certutil

Certutil.exe est un programme en ligne de commande installé dans le cadre des services de certificats. Vous pouvez utiliser certutil.exe pour vider et afficher les informations de configuration de l’autorité de certification, configurer les services de certificats, sauvegarder et restaurer des composants d’autorité de certification et vérifier les certificats, les paires de clés et les chaînes de certificats.

Si certutil est exécuté sur une autorité de certification sans paramètres supplémentaires, il affiche la configuration actuelle de l’autorité de certification. Si certutil est exécuté sur une autorité non de certification, la commande exécute la certutil [-dump] commande par défaut.

Important

Les versions antérieures de certutil peuvent ne pas fournir toutes les options décrites dans ce document. Vous pouvez voir toutes les options qu’une version spécifique de certutil fournit en exécutant certutil -? ou certutil <parameter> -?.

Paramètres

-Décharge

Informations ou fichiers de configuration de vidage.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-Asn

Analysez et affichez le contenu d’un fichier à l’aide de la syntaxe ASN.1 (Abstract Syntax Notation). Les types de fichiers incluent . CER. Fichiers au format DER et PKCS #7.

certutil [options] -asn file [type]

[type]: type de décodage numérique CRYPT_STRING_*

-decodehex

Décodez un fichier hexadécimal.

certutil [options] -decodehex infile outfile [type]

[type]: type d’encodage CRYPT_STRING_* numérique

[-f]

-Décoder

Décodez un fichier encodé en Base64.

certutil [options] -decode infile outfile
[-f]

-Encoder

Encoder un fichier en Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-Nier

Refuser une demande en attente.

certutil [options] -deny requestID
[-config Machine\CAName]

-Resoumettre

Renvoyer une demande en attente.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

Définissez des attributs pour une demande de certificat en attente.

certutil [options] -setattributes RequestID attributestring

Où :

  • requestID est l’ID de demande numérique de la demande en attente.

  • attributestring est le nom de l’attribut de requête et les paires valeur.

[-config Machine\CAName]

Notes

  • Les noms et les valeurs doivent être séparés par deux-points, tandis que plusieurs noms, les paires de valeurs doivent être séparées par une nouvelle ligne. Par exemple : CertificateTemplate:User\nEMail:User@Domain.com où la \n séquence est convertie en séparateur de nouvelle ligne.

-setextension

Définissez une extension pour une demande de certificat en attente.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Où :

  • requestID est l’ID de demande numérique de la demande en attente.

  • extensionname est la chaîne ObjectId de l’extension.

  • les indicateurs définissent la priorité de l’extension. 0 est recommandé, tandis que 1 définit l’extension sur critique, 2 désactive l’extension et 3 effectue les deux.

[-config Machine\CAName]

Notes

  • Si le dernier paramètre est numérique, il est pris en tant que long.

  • Si le dernier paramètre peut être analysé en tant que date, il est pris en tant que Date.

  • Si le dernier paramètre commence par \@, le reste du jeton est pris comme nom de fichier avec des données binaires ou un vidage hexadécimal de texte ascii.

  • Si le dernier paramètre est autre chose, il est pris comme une chaîne.

-Révoquer

Révoquer un certificat.

certutil [options] -revoke serialnumber [reason]

Où :

  • serialnumber est une liste séparée par des virgules de numéros de série de certificats à révoquer.

  • reason est la représentation numérique ou symbolique du motif de révocation, notamment :

    • 0. CRL_REASON_UNSPECIFIED - Non spécifié (par défaut)

    • 1. CRL_REASON_KEY_COMPROMISE - Compromission des clés

    • 2. CRL_REASON_CA_COMPROMISE - Compromission de l’autorité de certification

    • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation modifiée

    • 4. CRL_REASON_SUPERSEDED - Remplacé

    • 5. CRL_REASON_CESSATION_OF_OPERATION - Arrêt de l’opération

    • 6. CRL_REASON_CERTIFICATE_HOLD - Conservation du certificat

    • 8. CRL_REASON_REMOVE_FROM_CRL - Supprimer de la liste de révocation de certificats

    • -1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

Affichez la disposition du certificat actif.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-Getconfig

Obtenez la chaîne de configuration par défaut.

certutil [options] -getconfig
[-config Machine\CAName]

-Ping

Essayez de contacter l’interface de demande des services de certificats Active Directory.

certutil [options] -ping [maxsecondstowait | camachinelist]

Où :

  • camachinelist est une liste séparée par des virgules de noms de machines d’autorité de certification. Pour un seul ordinateur, utilisez une virgule de fin. Cette option affiche également le coût du site pour chaque ordinateur d’autorité de certification.
[-config Machine\CAName]

-cainfo

Affichez des informations sur l’autorité de certification.

certutil [options] -cainfo [infoname [index | errorcode]]

Où :

  • infoname indique la propriété d’autorité de certification à afficher, en fonction de la syntaxe de l’argument infoname suivante :

    • file - Version du fichier

    • product - Version du produit

    • exitcount - Nombre de modules de sortie

    • Sortie [index] - Description du module de sortie

    • stratégie - Description du module de stratégie

    • name - Nom de l’autorité de certification

    • sanitizedname - Nom de l’autorité de certification assainie

    • dsname - Nom court de l’autorité de certification assainie (nom DS)

    • sharedfolder - Dossier partagé

    • error1 ErrorCode - Texte du message d’erreur

    • error2 ErrorCode - Texte et code d’erreur du message d’erreur

    • type : type d’autorité de certification

    • info - Informations d’autorité de certification

    • parent - Autorité de certification parente

    • certcount - Nombre de certificats d’autorité de certification

    • xchgcount - Nombre de certificats exchange de l’autorité de certification

    • kracount - Nombre de certificats KRA

    • kraused - Nombre d’utilisations de certificats KRA

    • propidmax - PropId d’autorité de certification maximale

    • certstate [index] - Certificat d’autorité de certification

    • certversion [index] - Version du certificat d’autorité de certification

    • certstatuscode [index] - État de vérification du certificat d’autorité de certification

    • crlstate [index] -LCR

    • krastate [index] - Certificat KRA

    • crossstate+ [index] - Certificat croisé avant

    • crossstate- [index] - Certificat croisé vers l’arrière

    • Cert [index] - Certificat d’autorité de certification

    • certchain [index] - Chaîne de certificats d’autorité de certification

    • certcrlchain [index] - Chaîne de certificats d’autorité de certification avec listes de contrôle d’accès

    • xchg [index] - Certificat d’échange de l’autorité de certification

    • xchgchain [index] - Chaîne de certificats d’échange d’autorité de certification

    • xchgcrlchain [index] - Chaîne de certificats d’échange d’autorité de certification avec des listes de contrôle d’accès

    • Kra [index] - Certificat KRA

    • cross+ [index] - Certificat croisé avant

    • Croix- [index] - Certificat croisé vers l’arrière

    • LCR [index] - Liste de révocation de certificats de base

    • deltacrl [index] - Liste de révocation de certificats Delta

    • crlstatus [index] - État de publication de la liste de révocation de certificats

    • deltacrlstatus [index] - État de publication de la liste de révocation de certificats Delta

    • dns - Nom DNS

    • role - Séparation des rôles

    • annonces - Serveur avancé

    • modèles - Modèles

    • Csp [index] - URL OCSP

    • Aia [index] - URL AIA

    • Cdp [index] - URL CDP

    • localename - Nom des paramètres régionaux de l’autorité de certification

    • subjecttemplateoids - OID de modèle de sujet

    • * - Affiche toutes les propriétés

  • index est l’index de propriété de base zéro facultatif.

  • errorcode est le code d’erreur numérique.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Récupérez le certificat de l’autorité de certification.

certutil [options] -ca.cert outcacertfile [index]

Où :

  • outcacertfile est le fichier de sortie.

  • index est l’index de renouvellement de certificat de l’autorité de certification (par défaut est le plus récent).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Récupérez la chaîne de certificats pour l’autorité de certification.

certutil [options] -ca.chain outcacertchainfile [index]

Où :

  • outcacertchainfile est le fichier de sortie.

  • index est l’index de renouvellement de certificat de l’autorité de certification (par défaut est le plus récent).

[-f] [-split] [-config Machine\CAName]

-getcrl

Obtient une liste de révocation de certificats (CRL).

certutil [options] -getcrl outfile [index] [delta]

Où :

  • index est l’index ou l’index de clé de la liste de révocation de certificats (par défaut, CRL pour la clé la plus récente).

  • delta est la liste de révocation de certificats delta (la valeur par défaut est la liste de révocation de certificats de base).

[-f] [-split] [-config Machine\CAName]

-Lcr

Publiez de nouvelles listes de révocation de certificats (CRL) ou des listes de révocation de certificats delta.

certutil [options] -crl [dd:hh | republish] [delta]

Où :

  • dd:hh est la nouvelle période de validité de la liste de révocation de certificats en jours et en heures.

  • republier republie les listes de contrôle de contrôle les plus récentes.

  • delta publie uniquement les listes de contrôle d’accès delta (la valeur par défaut est les listes de contrôle d’accès de base et de delta).

[-split] [-config Machine\CAName]

-Arrêt

Arrête les services de certificats Active Directory.

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

Installe un certificat d’autorité de certification.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

Renouvelle un certificat d’autorité de certification.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Utilisez -f pour ignorer une demande de renouvellement en attente et générer une nouvelle demande.
[-f] [-silent] [-config Machine\CAName]

-Schéma

Vide le schéma du certificat.

certutil [options] -schema [ext | attrib | cRL]

Où :

  • La commande est définie par défaut sur la table Requête et certificat.

  • ext est la table d’extension.

  • attribute est la table d’attributs.

  • crl est la table CRL.

[-split] [-config Machine\CAName]

-Vue

Vide la vue de certificat.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Où :

  • file d’attente vide une file d’attente de requête spécifique.

  • journal vide les certificats émis ou révoqués, ainsi que les demandes ayant échoué.

  • logfail vide les demandes ayant échoué.

  • revoked dump les certificats révoqués.

  • ext vide la table d’extension.

  • attribute vide la table d’attributs.

  • crl vide la table CRL.

  • csv fournit la sortie à l’aide de valeurs séparées par des virgules.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Notes

  • Pour afficher la colonne StatusCode pour toutes les entrées, tapez -out StatusCode

  • Pour afficher toutes les colonnes de la dernière entrée, tapez : -restrict RequestId==$

  • Pour afficher l’ID de requête et la disposition pour trois demandes, tapez : -restrict requestID>37,requestID<40 -out requestID,disposition

  • Pour afficher les ID de ligne d’ID deligne et lesnuméros de liste de révocation de listes de révocation de toutes les listes de contrôle de base, tapez : -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Pour afficher , tapez : -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Pour afficher l’intégralité de la table de liste de révocation de certificats, tapez : CRL

  • Utilisez pour les Date[+|-dd:hh] restrictions de date.

  • Utilisez now+dd:hh pour une date relative à l’heure actuelle.

-db

Vide la base de données brute.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Supprime une ligne de la base de données du serveur.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Où :

  • request supprime les demandes ayant échoué et en attente, en fonction de la date de soumission.

  • cert supprime les certificats expirés et révoqués, en fonction de la date d’expiration.

  • ext supprime la table d’extension.

  • l’attribut supprime la table d’attributs.

  • crl supprime la table CRL.

[-f] [-config Machine\CAName]

Exemples

  • Pour supprimer les demandes ayant échoué et en attente soumises avant le 22 janvier 2001, tapez : 1/22/2001 request

  • Pour supprimer tous les certificats qui ont expiré le 22 janvier 2001, tapez : 1/22/2001 cert

  • Pour supprimer la ligne de certificat, les attributs et les extensions pour RequestID 37, tapez : 37

  • Pour supprimer les listes de contrôle d’accès qui ont expiré le 22 janvier 2001, tapez : 1/22/2001 crl

-backup

Sauvegarde les services de certificats Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Où :

  • backupdirectory est le répertoire permettant de stocker les données sauvegardées.

  • incrémentiel effectue une sauvegarde incrémentielle uniquement (la valeur par défaut est la sauvegarde complète).

  • keeplog conserve les fichiers journaux de base de données (la valeur par défaut est de tronquer les fichiers journaux).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Sauvegarde la base de données Des services de certificats Active Directory.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Où :

  • backupdirectory est le répertoire pour stocker les fichiers de base de données sauvegardés.

  • incrémentiel effectue une sauvegarde incrémentielle uniquement (la valeur par défaut est la sauvegarde complète).

  • keeplog conserve les fichiers journaux de base de données (la valeur par défaut est de tronquer les fichiers journaux).

[-f] [-config Machine\CAName]

-backupkey

Sauvegarde le certificat et la clé privée des services de certificats Active Directory.

certutil [options] -backupkey backupdirectory

Où :

  • backupdirectory est le répertoire permettant de stocker le fichier PFX sauvegardé.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Restaure les services de certificats Active Directory.

certutil [options] -restore backupdirectory

Où :

  • backupdirectory est le répertoire contenant les données à restaurer.
[-f] [-config Machine\CAName] [-p password]

-restauréb

Restaure la base de données Des services de certificats Active Directory.

certutil [options] -restoredb backupdirectory

Où :

  • backupdirectory est le répertoire contenant les fichiers de base de données à restaurer.
[-f] [-config Machine\CAName]

-restorekey

Restaure le certificat et la clé privée des services de certificats Active Directory.

certutil [options] -restorekey backupdirectory | pfxfile

Où :

  • backupdirectory est le répertoire contenant le fichier PFX à restaurer.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importez le certificat et la clé privée. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Où :

  • certificatestorename est le nom du magasin de certificats.

  • modificateurs sont la liste séparée par des virgules, qui peut inclure un ou plusieurs des éléments suivants :

    1. AT_SIGNATURE : remplace la clé par signature

    2. AT_KEYEXCHANGE : modifie la spécification de clé en échange de clés

    3. NoExport : rend la clé privée non exportable

    4. NoCert : n’importe pas le certificat

    5. NoChain : n’importe pas la chaîne de certificats

    6. NoRoot : n’importe pas le certificat racine

    7. Protéger : protège les clés à l’aide d’un mot de passe

    8. NoProtect : ne protège pas les clés par mot de passe à l’aide d’un mot de passe

[-f] [-user] [-p password] [-csp provider]

Notes

  • Les valeurs par défaut sont le magasin d’ordinateurs personnels.

-dynamicfilelist

Affiche une liste de fichiers dynamique.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

Affiche les emplacements de base de données.

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

Génère et affiche un hachage de chiffrement sur un fichier.

certutil [options] -hashfile infile [hashalgorithm]

-boutique

Vide le magasin de certificats.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Où :

  • certificatestorename est le nom du magasin de certificats. Par exemple :

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID est le jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un numéro de série, d’un certificat SHA-1, d’une liste de révocation de certificats, d’une CTL ou d’un hachage de clé publique, d’un index de certificat numérique (0, 1, etc.), d’un index CTL numérique (.. 0, .. 1, et ainsi de suite), une clé publique, une signature ou une extension ObjectId, un objet de certificat Nom commun, une adresse e-mail, un nom UPN ou DNS, un nom de conteneur de clé ou un nom CSP, un nom de modèle ou ObjectId, une référence EKU ou Des stratégies d’application ObjectId, ou un nom commun de l’émetteur de listes de révocation de certificats. La plupart d’entre elles peuvent entraîner plusieurs correspondances.

  • outputfile est le fichier utilisé pour enregistrer les certificats correspondants.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Options

  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.

  • L’option -enterprise accède à un magasin d’entreprise d’ordinateurs.

  • L’option -service accède à un magasin de service d’ordinateur.

  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Ajoute un certificat au magasin. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -addstore certificatestorename infile

Où :

  • certificatestorename est le nom du magasin de certificats.

  • infile est le fichier de certificat ou de liste de révocation de certificats que vous souhaitez ajouter pour stocker.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Supprime un certificat du magasin. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -delstore certificatestorename certID

Où :

  • certificatestorename est le nom du magasin de certificats.

  • certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Vérifie un certificat dans le magasin. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -verifystore certificatestorename [certID]

Où :

  • certificatestorename est le nom du magasin de certificats.

  • certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Répare une association de clé ou met à jour les propriétés de certificat ou le descripteur de sécurité de clé. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Où :

  • certificatestorename est le nom du magasin de certificats.

  • certIDlist est la liste séparée par des virgules des jetons de correspondance de certificat ou de liste de révocation de certificats. Pour plus d’informations, consultez la -store certID description de cet article.

  • propertyinffile est le fichier INF contenant des propriétés externes, notamment :

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Vide le magasin de certificats. Pour plus d’informations, consultez le -store paramètre dans cet article.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Où :

  • certificatestorename est le nom du magasin de certificats.

  • certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.

  • outputfile est le fichier utilisé pour enregistrer les certificats correspondants.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Options

  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.

  • L’option -enterprise accède à un magasin d’entreprise d’ordinateurs.

  • L’option -service accède à un magasin de service d’ordinateur.

  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Supprime un certificat du magasin.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Où :

  • certificatestorename est le nom du magasin de certificats.

  • certID est le jeton de correspondance de certificat ou de liste de révocation de certificats.

  • outputfile est le fichier utilisé pour enregistrer les certificats correspondants.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Options

  • L’option -user accède à un magasin d’utilisateurs plutôt qu’à un magasin d’ordinateurs.

  • L’option -enterprise accède à un magasin d’entreprise d’ordinateurs.

  • L’option -service accède à un magasin de service d’ordinateur.

  • L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple :

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Publie un certificat ou une liste de révocation de certificats (CRL) dans Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Où :

  • certfile est le nom du fichier de certificat à publier.

  • NTAuthCA publie le certificat dans le magasin DS Enterprise.

  • RootCA publie le certificat dans le magasin racine approuvé DS.

  • SubCA publie le certificat d’autorité de certification dans l’objet d’autorité de certification DS.

  • CrossCA publie le certificat croisé dans l’objet d’autorité de certification DS.

  • KRA publie le certificat dans l’objet Agent de récupération de clé DS.

  • L’utilisateur publie le certificat dans l’objet User DS.

  • L’ordinateur publie le certificat dans l’objet Machine DS.

  • CRLfile est le nom du fichier CRL à publier.

  • DSCDPContainer est le cn du conteneur CDP DS, généralement le nom de l’ordinateur de l’autorité de certification.

  • DSCDPCN est le CN de l’objet CDP DS, généralement basé sur le nom court et l’index de clé de l’autorité de certification assainis.

  • Utilisez -f pour créer un objet DS.

[-f] [-user] [-dc DCName]

-adtemplate

Affiche les modèles Active Directory.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-Modèle

Affiche les modèles de certificat.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Affiche les autorités de certification pour un modèle de certificat.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

Affiche les modèles pour l’autorité de certification.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Gère les noms de sites, y compris la définition, la vérification et la suppression des noms de sites de l’autorité de certification

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Où :

  • sitename est autorisé uniquement lorsque vous ciblez une seule autorité de certification.
[-f] [-config Machine\CAName] [-dc DCName]

Notes

  • L’option -config cible une autorité de certification unique (la valeur par défaut est toutes les autorités de certification).

  • L’option -f peut être utilisée pour remplacer les erreurs de validation pour le nom de site spécifié ou pour supprimer tous les noms de site d’autorité de certification.

Notes

Pour plus d’informations sur la configuration des autorités de certification pour services de domaine Active Directory la sensibilisation du site AD DS (AD DS), consultez Sensibilisation du site AD DS pour les clients AD CS et PKI.

-enrollmentserverURL

Affiche, ajoute ou supprime les URL de serveur d’inscription associées à une autorité de certification.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Où :

  • authenticationtype spécifie l’une des méthodes d’authentification client suivantes, lors de l’ajout d’une URL :

    1. kerberos : utilisez les informations d’identification SSL Kerberos.

    2. nom d’utilisateur : utilisez un compte nommé pour les informations d’identification SSL.

    3. clientcertificate : - Utilisez les informations d’identification SSL du certificat X.509.

    4. anonyme : utilisez des informations d’identification SSL anonymes.

  • delete supprime l’URL spécifiée associée à l’autorité de certification.

  • la priorité par défaut est si elle n’est 1 pas spécifiée lors de l’ajout d’une URL.

  • modificateurs est une liste séparée par des virgules, qui comprend un ou plusieurs des éléments suivants :

  1. allowrenewalsonly : seules les demandes de renouvellement peuvent être envoyées à cette autorité de certification via cette URL.

  2. allowkeybasedrenewal : autorise l’utilisation d’un certificat qui n’a aucun compte associé dans ad. Cela s’applique uniquement avec le mode clientcertificate et allowrenewalsonly

[-config Machine\CAName] [-dc DCName]

-adca

Affiche les autorités de certification Active Directory.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

Affiche les autorités de certification de stratégie d’inscription.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-Politique

Affiche la stratégie d’inscription.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Affiche ou supprime les entrées de cache de stratégie d’inscription.

certutil [options] -policycache [delete]

Où :

  • delete supprime les entrées de cache du serveur de stratégie.

  • -f supprime toutes les entrées de cache

[-f] [-user] [-policyserver URLorID]

-credstore

Affiche, ajoute ou supprime les entrées du magasin d’informations d’identification.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Où :

  • URL est l’URL cible. Vous pouvez également utiliser pour faire * correspondre toutes les entrées ou https://machine* pour faire correspondre un préfixe d’URL.

  • add ajoute une entrée de magasin d’informations d’identification. L’utilisation de cette option nécessite également l’utilisation d’informations d’identification SSL.

  • delete supprime les entrées du magasin d’informations d’identification.

  • -f remplace une seule entrée ou supprime plusieurs entrées.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Installe les modèles de certificat par défaut.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

Affiche ou supprime les entrées de cache d’URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Où :

  • URL est l’URL mise en cache.

  • La liste de révocation de certificats s’exécute uniquement sur toutes les URL de liste de révocation de certificats mises en cache.

  • * fonctionne sur toutes les URL mises en cache.

  • delete supprime les URL pertinentes du cache local de l’utilisateur actuel.

  • -f force l’extraction d’une URL spécifique et la mise à jour du cache.

[-f] [-split]

-Impulsion

Pulse les événements d’inscription automatique.

certutil [options] -pulse
[-user]

-machineinfo

Affiche des informations sur l’objet de machine Active Directory.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Affiche des informations sur le contrôleur de domaine. La valeur par défaut affiche les certificats DC sans vérification.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Conseil

La possibilité de spécifier un domaine services de domaine Active Directory (AD DS) [Domaine] et de spécifier un contrôleur de domaine (-dc) a été ajoutée dans Windows Server 2012. Pour exécuter correctement la commande, vous devez utiliser un compte membre des administrateurs de domaine ou des administrateurs d’entreprise. Les modifications de comportement de cette commande sont les suivantes :

  1. 1. Si un domaine n’est pas spécifié et qu’aucun contrôleur de domaine spécifique n’est spécifié, cette option retourne une liste de contrôleurs de domaine à traiter à partir du contrôleur de domaine par défaut.
  2. 2. Si un domaine n’est pas spécifié, mais qu’un contrôleur de domaine est spécifié, un rapport des certificats sur le contrôleur de domaine spécifié est généré.
  3. 3. Si un domaine est spécifié, mais qu’aucun contrôleur de domaine n’est spécifié, une liste de contrôleurs de domaine est générée avec des rapports sur les certificats pour chaque contrôleur de domaine de la liste.
  4. 4. Si le domaine et le contrôleur de domaine sont spécifiés, une liste de contrôleurs de domaine est générée à partir du contrôleur de domaine ciblé. Un rapport des certificats pour chaque contrôleur de domaine de la liste est également généré.

Par exemple, supposons qu’il existe un domaine nommé CPANDL avec un contrôleur de domaine nommé CPANDL-DC1. Vous pouvez exécuter la commande suivante pour récupérer une liste de contrôleurs de domaine et de leurs certificats à partir de CPANDL-DC1 : certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Affiche des informations sur une autorité de certification d’entreprise.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

Affiche des informations sur l’autorité de certification.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Affiche des informations sur la carte à puce.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Où :

  • CRYPT_DELETEKEYSET supprime toutes les clés de la carte à puce.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Gère les certificats racine de carte à puce.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-DeleteHelloContainer

Supprime le conteneur Windows Hello, en supprimant toutes les informations d’identification associées stockées sur l’appareil, y compris les informations d’identification WebAuthn et FIDO.

Les utilisateurs devront se déconnecter après avoir utilisé cette option pour qu’elle se termine.

CertUtil [Options] -DeleteHelloContainer

-verifykeys

Vérifie un ensemble de clés publiques ou privées.

certutil [options] -verifykeys [keycontainername cacertfile]

Où :

  • keycontainername est le nom du conteneur de clé à vérifier. Cette option est définie par défaut sur les clés d’ordinateur. Pour basculer vers des clés utilisateur, utilisez -user.

  • cacertfile signe ou chiffre les fichiers de certificat.

[-f] [-user] [-silent] [-config Machine\CAName]

Notes

  • Si aucun argument n’est spécifié, chaque certificat d’autorité de certification de signature est vérifié par rapport à sa clé privée.

  • Cette opération ne peut être effectuée que sur une autorité de certification locale ou des clés locales.

-Vérifier

Vérifie un certificat, une liste de révocation de certificats (CRL) ou une chaîne de certificats.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Où :

  • certfile est le nom du certificat à vérifier.

  • applicationpolicylist est la liste facultative séparée par des virgules des ObjectIds de stratégie d’application requis.

  • issuancepolicylist est la liste facultative séparée par des virgules des ObjectIds de stratégie d’émission requis.

  • cacertfile est le certificat d’autorité de certification émis facultatif à vérifier.

  • crossedcacertfile est le certificat facultatif certifié par certfile.

  • CRLfile est le fichier CRL utilisé pour vérifier le cacertfile.

  • issuedcertfile est le certificat émis facultatif couvert par le CRLfile.

  • deltaCRLfile est le fichier CRL delta facultatif.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Notes

  • L’utilisation d’applicationpolicylist limite la génération de chaînes aux chaînes valides pour les stratégies d’application spécifiées.

  • L’utilisation de la stratégie d’émission limite la création de chaînes aux chaînes valides pour les stratégies d’émission spécifiées.

  • L’utilisation de cacertfile vérifie les champs du fichier par rapport à certfile ou CRLfile.

  • L’utilisation de issuedcertfile vérifie les champs du fichier par rapport à CRLfile.

  • L’utilisation de deltaCRLfile vérifie les champs du fichier par rapport à certfile.

  • Si cacertfile n’est pas spécifié, la chaîne complète est générée et vérifiée par rapport à certfile.

  • Si cacertfile et crossedcacertfile sont tous deux spécifiés, les champs des deux fichiers sont vérifiés par rapport à certfile.

-verifyCTL

Vérifie la CTL AuthRoot ou Les certificats non autorisés.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Où :

  • CTLobject identifie la CTL à vérifier, notamment :

    • AuthRootWU : lit le CAB AuthRoot et les certificats correspondants à partir du cache d’URL. Utilisez -f plutôt pour télécharger à partir de Windows Update.

    • DisallowedWU : lit le fichier CAB des certificats non autorisés et du magasin de certificats non autorisé à partir du cache d’URL. Utilisez -f plutôt pour télécharger à partir de Windows Update.

    • AuthRoot : lit la CTL AuthRoot mise en cache dans le Registre. Utilisez avec -f et un certfile non approuvé pour forcer la mise à jour des listes de contrôle cloud AuthRoot et De certificat non autorisé mises en cache du Registre.

    • Non autorisé : lit la CTL des certificats non autorisés mis en cache dans le Registre. Utilisez avec -f et un certfile non approuvé pour forcer la mise à jour des listes de contrôle cloud AuthRoot et De certificat non autorisé mises en cache du Registre.

  • CTLfilename spécifie le fichier ou le chemin http du fichier CTL ou CAB.

  • certdir spécifie le dossier contenant les certificats correspondant aux entrées CTL. Par défaut, le même dossier ou site web que l’objet CTLobject. L’utilisation d’un chemin d’accès http nécessite un séparateur de chemin à la fin. Si vous ne spécifiez pas AuthRoot ou Disallowed, plusieurs emplacements seront recherchés pour les certificats correspondants, y compris les magasins de certificats locaux, les ressources crypt32.dll et le cache d’URL local. Utilisez -f pour télécharger à partir de Windows Update, si nécessaire.

  • certfile spécifie le ou les certificats à vérifier. Les certificats sont mis en correspondance avec les entrées CTL, affichant les résultats. Cette option supprime la plupart de la sortie par défaut.

[-f] [-user] [-split]

-Signe

Re-signe une liste de révocation de certificats (CRL) ou un certificat.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Où :

  • infilelist est la liste séparée par des virgules des fichiers de certificat ou de liste de révocation de certificats à modifier et à signer à nouveau.

  • serialnumber est le numéro de série du certificat à créer. La période de validité et les autres options ne peuvent pas être présentes.

  • La liste de révocation de certificats crée une liste de révocation de certificats vide. La période de validité et les autres options ne peuvent pas être présentes.

  • outfilelist est la liste séparée par des virgules des fichiers de sortie de certificat ou de liste de révocation de certificats modifiés. Le nombre de fichiers doit correspondre à infilelist.

  • startdate+dd:hh est la nouvelle période de validité pour les fichiers de certificat ou de liste de révocation de certificats, notamment :

    • date facultative plus

    • période de validité facultative de jours et d’heures

    Si les deux sont spécifiés, vous devez utiliser un séparateur de signe plus (+). Utilisez now[+dd:hh] pour commencer à l’heure actuelle. Utilisez never pour n’avoir aucune date d’expiration (pour les listes de licences de licence uniquement).

  • serialnumberlist est la liste de numéros de série séparés par des virgules des fichiers à ajouter ou à supprimer.

  • objectIDlist est la liste ObjectId de l’extension séparée par des virgules des fichiers à supprimer.

  • @extensionfile est le fichier INF qui contient les extensions à mettre à jour ou à supprimer. Par exemple :

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm est le nom de l’algorithme de hachage. Il ne doit s’agir que du texte précédé du # signe.

  • alternatesignaturealgorithm est le spécificateur d’algorithme de signature de remplacement.

[-nullsign] [-f] [-silent] [-cert certID]

Notes

  • L’utilisation du signe moins (-) supprime les numéros de série et les extensions.

  • L’utilisation du signe plus (+) ajoute des numéros de série à une liste de révocation de certificats.

  • Vous pouvez utiliser une liste pour supprimer les numéros de série et les ObjectID d’une liste de révocation de certificats en même temps.

  • L’utilisation du signe moins avant alternatesignaturealgorithm vous permet d’utiliser le format de signature hérité. L’utilisation du signe plus vous permet d’utiliser le format de signature de remplacement. Si vous ne spécifiez pas alternatesignaturealgorithm, le format de signature dans le certificat ou la liste de révocation de certificats est utilisé.

-vroot

Crée ou supprime des racines virtuelles web et des partages de fichiers.

certutil [options] -vroot [delete]

-vocsproot

Crée ou supprime des racines virtuelles web pour un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Ajoutez une application serveur d’inscription et un pool d’applications si nécessaire, pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Où :

  • addenrollmentserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificats, notamment :

    • Kerberos utilise les informations d’identification SSL Kerberos.

    • nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.

    • clientcertificate utilise les informations d’identification SSL du certificat X.509.

  • allowrenewalsonly autorise uniquement les soumissions de demandes de renouvellement à l’autorité de certification via l’URL.

  • allowkeybasedrenewal autorise l’utilisation d’un certificat sans compte associé dans Active Directory. Cela s’applique en cas d’utilisation avec le mode clientcertificate et allowrenewalsonly .

[-config Machine\CAName]

-deleteenrollmentserver

Supprime une application serveur d’inscription et un pool d’applications si nécessaire, pour l’autorité de certification spécifiée. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Où :

  • deleteenrollmentserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificats, notamment :

    • Kerberos utilise les informations d’identification SSL Kerberos.

    • nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.

    • clientcertificate utilise les informations d’identification SSL du certificat X.509.

[-config Machine\CAName]

-addpolicyserver

Ajoutez une application policy Server et un pool d’applications, si nécessaire. Cette commande n’installe pas de fichiers binaires ou de packages.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Où :

  • addpolicyserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :

    • Kerberos utilise les informations d’identification SSL Kerberos.

    • nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.

    • clientcertificate utilise les informations d’identification SSL du certificat X.509.

  • keybasedrenewal permet d’utiliser des stratégies retournées au client contenant des modèles keybasedrenewal. Cette option s’applique uniquement à l’authentification du nom d’utilisateur et du clientcertificat .

-deletepolicyserver

Supprime une application et un pool d’applications Policy Server, si nécessaire. Cette commande ne supprime pas les fichiers binaires ou les packages.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Où :

  • deletepolicyserver vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :

    • Kerberos utilise les informations d’identification SSL Kerberos.

    • nom d’utilisateur utilise un compte nommé pour les informations d’identification SSL.

    • clientcertificate utilise les informations d’identification SSL du certificat X.509.

  • keybasedrenewal permet d’utiliser un serveur de stratégie KeyBasedRenewal.

-Oid

Affiche l’identificateur d’objet ou définit un nom d’affichage.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Où :

  • objectID affiche ou pour ajouter le nom d’affichage.

  • groupID est le numéro groupID (décimal) énuméré par les objectID.

  • algID est l’ID hexadécimal que l’objectID recherche.

  • algorithmname est le nom de l’algorithme que objectID recherche.

  • displayname affiche le nom à stocker dans DS.

  • delete supprime le nom d’affichage.

  • LanguageId est la valeur d’ID de langue (valeur par défaut : 1033).

  • Type est le type d’objet DS à créer, notamment :

    • 1 - Modèle (par défaut)

    • 2 - Stratégie d’émission

    • 3 - Stratégie d’application

  • -f crée un objet DS.

-Erreur

Affiche le texte du message associé à un code d’erreur.

certutil [options] -error errorcode

-getreg

Affiche une valeur de Registre.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Où :

  • ca utilise la clé de Registre d’une autorité de certification.

  • restore utilise la clé de Registre de restauration de l’autorité de certification.

  • la stratégie utilise la clé de Registre du module de stratégie.

  • exit utilise la clé de Registre du premier module de sortie.

  • le modèle utilise la clé de Registre de modèles (à utiliser pour les -user modèles utilisateur).

  • l’inscription utilise la clé de Registre d’inscription (à utiliser -user pour le contexte utilisateur).

  • chain utilise la clé de Registre de configuration de chaîne.

  • policyservers utilise la clé de Registre Des serveurs de stratégies.

  • progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).

  • registryvaluename utilise le nom de la valeur du Registre (utilisez Name* pour préfixer la correspondance).

  • value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou -et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.

  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que [Date][+|-][dd:hh] date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.

  • Utilisez chain\chaincacheresyncfiletime \@now pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.

-setreg

Définit une valeur de Registre.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Où :

  • ca utilise la clé de Registre d’une autorité de certification.

  • restore utilise la clé de Registre de restauration de l’autorité de certification.

  • la stratégie utilise la clé de Registre du module de stratégie.

  • exit utilise la clé de Registre du premier module de sortie.

  • le modèle utilise la clé de Registre de modèles (à utiliser pour les -user modèles utilisateur).

  • l’inscription utilise la clé de Registre d’inscription (à utiliser -user pour le contexte utilisateur).

  • chain utilise la clé de Registre de configuration de chaîne.

  • policyservers utilise la clé de Registre Des serveurs de stratégies.

  • progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).

  • registryvaluename utilise le nom de la valeur du Registre (utilisez Name* pour préfixer la correspondance).

  • value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou -et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.

  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que [Date][+|-][dd:hh] date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.

  • Utilisez chain\chaincacheresyncfiletime \@now pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.

-delreg

Supprime une valeur de Registre.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Où :

  • ca utilise la clé de Registre d’une autorité de certification.

  • restore utilise la clé de Registre de restauration de l’autorité de certification.

  • la stratégie utilise la clé de Registre du module de stratégie.

  • exit utilise la clé de Registre du premier module de sortie.

  • le modèle utilise la clé de Registre de modèles (à utiliser pour les -user modèles utilisateur).

  • l’inscription utilise la clé de Registre d’inscription (à utiliser -user pour le contexte utilisateur).

  • chain utilise la clé de Registre de configuration de chaîne.

  • policyservers utilise la clé de Registre Des serveurs de stratégies.

  • progID utilise le ProgID du module de stratégie ou de sortie (nom de la sous-clé du Registre).

  • registryvaluename utilise le nom de la valeur du Registre (utilisez Name* pour préfixer la correspondance).

  • value utilise la nouvelle valeur de registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence par + ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Notes

  • Si une valeur de chaîne commence par + ou -et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.

  • Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation texte hexadécimale d’une valeur binaire. S’il ne fait pas référence à un fichier valide, il est analysé en tant que [Date][+|-][dd:hh] date facultative plus ou moins jours et heures facultatifs. Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Utilisez now+dd:hh pour une date relative à l’heure actuelle.

  • Utilisez chain\chaincacheresyncfiletime \@now pour vider efficacement les listes de contrôle de contrôle d’accès mises en cache.

-importKMS

Importe des clés utilisateur et des certificats dans la base de données du serveur pour l’archivage des clés.

certutil [options] -importKMS userkeyandcertfile [certID]

Où :

  • userkeyandcertfile est un fichier de données avec des clés et des certificats privés utilisateur qui doivent être archivés. Ce fichier peut être :

    • Un fichier d’exportation KMS (Exchange Key Management Server).

    • Fichier PFX.

  • certID est un jeton de correspondance de certificat de déchiffrement de fichier d’exportation KMS. Pour plus d’informations, consultez le -store paramètre dans cet article.

  • -f importe des certificats non émis par l’autorité de certification.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importe un fichier de certificat dans la base de données.

certutil [options] -importcert certfile [existingrow]

Où :

  • existingrow importe le certificat à la place d’une demande en attente pour la même clé.

  • -f importe des certificats non émis par l’autorité de certification.

[-f] [-config Machine\CAName]

Notes

L’autorité de certification peut également devoir être configurée pour prendre en charge les certificats étrangers. Pour ce faire, tapez import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-getkey

Récupère un objet blob de récupération de clé privée archivé, génère un script de récupération ou récupère des clés archivées.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Où :

  • le script génère un script pour récupérer et récupérer des clés (comportement par défaut si plusieurs candidats de récupération correspondants sont trouvés ou si le fichier de sortie n’est pas spécifié).

  • retrieve récupère un ou plusieurs objets blob de récupération de clés (comportement par défaut si un candidat de récupération correspondant exactement est trouvé et si le fichier de sortie est spécifié). L’utilisation de cette option tronque toute extension et ajoute la chaîne spécifique au certificat et l’extension .rec pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrées sur un ou plusieurs certificats de l’agent de récupération de clés.

  • récupérer récupère et récupère des clés privées en une seule étape (nécessite des certificats et des clés privées de l’agent de récupération de clés). L’utilisation de cette option tronque toute extension et ajoute l’extension .p12. Chaque fichier contient les chaînes de certificats récupérées et les clés privées associées, stockées sous la forme d’un fichier PFX.

  • searchtoken sélectionne les clés et les certificats à récupérer, notamment :

      1. Nom commun du certificat
      1. Numéro de série du certificat
      1. Hachage sha-1 du certificat (empreinte numérique)
      1. Hachage sha-1 de clé de certificat (identificateur de clé d’objet)
      1. Nom du demandeur (domaine\utilisateur)
      1. UPN (user@domain)
  • recoverybloboutfile génère un fichier avec une chaîne de certificats et une clé privée associée, toujours chiffré sur un ou plusieurs certificats de l’Agent de récupération de clés.

  • outputscriptfile génère un fichier avec un script batch pour récupérer et récupérer des clés privées.

  • outputfilebasename génère un nom de base de fichier.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Récupérer une clé privée archivée.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Fusionne les fichiers PFX.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Où :

  • PFXinfilelist est une liste séparée par des virgules de fichiers d’entrée PFX.

  • PFXoutfile est le nom du fichier de sortie PFX.

  • extendedproperties inclut toutes les propriétés étendues.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Notes

  • Le mot de passe spécifié sur la ligne de commande doit être une liste de mots de passe séparés par des virgules.

  • Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est *, l’utilisateur est invité à entrer le mot de passe du fichier de sortie.

-convertEPF

Convertit un fichier PFX en fichier EPF.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Où :

  • PFXinfilelist est une liste séparée par des virgules de fichiers d’entrée PFX.

  • PFXoutfile est le nom du fichier de sortie PFX.

  • EPF est le nom du fichier de sortie EPF.

  • cast utilise le chiffrement CAST 64.

  • cast- utilise le chiffrement CAST 64 (exportation)

  • V3CAcertID est le jeton de correspondance de certificat d’autorité de certification V3. Pour plus d’informations, consultez le -store paramètre dans cet article.

  • salt est la chaîne de sel du fichier de sortie EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Notes

  • Le mot de passe spécifié sur la ligne de commande doit être une liste de mots de passe séparés par des virgules.

  • Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est *, l’utilisateur est invité à entrer le mot de passe du fichier de sortie.

-?

Affiche la liste des paramètres.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Où :

  • -? affiche la liste complète des paramètres

  • -<name_of_parameter> -? affiche le contenu d’aide pour le paramètre spécifié.

  • -? -v affiche la liste complète des paramètres et des options.

Options

Cette section définit toutes les options que vous pouvez spécifier, en fonction de la commande . Chaque paramètre inclut des informations sur les options valides pour l’utilisation.

Options Description
-nullsign Utilisez le hachage des données comme signature.
-f Forcer le remplacement.
-enterprise Utilisez le magasin de certificats du Registre d’entreprise de l’ordinateur local.
-Utilisateur Utilisez le HKEY_CURRENT_USER clés ou le magasin de certificats.
-GroupPolicy Utilisez le magasin de certificats de stratégie de groupe.
-Ut Afficher les modèles utilisateur.
-Mt Afficher les modèles d’ordinateur.
-Unicode Écrire une sortie redirigée en Unicode.
-UnicodeText Écrire un fichier de sortie dans Unicode.
-Gmt Afficher les heures à l’aide de GMT.
-Secondes Temps d’affichage en secondes et millisecondes.
-silent Utilisez l’indicateur silent pour acquérir le contexte de chiffrement.
-Split Fractionnez les éléments ASN.1 incorporés et enregistrez-les dans des fichiers.
-v Fournissez des informations plus détaillées (détaillées).
-privatekey Affichez les données de mot de passe et de clé privée.
-pin Code pin de carte à puce.
-urlfetch Récupérez et vérifiez les certificats AIA et les listes de contrôle CDP.
-config Machine\CAName Autorité de certification et chaîne de nom d’ordinateur.
-policyserver URLorID URL ou ID du serveur de stratégie. Pour la sélection U/I, utilisez -policyserver. Pour tous les serveurs de stratégie, utilisez -policyserver *
-Anonyme Utilisez des informations d’identification SSL anonymes.
-Kerberos Utilisez les informations d’identification SSL Kerberos.
-clientcertificate clientcertificate Utilisez les informations d’identification SSL du certificat X.509. Pour la sélection U/I, utilisez -clientcertificate.
-nom d’utilisateur Utilisez un compte nommé pour les informations d’identification SSL. Pour la sélection U/I, utilisez -username.
-certID Certificat de signature.
-dc DcName Ciblez un contrôleur de domaine spécifique.
-restreindre la liste de restrictions Liste de restrictions séparées par des virgules. Chaque restriction se compose d’un nom de colonne, d’un opérateur relationnel et d’un entier constant, d’une chaîne ou d’une date. Un nom de colonne peut être précédé d’un signe plus ou moins pour indiquer l’ordre de tri. Par exemple : requestID = 47, +requestername >= a, requestername ou -requestername > DOMAIN, Disposition = 21
-out columnlist Liste de colonnes séparées par des virgules.
-p password Mot de passe
-protectto SAMnameandSIDlist Nom SAM séparé par des virgules/liste SID.
-fournisseur csp Fournisseur
-t délai d’expiration Délai d’attente d’extraction de l’URL en millisecondes.
-symkeyalg symmetrickeyalgorithm[,keylength] Nom de l’algorithme de clé symétrique avec la longueur de clé facultative. Par exemple : AES,128 ou 3DES

Références supplémentaires

Pour obtenir d’autres exemples sur l’utilisation de cette commande, consultez