certutil (outil de gestion des certificats)

Avertissement

Certutil n’est pas recommandé d’être utilisé dans n’importe quel code de production et ne fournit aucune garantie de prise en charge de site en direct ou de compatibilité des applications. Il s’agit d’un outil utilisé par les développeurs et les administrateurs informatiques pour afficher les informations de contenu de certificat sur les appareils.

Certutil.exe est un programme de ligne de commande installé dans le cadre des services de certificats. Vous pouvez utiliser certutil.exe pour afficher les informations de configuration de l’autorité de certification, configurer les services de certificat et sauvegarder et restaurer des composants d’autorité de certification. Le programme vérifie également les certificats, les paires de clés et les chaînes de certificats.

Si certutil elle est exécutée sur une autorité de certification sans autres paramètres, elle affiche la configuration actuelle de l’autorité de certification. Si certutil elle est exécutée sur une autorité de non certification sans d’autres paramètres, la commande est exécutée par défaut pour exécuter la certutil -dump commande. Toutes les versions de certutil ne fournissent pas tous les paramètres et options décrits par ce document. Vous pouvez voir les choix que votre version de certutil fournit en exécutant certutil -? ou certutil <parameter> -?.

Conseil / Astuce

Pour afficher l’aide complète pour tous les verbes et options certutil, y compris celles masquées de l’argument -? , exécutez certutil -v -uSAGE. Le commutateur respecte la uSAGE casse.

Paramètres

-dump

Vide les informations de configuration ou les fichiers.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Vide la structure PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analyse et affiche le contenu d’un fichier à l’aide de la syntaxe ASN.1 (Abstract Syntax Notation). Les types de fichiers incluent . CER, . Fichiers au format DER et PKCS #7.

certutil [options] -asn File [type]

• [type]: type de décodage numérique CRYPT_STRING_*

-decodehex

Décode un fichier encodé hexadécimal.

certutil [options] -decodehex InFile OutFile [type]

• [type]: type de décodage numérique CRYPT_STRING_*

Options:

[-f]

-encodehex

Encode un fichier en hexadécimal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: type d’encodage CRYPT_STRING_* numérique

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Décode un fichier encodé en Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Encode un fichier en Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Refuse une demande en attente.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Resubmit une demande en attente.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Définit des attributs pour une demande de certificat en attente.

certutil [options] -setattributes RequestId AttributeString

Où :

• RequestId est l’ID de requête numérique de la requête en attente.
• AttributeString est le nom de l’attribut de requête et les paires valeur.

Options:

[-config Machine\CAName]

Remarques

• Les noms et les valeurs doivent être séparés par des deux-points, tandis que plusieurs noms et paires de valeurs doivent être séparés par des sauts de ligne. Par exemple : CertificateTemplate:User\nEMail:User@Domain.com où la \n séquence est convertie en séparateur de saut de ligne.

-setextension

Définissez une extension pour une demande de certificat en attente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Où :

• requestID est l’ID de requête numérique de la requête en attente.
• ExtensionName est la chaîne ObjectId de l’extension.
• Les indicateurs définissent la priorité de l’extension. 0 est recommandé, tandis que 1 définit l’extension sur critique, 2 désactive l’extension et 3 effectue les deux.

Options:

[-config Machine\CAName]

Remarques

• Si le dernier paramètre est numérique, il est pris comme long.
• Si le dernier paramètre peut être analysé en tant que date, il est pris comme date.
• Si le dernier paramètre commence par \@, le reste du jeton est pris comme nom de fichier avec des données binaires ou un vidage hexadécimal de texte ASCII.
• Si le dernier paramètre est autre chose, il est pris en tant que chaîne.

-revoke

Révoque un certificat.

certutil [options] -revoke SerialNumber [Reason]

Où :

• SerialNumber est une liste séparée par des virgules des numéros de série de certificat à révoquer.
• La raison est la représentation numérique ou symbolique de la raison de révocation, notamment :
  • 0. CRL_REASON_UNSPECIFIED - Non spécifié (valeur par défaut)
  • 1. CRL_REASON_KEY_COMPROMISE - Compromission de clé
  • 2. CRL_REASON_CA_COMPROMISE - Compromission de l’autorité de certification
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation modifiée
  • 4. CRL_REASON_SUPERSEDED - Remplacé
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Arrêt de l’opération
  • 6. CRL_REASON_CERTIFICATE_HOLD - Conservation du certificat
  • 8. CRL_REASON_REMOVE_FROM_CRL - Supprimer de la liste de révocation de certificats
  • 9 : CRL_REASON_PRIVILEGE_WITHDRAWN - Privilège retiré
  • 10 : CRL_REASON_AA_COMPROMISE - Compromis AA
  • -1. Annuler la révocation - Révoque

Options:

[-config Machine\CAName]

-isvalid

Affiche la destruction du certificat actuel.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Obtient la chaîne de configuration par défaut.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtient la chaîne de configuration par défaut via ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Obtient la configuration via ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Tente de contacter l’interface de demande des services de certificats Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Où :

• CAMachineList est une liste séparée par des virgules des noms d’ordinateurs d’autorité de certification. Pour un seul ordinateur, utilisez une virgule de fin. Cette option affiche également le coût du site pour chaque ordinateur d’autorité de certification.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tente de contacter l’interface d’administration des services de certificats Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Affiche des informations sur l’autorité de certification.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Où :

• InfoName indique la propriété d’autorité de certification à afficher, en fonction de la syntaxe d’argument infoname suivante :
  • * - Affiche toutes les propriétés
  • annonces - Serveur avancé
  • aia [Index] - URL AIA
  • cdp [Index] - URL CDP
  • cert [Index] - Certificat d’autorité de certification
  • certchain [Index] - Chaîne de certificats d’autorité de certification
  • certcount - Nombre de certificats d’autorité de certification
  • certcrlchain [Index] - Chaîne de certificats d’autorité de certification avec des LISTES de révocation de certificats
  • certstate [Index] - Certificat d’autorité de certification
  • certstatuscode [Index] - État de vérification du certificat d’autorité de certification
  • certversion [Index] - Version du certificat d’autorité de certification
  • Liste de révocation de certificats [Index] - Liste de révocation de certificats de base
  • crlstate [Index] - Liste de révocation de certificats
  • crlstatus [Index] - État de publication de la liste de révocation de certificats
  • cross- [Index] - Certificat croisé vers l’arrière
  • cross+ [Index] - Transfert de certificat croisé
  • crossstate- [Index] - Cert croisé vers l’arrière
  • crossstate+ [Index] - Transfert de certificat croisé
  • deltacrl [Index] - Liste de révocation de certificats Delta
  • deltacrlstatus [Index] - État de publication de la liste de révocation de certificats delta
  • dns - Nom DNS
  • dsname - Nom court de l’autorité de certification désintégé (nom DS)
  • error1 ErrorCode - Texte du message d’erreur
  • error2 ErrorCode - Texte du message d’erreur et code d’erreur
  • exit [Index] - Description du module de sortie
  • exitcount - Nombre de modules de sortie
  • fichier - Version du fichier
  • informations - Informations sur l’autorité de certification
  • kra [Index] - Certificat KRA
  • kracount - Nombre de certificats KRA
  • krastate [Index] - CERTIFICAT KRA
  • kraused - Nombre de certificats KRA utilisés
  • localename - Nom des paramètres régionaux de l’autorité de certification
  • nom - Nom de l’autorité de certification
  • ocsp [Index] - URL OCSP
  • parent - Autorité de certification parente
  • policy - Description du module de stratégie
  • produit - Version du produit
  • propidmax - PropId CA maximal
  • rôle - Séparation des rôles
  • nom désinfecté - Nom de l’autorité de certification désintégé
  • sharedfolder - Dossier partagé
  • subjecttemplateoids - OID de modèle d’objet
  • modèles - Modèles
  • type - Type d’autorité de certification
  • xchg [Index] - Certificat d’échange d’autorité de certification
  • xchgchain [Index] - Chaîne de certificats d’échange d’autorité de certification
  • xchgcount - Nombre de certificats exchange de l’autorité de certification
  • xchgcrlchain [Index] - Chaîne de certificats d’échange d’autorité de certification avec des listes de révocation de certificats
• index est l’index de propriété de base zéro facultatif.
• errorcode est le code d’erreur numérique.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Affiche les informations de type de propriété de l’autorité de certification.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Récupère le certificat de l’autorité de certification.

certutil [options] -ca.cert OutCACertFile [Index]

Où :

• OutCACertFile est le fichier de sortie.
• L’index est l’index de renouvellement de certificat d’autorité de certification (par défaut, le plus récent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Récupère la chaîne de certificats de l’autorité de certification.

certutil [options] -ca.chain OutCACertChainFile [Index]

Où :

• OutCACertChainFile est le fichier de sortie.
• L’index est l’index de renouvellement de certificat d’autorité de certification (par défaut, le plus récent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtient une liste de révocation de certificats (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Où :

• L’index est l’index de liste de révocation de certificats ou l’index de clé (par défaut, la liste de révocation de certificats pour la clé la plus récente).
• delta est la liste de révocation de certificats delta (la liste de révocation de certificats de base est par défaut).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publie de nouvelles listes de révocation de certificats (CRL) ou delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Où :

• dd :hh est la nouvelle période de validité de la liste de révocation de certificats en jours et en heures.
• republier les listes de révocation de certificats les plus récentes.
• delta publie les listes de révocation de certificats delta uniquement (la valeur par défaut est les listes de contrôle de base et delta).

Options:

[-split] [-config Machine\CAName]

-shutdown

Arrête les services de certificats Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Installe un certificat d’autorité de certification.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renouvelle un certificat d’autorité de certification.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• Permet -f d’ignorer une demande de renouvellement en attente et de générer une nouvelle demande.

-schema

Vide le schéma du certificat.

certutil [options] -schema [Ext | Attrib | CRL]

Où :

• La commande est par défaut dans la table Demande et Certificat.
• Ext est la table d’extension.
• L’attribut est la table d’attributs.
• La liste de révocation de certificats est la table de liste de révocation de certificats.

Options:

[-split] [-config Machine\CAName]

-view

Vide la vue du certificat.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Où :

• La file d’attente vide une file d’attente de requête spécifique.
• Le journal vide les certificats émis ou révoqués, ainsi que les demandes ayant échoué.
• LogFail vide les demandes ayant échoué.
• Les vidages révoqués des certificats révoqués.
• Ext vide la table d’extension.
• Attrib vide la table d’attributs.
• La liste de révocation de certificats vide la table de liste de révocation de certificats.
• csv fournit la sortie à l’aide de valeurs séparées par des virgules.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarques

• Pour afficher la colonne StatusCode pour toutes les entrées, tapez -out StatusCode
• Pour afficher toutes les colonnes de la dernière entrée, tapez : -restrict RequestId==$
• Pour afficher l’ID de requête et la disposition pour trois requêtes, tapez : -restrict requestID>=37,requestID<40 -out requestID,disposition
• Pour afficher les ID de ligne et lesnuméros de liste de révocation de certificats pour toutes les listes de révocation de certificats de base, tapez : -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Pour afficher le numéro de liste de révocation de certificats de base 3, tapez : -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Pour afficher l’intégralité de la table de liste de révocation de certificats, tapez : CRL
• Utiliser Date[+|-dd:hh] pour les restrictions de date.
• Permet d’utiliser now+dd:hh une date par rapport à l’heure actuelle.
• Les modèles contiennent des utilisations de clés étendues (EKU), qui sont des identificateurs d’objet (OID) qui décrivent la façon dont le certificat est utilisé. Les certificats n’incluent pas toujours de noms communs de modèle ou de noms d’affichage, mais ils contiennent toujours les EKU de modèle. Vous pouvez extraire les EKUs pour un modèle de certificat spécifique à partir d’Active Directory, puis restreindre les vues en fonction de cette extension.

-db

Vide la base de données brute.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Supprime une ligne de la base de données du serveur.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Où :

• La demande supprime les demandes ayant échoué et en attente, en fonction de la date de soumission.
• Le certificat supprime les certificats expirés et révoqués en fonction de la date d’expiration.
• Ext supprime la table d’extension.
• Attrib supprime la table d’attributs.
• La liste de révocation de certificats supprime la table de liste de révocation de certificats.

Options:

[-f] [-config Machine\CAName]

Exemples

• Pour supprimer les demandes ayant échoué et en attente envoyées le 22 janvier 2001, tapez : 1/22/2001 request
• Pour supprimer tous les certificats qui ont expiré le 22 janvier 2001, tapez : 1/22/2001 cert
• Pour supprimer la ligne de certificat, les attributs et les extensions pour RequestID 37, tapez : 37
• Pour supprimer les listes de révocation de certificats ayant expiré le 22 janvier 2001, tapez : 1/22/2001 crl

Remarque

La date attend le format mm/dd/yyyy plutôt que dd/mm/yyyy, par exemple 1/22/2001 plutôt que 22/1/2001 pour le 22 janvier 2001. Si votre serveur n’est pas configuré avec les paramètres régionaux américains, l’utilisation de l’argument Date peut produire des résultats inattendus.

-backup

Sauvegarde les services de certificats Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Où :

• BackupDirectory est le répertoire pour stocker les données sauvegardées.
• L’incrémentiel effectue une sauvegarde incrémentielle uniquement (la sauvegarde par défaut est complète).
• KeepLog conserve les fichiers journaux de base de données (la valeur par défaut consiste à tronquer les fichiers journaux).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sauvegarde la base de données des services de certificats Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Où :

• BackupDirectory est le répertoire pour stocker les fichiers de base de données sauvegardés.
• L’incrémentiel effectue une sauvegarde incrémentielle uniquement (la sauvegarde par défaut est complète).
• KeepLog conserve les fichiers journaux de base de données (la valeur par défaut consiste à tronquer les fichiers journaux).

Options:

[-f] [-config Machine\CAName]

-backupkey

Sauvegarde le certificat des services de certificats Active Directory et la clé privée.

certutil [options] -backupkey BackupDirectory

Où :

• BackupDirectory est le répertoire pour stocker le fichier PFX sauvegardé.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaure les services de certificats Active Directory.

certutil [options] -restore BackupDirectory

Où :

• BackupDirectory est le répertoire contenant les données à restaurer.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaure la base de données des services de certificats Active Directory.

certutil [options] -restoredb BackupDirectory

Où :

• BackupDirectory est le répertoire contenant les fichiers de base de données à restaurer.

Options:

[-f] [-config Machine\CAName]

-restorekey

Restaure le certificat des services de certificats Active Directory et la clé privée.

certutil [options] -restorekey BackupDirectory | PFXFile

Où :

• BackupDirectory est le répertoire contenant le fichier PFX à restaurer.
• PFXFile est le fichier PFX à restaurer.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporte les certificats et les clés privées. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Où :

• CertificateStoreName est le nom du magasin de certificats.
• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats.
• PFXFile est le fichier PFX à exporter.
• Les modificateurs sont la liste séparée par des virgules, qui peut inclure une ou plusieurs des options suivantes :
  • CryptoAlgorithm= spécifie l’algorithme de chiffrement à utiliser pour chiffrer le fichier PFX, tel que TripleDES-Sha1 ou Aes256-Sha256.
  • EncryptCert : chiffre la clé privée associée au certificat avec un mot de passe.
  • ExportParameters -Exports les paramètres de clé privée en plus du certificat et de la clé privée.
  • ExtendedProperties : inclut toutes les propriétés étendues associées au certificat dans le fichier de sortie.
  • NoEncryptCert : exporte la clé privée sans le chiffrer.
  • NoChain : n’importe pas la chaîne de certificats.
  • NoRoot : n’importe pas le certificat racine.

-importPFX

Importe les certificats et les clés privées. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Où :

• CertificateStoreName est le nom du magasin de certificats.
• PFXFile est le fichier PFX à importer.
• Les modificateurs sont la liste séparée par des virgules, qui peut inclure une ou plusieurs des options suivantes :
  • AT_KEYEXCHANGE : modifie la spécification de clé en échange de clés.
  • AT_SIGNATURE : modifie la spécification de clé en signature.
  • ExportEncrypted : exporte la clé privée associée au certificat avec le chiffrement de mot de passe.
  • FriendlyName= : spécifie un nom convivial pour le certificat importé.
  • KeyDescription= : spécifie une description de la clé privée associée au certificat importé.
  • KeyFriendlyName= : spécifie un nom convivial pour la clé privée associée au certificat importé.
  • NoCert : n’importe pas le certificat.
  • NoChain : n’importe pas la chaîne de certificats.
  • NoExport : rend la clé privée non exportable.
  • NoProtect : ne protège pas les clés par mot de passe à l’aide d’un mot de passe.
  • NoRoot : n’importe pas le certificat racine.
  • Pkcs8 : utilise le format PKCS8 pour la clé privée dans le fichier PFX.
  • Protéger : protège les clés à l’aide d’un mot de passe.
  • ProtectHigh : spécifie qu’un mot de passe haute sécurité doit être associé à la clé privée.
  • VSM : stocke la clé privée associée au certificat importé dans le conteneur VSC (Virtual Smart Card).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarques

• La valeur par défaut est le magasin d’ordinateurs personnels.

-dynamicfilelist

Affiche une liste de fichiers dynamiques.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Affiche les emplacements de base de données.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Génère et affiche un hachage de chiffrement sur un fichier.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Vide le magasin de certificats.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Où :

• CertificateStoreName est le nom du magasin de certificats. Par exemple:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats. Cet ID peut être un :

  • Numéro de série
  • Certificat SHA-1
  • Liste de révocation de certificats, hachage de clé publique ou CTL
  • Index de certificat numérique (0, 1, et ainsi de suite)
  • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
  • Index de durée de vie numérique (.. 0, .. 1, et ainsi de suite)
  • Clé publique
  • Signature ou extension ObjectId
  • Nom commun de l’objet du certificat
  • Adresse de messagerie
  • NOM UPN ou DNS
  • Nom du conteneur de clés ou nom csp
  • Nom du modèle ou ObjectId
  • Référence EKU ou ObjectId des stratégies d’application
  • Nom commun de l’émetteur de liste de révocation de certificats.

Un grand nombre de ces identificateurs peuvent entraîner plusieurs correspondances.

• OutputFile est le fichier utilisé pour enregistrer les certificats correspondants.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• L’option -user accède à un magasin d’utilisateurs au lieu d’un magasin d’ordinateurs.
• L’option -enterprise accède à un magasin d’entreprise de machine.
• L’option -service accède à un magasin de services de machine.
• L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Remarque

Les problèmes de performances sont observés lors de l’utilisation du -store paramètre en fonction de ces deux aspects :

1. Lorsque le nombre de certificats dans le magasin dépasse 10.
2. Lorsqu’un CertId est spécifié, il est utilisé pour correspondre à tous les types répertoriés pour chaque certificat. Par exemple, si un numéro de série est fourni, il tente également de faire correspondre tous les autres types répertoriés.

Si vous êtes préoccupé par les problèmes de performances, les commandes PowerShell sont recommandées lorsqu’elles correspondent uniquement au type de certificat spécifié.

-enumstore

Énumère les magasins de certificats.

certutil [options] -enumstore [\\MachineName]

Où :

• MachineName est le nom de l’ordinateur distant.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Ajoute un certificat au magasin. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -addstore CertificateStoreName InFile

Où :

• CertificateStoreName est le nom du magasin de certificats.
• InFile est le fichier de certificat ou de liste de révocation de certificats que vous souhaitez ajouter au magasin.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Supprime un certificat du magasin. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -delstore CertificateStoreName certID

Où :

• CertificateStoreName est le nom du magasin de certificats.
• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Vérifie un certificat dans le magasin. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -verifystore CertificateStoreName [CertId]

Où :

• CertificateStoreName est le nom du magasin de certificats.
• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Répare une association de clés ou met à jour les propriétés de certificat ou le descripteur de sécurité de clé. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Où :

• CertificateStoreName est le nom du magasin de certificats.

• CertIdList est la liste séparée par des virgules des jetons de correspondance de certificat ou de liste de révocation de certificats. Pour plus d’informations, consultez la -store description CertId de cet article.

• PropertyInfFile est le fichier INF contenant des propriétés externes, notamment :

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Vide le magasin de certificats. Pour plus d’informations, consultez le -store paramètre de cet article.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Où :

• CertificateStoreName est le nom du magasin de certificats. Par exemple:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un :

  • Numéro de série
  • Certificat SHA-1
  • Liste de révocation de certificats, durée de vie ou hachage de clé publique
  • Index de certificat numérique (0, 1, et ainsi de suite)
  • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
  • Index de durée de vie numérique (.. 0, .. 1, et ainsi de suite)
  • Clé publique
  • Signature ou extension ObjectId
  • Nom commun de l’objet du certificat
  • Adresse de messagerie
  • NOM UPN ou DNS
  • Nom du conteneur de clés ou nom csp
  • Nom du modèle ou ObjectId
  • Référence EKU ou ObjectId des stratégies d’application
  • Nom commun de l’émetteur de liste de révocation de certificats.

La plupart de ces correspondances peuvent entraîner plusieurs correspondances.

• OutputFile est le fichier utilisé pour enregistrer les certificats correspondants.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L’option -user accède à un magasin d’utilisateurs au lieu d’un magasin d’ordinateurs.
• L’option -enterprise accède à un magasin d’entreprise de machine.
• L’option -service accède à un magasin de services de machine.
• L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Supprime un certificat du magasin.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Où :

• CertificateStoreName est le nom du magasin de certificats. Par exemple:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId est le jeton de correspondance de certificat ou de liste de révocation de certificats. Il peut s’agir d’un :

  • Numéro de série
  • Certificat SHA-1
  • Liste de révocation de certificats, durée de vie ou hachage de clé publique
  • Index de certificat numérique (0, 1, et ainsi de suite)
  • Index de liste de révocation de certificats numériques (.0, .1, et ainsi de suite)
  • Index de durée de vie numérique (.. 0, .. 1, et ainsi de suite)
  • Clé publique
  • Signature ou extension ObjectId
  • Nom commun de l’objet du certificat
  • Adresse de messagerie
  • NOM UPN ou DNS
  • Nom du conteneur de clés ou nom csp
  • Nom du modèle ou ObjectId
  • Référence EKU ou ObjectId des stratégies d’application
  • Nom commun de l’émetteur de liste de révocation de certificats.

La plupart de ces correspondances peuvent entraîner plusieurs correspondances.

• OutputFile est le fichier utilisé pour enregistrer les certificats correspondants.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L’option -user accède à un magasin d’utilisateurs au lieu d’un magasin d’ordinateurs.
• L’option -enterprise accède à un magasin d’entreprise de machine.
• L’option -service accède à un magasin de services de machine.
• L’option -grouppolicy accède à un magasin de stratégies de groupe d’ordinateurs.

Par exemple:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Appelle l’interface certutil.

certutil [options] -UI File [import]

-TPMInfo

Affiche les informations du module de plateforme approuvée.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Spécifie que le fichier de demande de certificat doit être attesté.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Sélectionne un certificat dans une interface utilisateur de sélection.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Affiche les noms uniques (DS) du service d’annuaire (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Supprime les noms de domaine DS.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Publie un certificat ou une liste de révocation de certificats (CRL) dans Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Où :

• CertFile est le nom du fichier de certificat à publier.
• NTAuthCA publie le certificat dans le magasin DS Enterprise.
• RootCA publie le certificat dans le magasin racine approuvé DS.
• SubCA publie le certificat d’autorité de certification sur l’objet d’autorité de certification DS.
• CrossCA publie le certificat croisé sur l’objet d’autorité de certification DS.
• KRA publie le certificat sur l’objet DS Key Recovery Agent.
• L’utilisateur publie le certificat sur l’objet User DS.
• L’ordinateur publie le certificat sur l’objet Machine DS.
• Le fichier CRLfile est le nom du fichier de liste de révocation de certificats à publier.
• DSCDPContainer est le cn de conteneur DS CDP, généralement le nom de l’ordinateur de l’autorité de certification.
• DSCDPCN est l’objet DS CDP CN basé sur le nom court et l’index de clé de l’autorité de certification désinfectée.

Options:

[-f] [-user] [-dc DCName]

• Permet -f de créer un objet DS.

-dsCert

Affiche les certificats DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Affiche les listes de révocation de certificats DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Affiche les listes de révocation de certificats delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Affiche les attributs de modèle DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Ajoute des modèles DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Affiche les modèles Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Affiche les modèles de stratégie d’inscription de certificat.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Affiche les autorités de certification pour un modèle de certificat.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Affiche des modèles pour l’autorité de certification.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Définit les modèles de certificat que l’autorité de certification peut émettre.

certutil [options] -SetCATemplates [+ | -] TemplateList

Où :

• Le + signe ajoute des modèles de certificat à la liste de modèles disponibles de l’autorité de certification.
• Le - signe supprime les modèles de certificat de la liste de modèles disponibles de l’autorité de certification.

-SetCASites

Gère les noms de site, notamment le paramètre, la vérification et la suppression des noms de site d’autorité de certification.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Où :

• SiteName est autorisé uniquement lors du ciblage d’une autorité de certification unique.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarques

• L’option -config cible une seule autorité de certification (la valeur par défaut est toutes les autorités de certification).
• L’option -f peut être utilisée pour remplacer les erreurs de validation pour le nom de site spécifié ou pour supprimer tous les noms de site d’autorité de certification.

Remarque

Pour plus d’informations sur la configuration des autorités de certification pour la prise en charge des sites AD DS (Active Directory Domain Services), consultez Ad DS Site Awareness for AD CS et PKI clients.

-enrollmentServerURL

Affiche, ajoute ou supprime les URL du serveur d’inscription associées à une autorité de certification.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Où :

• AuthenticationType spécifie l’une des méthodes d’authentification client suivantes lors de l’ajout d’une URL :
  • Kerberos : utilisez les informations d’identification SSL Kerberos.
  • UserName : utilisez un compte nommé pour les informations d’identification SSL.
  • ClientCertificate : utilisez les informations d’identification SSL du certificat X.509.
  • Anonyme : utilisez des informations d’identification SSL anonymes.
• supprime l’URL spécifiée associée à l’autorité de certification.
• La priorité est définie par défaut 1 si elle n’est pas spécifiée lors de l’ajout d’une URL.
• Les modificateurs sont une liste séparée par des virgules, qui inclut un ou plusieurs des éléments suivants :
  • Les demandes de renouvellement AllowRenewalsOnly uniquement peuvent être envoyées à cette autorité de certification via cette URL.
  • AllowKeyBasedRenewal autorise l’utilisation d’un certificat qui n’a aucun compte associé dans AD. Cela s’applique uniquement avec le mode ClientCertificate et AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Affiche les autorités de certification Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Affiche les autorités de certification de stratégie d’inscription.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Affiche la stratégie d’inscription.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Affiche ou supprime les entrées du cache de stratégie d’inscription.

certutil [options] -PolicyCache [delete]

Où :

• supprime les entrées du cache du serveur de stratégie.
• -f supprime toutes les entrées du cache

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Affiche, ajoute ou supprime les entrées du Magasin d’informations d’identification.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Où :

• L’URL est l’URL cible. Vous pouvez également utiliser * pour faire correspondre toutes les entrées ou https://machine* pour faire correspondre un préfixe d’URL.
• ajouter une entrée de magasin d’informations d’identification. L’utilisation de cette option nécessite également l’utilisation des informations d’identification SSL.
• supprime les entrées du magasin d’informations d’identification.
• -f remplace une seule entrée ou supprime plusieurs entrées.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installe les modèles de certificat par défaut.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Vérifie les URL de certificat ou de liste de révocation de certificats.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Affiche ou supprime les entrées du cache d’URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Où :

• L’URL est l’URL mise en cache.
• La liste de révocation de certificats s’exécute uniquement sur toutes les URL de liste de révocation de certificats mises en cache.
• * fonctionne sur toutes les URL mises en cache.
• supprime les URL pertinentes du cache local de l’utilisateur actuel.
• -f force l’extraction d’une URL spécifique et la mise à jour du cache.

Options:

[-f] [-split]

-pulse

Déclenche un événement d’inscription automatique ou une tâche NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Où :

• TaskName est la tâche à déclencher.
  • Pregen est la tâche de prégéner de clé NGC.
  • AIKEnroll est la tâche d’inscription de certificat AIK NGC. (Valeur par défaut de l’événement d’inscription automatique).
• SRKThumbprint est l’empreinte numérique de la clé racine de stockage
• Modificateurs :
  • Prégénération
  • PregenDelay
  • AIKEnroll
  • Politique cryptographique
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Affiche des informations sur l’objet machine Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Affiche des informations sur le contrôleur de domaine. La valeur par défaut affiche les certificats DC sans vérification.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modificateurs :

  • Vérifier
  • SupprimerMauvais
  • SupprimerTout

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Conseil / Astuce

La possibilité de spécifier un domaine Active Directory Domain Services (AD DS) [Domaine] et de spécifier un contrôleur de domaine (-dc) a été ajouté dans Windows Server 2012. Pour exécuter correctement la commande, vous devez utiliser un compte membre d’administrateurs de domaine ou d’administrateurs d’entreprise. Les modifications de comportement de cette commande sont les suivantes :

• Si un domaine n’est pas spécifié et qu’un contrôleur de domaine spécifique n’est pas spécifié, cette option retourne une liste de contrôleurs de domaine à traiter à partir du contrôleur de domaine par défaut.
• Si un domaine n’est pas spécifié, mais qu’un contrôleur de domaine est spécifié, un rapport des certificats sur le contrôleur de domaine spécifié est généré.
• Si un domaine est spécifié, mais qu’un contrôleur de domaine n’est pas spécifié, une liste de contrôleurs de domaine est générée avec des rapports sur les certificats de chaque contrôleur de domaine de la liste.
• Si le domaine et le contrôleur de domaine sont spécifiés, une liste de contrôleurs de domaine est générée à partir du contrôleur de domaine ciblé. Un rapport des certificats pour chaque contrôleur de domaine de la liste est également généré.

Par exemple, supposons qu’il existe un domaine nommé CPANDL avec un contrôleur de domaine nommé CPANDL-DC1. Vous pouvez exécuter la commande suivante pour récupérer une liste de contrôleurs de domaine et leurs certificats à partir de CPANDL-DC1 : certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Affiche des informations sur une autorité de certification d’entreprise.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Affiche des informations sur l’autorité de certification.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Affiche des informations sur la carte à puce.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Où :

• CRYPT_DELETEKEYSET supprime toutes les clés de la carte à puce.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gère les certificats racines de carte à puce.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Répertorie les clés stockées dans un conteneur de clés.

certutil [options] -key [KeyContainerName | -]

Où :

• KeyContainerName est le nom du conteneur de clés pour la clé à vérifier. Cette option est par défaut des clés d’ordinateur. Pour basculer vers les clés utilisateur, utilisez -user.
• L’utilisation du - signe fait référence à l’utilisation du conteneur de clés par défaut.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Supprime le conteneur de clé nommée.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Supprime le conteneur Windows Hello, supprimant toutes les informations d’identification associées stockées sur l’appareil, y compris les informations d’identification WebAuthn et FIDO.

Les utilisateurs doivent se déconnecter après avoir utilisé cette option pour qu’elle se termine.

certutil [options] -DeleteHelloContainer

-verifykeys

Vérifie un ensemble de clés publiques ou privées.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Où :

• KeyContainerName est le nom du conteneur de clés pour la clé à vérifier. Cette option est par défaut des clés d’ordinateur. Pour basculer vers les clés utilisateur, utilisez -user.
• CACertFile signe ou chiffre les fichiers de certificat.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarques

• Si aucun argument n’est spécifié, chaque certificat d’autorité de certification de signature est vérifié par rapport à sa clé privée.
• Cette opération ne peut être effectuée que sur une autorité de certification locale ou des clés locales.

-verify

Vérifie un certificat, une liste de révocation de certificats (CRL) ou une chaîne de certificats.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Où :

• CertFile est le nom du certificat à vérifier.
• ApplicationPolicyList est la liste facultative séparée par des virgules des ObjectIds de stratégie d’application obligatoires.
• IssuancePolicyList est la liste facultative séparée par des virgules des ObjectIds de stratégie d’émission requises.
• CACertFile est le certificat d’autorité de certification facultatif à vérifier.
• CrossedCACertFile est le certificat facultatif certifié par CertFile.
• CRLFile est le fichier de liste de révocation de certificats utilisé pour vérifier caCertFile.
• IssuedCertFile est le certificat émis facultatif couvert par le fichier CRLfile.
• DeltaCRLFile est le fichier de liste de révocation de certificats delta facultatif.
• Modificateurs :
  • Forte - Vérification forte de la signature
  • MSRoot - Doit chaîner à une racine Microsoft
  • MSTestRoot - Doit chaîner à une racine de test Microsoft
  • AppRoot - Doit chaîner à une racine d’application Microsoft
  • EV - Appliquer une stratégie de validation étendue

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarques

• L’utilisation d’ApplicationPolicyList limite la génération de chaînes uniquement aux chaînes valides pour les stratégies d’application spécifiées.
• L’utilisation d’IssuancePolicyList limite la génération de chaînes uniquement aux chaînes valides pour les stratégies d’émission spécifiées.
• L’utilisation de CACertFile vérifie les champs du fichier par rapport à CertFile ou CRLfile.
• Si CACertFile n’est pas spécifié, la chaîne complète est générée et vérifiée par rapport à CertFile.
• Si CACertFile et CrossedCACertFile sont tous les deux spécifiés, les champs des deux fichiers sont vérifiés par rapport à CertFile.
• L’utilisation de IssuedCertFile vérifie les champs du fichier par rapport au fichier CRLfile.
• L’utilisation de DeltaCRLFile vérifie les champs du fichier sur CertFile.

-verifyCTL

Vérifie la durée de vie des certificats AuthRoot ou Non autorisés.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Où :

• CTLObject identifie la durée de vie pour vérifier, notamment :

  • AuthRootWU lit le cab AuthRoot et les certificats correspondants à partir du cache d’URL. Permet -f de télécharger à la place à partir de Windows Update.
  • Non autoriséWU lit le cab des certificats non autorisés et le fichier de magasin de certificats non autorisé du cache d’URL. Permet -f de télécharger à la place à partir de Windows Update.
    • PinRulesWU lit le cab PinRules à partir du cache d’URL. Permet -f de télécharger à la place à partir de Windows Update.
  • AuthRoot lit la durée de vie AuthRoot mise en cache dans le registre. -f Utilisez et un fichier CertFile non approuvé pour forcer la mise à jour des listes CTL d’authRoot et de certificat non approuvées mises en cache.
  • Non autorisé lit la CTL des certificats non autorisés mis en cache dans le Registre. -f Utilisez et un fichier CertFile non approuvé pour forcer la mise à jour des listes CTL d’authRoot et de certificat non approuvées mises en cache.
    • PinRules lit la durée de vie pinRules mise en cache dans le Registre. L’utilisation -f a le même comportement que avec PinRulesWU.
  • CTLFileName spécifie le fichier ou le chemin http du fichier CTL ou CAB.

• CertDir spécifie le dossier contenant des certificats correspondant aux entrées CTL. Par défaut, le même dossier ou le même site web que le CTLobject. L’utilisation d’un chemin de dossier HTTP nécessite un séparateur de chemins à la fin. Si vous ne spécifiez pas AuthRoot ou Disallowed, plusieurs emplacements sont recherchés pour les certificats correspondants, notamment les magasins de certificats locaux, les ressources crypt32.dll et le cache d’URL local. Permet -f de télécharger à partir de Windows Update, si nécessaire.

• CertFile spécifie le ou les certificats à vérifier. Les certificats sont mis en correspondance avec les entrées CTL, affichant les résultats. Cette option supprime la plupart des sorties par défaut.

Options:

[-f] [-user] [-split]

-syncWithWU

Synchronise les certificats avec Windows Update.

certutil [options] -syncWithWU DestinationDir

Où :

• DestinationDir est le répertoire spécifié.
• f force un remplacement.
• Unicode écrit une sortie redirigée dans Unicode.
• gmt affiche les heures en tant que GMT.
• secondes affiche des heures avec des secondes et des millisecondes.
• v est une opération détaillée.
• Le code pin est le code confidentiel de la carte à puce.
• WELL_KNOWN_SID_TYPE est un SID numérique :
  • 22 - Système local
  • 23 - Service local
  • 24 - Service réseau

Remarques

Les fichiers suivants sont téléchargés à l’aide du mécanisme de mise à jour automatique :

• authrootstl.cab contient les listes CTL des certificats racines non-Microsoft.
• disallowedcertstl.cab contient les listes CTL de certificats non approuvés.
• disallowedcert.sst contient le magasin de certificats sérialisé, y compris les certificats non approuvés.
• thumbprint.crt contient les certificats racines non-Microsoft.

Par exemple : certutil -syncWithWU \\server1\PKI\CTLs.

• Si vous utilisez un chemin ou un dossier local inexistant comme dossier de destination, l’erreur s’affiche : The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Si vous utilisez un emplacement réseau inexistant ou indisponible comme dossier de destination, l’erreur s’affiche : The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Si votre serveur ne peut pas se connecter via le port TCP 80 aux serveurs Microsoft Automatic Update, vous recevez l’erreur suivante : A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Si votre serveur ne parvient pas à atteindre les serveurs Microsoft Automatic Update avec le nom ctldl.windowsupdate.comDNS, vous recevez l’erreur suivante : The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Si vous n’utilisez pas le -f commutateur et que l’un des fichiers CTL existe déjà dans le répertoire, vous recevez une erreur : certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• S’il existe une modification dans les certificats racines approuvés, vous voyez : Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Génère un fichier de magasin synchronisé avec Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Où :

• SSTFile est le .sst fichier à générer qui contient les racines tierces téléchargées à partir de Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Génère un fichier CTL (Certificate Trust List) qui contient une liste de règles d’épinglage.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Où :

• XMLFile est le fichier XML d’entrée à analyser.
• CTLFile est le fichier CTL de sortie à générer.
• SSTFile est le fichier facultatif .sst à créer qui contient tous les certificats utilisés pour l’épinglage.
• QueryFilesPrefix est facultatif Domains.csv et Keys.csv fichiers à créer pour la requête de base de données.
  • La chaîne QueryFilesPrefix est ajoutée à chaque fichier créé.
  • Le fichier Domains.csv contient le nom de règle, les lignes de domaine.
  • Le fichier Keys.csv contient le nom de la règle, les lignes d’empreinte SHA256 de clé.

Options:

[-f]

-downloadOcsp

Télécharge les réponses OCSP et écrit dans le répertoire.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Où :

• CertificateDir est le répertoire d’un certificat, d’un magasin et de fichiers PFX.
• OcspDir est le répertoire pour écrire des réponses OCSP.
• ThreadCount est le nombre maximal facultatif de threads pour le téléchargement simultané. La valeur par défaut est 10.
• Les modificateurs sont une liste séparée par des virgules d’une ou plusieurs des options suivantes :
  • DownloadOnce : télécharge une fois et se ferme.
  • ReadOcsp : lit à partir d’OcspDir au lieu d’écrire.

-generateHpkpHeader

Génère l’en-tête HPKP à l’aide de certificats dans un fichier ou un répertoire spécifié.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Où :

• CertFileOrDir est le fichier ou le répertoire des certificats, qui est la source du code pin-sha256.
• MaxAge est la valeur max-age en secondes.
• ReportUri est l’URI de rapport facultatif.
• Les modificateurs sont une liste séparée par des virgules d’une ou plusieurs des options suivantes :
  • includeSubDomains : ajoute les includeSubDomains.

-flushCache

Vide les caches spécifiés dans le processus sélectionné, par exemple, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Où :

• ProcessId est l’ID numérique d’un processus à vider. Définissez la valeur 0 pour vider tous les processus où le vidage est activé.

• CacheMask est le masque de bits des caches à vider numériquement ou les bits suivants :

  • 0 : ShowOnly
  • 0x01 : CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02 : CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04 : CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08 : CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10 : CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20 : CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40 : CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Les modificateurs sont une liste séparée par des virgules d’une ou plusieurs des options suivantes :

  • Afficher : affiche les caches vidés. Certutil doit être explicitement arrêté.

-addEccCurve

Ajoute une courbe ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Où :

• CurveClass est le type ecC Curve Class :

  • WEIERSTRASS (par défaut)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName est le nom de la courbe ECC.

• CurveParameters est l’un des éléments suivants :

  • Nom de fichier de certificat contenant des paramètres encodés ASN.
  • Fichier contenant des paramètres encodés ASN.

• CurveOID est l’OID de courbe ECC et est l’un des éléments suivants :

  • Nom de fichier de certificat contenant un OID encodé ASN.
  • OID de courbe ECC explicite.

• CurveType est le point Schannel ECC NamedCurve (numérique).

Options:

[-f]

-deleteEccCurve

Supprime la courbe ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Où :

• CurveName est le nom de la courbe ECC.
• CurveOID est l’OID de courbe ECC.

Options:

[-f]

-displayEccCurve

Affiche la courbe ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Où :

• CurveName est le nom de la courbe ECC.
• CurveOID est l’OID de courbe ECC.

Options:

[-f]

-csplist

Répertorie les fournisseurs de services de chiffrement installés sur cet ordinateur pour les opérations de chiffrement.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Teste les fournisseurs de services cloud installés sur cet ordinateur.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Affiche la configuration de chiffrement CNG sur cet ordinateur.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Signe à nouveau une liste de révocation de certificats (CRL) ou un certificat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Où :

• InFileList est la liste séparée par des virgules des fichiers de certificat ou de liste de révocation de certificats pour modifier et réinscrire.

• SerialNumber est le numéro de série du certificat à créer. La période de validité et d’autres options ne peuvent pas être présentes.

• La liste de révocation de certificats crée une liste de révocation de certificats vide. La période de validité et d’autres options ne peuvent pas être présentes.

• OutFileList est la liste séparée par des virgules des fichiers de sortie de certificat ou de liste de révocation de certificats modifiés. Le nombre de fichiers doit correspondre à la liste des fichiers.

• StartDate+dd :hh est la nouvelle période de validité pour les fichiers de certificat ou de liste de révocation de certificats, notamment :

  • date facultative plus
  • jours et heures de validité facultatifs Si plusieurs champs sont utilisés, utilisez un séparateur (+) ou (-). Permet now[+dd:hh] de commencer à l’heure actuelle. Permet now-dd:hh+dd:hh de commencer à un décalage fixe de l’heure actuelle et d’une période de validité fixe. Utilisez cette option never pour ne pas avoir de date d’expiration (pour les listes de révocation de certificats uniquement).

• SerialNumberList est la liste de numéros de série séparés par des virgules des fichiers à ajouter ou supprimer.

• ObjectIdList est la liste ObjectId d’extension séparée par des virgules des fichiers à supprimer.

• @ExtensionFile est le fichier INF qui contient les extensions à mettre à jour ou à supprimer. Par exemple:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm est le nom de l’algorithme de hachage. Il ne doit s’agir que du texte précédé du # signe.

• AlternateSignatureAlgorithm est le spécificateur d’algorithme de signature de remplacement.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarques

• L’utilisation du signe moins (-) supprime les numéros de série et les extensions.
• L’utilisation du signe plus (+) ajoute des numéros de série à une liste de révocation de certificats.
• Vous pouvez utiliser une liste pour supprimer les numéros de série et les ObjectIds d’une liste de révocation de certificats en même temps.
• L’utilisation du signe moins avant AlternateSignatureAlgorithm vous permet d’utiliser le format de signature hérité.
• L’utilisation du signe plus vous permet d’utiliser le format de signature de remplacement.
• Si vous ne spécifiez pas AlternateSignatureAlgorithm, le format de signature dans le certificat ou la liste de révocation de certificats est utilisé.

-vroot

Crée ou supprime des racines virtuelles web et des partages de fichiers.

certutil [options] -vroot [delete]

-vocsproot

Crée ou supprime des racines virtuelles web pour un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Ajoute une application serveur d’inscription et un pool d’applications si nécessaire pour l’autorité de certification spécifiée. Cette commande n’installe pas les fichiers binaires ou les packages.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Où :

• addEnrollmentServer vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificat, notamment :

  • Kerberos utilise les informations d’identification SSL Kerberos.
  • UserName utilise un compte nommé pour les informations d’identification SSL.
  • ClientCertificate utilise des informations d’identification SSL de certificat X.509.

• Modificateurs :

  • AllowRenewalsOnly autorise uniquement les soumissions de demandes de renouvellement à l’autorité de certification via l’URL.
  • AllowKeyBasedRenewal autorise l’utilisation d’un certificat sans compte associé dans Active Directory. Cela s’applique lorsqu’il est utilisé avec le mode ClientCertificate et AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Supprime une application serveur d’inscription et un pool d’applications si nécessaire pour l’autorité de certification spécifiée. Cette commande n’installe pas les fichiers binaires ou les packages.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Où :

• deleteEnrollmentServer vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur d’inscription de certificat, notamment :
  • Kerberos utilise les informations d’identification SSL Kerberos.
  • UserName utilise un compte nommé pour les informations d’identification SSL.
  • ClientCertificate utilise des informations d’identification SSL de certificat X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

Ajoutez une application et un pool d’applications Policy Server, si nécessaire. Cette commande n’installe pas les fichiers binaires ou les packages.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Où :

• addPolicyServer vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :
  • Kerberos utilise les informations d’identification SSL Kerberos.
  • UserName utilise un compte nommé pour les informations d’identification SSL.
  • ClientCertificate utilise des informations d’identification SSL de certificat X.509.
• KeyBasedRenewal permet l’utilisation de stratégies retournées au client contenant des modèles keybasedrenewal. Cette option s’applique uniquement à l’authentification UserName et ClientCertificate .

-deletePolicyServer

Supprime une application de serveur de stratégies et un pool d’applications, si nécessaire. Cette commande ne supprime pas les fichiers binaires ou les packages.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Où :

• deletePolicyServer vous oblige à utiliser une méthode d’authentification pour la connexion cliente au serveur de stratégie de certificat, notamment :
  • Kerberos utilise les informations d’identification SSL Kerberos.
  • UserName utilise un compte nommé pour les informations d’identification SSL.
  • ClientCertificate utilise des informations d’identification SSL de certificat X.509.
• KeyBasedRenewal permet l’utilisation d’un serveur de stratégie KeyBasedRenewal.

-Class

Affiche les informations de Registre COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Vérifie le certificat pour les encodages de longueur 0x7f.

certutil [options] -7f CertFile

-oid

Affiche l’identificateur d’objet ou définit un nom d’affichage.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Où :

• ObjectId est l’ID à afficher ou à ajouter au nom d’affichage.
• GroupId est le numéro GroupID (décimal) énuméré par ObjectIds.
• AlgId est l’ID hexadécimal que l’objectID recherche.
• AlgorithmName est le nom de l’algorithme que l’OBJECTID recherche.
• DisplayName affiche le nom à stocker dans DS.
• Supprime le nom complet.
• LanguageId est la valeur de l’ID de langue (valeur par défaut : 1033).
• Type est le type d’objet DS à créer, notamment :
  • 1 - Modèle (par défaut)
  • 2 - Stratégie d’émission
  • 3 - Stratégie d’application
• -f crée un objet DS.

Options:

[-f]

-error

Affiche le texte du message associé à un code d’erreur.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtient des informations SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Définit les informations SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Affiche une valeur de Registre.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Où :

• ca utilise la clé de Registre d’une autorité de certification.
• restore utilise la clé de Registre de restauration de l’autorité de certification.
• la stratégie utilise la clé de Registre du module de stratégie.
• exit utilise la clé de Registre du premier module de sortie.
• le modèle utilise la clé de Registre de modèles (utiliser -user pour les modèles utilisateur).
• l’inscription utilise la clé de Registre d’inscription (utilisation -user pour le contexte utilisateur).
• la chaîne utilise la clé de Registre de configuration de la chaîne.
• PolicyServers utilise la clé de Registre Des serveurs de stratégies.
• ProgId utilise le ProgID du module de stratégie ou de sortie (nom de sous-clé de Registre).
• RegistryValueName utilise le nom de la valeur de Registre (utilisez Name* pour faire correspondre le préfixe).
• la valeur utilise la nouvelle valeur de Registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence + par ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarques

• Si une valeur de chaîne commence par + ou -, et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.
• Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation textuelle hexadécimale d’une valeur binaire.
• S’il ne fait pas référence à un fichier valide, il est plutôt analysé comme [Date][+|-][dd:hh] une date facultative plus ou moins des jours et heures facultatifs.
• Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Permet d’utiliser now+dd:hh une date par rapport à l’heure actuelle.
• Utilisez-le i64 comme suffixe pour créer une valeur REG_QWORD.
• Permet chain\chaincacheresyncfiletime @now de vider efficacement les listes de révocation de certificats mis en cache.
• Alias de Registre :
  • Configuration
  • CA
  • Stratégie - PolicyModules
  • Sortie - ExitModules
  • Restaurer - RestoreInProgress
  • Modèle - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inscrire - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Logiciel\Microsoft\Cryptographie\MSCEP
  • Chaîne - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - Système\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Logiciel\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Logiciels\Politiques\Microsoft\PassportForWork
  • GPM - Software\Microsoft\Policies\PassportForWork

-setreg

Définit une valeur de Registre.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Où :

• ca utilise la clé de Registre d’une autorité de certification.
• restore utilise la clé de Registre de restauration de l’autorité de certification.
• la stratégie utilise la clé de Registre du module de stratégie.
• exit utilise la clé de Registre du premier module de sortie.
• le modèle utilise la clé de Registre de modèles (utiliser -user pour les modèles utilisateur).
• l’inscription utilise la clé de Registre d’inscription (utilisation -user pour le contexte utilisateur).
• la chaîne utilise la clé de Registre de configuration de la chaîne.
• PolicyServers utilise la clé de Registre Des serveurs de stratégies.
• ProgId utilise le ProgID du module de stratégie ou de sortie (nom de sous-clé de Registre).
• RegistryValueName utilise le nom de la valeur de Registre (utilisez Name* pour faire correspondre le préfixe).
• La valeur utilise la nouvelle valeur de Registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence + par ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarques

• Si une valeur de chaîne commence par + ou -, et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.
• Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation textuelle hexadécimale d’une valeur binaire.
• S’il ne fait pas référence à un fichier valide, il est plutôt analysé comme [Date][+|-][dd:hh] une date facultative plus ou moins des jours et heures facultatifs.
• Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Permet d’utiliser now+dd:hh une date par rapport à l’heure actuelle.
• Utilisez-le i64 comme suffixe pour créer une valeur REG_QWORD.
• Permet chain\chaincacheresyncfiletime @now de vider efficacement les listes de révocation de certificats mis en cache.

-delreg

Supprime une valeur de Registre.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Où :

• ca utilise la clé de Registre d’une autorité de certification.
• restore utilise la clé de Registre de restauration de l’autorité de certification.
• la stratégie utilise la clé de Registre du module de stratégie.
• exit utilise la clé de Registre du premier module de sortie.
• le modèle utilise la clé de Registre de modèles (utiliser -user pour les modèles utilisateur).
• l’inscription utilise la clé de Registre d’inscription (utilisation -user pour le contexte utilisateur).
• la chaîne utilise la clé de Registre de configuration de la chaîne.
• PolicyServers utilise la clé de Registre Des serveurs de stratégies.
• ProgId utilise le ProgID du module de stratégie ou de sortie (nom de sous-clé de Registre).
• RegistryValueName utilise le nom de la valeur de Registre (utilisez Name* pour faire correspondre le préfixe).
• La valeur utilise la nouvelle valeur de Registre numérique, chaîne ou date ou nom de fichier. Si une valeur numérique commence + par ou -, les bits spécifiés dans la nouvelle valeur sont définis ou effacés dans la valeur de Registre existante.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarques

• Si une valeur de chaîne commence par + ou -, et que la valeur existante est une REG_MULTI_SZ valeur, la chaîne est ajoutée ou supprimée de la valeur de Registre existante. Pour forcer la création d’une REG_MULTI_SZ valeur, ajoutez \n à la fin de la valeur de chaîne.
• Si la valeur commence par \@, le reste de la valeur est le nom du fichier contenant la représentation textuelle hexadécimale d’une valeur binaire.
• S’il ne fait pas référence à un fichier valide, il est plutôt analysé comme [Date][+|-][dd:hh] une date facultative plus ou moins des jours et heures facultatifs.
• Si les deux sont spécifiés, utilisez un séparateur signe plus (+) ou signe moins (-). Permet d’utiliser now+dd:hh une date par rapport à l’heure actuelle.
• Utilisez-le i64 comme suffixe pour créer une valeur REG_QWORD.
• Permet chain\chaincacheresyncfiletime @now de vider efficacement les listes de révocation de certificats mis en cache.
• Alias de Registre :
  • Configuration
  • CA
  • Stratégie - PolicyModules
  • Sortie - ExitModules
  • Restaurer - RestoreInProgress
  • Modèle - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inscrire - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Logiciel\Microsoft\Cryptographie\MSCEP
  • Chaîne - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - Système\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Logiciel\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Logiciels\Politiques\Microsoft\PassportForWork
  • GPM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importe les clés utilisateur et les certificats dans la base de données du serveur pour l’archivage des clés.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Où :

• UserKeyAndCertFile est un fichier de données avec des clés privées et des certificats utilisateur à archiver. Ce fichier peut être :
  • Fichier d’exportation KMS (Exchange Key Management Server).
  • Fichier PFX.
• CertId est un jeton de correspondance de certificat de déchiffrement de fichier d’exportation KMS. Pour plus d’informations, consultez le -store paramètre de cet article.
• -f importe les certificats non émis par l’autorité de certification.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importe un fichier de certificat dans la base de données.

certutil [options] -ImportCert Certfile [ExistingRow]

Où :

• ExistingRow importe le certificat à la place d’une demande en attente pour la même clé.
• -f importe les certificats non émis par l’autorité de certification.

Options:

[-f] [-config Machine\CAName]

Remarques

L’autorité de certification peut également avoir besoin d’être configurée pour prendre en charge les certificats étrangers en exécutant certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Récupère un objet blob de récupération de clé privée archivé, génère un script de récupération ou récupère des clés archivées.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Où :

• le script génère un script pour récupérer et récupérer des clés (comportement par défaut si plusieurs candidats de récupération correspondants sont trouvés ou si le fichier de sortie n’est pas spécifié).
• retrieve récupère un ou plusieurs objets blob de récupération de clés (comportement par défaut si exactement un candidat de récupération correspondant est trouvé et si le fichier de sortie est spécifié). Cette option tronque n’importe quelle extension et ajoute la chaîne spécifique au certificat et l’extension .rec pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrée à un ou plusieurs certificats De l’Agent de récupération de clés.
• récupère et récupère des clés privées en une seule étape (nécessite des certificats et des clés privées de l’Agent de récupération de clés). L’utilisation de cette option tronque n’importe quelle extension et ajoute l’extension .p12 . Chaque fichier contient les chaînes de certificats récupérées et les clés privées associées, stockées en tant que fichier PFX.
• SearchToken sélectionne les clés et les certificats à récupérer, notamment :
  • Nom commun du certificat
  • Numéro de série du certificat
  • Hachage SHA-1 de certificat (empreinte numérique)
  • Hachage SHA-1 KeyId de certificat (identificateur de clé d’objet)
  • Nom du demandeur (domaine\utilisateur)
  • UPN (user@domain)
• RecoveryBlobOutFile génère un fichier avec une chaîne de certificats et une clé privée associée, toujours chiffrés sur un ou plusieurs certificats Key Recovery Agent.
• OutputScriptFile génère un fichier avec un script batch pour récupérer et récupérer des clés privées.
• OutputFileBaseName génère un nom de base de fichier.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarques

• Pour la récupération, toute extension est tronquée et une chaîne spécifique au certificat et les .rec extensions sont ajoutées pour chaque objet blob de récupération de clé. Chaque fichier contient une chaîne de certificats et une clé privée associée, toujours chiffrée à un ou plusieurs certificats De l’Agent de récupération de clés.
• Pour la récupération, toute extension est tronquée et l’extension .p12 est ajoutée. Contient les chaînes de certificats récupérées et les clés privées associées, stockées sous forme de fichier PFX.

-RecoverKey

Récupère une clé privée archivée.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Fusionne les fichiers PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Où :

• PFXInFileList est une liste séparée par des virgules de fichiers d’entrée PFX.
• PFXOutFile est le nom du fichier de sortie PFX.
• Les modificateurs sont des listes séparées par des virgules d’une ou plusieurs des options suivantes :
  • ExtendedProperties inclut toutes les propriétés étendues.
  • NoEncryptCert spécifie de ne pas chiffrer les certificats.
  • EncryptCert spécifie pour chiffrer les certificats.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarques

• Le mot de passe spécifié sur la ligne de commande doit être une liste de mots de passe séparés par des virgules.
• Si plusieurs mots de passe sont spécifiés, le dernier mot de passe est utilisé pour le fichier de sortie. Si un seul mot de passe est fourni ou si le dernier mot de passe est *, l’utilisateur est invité à entrer le mot de passe du fichier de sortie.

-add-chain

Ajoute une chaîne de certificats.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Ajoute une chaîne de pré-certificats.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Obtient une tête d’arborescence signée.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Obtient les modifications apportées à la tête de l’arborescence signée.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Obtient la preuve d’un hachage à partir d’un serveur d’horodatage.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Récupère les entrées d’un journal des événements.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Récupère les certificats racines du magasin de certificats.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Récupère une entrée de journal des événements et sa preuve de chiffrement.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Vérifie un certificat par rapport au journal de transparence des certificats.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Affiche la liste des paramètres.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Où :

• -? affiche la liste des paramètres
• -<name_of_parameter> - ? affiche le contenu d’aide du paramètre spécifié.
• -? -v affiche une liste détaillée de paramètres et d’options.

Paramètres

Cette section définit toutes les options que vous pouvez spécifier, en fonction de la commande. Chaque paramètre inclut des informations sur les options valides à utiliser.

Choix	Descriptif
-Admin	Utilisez ICertAdmin2 pour les propriétés de l’autorité de certification.
-anonyme	Utilisez des informations d’identification SSL anonymes.
-cert CertId	Certificat de signature.
-clientcertificate clientCertId	Utilisez les informations d’identification SSL du certificat X.509. Pour l’interface utilisateur de sélection, utilisez -clientcertificate.
-config Machine\CAName	Autorité de certification et chaîne de nom d’ordinateur.
-fournisseur csp	Fournisseur: KSP - Fournisseur de stockage de clés logicielles Microsoft TPM - Fournisseur de chiffrement de plateforme Microsoft NGC - Fournisseur de stockage de clés Microsoft Passport SC - Fournisseur de stockage de clé de carte à puce Microsoft
-dc DCName	Ciblez un contrôleur de domaine spécifique.
-entreprise	Utilisez le magasin de certificats du registre d’entreprise de l’ordinateur local.
-f	Forcer le remplacement.
-generateSSTFromWU SSTFile	Générez SST à l’aide du mécanisme de mise à jour automatique.
-Gmt	Afficher les heures à l’aide de GMT.
-Politique de groupe	Utilisez le magasin de certificats de stratégie de groupe.
-idispatch	Utilisez IDispatch au lieu de méthodes natives COM.
-kerberos	Utilisez les informations d’identification SSL Kerberos.
-location alternativelieu de stockage	(-loc) AlternateStorageLocation.
-Mt	Afficher les modèles d’ordinateur.
-nocr	Encoder du texte sans caractères CR.
-nocrlf	Encoder du texte sans CR-LF caractères.
-nullsign	Utilisez le hachage des données comme signature.
-oldpfx	Utilisez l’ancien chiffrement PFX.
-out columnlist	Liste de colonnes séparées par des virgules.
-p Mot de passe	Mot de passe
-pin	Code confidentiel de carte à puce.
-policyserver URLorID	URL ou ID du serveur de stratégie. Pour la sélection U/I, utilisez -policyserver. Pour tous les serveurs de stratégie, utilisez -policyserver *
-clef privée	Afficher les données de mot de passe et de clé privée.
-protéger	Protégez les clés avec mot de passe.
-protectà SAMnameandSIDlist	Nom SAM séparé par des virgules/liste SID.
-restrict restrictionlist	Liste de restrictions séparées par des virgules. Chaque restriction se compose d’un nom de colonne, d’un opérateur relationnel et d’un entier constant, d’une chaîne ou d’une date. Un nom de colonne peut être précédé d’un signe plus ou moins pour indiquer l’ordre de tri. Par exemple : requestID = 47, +requestername >= a, requestername, ou -requestername > DOMAIN, Disposition = 21.
-inverse	Colonnes de journal inverse et de file d’attente.
-Secondes	Affichage des heures à l’aide de secondes et de millisecondes.
-service	Utilisez le magasin de certificats de service.
-Sid	SID numérique : 22 - Système local 23 - Service local 24 - Service réseau
-silencieux	Utilisez l’indicateur pour acquérir le silent contexte de chiffrement.
-fendre	Fractionnez les éléments ASN.1 incorporés et enregistrez-les dans les fichiers.
-sslpolicynomserveur	Stratégie SSL correspondant à ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nom de l’algorithme de clé symétrique avec une longueur de clé facultative. Par exemple : AES,128 ou 3DES.
-syncWithWU DestinationDir	Synchroniser avec Windows Update.
-t délai d’expiration	Délai d’attente d’extraction d’URL en millisecondes.
-Unicode	Écrire une sortie redirigée dans Unicode.
-UnicodeText	Écrire le fichier de sortie dans Unicode.
-urlfetch	Récupérez et vérifiez les certificats AIA et les listes de révocation de certificats CDP.
-utilisateur	Utilisez les clés HKEY_CURRENT_USER ou le magasin de certificats.
-nom d’utilisateur	Utilisez le compte nommé pour les informations d’identification SSL. Pour l’interface utilisateur de sélection, utilisez -username.
-ut	Afficher les modèles utilisateur.
-v	Fournissez des informations plus détaillées (détaillées).
-v1	Utilisez des interfaces V1.

Algorithmes de hachage : MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Liens connexes

Pour plus d’exemples d’utilisation de cette commande, consultez les articles suivants :

• Services de certificats Active Directory (AD CS)
• Tâches Certutil pour la gestion des certificats
• Configurer des racines approuvées et des certificats non autorisés dans Windows