certutil

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Attenzione

Certutil non è consigliabile usare in alcun codice di produzione e non offre alcuna garanzia di compatibilità del sito live o delle applicazioni. Si tratta di uno strumento usato dagli sviluppatori e dagli amministratori IT per visualizzare le informazioni sul contenuto dei certificati nei dispositivi.

Certutil.exe è un programma da riga di comando installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati e eseguire il backup e il ripristino dei componenti della CA. Il programma verifica anche certificati, coppie di chiavi e catene di certificati.

Se certutil viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione corrente dell'autorità di certificazione. Se certutil viene eseguito in un'autorità non di certificazione senza altri parametri, per impostazione predefinita il comando esegue il comando certutil -dump. Non tutte le versioni di certutil forniscono tutti i parametri e le opzioni descritti in questo documento. È possibile visualizzare le scelte fornite dalla versione di certutil eseguendo certutil -? o certutil <parameter> -?.

Suggerimento

Per visualizzare la Guida completa per tutti i verbi e le opzioni certutil, inclusi quelli nascosti dall'argomento -?, eseguire certutil -v -uSAGE. L'opzione uSAGE fa distinzione tra maiuscole e minuscole.

Parametri

-spazzatura

Esegue il dump delle informazioni di configurazione o dei file.

Prompt dei comandi di Windows

certutil [options] [-dump]
certutil [options] [-dump] File

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Esegue il dump della struttura PFX.

Prompt dei comandi di Windows

certutil [options] [-dumpPFX] File

Opzioni:

Prompt dei comandi di Windows

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Analizza e visualizza il contenuto di un file usando la sintassi ASN.1 (Abstract Syntax Notation). I tipi di file includono . CER, . File formattati DER e PKCS #7.

Prompt dei comandi di Windows

certutil [options] -asn File [type]

• [type]: tipo di decodifica numerico CRYPT_STRING_*

-decodehex

Decodifica un file con codifica esadecimale.

Prompt dei comandi di Windows

certutil [options] -decodehex InFile OutFile [type]

• [type]: tipo di decodifica numerico CRYPT_STRING_*

Opzioni:

Prompt dei comandi di Windows

[-f]

-encodehex

Codifica un file in formato esadecimale.

Prompt dei comandi di Windows

certutil [options] -encodehex InFile OutFile [type]

• [type]: tipo di codifica numerico CRYPT_STRING_*

Opzioni:

Prompt dei comandi di Windows

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decodificare

Decodifica un file con codifica Base64.

Prompt dei comandi di Windows

certutil [options] -decode InFile OutFile

Opzioni:

Prompt dei comandi di Windows

[-f]

-codificare

Codifica un file in Base64.

Prompt dei comandi di Windows

certutil [options] -encode InFile OutFile

Opzioni:

Prompt dei comandi di Windows

[-f] [-unicodetext]

-negare

Nega una richiesta in sospeso.

Prompt dei comandi di Windows

certutil [options] -deny RequestId

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-Inviare

Invia di nuovo una richiesta in sospeso.

Prompt dei comandi di Windows

certutil [options] -resubmit RequestId

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-setattributes

Imposta gli attributi per una richiesta di certificato in sospeso.

Prompt dei comandi di Windows

certutil [options] -setattributes RequestId AttributeString

Dove:

• RequestId è l'ID richiesta numerico per la richiesta in sospeso.
• attributeString è il nome dell'attributo della richiesta e le coppie valore.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

Osservazioni

• I nomi e i valori devono essere separati da due punti, mentre più nomi e coppie di valori devono essere separati da una nuova riga. Ad esempio: CertificateTemplate:User\nEMail:User@Domain.com in cui la sequenza \n viene convertita in un separatore di nuova riga.

-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.

Prompt dei comandi di Windows

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Dove:

• requestID è l'ID richiesta numerico per la richiesta in sospeso.
• extensionName è la stringa ObjectId per l'estensione.
• Flag imposta la priorità dell'estensione. 0 è consigliabile, mentre 1 imposta l'estensione su critica, 2 disabilita l'estensione e 3 esegue entrambe le operazioni.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

Osservazioni

• Se l'ultimo parametro è numerico, viene considerato come Long.
• Se l'ultimo parametro può essere analizzato come data, viene considerato come Data.
• Se l'ultimo parametro inizia con \@, il resto del token viene considerato come nome file con dati binari o un dump esadecimale ascii-text.
• Se l'ultimo parametro è qualcos'altro, viene preso come stringa.

-revocare

Revoca un certificato.

Prompt dei comandi di Windows

certutil [options] -revoke SerialNumber [Reason]

Dove:

• SerialNumber è un elenco delimitato da virgole di numeri di serie del certificato da revocare.
• Motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:
  • 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)
  • 1. CRL_REASON_KEY_COMPROMISE - Compromissione chiave
  • 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata
  • 4. CRL_REASON_SUPERSEDED - Sostituito
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessazione dell'operazione
  • 6. CRL_REASON_CERTIFICATE_HOLD - Blocco certificati
  • 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovere da CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio ritirato
  • 10: CRL_REASON_AA_COMPROMISE - Compromissione AA
  • -1. Annulla richiamo - Annulla richiamo

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-isvalid

Visualizza l'eliminazione del certificato corrente.

Prompt dei comandi di Windows

certutil [options] -isvalid SerialNumber | CertHash

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-getconfig

Ottiene la stringa di configurazione predefinita.

Prompt dei comandi di Windows

certutil [options] -getconfig

Opzioni:

Prompt dei comandi di Windows

[-idispatch] [-config Machine\CAName]

-getconfig2

Ottiene la stringa di configurazione predefinita tramite ICertGetConfig.

Prompt dei comandi di Windows

certutil [options] -getconfig2

Opzioni:

Prompt dei comandi di Windows

[-idispatch] 

-getconfig3

Ottiene la configurazione tramite ICertConfig.

Prompt dei comandi di Windows

certutil [options] -getconfig3

Opzioni:

Prompt dei comandi di Windows

[-idispatch] 

-ping

Tenta di contattare l'interfaccia richiesta di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Dove:

• CAMachineList è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola di terminazione. Questa opzione visualizza anche il costo del sito per ogni computer ca.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta di contattare l'interfaccia di amministrazione di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -pingadmin

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-CAInfo

Visualizza informazioni sull'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Dove:

• InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname seguente:
  • * - Visualizza tutte le proprietà
  • annunci - Server avanzato
  • aia [Index] - URL AIA
  • cdp [Index] - URL CDP
  • certificato [Indice] - Certificato CA
  • certchain [Index] - Catena di certificati CA
  • certcount - Conteggio certificati CA
  • certcrlchain [Index] - Catena di certificati CA con CRL
  • certstate [Index] - Certificato CA
  • certstatuscode [Index] - Ca cert verify status
  • certversion [Index] - Versione del certificato CA
  • CRL [Indice] - CRL di base
  • crlstate [Index] - CRL
  • crlstatus [Index] - Stato di pubblicazione CRL
  • cross- [Indice] - Certificato incrociato indietro
  • cross+ [Indice] - Inoltrare il certificato incrociato
  • crossstate- [Indice] - Certificato incrociato indietro
  • crossstate+ [Indice] - Inoltrare il certificato incrociato
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Stato pubblicazione CRL delta
  • dns - Nome DNS
  • dsname - Nome breve CA sanificato (nome DS)
  • error1 ErrorCode - Testo del messaggio di errore
  • error2 ErrorCode - Codice di errore e testo del messaggio di errore
  • exit [Index] - Exit module description
  • exitcount - Numero di moduli di uscita
  • file - Versione del file
  • informazioni - Informazioni sulla CA
  • kra [Index] - KRA cert
  • kracount - Conteggio certificati KRA
  • krastate [Index] - KRA cert
  • kraused - Conteggio dei certificati KRA usati
  • nome locale - Nome delle impostazioni locali della CA
  • nome - Nome CA
  • ocsp [Index] - URL OCSP
  • padre - CA padre
  • dei criteri - Descrizione del modulo Criteri
  • del prodotto - Versione del prodotto
  • propidmax - PropId ca massimo
  • ruolo - Separazione dei ruoli
  • nome sanificato - Nome CA sanificato
  • sharedfolder - Cartella condivisa
  • subjecttemplateoid - IDE del modello di oggetto
  • modelli - Modelli
  • tipo - Tipo ca
  • xchg [Index] - Certificato di scambio CA
  • xchgchain [Index] - Catena di certificati di scambio CA
  • xchgcount - Conteggio certificati di scambio CA
  • xchgcrlchain [Index] - Catena di certificati di scambio CA con CRL
• indice è l'indice della proprietà in base zero facoltativo.
• errorcode è il codice di errore numerico.

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Visualizza le informazioni sul tipo di proprietà della CA.

Prompt dei comandi di Windows

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opzioni:

Prompt dei comandi di Windows

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera il certificato per l'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -ca.cert OutCACertFile [Index]

Dove:

• OutCACertFile è il file di output.
• Index è l'indice di rinnovo del certificato CA (per impostazione predefinita è più recente).

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la catena di certificati per l'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -ca.chain OutCACertChainFile [Index]

Dove:

• OutCACertChainFile è il file di output.
• Index è l'indice di rinnovo del certificato CA (per impostazione predefinita è più recente).

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ottiene un elenco di revoche di certificati (CRL).

Prompt dei comandi di Windows

certutil [options] -GetCRL OutFile [Index] [delta]

Dove:

• Index è l'indice CRL o l'indice della chiave (il valore predefinito è CRL per la chiave più recente).
• delta è il CRL differenziale (il valore predefinito è CRL di base).

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-config Machine\CAName]

-CRL

Pubblica nuovi elenchi di revoche di certificati (CRL) o CRL differenziali.

Prompt dei comandi di Windows

certutil [options] -CRL [dd:hh | republish] [delta]

Dove:

• dd:hh è il nuovo periodo di validità CRL in giorni e ore.
• ripubblicare ripubblica i CRL più recenti.
• delta pubblica solo i CRL differenziali (il valore predefinito è CRL di base e delta).

Opzioni:

Prompt dei comandi di Windows

[-split] [-config Machine\CAName]

-chiusura

Arresta Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -shutdown

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-installCert

Installa un certificato dell'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -installCert [CACertFile]

Opzioni:

Prompt dei comandi di Windows

[-f] [-silent] [-config Machine\CAName]

-renewCert

Rinnova un certificato dell'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opzioni:

Prompt dei comandi di Windows

[-f] [-silent] [-config Machine\CAName]

• Usare -f per ignorare una richiesta di rinnovo in sospeso e generare una nuova richiesta.

-schema

Esegue il dump dello schema per il certificato.

Prompt dei comandi di Windows

certutil [options] -schema [Ext | Attrib | CRL]

Dove:

• Il comando viene impostato per impostazione predefinita sulla tabella Richiesta e Certificato.
• Ext è la tabella di estensione.
• attribute è la tabella degli attributi.
• CRL è la tabella CRL.

Opzioni:

Prompt dei comandi di Windows

[-split] [-config Machine\CAName]

-vista

Esegue il dump della visualizzazione del certificato.

Prompt dei comandi di Windows

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Dove:

• coda esegue il dump di una coda di richieste specifica.
• Log esegue il dump dei certificati rilasciati o revocati, oltre a eventuali richieste non riuscite.
• LogFail esegue il dump delle richieste non riuscite.
• Revoked esegue il dump dei certificati revocati.
• Ext esegue il dump della tabella di estensione.
• Attrib esegue il dump della tabella degli attributi.
• CRL esegue il dump della tabella CRL.
• csv fornisce l'output usando valori delimitati da virgole.

Opzioni:

Prompt dei comandi di Windows

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Osservazioni

• Per visualizzare la colonna StatusCode per tutte le voci, digitare -out StatusCode
• Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$
• Per visualizzare il RequestId e Disposition per tre richieste, digitare
• Per visualizzare gli ID riga ID riga e numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Per visualizzare il numero CRL di base 3, digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Per visualizzare l'intera tabella CRL, digitare: CRL
• Usare Date[+|-dd:hh] per le restrizioni relative alla data.
• Usare now+dd:hh per una data relativa all'ora corrente.
• I modelli contengono gli EKU (Extended Key Usages), ovvero identificatori di oggetto (OID) che descrivono come viene usato il certificato. I certificati non includono sempre nomi comuni dei modelli o nomi visualizzati, ma contengono sempre le EKU del modello. È possibile estrarre le EKU per un modello di certificato specifico da Active Directory e quindi limitare le visualizzazioni in base a tale estensione.

-Db

Esegue il dump del database non elaborato.

Prompt dei comandi di Windows

certutil [options] -db

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una riga dal database del server.

Prompt dei comandi di Windows

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Dove:

• Richiesta elimina le richieste non riuscite e in sospeso, in base alla data di invio.
• certificato elimina i certificati scaduti e revocati in base alla data di scadenza.
• Ext elimina la tabella di estensione.
• attrib elimina la tabella degli attributi.
• CRL elimina la tabella CRL.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName]

Esempi

• Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare: 1/22/2001 request
• Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 cert
• Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare: 37
• Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 crl

Nota

Date prevede il formato mm/dd/yyyy anziché dd/mm/yyyy, ad esempio 1/22/2001 anziché 22/1/2001 per il 22 gennaio 2001. Se il server non è configurato con le impostazioni internazionali degli Stati Uniti, l'argomento data potrebbe produrre risultati imprevisti.

-backup

Esegue il backup di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Dove:

• backupDirectory è la directory in cui archiviare i dati di cui è stato eseguito il backup.
• incrementale esegue solo un backup incrementale (il backup predefinito è completo).
• KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Esegue il backup del database di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Dove:

• backupDirectory è la directory in cui archiviare i file di database di cui è stato eseguito il backup.
• incrementale esegue solo un backup incrementale (il backup predefinito è completo).
• KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName]

-backupkey

Esegue il backup del certificato di Servizi certificati Active Directory e della chiave privata.

Prompt dei comandi di Windows

certutil [options] -backupkey BackupDirectory

Dove:

• backupDirectory è la directory in cui archiviare il file PFX di cui è stato eseguito il backup.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restaurare

Ripristina Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -restore BackupDirectory

Dove:

• BackupDirectory è la directory contenente i dati da ripristinare.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName] [-p password]

-restoredb

Ripristina il database di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -restoredb BackupDirectory

Dove:

• backupDirectory è la directory contenente i file di database da ripristinare.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName]

-restorekey

Ripristina il certificato e la chiave privata di Servizi certificati Active Directory.

Prompt dei comandi di Windows

certutil [options] -restorekey BackupDirectory | PFXFile

Dove:

• backupDirectory è la directory contenente il file PFX da ripristinare.
• PFXFile è il file PFX da ripristinare.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Esporta i certificati e le chiavi private. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Dove:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.
• file PFXFile è il file PFX da esportare.
• modificatori sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
  • CryptoAlgorithm= specifica l'algoritmo di crittografia da usare per crittografare il file PFX, ad esempio TripleDES-Sha1 o Aes256-Sha256.
  • EncryptCert: crittografa la chiave privata associata al certificato con una password.
  • ExportParameters -Exports i parametri della chiave privata oltre al certificato e alla chiave privata.
  • ExtendedProperties : include tutte le proprietà estese associate al certificato nel file di output.
  • NoEncryptCert: esporta la chiave privata senza crittografarla.
  • NoChain : non importa la catena di certificati.
  • NoRoot: non importa il certificato radice.

-importPFX

Importa i certificati e le chiavi private. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Dove:

• CertificateStoreName è il nome dell'archivio certificati.
• PFXFile è il file PFX da importare.
• modificatori sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
  • AT_KEYEXCHANGE : modifica keyspec in scambio di chiavi.
  • AT_SIGNATURE : modifica keyspec in firma.
  • ExportEncrypted : esporta la chiave privata associata al certificato con la crittografia della password.
  • FriendlyName=: specifica un nome descrittivo per il certificato importato.
  • KeyDescription= : specifica una descrizione per la chiave privata associata al certificato importato.
  • KeyFriendlyName= : specifica un nome descrittivo per la chiave privata associata al certificato importato.
  • NoCert: non importa il certificato.
  • NoChain : non importa la catena di certificati.
  • NoExport: rende la chiave privata non esportabile.
  • NoProtect: non protegge le chiavi usando una password.
  • NoRoot: non importa il certificato radice.
  • pkcs8: usa il formato PKCS8 per la chiave privata nel file PFX.
  • Proteggi: protegge le chiavi usando una password.
  • ProtectHigh: specifica che una password di sicurezza elevata deve essere associata alla chiave privata.
  • VSM: archivia la chiave privata associata al certificato importato nel contenitore della smart card virtuale .

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Osservazioni

• L'impostazione predefinita è archivio computer personale.

-dynamicfilelist

Visualizza un elenco di file dinamici.

Prompt dei comandi di Windows

certutil [options] -dynamicfilelist

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-databaselocations

Visualizza i percorsi del database.

Prompt dei comandi di Windows

certutil [options] -databaselocations

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-hashfile

Genera e visualizza un hash crittografico su un file.

Prompt dei comandi di Windows

certutil [options] -hashfile InFile [HashAlgorithm]

-negozio

Esegue il dump dell'archivio certificati.

Prompt dei comandi di Windows

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Dove:

• CertificateStoreName è il nome dell'archivio certificati. Per esempio:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Questo ID può essere:

  • Numero di serie
  • Certificato SHA-1
  • Hash CRL, CTL o chiave pubblica
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Chiave pubblica
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • Indirizzo di posta elettronica
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi identificatori possono generare più corrispondenze.

• outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Nota

I problemi di prestazioni vengono osservati quando si usa il parametro -store in base a questi due aspetti:

1. Quando il numero di certificati nell'archivio supera 10.
2. Quando viene specificato un CertId , viene usato per corrispondere a tutti i tipi elencati per ogni certificato. Ad esempio, se viene fornito un numero di serie, tenterà anche di corrispondere a tutti gli altri tipi elencati.

Se si è preoccupati per i problemi di prestazioni, i comandi di PowerShell sono consigliati in cui corrisponderà solo al tipo di certificato specificato.

-enumstore

Enumera gli archivi certificati.

Prompt dei comandi di Windows

certutil [options] -enumstore [\\MachineName]

Dove:

• MachineName è il nome del computer remoto.

Opzioni:

Prompt dei comandi di Windows

[-enterprise] [-user] [-grouppolicy]

-addstore

Aggiunge un certificato all'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -addstore CertificateStoreName InFile

Dove:

• CertificateStoreName è il nome dell'archivio certificati.
• InFile è il certificato o il file CRL da aggiungere all'archivio.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificato dall'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -delstore CertificateStoreName certID

Dove:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica un certificato nell'archivio. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -verifystore CertificateStoreName [CertId]

Dove:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

Prompt dei comandi di Windows

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Dove:

• CertificateStoreName è il nome dell'archivio certificati.

• CertIdList è l'elenco delimitato da virgole di certificati o token di corrispondenza CRL. Per altre informazioni, vedere la descrizione -store CertId in questo articolo.

• PropertyInfFile è il file INF contenente proprietà esterne, tra cui:

  Prompt dei comandi di Windows

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il parametro -store in questo articolo.

Prompt dei comandi di Windows

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

• CertificateStoreName è il nome dell'archivio certificati. Per esempio:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:

  • Numero di serie
  • Certificato SHA-1
  • Hash della chiave pubblica, CTL o CRL
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Chiave pubblica
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • Indirizzo di posta elettronica
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi possono causare più corrispondenze.

• outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Elimina un certificato dall'archivio.

Prompt dei comandi di Windows

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

• CertificateStoreName è il nome dell'archivio certificati. Per esempio:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:

  • Numero di serie
  • Certificato SHA-1
  • Hash della chiave pubblica, CTL o CRL
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Chiave pubblica
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • Indirizzo di posta elettronica
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi potrebbero comportare più corrispondenze.

• outputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Per esempio:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Richiama l'interfaccia certutil.

Prompt dei comandi di Windows

certutil [options] -UI File [import]

-TPMInfo

Visualizza informazioni attendibili sul modulo della piattaforma.

Prompt dei comandi di Windows

certutil [options] -TPMInfo

Opzioni:

Prompt dei comandi di Windows

[-f] [-Silent] [-split]

-attestare

Specifica che il file di richiesta del certificato deve essere attestato.

Prompt dei comandi di Windows

certutil [options] -attest RequestFile

Opzioni:

Prompt dei comandi di Windows

[-user] [-Silent] [-split]

-getcert

Seleziona un certificato da un'interfaccia utente di selezione.

Prompt dei comandi di Windows

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opzioni:

Prompt dei comandi di Windows

[-Silent] [-split]

-Ds

Visualizza i nomi distinti del servizio directory (DS).

Prompt dei comandi di Windows

certutil [options] -ds [CommonName]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina I DS DN.

Prompt dei comandi di Windows

certutil [options] -dsDel [CommonName]

Opzioni:

Prompt dei comandi di Windows

[-user] [-split] [-dc DCName]

-dsPublish

Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.

Prompt dei comandi di Windows

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dove:

• CertFile è il nome del file di certificato da pubblicare.
• NTAuthCA pubblica il certificato nell'archivio DS Enterprise.
• RootCA pubblica il certificato nell'archivio radice attendibile di DS.
• SubCA pubblica il certificato della CA nell'oggetto CA DS.
• CrossCA pubblica il certificato incrociato nell'oggetto CA DS.
• KRA pubblica il certificato nell'oggetto Agente di ripristino delle chiavi DS.
• User pubblica il certificato nell'oggetto User DS.
• Machine pubblica il certificato nell'oggetto Machine DS.
• CRLfile è il nome del file CRL da pubblicare.
• DSCDPContainer è il cn del contenitore CDP di DS, in genere il nome del computer CA.
• DSCDPCN è il CN dell'oggetto CDP DS basato sul nome breve e sull'indice chiave della CA sanificati.

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-dc DCName]

• Usare -f per creare un nuovo oggetto DS.

-dsCert

Visualizza i certificati DS.

Prompt dei comandi di Windows

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opzioni:

Prompt dei comandi di Windows

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Visualizza CRL DS.

Prompt dei comandi di Windows

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

Prompt dei comandi di Windows

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Visualizza CRL delta DS.

Prompt dei comandi di Windows

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

Prompt dei comandi di Windows

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Visualizza gli attributi del modello DS.

Prompt dei comandi di Windows

certutil [options] -dsTemplate [Template]

Opzioni:

Prompt dei comandi di Windows

[Silent] [-dc DCName]

-dsAddTemplate

Aggiunge modelli DS.

Prompt dei comandi di Windows

certutil [options] -dsAddTemplate TemplateInfFile

Opzioni:

Prompt dei comandi di Windows

[-dc DCName]

-ADTemplate

Visualizza i modelli di Active Directory.

Prompt dei comandi di Windows

certutil [options] -ADTemplate [Template]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Sagoma

Visualizza i modelli di criteri di registrazione certificati.

Opzioni:

Prompt dei comandi di Windows

certutil [options] -Template [Template]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Visualizza le autorità di certificazione (CA) per un modello di certificato.

Prompt dei comandi di Windows

certutil [options] -TemplateCAs Template

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-dc DCName]

-CATemplates

Visualizza i modelli per l'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -CATemplates [Template]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Imposta i modelli di certificato che l'autorità di certificazione può emettere.

Prompt dei comandi di Windows

certutil [options] -SetCATemplates [+ | -] TemplateList

Dove:

• Il segno + aggiunge modelli di certificato all'elenco dei modelli disponibili della CA.
• Il segno - rimuove i modelli di certificato dall'elenco dei modelli disponibili della CA.

-SetCASites

Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Dove:

• SiteName è consentito solo quando la destinazione è una singola autorità di certificazione.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName] [-dc DCName]

Osservazioni

• L'opzione -config è destinata a una singola autorità di certificazione (il valore predefinito è tutte le ca).
• L'opzione -f può essere usata per eseguire l'override degli errori di convalida per il SiteName specificato o per eliminare tutti i nomi dei siti ca.

Nota

Per altre informazioni sulla configurazione di ca per la consapevolezza dei siti di Active Directory Domain Services (AD DS), vedere Active Directory Domain Services Site Awareness for AD DS Site Awareness for AD CS and PKI clients.

-enrollmentServerURL

Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.

Prompt dei comandi di Windows

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dove:

• AuthenticationType specifica uno dei metodi di autenticazione client seguenti durante l'aggiunta di un URL:
  • Kerberos: usare le credenziali SSL Kerberos.
  • UserName: usare un account denominato per le credenziali SSL.
  • ClientCertificate : usare le credenziali SSL del certificato X.509.
  • anonima: usare credenziali SSL anonime.
• eliminare elimina l'URL specificato associato alla CA.
• Priorità viene 1 se non specificato quando si aggiunge un URL.
• modificatori è un elenco delimitato da virgole, che include una o più delle opzioni seguenti:
  • AllowRenewalsOnly solo le richieste di rinnovo possono essere inviate a questa CA tramite questo URL.
  • AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in AD. Questo vale solo con clientCertificate e modalità allowRenewalsOnly.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName] [-dc DCName]

-ADCA

Visualizza le autorità di certificazione di Active Directory.

Prompt dei comandi di Windows

certutil [options] -ADCA [CAName]

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-dc DCName]

-CA

Visualizza le autorità di certificazione dei criteri di registrazione.

Prompt dei comandi di Windows

certutil [options] -CA [CAName | TemplateName]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Politica

Visualizza i criteri di registrazione.

Prompt dei comandi di Windows

certutil [options] -Policy

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Visualizza o elimina le voci della cache dei criteri di registrazione.

Prompt dei comandi di Windows

certutil [options] -PolicyCache [delete]

Dove:

• eliminare elimina le voci della cache del server dei criteri.
• -f elimina tutte le voci della cache

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-policyserver URLorID]

-CredStore

Visualizza, aggiunge o elimina le voci dell'archivio credenziali.

Prompt dei comandi di Windows

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Dove:

• URL è l'URL di destinazione. È anche possibile usare * per trovare le corrispondenze con tutte le voci o https://machine* in modo che corrispondano a un prefisso URL.
• aggiungere aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.
• eliminare elimina le voci dell'archivio credenziali.
• -f sovrascrive una singola voce o elimina più voci.

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installa i modelli di certificato predefiniti.

Prompt dei comandi di Windows

certutil [options] -InstallDefaultTemplates

Opzioni:

Prompt dei comandi di Windows

[-dc DCName]

-URL

Verifica gli URL di certificato o CRL.

Prompt dei comandi di Windows

certutil [options] -URL InFile | URL

Opzioni:

Prompt dei comandi di Windows

[-f] [-split]

-URLCache

Visualizza o elimina le voci della cache degli URL.

Prompt dei comandi di Windows

certutil [options] -URLcache [URL | CRL | * [delete]]

Dove:

• URL è l'URL memorizzato nella cache.
• CRL viene eseguito solo in tutti gli URL CRL memorizzati nella cache.
• * opera su tutti gli URL memorizzati nella cache.
• eliminare elimina gli URL pertinenti dalla cache locale dell'utente corrente.
• -f forza il recupero di un URL specifico e l'aggiornamento della cache.

Opzioni:

Prompt dei comandi di Windows

[-f] [-split]

-polso

Genera un evento di registrazione automatica o un'attività NGC.

Prompt dei comandi di Windows

certutil [options] -pulse [TaskName [SRKThumbprint]]

Dove:

• taskName è l'attività da attivare.
  • Pregen è l'attività pregene NGC Key.
  • AIKEnroll è l'attività di registrazione del certificato AIK NGC. L'impostazione predefinita è l'evento di registrazione automatica.
• SRKThumbprint è l'identificazione personale della chiave radice di archiviazione
• modificatori:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Opzioni:

Prompt dei comandi di Windows

[-user]

-MachineInfo

Visualizza informazioni sull'oggetto computer di Active Directory.

Prompt dei comandi di Windows

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati del controller di dominio senza verifica.

Prompt dei comandi di Windows

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• modificatori:

  • Verificare
  • DeleteBad
  • DeleteAll

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Suggerimento

La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [Dominio] e di specificare un controller di dominio (-dc) è stato aggiunto in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins. Le modifiche del comportamento di questo comando sono le seguenti:

• Se non viene specificato un dominio e non viene specificato un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.
• Se non viene specificato un dominio, ma viene specificato un controller di dominio, viene generato un report dei certificati nel controller di dominio specificato.
• Se viene specificato un dominio, ma non viene specificato un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.
• Se vengono specificati il dominio e il controller di dominio, viene generato un elenco di controller di dominio dal controller di dominio di destinazione. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.

Si supponga, ad esempio, che sia presente un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Visualizza informazioni su un'autorità di certificazione dell'organizzazione.

Prompt dei comandi di Windows

certutil [options] -EntInfo DomainName\MachineName$

Opzioni:

Prompt dei comandi di Windows

[-f] [-user]

-TCAInfo

Visualizza informazioni sull'autorità di certificazione.

Prompt dei comandi di Windows

certutil [options] -TCAInfo [DomainDN | -]

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Visualizza informazioni sulla smart card.

Prompt dei comandi di Windows

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Dove:

• CRYPT_DELETEKEYSET elimina tutte le chiavi sulla smart card.

Opzioni:

Prompt dei comandi di Windows

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gestisce i certificati radice della smart card.

Prompt dei comandi di Windows

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opzioni:

Prompt dei comandi di Windows

[-f] [-split] [-p Password]

-chiave

Elenca le chiavi archiviate in un contenitore di chiavi.

Prompt dei comandi di Windows

certutil [options] -key [KeyContainerName | -]

Dove:

• KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
• L'uso del segno di - fa riferimento all'uso del contenitore di chiavi predefinito.

Opzioni:

Prompt dei comandi di Windows

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina il contenitore di chiavi denominato.

Prompt dei comandi di Windows

certutil [options] -delkey KeyContainerName

Opzioni:

Prompt dei comandi di Windows

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina il contenitore Windows Hello rimuovendo tutte le credenziali associate archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.

Gli utenti devono disconnettersi dopo aver usato questa opzione per completarla.

Prompt dei comandi di Windows

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica un set di chiavi pubblico o privato.

Prompt dei comandi di Windows

certutil [options] -verifykeys [KeyContainerName CACertFile]

Dove:

• KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
• CACertFile firma o crittografa i file di certificato.

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-config Machine\CAName]

Osservazioni

• Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla chiave privata.
• Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.

-verificare

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.

Prompt dei comandi di Windows

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Dove:

• CertFile è il nome del certificato da verificare.
• ApplicationPolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di applicazione necessari.
• Di rilasciopolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di rilascio necessari.
• CACertFile è il certificato ca emittente facoltativo da verificare.
• crossedCACertFile è il certificato cross-certified facoltativo da CertFile.
• CRLFile è il file CRL usato per verificare ilCACertFile .
• IssuedCertFile è il certificato rilasciato facoltativo coperto dal crlfile.
• deltaCRLFile è il file CRL delta facoltativo.
• modificatori:
  • Strong - Verifica della firma avanzata
  • MSRoot : deve essere concatenato a una radice Microsoft
  • MSTestRoot: deve essere concatenato a una radice di test Microsoft
  • AppRoot: deve essere concatenato a una radice dell'applicazione Microsoft
  • EV - Applicare i criteri di convalida estesa

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Osservazioni

• L'uso di ApplicationPolicyList limita la compilazione della catena solo a catene valide per i criteri dell'applicazione specificati.
• L'uso di IssuancePolicyList limita la compilazione della catena solo a catene valide per i criteri di rilascio specificati.
• L'uso di CACertFile verifica i campi nel file rispetto a CertFile o CRLfile.
• Se non viene specificato CACertFile, la catena completa viene compilata e verificata in base a CertFile.
• Se vengono specificati CACertFile e CrossedCACertFile, i campi in entrambi i file vengono verificati in base a CertFile.
• L'uso di IssuedCertFile verifica i campi nel file con CRLfile.
• L'uso di DeltaCRLFile verifica i campi nel file in CertFile.

-verifyCTL

Verifica il CTL dei certificati AuthRoot o Non consentiti.

Prompt dei comandi di Windows

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Dove:

• CTLObject identifica il CTL da verificare, tra cui:

  • AuthRootWU legge il cab AuthRoot e i certificati corrispondenti dalla cache degli URL. Usa -f per scaricare da Windows Update.
  • Non consentitoWU legge il cab dei certificati non consentiti e il file dell'archivio certificati non consentito dalla cache degli URL. Usa -f per scaricare da Windows Update.
    • PinRulesWU legge il CAB PinRules dalla cache degli URL. Usa -f per scaricare da Windows Update.
  • AuthRoot legge il CTL AuthRoot memorizzato nella cache del Registro di sistema. Usare con e un CertFile non attendibile per forzare l'aggiornamento dei CRL del certificato memorizzati nella cache AuthRoot e Non consentito.
  • Non consentito legge il CTL dei certificati non consentiti memorizzati nella cache del Registro di sistema. Usare con e un CertFile non attendibile per forzare l'aggiornamento dei CRL del certificato memorizzati nella cache AuthRoot e Non consentito.
    • PinRules legge il CTL PinRules memorizzato nella cache del Registro di sistema. L'uso di -f ha lo stesso comportamento di PinRulesWU.
  • CTLFileName specifica il file o il percorso HTTP del file CTL o CAB.

• CertDir specifica la cartella contenente i certificati corrispondenti alle voci CTL. L'impostazione predefinita è la stessa cartella o sito Web del CTLobject. L'uso di un percorso della cartella HTTP richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Non consentito, vengono cercati più percorsi corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache dell'URL locale. Usare -f per scaricare da Windows Update, in base alle esigenze.

• CertFile specifica i certificati da verificare. I certificati vengono confrontati con le voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-split]

-syncWithWU

Sincronizza i certificati con Windows Update.

Prompt dei comandi di Windows

certutil [options] -syncWithWU DestinationDir

Dove:

• DestinationDir è la directory specificata.
• f forza una sovrascrittura.
• Unicode scrive l'output reindirizzato in Unicode.
• gmt visualizza l'ora GMT.
• secondi vengono visualizzati i tempi con secondi e millisecondi.
• v è un'operazione dettagliata.
• PIN è il PIN della smart card.
• WELL_KNOWN_SID_TYPE è un SID numerico:
  • 22 - Sistema locale
  • 23 - Servizio locale
  • 24 - Servizio di rete

Osservazioni

I file seguenti vengono scaricati usando il meccanismo di aggiornamento automatico:

• authrootstl.cab contiene gli elenchi CRL dei certificati radice non Microsoft.
• disallowedcertstl.cab contiene gli elenchi di scopi consentiti dei certificati non attendibili.
• non consentitocert.sst contiene l'archivio certificati serializzato, inclusi i certificati non attendibili.
• thumbprint.crt contiene i certificati radice non Microsoft.

Ad esempio, certutil -syncWithWU \\server1\PKI\CTLs.

• Se si usa un percorso o una cartella locale inesistente come cartella di destinazione, viene visualizzato l'errore: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Se si usa un percorso di rete inesistente o non disponibile come cartella di destinazione, viene visualizzato l'errore: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Se il server non riesce a connettersi tramite la porta TCP 80 ai server di aggiornamento automatico Microsoft, viene visualizzato l'errore seguente: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Se il server non riesce a raggiungere i server di Aggiornamento automatico Microsoft con il nome DNS ctldl.windowsupdate.com, viene visualizzato l'errore seguente: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Se non si usa l'opzione -f e uno dei file CTL esiste già nella directory, viene visualizzato un errore: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Se si verifica una modifica nei certificati radice attendibili, viene visualizzato: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un file di archivio sincronizzato con Windows Update.

Prompt dei comandi di Windows

certutil [options] -generateSSTFromWU SSTFile

Dove:

• SSTFile è il file .sst da generare che contiene le radici di terze parti scaricate da Windows Update.

Opzioni:

Prompt dei comandi di Windows

[-f] [-split]

-generatePinRulesCTL

Genera un file CTL (Certificate Trust List) che contiene un elenco di regole di aggiunta.

Prompt dei comandi di Windows

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Dove:

• XMLFile è il file XML di input da analizzare.
• CTLFile è il file CTL di output da generare.
• SSTFile è il file .sst facoltativo da creare che contiene tutti i certificati usati per l'aggiunta.
• queryFilesPrefix sono Domains.csv facoltativi e Keys.csv file da creare per la query di database.
  • La stringa QueryFilesPrefix viene anteporta a ogni file creato.
  • Il file Domains.csv contiene il nome della regola, le righe di dominio.
  • Il file Keys.csv contiene il nome della regola, le righe di identificazione personale SHA256 chiave.

Opzioni:

Prompt dei comandi di Windows

[-f]

-downloadOcsp

Scarica le risposte OCSP e scrive nella directory.

Prompt dei comandi di Windows

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Dove:

• CertificateDir è la directory di un certificato, di un archivio e di file PFX.
• OcspDir è la directory in cui scrivere risposte OCSP.
• ThreadCount è il numero massimo facoltativo di thread per il download simultaneo. Il valore predefinito è 10.
• modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
  • DownloadOnce - Scarica una volta e si esce.
  • readOcsp: legge da OcspDir invece di scrivere.

-generateHpkpHeader

Genera l'intestazione HPKP usando i certificati in un file o in una directory specificata.

Prompt dei comandi di Windows

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Dove:

• CertFileOrDir è il file o la directory dei certificati, che è l'origine di pin-sha256.
• maxAge è il valore max-age in secondi.
• ReportUri è l'URI del report facoltativo.
• modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
  • includeSubDomains : aggiunge includeSubDomains.

-flushCache

Scarica le cache specificate nel processo selezionato, ad esempio lsass.exe.

Prompt dei comandi di Windows

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Dove:

• ProcessId è l'ID numerico di un processo da scaricare. Impostare su 0 per scaricare tutti i processi in cui è abilitato lo scaricamento.

• cacheMask è la maschera di bit delle cache da scaricare sia numerica che i bit seguenti:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:

  • Mostra : mostra le cache scaricate. Certutil deve essere terminato in modo esplicito.

-addEccCurve

Aggiunge una curva ECC.

Prompt dei comandi di Windows

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Dove:

• CurveClass è il tipo di classe curva ECC:

  • WEIERSTRASS (impostazione predefinita)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName è il nome della curva ECC.

• CurveParameters sono uno dei seguenti:

  • Nome file di certificato contenente parametri con codifica ASN.
  • File contenente parametri con codifica ASN.

• CurveOID è l'OID curva ECC ed è uno dei seguenti:

  • Nome file di certificato contenente un OID con codifica ASN.
  • OID curva ECC esplicito.

• CurveType è il punto Schannel ECC NamedCurve (numerico).

Opzioni:

Prompt dei comandi di Windows

[-f]

-deleteEccCurve

Elimina la curva ECC.

Prompt dei comandi di Windows

certutil [options] -deleteEccCurve CurveName | CurveOID

Dove:

• CurveName è il nome della curva ECC.
• curveOID è l'OID curva ECC.

Opzioni:

Prompt dei comandi di Windows

[-f]

-displayEccCurve

Visualizza la curva ECC.

Prompt dei comandi di Windows

certutil [options] -displayEccCurve [CurveName | CurveOID]

Dove:

• CurveName è il nome della curva ECC.
• curveOID è l'OID curva ECC.

Opzioni:

Prompt dei comandi di Windows

[-f]

-csplist

Elenca i provider di servizi di crittografia installati in questo computer per le operazioni di crittografia.

Prompt dei comandi di Windows

certutil [options] -csplist [Algorithm]

Opzioni:

Prompt dei comandi di Windows

[-user] [-Silent] [-csp Provider]

-csptest

Verifica i CSP installati in questo computer.

Prompt dei comandi di Windows

certutil [options] -csptest [Algorithm]

Opzioni:

Prompt dei comandi di Windows

[-user] [-Silent] [-csp Provider]

-CNGConfig

Visualizza la configurazione crittografica CNG in questo computer.

Prompt dei comandi di Windows

certutil [options] -CNGConfig

Opzioni:

Prompt dei comandi di Windows

[-Silent]

-segno

Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.

Prompt dei comandi di Windows

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Dove:

• InFileList è l'elenco delimitato da virgole di file di certificato o CRL da modificare e firmare nuovamente.

• serialNumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.

• CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.

• OutFileList è l'elenco delimitato da virgole dei file di output del certificato o CRL modificati. Il numero di file deve corrispondere a infilelist.

• StartDate+dd:hh è il nuovo periodo di validità per i file di certificato o CRL, tra cui:

  • data facoltativa più
  • giorni e ore facoltativi periodo di validità Se vengono usati più campi, usare un separatore (+) o (-). Usare now[+dd:hh] per iniziare all'ora corrente. Utilizzare now-dd:hh+dd:hh per iniziare in corrispondenza di un offset fisso rispetto all'ora corrente e a un periodo di validità fisso. Usare never per non avere una data di scadenza (solo per i CRL).

• SerialNumberList è l'elenco di numeri di serie delimitati da virgole dei file da aggiungere o rimuovere.

• ObjectIdList è l'elenco ObjectId dell'estensione delimitato da virgole dei file da rimuovere.

• @ExtensionFile è il file INF che contiene le estensioni da aggiornare o rimuovere. Per esempio:

  Prompt dei comandi di Windows

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm è il nome dell'algoritmo hash. Deve essere solo il testo preceduto dal segno di #.

• AlternateSignatureAlgorithm è l'identificatore dell'algoritmo di firma alternativo.

Opzioni:

Prompt dei comandi di Windows

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Osservazioni

• L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.
• L'uso del segno più (+) aggiunge numeri di serie a un CRL.
• È possibile usare un elenco per rimuovere contemporaneamente numeri di serie e ObjectIds da un CRL.
• L'uso del segno meno prima di AlternateSignatureAlgorithm consente di usare il formato di firma legacy.
• L'uso del segno più consente di usare il formato di firma alternativo.
• Se non si specifica AlternateSignatureAlgorithm, viene usato il formato della firma nel certificato o CRL.

-vroot

Crea o elimina le radici virtuali Web e le condivisioni file.

Prompt dei comandi di Windows

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina radici virtuali Web per un proxy Web OCSP.

Prompt dei comandi di Windows

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Aggiunge un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

Prompt dei comandi di Windows

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Dove:

• addEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:

  • Kerberos usa le credenziali SSL Kerberos.
  • UserName usa l'account denominato per le credenziali SSL.
  • ClientCertificate usa le credenziali SSL del certificato X.509.

• modificatori:

  • AllowRenewalsOnly consente solo gli invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.
  • AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in Active Directory. Questo vale quando viene usato con clientCertificate e modalità di AllowRenewalsOnly.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

Prompt dei comandi di Windows

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Dove:

• deleteEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
  • Kerberos usa le credenziali SSL Kerberos.
  • UserName usa l'account denominato per le credenziali SSL.
  • ClientCertificate usa le credenziali SSL del certificato X.509.

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName]

-addPolicyServer

Aggiungere un'applicazione Server criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.

Prompt dei comandi di Windows

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

• addPolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
  • Kerberos usa le credenziali SSL Kerberos.
  • UserName usa l'account denominato per le credenziali SSL.
  • ClientCertificate usa le credenziali SSL del certificato X.509.
• KeyBasedRenewal consente l'uso dei criteri restituiti al client contenente i modelli keybasedrenewal. Questa opzione si applica solo per UserName e 'autenticazione ClientCertificate.

-deletePolicyServer

Elimina un'applicazione server criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.

Prompt dei comandi di Windows

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

• deletePolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
  • Kerberos usa le credenziali SSL Kerberos.
  • UserName usa l'account denominato per le credenziali SSL.
  • ClientCertificate usa le credenziali SSL del certificato X.509.
• KeyBasedRenewal consente l'uso di un server dei criteri KeyBasedRenewal.

-Classe

Visualizza le informazioni del Registro di sistema COM.

Prompt dei comandi di Windows

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opzioni:

Prompt dei comandi di Windows

[-f]

-7f

Controlla la presenza di codifiche di lunghezza 0x7f.

Prompt dei comandi di Windows

certutil [options] -7f CertFile

-Oid

Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.

Prompt dei comandi di Windows

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Dove:

• ObjectId è l'ID da visualizzare o aggiungere al nome visualizzato.
• GroupId è il numero GroupID (decimale) enumerato da ObjectIds.
• AlgId è l'ID esadecimale che objectID cerca.
• AlgorithmName è il nome dell'algoritmo che objectID cerca.
• DisplayName visualizza il nome da archiviare in DS.
• Elimina elimina il nome visualizzato.
• LanguageId è il valore id lingua (per impostazione predefinita è corrente: 1033).
• Tipo è il tipo di oggetto DS da creare, tra cui:
  • 1 - Modello (impostazione predefinita)
  • 2 - Criteri di rilascio
  • 3 - Criteri dell'applicazione
• -f crea un oggetto DS.

Opzioni:

Prompt dei comandi di Windows

[-f]

-errore

Visualizza il testo del messaggio associato a un codice di errore.

Prompt dei comandi di Windows

certutil [options] -error ErrorCode

-getsmtpinfo

Ottiene informazioni SMTP (Simple Mail Transfer Protocol).

Prompt dei comandi di Windows

certutil [options] -getsmtpinfo

-setsmtpinfo

Imposta le informazioni SMTP.

Prompt dei comandi di Windows

certutil [options] -setsmtpinfo LogonName

Opzioni:

Prompt dei comandi di Windows

[-config Machine\CAName] [-p Password]

-getreg

Visualizza un valore del Registro di sistema.

Prompt dei comandi di Windows

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Dove:

• ca usa la chiave del Registro di sistema di un'autorità di certificazione.
• ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
• criterio usa la chiave del Registro di sistema del modulo criteri.
• uscire usa la chiave del Registro di sistema del primo modulo di uscita.
• modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
• registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
• chain usa la chiave del Registro di sistema di configurazione della catena.
• PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
• ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
• RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
• valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

• Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
• Alias del Registro di sistema:
  • Configurazione
  • CA
  • Policy - PolicyModules
  • Exit - ExitModules
  • Restore - RestoreInProgress
  • Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Imposta un valore del Registro di sistema.

Prompt dei comandi di Windows

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Dove:

• ca usa la chiave del Registro di sistema di un'autorità di certificazione.
• ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
• criterio usa la chiave del Registro di sistema del modulo criteri.
• uscire usa la chiave del Registro di sistema del primo modulo di uscita.
• modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
• registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
• chain usa la chiave del Registro di sistema di configurazione della catena.
• PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
• ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
• RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
• Valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

• Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.

-delreg

Elimina un valore del Registro di sistema.

Prompt dei comandi di Windows

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Dove:

• ca usa la chiave del Registro di sistema di un'autorità di certificazione.
• ripristino usa la chiave del Registro di sistema di ripristino dell'autorità di certificazione.
• criterio usa la chiave del Registro di sistema del modulo criteri.
• uscire usa la chiave del Registro di sistema del primo modulo di uscita.
• modello usa la chiave del Registro di sistema del modello (usare -user per i modelli utente).
• registrare usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
• chain usa la chiave del Registro di sistema di configurazione della catena.
• PolicyServers usa la chiave del Registro di sistema dei server dei criteri.
• ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del Registro di sistema).
• RegistryValueName usa il nome del valore del Registro di sistema (usare Name* per anteporre la corrispondenza).
• Valore usa il nuovo valore numerico, stringa o data del Registro di sistema o nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni

• Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] che è una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Usare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
• Alias del Registro di sistema:
  • Configurazione
  • CA
  • Policy - PolicyModules
  • Exit - ExitModules
  • Restore - RestoreInProgress
  • Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.

Prompt dei comandi di Windows

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Dove:

• UserKeyAndCertFile è un file di dati con chiavi e certificati privati dell'utente da archiviare. Questo file può essere:
  • Un file di esportazione del server di gestione delle chiavi di Exchange.An Exchange Key Management Server (KMS) export file.
  • File PFX.
• CertId è un token di corrispondenza del certificato di decrittografia del file di esportazione del Servizio di gestione delle chiavi. Per altre informazioni, vedere il parametro -store in questo articolo.
• -f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

Prompt dei comandi di Windows

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un file di certificato nel database.

Prompt dei comandi di Windows

certutil [options] -ImportCert Certfile [ExistingRow]

Dove:

• ExistingRow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.
• -f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

Prompt dei comandi di Windows

[-f] [-config Machine\CAName]

Osservazioni

Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni eseguendo certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un BLOB di recupero delle chiavi private archiviato, genera uno script di ripristino o recupera le chiavi archiviate.

Prompt dei comandi di Windows

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Dove:

• script genera uno script per recuperare e ripristinare le chiavi (comportamento predefinito se vengono trovati più candidati di recupero corrispondenti o se il file di output non è specificato).
• recuperare recupera uno o più BLOB di recupero delle chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se è specificato il file di output). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato e l'estensione .rec per ogni BLOB di ripristino della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
• ripristinare recupera e recupera le chiavi private in un unico passaggio (richiede i certificati dell'agente di ripristino delle chiavi e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione .p12. Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.
• SearchToken seleziona le chiavi e i certificati da recuperare, tra cui:
  • Nome comune certificato
  • Numero di serie del certificato
  • Hash SHA-1 del certificato (identificazione personale)
  • Hash SHA-1 del keyid del certificato (identificatore della chiave del soggetto)
  • Nome richiedente (dominio\utente)
  • UPN (user@domain)
• RecoveryBlobOutFile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di ripristino delle chiavi.
• OutputScriptFile restituisce un file con uno script batch per recuperare e recuperare chiavi private.
• OutputFileBaseName restituisce un nome di base file.

Opzioni:

Prompt dei comandi di Windows

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni

• Per recuperare, qualsiasi estensione viene troncata e una stringa specifica del certificato e le estensioni .rec vengono aggiunte per ogni BLOB di recupero delle chiavi. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
• Per ripristinare, qualsiasi estensione viene troncata e l'estensione .p12 viene aggiunta. Contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.

-RecoverKey

Recupera una chiave privata archiviata.

Prompt dei comandi di Windows

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Unisce i file PFX.

Prompt dei comandi di Windows

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Dove:

• PFXInFileList è un elenco delimitato da virgole di file di input PFX.
• PFXOutFile è il nome del file di output PFX.
• modificatori sono elenchi delimitati da virgole di uno o più dei seguenti elementi:
  • ExtendedProperties include tutte le proprietà estese.
  • NoEncryptCert specifica di non crittografare i certificati.
  • EncryptCert specifica di crittografare i certificati.

Opzioni:

Prompt dei comandi di Windows

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni

• La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
• Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente viene richiesta la password del file di output.

-add-chain

Aggiunge una catena di certificati.

Prompt dei comandi di Windows

certutil [options] -add-chain LogId certificate OutFile

Opzioni:

Prompt dei comandi di Windows

[-f]

-add-pre-chain

Aggiunge una catena di pre-certificati.

Prompt dei comandi di Windows

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-sth

Ottiene una testa dell'albero con segno.

Prompt dei comandi di Windows

certutil [options] -get-sth [LogId]

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-sth-consistency

Ottiene le modifiche apportate alla testa dell'albero con segno.

Prompt dei comandi di Windows

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-proof-by-hash

Ottiene la prova di un hash da un server timestamp.

Prompt dei comandi di Windows

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-entries

Recupera le voci da un registro eventi.

Prompt dei comandi di Windows

certutil [options] -get-entries LogId FirstIndex LastIndex

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-root

Recupera i certificati radice dall'archivio certificati.

Prompt dei comandi di Windows

certutil [options] -get-roots LogId

Opzioni:

Prompt dei comandi di Windows

[-f]

-get-entry-and-proof

Recupera una voce del registro eventi e la relativa prova crittografica.

Prompt dei comandi di Windows

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opzioni:

Prompt dei comandi di Windows

[-f]

-VerifyCT

Verifica un certificato rispetto al log di trasparenza dei certificati.

Prompt dei comandi di Windows

certutil [options] -VerifyCT Certificate SCT [precert]

Opzioni:

Prompt dei comandi di Windows

[-f]

-?

Visualizza l'elenco dei parametri.

Prompt dei comandi di Windows

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dove:

• -? visualizza l'elenco dei parametri
• -<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.
• -? -v visualizza un elenco dettagliato di parametri e opzioni.

Opzioni

Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.

Opzione	Descrizione
-Admin	Usare ICertAdmin2 per le proprietà della CA.
-anonimo	Usare credenziali SSL anonime.
-cert CertId	Certificato di firma.
-clientcertificate clientCertId	Usare le credenziali SSL del certificato X.509. Per l'interfaccia utente di selezione, usare -clientcertificate.
-config Machine\CAName	Autorità di certificazione e stringa del nome computer.
Provider -csp	Provider: KSP - Provider di archiviazione chiavi software Microsoft TPM - Provider di crittografia della piattaforma Microsoft NGC - Provider di archiviazione chiavi Di Microsoft Passport SC - Provider di archiviazione chiavi smart card Microsoft
-dc DCName	Specificare come destinazione un controller di dominio specifico.
-azienda	Usare l'archivio certificati del Registro di sistema aziendale del computer locale.
-f	Forzare la sovrascrittura.
-generateSSTFromWU SSTFile	Generare SST usando il meccanismo di aggiornamento automatico.
-Gmt	Ora di visualizzazione con GMT.
-GroupPolicy	Usare l'archivio certificati criteri di gruppo.
-idispatch	Usare IDispatch anziché i metodi nativi COM.
-kerberos	Usare le credenziali SSL Kerberos.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-Mt	Visualizzare i modelli di computer.
-nocr	Codificare il testo senza caratteri CR.
-nocrlf	Codificare il testo senza CR-LF caratteri.
-nullsign	Usare l'hash dei dati come firma.
-oldpfx	Usare la crittografia PFX precedente.
-out columnlist	Elenco di colonne delimitate da virgole.
-p password	Parola d’ordine
-PIN	PIN smart card.
-policyserver URLorID	URL o ID del server dei criteri. Per la selezione U/I, usare -policyserver. Per tutti i server dei criteri, usare -policyserver *
-privatekey	Visualizzare i dati della password e della chiave privata.
-proteggere	Proteggere le chiavi con password.
-protectto SAMnameandSIDlist	Elenco di nomi SAM/SID delimitati da virgole.
-restrict restrictionlist	Elenco di restrizioni delimitato da virgole. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data. Un nome di colonna può essere preceduto da un segno più o meno per indicare l'ordinamento. Ad esempio: requestID = 47, +requestername >= a, requesternameo -requestername > DOMAIN, Disposition = 21.
-inverso	Colonne Log inverso e Coda.
-Secondi	Visualizzare i tempi usando secondi e millisecondi.
-servizio	Usare l'archivio certificati del servizio.
-Sid	SID numerico: 22 - Sistema locale 23 - Servizio locale 24 - Servizio di rete
-silenzioso	Usare il flag silent per acquisire il contesto di crittografia.
-diviso	Dividere gli elementi ASN.1 incorporati e salvarli nei file.
-sslpolicy servername	Criteri SSL corrispondenti a NomeServer.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave facoltativa. Ad esempio: AES,128 o 3DES.
-syncWithWU DestinationDir	Eseguire la sincronizzazione con Windows Update.
-t timeout	Timeout recupero URL in millisecondi.
-Unicode	Scrivere l'output reindirizzato in Unicode.
-UnicodeText	Scrivere il file di output in Unicode.
-urlfetch	Recuperare e verificare certificati AIA e CRL CDP.
-utente	Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati.
-username username	Usare l'account denominato per le credenziali SSL. Per l'interfaccia utente di selezione, usare -username.
-Ut	Visualizzare i modelli utente.
-v	Fornire informazioni più dettagliate (dettagliate).
-v1	Usare le interfacce V1.

Algoritmi hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Collegamenti correlati

Per altri esempi di come usare questo comando, vedere gli articoli seguenti:

• servizi certificati Active Directory (AD CS)
• attività Certutil per la gestione dei certificati
• Configurare radici attendibili e certificati non consentiti in Windows