Partager via


certutil

Attention

Certutil n’est pas recommandée dans le code de production et ne fournit aucune garantie de support de site en direct ou de compatibilité des applications. Il s’agit d’un outil utilisé par les développeurs et les administrateurs informatiques pour voir les informations de contenu de certificat sur les appareils.

Certutil.exe est un programme en ligne de commande installé dans le cadre des services de certificats. Vous pouvez utiliser certutil.exe pour afficher des informations de configuration sur les autorités de certification, configurer les services de certificats, et sauvegarder et restaurer les composants d’autorités de certification. Le programme vérifie également les certificats, les paires de clés et les chaînes de certificats.

Si certutil est exécuté sur une autorité de certification sans autres paramètres, il affiche la configuration actuelle de l’autorité de certification. Si certutil -dump est exécuté sur une autorité qui n’est pas de certification sans autres paramètres, la commande exécute la commande certutil par défaut. Toutes les versions de certutil ne fournissent pas tous les paramètres et options décrits par ce document. Vous pouvez consulter les choix que votre version de certutil fournit en exécutant certutil -? ou certutil <parameter> -?.

Conseil

Pour voir l’aide complète sur tous les verbes et options certutil, y compris celles masquées de l’argument -?, exécutez certutil -v -uSAGE. La commutateur uSAGE tient compte de la casse.

Paramètres

-dump

Vide les informations ou fichiers de configuration.

certutil [options] [-dump]
certutil [options] [-dump] File

Options :

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vide la structure PFX.

certutil [options] [-dumpPFX] File

Options :

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analyse et affiche le contenu d’un fichier à l’aide de la syntaxe Abstract Syntax Notation (ASN.1). Les types de fichiers comprennent les fichiers au format .CER, .DER et PKCS #7.

certutil [options] -asn File [type]
  • [type] : type de décodage numérique CRYPT_STRING_*

-decodehex

Décode un fichier codé en hexadécimal.

certutil [options] -decodehex InFile OutFile [type]
  • [type] : type de décodage numérique CRYPT_STRING_*

Options :

[-f]

-encodehex

Encode un fichier en hexadécimal.

certutil [options] -encodehex InFile OutFile [type]
  • [type] : type d’encodage numérique CRYPT_STRING_*

Options :

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Décode un fichier codé en Base64.

certutil [options] -decode InFile OutFile

Options :

[-f]

-encode

Encode un fichier en Base64.

certutil [options] -encode InFile OutFile

Options :

[-f] [-unicodetext]

-deny

Rejette une demande en attente.

certutil [options] -deny RequestId

Options :

[-config Machine\CAName]

-resubmit

Renvoie une demande en attente.

certutil [options] -resubmit RequestId

Options :

[-config Machine\CAName]

-setattributes

Définit des attributs pour une demande de certificat en attente.

certutil [options] -setattributes RequestId AttributeString

Où :

  • RequestId équivaut à l’identifiant de demande numérique de la demande en attente.
  • AttributeString équivaut aux paires nom/valeur de l’attribut de demande.

Options :

[-config Machine\CAName]

Notes

  • Les noms et valeurs doivent être séparés par deux-points, tandis que plusieurs paires de noms et de valeurs doivent être séparées par un saut de ligne. Par exemple : CertificateTemplate:User\nEMail:User@Domain.com où la séquence \n est convertie en séparateur de saut de ligne.

-setextension

Définissez une extension pour une demande de certificat en attente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Où :

  • requestID équivaut à l’ID de demande numérique de la demande en attente.
  • ExtensionName équivaut à la chaîne ObjectId de l’extension.
  • Flags définit la priorité de l’extension. 0 est recommandé, tandis que 1 définit l’extension sur l’état critique, 2 désactive l’extension, et 3 effectue les deux actions.

Options :

[-config Machine\CAName]

Notes

  • Si le dernier paramètre est numérique, il est considéré comme Long.
  • Si le dernier paramètre peut être analysé en tant que date, il est considéré comme Date.
  • Si le dernier paramètre commence par \@, le reste du jeton est considéré comme nom de fichier avec des données binaires ou un vidage hexadécimal de texte ASCII.
  • Si le dernier paramètre est autre chose, il est considéré comme Chaîne.

-revoke

Révoque un certificat.

certutil [options] -revoke SerialNumber [Reason]

Où :

  • SerialNumber équivaut à une liste séparée par des virgules de numéros de série de certificats à révoquer.
  • Reason équivaut à la représentation numérique ou symbolique du motif de la révocation, notamment :
    • 0. CRL_REASON_UNSPECIFIED : non spécifié (par défaut)
    • 1. CRL_REASON_KEY_COMPROMISE : clé compromise
    • 2. CRL_REASON_CA_COMPROMISE : autorité de certification compromise
    • 3. CRL_REASON_AFFILIATION_CHANGED : affiliation modifiée
    • 4. CRL_REASON_SUPERSEDED : remplacement
    • 5. CRL_REASON_CESSATION_OF_OPERATION : cessation de l’opération
    • 6. CRL_REASON_CERTIFICATE_HOLD : certificat retenu
    • 8. CRL_REASON_REMOVE_FROM_CRL : suppression de la liste de révocation de certificats
    • 9 : CRL_REASON_PRIVILEGE_WITHDRAWN : privilège retiré
    • 10 : CRL_REASON_AA_COMPROMISE : compromis AA
    • -1. Annulez la révocation. - Ne révoque pas

Options :

[-config Machine\CAName]

-isvalid

Affiche la disposition du certificat actif.

certutil [options] -isvalid SerialNumber | CertHash

Options :

[-config Machine\CAName]

-getconfig

Génère la chaîne de configuration par défaut.

certutil [options] -getconfig

Options :

[-idispatch] [-config Machine\CAName]

-getconfig2

Génère la chaîne de configuration par défaut via ICertGetConfig.

certutil [options] -getconfig2

Options :

[-idispatch] 

-getconfig3

Génère la configuration via ICertConfig.

certutil [options] -getconfig3

Options :

[-idispatch] 

-ping

Essaye de contacter l’interface de demande des services de certificats Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Où :

  • CAMachineList équivaut à une liste séparée par des virgules de noms d’ordinateurs d’autorité de certification. Pour un seul ordinateur, utilisez une virgule finale. Cette option affiche également le coût du site pour chaque ordinateur d’AC.

Options :

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Essayez de contacter l’interface d’administration des services de certificats Active Directory.

certutil [options] -pingadmin

Options :

[-config Machine\CAName]

-CAInfo

Affiche des informations sur l’autorité de certification.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Où :

  • InfoName indique la propriété AC à afficher, en fonction de la syntaxe d’argument infoname suivante :
    • * : affiche toutes les propriétés
    • ads : serveur avancé
    • aia [Index] : URL AIA
    • cdp [Index] : URL CDP
    • cert [Index] : certificat d’autorité de certification
    • certchain [Index] : chaîne de certificats d’autorité de certification
    • certcount : nombre de certificats d’autorités de certification
    • certcrlchain [Index] : chaîne de certificats d’autorité de certification avec les listes de révocation de certificats
    • certstate [Index] : certificat d’autorité de certification
    • certstatuscode [Index] : état de la vérification du certificat d’autorité de certification
    • certversion [Index] : version de certificat de l’autorité de certification
    • Liste de révocation de certificats [Index] : liste de révocation de certificats de base
    • crlstate [Index] : liste de révocation de certificats
    • crlstatus [Index] : statut de publication de la liste de révocation de certificats
    • cross- [Index] : certification croisée descendante
    • cross+ [Index] : certification croisée ascendante
    • crossstate- [Index] : certification croisée descendante
    • crossstate+ [Index] : certification croisée ascendante
    • deltacrl [Index] : liste de révocation de certificats Delta
    • deltacrlstatus [Index] : statut de la publication de la liste de révocation de certificats delta
    • dns : nom DNS
    • dsname : nom d’autorité de certification expurgé (nom DS)
    • error1 ErrorCode : texte du message d’erreur
    • error2 ErrorCode : texte du message d’erreur et code d’erreur
    • exit [index] : quitter la description du module
    • exitcount : quitter le compte de module
    • file : version du fichier
    • info : informations sur l’autorité de certification
    • kra [Index] : certificat KRA
    • kracount : nombre de certificats KRA
    • krastate [Index] : certificat KRA
    • kraused : nombre utilisé de certificats KRA
    • localename : nom des paramètres régionaux de l’autorité de certification
    • name : nom de l’autorité de certification
    • ocsp [Index] : URL OCSP
    • parent : autorité de certification parente
    • policy : description du module de stratégie
    • product : version du produit
    • propidmax : ID Prop autorité de certifications maximale
    • role : séparation de rôle
    • sanitizedname : nom d’autorité de certification expurgé
    • sharedfolder : dossier partagé
    • subjecttemplateoids : OID de modèle du sujet
    • templates : modèles
    • type : type d’autorité de certification
    • xchg [Index] : certificat d’échange d’autorité de certification
    • xchgchain [Index] : chaîne de certificats d’échange d’autorité de certification
    • xchgcount : nombre de certificats d’échange d’autorités de certification
    • xchgcrlchain [Index] : chaîne de certificats d’échange d’autorité de certification avec les listes de révocation de certificats
  • index équivaut à l’index de propriété facultatif de base zéro.
  • errorcode équivaut au code d’erreur numérique.

Options :

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Affiche les informations de type de propriété de l’autorité de certification.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options :

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Récupère le certificat de l’autorité de certification.

certutil [options] -ca.cert OutCACertFile [Index]

Où :

  • OutCACertFile équivaut au fichier de sortie.
  • Index équivaut à l’index de renouvellement du certificat d’autorité de certification (par défaut, le plus récent).

Options :

[-f] [-split] [-config Machine\CAName]

-ca.chain

Récupère la chaîne de certificats de l’autorité de certification.

certutil [options] -ca.chain OutCACertChainFile [Index]

Où :

  • OutCACertChainFile équivaut au fichier de sortie.
  • Index équivaut à l’index de renouvellement du certificat d’autorité de certification (par défaut, le plus récent).

Options :

[-f] [-split] [-config Machine\CAName]

-GetCRL

Génère une liste de révocation de certificats (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Où :

  • Index équivaut à l’index de liste de révocation de certificats ou à l’index de clé (par défaut, la liste de révocation de certificats pour la clé la plus récente).
  • delta équivaut à la liste de révocation de certificats delta (par défaut, la liste de révocation de certificats de base).

Options :

[-f] [-split] [-config Machine\CAName]

-CRL

Publie de nouvelles listes de révocation de certificats (CRL) ou listes de révocation de certificats delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Où :

  • dd:hh équivaut à la période de validité de la nouvelle liste de révocation de certificats en jours et en heures.
  • republish republie les listes de révocation de certificats les plus récentes.
  • delta publie uniquement les listes de révocation de certificats delta (par défaut, les listes de révocation de certificats de base et delta).

Options :

[-split] [-config Machine\CAName]

-shutdown

Arrête les services de certificats Active Directory.

certutil [options] -shutdown

Options :

[-config Machine\CAName]

-installCert

Installe un certificat d’autorité de certification.

certutil [options] -installCert [CACertFile]

Options :

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renouvelle un certificat d’autorité de certification.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options :

[-f] [-silent] [-config Machine\CAName]
  • Utilisez -f pour ignorer une demande de renouvellement en attente et générer une nouvelle demande.

-schema

Vide le schéma du certificat.

certutil [options] -schema [Ext | Attrib | CRL]

Où :

  • La commande est définie par défaut sur la table des demandes et certificats.
  • Ext équivaut à la table d’extensions.
  • Attribute équivaut à la table d’attributs.
  • CRL équivaut à la table de listes de révocation de certificats.

Options :

[-split] [-config Machine\CAName]

-view

Vide la vue du certificat.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Où :

  • Queue vide une file d’attente de requêtes spécifique.
  • Log vide les certificats émis ou révoqués, ainsi que les demandes ayant échoué.
  • LogFail vide les demandes ayant échoué.
  • Revoked vide les certificats révoqués.
  • Ext vide la table d’extensions.
  • Attrib vide la table d’attributs.
  • CRL vide la table de listes de révocation de certificats.
  • csv fournit la sortie en utilisant des valeurs séparées par des virgules.

Options :

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Notes

  • Pour afficher la colonne StatusCode de toutes les entrées, saisissez -out StatusCode
  • Pour afficher toutes les colonnes de la dernière entrée, saisissez : -restrict RequestId==$
  • Pour afficher les valeurs RequestId et Disposition des trois requêtes, saisissez : -restrict requestID>=37,requestID<40 -out requestID,disposition
  • Pour afficher les valeurs Row IDs et CRL numbers de toutes les listes de révocation de certificats de base, saisissez : -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • Pour afficher le numéro de liste de révocation de certificats de base 3, tapez : -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • Pour afficher l’intégralité de la table de listes de révocation de certificats, saisissez : CRL
  • Utilisez Date[+|-dd:hh] pour les restrictions de date.
  • Utilisez now+dd:hh pour une date relative à l’heure actuelle.
  • Les modèles contiennent des utilisations de clés étendues (EKU), qui sont des identificateurs d’objet (OID) qui décrivent la façon dont le certificat est utilisé. Les certificats n’incluent pas toujours de noms communs de modèle ou de noms d’affichage, mais ils contiennent toujours les EKU de modèle. Vous pouvez extraire les EKU pour un modèle de certificat spécifique à partir d’Active Directory, puis restreindre les vues en fonction de cette extension.

-db

Vide la base de données brute.

certutil [options] -db

Options :

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Supprime une ligne de la base de données du serveur.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Où :

  • Request supprime les requêtes ayant échoué et en attente, en fonction de la date de soumission.
  • Cert supprime les certificats expirés et révoqués, en fonction de la date d’expiration.
  • Ext supprime la table d’extensions.
  • Attrib supprime la table d’attributs.
  • CRL supprime la table de listes de révocation de certificats.

Options :

[-f] [-config Machine\CAName]

Exemples

  • Pour supprimer les demandes ayant échoué et en attente soumises avant le 22 janvier 2001, saisissez : 1/22/2001 request
  • Pour supprimer tous les certificats qui ont expiré en date du 22 janvier 2001, saisissez : 1/22/2001 cert
  • Pour supprimer la ligne de certificat, les attributs et les extensions pour RequestID 37, saisissez : 37
  • Pour supprimer les listes de révocation de certificats qui ont expiré en date du 22 janvier 2001, saisissez : 1/22/2001 crl

Remarque

Date attend le format mm/dd/yyyy plutôt que dd/mm/yyyy, par exemple 1/22/2001 plutôt que 22/1/2001 pour le 22 janvier 2001. Si votre serveur n’est pas configuré avec les paramètres régionaux américains, l’utilisation de l’argument Date peut produire des résultats inattendus.

-backup

Sauvegarde les services de certificats Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Où :

  • BackupDirectory équivaut au répertoire permettant de stocker les données sauvegardées.
  • Incremental effectue une sauvegarde incrémentielle uniquement (par défaut, une sauvegarde complète).
  • KeepLog conserve les fichiers journaux de base de données (par défaut, troncation des fichiers journaux).

Options :

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sauvegarde la base de données des services de certificats Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Où :

  • BackupDirectory équivaut au répertoire permettant de stocker les fichiers de base de données sauvegardés.
  • Incremental effectue une sauvegarde incrémentielle uniquement (par défaut, une sauvegarde complète).
  • KeepLog conserve les fichiers journaux de base de données (par défaut, troncation des fichiers journaux).

Options :

[-f] [-config Machine\CAName]

-backupkey

Sauvegarde le certificat de services de certificats Active Directory et la clé privée.

certutil [options] -backupkey BackupDirectory

Où :

  • BackupDirectory équivaut au répertoire permettant de stocker le fichier PFX sauvegardé.

Options :

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaure les services de certificats Active Directory.

certutil [options] -restore BackupDirectory

Où :

  • BackupDirectory équivaut au répertoire contenant les données à restaurer.

Options :

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaure la base de données des services de certificats Active Directory.

certutil [options] -restoredb BackupDirectory

Où :

  • BackupDirectory équivaut au répertoire contenant les fichiers de base de données à restaurer.

Options :

[-f] [-config Machine\CAName]

-restorekey

Restaure le certificat de services de certificats Active Directory et la clé privée.

certutil [options] -restorekey BackupDirectory | PFXFile

Où :

  • BackupDirectory équivaut au répertoire contenant le fichier PFX à restaurer.
  • PFXFile est le fichier PFX à restaurer.

Options :

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporte les certificats et les clés privées. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats.
  • PFXFile est le fichier PFX à exporter.
  • Modifiers équivaut à la liste séparée par des virgules, qui peut comprendre un ou plusieurs des éléments suivants :
    • CryptoAlgorithm= spécifie l’algorithme de chiffrement à utiliser pour chiffrer le fichier PFX, tel que TripleDES-Sha1 ou Aes256-Sha256.
    • EncryptCert : chiffre la clé privée associée au certificat avec un mot de passe.
    • ExportParameters : exporte les paramètres de clé privée en plus du certificat et de la clé privée.
    • ExtendedProperties : inclut toutes les propriétés étendues associées au certificat dans le fichier de sortie.
    • NoEncryptCert : exporte la clé privée sans le chiffrer.
    • NoChain : n’importe pas la chaîne de certificats.
    • NoRoot : n’importe pas le certificat racine.

-importPFX

Importe les certificats et les clés privées. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.
  • PFXFile est le fichier PFX à importer.
  • Modifiers équivaut à la liste séparée par des virgules, qui peut comprendre un ou plusieurs des éléments suivants :
    • AT_KEYEXCHANGE : remplace la valeur keyspec par Échange de clé.
    • AT_SIGNATURE : remplace la valeur keyspec par Signature.
    • ExportEncrypted : exporte la clé privée associée au certificat avec le chiffrement de mot de passe.
    • FriendlyName= : spécifie un nom convivial pour le certificat importé.
    • KeyDescription= : spécifie une description de la clé privée associée au certificat importé.
    • KeyFriendlyName= : spécifie un nom convivial de la clé privée associée au certificat importé.
    • NoCert : n’importe pas le certificat.
    • NoChain : n’importe pas la chaîne de certificats.
    • NoExport : rend la clé privée non exportable.
    • NoProtect : ne protège pas les clés par mot de passe à l’aide d’un mot de passe.
    • NoRoot : n’importe pas le certificat racine.
    • Pkcs8 : utilise le format PKCS8 pour la clé privée dans le fichier PFX.
    • Protect : protège les clés à l’aide d’un mot de passe.
    • ProtectHigh : spécifie qu’un mot de passe haute sécurité doit être associé à la clé privée.
    • VSM : stocke la clé privée associée au certificat importé dans le conteneur VSC (Virtual Smart Card).

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Notes

  • La valeur par défaut est définie sur le magasin de l’ordinateur personnel.

-dynamicfilelist

Affiche une liste dynamique de fichiers.

certutil [options] -dynamicfilelist

Options :

[-config Machine\CAName]

-databaselocations

Affiche les emplacements de base de données.

certutil [options] -databaselocations

Options :

[-config Machine\CAName]

-hashfile

Génère et affiche un hachage de chiffrement sur un fichier.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Vide le magasin de certificats.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats. Par exemple :

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats. Cet identifiant peut être un :

    • Numéro de série
    • Certificat SHA-1
    • Liste de révocation de certificats, hachage de clé publique ou CTL
    • Index de certificat numérique (0, 1, et ainsi de suite)
    • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
    • Certificat de liste de révocation de certificats numériques (..0, ..1, et ainsi de suite)
    • Clé publique
    • Signature ou extension ObjectId
    • Nom commun du sujet du certificat
    • Adresse de messagerie
    • Nom UPN ou DNS
    • Nom du conteneur de clés ou nom CSP
    • Nom du modèle ou ObjectId
    • Référence EKU ou ObjectId des stratégies d’application
    • Nom commun de l’émetteur de liste de révocation de certificats.

La plupart de ces identificateurs peuvent entraîner plusieurs correspondances.

  • OutputFile équivaut au fichier utilisé pour enregistrer les certificats correspondants.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.
  • L’option -enterprise accède à un magasin d’ordinateurs d’entreprise.
  • L’option -service accède à un magasin de service d’ordinateur.
  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Remarque

Des problèmes de performances sont observés lors de l’utilisation du paramètre -store en fonction de ces deux aspects :

  1. Lorsque le nombre de certificats dans le magasin dépasse 10.
  2. Lorsqu’un CertId est spécifié, il est utilisé pour mettre en correspondance tous les types répertoriés pour chaque certificat. Par exemple, si un numéro de série est fourni, il tente également de mettre en correspondance tous les autres types répertoriés.

Si vous êtes préoccupé par les problèmes de performances, les commandes PowerShell sont recommandées pour les mises en correspondance du type de certificat spécifié uniquement.

-enumstore

Énumère les magasins de certificats.

certutil [options] -enumstore [\\MachineName]

Où :

  • MachineName est le nom de l’ordinateur distant.

Options :

[-enterprise] [-user] [-grouppolicy]

-addstore

Ajoute un certificat au magasin. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -addstore CertificateStoreName InFile

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.
  • InFile équivaut au certificat ou fichier de liste de révocation de certificats que vous souhaitez ajouter au magasin.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Supprime un certificat du magasin. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -delstore CertificateStoreName certID

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Vérifie un certificat dans le magasin. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -verifystore CertificateStoreName [CertId]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats.

Options :

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Répare une association de clé ou met à jour les propriétés de certificat ou le descripteur de sécurité de clé. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats.

  • CertIdList équivaut à la liste séparée par des virgules des jetons de correspondance de certificat ou de liste de révocation de certificats. Pour plus d’informations, consultez la description CertId -store de cet article.

  • PropertyInfFile équivaut au fichier INF contenant des propriétés externes, notamment :

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vide le magasin de certificats. Pour plus d’informations, consultez le paramètre -store dans cet article.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats. Par exemple :

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un :

    • Numéro de série
    • Certificat SHA-1
    • Liste de révocation de certificats, hachage de clé publique ou CTL
    • Index de certificat numérique (0, 1, et ainsi de suite)
    • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
    • Certificat de liste de révocation de certificats numériques (..0, ..1, et ainsi de suite)
    • Clé publique
    • Signature ou extension ObjectId
    • Nom commun du sujet du certificat
    • Adresse de messagerie
    • Nom UPN ou DNS
    • Nom du conteneur de clés ou nom CSP
    • Nom du modèle ou ObjectId
    • Référence EKU ou ObjectId des stratégies d’application
    • Nom commun de l’émetteur de liste de révocation de certificats.

La plupart de ces éléments peuvent entraîner plusieurs correspondances.

  • OutputFile équivaut au fichier utilisé pour enregistrer les certificats correspondants.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.
  • L’option -enterprise accède à un magasin d’ordinateurs d’entreprise.
  • L’option -service accède à un magasin de service d’ordinateur.
  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Supprime un certificat du magasin.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Où :

  • CertificateStoreName équivaut au nom du magasin de certificats. Par exemple :

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId équivaut au jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un :

    • Numéro de série
    • Certificat SHA-1
    • Liste de révocation de certificats, hachage de clé publique ou CTL
    • Index de certificat numérique (0, 1, et ainsi de suite)
    • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
    • Certificat de liste de révocation de certificats numériques (..0, ..1, et ainsi de suite)
    • Clé publique
    • Signature ou extension ObjectId
    • Nom commun du sujet du certificat
    • Adresse de messagerie
    • Nom UPN ou DNS
    • Nom du conteneur de clés ou nom CSP
    • Nom du modèle ou ObjectId
    • Référence EKU ou ObjectId des stratégies d’application
    • Nom commun de l’émetteur de liste de révocation de certificats. La plupart de ces éléments peuvent entraîner plusieurs correspondances.
  • OutputFile équivaut au fichier utilisé pour enregistrer les certificats correspondants.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.
  • L’option -enterprise accède à un magasin d’ordinateurs d’entreprise.
  • L’option -service accède à un magasin de service d’ordinateur.
  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-Interface utilisateur

Appelle l’interface certutil.

certutil [options] -UI File [import]

-TPMInfo

Affiche les informations du module de plateforme approuvée.

certutil [options] -TPMInfo

Options :

[-f] [-Silent] [-split]

-attest

Spécifie que le fichier de demande de certificat doit être attesté.

certutil [options] -attest RequestFile

Options :

[-user] [-Silent] [-split]

-getcert

Sélectionne un certificat dans une interface utilisateur de sélection.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options :

[-Silent] [-split]

-ds

Affiche les noms uniques (DS) du service d’annuaire (DN).

certutil [options] -ds [CommonName]

Options :

[-f] [-user] [-split] [-dc DCName]

-dsDel

Supprime les noms de domaine DS.

certutil [options] -dsDel [CommonName]

Options :

[-user] [-split] [-dc DCName]

-dsPublish

Publie un certificat ou une liste de révocation de certificats (CRL) dans Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Où :

  • CertFile équivaut au nom du fichier de certificat à publier.
  • NTAuthCA publie le certificat dans le magasin Entreprise de service d’annuaire.
  • RootCA publie le certificat dans le magasin Racine de confiance du service d’annuaire.
  • SubCA publie le certificat d’autorité de certification dans l’objet AC du service d’annuaire.
  • CrossCA publie le certificat croisé dans l’objet AC du service d’annuaire.
  • KRA publie le certificat dans l’objet d’agent de récupération de clé de service d’annuaire.
  • User publie le certificat dans l’objet de service d’annuaire de l’utilisateur.
  • Machine publie le certificat dans l’objet de service d’annuaire de l’ordinateur.
  • CRLfile équivaut au nom du fichier de liste de révocation de certificats à publier.
  • DSCDPContainer équivaut au CN de conteneur CDP de service d’annuaire, généralement le nom d’ordinateur de l’autorité de certification.
  • DSCDPCN équivaut au CN d’objet CDP de service d’annuaire basé sur le nom d’autorité de certification expurgé et l’index de clé.

Options :

[-f] [-user] [-dc DCName]
  • Utilisez -f pour créer un objet de service d’annuaire.

-dsCert

Affiche les certificats DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options :

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Affiche les listes de révocation de certificats DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options :

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Affiche les listes de révocation de certificats delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options :

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Affiche les attributs de modèle DS.

certutil [options] -dsTemplate [Template]

Options :

[Silent] [-dc DCName]

-dsAddTemplate

Ajoute des modèles DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options :

[-dc DCName]

-ADTemplate

Affiche des modèles Active Directory.

certutil [options] -ADTemplate [Template]

Options :

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Affiche les modèles de stratégie d’inscription de certificats.

Options :

certutil [options] -Template [Template]

Options :

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Affiche les autorités de certification (AC) pour un modèle de certificat.

certutil [options] -TemplateCAs Template

Options :

[-f] [-user] [-dc DCName]

-CATemplates

Affiche des modèles pour l’autorité de certification.

certutil [options] -CATemplates [Template]

Options :

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Définit les modèles de certificat que l’autorité de certification peut émettre.

certutil [options] -SetCATemplates [+ | -] TemplateList

Où :

  • Le signe + ajoute des modèles de certificat à la liste de modèles disponibles de l’autorité de certification.
  • Le signe - supprime des modèles de certificat de la liste de modèles disponibles de l’autorité de certification.

-SetCASites

Gère les noms de sites, notamment la définition, la vérification et la suppression des noms de sites de l’autorité de certification.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Où :

  • SiteName est autorisé uniquement lorsque vous ciblez une seule autorité de certification.

Options :

[-f] [-config Machine\CAName] [-dc DCName]

Notes

  • L’option -config cible une autorité de certification unique (par défaut, toutes les autorités de certification).
  • L’option -f peut être utilisée pour remplacer les erreurs de validation pour la valeur SiteName spécifiée ou pour supprimer tous les noms de sites de l’autorité de certification.

Remarque

Pour plus d’informations sur la configuration des autorités de certification pour la reconnaissance des sites Active Directory Domain Services (AD DS), consultez Reconnaissance des sites AD DS pour les services AD CS et les clients PKI.

-enrollmentServerURL

Affiche, ajoute ou supprime les URL de serveur d’inscription associées à une autorité de certification.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Où :

  • AuthenticationType spécifie l’une des méthodes d’authentification client suivantes lors de l’ajout d’une URL :
    • Kerberos : utilisez les informations d’identification SSL Kerberos.
    • UserName : utilisez un compte nommé pour les informations d’identification SSL.
    • ClientCertificate : utilisez les informations d’identification SSL de certificat X.509.
    • Anonymous : utilisez des informations d’identification SSL anonymes.
  • delete supprime l’URL spécifiée associée à l’autorité de certification.
  • Priority est définie sur 1 par défaut si elle n’est pas spécifiée lors de l’ajout d’une URL.
  • Modifiers équivaut à une liste séparée par des virgules, qui comprend un ou plusieurs des éléments suivants :
    • AllowRenewalsOnly : seules les demandes de renouvellement peuvent être envoyées à cette autorité de certification par le biais de cette URL.
    • AllowKeyBasedRenewal : autorise l’utilisation d’un certificat qui ne possède aucun compte associé dans AD. Cela s’applique uniquement avec les modes ClientCertificate et AllowRenewalsOnly.

Options :

[-config Machine\CAName] [-dc DCName]

-ADCA

Affiche les autorités de certification Active Directory.

certutil [options] -ADCA [CAName]

Options :

[-f] [-split] [-dc DCName]

-CA

Affiche les autorités de certification de stratégie d’inscription.

certutil [options] -CA [CAName | TemplateName]

Options :

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Stratégie

Affiche la stratégie d’inscription.

certutil [options] -Policy

Options :

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Affiche ou supprime les entrées de cache de stratégie d’inscription.

certutil [options] -PolicyCache [delete]

Où :

  • delete supprime les entrées de cache du serveur de stratégie.
  • -f supprime toutes les entrées de cache.

Options :

[-f] [-user] [-policyserver URLorID]

-CredStore

Affiche, ajoute ou supprime les entrées du magasin d’informations d’identification.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Où :

  • URL équivaut à l’URL cible. Vous pouvez également utiliser * pour faire correspondre toutes les entrées ou https://machine* pour faire correspondre un préfixe d’URL.
  • add ajoute une entrée de magasin d’informations d’identification. L’utilisation de cette option nécessite également l’utilisation d’informations d’identification SSL.
  • delete supprime les entrées du magasin d’informations d’identification.
  • -f remplace une seule entrée ou supprime plusieurs entrées.

Options :

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installe les modèles de certificat par défaut.

certutil [options] -InstallDefaultTemplates

Options :

[-dc DCName]

-URL

Vérifie les URL de certificat ou de liste de révocation de certificats.

certutil [options] -URL InFile | URL

Options :

[-f] [-split]

-URLCache

Affiche ou supprime les entrées de cache d’URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Où :

  • URL équivaut à l’URL mise en cache.
  • CRL s’exécute uniquement sur toutes les URL de liste de révocation de certificats mises en cache.
  • * fonctionne sur toutes les URL mises en cache.
  • delete supprime les URL pertinentes du cache local de l’utilisateur actuel.
  • -f force la récupération d’une URL spécifique et la mise à jour du cache.

Options :

[-f] [-split]

-pulse

Déclenche un événement d’inscription automatique ou une tâche NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Où :

  • TaskName est la tâche à déclencher.
    • Pregen est la tâche de clé NGC à pré-générer.
    • AIKEnroll est la tâche d’inscription de certificat AIK NGC. (Valeur par défaut de l’événement d’inscription automatique).
  • SRKThumbprint est l’empreinte numérique de la clé racine de stockage
  • Modificateurs :
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

Options :

[-user]

-MachineInfo

Affiche des informations sur l’objet de machine Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Affiche des informations sur le contrôleur de domaine. La valeur par défaut affiche les certificats de contrôleur de domaine sans vérification.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
  • Modificateurs :

    • Vérification
    • DeleteBad
    • DeleteAll

Options :

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Conseil

La possibilité de spécifier un domaine Active Directory Domain Services (AD DS) [Domain] et de spécifier un contrôleur de domaine (-dc) a été ajoutée dans Windows Server 2012. Pour exécuter correctement la commande, vous devez utiliser un compte membre des Administrateurs de domaine ou des Administrateurs d’entreprise. Les modifications de comportement de cette commande sont les suivantes :

  • Si un domaine n’est pas spécifié et qu’aucun contrôleur de domaine spécifique n’est spécifié, cette option renvoie une liste de contrôleurs de domaine à traiter à partir du contrôleur de domaine par défaut.
  • Si un domaine n’est pas spécifié, mais qu’un contrôleur de domaine est spécifié, un rapport des certificats sur le contrôleur de domaine spécifié est généré.
  • Si un domaine est spécifié, mais qu’un contrôleur de domaine n’est pas spécifié, une liste de contrôleurs de domaine est générée avec des rapports sur les certificats de chaque contrôleur de domaine dans la liste.
  • Si le domaine et le contrôleur de domaine sont spécifiés, une liste de contrôleurs de domaine est générée à partir du contrôleur de domaine ciblé. Un rapport des certificats pour chaque contrôleur de domaine de la liste est généré également.

Par exemple, supposons qu’il existe un domaine nommé CPANDL avec un contrôleur de domaine nommé CPANDL-DC1. Vous pouvez exécuter la commande suivante pour récupérer une liste de contrôleurs de domaine et de leurs certificats à partir de CPANDL-DC1 : certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Affiche des informations sur une autorité de certification d’entreprise.

certutil [options] -EntInfo DomainName\MachineName$

Options :

[-f] [-user]

-TCAInfo

Affiche des informations sur l’autorité de certification.

certutil [options] -TCAInfo [DomainDN | -]

Options :

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Affiche des informations sur la carte à puce.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Où :

  • CRYPT_DELETEKEYSET supprime toutes les clés de la carte à puce.

Options :

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gère les certificats racines de carte à puce.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options :

[-f] [-split] [-p Password]

-key

Répertorie les clés stockées dans un conteneur de clés.

certutil [options] -key [KeyContainerName | -]

Où :

  • KeyContainerName équivaut au nom du conteneur de clé pour la clé à vérifier. Cette option est définie par défaut sur les clés d’ordinateur. Pour basculer vers les clés d’utilisateur, utilisez -user.
  • L’utilisation du signe - fait référence à l’utilisation du conteneur de clés par défaut.

Options :

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Supprime le conteneur de clé nommée.

certutil [options] -delkey KeyContainerName

Options :

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Supprime le conteneur Windows Hello, en supprimant toutes les informations d’identification associées stockées sur l’appareil, y compris les informations d’identification WebAuthn et FIDO.

Les utilisateurs doivent se déconnecter après avoir utilisé cette option pour qu’elle se termine.

certutil [options] -DeleteHelloContainer

-verifykeys

Vérifie un ensemble de clés publiques ou privées.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Où :

  • KeyContainerName équivaut au nom du conteneur de clé pour la clé à vérifier. Cette option est définie par défaut sur les clés d’ordinateur. Pour basculer vers les clés d’utilisateur, utilisez -user.
  • CACertFile signe ou chiffre les fichiers de certificat.

Options :

[-f] [-user] [-Silent] [-config Machine\CAName]

Notes

  • Si aucun argument n’est spécifié, chaque certificat d’autorité de certification de signature est vérifié par rapport à sa clé privée.
  • Cette opération peut être effectuée uniquement sur une autorité de certification locale ou des clés locales.

-verify

Vérifie un certificat, une liste de révocation de certificats (CRL) ou une chaîne de certificats.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Où :

  • CertFile équivaut au nom du certificat à vérifier.
  • ApplicationPolicyList équivaut à la liste facultative séparée par des virgules des ObjectId de stratégie d’application requis.
  • IssuancePolicyList équivaut à la liste facultative séparée par des virgules des ObjectId de stratégie d’émission requis.
  • CACertFile équivaut à l’émission facultative d’un certificat d’autorité de certification par rapport auquel effectuer la vérification.
  • CrossedCACertFile équivaut au certificat facultatif à certification croisée par CertFile.
  • CRLFile équivaut au fichier de liste de révocation de certificats utilisé pour vérifier CACertFile.
  • IssuedCertFile équivaut au certificat facultatif émis couvert par le CRLfile.
  • DeltaCRLFile équivaut au fichier de liste de révocation de certificats delta facultatif.
  • Modificateurs :
    • Forte : vérification forte de la signature
    • MSRoot : doit chaîner à une racine Microsoft
    • MSTestRoot : doit chaîner à une racine de test Microsoft
    • AppRoot : doit chaîner à une racine d’application Microsoft
    • EV : appliquer une stratégie de validation étendue

Options :

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Notes

  • L’utilisation de ApplicationPolicyList limite la génération de chaînes aux chaînes valides pour les stratégies d’application spécifiées uniquement.
  • L’utilisation de IssuancePolicyList limite la génération de chaînes aux chaînes valides pour les stratégies d’émission spécifiées uniquement.
  • L’utilisation de CACertFile vérifie les champs du fichier par rapport à CertFile ou CRLfile.
  • Si CACertFile n’est pas spécifié, la chaîne complète est générée et vérifiée par rapport à CertFile.
  • Si CACertFile et CrossedCACertFile sont tous deux spécifiés, les champs des deux fichiers sont vérifiés par rapport à CertFile.
  • L’utilisation de IssuedCertFile vérifie les champs du fichier par rapport à CRLfile.
  • L’utilisation de DeltaCRLFile vérifie les champs du fichier par rapport à CertFile.

-verifyCTL

Vérifie la liste CTL AuthRoot ou de certificats non autorisés.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Où :

  • CTLObject identifie la liste CTL à vérifier, notamment :

    • AuthRootWU lit le fichier CAB AuthRoot et les certificats correspondants depuis le cache d’URL. Utilisez -f pour télécharger depuis Windows Update à la place.
    • DisallowedWU lit le fichier CAB des certificats non autorisés et le fichier du magasin de certificats non autorisés depuis le cache d’URL. Utilisez -f pour télécharger depuis Windows Update à la place.
      • PinRulesWU lit le CAB PinRules à partir du cache d’URL. Utilisez -f pour télécharger depuis Windows Update à la place.
    • AuthRoot lit la liste CTL AuthRoot mise en cache dans le registre. Utilisez avec -f et un CertFile qui n’est pas déjà approuvé pour forcer la mise à jour des listes CTL AuthRoot et de certificats non autorisés en cache dans le registre.
    • Disallowed lit la liste CTL de certificats non autorisés en cache dans le registre. Utilisez avec -f et un CertFile qui n’est pas déjà approuvé pour forcer la mise à jour des listes CTL AuthRoot et de certificats non autorisés en cache dans le registre.
      • PinRules lit la durée de vie PinRules mise en cache dans le registre. L’utilisation de -f a le même comportement qu’avec PinRulesWU.
    • CTLFileName spécifie le fichier ou le chemin d’accès http à la liste CTL ou au fichier CAB.
  • CertDir spécifie le dossier contenant les certificats correspondant aux entrées CTL. Par défaut, le même dossier ou site Web que le CTLobject. L’utilisation d’un chemin d’accès http nécessite un séparateur de chemin d’accès à la fin. Si vous ne spécifiez pas AuthRoot ou Disallowed, plusieurs emplacements sont recherchés pour les certificats correspondants, y compris les magasins de certificats locaux, les ressources crypt32.dll et le cache d’URL local. Utilisez -f pour télécharger depuis Windows Update, le cas échéant.

  • CertFile spécifie le ou les certificats à vérifier. Les certificats sont mis en correspondance avec les entrées CTL, affichant les résultats. Cette option supprime la majeure partie de la sortie par défaut.

Options :

[-f] [-user] [-split]

-syncWithWU

Synchronise les certificats avec Windows Update.

certutil [options] -syncWithWU DestinationDir

Où :

  • DestinationDir est le répertoire spécifié.
  • f force un remplacement.
  • Unicode écrit une sortie redirigée en Unicode.
  • gmt affiche les heures en tant que GMT.
  • seconds affiche les heures en secondes et millisecondes.
  • v est une opération détaillée.
  • PIN est le code confidentiel de la carte à puce.
  • WELL_KNOWN_SID_TYPE est un SID numérique :
    • 22 : système local
    • 23 : service local
    • 24 : service réseau

Notes

Les fichiers suivants sont téléchargés à l’aide du mécanisme de mise à jour automatique :

  • authrootstl.cab contient les listes CTL de certificats racines non-Microsoft.
  • disallowedcertstl.cab contient les listes CTL de certificats non autorisés.
  • disallowedcert.sst contient le magasin de certificats sérialisés, y compris les certificats non autorisés.
  • thumbprint.crt contient les certificats racines non-Microsoft.

Par exemple, certutil -syncWithWU \\server1\PKI\CTLs

  • Si vous utilisez un dossier ou chemin local inexistant comme dossier de destination, l’erreur suivante s’affiche : The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Si vous utilisez un emplacement réseau non disponible ou inexistant comme dossier de destination, l’erreur suivante s’affiche : The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Si votre serveur ne peut pas se connecter via le port TCP 80 aux serveurs de mise à jour automatique Microsoft, l’erreur suivante s’affiche : A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Si votre serveur ne peut pas atteindre les serveurs de mise à jour automatique Microsoft avec le nom DNS ctldl.windowsupdate.com, l’erreur suivante s’affiche : The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Si vous n’utilisez pas le commutateur -f et que l’un des fichiers CTL existe déjà dans le répertoire, une erreur indiquant que le fichier existe s’affiche : certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • En cas de modification des certificats racines de confiance, vous voyez s’afficher : Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options :

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Génère un fichier de magasin synchronisé avec Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Où :

  • SSTFile est le fichier .sst généré qui contient les racines tierces téléchargées à partir de Windows Update.

Options :

[-f] [-split]

-generatePinRulesCTL

Génère un fichier CTL (Certificate Trust List) qui contient une liste de règles de code confidentiel.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Où :

  • XMLFile est le fichier XML d’entrée à analyser.
  • CTLFile est le fichier CTL de sortie à générer.
  • SSTFile est le fichier .sst facultatif à créer qui contient tous les certificats utilisés pour le code confidentiel.
  • QueryFilesPrefix est des fichiers Domains.csv etKeys.csv facultatifs à créer pour la requête de base de données.
    • La chaîne QueryFilesPrefix est ajoutée à chaque fichier créé.
    • Le fichier Domains.csv contient le nom de règle, les lignes de domaine.
    • Le fichier Keys.csv contient le nom de la règle, les lignes d’empreinte SHA256 de clé.

Options :

[-f]

-downloadOcsp

Télécharge les réponses OCSP et écrit dans le répertoire.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Où :

  • CertificateDir est le répertoire d’un certificat, d’un magasin et de fichiers PFX.
  • OcspDir est le répertoire pour écrire des réponses OCSP.
  • ThreadCount est le nombre maximal facultatif de conversations pour le téléchargement simultané. La valeur par défaut est 10.
  • Modifiers équivaut à la liste séparée par des virgules d’un ou plusieurs des éléments suivants :
    • DownloadOnce : télécharge une fois et se ferme.
    • ReadOcsp : lit à partir d’OcspDir au lieu d’écrire.

-generateHpkpHeader

Génère l’en-tête HPKP à l’aide de certificats dans un fichier ou un répertoire spécifié.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Où :

  • CertFileOrDir est le fichier ou le répertoire des certificats, qui est la source du code pin-sha256.
  • MaxAge est la valeur maximale de l’âge en secondes.
  • ReportUri est l’URI de rapport facultatif.
  • Modifiers équivaut à la liste séparée par des virgules d’un ou plusieurs des éléments suivants :
    • includeSubDomains : ajoute les includeSubDomains.

-flushCache

Vide les caches spécifiés dans le processus sélectionné, par exemple, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Où :

  • ProcessId est l’identifiant numérique d’un processus à vider. Définissez la valeur 0 pour vider tous les processus où le vidage est activé.

  • CacheMask est le masque de bits des caches à vider numériquement ou les bits suivants :

    • 0 : ShowOnly
    • 0x01 : CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02 : CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04 : CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08 : CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10 : CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20 : CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40 : CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
  • Modifiers équivaut à la liste séparée par des virgules d’un ou plusieurs des éléments suivants :

    • Afficher : affiche les caches vidés. Certutil doit être explicitement arrêté.

-addEccCurve

Ajoute une courbe ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Où :

  • CurveClass est le type ECC Curve Class :

    • WEIERSTRASS (par défaut)
    • MONTGOMERY
    • TWISTED_EDWARDS
  • CurveName est le nom de la courbe ECC.

  • CurveParameters est l’un des éléments suivants :

    • Nom de fichier de certificat contenant des paramètres encodés ASN.
    • Fichier contenant des paramètres encodés ASN.
  • CurveOID est l’OID de courbe ECC et est l’un des éléments suivants :

    • Nom de fichier de certificat contenant un OID encodé ASN.
    • OID de courbe ECC explicite.
  • CurveType est le point Schannel ECC NamedCurve (numérique).

Options :

[-f]

-deleteEccCurve

Supprime la courbe ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Où :

  • CurveName est le nom de la courbe ECC.
  • CurveOID est l’OID de courbe ECC.

Options :

[-f]

-displayEccCurve

Affiche la courbe ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Où :

  • CurveName est le nom de la courbe ECC.
  • CurveOID est l’OID de courbe ECC.

Options :

[-f]

-csplist

Répertorie les fournisseurs de services de chiffrement installés sur cet ordinateur pour les opérations de chiffrement.

certutil [options] -csplist [Algorithm]

Options :

[-user] [-Silent] [-csp Provider]

-csptest

Teste les fournisseurs de services cloud installés sur cet ordinateur.

certutil [options] -csptest [Algorithm]

Options :

[-user] [-Silent] [-csp Provider]

-CNGConfig

Affiche la configuration de chiffrement CNG sur cet ordinateur.

certutil [options] -CNGConfig

Options :

[-Silent]

-sign

Signe à nouveau une liste de révocation de certificats (CRL) ou un certificat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Où :

  • InFileList équivaut à la liste séparée par des virgules des fichiers de certificat ou de liste de révocation de certificats à modifier et à signer à nouveau.

  • SerialNumber équivaut au numéro de série du certificat à créer. La période de validité et les autres options ne peuvent être présentes.

  • CRL crée une liste de révocation de certificats vide. La période de validité et les autres options ne peuvent être présentes.

  • OutFileList équivaut à la liste séparée par des virgules des fichiers de sortie de certificat ou de liste de révocation de certificats modifiés. Le nombre de fichiers doit correspondre à la valeur infilelist.

  • StartDate+dd:hh équivaut à la nouvelle période de validité pour les fichiers de certificat ou de liste de révocation de certificats, notamment :

    • date facultative, plus
    • jours et heures de validité facultatifs Si plusieurs champs sont utilisés, utilisez un séparateur (+) ou (-). Utilisez now[+dd:hh] pour commencer à l’heure actuelle. Utilisez now-dd:hh+dd:hh pour commencer à un décalage fixe de l’heure actuelle et d’une période de validité fixe. Utilisez never pour n’avoir aucune date d’expiration (pour les listes de révocation de certificats uniquement).
  • SerialNumberList équivaut à la liste de numéros de série séparés par des virgules des fichiers à ajouter ou à supprimer.

  • ObjectIdList équivaut à la liste d’ObjectId d’extension séparés par des virgules des fichiers à supprimer.

  • @ExtensionFile équivaut au fichier INF qui contient les extensions à mettre à jour ou à supprimer. Par exemple :

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm équivaut au nom de l’algorithme de hachage. Il ne doit s’agir que du texte précédé du signe #.

  • AlternateSignatureAlgorithm équivaut au spécificateur d’algorithme de signature de substitution.

Options :

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Notes

  • Un signe moins (-) entraîne la suppression des numéros de série et des extensions.
  • Un signe plus (+) entraîne l’ajout de numéros de série à une liste de révocation de certificats.
  • Vous pouvez utiliser une liste pour supprimer simultanément les numéros de série et les ObjectIds d’une liste de révocation de certificats.
  • La présence d’un signe moins devant AlternateSignatureAlgorithm vous permet d’utiliser le format de signature hérité.
  • La présence d’un signe plus vous permet d’utiliser le format de signature de substitution.
  • Si vous ne spécifiez pas AlternateSignatureAlgorithm, le format de signature dans le certificat ou la liste de révocation de certificats est employé.

-vroot

Crée ou supprime des racines virtuelles Web et des partages de fichiers.

certutil [options] -vroot [delete]

-vocsproot

Crée ou supprime des racines virtuelles Web pour un proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Ajoute une application Serveur d’inscription et un pool d’applications si nécessaire pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Où :

  • addEnrollmentServer vous oblige à utiliser une méthode d’authentification pour la connexion client au serveur d’inscription des certificats, notamment :

    • Kerberos utilise les informations d’identification SSL Kerberos.
    • UserName utilise un compte nommé pour les informations d’identification SSL.
    • ClientCertificate utilise les informations d’identification SSL de certificat X.509.
  • Modificateurs :

    • AllowRenewalsOnly autorise uniquement les soumissions de demandes de renouvellement à l’autorité de certification par le biais de l’URL.
    • AllowKeyBasedRenewal autorise l’utilisation d’un certificat sans compte associé dans Active Directory. Cela s’applique lors de l’utilisation avec les modes ClientCertificate et AllowRenewalsOnly.

Options :

[-config Machine\CAName]

-deleteEnrollmentServer

Supprime une application Serveur d’inscription et un pool d’applications si nécessaire pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Où :

  • deleteEnrollmentServer vous oblige à utiliser une méthode d’authentification pour la connexion client au serveur d’inscription des certificats, notamment :
    • Kerberos utilise les informations d’identification SSL Kerberos.
    • UserName utilise un compte nommé pour les informations d’identification SSL.
    • ClientCertificate utilise les informations d’identification SSL de certificat X.509.

Options :

[-config Machine\CAName]

-addPolicyServer

Ajoutez une application de serveur de stratégie et un pool d’applications, si nécessaire. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Où :

  • addPolicyServer vous oblige à utiliser une méthode d’authentification pour la connexion client au serveur de stratégie de certificat, notamment :
    • Kerberos utilise les informations d’identification SSL Kerberos.
    • UserName utilise un compte nommé pour les informations d’identification SSL.
    • ClientCertificate utilise les informations d’identification SSL de certificat X.509.
  • KeyBasedRenewal permet d’utiliser des stratégies retournées au client contenant des modèles keybasedrenewal. Cette option s’applique uniquement aux authentifications UserName et ClientCertificate.

-deletePolicyServer

Supprime une application de serveur de stratégie et un pool d’applications, si nécessaire. Cette commande ne supprime pas de fichiers binaires ou de packages.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Où :

  • deletePolicyServer vous oblige à utiliser une méthode d’authentification pour la connexion client au serveur de stratégie de certificat, notamment :
    • Kerberos utilise les informations d’identification SSL Kerberos.
    • UserName utilise un compte nommé pour les informations d’identification SSL.
    • ClientCertificate utilise les informations d’identification SSL de certificat X.509.
  • KeyBasedRenewal permet d’utiliser un serveur de stratégie KeyBasedRenewal.

-Class

Affiche les informations de Registre COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options :

[-f]

-7f

Vérifie le certificat pour les encodages de longueur 0x7f.

certutil [options] -7f CertFile

-oid

Affiche l’identificateur d’objet ou définit un nom d’affichage.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Où :

  • ObjectId est l’identifiant à afficher ou à ajouter au nom d’affichage.
  • GroupId équivaut au numéro GroupID (décimal) énuméré par les ObjectIds.
  • AlgId équivaut à l’identifiant hexadécimal que objectID recherche.
  • AlgorithmName équivaut au nom de l’algorithme que l’objectID recherche.
  • DisplayName affiche le nom à stocker dans le service d’annuaire.
  • Delete supprime le nom d’affichage.
  • LanguageId équivaut à la valeur d’ID de langue (valeur par défaut : 1033).
  • Type équivaut au type d’objet de service d’annuaire à créer, notamment :
    • 1 : modèle (par défaut)
    • 2 : stratégie d’émission
    • 3 : stratégie d’application
  • -f crée un objet de service d’annuaire.

Options :

[-f]

-error

Affiche le texte du message associé à un code d’erreur.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtient des informations sur la file d'attente SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Définit les informations SMTP.

certutil [options] -setsmtpinfo LogonName

Options :

[-config Machine\CAName] [-p Password]

-getreg

Affiche une valeur de registre.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Où :

  • ca utilise la clé de registre d’une autorité de certification.
  • restore utilise la clé de registre de restauration de l’autorité de certification.
  • policy utilise la clé de registre du module de stratégie.
  • exit utilise la clé de registre du premier module de sortie.
  • template utilise la clé de registre du modèle (utiliser -user pour les modèles utilisateur).
  • enroll utilise la clé de registre d’inscription (utiliser -user pour le contexte de l’utilisateur).
  • chain utilise la clé de registre de configuration de chaîne.
  • PolicyServers utilise la clé de registre des serveurs de stratégie.
  • ProgId utilise l’identifiant de programme du module de stratégie ou de sortie (nom de sous-clé de registre).
  • RegistryValueName utilise le nom de la valeur du registre (utiliser Name* comme préfixe de correspondance).
  • value utilise la nouvelle valeur de registre numérique, de chaîne ou de date, ou le nouveau nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de registre existante.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou - et que la valeur existante est une valeur REG_MULTI_SZ, la chaîne est ajoutée ou supprimée de la valeur de registre existante. Pour forcer la création d’une valeur REG_MULTI_SZ, ajoutez \n à la fin de la valeur de chaîne.
  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation de texte hexadécimal d’une valeur binaire.
  • Si elle ne fait pas référence à un fichier valide, elle est alors analysée comme [Date][+|-][dd:hh] qui est une date facultative, plus ou moins jours et heures facultatifs.
  • Si les deux sont spécifiés, utilisez un séparateur de signe plus (+) ou de signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.
  • Utilisez i64 comme suffixe pour créer une valeur REG_QWORD.
  • Utilisez chain\chaincacheresyncfiletime @now pour vider efficacement les listes de révocation de certificats mises en cache.
  • Alias de registre :
    • Config
    • CA
    • Stratégie : PolicyModules
    • Quitter : ExitModules
    • Restaurer : RestoreInProgress
    • Modèle : Software\Microsoft\Cryptography\CertificateTemplateCache
    • Inscrire : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP : Software\Microsoft\Cryptography\MSCEP
    • Chaîne : Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers : Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 : System\CurrentControlSet\Services\crypt32
    • NGC : System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate : Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport : Software\Policies\Microsoft\PassportForWork
    • MDM : Software\Microsoft\Policies\PassportForWork

-setreg

Définit une valeur de registre.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Où :

  • ca utilise la clé de registre d’une autorité de certification.
  • restore utilise la clé de registre de restauration de l’autorité de certification.
  • policy utilise la clé de registre du module de stratégie.
  • exit utilise la clé de registre du premier module de sortie.
  • template utilise la clé de registre du modèle (utiliser -user pour les modèles utilisateur).
  • enroll utilise la clé de registre d’inscription (utiliser -user pour le contexte de l’utilisateur).
  • chain utilise la clé de registre de configuration de chaîne.
  • PolicyServers utilise la clé de registre des serveurs de stratégie.
  • ProgId utilise l’identifiant de programme du module de stratégie ou de sortie (nom de sous-clé de registre).
  • RegistryValueName utilise le nom de la valeur du registre (utiliser Name* comme préfixe de correspondance).
  • Value utilise la nouvelle valeur de registre numérique, de chaîne ou de date, ou le nouveau nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de registre existante.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou - et que la valeur existante est une valeur REG_MULTI_SZ, la chaîne est ajoutée ou supprimée de la valeur de registre existante. Pour forcer la création d’une valeur REG_MULTI_SZ, ajoutez \n à la fin de la valeur de chaîne.
  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation de texte hexadécimal d’une valeur binaire.
  • Si elle ne fait pas référence à un fichier valide, elle est alors analysée comme [Date][+|-][dd:hh] qui est une date facultative, plus ou moins jours et heures facultatifs.
  • Si les deux sont spécifiés, utilisez un séparateur de signe plus (+) ou de signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.
  • Utilisez i64 comme suffixe pour créer une valeur REG_QWORD.
  • Utilisez chain\chaincacheresyncfiletime @now pour vider efficacement les listes de révocation de certificats mises en cache.

-delreg

Supprime une valeur de registre.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Où :

  • ca utilise la clé de registre d’une autorité de certification.
  • restore utilise la clé de registre de restauration de l’autorité de certification.
  • policy utilise la clé de registre du module de stratégie.
  • exit utilise la clé de registre du premier module de sortie.
  • template utilise la clé de registre du modèle (utiliser -user pour les modèles utilisateur).
  • enroll utilise la clé de registre d’inscription (utiliser -user pour le contexte de l’utilisateur).
  • chain utilise la clé de registre de configuration de chaîne.
  • PolicyServers utilise la clé de registre des serveurs de stratégie.
  • ProgId utilise l’identifiant de programme du module de stratégie ou de sortie (nom de sous-clé de registre).
  • RegistryValueName utilise le nom de la valeur du registre (utiliser Name* comme préfixe de correspondance).
  • Value utilise la nouvelle valeur de registre numérique, de chaîne ou de date, ou le nouveau nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de registre existante.

Options :

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou - et que la valeur existante est une valeur REG_MULTI_SZ, la chaîne est ajoutée ou supprimée de la valeur de registre existante. Pour forcer la création d’une valeur REG_MULTI_SZ, ajoutez \n à la fin de la valeur de chaîne.
  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation de texte hexadécimal d’une valeur binaire.
  • Si elle ne fait pas référence à un fichier valide, elle est alors analysée comme [Date][+|-][dd:hh] qui est une date facultative, plus ou moins jours et heures facultatifs.
  • Si les deux sont spécifiés, utilisez un séparateur de signe plus (+) ou de signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.
  • Utilisez i64 comme suffixe pour créer une valeur REG_QWORD.
  • Utilisez chain\chaincacheresyncfiletime @now pour vider efficacement les listes de révocation de certificats mises en cache.
  • Alias de registre :
    • Config
    • CA
    • Stratégie : PolicyModules
    • Quitter : ExitModules
    • Restaurer : RestoreInProgress
    • Modèle : Software\Microsoft\Cryptography\CertificateTemplateCache
    • Inscrire : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP : Software\Microsoft\Cryptography\MSCEP
    • Chaîne : Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers : Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 : System\CurrentControlSet\Services\crypt32
    • NGC : System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate : Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport : Software\Policies\Microsoft\PassportForWork
    • MDM : Software\Microsoft\Policies\PassportForWork

-importKMS

Importe les clés utilisateur et les certificats dans la base de données du serveur à des fins d’archivage des clés.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Où :

  • UserKeyAndCertFile est un fichier de données avec des clés privées utilisateur et des certificats à archiver. Ce fichier peut être :
    • Un fichier d’exportation KMS (Service de gestion de clés Exchange).
    • Un fichier PFX.
  • CertId est un jeton de correspondance de certificat de déchiffrement de fichier d’exportation KMS. Pour plus d’informations, consultez le paramètre -store dans cet article.
  • -f importe les certificats non émis par l’autorité de certification.

Options :

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importe un fichier de certificat dans la base de données.

certutil [options] -ImportCert Certfile [ExistingRow]

Où :

  • ExistingRow importe le certificat à la place d’une requête en attente pour la même clé.
  • -f importe les certificats non émis par l’autorité de certification.

Options :

[-f] [-config Machine\CAName]

Notes

L’autorité de certification peut également devoir être configurée pour prendre en charge les certificats étrangers en exécutant certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Récupère un objet blob de récupération de la clé privée archivée, génère un script de récupération ou récupère des clés archivées.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Où :

  • script génère un script pour extraire et récupérer les clés (comportement par défaut si plusieurs candidats de récupération correspondants sont trouvés, ou si le fichier de sortie n’est pas spécifié).
  • retrieve récupère un ou plusieurs objets blob de récupération de clé (comportement par défaut si l’on trouve exactement un candidat de récupération correspondant et si le fichier de sortie est spécifié). L’utilisation de cette option a pour effet de tronquer n’importe quelle extension et ajoute la chaîne spécifique au certificat et l’extension .rec pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrée pour un ou plusieurs certificats d’agent de récupération de clé.
  • recover extrait et récupère les clés privées en une seule étape (nécessite des certificats d’agent de récupération de clé et des clés privées). L’utilisation de cette option a pour effet de tronquer n’importe quelle extension et ajoute l’extension .p12. Chaque fichier contient les chaînes de certificats récupérées et les clés privées associées, stockées sous forme de fichier PFX.
  • SearchToken sélectionne les clés et les certificats à récupérer, notamment :
    • Nom commun du certificat
    • Numéro de série du certificat
    • Hachage SHA-1 de certificat (empreinte numérique)
    • Hachage SHA-1 KeyId de certificat (identificateur de la clé du sujet)
    • Nom du demandeur (domaine\utilisateur)
    • UPN (utilisateur@domaine)
  • RecoveryBlobOutFile génère un fichier avec une chaîne de certificats et une clé privée associée, toujours chiffrée pour un ou plusieurs certificats d’agent de récupération de clé.
  • OutputScriptFile génère un fichier avec un script de commandes par lot pour extraire et récupérer des clés privées.
  • OutputFileBaseName génère un nom de base de fichier.

Options :

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Notes

  • Pour la récupération, toute extension est tronquée et une chaîne spécifique au certificat et les extensions .rec sont ajoutées pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrée pour un ou plusieurs certificats d’agent de récupération de clé.
  • Pour la récupération, toute extension est tronquée et l’extension .p12 est ajoutée. Contient les chaînes de certificats récupérées et les clés privées associées, stockées sous forme de fichier PFX.

-RecoverKey

Récupère une clé privée archivée.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options :

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Fusionne des fichiers PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Où :

  • PFXInFileList équivaut à une liste séparée par des virgules de fichiers d’entrée PFX.
  • PFXOutFile équivaut au nom du fichier de sortie PFX.
  • Modifiers équivaut à des listes séparées par des virgules d’un ou plusieurs des éléments suivants :
    • ExtendedProperties comprend toutes les propriétés étendues.
    • NoEncryptCert spécifie de ne pas chiffrer les certificats.
    • EncryptCert spécifie de chiffrer les certificats.

Options :

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Notes

  • Le mot de passe spécifié sur la ligne de commande doit équivaloir à une liste de mots de passe séparés par des virgules.
  • Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est *, l’utilisateur est invité à saisir le mot de passe du fichier de sortie.

-convertEPF

Convertit un fichier PFX en fichier EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Où :

  • PFXInFileList équivaut à une liste séparée par des virgules de fichiers d’entrée PFX.
  • EPFOutFile équivaut au nom du fichier de sortie PFX.
  • EPF équivaut au nom du fichier de sortie EPF.
  • cast utilise le chiffrement CAST 64.
  • cast- utilise le chiffrement CAST 64 (exportation).
  • V3CACertId équivaut au jeton de correspondance de certificat d’autorité de certification V3. Pour plus d’informations, consultez le paramètre -store dans cet article.
  • Salt équivaut à la chaîne salt du fichier de sortie EPF.

Options :

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Notes

  • Le mot de passe spécifié sur la ligne de commande doit équivaloir à une liste de mots de passe séparés par des virgules.
  • Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est *, l’utilisateur est invité à saisir le mot de passe du fichier de sortie.

-add-chain

Ajoute une chaîne de certificats.

certutil [options] -add-chain LogId certificate OutFile

Options :

[-f]

-add-pre-chain

Ajoute une chaîne de pré-certificats.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options :

[-f]

-get-sth

Obtient une tête d’arborescence signée.

certutil [options] -get-sth [LogId]

Options :

[-f]

-get-sth-consistency

Obtient les modifications apportées à la tête de l’arborescence signée.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options :

[-f]

-get-proof-by-hash

Obtient la preuve d’un hachage à partir d’un serveur d’horodatage.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options :

[-f]

-get-entries

Récupère les entrées d’un journal des événements.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options :

[-f]

-get-roots

Récupère les certificats racines du magasin de certificats.

certutil [options] -get-roots LogId

Options :

[-f]

-get-entry-and-proof

Récupère une entrée de journal des événements et sa preuve de chiffrement.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options :

[-f]

-VerifyCT

Vérifie un certificat par rapport au journal de transparence des certificats.

certutil [options] -VerifyCT Certificate SCT [precert]

Options :

[-f]

-?

Affiche la liste des paramètres.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Où :

  • -? affiche la liste des paramètres
  • -<name_of_parameter> -? affiche le contenu d’aide du paramètre spécifié.
  • -? -v affiche une liste exhaustive des paramètres et options.

Options

Cette section définit toutes les options que vous pouvez spécifier, en fonction de la commande. Chaque paramètre comprend des informations sur les options valides à des fins d’utilisation.

Option Description
-admin Utilisez ICertAdmin2 pour les propriétés de l’autorité de certification.
-anonymous Utilisez des informations d’identification SSL anonymes.
-cert CertId Certificat de signature.
-clientcertificate clientCertId Utilisez les informations d’identification SSL du certificat X.509. Pour l’interface utilisateur de sélection, utilisez -clientcertificate.
-config Machine\CAName Chaîne de nom de l’autorité de certification et de l’ordinateur.
-csp provider Provider :
KSP : Microsoft Software Key Storage Provider
TPM : fournisseur de chiffrement de plateforme Microsoft
NGC : Microsoft Passport Key Storage Provider
SC : Microsoft Smart Card Key Storage Provider
-dc DCName Ciblez un contrôleur de domaine spécifique.
-enterprise Utilisez le magasin de certificats du registre d’entreprise de l’ordinateur local.
-f Forcez le remplacement.
-generateSSTFromWU SSTFile Générer le fichier SST à l’aide du mécanisme de mise à jour automatique.
-gmt Affichez les heures à l’aide du fuseau horaire GMT.
-GroupPolicy Utilisez le magasin de certificats de stratégie de groupe.
-idispatch Utilisez IDispatch au lieu de méthodes natives COM.
-kerberos Utilisez les informations d’identification SSL Kerberos.
-location alternatestoragelocation (-loc) AlternateStorageLocation.
-mt Affichez des modèles d’ordinateur.
-nocr Encoder du texte sans caractères CR.
-nocrlf Encoder du texte sans caractères CR-LF.
-nullsign Utilisez le hachage des données en tant que signature.
-oldpfx Utilisez l’ancien chiffrement PFX.
-out columnlist Liste de colonnes séparées par des virgules.
-p password Mot de passe
-pin PIN Code PIN de carte à puce.
-policyserver URLorID URL ou ID du serveur de stratégie. Pour l’interface utilisateur de la sélection, utilisez -policyserver. Pour tous les serveurs de stratégie, utilisez -policyserver *
-privatekey Affichez les données de mot de passe et de clé privée.
-protect Protégez les clés avec mot de passe.
-protectto SAMnameandSIDlist Liste de noms/ID de sécurité (SID) de SAM séparés par des virgules.
-restrict restrictionlist Liste de restrictions séparées par des virgules. Chaque restriction est constituée d’un nom de colonne, d’un opérateur relationnel et d’un entier constant, d’une chaîne ou d’une date. Un nom de colonne peut être précédé d’un signe plus ou moins afin d’indiquer l’ordre de tri. Par exemple : requestID = 47, +requestername >= a, requestername ou -requestername > DOMAIN, Disposition = 21.
-reverse Colonnes de journal inverse et de file d’attente.
-seconds Affichez les heures à l’aide des secondes et millisecondes.
-service Utilisez le magasin de certificats de service.
-sid SID numérique :
22 : système local
23 : service local
24 : service réseau
-silent Utilisez l’indicateur silent pour obtenir le contexte de chiffrement.
-split Dissociez les éléments intégrés ASN.1 et enregistrez-les dans des fichiers.
-sslpolicy servername Stratégie SSL correspondant à ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength] Nom de l’algorithme à clés symétriques avec longueur de clé facultative. Par exemple, AES,128 ou 3DES.
-syncWithWU DestinationDir Synchroniser avec Windows Update.
-t timeout Délai d’expiration de la recherche d’URL, en millisecondes.
-Unicode Écrivez une sortie redirigée en Unicode.
-UnicodeText Écrivez un fichier de sortie en Unicode.
-urlfetch Récupérez et vérifiez les certificats AIA et les listes de révocation de certificats CDP.
-user Utilisez les clés HKEY_CURRENT_USER ou le magasin de certificats.
-username username Utilisez un compte nommé pour les informations d’identification SSL. Pour l’interface utilisateur de sélection, utilisez -username.
-ut Affichez des modèles utilisateur.
-v Fournissez des informations plus détaillées (détails).
-v1 Utilisez des interfaces V1.

Algorithmes de hachage : MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Pour plus d’exemples d’utilisation de cette commande, consultez les articles suivants :