Share via

certutil

  • Artikel

Perhatian

Certutil tidak disarankan untuk digunakan dalam kode produksi apa pun dan tidak memberikan jaminan dukungan situs langsung atau kompatibilitas aplikasi. Ini adalah alat yang digunakan oleh pengembang dan administrator TI untuk melihat informasi konten sertifikat pada perangkat.

Certutil.exe adalah program baris perintah yang diinstal sebagai bagian dari Layanan Sertifikat. Anda dapat menggunakan certutil.exe untuk menampilkan informasi konfigurasi otoritas sertifikasi (CA), mengonfigurasi Layanan Sertifikat, dan mencadangkan dan memulihkan komponen CA. Program ini juga memverifikasi sertifikat, pasangan kunci, dan rantai sertifikat.

Jika certutil dijalankan pada otoritas sertifikasi tanpa parameter lain, itu menampilkan konfigurasi otoritas sertifikasi saat ini. Jika certutil dijalankan pada otoritas non-sertifikasi tanpa parameter lain, perintah default untuk menjalankan certutil -dump perintah. Tidak semua versi certutil menyediakan semua parameter dan opsi yang dijelaskan dokumen ini. Anda dapat melihat pilihan yang disediakan oleh versi certutil Anda dengan menjalankan certutil -? atau certutil <parameter> -?.

Tip

Untuk melihat bantuan lengkap untuk semua kata kerja dan opsi certutil, termasuk yang disembunyikan dari -? argumen, jalankan certutil -v -uSAGE. Sakelar uSAGE peka huruf besar/kecil.

Parameter

-Dump

Mencadangkan informasi atau file konfigurasi.

certutil [options] [-dump]
certutil [options] [-dump] File

Opsi:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Mencadangkan struktur PFX.

certutil [options] [-dumpPFX] File

Opsi:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Mengurai dan menampilkan konten file menggunakan sintaks Abstract Sintaks Notation (ASN.1). Jenis file termasuk . CER. File berformat DER dan PKCS #7.

certutil [options] -asn File [type]
  • [type]: jenis decoding CRYPT_STRING_* numerik

-decodehex

Mendekode file yang dikodekan heksadesimal.

certutil [options] -decodehex InFile OutFile [type]
  • [type]: jenis decoding CRYPT_STRING_* numerik

Opsi:

[-f]

-encodehex

Mengodekan file dalam heksadesimal.

certutil [options] -encodehex InFile OutFile [type]
  • [type]: jenis pengodean CRYPT_STRING_* numerik

Opsi:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-Decode

Mendekode file yang dikodekan Base64.

certutil [options] -decode InFile OutFile

Opsi:

[-f]

-Mengkodekan

Mengodekan file ke Base64.

certutil [options] -encode InFile OutFile

Opsi:

[-f] [-unicodetext]

-Menyangkal

Menolak permintaan yang tertunda.

certutil [options] -deny RequestId

Opsi:

[-config Machine\CAName]

-pengiriman ulang

Mengirim ulang permintaan yang tertunda.

certutil [options] -resubmit RequestId

Opsi:

[-config Machine\CAName]

-setattributes

Mengatur atribut untuk permintaan sertifikat yang tertunda.

certutil [options] -setattributes RequestId AttributeString

Mana:

  • RequestId adalah ID Permintaan numerik untuk permintaan yang tertunda.
  • AttributeString adalah nama atribut permintaan dan pasangan nilai.

Opsi:

[-config Machine\CAName]

Keterangan

  • Nama dan nilai harus dipisahkan titik dua, sementara beberapa nama dan pasangan nilai harus dipisahkan baris baru. Misalnya: CertificateTemplate:User\nEMail:User@Domain.com di mana \n urutan dikonversi ke pemisah baris baru.

-setextension

Atur ekstensi untuk permintaan sertifikat yang tertunda.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Mana:

  • requestID adalah ID Permintaan numerik untuk permintaan yang tertunda.
  • ExtensionName adalah string ObjectId untuk ekstensi.
  • Bendera menetapkan prioritas ekstensi. 0 disarankan, saat 1 mengatur ekstensi ke kritis, 2 menonaktifkan ekstensi, dan 3 melakukan keduanya.

Opsi:

[-config Machine\CAName]

Keterangan

  • Jika parameter terakhir adalah numerik, parameter tersebut diambil sebagai Panjang.
  • Jika parameter terakhir dapat diuraikan sebagai tanggal, parameter tersebut diambil sebagai Tanggal.
  • Jika parameter terakhir dimulai dengan \@, sisa token diambil sebagai nama file dengan data biner atau ascii-text hex dump.
  • Jika parameter terakhir adalah hal lain, parameter tersebut diambil sebagai String.

-Mencabut

Mencabut sertifikat.

certutil [options] -revoke SerialNumber [Reason]

Mana:

  • SerialNumber adalah daftar nomor seri sertifikat yang dipisahkan koma untuk dicabut.
  • Alasannya adalah representasi numerik atau simbolis dari alasan pencabutan, termasuk:
    • 0. CRL_REASON_UNSPECIFIED - Tidak ditentukan (default)
    • 1. CRL_REASON_KEY_COMPROMISE - Penyusupan kunci
    • 2. CRL_REASON_CA_COMPROMISE - Penyusupan Otoritas Sertifikat
    • 3. CRL_REASON_AFFILIATION_CHANGED - Afiliasi berubah
    • 4. CRL_REASON_SUPERSEDED - Diganti
    • 5. CRL_REASON_CESSATION_OF_OPERATION - Penghentian operasi
    • 6. CRL_REASON_CERTIFICATE_HOLD - Penahanan sertifikat
    • 8. CRL_REASON_REMOVE_FROM_CRL - Hapus dari CRL
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Hak istimewa ditarik
    • 10: CRL_REASON_AA_COMPROMISE - Kompromi AA
    • -1. Batal dipanggil - Batal dipanggil

Opsi:

[-config Machine\CAName]

-isvalid

Menampilkan disposisi sertifikat saat ini.

certutil [options] -isvalid SerialNumber | CertHash

Opsi:

[-config Machine\CAName]

-getconfig

Mendapatkan string konfigurasi default.

certutil [options] -getconfig

Opsi:

[-idispatch] [-config Machine\CAName]

-getconfig2

Mendapatkan string konfigurasi default melalui ICertGetConfig.

certutil [options] -getconfig2

Opsi:

[-idispatch]

-getconfig3

Mendapatkan konfigurasi melalui ICertConfig.

certutil [options] -getconfig3

Opsi:

[-idispatch]

-Ping

Mencoba menghubungi antarmuka Permintaan Layanan Sertifikat Direktori Aktif.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Mana:

  • CAMachineList adalah daftar nama komputer CA yang dipisahkan koma. Untuk satu komputer, gunakan koma yang mengakhiri. Opsi ini juga menampilkan biaya situs untuk setiap komputer CA.

Opsi:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Mencoba menghubungi antarmuka Admin Layanan Sertifikat Direktori Aktif.

certutil [options] -pingadmin

Opsi:

[-config Machine\CAName]

-CAInfo

Menampilkan informasi tentang otoritas sertifikasi.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Mana:

  • InfoName menunjukkan properti CA yang akan ditampilkan, berdasarkan sintaks argumen infoname berikut:
    • * - Menampilkan semua properti
    • ads - Server Tingkat Lanjut
    • aia [Indeks] - URL AIA
    • cdp [Indeks] - URL CDP
    • cert [Index] - sertifikasi CA
    • certchain [Index] - Rantai sertifikasi CA
    • certcount - jumlah sertifikasi CA
    • certcrlchain [Index] - Rantai sertifikasi CA dengan CRL
    • certstate [Index] - sertifikasi CA
    • certstatuscode [Index] - Status verifikasi sertifikasi CA
    • certversion [Index] - versi sertifikasi CA
    • CRL [Indeks] - CRL Dasar
    • crlstate [Indeks] - CRL
    • crlstatus [Indeks] - Status Penerbitan CRL
    • cross- [Index] - Sertifikasi silang mundur
    • cross+ [Index] - Meneruskan sertifikasi silang
    • crossstate- [Indeks] - Sertifikasi silang mundur
    • crossstate+ [Indeks] - Meneruskan sertifikasi silang
    • deltacrl [Indeks] - Delta CRL
    • deltacrlstatus [Indeks] - Status Penerbitan Delta CRL
    • dns - Nama DNS
    • dsname - Nama pendek CA yang disanitasi (nama DS)
    • error1 ErrorCode - Teks pesan kesalahan
    • error2 ErrorCode - Teks pesan kesalahan dan kode kesalahan
    • exit [Index] - Keluar dari deskripsi modul
    • exitcount - Jumlah modul keluar
    • file - Versi file
    • info - Info CA
    • kra [Indeks] - sertifikasi KRA
    • kracount - jumlah sertifikasi KRA
    • krastate [Indeks] - sertifikasi KRA
    • kraused - Jumlah penggunaan sertifikasi KRA
    • localename - nama lokal CA
    • nama - Nama CA
    • ocsp [Index] - URL OCSP
    • induk - CA Induk
    • policy - Deskripsi modul kebijakan
    • product - Versi produk
    • propidmax - PropId CA Maksimum
    • peran - Pemisahan Peran
    • sanitizedname - Nama CA yang disanitasi
    • sharedfolder - Folder bersama
    • subjecttemplateoids - OID Templat Subjek
    • templat - Templat
    • jenis - Jenis CA
    • xchg [Indeks] - sertifikat pertukaran CA
    • xchgchain [Indeks] - Rantai sertifikasi pertukaran CA
    • xchgcount - Jumlah sertifikasi pertukaran CA
    • xchgcrlchain [Indeks] - Rantai sertifikasi pertukaran CA dengan CRL
  • indeks adalah indeks properti berbasis nol opsional.
  • errorcode adalah kode kesalahan numerik.

Opsi:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Menampilkan informasi Tipe Properti CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opsi:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Mengambil sertifikat untuk otoritas sertifikasi.

certutil [options] -ca.cert OutCACertFile [Index]

Mana:

  • OutCACertFile adalah file output.
  • Indeks adalah indeks perpanjangan sertifikat CA (default ke terbaru).

Opsi:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Mengambil rantai sertifikat untuk otoritas sertifikasi.

certutil [options] -ca.chain OutCACertChainFile [Index]

Mana:

  • OutCACertChainFile adalah file output.
  • Indeks adalah indeks perpanjangan sertifikat CA (default ke terbaru).

Opsi:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Mendapatkan daftar pencabutan sertifikat (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Mana:

  • Indeks adalah indeks CRL atau indeks kunci (default ke CRL untuk kunci terbaru).
  • delta adalah delta CRL (defaultnya adalah CRL dasar).

Opsi:

[-f] [-split] [-config Machine\CAName]

-CRL

Menerbitkan daftar pencabutan sertifikat (CRL) atau CRL delta baru.

certutil [options] -CRL [dd:hh | republish] [delta]

Mana:

  • dd:hh adalah periode validitas CRL baru dalam hari dan jam.
  • menerbitkan ulang penerbitan ulang CRL terbaru.
  • delta menerbitkan CRL delta saja (defaultnya adalah CRL dasar dan delta).

Opsi:

[-split] [-config Machine\CAName]

-Shutdown

Mematikan Layanan Sertifikat Direktori Aktif.

certutil [options] -shutdown

Opsi:

[-config Machine\CAName]

-installCert

Menginstal sertifikat otoritas sertifikasi.

certutil [options] -installCert [CACertFile]

Opsi:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Memperbarui sertifikat otoritas sertifikasi.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opsi:

[-f] [-silent] [-config Machine\CAName]
  • Gunakan -f untuk mengabaikan permintaan perpanjangan yang luar biasa, dan untuk menghasilkan permintaan baru.

-Skema

Mencadangkan skema untuk sertifikat.

certutil [options] -schema [Ext | Attrib | CRL]

Mana:

  • Perintah default ke tabel Permintaan dan Sertifikat.
  • Ext adalah tabel ekstensi.
  • Atribut adalah tabel atribut.
  • CRL adalah tabel CRL.

Opsi:

[-split] [-config Machine\CAName]

-Lihat

Mencadangkan tampilan sertifikat.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Mana:

  • Antrean mencadangkan antrean permintaan tertentu.
  • Log mencadangkan sertifikat yang dikeluarkan atau dicabut, ditambah permintaan yang gagal.
  • LogFail mencadangkan permintaan yang gagal.
  • Mencabut cadangan sertifikat yang dicabut.
  • Mengecualikan pembuangan tabel ekstensi.
  • Attrib mencadangkan tabel atribut.
  • CRL mencadangkan tabel CRL.
  • csv menyediakan output menggunakan nilai yang dipisahkan koma.

Opsi:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Keterangan

  • Untuk menampilkan kolom StatusCode untuk semua entri, ketik -out StatusCode
  • Untuk menampilkan semua kolom untuk entri terakhir, ketik: -restrict RequestId==$
  • Untuk menampilkan RequestId dan Disposition untuk tiga permintaan, ketik: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • Untuk menampilkan ID Baris ID Baris dan nomor CRL untuk semua CRL Dasar, ketik:-restrict crlminbase=0 -out crlrowID,crlnumber crl
  • Untuk menampilkan CRL Dasar nomor 3, ketik: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • Untuk menampilkan seluruh tabel CRL, ketik: CRL
  • Gunakan Date[+|-dd:hh] untuk pembatasan tanggal.
  • Gunakan now+dd:hh untuk tanggal relatif terhadap waktu saat ini.
  • Templat berisi Extended Key Usages (EKUs), yang merupakan pengidentifikasi objek (OID) yang menjelaskan cara sertifikat digunakan. Sertifikat tidak selalu menyertakan nama umum templat atau nama tampilan, tetapi selalu berisi EKUs templat. Anda dapat mengekstrak EKUs untuk templat sertifikat tertentu dari Direktori Aktif lalu membatasi tampilan berdasarkan ekstensi tersebut.

-Db

Mencadangkan database mentah.

certutil [options] -db

Opsi:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Menghapus baris dari database server.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Mana:

  • Permintaan menghapus permintaan yang gagal dan tertunda, berdasarkan tanggal pengiriman.
  • Cert menghapus sertifikat yang kedaluwarsa dan dicabut, berdasarkan tanggal kedaluwarsa.
  • Ext menghapus tabel ekstensi.
  • Attrib menghapus tabel atribut.
  • CRL menghapus tabel CRL.

Opsi:

[-f] [-config Machine\CAName]

Contoh

  • Untuk menghapus permintaan yang gagal dan tertunda yang dikirimkan sebelum 22 Januari 2001, ketik: 1/22/2001 request
  • Untuk menghapus semua sertifikat yang kedaluwarsa pada 22 Januari 2001, ketik: 1/22/2001 cert
  • Untuk menghapus baris sertifikat, atribut, dan ekstensi untuk RequestID 37, ketik: 37
  • Untuk menghapus CRL yang kedaluwarsa pada 22 Januari 2001, ketik: 1/22/2001 crl

Catatan

Tanggal mengharapkan formatmm/dd/yyyy, bukan dd/mm/yyyy1/22/200122/1/2001 untuk 22 Januari 2001. Jika server Anda tidak dikonfigurasi dengan pengaturan regional AS, menggunakan argumen Tanggal mungkin menghasilkan hasil yang tidak terduga.

-Cadangan

Mencadangkan Layanan Sertifikat Direktori Aktif.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Mana:

  • BackupDirectory adalah direktori untuk menyimpan data yang dicadangkan.
  • Inkremental melakukan pencadangan inkremental saja (defaultnya adalah pencadangan penuh).
  • KeepLog mempertahankan file log database (defaultnya adalah memotong file log).

Opsi:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Mencadangkan database Layanan Sertifikat Direktori Aktif.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Mana:

  • BackupDirectory adalah direktori untuk menyimpan file database yang dicadangkan.
  • Inkremental melakukan pencadangan inkremental saja (defaultnya adalah pencadangan penuh).
  • KeepLog mempertahankan file log database (defaultnya adalah memotong file log).

Opsi:

[-f] [-config Machine\CAName]

-backupkey

Mencadangkan sertifikat Layanan Sertifikat Direktori Aktif dan kunci privat.

certutil [options] -backupkey BackupDirectory

Mana:

  • BackupDirectory adalah direktori untuk menyimpan file PFX yang dicadangkan.

Opsi:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Memulihkan Layanan Sertifikat Direktori Aktif.

certutil [options] -restore BackupDirectory

Mana:

  • BackupDirectory adalah direktori yang berisi data yang akan dipulihkan.

Opsi:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Memulihkan database Layanan Sertifikat Direktori Aktif.

certutil [options] -restoredb BackupDirectory

Mana:

  • BackupDirectory adalah direktori yang berisi file database yang akan dipulihkan.

Opsi:

[-f] [-config Machine\CAName]

-restorekey

Memulihkan sertifikat Layanan Sertifikat Direktori Aktif dan kunci privat.

certutil [options] -restorekey BackupDirectory | PFXFile

Mana:

  • BackupDirectory adalah direktori yang berisi file PFX yang akan dipulihkan.
  • PFXFile adalah file PFX yang akan dipulihkan.

Opsi:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Mengekspor sertifikat dan kunci privat. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.
  • CertId adalah sertifikat atau token kecocokan CRL.
  • PFXFile adalah file PFX yang akan diekspor.
  • Pengubah adalah daftar yang dipisahkan koma, yang dapat menyertakan satu atau beberapa hal berikut:
    • CryptoAlgorithm= menentukan algoritma kriptografi yang akan digunakan untuk mengenkripsi file PFX, seperti TripleDES-Sha1 atau Aes256-Sha256.
    • EncryptCert - Mengenkripsi kunci privat yang terkait dengan sertifikat dengan kata sandi.
    • ExportParameters -Mengekspor parameter kunci privat selain sertifikat dan kunci privat.
    • ExtendedProperties - Mencakup semua properti yang diperluas yang terkait dengan sertifikat dalam file output.
    • NoEncryptCert - Mengekspor kunci privat tanpa mengenkripsinya.
    • NoChain - Tidak mengimpor rantai sertifikat.
    • NoRoot - Tidak mengimpor sertifikat akar.

-importPFX

Mengimpor sertifikat dan kunci privat. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.
  • PFXFile adalah file PFX yang akan diimpor.
  • Pengubah adalah daftar yang dipisahkan koma, yang dapat menyertakan satu atau beberapa hal berikut:
    • AT_KEYEXCHANGE - Mengubah keyspec menjadi pertukaran kunci.
    • AT_SIGNATURE - Mengubah keyspec menjadi tanda tangan.
    • ExportEncrypted - Mengekspor kunci privat yang terkait dengan sertifikat dengan enkripsi kata sandi.
    • FriendlyName= - Menentukan nama yang mudah diingat untuk sertifikat yang diimpor.
    • KeyDescription= - Menentukan deskripsi untuk kunci privat yang terkait dengan sertifikat yang diimpor.
    • KeyFriendlyName= - Menentukan nama yang mudah diingat untuk kunci privat yang terkait dengan sertifikat yang diimpor.
    • NoCert - Tidak mengimpor sertifikat.
    • NoChain - Tidak mengimpor rantai sertifikat.
    • NoExport - Membuat kunci privat tidak dapat diekspor.
    • NoProtect - Tidak melindungi kunci kata sandi dengan menggunakan kata sandi.
    • NoRoot - Tidak mengimpor sertifikat akar.
    • Pkcs8 - Menggunakan format PKCS8 untuk kunci privat dalam file PFX.
    • Lindungi - Melindungi kunci dengan menggunakan kata sandi.
    • ProtectHigh - Menentukan bahwa kata sandi keamanan tinggi harus dikaitkan dengan kunci privat.
    • VSM - Menyimpan kunci privat yang terkait dengan sertifikat yang diimpor dalam kontainer Virtual Smart Card (VSC).

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Keterangan

  • Default ke penyimpanan komputer pribadi.

-dynamicfilelist

Menampilkan daftar file dinamis.

certutil [options] -dynamicfilelist

Opsi:

[-config Machine\CAName]

-databaselocations

Menampilkan lokasi database.

certutil [options] -databaselocations

Opsi:

[-config Machine\CAName]

-hashfile

Menghasilkan dan menampilkan hash kriptografi atas file.

certutil [options] -hashfile InFile [HashAlgorithm]

-Toko

Mencadangkan penyimpanan sertifikat.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat. Contohnya:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId adalah sertifikat atau token kecocokan CRL. ID ini dapat berupa:

    • Nomor seri
    • Sertifikat SHA-1
    • CRL, CTL, atau hash kunci publik
    • Indeks sertifikasi numerik (0, 1, dan sebagainya)
    • Indeks CRL numerik (.0, .1, dan sebagainya)
    • Indeks CTL numerik (.. 0, .. 1, dan sebagainya)
    • Kunci umum
    • ObjectId tanda tangan atau ekstensi
    • Nama Umum subjek sertifikat
    • Alamat email
    • Nama UPN atau DNS
    • Nama kontainer kunci atau nama CSP
    • Nama templat atau ObjectId
    • ObjectId Kebijakan EKU atau Aplikasi
    • Nama Umum penerbit CRL.

Banyak dari pengidentifikasi ini dapat mengakibatkan beberapa kecocokan.

  • OutputFile adalah file yang digunakan untuk menyimpan sertifikat yang cocok.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • Opsi -user mengakses penyimpanan pengguna alih-alih penyimpanan mesin.
  • Opsi -enterprise mengakses penyimpanan perusahaan mesin.
  • Opsi -service mengakses penyimpanan layanan mesin.
  • Opsi -grouppolicy mengakses penyimpanan kebijakan grup komputer.

Contoh:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Catatan

Masalah performa diamati saat menggunakan parameter mengingat -store dua aspek ini:

  1. Ketika jumlah sertifikat di penyimpanan melebihi 10.
  2. Saat CertId ditentukan, CertId digunakan untuk mencocokkan semua jenis yang tercantum untuk setiap sertifikat. Misalnya, jika nomor seri disediakan, nomor seri juga akan mencoba mencocokkan semua jenis yang tercantum lainnya.

Jika Anda khawatir tentang masalah performa, perintah PowerShell direkomendasikan di mana perintah tersebut hanya akan cocok dengan jenis sertifikat yang ditentukan.

-enumstore

Menghitung penyimpanan sertifikat.

certutil [options] -enumstore [\\MachineName]

Mana:

  • MachineName adalah nama komputer jarak jauh.

Opsi:

[-enterprise] [-user] [-grouppolicy]

-addstore

Menambahkan sertifikat ke penyimpanan. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -addstore CertificateStoreName InFile

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.
  • InFile adalah sertifikat atau file CRL yang ingin Anda tambahkan ke penyimpanan.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Menghapus sertifikat dari penyimpanan. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -delstore CertificateStoreName certID

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.
  • CertId adalah sertifikat atau token kecocokan CRL.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Memverifikasi sertifikat di penyimpanan. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -verifystore CertificateStoreName [CertId]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.
  • CertId adalah sertifikat atau token kecocokan CRL.

Opsi:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Memperbaiki asosiasi kunci atau memperbarui properti sertifikat atau pendeskripsi keamanan utama. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat.

  • CertIdList adalah daftar sertifikat yang dipisahkan koma atau token kecocokan CRL. Untuk informasi selengkapnya, lihat -store deskripsi CertId di artikel ini.

  • PropertyInfFile adalah file INF yang berisi properti eksternal, termasuk:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Mencadangkan penyimpanan sertifikat. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat. Contohnya:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId adalah sertifikat atau token kecocokan CRL. Ini bisa berupa:

    • Nomor seri
    • Sertifikat SHA-1
    • CRL, CTL, atau hash kunci publik
    • Indeks sertifikasi numerik (0, 1, dan sebagainya)
    • Indeks CRL numerik (.0, .1, dan sebagainya)
    • Indeks CTL numerik (.. 0, .. 1, dan sebagainya)
    • Kunci umum
    • ObjectId tanda tangan atau ekstensi
    • Nama Umum subjek sertifikat
    • Alamat email
    • Nama UPN atau DNS
    • Nama kontainer kunci atau nama CSP
    • Nama templat atau ObjectId
    • ObjectId Kebijakan EKU atau Aplikasi
    • Nama Umum penerbit CRL.

Banyak dari ini dapat mengakibatkan beberapa kecocokan.

  • OutputFile adalah file yang digunakan untuk menyimpan sertifikat yang cocok.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Opsi -user mengakses penyimpanan pengguna alih-alih penyimpanan mesin.
  • Opsi -enterprise mengakses penyimpanan perusahaan mesin.
  • Opsi -service mengakses penyimpanan layanan mesin.
  • Opsi -grouppolicy mengakses penyimpanan kebijakan grup komputer.

Contohnya:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Menghapus sertifikat dari penyimpanan.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Mana:

  • CertificateStoreName adalah nama penyimpanan sertifikat. Contohnya:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId adalah sertifikat atau token kecocokan CRL. Ini bisa berupa:

    • Nomor seri
    • Sertifikat SHA-1
    • CRL, CTL, atau hash kunci publik
    • Indeks sertifikasi numerik (0, 1, dan sebagainya)
    • Indeks CRL numerik (.0, .1, dan sebagainya)
    • Indeks CTL numerik (.. 0, .. 1, dan sebagainya)
    • Kunci umum
    • ObjectId tanda tangan atau ekstensi
    • Nama Umum subjek sertifikat
    • Alamat email
    • Nama UPN atau DNS
    • Nama kontainer kunci atau nama CSP
    • Nama templat atau ObjectId
    • ObjectId Kebijakan EKU atau Aplikasi
    • Nama Umum penerbit CRL. Banyak dari ini dapat mengakibatkan beberapa kecocokan.

  • OutputFile adalah file yang digunakan untuk menyimpan sertifikat yang cocok.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Opsi -user mengakses penyimpanan pengguna alih-alih penyimpanan mesin.
  • Opsi -enterprise mengakses penyimpanan perusahaan mesin.
  • Opsi -service mengakses penyimpanan layanan mesin.
  • Opsi -grouppolicy mengakses penyimpanan kebijakan grup komputer.

Contohnya:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

Memanggil antarmuka certutil.

certutil [options] -UI File [import]

-TPMInfo

Menampilkan Informasi Modul Platform Tepercaya.

certutil [options] -TPMInfo

Opsi:

[-f] [-Silent] [-split]

-Membuktikan

Menentukan bahwa file permintaan sertifikat harus dibuktikan.

certutil [options] -attest RequestFile

Opsi:

[-user] [-Silent] [-split]

-getcert

Memilih sertifikat dari UI pilihan.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opsi:

[-Silent] [-split]

-ds

Menampilkan nama khusus layanan direktori (DS).

certutil [options] -ds [CommonName]

Opsi:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Menghapus DS DN.

certutil [options] -dsDel [CommonName]

Opsi:

[-user] [-split] [-dc DCName]

-dsPublish

Menerbitkan sertifikat atau daftar pencabutan sertifikat (CRL) ke Direktori Aktif.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Mana:

  • CertFile adalah nama file sertifikat yang akan diterbitkan.
  • NTAuthCA menerbitkan sertifikat ke penyimpanan DS Enterprise.
  • RootCA menerbitkan sertifikat ke penyimpanan Akar Tepercaya DS.
  • SubCA menerbitkan sertifikat CA ke objek CA DS.
  • CrossCA menerbitkan sertifikat silang ke objek CA DS.
  • KRA menerbitkan sertifikat ke objek Agen Pemulihan Kunci DS.
  • Pengguna menerbitkan sertifikat ke objek DS Pengguna.
  • Komputer menerbitkan sertifikat ke objek Machine DS.
  • CRLfile adalah nama file CRL yang akan diterbitkan.
  • DSCDPContainer adalah CN kontainer CDP DS, biasanya nama komputer CA.
  • DSCDPCN adalah CN objek CDP DS berdasarkan nama pendek CA dan indeks kunci yang dibersihkan.

Opsi:

[-f] [-user] [-dc DCName]
  • Gunakan -f untuk membuat objek DS baru.

-dsCert

Menampilkan sertifikat DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opsi:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Menampilkan CRL DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opsi:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Menampilkan CRL delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opsi:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Menampilkan atribut templat DS.

certutil [options] -dsTemplate [Template]

Opsi:

[Silent] [-dc DCName]

-dsAddTemplate

Menambahkan templat DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opsi:

[-dc DCName]

-ADTemplate

Menampilkan templat Direktori Aktif.

certutil [options] -ADTemplate [Template]

Opsi:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Menampilkan templat kebijakan pendaftaran sertifikat.

Opsi:

certutil [options] -Template [Template]

Opsi:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Menampilkan otoritas sertifikasi (CA) untuk templat sertifikat.

certutil [options] -TemplateCAs Template

Opsi:

[-f] [-user] [-dc DCName]

-CATemplates

Menampilkan templat untuk Otoritas Sertifikat.

certutil [options] -CATemplates [Template]

Opsi:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Mengatur templat sertifikat yang dapat dikeluarkan Otoritas Sertifikat.

certutil [options] -SetCATemplates [+ | -] TemplateList

Mana:

  • Tanda + menambahkan templat sertifikat ke daftar templat CA yang tersedia.
  • Tanda - menghapus templat sertifikat dari daftar templat CA yang tersedia.

-SetCASites

Mengelola nama situs, termasuk mengatur, memverifikasi, dan menghapus nama situs Otoritas Sertifikat.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Mana:

  • SiteName hanya diperbolehkan saat menargetkan satu Otoritas Sertifikat.

Opsi:

[-f] [-config Machine\CAName] [-dc DCName]

Keterangan

  • Opsi menargetkan -config satu Otoritas Sertifikat (defaultnya adalah semua CA).
  • Opsi -f dapat digunakan untuk menimpa kesalahan validasi untuk SiteName yang ditentukan atau untuk menghapus semua nama situs CA.

Catatan

Untuk informasi selengkapnya tentang mengonfigurasi CA untuk kesadaran situs Active Directory Domain Services (AD DS), lihat Kesadaran Situs AD DS untuk klien AD CS dan PKI.

-enrollmentServerURL

Menampilkan, menambahkan, atau menghapus URL server pendaftaran yang terkait dengan CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Mana:

  • AuthenticationType menentukan salah satu metode autentikasi klien berikut saat menambahkan URL:
    • Kerberos - Gunakan kredensial SSL Kerberos.
    • UserName - Gunakan akun bernama untuk kredensial SSL.
    • ClientCertificate - Gunakan kredensial SSL Sertifikat X.509.
    • Anonim - Gunakan kredensial SSL anonim.
  • hapus menghapus URL yang ditentukan yang terkait dengan CA.
  • Prioritas default ke 1 jika tidak ditentukan saat menambahkan URL.
  • Pengubah adalah daftar yang dipisahkan koma, yang mencakup satu atau beberapa hal berikut:
    • AllowRenewalsOnly hanya permintaan perpanjangan yang dapat dikirimkan ke CA ini melalui URL ini.
    • AllowKeyBasedRenewal memungkinkan penggunaan sertifikat yang tidak memiliki akun terkait di AD. Ini hanya berlaku dengan mode ClientCertificate dan AllowRenewalsOnly .

Opsi:

[-config Machine\CAName] [-dc DCName]

-ADCA

Menampilkan Otoritas Sertifikat Direktori Aktif.

certutil [options] -ADCA [CAName]

Opsi:

[-f] [-split] [-dc DCName]

--ca

Menampilkan kebijakan pendaftaran Otoritas Sertifikat.

certutil [options] -CA [CAName | TemplateName]

Opsi:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Kebijakan

Menampilkan kebijakan pendaftaran.

certutil [options] -Policy

Opsi:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Menampilkan atau menghapus entri cache kebijakan pendaftaran.

certutil [options] -PolicyCache [delete]

Mana:

  • hapus menghapus entri cache server kebijakan.
  • -f menghapus semua entri cache

Opsi:

[-f] [-user] [-policyserver URLorID]

-CredStore

Menampilkan, menambahkan, atau menghapus entri Penyimpanan Kredensial.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Mana:

  • URL adalah URL target. Anda juga dapat menggunakan * untuk mencocokkan semua entri atau https://machine* untuk mencocokkan awalan URL.
  • tambahkan entri penyimpanan kredensial. Menggunakan opsi ini juga memerlukan penggunaan kredensial SSL.
  • menghapus entri penyimpanan kredensial.
  • -f menimpa satu entri atau menghapus beberapa entri.

Opsi:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Menginstal templat sertifikat default.

certutil [options] -InstallDefaultTemplates

Opsi:

[-dc DCName]

-URL

Memverifikasi sertifikat atau URL CRL.

certutil [options] -URL InFile | URL

Opsi:

[-f] [-split]

-URLCache

Menampilkan atau menghapus entri singgahan URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Mana:

  • URL adalah URL yang di-cache.
  • CRL hanya berjalan pada semua URL CRL yang di-cache.
  • * beroperasi pada semua URL yang di-cache.
  • hapus menghapus URL yang relevan dari cache lokal pengguna saat ini.
  • -f memaksa mengambil URL tertentu dan memperbarui cache.

Opsi:

[-f] [-split]

-Pulsa

Pulses peristiwa pendaftaran otomatis atau tugas NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Mana:

  • TaskName adalah tugas yang akan dipicu.
    • Pregen adalah tugas NGC Key pregen.
    • AIKEnroll adalah tugas pendaftaran sertifikat AIK NGC. (Default ke peristiwa pendaftaran otomatis).
  • SRKThumbprint adalah thumbprint dari Kunci Akar Penyimpanan
  • Pengubah:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

Opsi:

[-user]

-MachineInfo

Menampilkan informasi tentang objek komputer Direktori Aktif.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Menampilkan informasi tentang pengendali domain. Default menampilkan sertifikat DC tanpa verifikasi.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

  • Pengubah:

    • Verifikasi
    • DeleteBad
    • HapusSemua

Opsi:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

Kemampuan untuk menentukan domain Active Directory Domain Services (AD DS) [Domain] dan untuk menentukan pengendali domain (-dc) ditambahkan di Windows Server 2012. Agar berhasil menjalankan perintah, Anda harus menggunakan akun yang merupakan anggota Admin Domain atau Admin Perusahaan. Modifikasi perilaku perintah ini adalah sebagai berikut:

  • Jika domain tidak ditentukan dan pengontrol domain tertentu tidak ditentukan, opsi ini mengembalikan daftar pengendali domain untuk diproses dari pengendali domain default.
  • Jika domain tidak ditentukan, tetapi pengendali domain ditentukan, laporan sertifikat pada pengendali domain yang ditentukan dibuat.
  • Jika domain ditentukan, tetapi pengontrol domain tidak ditentukan, daftar pengendali domain dihasilkan bersama dengan laporan tentang sertifikat untuk setiap pengontrol domain dalam daftar.
  • Jika domain dan pengendali domain ditentukan, daftar pengendali domain dihasilkan dari pengendali domain yang ditargetkan. Laporan sertifikat untuk setiap pengontrol domain dalam daftar juga dihasilkan.

Misalnya, asumsikan ada domain bernama CPANDL dengan pengendali domain bernama CPANDL-DC1. Anda dapat menjalankan perintah berikut untuk mengambil daftar pengendali domain dan sertifikatnya dari CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Menampilkan informasi tentang Otoritas Sertifikat perusahaan.

certutil [options] -EntInfo DomainName\MachineName$

Opsi:

[-f] [-user]

-TCAInfo

Menampilkan informasi tentang Otoritas Sertifikat.

certutil [options] -TCAInfo [DomainDN | -]

Opsi:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Menampilkan informasi tentang kartu pintar.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Mana:

  • CRYPT_DELETEKEYSET menghapus semua kunci pada kartu pintar.

Opsi:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Mengelola sertifikat akar kartu pintar.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opsi:

[-f] [-split] [-p Password]

-Kunci

Mencantumkan kunci yang disimpan dalam kontainer kunci.

certutil [options] -key [KeyContainerName | -]

Mana:

  • KeyContainerName adalah nama kontainer kunci untuk memverifikasi kunci. Opsi ini default ke kunci komputer. Untuk beralih ke kunci pengguna, gunakan -user.
  • - Menggunakan tanda mengacu pada penggunaan kontainer kunci default.

Opsi:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Menghapus kontainer kunci bernama.

certutil [options] -delkey KeyContainerName

Opsi:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Menghapus kontainer Windows Hello, menghapus semua kredensial terkait yang disimpan di perangkat, termasuk kredensial WebAuthn dan FIDO apa pun.

Pengguna perlu keluar setelah menggunakan opsi ini untuk menyelesaikannya.

certutil [options] -DeleteHelloContainer

-verifykeys

Memverifikasi kumpulan kunci publik atau privat.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Mana:

  • KeyContainerName adalah nama kontainer kunci untuk memverifikasi kunci. Opsi ini default ke kunci komputer. Untuk beralih ke kunci pengguna, gunakan -user.
  • CACertFile menandatangani atau mengenkripsi file sertifikat.

Opsi:

[-f] [-user] [-Silent] [-config Machine\CAName]

Keterangan

  • Jika tidak ada argumen yang ditentukan, setiap sertifikat CA penandatanganan diverifikasi terhadap kunci privatnya.
  • Operasi ini hanya dapat dilakukan terhadap CA lokal atau kunci lokal.

-Memverifikasi

Memverifikasi sertifikat, daftar pencabutan sertifikat (CRL), atau rantai sertifikat.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Mana:

  • CertFile adalah nama sertifikat untuk diverifikasi.
  • ApplicationPolicyList adalah daftar objectId Kebijakan Aplikasi yang diperlukan yang dipisahkan koma opsional.
  • IssuancePolicyList adalah daftar opsional yang dipisahkan koma dari ObjectId Kebijakan Penerbitan yang diperlukan.
  • CACertFile adalah sertifikat CA penerbit opsional untuk diverifikasi.
  • CrossedCACertFile adalah sertifikat opsional yang disertifikasi silang oleh CertFile.
  • CRLFile adalah file CRL yang digunakan untuk memverifikasi CACertFile.
  • IssuedCertFile adalah sertifikat opsional yang dikeluarkan yang dicakup oleh CRLfile.
  • DeltaCRLFile adalah file CRL delta opsional.
  • Pengubah:
    • Kuat - Verifikasi tanda tangan yang kuat
    • MSRoot - Harus di-chain ke akar Microsoft
    • MSTestRoot - Harus di-chain ke akar pengujian Microsoft
    • AppRoot - Harus di-chain ke akar aplikasi Microsoft
    • EV - Menerapkan Kebijakan Validasi yang Diperpanjang

Opsi:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Keterangan

  • Menggunakan ApplicationPolicyList membatasi pembuatan rantai hanya untuk rantai yang valid untuk Kebijakan Aplikasi yang ditentukan.
  • Menggunakan IssuancePolicyList membatasi pembuatan rantai hanya untuk rantai yang valid untuk Kebijakan Penerbitan yang ditentukan.
  • Menggunakan CACertFile memverifikasi bidang dalam file terhadap CertFile atau CRLfile.
  • Jika CACertFile tidak ditentukan, rantai penuh dibangun dan diverifikasi terhadap CertFile.
  • Jika CACertFile dan CrossedCACertFile ditentukan, bidang di kedua file diverifikasi terhadap CertFile.
  • Menggunakan IssuedCertFile memverifikasi bidang dalam file terhadap CRLfile.
  • Menggunakan DeltaCRLFile memverifikasi bidang dalam file terhadap CertFile.

-verifyCTL

Memverifikasi AuthRoot atau CTL Sertifikat yang Tidak Diizinkan.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Mana:

  • CTLObject mengidentifikasi CTL untuk diverifikasi, termasuk:

    • AuthRootWU membaca AuthRoot CAB dan sertifikat yang cocok dari cache URL. Gunakan -f untuk mengunduh dari Windows Update sebagai gantinya.
    • Tidak diizinkanWU membaca CAB Sertifikat yang Tidak Diizinkan dan file penyimpanan sertifikat yang tidak diizinkan dari cache URL. Gunakan -f untuk mengunduh dari Windows Update sebagai gantinya.
      • PinRulesWU membaca PinRules CAB dari cache URL. Gunakan -f untuk mengunduh dari Windows Update sebagai gantinya.
    • AuthRoot membaca AuthRoot CTL yang di-cache registri. Gunakan dengan -f dan CertFile yang tidak tepercaya untuk memaksa registri cache AuthRoot dan CTL Sertifikat yang Tidak Diizinkan untuk diperbarui.
    • Tidak diizinkan membaca CTL Sertifikat tidak diizinkan yang di-cache registri. Gunakan dengan -f dan CertFile yang tidak tepercaya untuk memaksa registri cache AuthRoot dan CTL Sertifikat yang Tidak Diizinkan untuk diperbarui.
      • PinRules membaca registri yang di-cache PinRules CTL. Menggunakan -f memiliki perilaku yang sama seperti dengan PinRulesWU.
    • CTLFileName menentukan file atau jalur http ke file CTL atau CAB.

  • CertDir menentukan folder yang berisi sertifikat yang cocok dengan entri CTL. Default ke folder atau situs web yang sama dengan CTLobject. Menggunakan jalur folder http memerlukan pemisah jalur di akhir. Jika Anda tidak menentukan AuthRoot atau Tidak Diizinkan, beberapa lokasi dicari untuk sertifikat yang cocok, termasuk penyimpanan sertifikat lokal, sumber daya crypt32.dll, dan cache URL lokal. Gunakan -f untuk mengunduh dari Windows Update, sesuai kebutuhan.

  • CertFile menentukan sertifikat untuk diverifikasi. Sertifikat dicocokkan dengan entri CTL, menampilkan hasilnya. Opsi ini menekan sebagian besar output default.

Opsi:

[-f] [-user] [-split]

-syncWithWU

Menyinkronkan sertifikat dengan Windows Update.

certutil [options] -syncWithWU DestinationDir

Mana:

  • DestinationDir adalah direktori yang ditentukan.
  • f memaksa penimpaan.
  • Unicode menulis output yang dialihkan di Unicode.
  • gmt menampilkan waktu sebagai GMT.
  • detik menampilkan waktu dengan detik dan milidetik.
  • v adalah operasi verbose.
  • PIN adalah PIN Kartu Pintar.
  • WELL_KNOWN_SID_TYPE adalah SID numerik:
    • 22 - Sistem Lokal
    • 23 - Layanan Lokal
    • 24 - Layanan Jaringan

Keterangan

File berikut diunduh dengan menggunakan mekanisme pembaruan otomatis:

  • authrootstl.cab berisi CTL sertifikat akar non-Microsoft.
  • disallowedcertstl.cab berisi CTL sertifikat yang tidak tepercaya.
  • disallowedcert.sst berisi penyimpanan sertifikat berseri, termasuk sertifikat yang tidak tepercaya.
  • thumbprint.crt berisi sertifikat akar non-Microsoft.

Contohnya, certutil -syncWithWU \\server1\PKI\CTLs.

  • Jika Anda menggunakan jalur atau folder lokal yang tidak ada sebagai folder tujuan, Anda akan melihat kesalahan: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Jika Anda menggunakan lokasi jaringan yang tidak ada atau tidak tersedia sebagai folder tujuan, Anda akan melihat kesalahan: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Jika server Anda tidak dapat tersambung melalui port TCP 80 ke server Pembaruan Otomatis Microsoft, Anda menerima kesalahan berikut: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Jika server Anda tidak dapat menjangkau server Pembaruan Otomatis Microsoft dengan nama ctldl.windowsupdate.comDNS , Anda menerima kesalahan berikut: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Jika Anda tidak menggunakan sakelar -f , dan salah satu file CTL sudah ada di direktori, Anda menerima kesalahan file yang ada: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • Jika ada perubahan pada sertifikat akar tepercaya, Anda akan melihat: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opsi:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Menghasilkan file penyimpanan yang disinkronkan dengan Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Mana:

  • SSTFile adalah file yang .sst akan dihasilkan yang berisi Akar Pihak Ketiga yang diunduh dari Windows Update.

Opsi:

[-f] [-split]

-generatePinRulesCTL

Menghasilkan file Daftar Kepercayaan Sertifikat (CTL) yang berisi daftar aturan penyematan.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Mana:

  • XMLFile adalah file XML input yang akan diurai.
  • CTLFile adalah file CTL output yang akan dihasilkan.
  • SSTFile adalah file .sst opsional yang akan dibuat yang berisi semua sertifikat yang digunakan untuk penyematan.
  • QueryFilesPrefix adalah file Domains.csv dan Keys.csv opsional yang akan dibuat untuk kueri database.
    • String QueryFilesPrefix diawali ke setiap file yang dibuat.
    • File Domains.csv berisi nama aturan, baris domain.
    • File Keys.csv berisi nama aturan, baris thumbprint SHA256 kunci.

Opsi:

[-f]

-downloadOcsp

Mengunduh respons dan penulisan OCSP ke direktori.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Mana:

  • CertificateDir adalah direktori sertifikat, penyimpanan, dan file PFX.
  • OcspDir adalah direktori untuk menulis respons OCSP.
  • ThreadCount adalah jumlah maksimum utas opsional untuk pengunduhan bersamaan. Defaultnya adalah 10.
  • Pengubah adalah daftar yang dipisahkan koma dari satu atau beberapa hal berikut:
    • DownloadOnce - Unduhan sekali dan keluar.
    • ReadOcsp - Membaca dari OcspDir alih-alih menulis.

-generateHpkpHeader

Menghasilkan header HPKP menggunakan sertifikat dalam file atau direktori tertentu.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Mana:

  • CertFileOrDir adalah file atau direktori sertifikat, yang merupakan sumber pin-sha256.
  • MaxAge adalah nilai usia maksimal dalam hitungan detik.
  • ReportUri adalah report-uri opsional.
  • Pengubah adalah daftar yang dipisahkan koma dari satu atau beberapa hal berikut:
    • includeSubDomains - Menambahkan includeSubDomains.

-flushCache

Menghapus cache yang ditentukan dalam proses yang dipilih, seperti, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Mana:

  • ProcessId adalah ID numerik dari proses untuk memerah. Atur ke 0 untuk menghapus semua proses di mana flush diaktifkan.

  • CacheMask adalah masker bit cache yang akan disiram baik numerik atau bit berikut:

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

  • Pengubah adalah daftar yang dipisahkan koma dari satu atau beberapa hal berikut:

    • Tampilkan - Menampilkan cache yang sedang dibersihkan. Certutil harus dihentikan secara eksplisit.

-addEccCurve

Menambahkan Kurva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Mana:

  • CurveClass adalah jenis Kelas Kurva ECC:

    • WEIERSTRASS (Default)
    • MONTGOMERY
    • TWISTED_EDWARDS

  • CurveName adalah nama Kurva ECC.

  • CurveParameters adalah salah satu hal berikut:

    • Nama file sertifikat yang berisi parameter yang dikodekan ASN.
    • File yang berisi parameter yang dikodekan ASN.

  • CurveOID adalah ECC Curve OID dan merupakan salah satu hal berikut:

    • Nama file sertifikat yang berisi OID yang dikodekan ASN.
    • OID Kurva ECC eksplisit.

  • CurveType adalah titik Schannel ECC NamedCurve (numerik).

Opsi:

[-f]

-deleteEccCurve

Menghapus Kurva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Mana:

  • CurveName adalah nama Kurva ECC.
  • CurveOID adalah OID Kurva ECC.

Opsi:

[-f]

-displayEccCurve

Menampilkan Kurva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Mana:

  • CurveName adalah nama Kurva ECC.
  • CurveOID adalah OID Kurva ECC.

Opsi:

[-f]

-csplist

Mencantumkan penyedia layanan kriptografi (CSP) yang diinstal pada komputer ini untuk operasi kriptografi.

certutil [options] -csplist [Algorithm]

Opsi:

[-user] [-Silent] [-csp Provider]

-csptest

Menguji CSP yang diinstal pada komputer ini.

certutil [options] -csptest [Algorithm]

Opsi:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Menampilkan konfigurasi kriptografi CNG pada komputer ini.

certutil [options] -CNGConfig

Opsi:

[-Silent]

-Tanda

Menandatangani kembali daftar pencabutan sertifikat (CRL) atau sertifikat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Mana:

  • InFileList adalah daftar sertifikat atau file CRL yang dipisahkan koma untuk memodifikasi dan menandatangani ulang.

  • SerialNumber adalah nomor seri sertifikat yang akan dibuat. Periode validitas dan opsi lainnya tidak dapat ada.

  • CRL membuat CRL kosong. Periode validitas dan opsi lainnya tidak dapat ada.

  • OutFileList adalah daftar file sertifikat atau output CRL yang dipisahkan koma. Jumlah file harus cocok dengan infilelis.

  • StartDate+dd:hh adalah periode validitas baru untuk sertifikat atau file CRL, termasuk:

    • tanggal opsional plus
    • periode validitas hari dan jam opsional Jika beberapa bidang digunakan, gunakan pemisah (+) atau (-). Gunakan now[+dd:hh] untuk memulai pada saat ini. Gunakan now-dd:hh+dd:hh untuk memulai pada offset tetap dari waktu saat ini dan periode validitas tetap. Gunakan never untuk tidak memiliki tanggal kedaluwarsa (hanya untuk CRL).

  • SerialNumberList adalah daftar nomor seri yang dipisahkan koma dari file yang akan ditambahkan atau dihapus.

  • ObjectIdList adalah daftar ObjectId ekstensi yang dipisahkan koma dari file yang akan dihapus.

  • @ExtensionFile adalah file INF yang berisi ekstensi untuk diperbarui atau dihapus. Contohnya:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • HashAlgorithm adalah nama algoritma hash. Ini hanya boleh berupa teks yang didahului oleh # tanda.

  • AlternateSignatureAlgorithm adalah penentu algoritma tanda tangan alternatif.

Opsi:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Keterangan

  • Menggunakan tanda minus (-) menghapus nomor seri dan ekstensi.
  • Menggunakan tanda plus (+) menambahkan nomor seri ke CRL.
  • Anda dapat menggunakan daftar untuk menghapus nomor seri dan ObjectId dari CRL secara bersamaan.
  • Menggunakan tanda minus sebelum AlternateSignatureAlgorithm memungkinkan Anda menggunakan format tanda tangan warisan.
  • Menggunakan tanda plus memungkinkan Anda menggunakan format tanda tangan alternatif.
  • Jika Anda tidak menentukan AlternateSignatureAlgorithm, format tanda tangan dalam sertifikat atau CRL digunakan.

-vroot

Membuat atau menghapus akar virtual web dan berbagi file.

certutil [options] -vroot [delete]

-vocsproot

Membuat atau menghapus akar virtual web untuk proksi web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Menambahkan aplikasi Server Pendaftaran dan kumpulan aplikasi jika perlu untuk Otoritas Sertifikat yang ditentukan. Perintah ini tidak menginstal biner atau paket.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Mana:

  • addEnrollmentServer mengharuskan Anda menggunakan metode autentikasi untuk koneksi klien ke Server Pendaftaran Sertifikat, termasuk:

    • Kerberos menggunakan kredensial SSL Kerberos.
    • UserName menggunakan akun bernama untuk kredensial SSL.
    • ClientCertificate menggunakan kredensial SSL Sertifikat X.509.

  • Pengubah:

    • AllowRenewalsOnly hanya mengizinkan pengiriman permintaan perpanjangan ke Otoritas Sertifikat melalui URL.
    • AllowKeyBasedRenewal memungkinkan penggunaan sertifikat tanpa akun terkait di Direktori Aktif. Ini berlaku saat digunakan dengan mode ClientCertificate dan AllowRenewalsOnly .

Opsi:

[-config Machine\CAName]

-deleteEnrollmentServer

Menghapus aplikasi Server Pendaftaran dan kumpulan aplikasi jika perlu untuk Otoritas Sertifikat yang ditentukan. Perintah ini tidak menginstal biner atau paket.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Mana:

  • deleteEnrollmentServer mengharuskan Anda menggunakan metode autentikasi untuk koneksi klien ke Server Pendaftaran Sertifikat, termasuk:
    • Kerberos menggunakan kredensial SSL Kerberos.
    • UserName menggunakan akun bernama untuk kredensial SSL.
    • ClientCertificate menggunakan kredensial SSL Sertifikat X.509.

Opsi:

[-config Machine\CAName]

-addPolicyServer

Tambahkan aplikasi Policy Server dan kumpulan aplikasi, jika perlu. Perintah ini tidak menginstal biner atau paket.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Mana:

  • addPolicyServer mengharuskan Anda menggunakan metode autentikasi untuk koneksi klien ke Server Kebijakan Sertifikat, termasuk:
    • Kerberos menggunakan kredensial SSL Kerberos.
    • UserName menggunakan akun bernama untuk kredensial SSL.
    • ClientCertificate menggunakan kredensial SSL Sertifikat X.509.
  • KeyBasedRenewal memungkinkan penggunaan kebijakan yang dikembalikan ke klien yang berisi templat keybasedrenewal. Opsi ini hanya berlaku untuk autentikasi UserName dan ClientCertificate .

-deletePolicyServer

Menghapus aplikasi Policy Server dan kumpulan aplikasi, jika perlu. Perintah ini tidak menghapus biner atau paket.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Mana:

  • deletePolicyServer mengharuskan Anda menggunakan metode autentikasi untuk koneksi klien ke Server Kebijakan Sertifikat, termasuk:
    • Kerberos menggunakan kredensial SSL Kerberos.
    • UserName menggunakan akun bernama untuk kredensial SSL.
    • ClientCertificate menggunakan kredensial SSL Sertifikat X.509.
  • KeyBasedRenewal memungkinkan penggunaan server kebijakan KeyBasedRenewal.

-Kelas

Menampilkan informasi registri COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opsi:

[-f]

-7f

Memeriksa sertifikat untuk pengodean panjang 0x7f.

certutil [options] -7f CertFile

-oid

Menampilkan pengidentifikasi objek atau menyetel nama tampilan.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Mana:

  • ObjectId adalah ID yang akan ditampilkan atau ditambahkan ke nama tampilan.
  • GroupId adalah nomor GroupID (desimal) yang dijumlahkan ObjectIds.
  • AlgId adalah ID heksadesimal yang dicari objectID.
  • AlgorithmName adalah nama algoritma yang dicari objectID.
  • DisplayName menampilkan nama yang akan disimpan di DS.
  • Hapus menghapus nama tampilan.
  • LanguageId adalah nilai ID bahasa (default ke saat ini: 1033).
  • Jenis adalah jenis objek DS yang akan dibuat, termasuk:
    • 1 - Templat (default)
    • 2 - Kebijakan Penerbitan
    • 3 - Kebijakan Aplikasi
  • -f membuat objek DS.

Opsi:

[-f]

-Kesalahan

Menampilkan teks pesan yang terkait dengan kode galat.

certutil [options] -error ErrorCode

-getsmtpinfo

Mendapatkan informasi Protokol Transfer Surat Sederhana (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Mengatur informasi SMTP.

certutil [options] -setsmtpinfo LogonName

Opsi:

[-config Machine\CAName] [-p Password]

-getreg

Menampilkan nilai registri.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Mana:

  • ca menggunakan kunci registri Otoritas Sertifikat.
  • pemulihan menggunakan kunci registri pemulihan Otoritas Sertifikat.
  • kebijakan menggunakan kunci registri modul kebijakan.
  • exit menggunakan kunci registri modul keluar pertama.
  • templat menggunakan kunci registri templat (gunakan -user untuk templat pengguna).
  • pendaftaran menggunakan kunci registri pendaftaran (gunakan -user untuk konteks pengguna).
  • chain menggunakan kunci registri konfigurasi rantai.
  • PolicyServers menggunakan kunci registri Server Kebijakan.
  • ProgId menggunakan progID modul kebijakan atau keluar (nama subkuntang registri).
  • RegistryValueName menggunakan nama nilai registri (gunakan Name* untuk mencocokkan awalan).
  • nilai menggunakan nilai numerik, string, atau registri tanggal atau nama file baru. Jika nilai numerik dimulai dengan + atau -, bit yang ditentukan dalam nilai baru diatur atau dihapus dalam nilai registri yang ada.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Keterangan

  • Jika nilai string dimulai dengan + atau -, dan nilai yang ada adalah REG_MULTI_SZ nilai, string ditambahkan ke atau dihapus dari nilai registri yang ada. Untuk memaksa pembuatan REG_MULTI_SZ nilai, tambahkan \n ke akhir nilai string.
  • Jika nilai dimulai dengan \@, nilai lainnya adalah nama file yang berisi representasi teks heksadesimal dari nilai biner.
  • Jika tidak merujuk ke file yang valid, file tersebut diurai sebagai [Date][+|-][dd:hh] tanggal opsional plus atau dikurangi hari dan jam opsional.
  • Jika keduanya ditentukan, gunakan pemisah tanda plus (+) atau tanda minus (-). Gunakan now+dd:hh untuk tanggal relatif terhadap waktu saat ini.
  • Gunakan i64 sebagai akhiran untuk membuat nilai REG_QWORD.
  • Gunakan chain\chaincacheresyncfiletime @now untuk membersihkan CRL yang di-cache secara efektif.
  • Alias registri:
    • Konfigurasi
    • OS
    • Kebijakan - PolicyModules
    • Exit - ExitModules
    • Pemulihan - RestoreInProgress
    • Templat - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Pendaftaran - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Rantai - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • PembaruanOtomatis - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Paspor - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Mengatur nilai registri.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Mana:

  • ca menggunakan kunci registri Otoritas Sertifikat.
  • pemulihan menggunakan kunci registri pemulihan Otoritas Sertifikat.
  • kebijakan menggunakan kunci registri modul kebijakan.
  • exit menggunakan kunci registri modul keluar pertama.
  • templat menggunakan kunci registri templat (gunakan -user untuk templat pengguna).
  • pendaftaran menggunakan kunci registri pendaftaran (gunakan -user untuk konteks pengguna).
  • chain menggunakan kunci registri konfigurasi rantai.
  • PolicyServers menggunakan kunci registri Server Kebijakan.
  • ProgId menggunakan progID modul kebijakan atau keluar (nama subkuntang registri).
  • RegistryValueName menggunakan nama nilai registri (gunakan Name* untuk mencocokkan awalan).
  • Nilai menggunakan nilai numerik, string, atau registri tanggal atau nama file baru. Jika nilai numerik dimulai dengan + atau -, bit yang ditentukan dalam nilai baru diatur atau dihapus dalam nilai registri yang ada.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Keterangan

  • Jika nilai string dimulai dengan + atau -, dan nilai yang ada adalah REG_MULTI_SZ nilai, string ditambahkan ke atau dihapus dari nilai registri yang ada. Untuk memaksa pembuatan REG_MULTI_SZ nilai, tambahkan \n ke akhir nilai string.
  • Jika nilai dimulai dengan \@, nilai lainnya adalah nama file yang berisi representasi teks heksadesimal dari nilai biner.
  • Jika tidak merujuk ke file yang valid, file tersebut diurai sebagai [Date][+|-][dd:hh] tanggal opsional plus atau dikurangi hari dan jam opsional.
  • Jika keduanya ditentukan, gunakan pemisah tanda plus (+) atau tanda minus (-). Gunakan now+dd:hh untuk tanggal relatif terhadap waktu saat ini.
  • Gunakan i64 sebagai akhiran untuk membuat nilai REG_QWORD.
  • Gunakan chain\chaincacheresyncfiletime @now untuk membersihkan CRL yang di-cache secara efektif.

-delreg

Menghapus nilai registri.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Mana:

  • ca menggunakan kunci registri Otoritas Sertifikat.
  • pemulihan menggunakan kunci registri pemulihan Otoritas Sertifikat.
  • kebijakan menggunakan kunci registri modul kebijakan.
  • exit menggunakan kunci registri modul keluar pertama.
  • templat menggunakan kunci registri templat (gunakan -user untuk templat pengguna).
  • pendaftaran menggunakan kunci registri pendaftaran (gunakan -user untuk konteks pengguna).
  • chain menggunakan kunci registri konfigurasi rantai.
  • PolicyServers menggunakan kunci registri Server Kebijakan.
  • ProgId menggunakan progID modul kebijakan atau keluar (nama subkuntang registri).
  • RegistryValueName menggunakan nama nilai registri (gunakan Name* untuk mencocokkan awalan).
  • Nilai menggunakan nilai numerik, string, atau registri tanggal atau nama file baru. Jika nilai numerik dimulai dengan + atau -, bit yang ditentukan dalam nilai baru diatur atau dihapus dalam nilai registri yang ada.

Opsi:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Keterangan

  • Jika nilai string dimulai dengan + atau -, dan nilai yang ada adalah REG_MULTI_SZ nilai, string ditambahkan ke atau dihapus dari nilai registri yang ada. Untuk memaksa pembuatan REG_MULTI_SZ nilai, tambahkan \n ke akhir nilai string.
  • Jika nilai dimulai dengan \@, nilai lainnya adalah nama file yang berisi representasi teks heksadesimal dari nilai biner.
  • Jika tidak merujuk ke file yang valid, file tersebut diurai sebagai [Date][+|-][dd:hh] tanggal opsional plus atau dikurangi hari dan jam opsional.
  • Jika keduanya ditentukan, gunakan pemisah tanda plus (+) atau tanda minus (-). Gunakan now+dd:hh untuk tanggal relatif terhadap waktu saat ini.
  • Gunakan i64 sebagai akhiran untuk membuat nilai REG_QWORD.
  • Gunakan chain\chaincacheresyncfiletime @now untuk membersihkan CRL yang di-cache secara efektif.
  • Alias registri:
    • Konfigurasi
    • OS
    • Kebijakan - PolicyModules
    • Exit - ExitModules
    • Pemulihan - RestoreInProgress
    • Templat - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Pendaftaran - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Rantai - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • PembaruanOtomatis - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Paspor - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Mengimpor kunci pengguna dan sertifikat ke database server untuk pengarsipan kunci.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Mana:

  • UserKeyAndCertFile adalah file data dengan kunci privat pengguna dan sertifikat yang akan diarsipkan. File ini dapat berupa:
    • File ekspor Exchange Key Management Server (KMS).
    • File PFX.
  • CertId adalah token kecocokan sertifikat dekripsi file ekspor KMS. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.
  • -f mengimpor sertifikat yang tidak dikeluarkan oleh Otoritas Sertifikat.

Opsi:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Mengimpor file sertifikat ke dalam database.

certutil [options] -ImportCert Certfile [ExistingRow]

Mana:

  • ExistingRow mengimpor sertifikat sebagai pengganti permintaan tertunda untuk kunci yang sama.
  • -f mengimpor sertifikat yang tidak dikeluarkan oleh Otoritas Sertifikat.

Opsi:

[-f] [-config Machine\CAName]

Keterangan

Otoritas Sertifikat mungkin juga perlu dikonfigurasi untuk mendukung sertifikat asing dengan menjalankan certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Mengambil blob pemulihan kunci privat yang diarsipkan, menghasilkan skrip pemulihan, atau memulihkan kunci yang diarsipkan.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Mana:

  • skrip menghasilkan skrip untuk mengambil dan memulihkan kunci (perilaku default jika beberapa kandidat pemulihan yang cocok ditemukan, atau jika file output tidak ditentukan).
  • mengambil satu atau beberapa Blob Pemulihan Kunci (perilaku default jika tepat satu kandidat pemulihan yang cocok ditemukan, dan jika file output ditentukan). Menggunakan opsi ini memotong ekstensi apa pun dan menambahkan string khusus sertifikat dan .rec ekstensi untuk setiap blob pemulihan kunci. Setiap file berisi rantai sertifikat dan kunci privat terkait, masih dienkripsi ke satu atau beberapa sertifikat Agen Pemulihan Kunci.
  • memulihkan mengambil dan memulihkan kunci privat dalam satu langkah (memerlukan sertifikat Agen Pemulihan Kunci dan kunci privat). Menggunakan opsi ini memotong ekstensi apa pun dan menambahkan .p12 ekstensi. Setiap file berisi rantai sertifikat yang dipulihkan dan kunci privat terkait, disimpan sebagai file PFX.
  • SearchToken memilih kunci dan sertifikat yang akan dipulihkan, termasuk:
    • Nama Umum Sertifikat
    • Nomor Seri Sertifikat
    • Hash SHA-1 sertifikat (thumbprint)
    • Hash SHA-1 KeyId Sertifikat (Pengidentifikasi Kunci Subjek)
    • Nama Pemohon (domain\user)
    • UPN (user@domain)
  • RecoveryBlobOutFile menghasilkan file dengan rantai sertifikat dan kunci privat terkait, masih dienkripsi ke satu atau beberapa sertifikat Agen Pemulihan Kunci.
  • OutputScriptFile menghasilkan file dengan skrip batch untuk mengambil dan memulihkan kunci privat.
  • OutputFileBaseName menghasilkan nama dasar file.

Opsi:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Keterangan

  • Untuk diambil, ekstensi apa pun dipotong dan string khusus sertifikat dan .rec ekstensi ditambahkan untuk setiap blob pemulihan kunci. Setiap file berisi rantai sertifikat dan kunci privat terkait, masih dienkripsi ke satu atau beberapa sertifikat Agen Pemulihan Kunci.
  • Untuk pemulihan, ekstensi apa pun dipotong dan .p12 ekstensi ditambahkan. Berisi rantai sertifikat yang dipulihkan dan kunci privat terkait, disimpan sebagai file PFX.

-RecoverKey

Memulihkan kunci privat yang diarsipkan.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opsi:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Menggabungkan file PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Mana:

  • PFXInFileList adalah daftar file input PFX yang dipisahkan koma.
  • PFXOutFile adalah nama file output PFX.
  • Pengubah adalah daftar yang dipisahkan koma dari satu atau beberapa hal berikut:
    • ExtendedProperties mencakup properti yang diperluas.
    • NoEncryptCert menentukan untuk tidak mengenkripsi sertifikat.
    • EncryptCert menentukan untuk mengenkripsi sertifikat.

Opsi:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Keterangan

  • Kata sandi yang ditentukan pada baris perintah harus berupa daftar kata sandi yang dipisahkan koma.
  • Jika lebih dari satu kata sandi ditentukan, kata sandi terakhir digunakan untuk file output. Jika hanya satu kata sandi yang disediakan atau jika kata sandi terakhir adalah *, pengguna diminta untuk kata sandi file output.

-convertEPF

Mengonversi file PFX menjadi file EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Mana:

  • PFXInFileList adalah daftar file input PFX yang dipisahkan koma.
  • EPFOutFile adalah nama file output PFX.
  • EPF adalah nama file output EPF.
  • cast menggunakan enkripsi CAST 64.
  • cast- menggunakan enkripsi CAST 64 (ekspor).
  • V3CACertId adalah token kecocokan sertifikat CA V3. Untuk informasi selengkapnya, lihat -store parameter di artikel ini.
  • Salt adalah string garam file output EPF.

Opsi:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Keterangan

  • Kata sandi yang ditentukan pada baris perintah harus berupa daftar kata sandi yang dipisahkan koma.
  • Jika lebih dari satu kata sandi ditentukan, kata sandi terakhir digunakan untuk file output. Jika hanya satu kata sandi yang disediakan atau jika kata sandi terakhir adalah *, pengguna diminta untuk kata sandi file output.

-add-chain

Menambahkan rantai sertifikat.

certutil [options] -add-chain LogId certificate OutFile

Opsi:

[-f]

-add-pre-chain

Menambahkan rantai pra-sertifikat.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opsi:

[-f]

-get-sth

Mendapat kepala pohon yang ditandatangani.

certutil [options] -get-sth [LogId]

Opsi:

[-f]

-get-sth-consistency

Mendapatkan perubahan kepala pohon yang ditandatangani.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opsi:

[-f]

-get-proof-by-hash

Mendapatkan bukti hash dari server tanda waktu.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opsi:

[-f]

-get-entries

Mengambil entri dari log peristiwa.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opsi:

[-f]

-get-roots

Mengambil sertifikat akar dari penyimpanan sertifikat.

certutil [options] -get-roots LogId

Opsi:

[-f]

-get-entry-and-proof

Mengambil entri log peristiwa dan bukti kriptografinya.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opsi:

[-f]

-VerifyCT

Memverifikasi sertifikat terhadap log Transparansi Sertifikat.

certutil [options] -VerifyCT Certificate SCT [precert]

Opsi:

[-f]

-?

Menampilkan daftar parameter.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Mana:

  • -? menampilkan daftar parameter
  • -<name_of_parameter> -? menampilkan konten bantuan untuk parameter yang ditentukan.
  • -? -v menampilkan daftar parameter dan opsi verbose.

Opsi

Bagian ini menentukan semua opsi yang dapat Anda tentukan, berdasarkan perintah . Setiap parameter menyertakan informasi tentang opsi mana yang valid untuk digunakan.

Opsi Deskripsi
-Admin Gunakan ICertAdmin2 untuk properti CA.
-Anonim Gunakan kredensial SSL anonim.
-cert CertId Sertifikat penandatanganan.
-clientcertificate clientCertId Gunakan kredensial SSL Sertifikat X.509. Untuk UI pilihan, gunakan -clientcertificate.
-config Machine\CAName Otoritas Sertifikat dan string nama komputer.
Penyedia -csp Penyedia:
KSP - Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft
TPM - Penyedia Kripto Platform Microsoft
NGC - Penyedia Penyimpanan Kunci Paspor Microsoft
SC - Penyedia Penyimpanan Kunci Kartu Pintar Microsoft
-dc DCName Menargetkan Pengendali Domain tertentu.
-enterprise Gunakan penyimpanan sertifikat registri perusahaan komputer lokal.
-F Paksa timpa.
-generateSSTFromWU SSTFile Hasilkan SST dengan menggunakan mekanisme pembaruan otomatis.
-Gmt Menampilkan waktu menggunakan GMT.
-GroupPolicy Gunakan penyimpanan sertifikat kebijakan grup.
-idispatch Gunakan IDispatch alih-alih metode asli COM.
-Kerberos Gunakan kredensial SSL Kerberos.
-location alternatestoragelocation (-loc) AlternateStorageLocation.
-Gunung Tampilkan templat komputer.
-nocr Mengodekan teks tanpa karakter CR.
-nocrlf Mengodekan teks tanpa karakter CR-LF.
-nullsign Gunakan hash data sebagai tanda tangan.
-oldpfx Gunakan enkripsi PFX lama.
Daftar kolom -out Daftar kolom yang dipisahkan koma.
-p password Kata sandi
-pin PIN PIN kartu pintar.
-policyserver URLorID URL atau ID Server Kebijakan. Untuk U/I pilihan, gunakan -policyserver. Untuk semua Server Kebijakan, gunakan -policyserver *
-privatekey Tampilkan kata sandi dan data kunci privat.
-Melindungi Lindungi kunci dengan kata sandi.
-protectto SAMnameandSIDlist Daftar nama/SID SAM yang dipisahkan koma.
-restrict restrictionlist Daftar Pembatasan yang dipisahkan koma. Setiap pembatasan terdiri dari nama kolom, operator relasional, dan bilangan bulat, string, atau tanggal konstanta. Satu nama kolom dapat didahului dengan tanda plus atau minus untuk menunjukkan urutan pengurutan. Misalnya: requestID = 47, +requestername >= a, requestername, atau -requestername > DOMAIN, Disposition = 21.
-Reverse Kolom Log Terbalik dan Antrean.
-Detik Tampilkan waktu menggunakan detik dan milidetik.
-Layanan Gunakan penyimpanan sertifikat layanan.
-Sid SID Numerik:
22 - Sistem Lokal
23 - Layanan Lokal
24 - Layanan Jaringan
-Diam silent Gunakan bendera untuk memperoleh konteks kripto.
-Split Pisahkan elemen ASN.1 yang disematkan, dan simpan ke file.
-sslpolicy servername Kebijakan SSL yang cocok dengan ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength] Nama Algoritma Kunci Konten dengan panjang kunci opsional. Sebagai contoh: AES,128 atau 3DES.
-syncWithWU DestinationDir Sinkronkan dengan Windows Update.
-t batas waktu URL mengambil batas waktu dalam milidetik.
-Unicode Tulis output yang dialihkan di Unicode.
-UnicodeText Tulis file output di Unicode.
-urlfetch Mengambil dan memverifikasi AIA Certs dan CDP CRL.
-Pengguna Gunakan kunci HKEY_CURRENT_USER atau penyimpanan sertifikat.
-nama pengguna nama pengguna Gunakan akun bernama untuk kredensial SSL. Untuk UI pilihan, gunakan -username.
-Ut Menampilkan templat pengguna.
-v Berikan informasi yang lebih rinci (verbose).
-v1 Gunakan antarmuka V1.

Algoritma hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Untuk contoh selengkapnya tentang cara menggunakan perintah ini, lihat artikel berikut ini: