certutil

Figyelmeztetés

Certutil nem ajánlott éles kódban használni, és nem biztosít garanciát az élő webhely támogatására vagy az alkalmazások kompatibilitására. Ez egy eszköz, amelyet a fejlesztők és az informatikai rendszergazdák használnak a tanúsítványok tartalomadatainak megtekintéséhez az eszközökön.

Certutil.exe a Tanúsítványszolgáltatások részeként telepített parancssori program. A certutil.exe használatával megjelenítheti a hitelesítésszolgáltató (CA) konfigurációs adatait, konfigurálhatja a tanúsítványszolgáltatásokat, valamint biztonsági másolatot készíthet és visszaállíthat a hitelesítésszolgáltatói összetevőkről. A program a tanúsítványokat, kulcspárokat és tanúsítványláncokat is ellenőrzi.

Ha certutil más paraméterek nélkül futtat egy hitelesítésszolgáltatót, az megjeleníti az aktuális hitelesítésszolgáltatói konfigurációt. Ha certutil nem hitelesítésszolgáltatón fut más paraméterek nélkül, akkor a parancs alapértelmezés szerint a certutil -dump parancs futtatására kerül. A tanúsítvány nem minden verziója biztosítja a dokumentum által leírt összes paramétert és beállítást. A certutil-verzió által biztosított lehetőségeket a futtatás vagy certutil -?a .certutil <parameter> -?

Jótanács

Ha teljes körű segítséget szeretne látni az összes certutil igéhez és beállításhoz, beleértve az argumentum elől elrejtetteket is, futtassa a -? parancsot certutil -v -uSAGE. A uSAGE kapcsoló megkülönbözteti a kis- és nagybetűk közötti elemet.

Paraméterek

-dump

A konfigurációs adatok vagy fájlok memóriaképe.

certutil [options] [-dump]
certutil [options] [-dump] File

Beállítások:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

A PFX-struktúra kiírása.

certutil [options] [-dumpPFX] File

Beállítások:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Elemzi és megjeleníti egy fájl tartalmát absztrakt szintaxis (ASN.1) szintaxissal. A fájltípusok közé tartoznak a következők: . CER, . DER és PKCS #7 formátumú fájlok.

certutil [options] -asn File [type]

• [type]: numerikus CRYPT_STRING_* dekódolási típus

-decodehex

Hexadecimális kódolású fájlt dekódol.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numerikus CRYPT_STRING_* dekódolási típus

Beállítások:

[-f]

-encodehex

Hexadecimális fájlokat kódol.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numerikus CRYPT_STRING_* kódolási típus

Beállítások:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 kódolású fájl dekódolása.

certutil [options] -decode InFile OutFile

Beállítások:

[-f]

-encode

Egy fájlt a Base64-be kódol.

certutil [options] -encode InFile OutFile

Beállítások:

[-f] [-unicodetext]

-deny

Egy függőben lévő kérést tagad meg.

certutil [options] -deny RequestId

Beállítások:

[-config Machine\CAName]

-resubmit

Egy függőben lévő kérés újraküldése.

certutil [options] -resubmit RequestId

Beállítások:

[-config Machine\CAName]

-setattributes

Egy függőben lévő tanúsítványkérelem attribútumait állítja be.

certutil [options] -setattributes RequestId AttributeString

Helyszín:

• A RequestId a függőben lévő kérelem numerikus kérésazonosítója.
• Az Attribútumstring a kérelemattribútum neve és értékpárja.

Beállítások:

[-config Machine\CAName]

Megjegyzések

• A neveket és értékeket kettősponttal kell elválasztani, míg a több nevet és értékpárt újsorral kell elválasztani. Például: CertificateTemplate:User\nEMail:User@Domain.com ahol a \n szekvenciát új sorelválasztóvá konvertálja a rendszer.

-setextension

Bővítmény beállítása függőben lévő tanúsítványkérelemhez.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Helyszín:

• A requestID a függőben lévő kérelem numerikus kérésazonosítója.
• A ExtensionName a bővítmény ObjectId sztringje.
• A jelzők beállítják a bővítmény prioritását. 0 ajánlott, míg 1 a bővítményt kritikus értékre állítja, 2 letiltja a bővítményt, és 3 mindkettőt elvégzi.

Beállítások:

[-config Machine\CAName]

Megjegyzések

• Ha az utolsó paraméter numerikus, akkor hosszúnak kell tekinteni.
• Ha az utolsó paraméter dátumként elemezhető, az dátumként lesz megadva.
• Ha az utolsó paraméter a következővel \@kezdődik, akkor a jogkivonat többi része bináris adatokkal vagy ASCII-szöveges hexadecimális memóriaképpel rendelkező fájlnévként lesz felhasználva.
• Ha az utolsó paraméter bármi más, akkor sztringként lesz megadva.

-revoke

Visszavon egy tanúsítványt.

certutil [options] -revoke SerialNumber [Reason]

Helyszín:

• A SerialNumber a visszavonandó tanúsítvány sorozatszámainak vesszővel tagolt listája.
• Az ok a visszavonási ok numerikus vagy szimbolikus ábrázolása, beleértve a következőket:
  • 0. CRL_REASON_UNSPECIFIED – Meghatározatlan (alapértelmezett)
  • 1. CRL_REASON_KEY_COMPROMISE – Kulcskontraszt
  • 2. CRL_REASON_CA_COMPROMISE – Hitelesítésszolgáltató biztonsága
  • 3. CRL_REASON_AFFILIATION_CHANGED – A tagság megváltozott
  • 4. CRL_REASON_SUPERSEDED – Felülírva
  • 5. CRL_REASON_CESSATION_OF_OPERATION – A működés megszüntetése
  • 6. CRL_REASON_CERTIFICATE_HOLD – Tanúsítvány visszatartva
  • 8. CRL_REASON_REMOVE_FROM_CRL – Eltávolítás a CRL-ből
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN – A jogosultság visszavonva
  • 10: CRL_REASON_AA_COMPROMISE – AA-kompromisszum
  • -1. Fel nem felosztott - Visszavonások

Beállítások:

[-config Machine\CAName]

-isvalid

Megjeleníti az aktuális tanúsítvány elhelyezését.

certutil [options] -isvalid SerialNumber | CertHash

Beállítások:

[-config Machine\CAName]

-getconfig

Lekéri az alapértelmezett konfigurációs sztringet.

certutil [options] -getconfig

Beállítások:

[-idispatch] [-config Machine\CAName]

-getconfig2

Lekéri az alapértelmezett konfigurációs sztringet az ICertGetConfig használatával.

certutil [options] -getconfig2

Beállítások:

[-idispatch]

-getconfig3

Lekéri a konfigurációt az ICertConfig használatával.

certutil [options] -getconfig3

Beállítások:

[-idispatch]

-ping

Megpróbál kapcsolatba lépni az Active Directory tanúsítványszolgáltatások kérési felületével.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Helyszín:

• A CAMachineList a hitelesítésszolgáltató gépneveinek vesszővel tagolt listája. Egyetlen gép esetén használjon végződő vesszőt. Ez a beállítás az egyes hitelesítésszolgáltatói gépek helyköltségét is megjeleníti.

Beállítások:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Megpróbál kapcsolatba lépni az Active Directory tanúsítványszolgáltatások felügyeleti felületével.

certutil [options] -pingadmin

Beállítások:

[-config Machine\CAName]

-CAInfo

Megjeleníti a hitelesítésszolgáltató adatait.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Helyszín:

• Az InfoName a megjelenítendő hitelesítésszolgáltatói tulajdonságot jelzi az alábbi infoname argumentum szintaxisa alapján:
  • * – Az összes tulajdonság megjelenítése
  • hirdetések – Advanced Server
  • aia [Index] – AIA URL-címek
  • cdp [Index] – CDP URL-címek
  • tanúsítvány [Index] – HITELESÍTÉSSZOLGÁLTATÓi tanúsítvány
  • certchain [Index] – CA tanúsítványlánc
  • certcount – CA-tanúsítványszám
  • certcrlchain [Index] – HITELESÍTÉSSZOLGÁLTATÓi tanúsítványlánc CRL-ekkel
  • certstate [Index] – CA tanúsítvány
  • certstatuscode [Index] – Ca cert verify status
  • certversion [Index] – HITELESÍTÉSSZOLGÁLTATÓ tanúsítványverziója
  • CRL [Index] – Alap CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] – CRL közzétételi állapota
  • kereszt- [Index] - Hátrafelé kereszt tanúsítvány
  • kereszt+ [Index] – Keresztkontraszt továbbítása
  • crossstate- [Index] - Hátrafelé kereszt tanúsítvány
  • crossstate+ [Index] – Továbbítás kereszttanúsítv
  • deltacrl [Index] – Delta CRL
  • deltacrlstatus [Index] – Delta CRL közzétételi állapota
  • dns – DNS-név
  • dsname – Sanitized CA rövid neve (DS-név)
  • error1 ErrorCode – Hibaüzenet szövege
  • error2 ErrorCode – Hibaüzenet szövege és hibakódja
  • exit [Index] – Kilépési modul leírása
  • exitcount – Kilépési modul száma
  • fájl – Fájlverzió
  • információ – CA-információk
  • kra [Index] - KRA tanúsítvány
  • kracount - KRA tanúsítványok száma
  • krastate [Index] - KRA tanúsítvány
  • kraused – KRA-tanúsítvány felhasznált száma
  • localename – CA területi név
  • név – hitelesítésszolgáltató neve
  • ocsp [Index] – OCSP URL-címek
  • szülő – szülő hitelesítésszolgáltató
  • szabályzat – Szabályzatmodul leírása
  • termék – Termékverzió
  • propidmax – Ca PropId maximális száma
  • szerepkör – Szerepkör elkülönítése
  • sanitizedname – Sanitized CA name
  • sharedfolder – Megosztott mappa
  • subjecttemplateoids – Tárgysablon azonosítói
  • sablonok – Sablonok
  • típus – HITELESÍTÉSSZOLGÁLTATÓ típusa
  • xchg [Index] – CA exchange cert
  • xchgchain [Index] – CA exchange cert lánc
  • xchgcount – CA exchange cert count
  • xchgcrlchain [Index] – CA exchange cert chain with CRLs
• index az opcionális nulla alapú tulajdonságindex.
• hibakód a numerikus hibakód.

Beállítások:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Ca tulajdonságtípus-információkat jelenít meg.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Beállítások:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Lekéri a hitelesítésszolgáltató tanúsítványát.

certutil [options] -ca.cert OutCACertFile [Index]

Helyszín:

• Az OutCACertFile a kimeneti fájl.
• Az index a hitelesítésszolgáltató tanúsítványmegújítási indexe (alapértelmezés szerint a legutóbbi).

Beállítások:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Lekéri a hitelesítésszolgáltató tanúsítványláncát.

certutil [options] -ca.chain OutCACertChainFile [Index]

Helyszín:

• Az OutCACertChainFile a kimeneti fájl.
• Az index a hitelesítésszolgáltató tanúsítványmegújítási indexe (alapértelmezés szerint a legutóbbi).

Beállítások:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Lekéri a visszavont tanúsítványok listáját (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Helyszín:

• Az index a CRL-index vagy a kulcsindex (a legutóbbi kulcs esetében alapértelmezés szerint CRL).
• delta a különbözeti CRL (az alapértelmezett alap CRL).

Beállítások:

[-f] [-split] [-config Machine\CAName]

-CRL

Új visszavont tanúsítványok listáját (CRL-eket) vagy delta CRL-eket tesz közzé.

certutil [options] -CRL [dd:hh | republish] [delta]

Helyszín:

• dd:hh az új CRL-érvényességi időszak napokban és órákban.
• A legutóbbi CRL-ek újbóli közzététele.
• a delta csak a különbözeti CRL-eket teszi közzé (az alapértelmezett érték az alap- és a különbözeti CRL).

Beállítások:

[-split] [-config Machine\CAName]

-shutdown

Leállítja az Active Directory tanúsítványszolgáltatást.

certutil [options] -shutdown

Beállítások:

[-config Machine\CAName]

-installCert

Hitelesítésszolgáltatói tanúsítvány telepítése.

certutil [options] -installCert [CACertFile]

Beállítások:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Megújít egy hitelesítésszolgáltatói tanúsítványt.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Beállítások:

[-f] [-silent] [-config Machine\CAName]

• A függőben lévő megújítási kérések figyelmen kívül hagyására és új kérés létrehozására használható -f .

-schema

A tanúsítvány sémájának memóriaképe.

certutil [options] -schema [Ext | Attrib | CRL]

Helyszín:

• A parancs alapértelmezés szerint a Kérés és tanúsítvány tábla.
• Az Ext a bővítménytábla.
• Az attribútum az attribútumtábla.
• A CRL a CRL-tábla.

Beállítások:

[-split] [-config Machine\CAName]

-view

A tanúsítványnézetet memóriaképként jeleníti meg.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Helyszín:

• Az üzenetsor egy adott kéréssort memóriaképként tartalmaz.
• A napló a kiadott vagy visszavont tanúsítványokat, valamint a sikertelen kérelmeket is kibocsátja.
• A LogFail memóriaképet ad a sikertelen kérelmekről.
• A visszavont tanúsítványok memóriaképe.
• Az Ext kiírja a bővítménytáblát.
• Az Attrib memóriaképet ad az attribútumtábláról.
• A CRL a CRL-táblát dobja ki.
• a csv vesszővel elválasztott értékekkel biztosítja a kimenetet.

Beállítások:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Megjegyzések

• Az összes bejegyzés StatusCode oszlopának megjelenítéséhez írja be a következőt: -out StatusCode
• Az utolsó bejegyzés összes oszlopának megjelenítéséhez írja be a következőt: -restrict RequestId==$
• A RequestId és a Disposition for three requests megjelenítéséhez írja be a következőt: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Az összes alap CRL-hez tartozó sorazonosítók ésCRL-számok megjelenítéséhez írja be a következőt: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• A 3. alap CRL-szám megjelenítéséhez írja be a következőt: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• A teljes CRL-tábla megjelenítéséhez írja be a következőt: CRL
• Dátumkorlátozásokhoz használható Date[+|-dd:hh] .
• Az aktuális időhöz viszonyított dátumhoz használható now+dd:hh .
• A sablonok kiterjesztett kulcshasználatokat (EKU-kat) tartalmaznak, amelyek olyan objektumazonosítók (OID-k), amelyek a tanúsítvány használatának módját írják le. A tanúsítványok nem mindig tartalmaznak gyakori sablonneveket vagy megjelenítendő neveket, de mindig tartalmazzák a sablon EKU-kat. Kinyerheti egy adott tanúsítványsablon EKUs-eit az Active Directoryból, majd a bővítmény alapján korlátozhatja a nézeteket.

-db

A nyers adatbázis memóriaképe.

certutil [options] -db

Beállítások:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Töröl egy sort a kiszolgálói adatbázisból.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Helyszín:

• A kérés törli a sikertelen és függőben lévő kérelmeket a beküldés dátuma alapján.
• A Tanúsítvány törli a lejárt és visszavont tanúsítványokat a lejárati dátum alapján.
• Az Ext törli a bővítménytáblát.
• Az Attrib törli az attribútumtáblát.
• A CRL törli a CRL-táblát.

Beállítások:

[-f] [-config Machine\CAName]

Példák

• A 2001. január 22-ig elküldött sikertelen és függőben lévő kérelmek törléséhez írja be a következőt: 1/22/2001 request
• A 2001. január 22-ig lejárt összes tanúsítvány törléséhez írja be a következőt: 1/22/2001 cert
• A 37-es kérelemazonosító tanúsítványsorának, attribútumainak és bővítményeinek törléséhez írja be a következőt: 37
• A 2001. január 22-ig lejárt CRL-ek törléséhez írja be a következőt: 1/22/2001 crl

Megjegyzés:

A dátum nem a formátumot, hanem például mm/dd/yyyydd/mm/yyyy a 2001. január 22-i formátumot 1/22/200122/1/2001várja. Ha a kiszolgáló nincs usa-beli regionális beállításokkal konfigurálva, a Dátum argumentum használata váratlan eredményeket eredményezhet.

-backup

Biztonsági másolatot készít az Active Directory tanúsítványszolgáltatásokról.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Helyszín:

• A BackupDirectory a biztonsági másolatban tárolt adatok tárolására használt könyvtár.
• A növekményes biztonsági mentés csak növekményes biztonsági mentést hajt végre (az alapértelmezett érték a teljes biztonsági mentés).
• A KeepLog megőrzi az adatbázis naplófájljait (az alapértelmezett beállítás a naplófájlok csonkálása).

Beállítások:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Biztonsági másolatot készít az Active Directory Tanúsítványszolgáltatások adatbázisról.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Helyszín:

• A BackupDirectory a biztonsági másolatban tárolt adatbázisfájlok tárolására használt könyvtár.
• A növekményes biztonsági mentés csak növekményes biztonsági mentést hajt végre (az alapértelmezett érték a teljes biztonsági mentés).
• A KeepLog megőrzi az adatbázis naplófájljait (az alapértelmezett beállítás a naplófájlok csonkálása).

Beállítások:

[-f] [-config Machine\CAName]

-backupkey

Biztonsági másolatot készít az Active Directory Tanúsítványszolgáltatások tanúsítványról és a titkos kulcsról.

certutil [options] -backupkey BackupDirectory

Helyszín:

• A BackupDirectory a biztonsági másolatban tárolt PFX-fájl tárolására használt könyvtár.

Beállítások:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Visszaállítja az Active Directory tanúsítványszolgáltatást.

certutil [options] -restore BackupDirectory

Helyszín:

• A BackupDirectory a visszaállítandó adatokat tartalmazó könyvtár.

Beállítások:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Visszaállítja az Active Directory tanúsítványszolgáltatások adatbázisát.

certutil [options] -restoredb BackupDirectory

Helyszín:

• A BackupDirectory a visszaállítandó adatbázisfájlokat tartalmazó könyvtár.

Beállítások:

[-f] [-config Machine\CAName]

-restorekey

Visszaállítja az Active Directory tanúsítványszolgáltatások tanúsítványát és titkos kulcsát.

certutil [options] -restorekey BackupDirectory | PFXFile

Helyszín:

• A BackupDirectory a visszaállítandó PFX-fájlt tartalmazó könyvtár.
• A PFXFile a visszaállítandó PFX-fájl.

Beállítások:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportálja a tanúsítványokat és a titkos kulcsokat. További információ: a paraméter ebben a -store cikkben.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.
• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata.
• A PFXFile az exportálandó PFX-fájl.
• A módosítók a vesszővel tagolt lista, amely az alábbiak közül egy vagy többet tartalmazhat:
  • A CryptoAlgorithm= a PFX-fájl titkosításához használandó titkosítási algoritmust adja meg, például TripleDES-Sha1 vagy Aes256-Sha256.
  • EncryptCert – Jelszóval titkosítja a tanúsítványhoz társított titkos kulcsot.
  • Az ExportParameters a tanúsítvány és a titkos kulcs mellett a titkos kulcs paramétereit is -Exports.
  • ExtendedProperties – Tartalmazza a tanúsítványhoz társított összes kiterjesztett tulajdonságot a kimeneti fájlban.
  • NoEncryptCert – A titkos kulcsot titkosítás nélkül exportálja.
  • NoChain – Nem importálja a tanúsítványláncot.
  • NoRoot – Nem importálja a főtanúsítványt.

-importPFX

Importálja a tanúsítványokat és a titkos kulcsokat. További információ: a paraméter ebben a -store cikkben.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.
• A PFXFile az importálandó PFX-fájl.
• A módosítók a vesszővel tagolt lista, amely az alábbiak közül egy vagy többet tartalmazhat:
  • AT_KEYEXCHANGE – A kulcsleütést kulcscserére módosítja.
  • AT_SIGNATURE – A kulcspecsétet aláírásra módosítja.
  • ExportEncrypted – A tanúsítványhoz társított titkos kulcsot exportálja jelszótitkosítással.
  • FriendlyName= – Az importált tanúsítvány rövid nevét adja meg.
  • KeyDescription= – Megadja az importált tanúsítványhoz társított titkos kulcs leírását.
  • KeyFriendlyName= – Az importált tanúsítványhoz társított titkos kulcs rövid nevét adja meg.
  • NoCert – Nem importálja a tanúsítványt.
  • NoChain – Nem importálja a tanúsítványláncot.
  • NoExport – A titkos kulcs nem exportálható.
  • NoProtect – Jelszóval nem védi a kulcsokat.
  • NoRoot – Nem importálja a főtanúsítványt.
  • Pkcs8 – PKCS8 formátumot használ a PFX-fájl titkos kulcsához.
  • Védelem – Jelszóval védi a kulcsokat.
  • ProtectHigh – Azt határozza meg, hogy a titkos kulcshoz magas biztonsági szintű jelszót kell társítani.
  • VSM – Az importált tanúsítványhoz társított titkos kulcsot a Virtuális intelligens kártya (VSC) tárolóban tárolja.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Megjegyzések

• A személyes gép tárolójának alapértelmezett értéke.

-dynamicfilelist

Dinamikus fájllista megjelenítése.

certutil [options] -dynamicfilelist

Beállítások:

[-config Machine\CAName]

-databaselocations

Megjeleníti az adatbázis helyeit.

certutil [options] -databaselocations

Beállítások:

[-config Machine\CAName]

-hashfile

Titkosítási kivonatot hoz létre és jelenít meg egy fájlon keresztül.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

A tanúsítványtároló memóriaképe.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve. Például:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata. Ez az azonosító a következő lehet:

  • Sorszám
  • SHA-1 tanúsítvány
  • CRL, CTL vagy nyilvános kulcs kivonata
  • Numerikus tanúsítványindex (0, 1 stb.)
  • Numerikus CRL-index (.0, .1 stb.)
  • Numerikus CTL-index (.. 0, .. 1, és így tovább)
  • Nyilvános kulcs
  • ObjectId aláírás vagy bővítmény
  • Tanúsítványtulajdonos közös neve
  • E-mail cím
  • UPN vagy DNS-név
  • Kulcstároló neve vagy CSP-neve
  • Sablon neve vagy ObjectId
  • EKU- vagy alkalmazásszabályzat-objektumazonosító
  • CRL-kiállító közös neve.

Ezen azonosítók nagy része több egyezést is eredményezhet.

• Az OutputFile a megfelelő tanúsítványok mentéséhez használt fájl.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• A -user beállítás a géptároló helyett egy felhasználói tárolóhoz fér hozzá.
• Ez a -enterprise beállítás egy nagyvállalati géptárolóhoz fér hozzá.
• Ez a -service beállítás egy gépi szolgáltatástárolóhoz fér hozzá.
• Ez a -grouppolicy beállítás egy gépcsoportházirend-tárolóhoz fér hozzá.

Például:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Megjegyzés:

A paraméter használatakor teljesítményproblémák figyelhetők meg az -store alábbi két szempont figyelembe adásával:

1. Ha a tárolóban lévő tanúsítványok száma meghaladja a 10-et.
2. Ha meg van adva egy Tanúsítványazonosító , az összes tanúsítványhoz tartozó összes felsorolt típusnak megfelel. Ha például meg van adva egy sorozatszám , az az összes többi felsorolt típusnak is megkísérli az egyezést.

Ha teljesítményproblémák miatt aggódik, akkor a PowerShell-parancsok használata ajánlott, ahol csak a megadott tanúsítványtípusnak felel meg.

-enumstore

A tanúsítványtárolók számbavétele.

certutil [options] -enumstore [\\MachineName]

Helyszín:

• A MachineName a távoli gép neve.

Beállítások:

[-enterprise] [-user] [-grouppolicy]

-addstore

Tanúsítványt ad hozzá az áruházhoz. További információ: a paraméter ebben a -store cikkben.

certutil [options] -addstore CertificateStoreName InFile

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.
• Az InFile az a tanúsítvány vagy CRL-fájl, amelyet hozzá szeretne adni az áruházhoz.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Tanúsítvány törlése az áruházból. További információ: a paraméter ebben a -store cikkben.

certutil [options] -delstore CertificateStoreName certID

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.
• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Tanúsítvány ellenőrzése az áruházban. További információ: a paraméter ebben a -store cikkben.

certutil [options] -verifystore CertificateStoreName [CertId]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.
• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata.

Beállítások:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Kijavít egy kulcstársítást, vagy frissíti a tanúsítvány tulajdonságait vagy a kulcsbiztonsági leírót. További információ: a paraméter ebben a -store cikkben.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve.

• A CertIdList a tanúsítvány- vagy CRL-egyezési jogkivonatok vesszővel tagolt listája. További információ: A tanúsítványazonosító leírása ebben a -store cikkben.

• A PropertyInfFile egy külső tulajdonságokat tartalmazó INF-fájl, beleértve a következőket:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

A tanúsítványtároló memóriaképe. További információ: a paraméter ebben a -store cikkben.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve. Például:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata. Ez lehet a következő:

  • Sorszám
  • SHA-1 tanúsítvány
  • CRL, CTL vagy nyilvános kulcs kivonata
  • Numerikus tanúsítványindex (0, 1 stb.)
  • Numerikus CRL-index (.0, .1 stb.)
  • Numerikus CTL-index (.. 0, .. 1, és így tovább)
  • Nyilvános kulcs
  • ObjectId aláírás vagy bővítmény
  • Tanúsítványtulajdonos közös neve
  • E-mail cím
  • UPN vagy DNS-név
  • Kulcstároló neve vagy CSP-neve
  • Sablon neve vagy ObjectId
  • EKU- vagy alkalmazásszabályzat-objektumazonosító
  • CRL-kiállító közös neve.

Ezek közül sok több találatot is eredményezhet.

• Az OutputFile a megfelelő tanúsítványok mentéséhez használt fájl.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A -user beállítás a géptároló helyett egy felhasználói tárolóhoz fér hozzá.
• Ez a -enterprise beállítás egy nagyvállalati géptárolóhoz fér hozzá.
• Ez a -service beállítás egy gépi szolgáltatástárolóhoz fér hozzá.
• Ez a -grouppolicy beállítás egy gépcsoportházirend-tárolóhoz fér hozzá.

Például:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Tanúsítvány törlése az áruházból.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Helyszín:

• A CertificateStoreName a tanúsítványtároló neve. Például:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• A Tanúsítványazonosító a tanúsítvány vagy a CRL-egyezés jogkivonata. Ez lehet a következő:

  • Sorszám
  • SHA-1 tanúsítvány
  • CRL, CTL vagy nyilvános kulcs kivonata
  • Numerikus tanúsítványindex (0, 1 stb.)
  • Numerikus CRL-index (.0, .1 stb.)
  • Numerikus CTL-index (.. 0, .. 1, és így tovább)
  • Nyilvános kulcs
  • ObjectId aláírás vagy bővítmény
  • Tanúsítványtulajdonos közös neve
  • E-mail cím
  • UPN vagy DNS-név
  • Kulcstároló neve vagy CSP-neve
  • Sablon neve vagy ObjectId
  • EKU- vagy alkalmazásszabályzat-objektumazonosító
  • CRL-kiállító közös neve.

Ezek közül sok több találatot is eredményezhet.

• Az OutputFile a megfelelő tanúsítványok mentéséhez használt fájl.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A -user beállítás a géptároló helyett egy felhasználói tárolóhoz fér hozzá.
• Ez a -enterprise beállítás egy nagyvállalati géptárolóhoz fér hozzá.
• Ez a -service beállítás egy gépi szolgáltatástárolóhoz fér hozzá.
• Ez a -grouppolicy beállítás egy gépcsoportházirend-tárolóhoz fér hozzá.

Például:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Meghívja a certutil felületet.

certutil [options] -UI File [import]

-TPMInfo

Megjeleníti a platformmegbízhatósági modul adatait.

certutil [options] -TPMInfo

Beállítások:

[-f] [-Silent] [-split]

-attest

Megadja, hogy a tanúsítványkérelemfájlt hitelesíteni kell.

certutil [options] -attest RequestFile

Beállítások:

[-user] [-Silent] [-split]

-getcert

Kiválaszt egy tanúsítványt egy kijelölési felhasználói felületről.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Beállítások:

[-Silent] [-split]

-ds

A címtárszolgáltatás (DS) megkülönböztető neveit (DN-eket) jeleníti meg.

certutil [options] -ds [CommonName]

Beállítások:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Törli a DS DN-eket.

certutil [options] -dsDel [CommonName]

Beállítások:

[-user] [-split] [-dc DCName]

-dsPublish

Tanúsítvány- vagy tanúsítvány-visszavonási listát (CRL) tesz közzé az Active Directoryban.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Helyszín:

• A CertFile a közzétenni kívánt tanúsítványfájl neve.
• Az NTAuthCA közzéteszi a tanúsítványt a DS Enterprise áruházban.
• A RootCA közzéteszi a tanúsítványt a DS megbízható legfelső szintű tárolójában.
• Az subCA közzéteszi a hitelesítésszolgáltatói tanúsítványt a DS CA-objektumban.
• A CrossCA közzéteszi a kereszttanúsítványt a DS CA-objektumban.
• A KRA közzéteszi a tanúsítványt a DS Key Recovery Agent objektumban.
• A felhasználó közzéteszi a tanúsítványt a felhasználói DS-objektumban.
• A gép közzéteszi a tanúsítványt a Machine DS objektumban.
• A CRLfile a közzétenni kívánt CRL-fájl neve.
• A DSCDPContainer a DS CDP-tároló CN, általában a ca gép neve.
• A DSCDPCN a központi hitelesítésszolgáltató rövid neve és kulcsindexe alapján létrehozott DS CDP-objektum.

Beállítások:

[-f] [-user] [-dc DCName]

• Új DS-objektum létrehozásához használható -f .

-dsCert

Megjeleníti a DS-tanúsítványokat.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Beállítások:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Megjeleníti a DS CRL-eket.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Beállítások:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS-különbözeti CR-ket jelenít meg.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Beállítások:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS-sablonattribútumokat jelenít meg.

certutil [options] -dsTemplate [Template]

Beállítások:

[Silent] [-dc DCName]

-dsAddTemplate

DS-sablonokat ad hozzá.

certutil [options] -dsAddTemplate TemplateInfFile

Beállítások:

[-dc DCName]

-ADTemplate

Active Directory-sablonokat jelenít meg.

certutil [options] -ADTemplate [Template]

Beállítások:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Megjeleníti a tanúsítványregisztrációs szabályzatsablonokat.

Beállítások:

certutil [options] -Template [Template]

Beállítások:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Megjeleníti egy tanúsítványsablon hitelesítésszolgáltatóinak (HITELESÍTÉS-einek) a megjelenítését.

certutil [options] -TemplateCAs Template

Beállítások:

[-f] [-user] [-dc DCName]

-CATemplates

Megjeleníti a hitelesítésszolgáltató sablonjait.

certutil [options] -CATemplates [Template]

Beállítások:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Beállítja a hitelesítésszolgáltató által kibocsátható tanúsítványsablonokat.

certutil [options] -SetCATemplates [+ | -] TemplateList

Helyszín:

• Az + aláírás tanúsítványsablonokat ad hozzá a hitelesítésszolgáltató elérhető sablonlistájához.
• Az - aláírás eltávolítja a tanúsítványsablonokat a hitelesítésszolgáltató elérhető sablonlistájából.

-SetCASites

Kezeli a webhelyneveket, beleértve a hitelesítésszolgáltató helyneveinek beállítását, ellenőrzését és törlését.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Helyszín:

• A SiteName csak akkor engedélyezett, ha egyetlen hitelesítésszolgáltatót céloz meg.

Beállítások:

[-f] [-config Machine\CAName] [-dc DCName]

Megjegyzések

• A -config beállítás egyetlen hitelesítésszolgáltatót céloz meg (alapértelmezés szerint az összes hitelesítésszolgáltató).
• A -f beállítással felülbírálhatja a megadott SiteName érvényesítési hibáit, vagy törölheti az összes hitelesítésszolgáltatói webhelynevet.

Megjegyzés:

Az Active Directory Domain Services (AD DS) webhely-tudatosságának konfigurálásáról további információt az AD DS webhely-tudatossága az AD CS- és PKI-ügyfelek számára című témakörben talál.

-enrollmentServerURL

Megjeleníti, hozzáadja vagy törli a hitelesítésszolgáltatóhoz társított regisztrációs kiszolgáló URL-címeit.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Helyszín:

• Az AuthenticationType az alábbi ügyfél-hitelesítési módszerek egyikét adja meg URL-cím hozzáadásakor:
  • Kerberos – Kerberos SSL-hitelesítő adatok használata.
  • UserName – Névvel ellátott fiók használata SSL-hitelesítő adatokhoz.
  • ClientCertificate – X.509 tanúsítvány SSL-hitelesítő adatainak használata.
  • Névtelen – Névtelen SSL-hitelesítő adatok használata.
• A törlés törli a hitelesítésszolgáltatóhoz társított megadott URL-címet.
• Az URL-cím 1 hozzáadásakor a prioritás alapértelmezés szerint akkor van megadva, ha nincs megadva.
• A módosítók vesszővel tagolt lista, amely az alábbiak közül egyet vagy többet tartalmaz:
  • Az AllowRenewalsOnly csak megújítási kérelmeket lehet benyújtani ehhez a hitelesítésszolgáltatóhoz ezen az URL-címen keresztül.
  • Az AllowKeyBasedRenewal olyan tanúsítvány használatát teszi lehetővé, amely nem rendelkezik társított fiókkal az AD-ben. Ez csak a ClientCertificate és az AllowRenewalsOnly módra vonatkozik.

Beállítások:

[-config Machine\CAName] [-dc DCName]

-ADCA

Megjeleníti az Active Directory-hitelesítésszolgáltatókat.

certutil [options] -ADCA [CAName]

Beállítások:

[-f] [-split] [-dc DCName]

-CA

A regisztrációs házirend hitelesítésszolgáltatóinak megjelenítése.

certutil [options] -CA [CAName | TemplateName]

Beállítások:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Megjeleníti a regisztrációs szabályzatot.

certutil [options] -Policy

Beállítások:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Megjeleníti vagy törli a regisztrációs szabályzat gyorsítótár-bejegyzéseit.

certutil [options] -PolicyCache [delete]

Helyszín:

• törlés törli a házirend-kiszolgáló gyorsítótár-bejegyzéseit.
• -f törli az összes gyorsítótár-bejegyzést

Beállítások:

[-f] [-user] [-policyserver URLorID]

-CredStore

Megjeleníti, hozzáadja vagy törli a hitelesítőadat-tároló bejegyzéseit.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Helyszín:

• Az URL a cél URL-cím. Az összes bejegyzésnek megfeleltethető, illetve * egy URL-előtag is megfeleltethetőhttps://machine*.
• adja hozzá a hitelesítőadattár-bejegyzést. A beállítás használatához SSL-hitelesítő adatokra is szükség van.
• törlés törli a hitelesítőadat-tároló bejegyzéseit.
• -f felülír egy bejegyzést, vagy több bejegyzést töröl.

Beállítások:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Telepíti az alapértelmezett tanúsítványsablonokat.

certutil [options] -InstallDefaultTemplates

Beállítások:

[-dc DCName]

-URL

Ellenőrzi a tanúsítvány- vagy CRL-URL-címeket.

certutil [options] -URL InFile | URL

Beállítások:

[-f] [-split]

-URLCache

Megjeleníti vagy törli az URL-gyorsítótár bejegyzéseit.

certutil [options] -URLcache [URL | CRL | * [delete]]

Helyszín:

• Az URL a gyorsítótárazott URL-cím.
• A CRL csak az összes gyorsítótárazott CRL-URL-en fut.
• * az összes gyorsítótárazott URL-címen működik.
• törli a releváns URL-címeket az aktuális felhasználó helyi gyorsítótárából.
• -f kényszeríti egy adott URL lekérését és a gyorsítótár frissítését.

Beállítások:

[-f] [-split]

-pulse

Automatikus regisztrációs esemény vagy NGC-feladat impulzusa.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Helyszín:

• A TaskName az aktiválandó tevékenység.
  • A pregen az NGC-kulcs előtagfeladata.
  • Az AIKEnroll az NGC AIK tanúsítványregisztrációs feladata. (Az automatikus regisztráció eseményének alapértelmezett értéke).
• Az SRKThumbprint a storage gyökérkulcs ujjlenyomata
• Módosítók:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • Kriptopolitika
  • NgcPregenKey
  • DIMSRoam

Beállítások:

[-user]

-MachineInfo

Az Active Directory-gép objektumával kapcsolatos információkat jeleníti meg.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Megjeleníti a tartományvezérlő adatait. Az alapértelmezett beállítás ellenőrzés nélkül jeleníti meg a DC-tanúsítványokat.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Módosítók:

  • Igazol
  • Töröl rossz
  • Összes törlése

Beállítások:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Jótanács

Az Active Directory Domain Services (AD DS) tartomány [tartomány] megadásának és a tartományvezérlő (-dc) megadásának lehetősége a Windows Server 2012-ben lett hozzáadva. A parancs sikeres futtatásához olyan fiókot kell használnia, amely tagja a tartományi rendszergazdáknak vagy a vállalati rendszergazdáknak. A parancs viselkedésmódosításai a következők:

• Ha nincs megadva tartomány, és nincs megadva egy adott tartományvezérlő, ez a beállítás az alapértelmezett tartományvezérlőről feldolgozandó tartományvezérlők listáját adja vissza.
• Ha nincs megadva tartomány, de tartományvezérlő van megadva, a rendszer jelentést készít a megadott tartományvezérlőn lévő tanúsítványokról.
• Ha egy tartomány meg van adva, de nincs megadva tartományvezérlő, a rendszer létrehozza a tartományvezérlők listáját a listában szereplő egyes tartományvezérlők tanúsítványainak jelentéseivel együtt.
• Ha a tartományvezérlő és a tartományvezérlő meg van adva, a rendszer létrehozza a tartományvezérlők listáját a megcélzott tartományvezérlőből. A listában szereplő tartományvezérlők tanúsítványainak jelentése is létre lesz hozva.

Tegyük fel például, hogy van egy CPANDL nevű tartomány egy CPANDL-DC1 nevű tartományvezérlővel. A következő parancs futtatásával lekérheti a tartományvezérlők és tanúsítványaik listáját a CPANDL-DC1-ből: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

A vállalati hitelesítésszolgáltatóval kapcsolatos információkat jeleníti meg.

certutil [options] -EntInfo DomainName\MachineName$

Beállítások:

[-f] [-user]

-TCAInfo

Megjeleníti a hitelesítésszolgáltató adatait.

certutil [options] -TCAInfo [DomainDN | -]

Beállítások:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Megjeleníti az intelligens kártyára vonatkozó információkat.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Helyszín:

• CRYPT_DELETEKEYSET törli az intelligens kártyán lévő összes kulcsot.

Beállítások:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Kezeli az intelligenskártya főtanúsítványait.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Beállítások:

[-f] [-split] [-p Password]

-key

A kulcstárolóban tárolt kulcsok listája.

certutil [options] -key [KeyContainerName | -]

Helyszín:

• A KeyContainerName az ellenőrizni kívánt kulcs kulcstárolójának neve. Ez a beállítás alapértelmezés szerint a gépkulcsokra van bekapcsolva. Ha felhasználói kulcsra szeretne váltani, használja a következőt -user: .
• A - jel használata az alapértelmezett kulcstároló használatára utal.

Beállítások:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Törli a névvel ellátott kulcstárolót.

certutil [options] -delkey KeyContainerName

Beállítások:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Törli a Windows Hello-tárolót, és eltávolítja az eszközön tárolt összes társított hitelesítő adatot, beleértve a WebAuthn és a FIDO hitelesítő adatait is.

A felhasználóknak ki kell jelentkeznie, miután ezt a lehetőséget használva befejezték.

certutil [options] -DeleteHelloContainer

-verifykeys

Nyilvános vagy titkos kulcskészlet ellenőrzése.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Helyszín:

• A KeyContainerName az ellenőrizni kívánt kulcs kulcstárolójának neve. Ez a beállítás alapértelmezés szerint a gépkulcsokra van bekapcsolva. Ha felhasználói kulcsra szeretne váltani, használja a következőt -user: .
• A CACertFile aláírja vagy titkosítja a tanúsítványfájlokat.

Beállítások:

[-f] [-user] [-Silent] [-config Machine\CAName]

Megjegyzések

• Ha nincs megadva argumentum, a rendszer minden aláíró hitelesítésszolgáltatói tanúsítványt a titkos kulcsával ellenőriz.
• Ez a művelet csak helyi hitelesítésszolgáltatóval vagy helyi kulcsokkal hajtható végre.

-verify

Ellenőrzi a tanúsítványokat, a visszavont tanúsítványok listáját (CRL) vagy a tanúsítványláncot.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Helyszín:

• A CertFile az ellenőrizni kívánt tanúsítvány neve.
• Az ApplicationPolicyList a kötelező alkalmazásházirend-objektumazonosítók vesszővel tagolt listája.
• Az IssuancePolicyList a kötelező kiállítási szabályzat objektumazonosítóinak vesszővel elválasztott listája.
• A CACertFile az a nem kötelező hitelesítésszolgáltatói tanúsítvány, amellyel ellenőrizhető.
• A CrossedCACertFile a CertFile által minősített opcionális tanúsítvány.
• A CRLFile a CACertFile ellenőrzéséhez használt CRL-fájl.
• A IssuedCertFile a CRLfile által lefedett opcionálisan kibocsátott tanúsítvány.
• A DeltaCRLFile az opcionális delta CRL-fájl.
• Módosítók:
  • Erős – Erős aláírás-ellenőrzés
  • MSRoot – Microsoft-gyökérhöz kell láncot fűzni
  • MSTestRoot – A Microsoft tesztgyökeréhez kell láncot fűzni
  • AppRoot – Egy Microsoft-alkalmazás gyökeréhez kell láncot fűzni
  • EV – Kiterjesztett érvényesítési szabályzat kényszerítése

Beállítások:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Megjegyzések

• Az ApplicationPolicyList használata a láncépítést csak a megadott alkalmazásszabályzatokra érvényes láncokra korlátozza.
• Az IssuancePolicyList használata a láncépítést csak a megadott kiállítási szabályzatokra érvényes láncokra korlátozza.
• A CACertFile használatával ellenőrzi a fájl mezőit a CertFile vagy a CRLfile használatával.
• Ha a CACertFile nincs megadva, a rendszer a teljes láncot a CertFile-ra építi és ellenőrzi.
• Ha a CACertFile és a CrossedCACertFile is meg van adva, a rendszer mindkét fájl mezőit ellenőrzi a CertFile-ban.
• A IssuedCertFile használatával ellenőrzi a fájl mezőit a CRLfile-ban.
• A DeltaCRLFile használatával ellenőrzi a fájl mezőit a CertFile-ban.

-verifyCTL

Ellenőrzi az AuthRoot vagy a Letiltott tanúsítványok CTL-t.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Helyszín:

• A CTLObject azonosítja az ellenőrizni kívánt CTL-t, beleértve a következőket:

  • Az AuthRootWU beolvassa az AuthRoot CAB-t és a megfelelő tanúsítványokat az URL-gyorsítótárból. Ehelyett -f a Windows Update-ből tölthető le.
  • A DisallowedWU beolvassa a Letiltott tanúsítványok CAB-t és a letiltott tanúsítványtárfájlt az URL-gyorsítótárból. Ehelyett -f a Windows Update-ből tölthető le.
    • A PinRulesWU beolvassa a PinRules CAB-t az URL-gyorsítótárból. Ehelyett -f a Windows Update-ből tölthető le.
  • Az AuthRoot beolvassa a beállításjegyzékben gyorsítótárazott AuthRoot CTL-t. A nem megbízható -f használatával és használatával kényszerítheti a beállításjegyzék gyorsítótárazott AuthRoot- és letiltott tanúsítvány-CTL-jeit a frissítésre.
  • A letiltott a beállításjegyzékben gyorsítótárazott letiltott tanúsítványok CTL-jének olvasása. A nem megbízható -f használatával és használatával kényszerítheti a beállításjegyzék gyorsítótárazott AuthRoot- és letiltott tanúsítvány-CTL-jeit a frissítésre.
    • PinRules beolvassa a gyorsítótárazott PinRules CTL-t. A használat -f ugyanazzal a viselkedéssel rendelkezik, mint a PinRulesWU esetén.
  • A CTLFileName a CTL- vagy CAB-fájl fájljának vagy http-elérési útjának megadása.

• A CertDir a CTL-bejegyzéseknek megfelelő tanúsítványokat tartalmazó mappát adja meg. Az alapértelmezett beállítások a CTLobject mappával vagy webhelyével azonosak. Http-mappa elérési útjának használatához szükség van egy elérésiút-elválasztóra a végén. Ha nem adja meg az AuthRoot vagy a Letiltás beállítást, a rendszer több helyen keres egyező tanúsítványokat, beleértve a helyi tanúsítványtárolókat, crypt32.dll erőforrásokat és a helyi URL-gyorsítótárat. Szükség -f szerint letölthető a Windows Update-ből.

• A CertFile megadja az ellenőrizni kívánt tanúsítvány(ok)t. A tanúsítványok megfelelnek a CTL-bejegyzéseknek, és megjelenítik az eredményeket. Ez a beállítás letiltja az alapértelmezett kimenet nagy részét.

Beállítások:

[-f] [-user] [-split]

-syncWithWU

Szinkronizálja a tanúsítványokat a Windows Update szolgáltatással.

certutil [options] -syncWithWU DestinationDir

Helyszín:

• A DestinationDir a megadott könyvtár.
• f kényszeríti a felülírást.
• A Unicode átirányított kimenetet ír Unicode-ban.
• A gmt GMT-ként jeleníti meg az időpontokat.
• másodpercek másodpercekkel és ezredmásodpercekkel jelenítik meg az időpontokat.
• v egy részletes művelet.
• A PIN-kód az intelligens kártya PIN-kódja.
• WELL_KNOWN_SID_TYPE egy numerikus SID:
  • 22 – Helyi rendszer
  • 23 – Helyi szolgáltatás
  • 24 – Hálózati szolgáltatás

Megjegyzések

Az automatikus frissítési mechanizmussal a következő fájlok töltődnek le:

• authrootstl.cab nem Microsoft-főtanúsítványok CTL-jeit tartalmazza.
• disallowedcertstl.cab nem megbízható tanúsítványok CT-jeit tartalmazza.
• A disallowedcert.sst tartalmazza a szerializált tanúsítványtárolót, beleértve a nem megbízható tanúsítványokat is.
• Az thumbprint.crt a nem Microsoft főtanúsítványokat tartalmazza.

Például: certutil -syncWithWU \\server1\PKI\CTLs.

• Ha nem létező helyi elérési utat vagy mappát használ célmappaként, a következő hibaüzenet jelenik meg: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Ha nem létező vagy nem elérhető hálózati helyet használ célmappaként, a következő hibaüzenet jelenik meg: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Ha a kiszolgáló nem tud csatlakozni a 80-s TCP-porton keresztül a Microsoft Automatikus frissítési kiszolgálókhoz, a következő hibaüzenet jelenik meg: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Ha a kiszolgáló nem tudja elérni a DNS-névvel ctldl.windowsupdate.comrendelkező Microsoft Automatikus frissítési kiszolgálókat, a következő hibaüzenet jelenik meg: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Ha nem használja a -f kapcsolót, és a CTL-fájlok bármelyike már létezik a könyvtárban, a következő hibaüzenet jelenik meg: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Ha változás történt a megbízható főtanúsítványokban, a következőt láthatja: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Beállítások:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Létrehoz egy, a Windows Update-lel szinkronizált tárfájlt.

certutil [options] -generateSSTFromWU SSTFile

Helyszín:

• Az SSTFile az a .sst létrehozandó fájl, amely tartalmazza a Windows Update-ből letöltött külső gyökereket.

Beállítások:

[-f] [-split]

-generatePinRulesCTL

Létrehoz egy tanúsítványmegbízhatósági listát (CTL), amely a rögzítési szabályok listáját tartalmazza.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Helyszín:

• Az XMLFile az elemezni kívánt bemeneti XML-fájl.
• A CTLFile a létrehozandó kimeneti CTL-fájl.
• Az SSTFile az a nem kötelező .sst fájl, amely tartalmazza a rögzítéshez használt összes tanúsítványt.
• A QueryFilesPrefix nem kötelező Domains.csv és Keys.csv adatbázis-lekérdezéshez létrehozandó fájlokat.
  • A QueryFilesPrefix sztring minden létrehozott fájlra elő van állítva.
  • A Domains.csv fájl szabálynevet és tartománysorokat tartalmaz.
  • A Keys.csv fájl tartalmazza a szabály nevét, a kulcs SHA256 ujjlenyomatsorait.

Beállítások:

[-f]

-downloadOcsp

Letölti az OCSP-válaszokat, és a címtárba ír.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Helyszín:

• A CertificateDir a tanúsítvány-, tároló- és PFX-fájlok könyvtára.
• Az OcspDir az OCSP-válaszok írásához szükséges könyvtár.
• A ThreadCount az egyidejű letöltéshez szükséges szálak maximális száma. Az alapértelmezett érték 10.
• A módosítók az alábbiak közül egy vagy több vesszővel tagolt listája:
  • DownloadOnce – Egyszer tölt le, és kilép.
  • ReadOcsp – Írás helyett az OcspDirből olvas.

-generateHpkpHeader

A HPKP-fejlécet egy megadott fájlban vagy könyvtárban lévő tanúsítványok használatával hozza létre.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Helyszín:

• A CertFileOrDir a tanúsítványok fájlja vagy könyvtára, amely a pin-sha256 forrása.
• A MaxAge a maximális korérték másodpercben.
• A ReportUri az opcionális jelentés-uri.
• A módosítók az alábbiak közül egy vagy több vesszővel tagolt listája:
  • includeSubDomains – Hozzáfűzi az includeSubDomains elemet.

-flushCache

Kiüríti a megadott gyorsítótárakat a kijelölt folyamatban, például lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Helyszín:

• A ProcessId a kiürítendő folyamat numerikus azonosítója. Állítsa a 0 értéket az összes olyan folyamat kiürítéséhez, ahol a kiürítés engedélyezve van.

• A CacheMask a gyorsítótárak bitmaszkja, amelyet numerikus vagy a következő bitekkel kell kiüríteni:

  • 0: Csak show
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• A módosítók az alábbiak közül egy vagy több vesszővel tagolt listája:

  • Megjelenítés – A kiürített gyorsítótárak megjelenítése. A certutil-t explicit módon le kell zárni.

-addEccCurve

ECC-görbét ad hozzá.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Helyszín:

• A CurveClass az ECC-görbeosztály típusa:

  • WEIERSTRASS (alapértelmezett)
  • MONTGOMERY
  • TWISTED_EDWARDS

• A CurveName az ECC-görbe neve.

• A CurveParameters az alábbiak egyike:

  • ASN kódolású paramétereket tartalmazó tanúsítványfájlnév.
  • ASN kódolású paramétereket tartalmazó fájl.

• A CurveOID az ECC Curve OID, és az alábbiak egyike:

  • ASN kódolású OID-t tartalmazó tanúsítványfájlnév.
  • Egy explicit ECC-görbe OID.

• A CurveType a Schannel ECC NamedCurve pont (numerikus).

Beállítások:

[-f]

-deleteEccCurve

Törli az ECC-görbét.

certutil [options] -deleteEccCurve CurveName | CurveOID

Helyszín:

• A CurveName az ECC-görbe neve.
• A CurveOID az ECC Curve OID.

Beállítások:

[-f]

-displayEccCurve

Megjeleníti az ECC-görbét.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Helyszín:

• A CurveName az ECC-görbe neve.
• A CurveOID az ECC Curve OID.

Beállítások:

[-f]

-csplist

A számítógépen a titkosítási műveletekhez telepített titkosítási szolgáltatókat (CSP-ket) sorolja fel.

certutil [options] -csplist [Algorithm]

Beállítások:

[-user] [-Silent] [-csp Provider]

-csptest

Teszteli a számítógépre telepített CSP-ket.

certutil [options] -csptest [Algorithm]

Beállítások:

[-user] [-Silent] [-csp Provider]

-CNGConfig

CNG-titkosítási konfigurációt jelenít meg ezen a gépen.

certutil [options] -CNGConfig

Beállítások:

[-Silent]

-sign

A visszavont tanúsítványok listájának (CRL) vagy tanúsítványának újbóli aláírása.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Helyszín:

• Az InFileList a módosítani és újra aláírni kívánt tanúsítvány- vagy CRL-fájlok vesszővel tagolt listája.

• A SerialNumber a létrehozandó tanúsítvány sorozatszáma. Az érvényességi időtartam és más lehetőségek nem lehetnek jelen.

• A CRL létrehoz egy üres CRL-t. Az érvényességi időtartam és más lehetőségek nem lehetnek jelen.

• Az OutFileList a módosított tanúsítvány- vagy CRL-kimeneti fájlok vesszővel tagolt listája. A fájlok számának meg kell egyeznie az infilelistával.

• A StartDate+dd:hh a tanúsítvány vagy CRL-fájlok új érvényességi ideje, beleértve a következőket:

  • nem kötelező dátum plusz
  • nem kötelező napok és órák érvényességi időtartama Több mező használata esetén használjon (+) vagy (-) elválasztót. Az aktuális időpontban való kezdéshez használható now[+dd:hh] . Az now-dd:hh+dd:hh aktuális időponttól és a rögzített érvényességi időszaktól rögzített eltolással kezdődik. Lejárati never dátum nélkül használható (csak CRL-ekhez).

• A SerialNumberList a hozzáadni vagy eltávolítani kívánt fájlok vesszővel tagolt sorozatszámlistája.

• Az ObjectIdList az eltávolítandó fájlok vesszővel tagolt ObjectId-listája.

• @ExtensionFile a frissíteni vagy eltávolítani kívánt bővítményeket tartalmazó INF-fájl. Például:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• A hashAlgorithm a kivonatoló algoritmus neve. Ez csak a jel előtti # szöveg lehet.

• Az AlternateSignatureAlgorithm az alternatív aláírási algoritmus-meghatározó.

Beállítások:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Megjegyzések

• A mínuszjel (-) használatával eltávolítja a sorozatszámokat és a bővítményeket.
• A pluszjel (+) használatával sorozatszámokat ad hozzá a CRL-hez.
• Lista használatával egyszerre távolíthatja el a sorozatszámokat és az ObjectId-eket a CRL-ből.
• Az AlternateSignatureAlgorithm előtti mínuszjel használatával használhatja az örökölt aláírási formátumot.
• A pluszjel használatával alternatív aláírási formátumot használhat.
• Ha nem adja meg az AlternateSignatureAlgorithm értéket, a rendszer a tanúsítvány vagy a CRL aláírási formátumát használja.

-vroot

Webes virtuális gyökereket és fájlmegosztásokat hoz létre vagy töröl.

certutil [options] -vroot [delete]

-vocsproot

Létrehoz vagy töröl egy OCSP-webproxy webes virtuális gyökerét.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Szükség esetén hozzáad egy Regisztrációs kiszolgáló alkalmazást és alkalmazáskészletet a megadott hitelesítésszolgáltatóhoz. Ez a parancs nem telepíti a bináris fájlokat vagy csomagokat.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Helyszín:

• Az addEnrollmentServer megköveteli, hogy hitelesítési módszert használjon a tanúsítványregisztrációs kiszolgálóhoz való ügyfélkapcsolathoz, beleértve a következőket:

  • A Kerberos Kerberos SSL-hitelesítő adatokat használ.
  • A UserName névvel ellátott fiókot használ AZ SSL-hitelesítő adatokhoz.
  • A ClientCertificate X.509 tanúsítvány SSL-hitelesítő adatait használja.

• Módosítók:

  • Az AllowRenewalsOnly csak a hitelesítésszolgáltatónak küldött megújítási kérelmeket engedélyezi az URL-címen keresztül.
  • Az AllowKeyBasedRenewal lehetővé teszi egy társított fiókkal nem rendelkező tanúsítvány használatát az Active Directoryban. Ez a ClientCertificate és az AllowRenewalsOnly mód használatakor érvényes.

Beállítások:

[-config Machine\CAName]

-deleteEnrollmentServer

Törli a regisztrációs kiszolgáló alkalmazást és alkalmazáskészletet, ha szükséges a megadott hitelesítésszolgáltató számára. Ez a parancs nem telepíti a bináris fájlokat vagy csomagokat.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Helyszín:

• A deleteEnrollmentServer megköveteli, hogy hitelesítési módszert használjon a tanúsítványregisztrációs kiszolgálóhoz való ügyfélkapcsolathoz, beleértve a következőket:
  • A Kerberos Kerberos SSL-hitelesítő adatokat használ.
  • A UserName névvel ellátott fiókot használ AZ SSL-hitelesítő adatokhoz.
  • A ClientCertificate X.509 tanúsítvány SSL-hitelesítő adatait használja.

Beállítások:

[-config Machine\CAName]

-addPolicyServer

Szükség esetén adjon hozzá egy Policy Server-alkalmazást és -alkalmazáskészletet. Ez a parancs nem telepíti a bináris fájlokat vagy csomagokat.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Helyszín:

• Az addPolicyServer megköveteli, hogy hitelesítési módszert használjon a tanúsítványházirend-kiszolgálóhoz való ügyfélkapcsolathoz, beleértve a következőket:
  • A Kerberos Kerberos SSL-hitelesítő adatokat használ.
  • A UserName névvel ellátott fiókot használ AZ SSL-hitelesítő adatokhoz.
  • A ClientCertificate X.509 tanúsítvány SSL-hitelesítő adatait használja.
• A KeyBasedRenewal lehetővé teszi a keybasedrenewal-sablonokat tartalmazó ügyfélnek visszaadott szabályzatok használatát. Ez a beállítás csak a UserName és a ClientCertificate hitelesítésre vonatkozik.

-deletePolicyServer

Szükség esetén törli a Policy Server-alkalmazást és az alkalmazáskészletet. Ez a parancs nem távolítja el a bináris fájlokat vagy csomagokat.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Helyszín:

• A deletePolicyServer megköveteli, hogy hitelesítési módszert használjon a tanúsítványházirend-kiszolgálóhoz való ügyfélkapcsolathoz, beleértve a következőket:
  • A Kerberos Kerberos SSL-hitelesítő adatokat használ.
  • A UserName névvel ellátott fiókot használ AZ SSL-hitelesítő adatokhoz.
  • A ClientCertificate X.509 tanúsítvány SSL-hitelesítő adatait használja.
• A KeyBasedRenewal lehetővé teszi a KeyBasedRenewal házirend-kiszolgáló használatát.

-Class

Megjeleníti a COM beállításjegyzék-adatait.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Beállítások:

[-f]

-7f

A tanúsítvány 0x7f hosszkódolását ellenőrzi.

certutil [options] -7f CertFile

-oid

Megjeleníti az objektumazonosítót, vagy megjelenítendő nevet állít be.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Helyszín:

• Az ObjectId a megjelenítendő vagy a megjelenítendő névhez hozzáadni kívánt azonosító.
• A GroupId az ObjectIds által számozott groupID-szám (decimális).
• Az AlgId az a hexadecimális azonosító, amelyet az objectID keres.
• Az AlgorithmName az az algoritmusnév, amelyet az objectID keres.
• A DisplayName megjeleníti a DS-ben tárolni kívánt nevet.
• A törlés törli a megjelenítendő nevet.
• A LanguageId a nyelvazonosító értéke (alapértelmezett érték: 1033).
• A típus a létrehozandó DS-objektum típusa, beleértve a következőket:
  • 1 - Sablon (alapértelmezett)
  • 2 - Kiállítási szabályzat
  • 3 - Alkalmazásszabályzat
• -f létrehoz egy DS-objektumot.

Beállítások:

[-f]

-error

Megjeleníti a hibakódhoz társított üzenetszöveget.

certutil [options] -error ErrorCode

-getsmtpinfo

Lekéri a Simple Mail Transfer Protocol (SMTP) adatait.

certutil [options] -getsmtpinfo

-setsmtpinfo

Beállítja az SMTP-adatokat.

certutil [options] -setsmtpinfo LogonName

Beállítások:

[-config Machine\CAName] [-p Password]

-getreg

Beállításjegyzék-értéket jelenít meg.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Helyszín:

• ca egy hitelesítésszolgáltató beállításkulcsát használja.
• A visszaállítás a hitelesítésszolgáltató visszaállítási beállításkulcsát használja.
• A szabályzat a szabályzatmodul beállításkulcsát használja.
• az exit az első kilépési modul beállításkulcsát használja.
• A sablon a sablon beállításkulcsát használja (felhasználói sablonokhoz).-user
• A regisztráció a regisztrációs beállításkulcsot használja (a felhasználói környezethez).-user
• A lánc a lánckonfiguráció beállításkulcsát használja.
• A PolicyServers a Policy Servers beállításkulcsát használja.
• A ProgId a szabályzat vagy a kilépési modul ProgID azonosítóját (beállításjegyzék-alkulcs nevét) használja.
• A RegistryValueName a beállításjegyzék-érték nevét használja (az előtagegyezéshez).Name*
• az érték az új numerikus, sztring vagy dátum beállításjegyzék-értéket vagy fájlnevet használja. Ha egy numerikus érték a következővel + kezdődik vagy -kezdődik, az új értékben megadott bitek a meglévő beállításjegyzék-értékben vannak beállítva vagy törölve.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Megjegyzések

• Ha egy sztringérték a következővel + kezdődik: vagy -, és a meglévő érték egy REG_MULTI_SZ érték, a sztring hozzáadódik a meglévő beállításjegyzék-értékhez, vagy el lesz távolítva a meglévő beállításjegyzék-értékből. Egy érték létrehozásának REG_MULTI_SZ kényszerítéséhez adja hozzá \n a sztringérték végéhez.
• Ha az érték a következővel \@kezdődik, az érték többi része annak a fájlnak a neve, amely egy bináris érték hexadecimális szöveges ábrázolását tartalmazza.
• Ha nem hivatkozik érvényes fájlra, akkor a rendszer inkább úgy elemzi, hogy [Date][+|-][dd:hh] melyik az opcionális dátum plusz vagy mínusz az opcionális napok és órák száma.
• Ha mindkettő meg van adva, használjon pluszjelet (+) vagy mínuszjelet (-) elválasztójelet. Az aktuális időhöz viszonyított dátumhoz használható now+dd:hh .
• Utótagként i64 használható REG_QWORD érték létrehozásához.
• A gyorsítótárazott CRL-ek hatékony kiürítésére használható chain\chaincacheresyncfiletime @now .
• Beállításjegyzék-aliasok:
  • Konfigurálás
  • HITELESÍTÉSSZOLGÁLTATÓ
  • Szabályzat – PolicyModules
  • Kilépés – ExitModules
  • Visszaállítás – RestoreInProgress
  • Sablon – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Regisztráció – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Szoftver\Microsoft\Kriptográfia\MSCEP
  • Lánc – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • NGC – System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate – Szoftver\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Szoftver\Házirendek\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Beállításjegyzék-értéket állít be.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Helyszín:

• ca egy hitelesítésszolgáltató beállításkulcsát használja.
• A visszaállítás a hitelesítésszolgáltató visszaállítási beállításkulcsát használja.
• A szabályzat a szabályzatmodul beállításkulcsát használja.
• az exit az első kilépési modul beállításkulcsát használja.
• A sablon a sablon beállításkulcsát használja (felhasználói sablonokhoz).-user
• A regisztráció a regisztrációs beállításkulcsot használja (a felhasználói környezethez).-user
• A lánc a lánckonfiguráció beállításkulcsát használja.
• A PolicyServers a Policy Servers beállításkulcsát használja.
• A ProgId a szabályzat vagy a kilépési modul ProgID azonosítóját (beállításjegyzék-alkulcs nevét) használja.
• A RegistryValueName a beállításjegyzék-érték nevét használja (az előtagegyezéshez).Name*
• Az érték az új numerikus, sztring vagy dátum beállításjegyzék-értéket vagy fájlnevet használja. Ha egy numerikus érték a következővel + kezdődik vagy -kezdődik, az új értékben megadott bitek a meglévő beállításjegyzék-értékben vannak beállítva vagy törölve.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Megjegyzések

• Ha egy sztringérték a következővel + kezdődik: vagy -, és a meglévő érték egy REG_MULTI_SZ érték, a sztring hozzáadódik a meglévő beállításjegyzék-értékhez, vagy el lesz távolítva a meglévő beállításjegyzék-értékből. Egy érték létrehozásának REG_MULTI_SZ kényszerítéséhez adja hozzá \n a sztringérték végéhez.
• Ha az érték a következővel \@kezdődik, az érték többi része annak a fájlnak a neve, amely egy bináris érték hexadecimális szöveges ábrázolását tartalmazza.
• Ha nem hivatkozik érvényes fájlra, akkor a rendszer inkább úgy elemzi, hogy [Date][+|-][dd:hh] melyik az opcionális dátum plusz vagy mínusz az opcionális napok és órák száma.
• Ha mindkettő meg van adva, használjon pluszjelet (+) vagy mínuszjelet (-) elválasztójelet. Az aktuális időhöz viszonyított dátumhoz használható now+dd:hh .
• Utótagként i64 használható REG_QWORD érték létrehozásához.
• A gyorsítótárazott CRL-ek hatékony kiürítésére használható chain\chaincacheresyncfiletime @now .

-delreg

Töröl egy beállításjegyzék-értéket.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Helyszín:

• ca egy hitelesítésszolgáltató beállításkulcsát használja.
• A visszaállítás a hitelesítésszolgáltató visszaállítási beállításkulcsát használja.
• A szabályzat a szabályzatmodul beállításkulcsát használja.
• az exit az első kilépési modul beállításkulcsát használja.
• A sablon a sablon beállításkulcsát használja (felhasználói sablonokhoz).-user
• A regisztráció a regisztrációs beállításkulcsot használja (a felhasználói környezethez).-user
• A lánc a lánckonfiguráció beállításkulcsát használja.
• A PolicyServers a Policy Servers beállításkulcsát használja.
• A ProgId a szabályzat vagy a kilépési modul ProgID azonosítóját (beállításjegyzék-alkulcs nevét) használja.
• A RegistryValueName a beállításjegyzék-érték nevét használja (az előtagegyezéshez).Name*
• Az érték az új numerikus, sztring vagy dátum beállításjegyzék-értéket vagy fájlnevet használja. Ha egy numerikus érték a következővel + kezdődik vagy -kezdődik, az új értékben megadott bitek a meglévő beállításjegyzék-értékben vannak beállítva vagy törölve.

Beállítások:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Megjegyzések

• Ha egy sztringérték a következővel + kezdődik: vagy -, és a meglévő érték egy REG_MULTI_SZ érték, a sztring hozzáadódik a meglévő beállításjegyzék-értékhez, vagy el lesz távolítva a meglévő beállításjegyzék-értékből. Egy érték létrehozásának REG_MULTI_SZ kényszerítéséhez adja hozzá \n a sztringérték végéhez.
• Ha az érték a következővel \@kezdődik, az érték többi része annak a fájlnak a neve, amely egy bináris érték hexadecimális szöveges ábrázolását tartalmazza.
• Ha nem hivatkozik érvényes fájlra, akkor a rendszer inkább úgy elemzi, hogy [Date][+|-][dd:hh] melyik az opcionális dátum plusz vagy mínusz az opcionális napok és órák száma.
• Ha mindkettő meg van adva, használjon pluszjelet (+) vagy mínuszjelet (-) elválasztójelet. Az aktuális időhöz viszonyított dátumhoz használható now+dd:hh .
• Utótagként i64 használható REG_QWORD érték létrehozásához.
• A gyorsítótárazott CRL-ek hatékony kiürítésére használható chain\chaincacheresyncfiletime @now .
• Beállításjegyzék-aliasok:
  • Konfigurálás
  • HITELESÍTÉSSZOLGÁLTATÓ
  • Szabályzat – PolicyModules
  • Kilépés – ExitModules
  • Visszaállítás – RestoreInProgress
  • Sablon – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Regisztráció – Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Szoftver\Microsoft\Kriptográfia\MSCEP
  • Lánc – Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers – Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 – System\CurrentControlSet\Services\crypt32
  • NGC – System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate – Szoftver\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Szoftver\Házirendek\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importálja a felhasználói kulcsokat és tanúsítványokat a kiszolgálói adatbázisba a kulcsarchiváláshoz.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Helyszín:

• A UserKeyAndCertFile egy olyan adatfájl, amely felhasználói titkos kulcsokkal és tanúsítványokkal rendelkezik, amelyeket archiválni kell. Ez a fájl a következő lehet:
  • Exchange Key Management Server (KMS) exportálási fájl.
  • EGY PFX-fájl.
• A CertId egy KMS-exportálási fájl visszafejtési tanúsítványa, amely megfelel a jogkivonatnak. További információ: a paraméter ebben a -store cikkben.
• -f nem a hitelesítésszolgáltató által kibocsátott tanúsítványokat importálja.

Beállítások:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Tanúsítványfájl importálása az adatbázisba.

certutil [options] -ImportCert Certfile [ExistingRow]

Helyszín:

• A ExistingRow egy függőben lévő kérelem helyett importálja a tanúsítványt ugyanahhoz a kulcshoz.
• -f nem a hitelesítésszolgáltató által kibocsátott tanúsítványokat importálja.

Beállítások:

[-f] [-config Machine\CAName]

Megjegyzések

Előfordulhat, hogy a hitelesítésszolgáltatót úgy kell konfigurálni, hogy a külső tanúsítványokat a futtatással certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNtámogassa.

-GetKey

Lekéri az archivált titkos kulcs helyreállítási blobot, létrehoz egy helyreállítási szkriptet, vagy helyreállítja az archivált kulcsokat.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Helyszín:

• A szkript létrehoz egy szkriptet a kulcsok lekéréséhez és helyreállításához (alapértelmezett viselkedés, ha több egyező helyreállítási jelölt található, vagy ha a kimeneti fájl nincs megadva).
• a lekérés egy vagy több Key Recovery-blobot kér le (az alapértelmezett viselkedés, ha pontosan egy egyező helyreállítási jelölt található, és ha a kimeneti fájl meg van adva). Ezzel a beállítással csonkolja a bővítményeket, és hozzáfűzi a tanúsítványspecifikus sztringet és a bővítményt az .rec egyes kulcs-helyreállítási blobokhoz. Minden fájl tartalmaz egy tanúsítványláncot és egy társított titkos kulcsot, amely továbbra is egy vagy több Key Recovery Agent-tanúsítványra van titkosítva.
• a helyreállítás egyetlen lépésben kéri le és helyreállítja a titkos kulcsokat (kulcs-helyreállítási ügynök tanúsítványokat és titkos kulcsokat igényel). Ezzel a beállítással csonkolja a bővítményt, és hozzáfűzi a bővítményt .p12 . Minden fájl tartalmazza a helyreállított tanúsítványláncokat és a társított titkos kulcsokat, amelyeket PFX-fájlként tárolnak.
• A SearchToken kiválasztja a helyreállítandó kulcsokat és tanúsítványokat, beleértve a következőket:
  • Tanúsítvány általános neve
  • Tanúsítvány sorozatszáma
  • Tanúsítvány SHA-1 kivonata (ujjlenyomat)
  • Tanúsítványkulcs-azonosító SHA-1 kivonata (tulajdonoskulcs azonosítója)
  • Kérelmező neve (tartomány\felhasználó)
  • UPN (user@domain)
• A RecoveryBlobOutFile egy tanúsítványláncot és egy társított titkos kulcsot tartalmazó fájlt ad ki, amely továbbra is egy vagy több Key Recovery Agent-tanúsítványra van titkosítva.
• Az OutputScriptFile egy kötegszkripttel rendelkező fájlt ad ki a titkos kulcsok lekéréséhez és helyreállításához.
• Az OutputFileBaseName fájlbázisnevet ad ki.

Beállítások:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Megjegyzések

• A lekéréshez minden bővítmény csonkolva van, és egy tanúsítványspecifikus sztring és a .rec bővítmények hozzá vannak fűzve az egyes kulcs-helyreállítási blobokhoz. Minden fájl tartalmaz egy tanúsítványláncot és egy társított titkos kulcsot, amely továbbra is egy vagy több Key Recovery Agent-tanúsítványra van titkosítva.
• A helyreállításhoz minden bővítmény csonkolt, és a .p12 bővítmény hozzá van fűzve. A helyreállított tanúsítványláncokat és a társított titkos kulcsokat tartalmazza, amelyeket PFX-fájlként tárolnak.

-RecoverKey

Archivált titkos kulcs helyreállítása.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Beállítások:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX-fájlok egyesítése.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Helyszín:

• A PFXInFileList a PFX bemeneti fájlok vesszővel tagolt listája.
• A PFXOutFile a PFX kimeneti fájl neve.
• A módosítók az alábbiak közül egy vagy több vesszővel tagolt listái:
  • Az ExtendedProperties bármilyen kiterjesztett tulajdonságot tartalmaz.
  • A NoEncryptCert azt határozza meg, hogy ne titkosítja a tanúsítványokat.
  • A EncryptCert a tanúsítványok titkosítását adja meg.

Beállítások:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Megjegyzések

• A parancssorban megadott jelszónak vesszővel elválasztott jelszólistának kell lennie.
• Ha egynél több jelszó van megadva, a kimeneti fájlhoz az utolsó jelszót használja a rendszer. Ha csak egy jelszó van megadva, vagy ha az utolsó jelszó, *a rendszer a kimeneti fájl jelszavát kéri.

-add-chain

Tanúsítványláncot ad hozzá.

certutil [options] -add-chain LogId certificate OutFile

Beállítások:

[-f]

-add-pre-chain

Előtanúsítvány-láncot ad hozzá.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Beállítások:

[-f]

-get-sth

Kap egy aláírt fafejet.

certutil [options] -get-sth [LogId]

Beállítások:

[-f]

-get-sth-consistency

Aláírt fafej-módosításokat kap.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Beállítások:

[-f]

-get-proof-by-hash

Lekéri az időbélyeg-kiszolgáló kivonatát.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Beállítások:

[-f]

-get-entries

Bejegyzéseket kér le egy eseménynaplóból.

certutil [options] -get-entries LogId FirstIndex LastIndex

Beállítások:

[-f]

-get-roots

Lekéri a főtanúsítványokat a tanúsítványtárolóból.

certutil [options] -get-roots LogId

Beállítások:

[-f]

-get-entry-and-proof

Lekéri az eseménynapló-bejegyzést és annak titkosítási bizonyítékát.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Beállítások:

[-f]

-VerifyCT

Tanúsítvány ellenőrzése a tanúsítvány áttetszőségi naplójában.

certutil [options] -VerifyCT Certificate SCT [precert]

Beállítások:

[-f]

-?

Megjeleníti a paraméterek listáját.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Helyszín:

• -? a paraméterek listáját jeleníti meg
• -<name_of_parameter> -? megjeleníti a megadott paraméter súgótartalmat.
• -? -v a paraméterek és beállítások részletes listáját jeleníti meg.

Beállítások

Ez a szakasz a parancs alapján meghatározza az összes megadható beállítást. Minden paraméter tartalmaz információkat arról, hogy mely beállítások érvényesek a használatra.

Lehetőség	Leírás
-Admin	Az ICertAdmin2 használata hitelesítésszolgáltatói tulajdonságokhoz.
-névtelen	Használjon névtelen SSL-hitelesítő adatokat.
-cert CertId	Aláíró tanúsítvány.
-clientcertificate clientCertId	X.509-tanúsítvány SSL-hitelesítő adatainak használata. A kiválasztási felhasználói felülethez használja a következőt -clientcertificate: .
-config Gép\CAName	Hitelesítésszolgáltató és számítógépnév-sztring.
-csp szolgáltató	Szolgáltató: KSP – Microsoft Szoftverkulcs-tárolószolgáltató TPM – Microsoft Platform kriptoszolgáltató NGC – Microsoft Passport Key Storage-szolgáltató SC – Microsoft Smart Card Key Storage-szolgáltató
-dc DCName	Cél egy adott tartományvezérlő.
-vállalat	Használja a helyi gép vállalati beállításjegyzék-tanúsítványtárolóját.
-f	Felülírás kényszerítve.
-generateSSTFromWU SSTFile	SST létrehozása az automatikus frissítési mechanizmussal.
-Gmt	Időpontok megjelenítése GMT használatával.
-Csoportházirend	Használja a csoportházirend tanúsítványtárolóját.
-idispatch	Használjon IDispatch-et a com natív metódusok helyett.
-kerberos	Kerberos SSL-hitelesítő adatok használata.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Gépsablonok megjelenítése.
-nocr	Szöveg kódolása CR-karakterek nélkül.
-nocrlf	Szöveg kódolása CR-LF karakterek nélkül.
-nulljel	Használja az adatok kivonatát aláírásként.
-oldpfx	Használjon régi PFX-titkosítást.
-out oszloplista	Vesszővel tagolt oszloplista.
-p jelszó	Jelszó
-PIN-kód rögzítése	Intelligens kártya PIN-kódja.
-policyserver URLorID	Házirendkiszolgáló URL-címe vagy azonosítója. A kijelölés U/I eleméhez használja a következőt -policyserver: . Az összes házirendkiszolgálóhoz használja a -policyserver *
-privatekey	Jelszó- és titkoskulcs-adatok megjelenítése.
-véd	Kulcsok védelme jelszóval.
-protectto SAMnévésSIDlista	Vesszővel tagolt SAM-név/SID-lista.
-korlátozási lista	Vesszővel tagolt korlátozáslista. Minden korlátozás oszlopnévből, relációs operátorból és állandó egész számból, sztringből vagy dátumból áll. Egy oszlop neve elé egy plusz vagy mínuszjel is állhat, amely jelzi a rendezési sorrendet. Például: requestID = 47, +requestername >= a, requesternamevagy -requestername > DOMAIN, Disposition = 21.
-ellentét	Napló- és üzenetsoroszlopok megfordítása.
-repeta	Idő megjelenítése másodpercek és ezredmásodpercek használatával.
-szolgáltatás	Szolgáltatástanúsítvány-tároló használata.
-Sid	Numerikus SID: 22 – Helyi rendszer 23 – Helyi szolgáltatás 24 – Hálózati szolgáltatás
-csendes	A jelölő használatával szerezze be a silent titkosítási környezetet.
-hasít	Ossza fel a beágyazott ASN.1-elemeket, és mentse a fájlokat.
-sslpolicy kiszolgálónév	Az SSL-házirendek egyező Kiszolgálóneve.
-symkeyalg symmetrickeyalgorithm[,kulcshossz]	A szimmetrikus kulcsalgoritmus neve opcionális kulcshosszsal. Például: AES,128 vagy 3DES.
-syncWithWU DestinationDir	Szinkronizálás a Windows Update szolgáltatással.
-t időtúllépés	Az URL-beolvasás időtúllépése ezredmásodpercben.
-Unicode	Átirányított kimenet írása Unicode-ban.
-UnicodeText	Kimeneti fájl írása Unicode-ban.
-urlfetch	Kérje le és ellenőrizze az AIA-tanúsítványokat és a CDP-CR-eket.
-felhasználó	Használja a HKEY_CURRENT_USER kulcsokat vagy tanúsítványtárolót.
-felhasználónév	Használjon elnevezett fiókot SSL-hitelesítő adatokhoz. A kiválasztási felhasználói felülethez használja a következőt -username: .
-Ut	Felhasználói sablonok megjelenítése.
-v	Adjon meg részletesebb (részletes) információkat.
-v1	Használjon V1-interfészeket.

Kivonatoló algoritmusok: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Kapcsolódó hivatkozások

A parancs használatára további példákat a következő cikkekben talál:

• Active Directory Tanúsítványszolgáltatások (AD CS)
• Tanúsítványkezelési feladatok a tanúsítványok kezeléséhez
• Megbízható gyökerek és nem engedélyezett tanúsítványok konfigurálása a Windowsban