain\chaincacheresyncfiletime \@now
pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.
-setreg
Définit une valeur de Registre.
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value
Où :
ca utilise la clé de Registre d’une autorité de certification.
restore utilise la clé de Registre de restauration de l’autorité de certification.
la stratégie utilise la clé de Registre du module de stratégie.
exit utilise la clé de Registre du premier module de sortie.
le modèle utilise la clé de Registre de modèles (à utiliser pour les
-user
modèles utilisateur).l’inscription utilise la clé de Registre d’inscription (à utiliser
-user
pour le contexte utilisateur).chain utilise la clé de Registre de configuration de chaîne.
policyservers utilise la clé de Registre Des serveurs de stratégies.
progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).
registryvaluename utilise le nom de la valeur du Registre (utilisez
Name*
pour préfixer la correspondance).value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par
+
ou-
, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
Notes
Si une valeur de chaîne commence par
+
ou-
et que la valeur existante est uneREG_MULTI_SZ
valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’uneREG_MULTI_SZ
valeur, ajoutez\n
à la fin de la valeur de chaîne.Si la valeur commence par
\@
, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que[Date][+|-][dd:hh]
date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utiliseznow+dd:hh
pour une date relative à l’heure actuelle.Utilisez
chain\chaincacheresyncfiletime \@now
pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.
-delreg
Supprime une valeur de Registre.
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]
Où :
ca utilise la clé de Registre d’une autorité de certification.
restore utilise la clé de Registre de restauration de l’autorité de certification.
la stratégie utilise la clé de Registre du module de stratégie.
exit utilise la clé de Registre du premier module de sortie.
le modèle utilise la clé de Registre de modèles (à utiliser pour les
-user
modèles utilisateur).l’inscription utilise la clé de Registre d’inscription (à utiliser
-user
pour le contexte utilisateur).chain utilise la clé de Registre de configuration de chaîne.
policyservers utilise la clé de Registre Des serveurs de stratégies.
progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).
registryvaluename utilise le nom de la valeur du Registre (utilisez
Name*
pour préfixer la correspondance).value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par
+
ou-
, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
Notes
Si une valeur de chaîne commence par
+
ou-
et que la valeur existante est uneREG_MULTI_SZ
valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’uneREG_MULTI_SZ
valeur, ajoutez\n
à la fin de la valeur de chaîne.Si la valeur commence par
\@
, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que[Date][+|-][dd:hh]
date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utiliseznow+dd:hh
pour une date relative à l’heure actuelle.Utilisez
chain\chaincacheresyncfiletime \@now
pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.
-importKMS
Importe des clés utilisateur et des certificats dans la base de données du serveur pour l’archivage des clés.
certutil [options] -importKMS userkeyandcertfile [certID]
Où :
userkeyandcertfile est un fichier de données avec des clés et des certificats privés utilisateur qui doivent être archivés. Ce fichier peut être :
Un fichier d’exportation KMS (Exchange Key Management Server).
Fichier PFX.
certID est un jeton de correspondance de certificat de déchiffrement de fichier d’exportation KMS. Pour plus d’informations, consultez le
-store
paramètre dans cet article.-f
importe des certificats non émis par l’autorité de certification.
[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]
-importcert
Importe un fichier de certificat dans la base de données.
certutil [options] -importcert certfile [existingrow]
Où :
existingrow importe le certificat à la place d’une demande en attente pour la même clé.
-f
importe des certificats non émis par l’autorité de certification.
[-f] [-config Machine\CAName]
Notes
L’autorité de certification peut également devoir être configurée pour prendre en charge les certificats étrangers. Pour ce faire, tapez import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
.
-getkey
Récupère un objet blob de récupération de clé privée archivé, génère un script de récupération ou récupère des clés archivées.
certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename
Où :
le script génère un script pour récupérer et récupérer des clés (comportement par défaut si plusieurs candidats de récupération correspondants sont trouvés ou si le fichier de sortie n’est pas spécifié).
retrieve récupère un ou plusieurs objets blob de récupération de clés (comportement par défaut si un candidat de récupération correspondant exactement est trouvé et si le fichier de sortie est spécifié). L’utilisation de cette option tronque toute extension et ajoute la chaîne spécifique au certificat et l’extension .rec pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrées sur un ou plusieurs certificats de l’agent de récupération de clés.
récupérer récupère et récupère des clés privées en une seule étape (nécessite des certificats et des clés privées de l’agent de récupération de clés). L’utilisation de cette option tronque toute extension et ajoute l’extension .p12. Chaque fichier contient les chaînes de certificats récupérées et les clés privées associées, stockées sous la forme d’un fichier PFX.
searchtoken sélectionne les clés et les certificats à récupérer, notamment :
-
- Nom commun du certificat
-
- Numéro de série du certificat
-
- Hachage sha-1 du certificat (empreinte numérique)
-
- Hachage sha-1 de clé de certificat (identificateur de clé d’objet)
-
- Nom du demandeur (domaine\utilisateur)
-
- UPN (user@domain)
-
recoverybloboutfile génère un fichier avec une chaîne de certificats et une clé privée associée, toujours chiffré sur un ou plusieurs certificats de l’Agent de récupération de clés.
outputscriptfile génère un fichier avec un script batch pour récupérer et récupérer des clés privées.
outputfilebasename génère un nom de base de fichier.
[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]
-recoverkey
Récupérer une clé privée archivée.
certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]
-mergePFX
Fusionne les fichiers PFX.
certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]
Où :
PFXinfilelist est une liste séparée par des virgules de fichiers d’entrée PFX.
PFXoutfile est le nom du fichier de sortie PFX.
extendedproperties inclut toutes les propriétés étendues.
[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]
Notes
Le mot de passe spécifié sur la ligne de commande doit être une liste de mots de passe séparés par des virgules.
Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est
*
, l’utilisateur est invité à entrer le mot de passe du fichier de sortie.
-convertEPF
Convertit un fichier PFX en fichier EPF.
certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]
Où :
PFXinfilelist est une liste séparée par des virgules de fichiers d’entrée PFX.
PFXoutfile est le nom du fichier de sortie PFX.
EPF est le nom du fichier de sortie EPF.
cast utilise le chiffrement CAST 64.
cast- utilise le chiffrement CAST 64 (exportation)
V3CAcertID est le jeton de correspondance de certificat d’autorité de certification V3. Pour plus d’informations, consultez le
-store
paramètre dans cet article.salt est la chaîne de sel du fichier de sortie EPF.
[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]
Notes
Le mot de passe spécifié sur la ligne de commande doit être une liste de mots de passe séparés par des virgules.
Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est
*
, l’utilisateur est invité à entrer le mot de passe du fichier de sortie.
-?
Affiche la liste des paramètres.
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
Où :
-? affiche la liste complète des paramètres
-
<name_of_parameter>
-? affiche le contenu d’aide pour le paramètre spécifié.-? -v affiche la liste complète des paramètres et des options.
Options
Cette section définit toutes les options que vous pouvez spécifier, en fonction de la commande . Chaque paramètre inclut des informations sur les options valides pour l’utilisation.
Options | Description |
---|---|
-nullsign | Utilisez le hachage des données comme signature. |
-f | Forcer le remplacement. |
-enterprise | Utilisez le magasin de certificats du Registre d’entreprise de l’ordinateur local. |
-Utilisateur | Utilisez le HKEY_CURRENT_USER clés ou le magasin de certificats. |
-GroupPolicy | Utilisez le magasin de certificats de stratégie de groupe. |
-Ut | Afficher les modèles utilisateur. |
-Mt | Afficher les modèles d’ordinateur. |
-Unicode | Écrire une sortie redirigée en Unicode. |
-UnicodeText | Écrire un fichier de sortie dans Unicode. |
-Gmt | Afficher les heures à l’aide de GMT. |
-Secondes | Temps d’affichage en secondes et millisecondes. |
-silent | Utilisez l’indicateur silent pour acquérir le contexte de chiffrement. |
-Split | Fractionnez les éléments ASN.1 incorporés et enregistrez-les dans des fichiers. |
-v | Fournissez des informations plus détaillées (détaillées). |
-privatekey | Affichez les données de mot de passe et de clé privée. |
-pin | Code pin de carte à puce. |
-urlfetch | Récupérez et vérifiez les certificats AIA et les listes de contrôle CDP. |
-config Machine\CAName | Autorité de certification et chaîne de nom d’ordinateur. |
-policyserver URLorID | URL ou ID du serveur de stratégie. Pour la sélection U/I, utilisez -policyserver . Pour tous les serveurs de stratégie, utilisez -policyserver * |
-Anonyme | Utilisez des informations d’identification SSL anonymes. |
-Kerberos | Utilisez les informations d’identification SSL Kerberos. |
-clientcertificate clientcertificate | Utilisez les informations d’identification SSL du certificat X.509. Pour la sélection U/I, utilisez -clientcertificate . |
-nom d’utilisateur | Utilisez un compte nommé pour les informations d’identification SSL. Pour la sélection U/I, utilisez -username . |
-certID | Certificat de signature. |
-dc DcName | Ciblez un contrôleur de domaine spécifique. |
-restreindre la liste de restrictions | Liste de restrictions séparées par des virgules. Chaque restriction se compose d’un nom de colonne, d’un opérateur relationnel et d’un entier constant, d’une chaîne ou d’une date. Un nom de colonne peut être précédé d’un signe plus ou moins pour indiquer l’ordre de tri. Par exemple : requestID = 47 , +requestername >= a, requestername ou -requestername > DOMAIN, Disposition = 21 |
-out columnlist | Liste de colonnes séparées par des virgules. |
-p password | Mot de passe |
-protectto SAMnameandSIDlist | Nom SAM séparé par des virgules/liste SID. |
-fournisseur csp | Fournisseur |
-t délai d’expiration | Délai d’attente d’extraction de l’URL en millisecondes. |
-symkeyalg symmetrickeyalgorithm[,keylength] | Nom de l’algorithme de clé symétrique avec la longueur de clé facultative. Par exemple : AES,128 ou 3DES |
Références supplémentaires
Pour obtenir d’autres exemples sur l’utilisation de cette commande, consultez