certutil

  • Articolo

Certutil.exe è un programma da riga di comando, installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configura Servizi certificati, backup e ripristino dei componenti della CA. Il programma verifica anche i certificati, le coppie chiave e le catene di certificati.

Se certutil viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione dell'autorità di certificazione corrente. Se certutil viene eseguito in un'autorità non di certificazione, il comando viene predefinito per l'esecuzione del certutil [-dump] comando.

Importante

Le versioni precedenti di certutil potrebbero non fornire tutte le opzioni descritte in questo documento. È possibile visualizzare tutte le opzioni fornite da una versione specifica di certutil eseguendo certutil -? o certutil <parameter> -?.

Parametri

-spazzatura

Informazioni di configurazione o file di dump.

certutil [options] [-dump]
certutil [options] [-dump] file

[-f] [-silent] [-split] [-p password] [-t timeout]

-Asn

Analizzare e visualizzare il contenuto di un file usando la sintassi astratta notazione sintassi (ASN.1). I tipi di file includono . CER. DER e PKCS #7 file formattati.

certutil [options] -asn file [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

-decodehex

Decodificare un file con codifica esadecimale.

certutil [options] -decodehex infile outfile [type]

[type]: tipo di codifica numerico CRYPT_STRING_*

[-f]

-Decodificare

Decodificare un file con codifica Base64.

certutil [options] -decode infile outfile

[-f]

-Codificare

Codificare un file in Base64.

certutil [options] -encode infile outfile

[-f] [-unicodetext]

-Negare

Negare una richiesta in sospeso.

certutil [options] -deny requestID

[-config Machine\CAName]

-Inviare

Inviare nuovamente una richiesta in sospeso.

certutil [options] -resubmit requestId

[-config Machine\CAName]

-setattributes

Impostare gli attributi per una richiesta di certificato in sospeso.

certutil [options] -setattributes RequestID attributestring

Dove:

  • requestID è l'ID richiesta numerica per la richiesta in sospeso.

  • attributestring è il nome dell'attributo della richiesta e le coppie valore.

[-config Machine\CAName]

Commenti

  • I nomi e i valori devono essere separati da due punti, mentre più coppie di nomi e valori devono essere separati da nuove righe. Ad esempio, CertificateTemplate:User\nEMail:User@Domain.com dove la \n sequenza viene convertita in un separatore di nuova riga.

-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Dove:

  • requestID è l'ID richiesta numerica per la richiesta in sospeso.

  • extensionname è la stringa ObjectId per l'estensione.

  • flag imposta la priorità dell'estensione. 0 è consigliabile, mentre 1 imposta l'estensione su critico, 2 disabilita l'estensione e 3 esegue entrambe le operazioni.

[-config Machine\CAName]

Commenti

  • Se l'ultimo parametro è numerico, viene preso come long.

  • Se l'ultimo parametro può essere analizzato come data, viene preso come data.

  • Se l'ultimo parametro inizia con \@, il resto del token viene preso come nome file con dati binari o un dump esadecimale ascii-text.

  • Se l'ultimo parametro è qualsiasi altro elemento, viene preso come stringa.

-Revocare

Revocare un certificato.

certutil [options] -revoke serialnumber [reason]

Dove:

  • serialnumber è un elenco delimitato da virgole di numeri di serie di certificati da revocare.

  • motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:

    • 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)

    • 1. CRL_REASON_KEY_COMPROMISE - Compromesso chiave

    • 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione

    • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata

    • 4. CRL_REASON_SUPERSEDED - Sosededed

    • 5. CRL_REASON_CESSATION_OF_OPERATION - Arresto dell'operazione

    • 6. CRL_REASON_CERTIFICATE_HOLD - Blocco certificati

    • 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovi da CRL

    • -1. Annullare la chiamata - Annullare la chiamata

[-config Machine\CAName]

-isvalid

Visualizzare l'eliminazione del certificato corrente.

certutil [options] -isvalid serialnumber | certhash

[-config Machine\CAName]

-getconfig

Ottenere la stringa di configurazione predefinita.

certutil [options] -getconfig

[-config Machine\CAName]

-Ping

Provare a contattare l'interfaccia Richiesta servizi certificati Active Directory.

certutil [options] -ping [maxsecondstowait | camachinelist]

Dove:

  • camachinelist è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola terminante. Questa opzione visualizza anche il costo del sito per ogni computer CA.
[-config Machine\CAName]

-cainfo

Visualizzare informazioni sull'autorità di certificazione.

certutil [options] -cainfo [infoname [index | errorcode]]

Dove:

  • infoname indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname seguente:

    • file - Versione file

    • product - Versione del prodotto

    • exitcount - Numero di moduli di uscita

    • Uscita [index] - Descrizione del modulo di uscita

    • policy - Descrizione del modulo criteri

    • name - Nome CA

    • sanitizedname - Nome CA sanificato

    • dsname - Nome breve ca sanificata (nome DS)

    • sharedfolder - cartella condivisa

    • error1 ErrorCode - Testo del messaggio di errore

    • error2 ErrorCode - Testo del messaggio di errore e codice di errore

    • type - Tipo CA

    • info - Informazioni sulla CA

    • padre - CA padre

    • certcount - Conteggio certificati CA

    • xchgcount - Conteggio certificati di scambio CA

    • kracount - Conteggio certificati KRA

    • kraused - Kra cert usato conteggio

    • propidmax - Numero massimo di propId CA

    • certstate [index] - Certificato CA

    • certversion [index] - Versione del certificato CA

    • certstatuscode [index] - Stato di verifica certificato CA

    • crlstate [index] -CRL

    • krastate [index] - Certificato KRA

    • crossstate+ [index] - Inoltrare il certificato incrociato

    • crossstate- [index] - Certificato incrociato indietro

    • Cert [index] - Certificato CA

    • certchain [index] - Catena di certificati CA

    • certcrlchain [index] - Catena di certificati CA con CRL

    • xchg [index] - Certificato di scambio CA

    • xchgchain [index] - Catena di certificati di scambio CA

    • xchgcrlchain [index] - Catena di certificati di scambio CA con CRL

    • Kra [index] - Certificato KRA

    • cross+ [index] - Inoltrare il certificato incrociato

    • Croce- [index] - Certificato incrociato indietro

    • CRL [index] - CRL di base

    • deltacrl [index] - Delta CRL

    • crlstatus [index] - Stato pubblicazione CRL

    • deltacrlstatus [index] - Stato pubblicazione CRL delta

    • dns - Nome DNS

    • role - Separazione dei ruoli

    • ads - Advanced Server

    • modelli - Modelli

    • Csp [index] - URL OCSP

    • aia [index] - URL AIA

    • Cdp [index] - URL CDP

    • localename - Nome impostazioni locali CA

    • subjecttemplateoids - IDE del modello di soggetto

    • * - Visualizza tutte le proprietà

  • index è l'indice facoltativo della proprietà in base zero.

  • errorcode è il codice di errore numerico.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Recuperare il certificato per l'autorità di certificazione.

certutil [options] -ca.cert outcacertfile [index]

Dove:

  • outcacertfile è il file di output.

  • index è l'indice di rinnovo del certificato CA (il valore predefinito è quello più recente).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recuperare la catena di certificati per l'autorità di certificazione.

certutil [options] -ca.chain outcacertchainfile [index]

Dove:

  • outcacertchainfile è il file di output.

  • index è l'indice di rinnovo del certificato CA (il valore predefinito è quello più recente).

[-f] [-split] [-config Machine\CAName]

-getcrl

Ottiene un elenco di revoche di certificati (CRL).

certutil [options] -getcrl outfile [index] [delta]

Dove:

  • index è l'indice CRL o l'indice della chiave (il valore predefinito è CRL per la chiave più recente).

  • delta è il CRL differenziale (il valore predefinito è CRL di base).

[-f] [-split] [-config Machine\CAName]

-Crl

Pubblicare nuovi elenchi di revoche di certificati (CRL) o CRL delta.

certutil [options] -crl [dd:hh | republish] [delta]

Dove:

  • dd:hh è il nuovo periodo di validità CRL in giorni e ore.

  • ripubblicare ripubblica i CRL più recenti.

  • Delta pubblica solo i CRL differenziali (il valore predefinito è CRL di base e delta).

[-split] [-config Machine\CAName]

-Arresto

Arresta Servizi certificati Active Directory.

certutil [options] -shutdown

[-config Machine\CAName]

-installcert

Installa un certificato dell'autorità di certificazione.

certutil [options] -installcert [cacertfile]

[-f] [-silent] [-config Machine\CAName]

-renewcert

Rinnova un certificato dell'autorità di certificazione.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Usare -f per ignorare una richiesta di rinnovo in sospeso e per generare una nuova richiesta.
[-f] [-silent] [-config Machine\CAName]

-Schema

Esegue il dump dello schema per il certificato.

certutil [options] -schema [ext | attrib | cRL]

Dove:

  • Per impostazione predefinita, il comando è la tabella Richiesta e Certificato.

  • ext è la tabella di estensione.

  • attribute è la tabella degli attributi.

  • crl è la tabella CRL.

[-split] [-config Machine\CAName]

-Mostra

Esegue il dump della visualizzazione del certificato.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Dove:

  • queue esegue il dump di una coda di richieste specifica.

  • log esegue il dump dei certificati rilasciati o revocati, oltre a eventuali richieste non riuscite.

  • logfail esegue il dump delle richieste non riuscite.

  • revoked dumps the revoked certificates.

  • ext dumps la tabella di estensione.

  • l'attributo esegue il dump della tabella degli attributi.

  • crl esegue il dump della tabella CRL.

  • csv fornisce l'output usando valori delimitati da virgole.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Commenti

  • Per visualizzare la colonna StatusCode per tutte le voci, digitare -out StatusCode

  • Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$

  • Per visualizzare RequestID e Disposition per tre richieste, digitare: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Per visualizzare IDriga ID riga e numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Per visualizzare , digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Per visualizzare l'intera tabella CRL, digitare: CRL

  • Usare Date[+|-dd:hh] per le restrizioni relative alla data.

  • Usare now+dd:hh per una data relativa all'ora corrente.

-Db

Esegue il dump del database non elaborato.

certutil [options] -db

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-Deleterow

Elimina una riga dal database del server.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Dove:

  • la richiesta elimina le richieste non riuscite e in sospeso, in base alla data di invio.

  • Il certificato elimina i certificati scaduti e revocati, in base alla data di scadenza.

  • ext elimina la tabella di estensione.

  • l'attributo elimina la tabella degli attributi.

  • crl elimina la tabella CRL.

[-f] [-config Machine\CAName]

Esempio

  • Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare: 1/22/2001 request

  • Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 cert

  • Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare: 37

  • Per eliminare i crls scaduti dal 22 gennaio 2001, digitare: 1/22/2001 crl

-backup

Esegue il backup dei servizi certificati Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Dove:

  • backupdirectory è la directory per archiviare i dati di cui è stato eseguito il backup.

  • incrementale esegue solo un backup incrementale (il valore predefinito è backup completo).

  • keeplog mantiene i file di log del database (il valore predefinito consiste nel troncare i file di log).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Esegue il backup del database di Servizi certificati Active Directory.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Dove:

  • backupdirectory è la directory per archiviare i file di database di cui è stato eseguito il backup.

  • incrementale esegue solo un backup incrementale (il valore predefinito è backup completo).

  • keeplog mantiene i file di log del database (il valore predefinito consiste nel troncare i file di log).

[-f] [-config Machine\CAName]

-backupkey

Esegue il backup del certificato di Servizi certificati Active Directory e della chiave privata.

certutil [options] -backupkey backupdirectory

Dove:

  • backupdirectory è la directory per archiviare il file PFX di cui è stato eseguito il backup.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Ripristina i servizi certificati Active Directory.

certutil [options] -restore backupdirectory

Dove:

  • backupdirectory è la directory contenente i dati da ripristinare.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Ripristina il database di Servizi certificati Active Directory.

certutil [options] -restoredb backupdirectory

Dove:

  • backupdirectory è la directory contenente i file di database da ripristinare.
[-f] [-config Machine\CAName]

-restorekey

Ripristina il certificato di Servizi certificati Active Directory e la chiave privata.

certutil [options] -restorekey backupdirectory | pfxfile

Dove:

  • backupdirectory è la directory contenente il file PFX da ripristinare.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importare il certificato e la chiave privata. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • i modificatori sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:

    1. AT_SIGNATURE - Modifica il keypec per la firma

    2. AT_KEYEXCHANGE - Modifica il tastopec in scambio di chiavi

    3. NoExport : rende la chiave privata non esportabile

    4. NoCert : non importa il certificato

    5. NoChain : non importa la catena di certificati

    6. NoRoot : non importa il certificato radice

    7. Proteggere - Protegge le chiavi usando una password

    8. NoProtect : non protegge le chiavi usando una password

[-f] [-user] [-p password] [-csp provider]

Commenti

  • Impostazione predefinita per l'archivio computer personale.

-dynamicfilelist

Visualizza un elenco di file dinamico.

certutil [options] -dynamicfilelist

[-config Machine\CAName]

-databaselocations

Visualizza i percorsi del database.

certutil [options] -databaselocations

[-config Machine\CAName]

-hashfile

Genera e visualizza un hash crittografico su un file.

certutil [options] -hashfile infile [hashalgorithm]

-Negozio

Esegue il dump dell'archivio certificati.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Dove:

  • certificatestorename è il nome dell'archivio certificati. Ad esempio:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID è il certificato o il token di corrispondenza CRL. Questo può essere un numero di serie, un certificato SHA-1, CRL, CTL o hash di chiave pubblica, un indice di certificato numerico (0, 1 e così via), un indice CRL numerico (.0, .1 e così via), un indice CTL numerico (.. 0, .. 1 e così via), una chiave pubblica, una firma o un oggetto di estensione ObjectId, un oggetto certificato Nome comune, un indirizzo di posta elettronica, un nome UPN o DNS, un nome del contenitore di chiavi o un nome CSP, un nome del modello o ObjectId, un Oggetto EKU o Un oggetto Criteri applicazione o un nome comune dell'autorità di certificazione CRL. Molti di questi possono causare più corrispondenze.

  • outputfile è il file usato per salvare i certificati corrispondenti.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Opzioni

  • L'opzione -user accede a un archivio utenti anziché a un archivio computer.

  • L'opzione -enterprise accede a un archivio aziendale del computer.

  • L'opzione -service accede a un archivio del servizio computer.

  • L'opzione -grouppolicy accede a un archivio criteri di gruppo di computer.

Ad esempio:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Aggiunge un certificato all'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -addstore certificatestorename infile

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • infile è il certificato o il file CRL da aggiungere all'archivio.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Elimina un certificato dall'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -delstore certificatestorename certID

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • certID è il certificato o il token di corrispondenza CRL.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Verifica un certificato nell'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -verifystore certificatestorename [certID]

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • certID è il certificato o il token di corrispondenza CRL.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • certIDlist è l'elenco delimitato da virgole di token di corrispondenza certificato o CRL. Per altre informazioni, vedere la -store certID descrizione in questo articolo.

  • propertyinffile è il file INF contenente proprietà esterne, tra cui:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • certID è il certificato o il token di corrispondenza CRL.

  • outputfile è il file usato per salvare i certificati corrispondenti.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opzioni

  • L'opzione -user accede a un archivio utenti anziché a un archivio computer.

  • L'opzione -enterprise accede a un archivio aziendale del computer.

  • L'opzione -service accede a un archivio del servizio computer.

  • L'opzione -grouppolicy accede a un archivio criteri di gruppo di computer.

Ad esempio:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Elimina un certificato dall'archivio.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Dove:

  • certificatestorename è il nome dell'archivio certificati.

  • certID è il certificato o il token di corrispondenza CRL.

  • outputfile è il file usato per salvare i certificati corrispondenti.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opzioni

  • L'opzione -user accede a un archivio utenti anziché a un archivio computer.

  • L'opzione -enterprise accede a un archivio aziendale del computer.

  • L'opzione -service accede a un archivio del servizio computer.

  • L'opzione -grouppolicy accede a un archivio criteri di gruppo di computer.

Ad esempio:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Pubblica un elenco di revoche di certificati o certificato in Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]

certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dove:

  • certfile è il nome del file di certificato da pubblicare.

  • NTAuthCA pubblica il certificato nell'archivio DS Enterprise.

  • RootCA pubblica il certificato nell'archivio radice attendibile DS.

  • SubCA pubblica il certificato CA nell'oggetto CA DS.

  • CrossCA pubblica il certificato incrociato nell'oggetto CA DS.

  • KRA pubblica il certificato nell'oggetto Agente di ripristino chiavi DS.

  • L'utente pubblica il certificato nell'oggetto User DS.

  • Il computer pubblica il certificato nell'oggetto Machine DS.

  • CRLfile è il nome del file CRL da pubblicare.

  • DSCDPContainer è il cn del contenitore DS CDP, in genere il nome del computer CA.

  • DSCDPCN è il cn dell'oggetto CDP DS, in genere basato sul nome breve e sull'indice chiave della CA sanificati.

  • Usare -f per creare un nuovo oggetto DS.

[-f] [-user] [-dc DCName]

-adtemplate

Visualizza i modelli di Active Directory.

certutil [options] -adtemplate [template]

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Modello

Visualizza i modelli di certificato.

certutil [options] -template [template]

[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Visualizza le autorità di certificazione (CA) per un modello di certificato.

certutil [options] -templatecas template

[-f] [-user] [-dc DCName]

-catemplates

Visualizza i modelli per l'autorità di certificazione.

certutil [options] -catemplates [template]

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Gestisce i nomi dei siti, tra cui l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Dove:

  • sitename è consentito solo quando si punta a una singola autorità di certificazione.
[-f] [-config Machine\CAName] [-dc DCName]

Commenti

  • L'opzione -config è destinata a un'unica autorità di certificazione (impostazione predefinita è tutte le autorità di certificazione).

  • L'opzione -f può essere usata per eseguire l'override degli errori di convalida per il nome sito specificato o per eliminare tutti i nomi del sito CA.

Nota

Per altre informazioni sulla configurazione di CA per Active Directory Domain Services (AD DS), vedere Ad DS Site Awareness for AD DS Site Awareness for AD CS e PKI client.

-enrollmentserverURL

Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dove:

  • authenticationtype specifica uno dei metodi di autenticazione client seguenti, aggiungendo un URL:

    1. kerberos : usare le credenziali SSL Kerberos.

    2. username : usare un account denominato per le credenziali SSL.

    3. clientcertificate: - Usare le credenziali SSL del certificato X.509.

    4. anonimo: usare credenziali SSL anonime.

  • elimina l'URL specificato associato alla CA.

  • priorità predefinita in 1 se non specificata quando si aggiunge un URL.

  • i modificatori sono un elenco delimitato da virgole, che include una o più delle opzioni seguenti:

  1. allowrenewalsonly : è possibile inviare solo richieste di rinnovo a questa CA tramite questo URL.

  2. allowkeybasedrenewal : consente l'uso di un certificato senza account associato in AD. Questo vale solo con clientcertificate e allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-adca

Visualizza le autorità di certificazione di Active Directory.

certutil [options] -adca [CAName]

[-f] [-split] [-dc DCName]

-Ca

Visualizza le autorità di certificazione dei criteri di registrazione.

certutil [options] -CA [CAName | templatename]

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-Politica

Visualizza i criteri di registrazione.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Visualizza o elimina le voci della cache dei criteri di registrazione.

certutil [options] -policycache [delete]

Dove:

  • elimina le voci della cache del server dei criteri.

  • -f elimina tutte le voci della cache

[-f] [-user] [-policyserver URLorID]

-credstore

Visualizza, aggiunge o elimina le voci dell'archivio credenziali.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Dove:

  • L'URL di destinazione è l'URL di destinazione. È anche possibile usare * per corrispondere a tutte le voci o https://machine* per corrispondere a un prefisso URL.

  • add aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.

  • elimina le voci dell'archivio credenziali.

  • -f sovrascrive una singola voce o elimina più voci.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Installa i modelli di certificato predefiniti.

certutil [options] -installdefaulttemplates

[-dc DCName]

-URLcache

Visualizza o elimina le voci della cache DEGLI URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Dove:

  • URL è l'URL memorizzato nella cache.

  • CRL viene eseguito solo in tutti gli URL CRL memorizzati nella cache.

  • * opera su tutti gli URL memorizzati nella cache.

  • elimina gli URL pertinenti dalla cache locale dell'utente corrente.

  • -f forza il recupero di un URL specifico e l'aggiornamento della cache.

[-f] [-split]

-Impulso

Impulsi eventi di registrazione automatica.

certutil [options] -pulse

[-user]

-machineinfo

Visualizza informazioni sull'oggetto computer Active Directory.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati DC senza verifica.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]

[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Suggerimento

La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [Dominio] e di specificare un controller di dominio (-dc) è stato aggiunto in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins. Le modifiche del comportamento di questo comando sono le seguenti:

  1. 1. Se un dominio non è specificato e non è specificato un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.
  2. 2. Se un dominio non è specificato, ma viene specificato un controller di dominio, viene generato un report dei certificati nel controller di dominio specificato.
  3. 3. Se viene specificato un dominio, ma non è specificato un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.
  4. 4. Se il dominio e il controller di dominio vengono specificati, viene generato un elenco di controller di dominio dal controller di dominio di destinazione. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.

Si supponga, ad esempio, che esista un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Visualizza informazioni su un'autorità di certificazione aziendale.

certutil [options] -entinfo domainname\machinename$

[-f] [-user]

-tcainfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -tcainfo [domainDN | -]

[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Visualizza informazioni sulla smart card.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Dove:

  • CRYPT_DELETEKEYSET elimina tutte le chiavi nella smart card.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Gestisce i certificati radice della smart card.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]

[-f] [-split] [-p Password]

-DeleteHelloContainer

Elimina il contenitore Windows Hello, rimuovendo tutte le credenziali associate archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.

Gli utenti dovranno disconnettersi dopo aver usato questa opzione per il completamento.

CertUtil [Options] -DeleteHelloContainer

-verifykeys

Verifica un set di chiavi pubblico o privato.

certutil [options] -verifykeys [keycontainername cacertfile]

Dove:

  • keycontainername è il nome del contenitore chiave per la chiave da verificare. Questa opzione è predefinita per le chiavi del computer. Per passare alle chiavi utente, usare -user.

  • cacertfile firma o crittografa i file di certificato.

[-f] [-user] [-silent] [-config Machine\CAName]

Commenti

  • Se non vengono specificati argomenti, ogni certificato CA di firma viene verificato rispetto alla chiave privata.

  • Questa operazione può essere eseguita solo con una CA locale o chiavi locali.

-Verificare

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Dove:

  • Il certificato è il nome del certificato da verificare.

  • applicationpolicylist è l'elenco facoltativo delimitato da virgole di oggetti ObjectId dei criteri di applicazione necessari.

  • issuancepolicylist è l'elenco facoltativo delimitato da virgole degli objectId dei criteri di rilascio necessari.

  • cacertfile è il certificato CA facoltativo a cui eseguire la verifica.

  • crossedcacertfile è il certificato facoltativo certificato da certfile.

  • CRLfile è il file CRL usato per verificare il cacertfile.

  • emessocertfile è il certificato rilasciato facoltativo coperto dal CRLfile.

  • deltaCRLfile è il file CRL delta facoltativo.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Commenti

  • L'uso di applicationpolicylist limita la compilazione della catena solo a catene valide per i criteri di applicazione specificati.

  • L'uso di rilasciopolicylist limita la compilazione della catena solo a catene valide per i criteri di rilascio specificati.

  • L'uso di cacertfile verifica i campi nel file su certfile o CRLfile.

  • L'uso di emessocertfile verifica i campi nel file con CRLfile.

  • L'uso di deltaCRLfile verifica i campi nel file su certfile.

  • Se cacertfile non è specificato, la catena completa viene compilata e verificata in base al file di certificato.

  • Se cacertfile e crossedcacertfile sono entrambi specificati, i campi in entrambi i file vengono verificati in base al file di certificato.

-verifyCTL

Verifica il CTL certificati AuthRoot o Non consentiti.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Dove:

  • CTLobject identifica il CTL da verificare, tra cui:

    • AuthRootWU : legge il cab AuthRoot e i certificati corrispondenti dalla cache degli URL. Usare -f per scaricare da Windows Update invece.

    • Non consentitoWU : legge il file di archivio certificati non consentito e non consentito dalla cache DEGLI URL. Usare -f per scaricare da Windows Update invece.

    • AuthRoot : legge il CTL AuthRoot memorizzato nella cache del Registro di sistema. Usare con -f e un certificato non attendibile per forzare l'aggiornamento degli elenchi di accesso al Registro di sistema memorizzati nella cache di AuthRoot e certificati non consentiti.

    • Non consentito : legge il CTL dei certificati non consentiti memorizzati nella cache del Registro di sistema. Usare con -f e un certificato non attendibile per forzare l'aggiornamento degli elenchi di accesso al Registro di sistema memorizzati nella cache di AuthRoot e certificati non consentiti.

  • CTLfilename specifica il file o il percorso http del file CTL o CAB.

  • certdir specifica la cartella contenente i certificati corrispondenti alle voci CTL. Il valore predefinito viene impostato sulla stessa cartella o sito Web del CTLobject. L'uso di un percorso della cartella http richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Non consentito, verranno cercati più percorsi corrispondenti, inclusi archivi certificati locali, crypt32.dll risorse e cache URL locale. Usare -f per scaricare da Windows Update, in base alle esigenze.

  • certfile specifica i certificati da verificare. I certificati vengono corrispondenti alle voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.

[-f] [-user] [-split]

-Segno

Firma di nuovo un elenco di revoche di certificati (CRL) o certificato.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Dove:

  • infilelist è l'elenco delimitato da virgole dei file certificato o CRL da modificare e rifirmare.

  • serialnumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.

  • CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.

  • outfilelist è l'elenco delimitato da virgole dei file di output di certificato o CRL modificati. Il numero di file deve corrispondere all'elenco file.

  • startdate+dd:hh è il nuovo periodo di validità per i file di certificato o CRL, tra cui:

    • data facoltativa più

    • periodo di validità facoltativo di giorni e ore

    Se entrambi sono specificati, è necessario usare un separatore segno più (+). Usare now[+dd:hh] per iniziare all'ora corrente. Usare never per non avere una data di scadenza (solo per i criteri di controllo di accesso.

  • serialnumberlist è l'elenco numero di serie delimitato da virgole dei file da aggiungere o rimuovere.

  • objectIDlist è l'elenco ObjectId dell'estensione delimitato da virgole dei file da rimuovere.

  • @extensionfile è il file INF che contiene le estensioni da aggiornare o rimuovere. Ad esempio:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • hashalgorithm è il nome dell'algoritmo hash. Questo deve essere solo il testo preceduto dal # segno.

  • alternatesignaturealgorithm è l'identificatore dell'algoritmo di firma alternativo.

[-nullsign] [-f] [-silent] [-cert certID]

Commenti

  • L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.

  • L'uso del segno più (+) aggiunge numeri di serie a un CRL.

  • È possibile usare un elenco per rimuovere contemporaneamente numeri di serie e ObjectID da un CRL.

  • L'uso del segno meno prima di alternatesignaturealgorithm consente di usare il formato di firma legacy. L'uso del segno più consente di usare il formato di firma alternativo. Se non si specifica alternatesignaturealgorithm, viene usato il formato della firma nel certificato o nel CRL.

-Vroot

Crea o elimina le radici virtuali Web e le condivisioni file.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina radici virtuali Web per un proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Aggiungere un'applicazione server di registrazione e un pool di applicazioni, se necessario, per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Dove:

  • addenrollmentserver richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:

    • Kerberos usa le credenziali SSL Kerberos.

    • username usa l'account denominato per le credenziali SSL.

    • clientcertificate usa le credenziali SSL del certificato X.509.

  • allowrenewalsonly consente solo gli invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.

  • allowkeybasedrenewal consente l'uso di un certificato senza account associato in Active Directory. Questo vale quando viene usato con la modalità clientcertificate e allowrenewalsonly .

[-config Machine\CAName]

-deleteenrollmentserver

Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario, per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Dove:

  • deleteenrollmentserver richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:

    • Kerberos usa le credenziali SSL Kerberos.

    • username usa l'account denominato per le credenziali SSL.

    • clientcertificate usa le credenziali SSL del certificato X.509.

[-config Machine\CAName]

-addpolicyserver

Aggiungere un'applicazione Server criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Dove:

  • addpolicyserver richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:

    • Kerberos usa le credenziali SSL Kerberos.

    • username usa l'account denominato per le credenziali SSL.

    • clientcertificate usa le credenziali SSL del certificato X.509.

  • keybasedrenewal consente l'uso dei criteri restituiti al client contenente i modelli keybasedrenewal. Questa opzione si applica solo per l'autenticazione nome utente e clientcertificate .

-deletepolicyserver

Elimina un'applicazione server criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Dove:

  • deletepolicyserver richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:

    • Kerberos usa le credenziali SSL Kerberos.

    • username usa l'account denominato per le credenziali SSL.

    • clientcertificate usa le credenziali SSL del certificato X.509.

  • keybasedrenewal consente l'uso di un server dei criteri KeyBasedRenewal.

-Oid

Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Dove:

  • objectID visualizza o aggiunge il nome visualizzato.

  • groupID è il numero groupID (decimale) enumerato da objectIDs.

  • algID è l'ID esadecimale che objectID cerca.

  • algorithmname è il nome dell'algoritmo che objectID cerca.

  • displayname visualizza il nome da archiviare in DS.

  • delete elimina il nome visualizzato.

  • LanguageId è il valore id lingua (il valore predefinito è 1033).

  • Type è il tipo di oggetto DS da creare, tra cui:

    • 1 - Modello (impostazione predefinita)

    • 2 - Criteri di rilascio

    • 3 - Criteri dell'applicazione

  • -f crea un oggetto DS.

-Errore

Visualizza il testo del messaggio associato a un codice di errore.

certutil [options] -error errorcode

-getreg

Visualizza un valore del Registro di sistema.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Dove:

  • ca usa la chiave del Registro di sistema di un'autorità di certificazione.

  • restore usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.

  • il criterio usa la chiave del Registro di sistema del modulo dei criteri.

  • exit usa la chiave del Registro di sistema del primo modulo di uscita.

  • il modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).

  • la registrazione usa la chiave del Registro di sistema di registrazione (usare per il -user contesto utente).

  • chain usa la chiave del Registro di sistema di configurazione della catena.

  • policyservers usa la chiave del Registro di sistema dei server dei criteri.

  • progID usa il progID del modulo di uscita o il progID del modulo (nome della sottochiave del Registro di sistema).

  • registryvaluename usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).

  • value usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Commenti

  • Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.

  • Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] data facoltativa più o meno giorni e ore facoltativi. Se vengono specificati entrambi, usare un segno più (+) o un separatore di segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.

  • Usare chain\chaincacheresyncfiletime \@now per scaricare in modo efficace i CRL memorizzati nella cache.

-setreg

Imposta un valore del Registro di sistema.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Dove:

  • ca usa la chiave del Registro di sistema di un'autorità di certificazione.

  • restore usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.

  • il criterio usa la chiave del Registro di sistema del modulo dei criteri.

  • exit usa la chiave del Registro di sistema del primo modulo di uscita.

  • il modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).

  • la registrazione usa la chiave del Registro di sistema di registrazione (usare per il -user contesto utente).

  • chain usa la chiave del Registro di sistema di configurazione della catena.

  • policyservers usa la chiave del Registro di sistema dei server dei criteri.

  • progID usa il progID del modulo di uscita o il progID del modulo (nome della sottochiave del Registro di sistema).

  • registryvaluename usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).

  • value usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Commenti

  • Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.

  • Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] data facoltativa più o meno giorni e ore facoltativi. Se vengono specificati entrambi, usare un segno più (+) o un separatore di segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.

  • Usare chain\chaincacheresyncfiletime \@now per scaricare in modo efficace i CRL memorizzati nella cache.

-delreg

Elimina un valore del Registro di sistema.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Dove:

  • ca usa la chiave del Registro di sistema di un'autorità di certificazione.

  • restore usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.

  • il criterio usa la chiave del Registro di sistema del modulo dei criteri.

  • exit usa la chiave del Registro di sistema del primo modulo di uscita.

  • il modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).

  • la registrazione usa la chiave del Registro di sistema di registrazione (usare per il -user contesto utente).

  • chain usa la chiave del Registro di sistema di configurazione della catena.

  • policyservers usa la chiave del Registro di sistema dei server dei criteri.

  • progID usa il progID del modulo di uscita o il progID del modulo (nome della sottochiave del Registro di sistema).

  • registryvaluename usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).

  • value usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Commenti

  • Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.

  • Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] data facoltativa più o meno giorni e ore facoltativi. Se vengono specificati entrambi, usare un segno più (+) o un separatore di segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.

  • Usare chain\chaincacheresyncfiletime \@now per scaricare in modo efficace i CRL memorizzati nella cache.

-importKMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.

certutil [options] -importKMS userkeyandcertfile [certID]

Dove:

  • userkeyandcertfile è un file di dati con chiavi private utente e certificati da archiviare. Questo file può essere:

    • File di esportazione di Exchange Key Management Server (KMS).

    • Un file PFX.

  • certID è un token di corrispondenza del certificato di decrittografia file di esportazione del Servizio di gestione delle chiavi. Per altre informazioni, vedi il -store parametro in questo articolo.

  • -f importa i certificati non rilasciati dall'autorità di certificazione.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importa un file di certificato nel database.

certutil [options] -importcert certfile [existingrow]

Dove:

  • existingrow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.

  • -f importa i certificati non rilasciati dall'autorità di certificazione.

[-f] [-config Machine\CAName]

Commenti

Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni. A tale scopo, digitare import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-getkey

Recupera un BLOB di recupero della chiave privata archiviato, genera uno script di ripristino o recupera le chiavi archiviate.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Dove:

  • lo script genera uno script per recuperare e ripristinare le chiavi (comportamento predefinito se vengono trovati più candidati di ripristino corrispondenti o se il file di output non è specificato).

  • recupera uno o più BLOB di recupero chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se viene specificato il file di output). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato e l'estensione rec per ogni BLOB di ripristino della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.

  • recuperare e ripristinare le chiavi private in un unico passaggio (richiede i certificati dell'agente di ripristino della chiave e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione p12. Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.

  • searchtoken seleziona le chiavi e i certificati da ripristinare, tra cui:

      1. Nome comune certificato
      1. Numero di serie del certificato
      1. Hash SHA-1 del certificato (identificazione personale)
      1. Hash SHA-1 del keyid del certificato (identificatore della chiave del soggetto)
      1. Nome richiedente (dominio\utente)
      1. UPN (user@domain)

  • recoverybloboutfile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di ripristino delle chiavi.

  • outputscriptfile restituisce un file con uno script batch per recuperare e recuperare chiavi private.

  • outputfilebasename restituisce un nome di base di file.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Recuperare una chiave privata archiviata.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]

[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Unisce i file PFX.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Dove:

  • PFXinfilelist è un elenco delimitato da virgole di file di input PFX.

  • PFXoutfile è il nome del file di output PFX.

  • le proprietà estese includono tutte le proprietà estese.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Commenti

  • La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.

  • Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente verrà richiesta la password del file di output.

-convertEPF

Converte un file PFX in un file EPF.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Dove:

  • PFXinfilelist è un elenco delimitato da virgole di file di input PFX.

  • PFXoutfile è il nome del file di output PFX.

  • EPF è il nome del file di output EPF.

  • cast usa la crittografia CAST 64.

  • cast: usa la crittografia CAST 64 (esportazione)

  • V3CAcertID è il token di corrispondenza del certificato della CA V3. Per altre informazioni, vedi il -store parametro in questo articolo.

  • salt è la stringa di salt del file di output EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Commenti

  • La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.

  • Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente verrà richiesta la password del file di output.

-?

Visualizza l'elenco dei parametri.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dove:

  • -? visualizza l'elenco completo dei parametri

  • -<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.

  • -? -v visualizza un elenco completo di parametri e opzioni.

-syncWithWU

Esegue la sincronizzazione con Windows Update. I file seguenti vengono scaricati usando il meccanismo di aggiornamento automatico.

CertUtil [Options] -syncWithWU DestinationDir

Dove:

  • DestinationDir è la cartella che riceve i file usando il meccanismo di aggiornamento automatico.
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

Dove:

  • f forza una sovrascrittura
  • Scrittura Unicode dell'output reindirizzato in Unicode
  • Gmt Visualizza gli orari come GMT
  • Secondi Visualizza i tempi con secondi e millisecondi
  • v è un'operazione dettagliata
  • IL PIN è IL PIN della smart card
  • WELL_KNOWN_SID_TYPE è un SID numerico:
    • 22 -- Sistema locale
    • 23 -- Servizio locale
    • 24 - Servizio di rete

Commenti

Mediante il meccanismo di aggiornamento automatico vengono scaricati i file seguenti:

  • authrootstl.cab Contiene gli elenchi di scopi consentiti di certificati radice non Microsoft.
  • disallowedcertstl.cab Contiene gli elenchi di scopi consentiti per i certificati non attendibili.
  • disallowedcert.sst Contiene l'archivio certificati serializzato, inclusi i certificati non attendibili.
  • thumbprint.crt Contiene i certificati radice non Microsoft.

Ad esempio, CertUtil -syncWithWU \\server1\PKI\CTLs.

Se si usa un percorso locale o una cartella inesistente come cartella di destinazione, verrà visualizzato l'errore:

The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

Se si usa un percorso di rete non esistente o non disponibile come cartella di destinazione, verrà visualizzato l'errore:

The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

Se il server non riesce a connettersi tramite la porta TCP 80 ai server di aggiornamento automatico Microsoft, verrà visualizzato l'errore seguente:

A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

Se il server non riesce a raggiungere i server di Aggiornamento automatico Microsoft con il nome ctldl.windowsupdate.comDNS , verrà visualizzato l'errore seguente:

The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

Se non si usa l'opzione -f e uno dei file CTL esiste già nella directory, si riceverà un errore di file :

CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

Se si verifica una modifica nei certificati radice attendibili, verrà visualizzato quanto riportato di seguito:

Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f -f" options to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

-generateSSTFromWU SSTFile

Genera SST usando il meccanismo di aggiornamento automatico.

CertUtil [Options] -generateSSTFromWU SSTFile

Dove:

  • SSTFile è il .sst file da creare.
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

Dove:

  • f forza una sovrascrittura
  • Scrittura Unicode dell'output reindirizzato in Unicode
  • Gmt Visualizza gli orari come GMT
  • Secondi Visualizza i tempi con secondi e millisecondi
  • v è un'operazione dettagliata
  • IL PIN è IL PIN della smart card
  • WELL_KNOWN_SID_TYPE è un SID numerico:
    • 22 -- Sistema locale
    • 23 -- Servizio locale
    • 24 - Servizio di rete

Commenti

  • Il file generato .sst contiene le radici di terze parti scaricate da Windows Update.

Opzioni

Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.

Opzioni Descrizione
-nullsign Usare l'hash dei dati come firma.
-f Forza sovrascrittura.
-enterprise Usare l'archivio certificati del Registro di sistema aziendale del computer locale.
-utente Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati.
-GroupPolicy Usare l'archivio certificati criteri di gruppo.
-Ut Visualizzare i modelli utente.
-Monte Visualizzare i modelli di computer.
-Unicode Scrivere l'output reindirizzato in Unicode.
-Unicodetext Scrivere il file di output in Unicode.
-ora di Greenwich Visualizza orari utilizzando GMT.
-Secondi Consente di visualizzare i tempi usando secondi e millisecondi.
-Silenzioso Usare il flag per acquisire il silent contesto di crittografia.
-diviso Dividere gli elementi ASN.1 incorporati e salvarli nei file.
-v Fornire informazioni più dettagliate (dettagliate).
-privatekey Visualizzare i dati della password e della chiave privata.
-PIN PIN smart card.
-urlfetch Recuperare e verificare certificati AIA e CRL CDP.
-config Machine\CAName Autorità di certificazione e stringa del nome computer.
-policyserver URLorID URL o ID del server dei criteri. Per la selezione di U/I, usare -policyserver. Per tutti i server dei criteri, usare -policyserver *
-Anonimo Usare credenziali SSL anonime.
-Kerberos Usare le credenziali SSL Kerberos.
-clientcertificate clientcertID Usare le credenziali SSL del certificato X.509. Per la selezione di U/I, usare -clientcertificate.
-username username Usare l'account denominato per le credenziali SSL. Per la selezione di U/I, usare -username.
-certID Certificato di firma.
-dc DCName Specificare come destinazione un controller di dominio specifico.
-restrict restrictionlist Elenco di restrizioni delimitato da virgole. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data. Un nome di colonna può essere preceduto da un segno più o meno per indicare l'ordinamento. Ad esempio: requestID = 47, +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21
-out columnlist Elenco di colonne delimitate da virgole.
-p password Password
-protectto SAMnameandSIDlist Elenco DI NOMI/SID SAM delimitati da virgole.
Provider -csp Provider
Timeout -t Timeout recupero URL in millisecondi.
-symkeyalg symmetrickeyalgorithm[,keylength] Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave facoltativa. Ad esempio: AES,128 o 3DES
-syncWithWU DestinationDir Esegue la sincronizzazione con Windows Update.
-generateSSTFromWU SSTFile Genera il file SST mediante il meccanismo di aggiornamento automatico.

Per altri esempi su come usare questo comando, vedere