certutil
Attenzione
Certutil
non è consigliabile per essere usato in qualsiasi codice di produzione e non fornisce alcuna garanzia di supporto del sito live o di compatibilità con le applicazioni. Si tratta di uno strumento usato dagli sviluppatori e dagli amministratori IT per visualizzare le informazioni sul contenuto dei certificati nei dispositivi.
Certutil.exe è un programma da riga di comando installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati e eseguire il backup e il ripristino dei componenti delle CA. Il programma verifica anche certificati, coppie di chiavi e catene di certificati.
Se certutil
viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione corrente dell'autorità di certificazione. Se certutil
viene eseguito in un'autorità non di certificazione senza altri parametri, per impostazione predefinita il comando esegue certutil -dump
. Non tutte le versioni di certutil forniscono tutti i parametri e le opzioni descritti in questo documento. È possibile visualizzare le scelte fornite dalla versione di certutil eseguendo certutil -?
o certutil <parameter> -?
.
Suggerimento
Per visualizzare la Guida completa per tutti i verbi e le opzioni certutil, inclusi quelli nascosti dall'argomento -?
, eseguire certutil -v -uSAGE
. Il commutatore uSAGE
prevede la distinzione tra maiuscole e minuscole.
Esegue il dump delle informazioni di configurazione o dei file.
certutil [options] [-dump]
certutil [options] [-dump] File
Opzioni:
[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]
Esegue il dump della struttura PFX.
certutil [options] [-dumpPFX] File
Opzioni:
[-f] [-Silent] [-split] [-p Password] [-csp Provider]
Analizza e visualizza il contenuto di un file usando la sintassi ASN.1 (Abstract Syntax Notation). I tipi di file includono i file formattati .CER. DER e PKCS #7.
certutil [options] -asn File [type]
[type]
: tipo di decodifica numerico CRYPT_STRING_*
Decodifica un file con codifica esadecimale.
certutil [options] -decodehex InFile OutFile [type]
[type]
: tipo di decodifica numerico CRYPT_STRING_*
Opzioni:
[-f]
Codifica un file in formato esadecimale.
certutil [options] -encodehex InFile OutFile [type]
[type]
: tipo di decodifica numerico CRYPT_STRING_*
Opzioni:
[-f] [-nocr] [-nocrlf] [-UnicodeText]
Decodifica un file con codifica Base64.
certutil [options] -decode InFile OutFile
Opzioni:
[-f]
Codifica un file in Base64.
certutil [options] -encode InFile OutFile
Opzioni:
[-f] [-unicodetext]
Nega una richiesta in sospeso.
certutil [options] -deny RequestId
Opzioni:
[-config Machine\CAName]
Invia di nuovo una richiesta in sospeso.
certutil [options] -resubmit RequestId
Opzioni:
[-config Machine\CAName]
Imposta gli attributi per una richiesta di certificato in sospeso.
certutil [options] -setattributes RequestId AttributeString
Dove:
- RequestId è l'ID richiesta numerico per la richiesta in sospeso.
- AttributeString è il nome dell'attributo richiesta e le coppie valore.
Opzioni:
[-config Machine\CAName]
- I nomi e i valori devono essere separati da due punti, mentre più nomi e coppie di valori devono essere separati da una nuova riga. Ad esempio:
CertificateTemplate:User\nEMail:User@Domain.com
dove la\n
sequenza viene convertita in un separatore di nuova riga.
Impostare un'estensione per una richiesta di certificato in sospeso.
certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}
Dove:
- requestID è l'ID richiesta numerico per la richiesta in sospeso.
- ExtensionName è la stringa ObjectId per l'estensione.
- Flags imposta la priorità dell'estensione.
0
è consigliato, mentre1
imposta l'estensione su critica,2
disabilita l'estensione ed3
esegue entrambe le operazioni.
Opzioni:
[-config Machine\CAName]
- Se l'ultimo parametro è numerico, viene considerato Long.
- Se l'ultimo parametro può essere analizzato come data, viene considerato come Date.
- Se l'ultimo parametro inizia con
\@
, il resto del token viene assunto come nome file con dati binari o un dump esadecimale ascii-text. - Se l'ultimo parametro è qualcos'altro, viene assunto come stringa.
Revoca un certificato.
certutil [options] -revoke SerialNumber [Reason]
Dove:
- SerialNumber è un elenco delimitato da virgole di numeri seriali di certificati da revocare.
- Motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:
- 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)
- 1. CRL_REASON_KEY_COMPROMISE - Compromesso chiave
- 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione
- 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata
- 4. CRL_REASON_SUPERSEDED - Sostituito
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessazione dell'operazione
- 6. CRL_REASON_CERTIFICATE_HOLD - Blocco certificati
- 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovere da CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio ritirato
- 10: CRL_REASON_AA_COMPROMISE - Compromissione AA
- -1. Annulla revoca - Unrevokes
Opzioni:
[-config Machine\CAName]
Visualizza la disposizione del certificato corrente.
certutil [options] -isvalid SerialNumber | CertHash
Opzioni:
[-config Machine\CAName]
Ottiene la stringa di configurazione predefinita.
certutil [options] -getconfig
Opzioni:
[-idispatch] [-config Machine\CAName]
Ottiene la stringa di configurazione predefinita tramite ICertGetConfig.
certutil [options] -getconfig2
Opzioni:
[-idispatch]
Ottiene la configurazione tramite ICertConfig.
certutil [options] -getconfig3
Opzioni:
[-idispatch]
Tenta di contattare l'interfaccia richiesta di servizi certificati Active Directory.
certutil [options] -ping [MaxSecondsToWait | CAMachineList]
Dove:
- CAMachineList è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola di terminazione. Questa opzione visualizza anche il costo del sito per ogni computer CA.
Opzioni:
[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
Tenta di contattare l'interfaccia amministrativa di servizi certificati Active Directory.
certutil [options] -pingadmin
Opzioni:
[-config Machine\CAName]
Visualizza informazioni sull'autorità di certificazione.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Dove:
- InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname riportata di seguito:
- * - Visualizza tutte le proprietà
- annunci - Server avanzato
- aia [Index] - URL AIA
- cdp [Index] - URL CDP
- Certificato [Indice] - Certificato CA
- certchain [Indice] - Catena di certificati CA
- certcount - Conteggio di certificati CA
- certcrlchain [Index] - Catena di certificati CA con CRL
- certstate [Index] - Certificato CA
- certstatuscode [Indice] - Stato di verifica certificato CA
- certversion [Index] - Versione del certificato CA
- CRL [Indice] - CRL di base
- crlstate [Index] - CRL
- crlstatus [Index] - Stato di pubblicazione CRL
- cross- [Indice] - Certificato incrociato a funzionamento inverso
- cross+ [Indice] - Certificato incrociato diretto
- crossstate- [Indice] - Certificato incrociato inverso
- crossstate- [Indice] - Certificato incrociato diretto
- deltacrl [Index] - Delta CRL
- deltacrlstatus [Index] - Stato di pubblicazione CRL delta
- dns - Nome DNS
- dsname - Nome breve CA sanificato (nome DS)
- error1 ErrorCode - Testo del messaggio di errore
- error2 ErrorCode - Testo del messaggio di errore e codice di errore
- exit [Index] - Descrizione del modulo di uscita
- exitcount - Conteggio del modulo di uscita
- file - Versione del file
- info - Informazioni sulla CA
- kra [Index] - Certificato KRA
- kracount - Conteggio certificati KRA
- krastate [Indice] - Certificato KRA
- kraused - Conteggio usato certificato KRA
- localename - Nome delle impostazioni locali della CA
- name - Nome CA
- ocsp [Index] - URL OCSP
- parent - CA padre
- policy - Descrizione del modulo criteri
- product - Versione del prodotto
- propidmax - Valore propId massimo della CA
- role - Separazione dei ruoli
- sanitizedname - Nome CA sanificato
- sharedfolder - Cartella condivisa
- subjecttemplateoids - OID modello di oggetto
- modelli - Modelli
- type - Tipo CA
- xchg [Index] - Certificato di scambio CA
- xchgchain [Index] - Catena di certificati di scambio CA
- xchgcount - Conteggio certificati di scambio CA
- xchgcrlchain [Indice] - Catena di certificati di scambio CA con CRL
- index è l'indice facoltativo della proprietà in base zero.
- errorCode è il codice dell'errore numerico.
Opzioni:
[-f] [-split] [-config Machine\CAName]
Visualizza le informazioni sul tipo di proprietà della CA.
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
Opzioni:
[-idispatch] [-v1] [-admin] [-config Machine\CAName]
Recupera il certificato per l'autorità di certificazione.
certutil [options] -ca.cert OutCACertFile [Index]
Dove:
- OutCACertFile è il file di output.
- L'indice è l'indice di rinnovo del certificato CA (per impostazione predefinita è il più recente).
Opzioni:
[-f] [-split] [-config Machine\CAName]
Recupera la catena di certificato per l'autorità di certificazione.
certutil [options] -ca.chain OutCACertChainFile [Index]
Dove:
- OutCACertChainFile è il file di output.
- L'indice è l'indice di rinnovo del certificato CA (per impostazione predefinita è il più recente).
Opzioni:
[-f] [-split] [-config Machine\CAName]
Ottiene un elenco di revoche di certificati (CRL).
certutil [options] -GetCRL OutFile [Index] [delta]
Dove:
- L'indice è l'indice CRL o l'indice della chiave (il valore predefinito è CRL per la chiave più recente).
- delta è il CRL delta (il valore predefinito è CRL di base).
Opzioni:
[-f] [-split] [-config Machine\CAName]
Pubblica nuovi elenchi di revoche di certificati (CRL) o CRL differenziali.
certutil [options] -CRL [dd:hh | republish] [delta]
Dove:
- dd:hh è il nuovo periodo di validità CRL in giorni e ore.
- republish ripubblica i CRL più recenti.
- delta pubblica solo i CRL delta (il valore predefinito è CRL di base e delta).
Opzioni:
[-split] [-config Machine\CAName]
Arresta i servizi certificati Active Directory.
certutil [options] -shutdown
Opzioni:
[-config Machine\CAName]
Installa un certificato dell'autorità di certificazione.
certutil [options] -installCert [CACertFile]
Opzioni:
[-f] [-silent] [-config Machine\CAName]
Rinnova un certificato dell'autorità di certificazione.
certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]
Opzioni:
[-f] [-silent] [-config Machine\CAName]
- Usare
-f
per ignorare una richiesta di rinnovo in sospeso e generare una nuova richiesta.
Esegue il dump dello schema per il certificato.
certutil [options] -schema [Ext | Attrib | CRL]
Dove:
- Il comando viene impostato per impostazione predefinita sulla tabella Richiesta e Certificato.
- Ext è la tabella di estensione.
- Attribute è la tabella degli attributi.
- CRL è la tabella CRL.
Opzioni:
[-split] [-config Machine\CAName]
Esegue il dump della visualizzazione del certificato.
certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
Dove:
- Queue esegue il dump di una coda di richieste specifica.
- Log esegue il dump dei certificati rilasciati o revocati, oltre a eventuali richieste non riuscite.
- +LogFail esegue il dump delle richieste non riuscite.
- Revoked Esegue il dump dei certificati revocati.
- Ext esegue il dump della tabella di estensione.
- Attrib esegue il dump della tabella degli attributi.
- CRL esegue il dump della tabella CRL.
- csv fornisce l'output usando valori delimitati da virgole.
Opzioni:
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
- Per visualizzare la colonna StatusCode per tutte le voci, digitare
-out StatusCode
- Per visualizzare tutte le colonne per l'ultima voce, digitare:
-restrict RequestId==$
- Per visualizzare RequestId e Disposition per tre richieste, digitare:
-restrict requestID>=37,requestID<40 -out requestID,disposition
- Per visualizzare gli ID di riga Row IDs e i numeri CRL per tutti i CRL di base, digitare:
-restrict crlminbase=0 -out crlrowID,crlnumber crl
- Per visualizzare il numero CRL di base 3, digitare:
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
- Per visualizzare l'intera tabella CRL, digitare:
CRL
- Usare
Date[+|-dd:hh]
per le restrizioni relative alla data. - Utilizzare
now+dd:hh
per una data relativa all'ora corrente. - I modelli contengono gli EKU (Extended Key Usages), ovvero identificatori di oggetto (OID) che descrivono come viene usato il certificato. I certificati non includono sempre nomi comuni dei modelli o nomi visualizzati, ma contengono sempre le EKU del modello. È possibile estrarre le EKU per un modello di certificato specifico da Active Directory e quindi limitare le visualizzazioni in base a tale estensione.
Esegue il dump del database non elaborato.
certutil [options] -db
Opzioni:
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
Elimina una riga dal database del server.
certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]
Dove:
- Request elimina le richieste non riuscite e in sospeso, in base alla data di invio.
- Cert elimina i certificati scaduti e revocati, in base alla data di scadenza.
- Ext elimina la tabella di estensione.
- Attrib elimina la tabella degli attributi.
- CRL elimina la tabella CRL.
Opzioni:
[-f] [-config Machine\CAName]
- Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare:
1/22/2001 request
- Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare:
1/22/2001 cert
- Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare:
37
- Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare:
1/22/2001 crl
Nota
Date prevede il formato mm/dd/yyyy
invece di dd/mm/yyyy
, ad esempio 1/22/2001
anziché 22/1/2001
per il 22 gennaio 2001. Se il server non è configurato con le impostazioni internazionali degli Stati Uniti, utilizzando l'argomento Date potrebbe produrre risultati imprevisti.
Esegue il backup dei servizi di certificazione di Active Directory.
certutil [options] -backup BackupDirectory [Incremental] [KeepLog]
Dove:
- BackupDirectory è la directory in cui archiviare i dati di cui è stato eseguito il backup.
- Incremental esegue solo un backup incrementale (il valore predefinito è il backup completo).
- KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).
Opzioni:
[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]
Esegue il backup del database relativo ai servizi di certificazione di Active Directory.
certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]
Dove:
- BackupDirectory è la directory in cui archiviare i file di database sottoposti a backup.
- Incremental esegue solo un backup incrementale (il valore predefinito è il backup completo).
- KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).
Opzioni:
[-f] [-config Machine\CAName]
Esegue il backup del certificato e della chiave privata relativi a Servizi di certificato Active Directory.
certutil [options] -backupkey BackupDirectory
Dove:
- BackupDirectory è la directory in cui archiviare il file PFX su cui è stato eseguito il backup.
Opzioni:
[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]
Ripristina il backup dei servizi di certificazione di Active Directory.
certutil [options] -restore BackupDirectory
Dove:
- BackupDirectory è la directory contenente i dati da ripristinare.
Opzioni:
[-f] [-config Machine\CAName] [-p password]
Ripristina il database relativo ai servizi di certificazione di Active Directory.
certutil [options] -restoredb BackupDirectory
Dove:
- BackupDirectory è la directory contenente i file del database da ripristinare.
Opzioni:
[-f] [-config Machine\CAName]
Ripristina il certificato e la chiave privata relativi a Servizi di certificato Active Directory.
certutil [options] -restorekey BackupDirectory | PFXFile
Dove:
- BackupDirectory è la directory contenente il file PFX da ripristinare.
- PFXFile è il file PFX da ripristinare.
Opzioni:
[-f] [-config Machine\CAName] [-p password]
Esporta i certificati e le chiavi private. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]
Dove:
- CertificateStoreName è il nome dell'archivio certificati.
- CertId è il certificato o il token di corrispondenza CRL.
- PFXFile è il file PFX da esportare.
- I Modifiers sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- CryptoAlgorithm= specifica l'algoritmo di crittografia da usare per crittografare il file PFX, ad esempio
TripleDES-Sha1
oAes256-Sha256
. - EncryptCert : crittografa la chiave privata associata al certificato con una password.
- ExportParameters : esporta i parametri della chiave privata oltre al certificato e alla chiave privata.
- ExtendedProperties : include tutte le proprietà estese associate al certificato nel file di output.
- NoEncryptCert : esporta la chiave privata senza crittografarla.
- NoChain : non importa la catena di certificati.
- NoRoot : non importa il certificato radice.
- CryptoAlgorithm= specifica l'algoritmo di crittografia da usare per crittografare il file PFX, ad esempio
Importa i certificati e le chiavi private. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]
Dove:
- CertificateStoreName è il nome dell'archivio certificati.
- PFXFile è il file PFX da importare.
- I Modifiers sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- AT_KEYEXCHANGE - modifica il valore keyspec per lo scambio di chiavi.
- AT_SIGNATURE - modifica il valore keyspec in firma.
- ExportEncrypted - esporta la chiave privata associata al certificato con la crittografia della password.
- FriendlyName= - Specifica un nome descrittivo per il certificato importato.
- KeyDescription= - specifica una descrizione per la chiave privata associata al certificato importato.
- KeyFriendlyName= - - Specifica un nome descrittivo per la chiave privata associata al certificato importato.
- NoCert - non importa il certificato.
- NoChain : non importa la catena di certificati.
- NoExport - rende la chiave privata non esportabile.
- NoProtect - non protegge le chiavi con una password.
- NoRoot : non importa il certificato radice.
- Pkcs8 - usa il formato PKCS8 per la chiave privata nel file PFX.
- Proteggi - protegge le chiavi usando una password.
- ProtectHigh - specifica che una password a sicurezza elevata deve essere associata alla chiave privata.
- VSM : archivia la chiave privata associata al certificato importato nel contenitore della smart card virtuale (VSC).
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]
- L'impostazione predefinita è l'archivio computer personale.
Visualizza un elenco di file dinamici.
certutil [options] -dynamicfilelist
Opzioni:
[-config Machine\CAName]
Visualizza i percorsi del database.
certutil [options] -databaselocations
Opzioni:
[-config Machine\CAName]
Genera e visualizza un hash crittografico su un file.
certutil [options] -hashfile InFile [HashAlgorithm]
Esegue il dump dell'archivio certificati.
certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]
Dove:
CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Questo ID può essere un:
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL.
Molti di questi identificatori possono generare più corrispondenze.
- OutputFile è il file usato per salvare i certificati corrispondenti.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
- L'opzione
-user
accede a un archivio utenti anziché a un archivio computer. - L'opzione
-enterprise
accede a un archivio aziendale del computer. - L'opzione
-service
accede a un archivio di servizi computer. - L'opzione
-grouppolicy
accede a un archivio criteri di gruppo del computer.
Ad esempio:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
Nota
I problemi di prestazioni vengono osservati quando si usa il -store
parametro in base ai due aspetti seguenti:
- Quando il numero di certificati nell'archivio supera 10.
- Quando si specifica un CertId , quest'ultimo viene usato per trovare le corrispondenze con tutti i tipi elencati per ogni certificato. Ad esempio, se viene fornito un numero di serie, tenterà anche di corrispondere a tutti gli altri tipi elencati.
Se si è interessati ai problemi di prestazioni, i comandi di PowerShell sono consigliati nel punto in cui corrisponderà solo al tipo di certificato specificato.
Enumera gli archivi certificati.
certutil [options] -enumstore [\\MachineName]
Dove:
- MachineName è il nome del computer remoto.
Opzioni:
[-enterprise] [-user] [-grouppolicy]
Aggiunge un certificato all'archivio. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -addstore CertificateStoreName InFile
Dove:
- CertificateStoreName è il nome dell'archivio certificati.
- InFile è il certificato o il file CRL da aggiungere all'archivio.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
Elimina un certificato dall'archivio. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -delstore CertificateStoreName certID
Dove:
- CertificateStoreName è il nome dell'archivio certificati.
- CertId è il certificato o il token di corrispondenza CRL.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]
Verifica un certificato nell'archivio. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -verifystore CertificateStoreName [CertId]
Dove:
- CertificateStoreName è il nome dell'archivio certificati.
- CertId è il certificato o il token di corrispondenza CRL.
Opzioni:
[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]
Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]
Dove:
CertificateStoreName è il nome dell'archivio certificati.
CertIdList è l'elenco delimitato da virgole di token di corrispondenza del certificato o CRL. Per ulteriori informazioni, si veda la
-store
descrizione CertId nel presente articolo.PropertyInfFile è il file INF contenente proprietà esterne, tra cui:
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]
Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il -store
parametro nel presente articolo.
certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]
Dove:
CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può essere un.
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL.
Molti di questi potrebbero causare più corrispondenze.
- OutputFile è il file usato per salvare i certificati corrispondenti.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- L'opzione
-user
accede a un archivio utenti anziché a un archivio computer. - L'opzione
-enterprise
accede a un archivio aziendale del computer. - L'opzione
-service
accede a un archivio di servizi computer. - L'opzione
-grouppolicy
accede a un archivio criteri di gruppo del computer.
Ad esempio:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
Elimina un certificato dall'archivio.
certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]
Dove:
CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può essere un.
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL. Molti di questi potrebbero causare più corrispondenze.
OutputFile è il file usato per salvare i certificati corrispondenti.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
- L'opzione
-user
accede a un archivio utenti anziché a un archivio computer. - L'opzione
-enterprise
accede a un archivio aziendale del computer. - L'opzione
-service
accede a un archivio di servizi computer. - L'opzione
-grouppolicy
accede a un archivio criteri di gruppo del computer.
Ad esempio:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
Richiama l'interfaccia certutil.
certutil [options] -UI File [import]
Visualizza informazioni attendibili sul modulo della piattaforma.
certutil [options] -TPMInfo
Opzioni:
[-f] [-Silent] [-split]
Specifica che il file di richiesta del certificato dovrebbe essere attestato.
certutil [options] -attest RequestFile
Opzioni:
[-user] [-Silent] [-split]
Seleziona un certificato da un'interfaccia utente di selezione.
certutil [options] [ObjectId | ERA | KRA [CommonName]]
Opzioni:
[-Silent] [-split]
Visualizza i nomi distinti del servizio directory (DS).
certutil [options] -ds [CommonName]
Opzioni:
[-f] [-user] [-split] [-dc DCName]
Elimina I DS DN.
certutil [options] -dsDel [CommonName]
Opzioni:
[-user] [-split] [-dc DCName]
Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.
certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
Dove:
- CertFile è il nome del file di certificato da pubblicare.
- NTAuthCA pubblica il certificato nell'archivio DS Enterprise.
- RootCA pubblica il certificato nell'archivio radice attendibile DS.
- SubCA pubblica il certificato CA nell'oggetto CA DS.
- CrossCA pubblica il certificato incrociato nell'oggetto CA DS.
- KRA pubblica il certificato nell'oggetto Agente di ripristino delle chiavi DS.
- L'utente pubblica il certificato nell'oggetto User DS.
- Il computer pubblica il certificato nell'oggetto Machine DS.
- CRLfile è il nome del file CRL da pubblicare.
- DSCDPContainer è il nome del contenitore CDP DS, in genere il nome del computer CA.
- DSCDPCN è il CN dell'oggetto CDP DS basato su nome breve e indice chiave del CA sanificato.
Opzioni:
[-f] [-user] [-dc DCName]
- Usa
-f
per creare un nuovo oggetto DS.
Visualizza i certificati DS.
certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]
Opzioni:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
Visualizza CRL DS.
certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]
Opzioni:
[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
Visualizza i CRL del delta DS.
certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]
Opzioni:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
Visualizza gli attributi del modello DS.
certutil [options] -dsTemplate [Template]
Opzioni:
[Silent] [-dc DCName]
Aggiunge modelli DS.
certutil [options] -dsAddTemplate TemplateInfFile
Opzioni:
[-dc DCName]
Visualizza i modelli di Active Directory.
certutil [options] -ADTemplate [Template]
Opzioni:
[-f] [-user] [-ut] [-mt] [-dc DCName]
Visualizza i modelli di criteri di registrazione certificati.
Opzioni:
certutil [options] -Template [Template]
Opzioni:
[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
Visualizza le autorità di certificazione (CA) per un modello di certificato.
certutil [options] -TemplateCAs Template
Opzioni:
[-f] [-user] [-dc DCName]
Visualizza i modelli per l'autorità di certificazione.
certutil [options] -CATemplates [Template]
Opzioni:
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
Imposta i modelli di certificato che l'autorità di certificazione può emettere.
certutil [options] -SetCATemplates [+ | -] TemplateList
Dove:
- Il
+
segno aggiunge modelli di certificato all'elenco dei modelli disponibili della CA. - Il
-
segno rimuove i modelli di certificato dall'elenco dei modelli disponibili della CA.
Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione.
certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete
Dove:
- SiteName è consentito solo quando la destinazione è una singola autorità di certificazione.
Opzioni:
[-f] [-config Machine\CAName] [-dc DCName]
- L'opzione
-config
è destinata a una singola autorità di certificazione (il valore predefinito è tutte le CA). - L'opzione
-f
può essere usata per eseguire l'override degli errori di convalida per il siteName specificato o per eliminare tutti i nomi dei siti CA.
Nota
Per altre informazioni sulla configurazione di CA per la consapevolezza dei siti di Active Directory Domain Services (AD DS), vedere Riconoscimento del sito di Active Directory Domain Services per i client Active Directory Domain Services e Public Key infrastructure.
Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.
certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete
Dove:
- AuthenticationType specifica uno dei metodi di autenticazione client seguenti durante l'aggiunta di un URL:
- Kerberos - Usare le credenziali SSL Kerberos.
- UserName - Usare un account denominato per le credenziali SSL.
- ClientCertificate - Usare le credenziali SSL del certificato X.509.
- Anonimo - Usare credenziali SSL anonime.
- delete elimina l'URL specificato associato alla CA.
- Priority esegue l'impostazione predefinita su
1
se non specificato durante l'aggiunta di un URL. - I Modifiers sono un elenco delimitato da virgole, che include una o più delle opzioni seguenti:
- AllowRenewalsOnly può essere inviata solo alle richieste di rinnovo tramite questo URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in AD. Questo vale solo con la modalità ClientCertificate e AllowRenewalsOnly .
Opzioni:
[-config Machine\CAName] [-dc DCName]
Visualizza le autorità di certificazione di Active Directory.
certutil [options] -ADCA [CAName]
Opzioni:
[-f] [-split] [-dc DCName]
Visualizza le autorità di certificazione dei criteri di registrazione.
certutil [options] -CA [CAName | TemplateName]
Opzioni:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
Visualizza i criteri di registrazione.
certutil [options] -Policy
Opzioni:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
Visualizza o elimina le voci della cache dei criteri di registrazione.
certutil [options] -PolicyCache [delete]
Dove:
- elimina le voci della cache del server dei criteri.
- -f elimina tutte le voci della cache
Opzioni:
[-f] [-user] [-policyserver URLorID]
Visualizza, aggiunge o elimina le voci dell'archivio credenziali.
certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete
Dove:
- URL è l'URL di destinazione. È anche possibile usare
*
per trovare le corrispondenze con tutte le voci ohttps://machine*
per trovare una corrispondenza con un prefisso URL. - add aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.
- delete elimina le voci dell'archivio credenziali di Credential Store.
- -f sovrascrive una singola voce o elimina più voci.
Opzioni:
[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
Installa i modelli di certificato predefiniti.
certutil [options] -InstallDefaultTemplates
Opzioni:
[-dc DCName]
Verifica gli URL di certificato o CRL.
certutil [options] -URL InFile | URL
Opzioni:
[-f] [-split]
Visualizza o elimina le voci della cache degli URL.
certutil [options] -URLcache [URL | CRL | * [delete]]
Dove:
- URL è l'URL memorizzato nella cache.
- CRL viene eseguito solo in tutti gli URL CRL memorizzati nella cache.
- * opera su tutti gli URL memorizzati nella cache.
- delete elimina gli URL pertinenti dalla cache locale dell'utente corrente.
- -f forza il recupero di un URL specifico e l'aggiornamento della cache.
Opzioni:
[-f] [-split]
Genera un evento di registrazione automatica o un'attività NGC.
certutil [options] -pulse [TaskName [SRKThumbprint]]
Dove:
- TaskName è l'attività da attivare.
- Pregen è l'attività di pregenerazione delle chiavi NGC.
- AIKEnroll è l'attività di registrazione del certificato AIK NGC. L'impostazione predefinita è l'evento di registrazione automatica.
- SRKThumbprint è l'identificazione personale della chiave radice di archiviazione
- Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam
Opzioni:
[-user]
Visualizza informazioni sull'oggetto computer di Active Directory.
certutil [options] -MachineInfo DomainName\MachineName$
Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati del controller di dominio senza verifica.
certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
Modifiers:
- Verificare
- DeleteBad
- DeleteAll
Opzioni:
[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
Suggerimento
La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [domain] e di specificare un controller di dominio (-dc) è stato aggiunto in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins. Le modifiche comportamentali di questo comando sono le seguenti:
- Se un dominio non è specificato e non viene specificato un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.
- Se non viene specificato un dominio, ma viene specificato un controller di dominio, si genera un report dei certificati nel controller di dominio specificato.
- Se viene specificato un dominio, ma non viene specificato un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.
- Se vengono specificati il dominio e il controller di dominio, viene generato un elenco di controller dominio dal controller dominio di destinazione. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.
Si supponga, ad esempio, che sia presente un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl
.
Visualizza informazioni su un'autorità di certificazione dell'organizzazione.
certutil [options] -EntInfo DomainName\MachineName$
Opzioni:
[-f] [-user]
Visualizza informazioni sull'autorità di certificazione.
certutil [options] -TCAInfo [DomainDN | -]
Opzioni:
[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
Visualizza le informazioni sulla smart card.
certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]
Dove:
- CRYPT_DELETEKEYSET elimina tutte le chiavi sulla smart card.
Opzioni:
[-Silent] [-split] [-urlfetch] [-t Timeout]
Gestisce i certificati radice della smart card.
certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]
Opzioni:
[-f] [-split] [-p Password]
Elenca le chiavi archiviate in un contenitore.
certutil [options] -key [KeyContainerName | -]
Dove:
- KeyContainerName è il nome del contenitore per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare
-user
. - L'uso del
-
segno si riferisce all'uso del contenitore di chiavi predefinito.
Opzioni:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
Elimina il contenitore di chiavi denominato.
certutil [options] -delkey KeyContainerName
Opzioni:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
Elimina il contenitore Windows Hello rimuovendo tutte le credenziali associate che vengono archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.
Gli utenti devono disconnettersi dopo aver usato questa opzione per completarla.
certutil [options] -DeleteHelloContainer
Verifica un set di chiavi pubblico o privato.
certutil [options] -verifykeys [KeyContainerName CACertFile]
Dove:
- KeyContainerName è il nome del contenitore per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare
-user
. - CACertFile firma o crittografa i file di certificato.
Opzioni:
[-f] [-user] [-Silent] [-config Machine\CAName]
- Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla chiave privata.
- Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.
Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.
certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]
Dove:
- CertFile è il nome del certificato da verificare.
- ApplicationPolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId di Criteri applicazione necessari.
- IssuancePolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di rilascio necessari.
- CACertFile è il certificato CA emittente facoltativo da verificare.
- CrossedCACertFile è il certificato facoltativo incrociato da parte di CertFile.
- CRLFile è il file CRL usato per verificare il CACertFile.
- IssuedCertFile è il certificato emesso in via opzionale e coperto dal file CRL.
- DeltaCRLFile è il file CRL delta opzionale.
- Modifiers:
- Strong - Verifica della firma avanzata
- MSRoot : deve essere concatenato a una radice Microsoft
- MSTestRoot: deve essere concatenato a una radice di test Microsoft
- AppRoot: deve essere concatenato a una radice dell'applicazione Microsoft
- EV - Applicare i criteri di convalida estesa
Opzioni:
[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]
- L'uso di ApplicationPolicyList limita la compilazione della catena solo a catene valide per i criteri di applicazione specificati.
- L'uso di IssuancePolicyList limita la compilazione della catena solo a catene valide per i criteri di emissione specificati.
- L'uso di CACertFile verifica i campi nel file in base a CertFile o CRLfile.
- Se CACertFile non è specificato, la catena completa viene compilata e verificata in base a CertFile.
- Se vengono specificati sia CACertFile che CrossedCACertFile , i campi in entrambi i file vengono verificati in base a CertFile.
- L'uso di IssuedCertFile verifica i campi nel file in base a CRLfile.
- L'uso di DeltaCRLFile verifica i campi nel file in base a CRLfile.
Verifica il CTL dei certificati AuthRoot o Non consentiti.
certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]
Dove:
CTLObject identifica il CTL da verificare, tra cui:
- AuthRootWU legge AuthRoot CAB e i certificati corrispondenti dalla cache degli URL. È preferibile usare
-f
per eseguire il download da Windows Update. - DisallowedWU legge il cab dei certificati non consentiti e il file dell'archivio certificati non consentito dalla cache degli URL. È preferibile usare
-f
per eseguire il download da Windows Update.- PinRulesWU legge il CAB PinRules dalla cache degli URL. È preferibile usare
-f
per eseguire il download da Windows Update.
- PinRulesWU legge il CAB PinRules dalla cache degli URL. È preferibile usare
- AuthRoot legge il CTL AuthRoot memorizzato nella cache del registro di sistema. Usare con
-f
e un CertFile non autorizzato per forzare l'AuthRoot memorizzato nella cache del registro di sistema e il CTL per eseguire l'aggiornamento del certificati non consentiti. - Non consentito legge il CTL dei certificati non consentiti memorizzati nella cache del registro di sistema. Usare con
-f
e un CertFile non autorizzato per forzare l'AuthRoot memorizzato nella cache del registro di sistema e il CTL per eseguire l'aggiornamento del certificati non consentiti.- PinRules Legge il CTL memorizzato nella cache del Registro di sistema. L'uso di
-f
ha lo stesso comportamento di PinRulesWU.
- PinRules Legge il CTL memorizzato nella cache del Registro di sistema. L'uso di
- CTLFileName specifica il file o il percorso HTTP del file CTL o CAB.
- AuthRootWU legge AuthRoot CAB e i certificati corrispondenti dalla cache degli URL. È preferibile usare
CertDir specifica la cartella contenente i certificati corrispondenti alle voci CTL. Il valore predefinito è la stessa cartella o sito web di CTLobject. L'uso di un percorso della cartella http richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Non consentito, vengono cercati più percorsi corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache degli URL locali. Usare
-f
per scaricare da Windows Update, in base alle esigenze.CertFile specifica i certificati da verificare. I certificati vengono confrontati con le voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.
Opzioni:
[-f] [-user] [-split]
Sincronizza i certificati con Windows Update.
certutil [options] -syncWithWU DestinationDir
Dove:
- DestinationDir è la directory specificata.
- f forza una sovrascrittura.
- Unicode scrive l'output reindirizzato in Unicode.
- gmt visualizza le ore come GMT.
- seconds visualizza i tempi con secondi e millisecondi.
- v è un'operazione dettagliata.
- PIN è il PIN della smart card.
- WELL_KNOWN_SID_TYPE è un SID numerico:
- 22 - Sistema locale
- 23 - Servizio locale
- 24 - Servizio di rete
Mediante il meccanismo di aggiornamento automatico vengono scaricati i file seguenti:
- authrootstl.cab contiene i CTL dei certificati radice non Microsoft.
- disallowedcertstl.cab contiene i CTL dei certificati non attendibili.
- disallowedcert.sst contiene l'archivio dei certificati serializzati, inclusi i certificati non attendibili.
- thumbprint.crt contiene i certificati radice non Microsoft.
Ad esempio, certutil -syncWithWU \\server1\PKI\CTLs
.
Se come cartella di destinazione si utilizza una cartella o un percorso locale non esistente, viene visualizzato il seguente messaggio di errore:
The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Se come cartella di destinazione si utilizza un percorso di rete non esistente o non disponibile, viene visualizzato il seguente messaggio di errore:
The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Se il server non riesce a connettersi tramite la porta TCP 80 ai server di Microsoft Automatic Update, viene visualizzato il seguente messaggio di errore:
A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Se il server in uso non è in grado di raggiungere i server di aggiornamento automatico Microsoft con il nome DNS
ctldl.windowsupdate.com
, viene visualizzato il messaggio di errore:The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Se non si utilizza l'opzione
-f
e uno dei file CTL esiste già nella directory, verrà visualizzato un messaggio di errore indicante che il file esiste già:certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Se i certificati radice attendibili vengono modificati, verrà visualizzato il seguente avviso:
Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.
Opzioni:
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]
Genera un file di archivio che è sincronizzato con Windows Update.
certutil [options] -generateSSTFromWU SSTFile
Dove:
- SSTFile è il
.sst
file da generare che contiene le radici di terze parti scaricate da Windows Update.
Opzioni:
[-f] [-split]
Genera un file CTL (Certificate Trust List - Elenco di certificati attendibile) che contiene un elenco di regole di aggiunta.
certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]
Dove:
- XMLFile è il file XML di input da analizzare.
- CTLFile è il file CTL di output da generare.
- SSTFile è il file .sst opzionale da creare che contiene tutti i certificati usati per l'aggiunta.
- QueryFilesPrefix sono file opzionali Domains.csv e Keys.csv da creare per la query di database.
- La stringa QueryFilesPrefix viene aggiunta a ogni file creato.
- Il file Domains.csv contiene il nome della regola e le righe di dominio.
- Il file Keys.csv contiene il nome della regola e le righe di identificazione personale SHA256 della chiave.
Opzioni:
[-f]
Scarica le risposte OCSP e le scrive nella directory.
certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]
Dove:
- CertificateDir è la directory di un certificato, di un archivio e dei file PFX.
- OcspDir è la directory in cui scrivere risposte OCSP.
- ThreadCount è il numero massimo facoltativo di thread per il download simultaneo. Il valore predefinito è 10.
- I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- DownloadOnce : scarica una volta e termina.
- ReadOcsp : legge da OcspDir anziché scrivere.
Genera l'intestazione HPKP usando i certificati in un file o in una directory specificata.
certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]
Dove:
- CertFileOrDir è il file o la directory dei certificati, che è l'origine di pin-sha256.
- MaxAge è il valore max-age espresso in secondi.
- ReportUri è l'uri del report facoltativo.
- I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- includeSubDomains : aggiunge includeSubDomains.
Scarica le cache specificate nel processo selezionato, ad esempio lsass.exe.
certutil [options] -flushCache ProcessId CacheMask [Modifiers]
Dove:
ProcessId è l'ID numerico di un processo da scaricare. Impostare su 0 per consuntivare tutti i processi in cui è abilitata la consuntivazione.
CacheMask è la maschera di bit delle cache da consuntivare, numerica o con i seguenti bit:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- Show - mostra le cache consuntivate. Certutil deve essere terminato in modo esplicito.
Aggiunge una curva ECC.
certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]
Dove:
CurveClass è il tipo di classe curva ECC:
- WEIERSTRASS (impostazione predefinita)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName è il nome della curva ECC.
CurveParameters è uno dei seguenti:
- Un nome file di certificato contenente parametri con codifica ASN.
- File contenente parametri con codifica ASN.
CurveOID è l'OID della curva ECC ed è uno dei seguenti:
- Nome file di certificato contenente un OID con codifica ASN.
- OID curva ECC esplicito.
CurveType è il punto Schannel ECC NamedCurve (numerico).
Opzioni:
[-f]
Elimina la curva ECC.
certutil [options] -deleteEccCurve CurveName | CurveOID
Dove:
- CurveName è il nome della curva ECC.
- CurveOID è l'OID della curva ECC.
Opzioni:
[-f]
Visualizza la curva ECC.
certutil [options] -displayEccCurve [CurveName | CurveOID]
Dove:
- CurveName è il nome della curva ECC.
- CurveOID è l'OID della curva ECC.
Opzioni:
[-f]
Elenca i provider dei servizi di crittografia (CSP) installati in questo computer per le operazioni di crittografia.
certutil [options] -csplist [Algorithm]
Opzioni:
[-user] [-Silent] [-csp Provider]
Verifica i CSP installati in questo computer.
certutil [options] -csptest [Algorithm]
Opzioni:
[-user] [-Silent] [-csp Provider]
Visualizza la configurazione crittografica CNG in questo computer.
certutil [options] -CNGConfig
Opzioni:
[-Silent]
Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]
Dove:
InFileList è l'elenco delimitato da virgole di file di certificato o CRL da modificare e firmare nuovamente.
SerialNumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.
CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.
OutFileList è l'elenco delimitato da virgole dei file di output del certificato o CRL modificati. Il numero di file deve corrispondere a infilelist.
StartDate+dd:hh è il nuovo periodo di validità per i file di certificato o CRL, tra cui:
- data facoltativa più
- periodo di validità opzionale di giorni e ore: se si utilizzano più campi, utilizzare un separatore (+) o (-). Usare
now[+dd:hh]
per iniziare all'ora corrente. Utilizzarenow-dd:hh+dd:hh
per iniziare in corrispondenza di un offset fisso rispetto all'ora corrente e a un periodo di validità fisso. Usarenever
per non avere una data di scadenza (solo per i CRL).
SerialNumberList è l'elenco di numeri di serie delimitati da virgole dei file da aggiungere o rimuovere.
ObjectIdList è l'elenco ObjectId dell'estensione delimitato da virgole dei file da rimuovere.
@ExtensionFile è il file INF che contiene le estensioni da aggiornare o rimuovere. Ad esempio:
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86
HashAlgorithm è il nome dell'algoritmo hash. Deve essere solo il testo preceduto dal
#
segno.AlternateSignatureAlgorithm è l'identificatore dell'algoritmo di firma alternativo.
Opzioni:
[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]
- L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.
- L'uso del segno più (+) aggiunge numeri di serie a un CRL.
- È possibile usare un elenco per rimuovere numeri di serie e ObjectId da un CRL allo stesso tempo.
- L'uso del segno meno prima di AlternateSignatureAlgorithm consente di usare il formato di firma legacy.
- L'uso del segno più consente di usare il formato di firma alternativo.
- Se non si specifica AlternateSignatureAlgorithm, viene usato il formato della firma nel certificato o CRL.
Crea o elimina le radici virtuali Web e le condivisioni file.
certutil [options] -vroot [delete]
Crea o elimina radici virtuali Web per un proxy Web OCSP.
certutil [options] -vocsproot [delete]
Aggiunge un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.
certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]
Dove:
addEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
Modifiers:
- AllowRenewalsOnly consente solo gli invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in Active Directory. Ciò vale quando viene usato con le modalità ClientCertificate e AllowRenewalsOnly .
Opzioni:
[-config Machine\CAName]
Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.
certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate
Dove:
- deleteEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
Opzioni:
[-config Machine\CAName]
Aggiungere un'applicazione server di criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.
certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Dove:
- addPolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
- KeyBasedRenewal consente l'uso dei criteri restituiti al client contenente i modelli keybasedrenewal. Questa opzione si applica solo per l'autenticazione UserName e ClientCertificate .
Elimina un'applicazione server di criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.
certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
Dove:
- deletePolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
- KeyBasedRenewal consente l'uso di un server dei criteri KeyBasedRenewal.
Visualizza le informazioni del Registro di sistema COM.
certutil [options] -Class [ClassId | ProgId | DllName | *]
Opzioni:
[-f]
Controlla la presenza di codifiche di lunghezza 0x7f.
certutil [options] -7f CertFile
Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.
certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]
Dove:
- ObjectId è l'ID da visualizzare o aggiungere al nome visualizzato.
- GroupId è il numero GroupID (decimale) enumerato da ObjectIds.
- AlgId è l'ID esadecimale che objectID cerca.
- AlgorithmName è il nome dell'algoritmo che objectID cerca.
- DisplayName visualizza il nome da archiviare in DS.
- Elimina elimina il nome visualizzato.
- LanguageId è il valore ID di lingua (per impostazione predefinita è corrente: 1033).
- Type è il tipo di oggetto DS da creare, tra cui:
1
- Modello (predefinito)2
- Criterio di rilascio3
- Criteri di applicazione
-f
crea un oggetto DS.
Opzioni:
[-f]
Visualizza il testo del messaggio associato a un codice di errore.
certutil [options] -error ErrorCode
Ottiene informazioni SMTP (Simple Mail Transfer Protocol).
certutil [options] -getsmtpinfo
Imposta le informazioni dell'SMTP.
certutil [options] -setsmtpinfo LogonName
Opzioni:
[-config Machine\CAName] [-p Password]
Visualizza un valore del Registro di sistema.
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]
Dove:
- ca usa la chiave del registro di un'autorità di certificazione.
- restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
- il criterio usa la chiave del registro di sistema del modulo criteri.
- exit usa la chiave del Registro di sistema del primo modulo di uscita.
- template usa la chiave di registro del modello (usa
-user
per modelli utente). - la registrazione usa la chiave del Registro di sistema di registrazione (usare
-user
per il contesto utente). - chain usa la chiave di registro per la configurazione della catena.
- PolicyServers usa la chiave di registro dei server dei criteri.
- ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
- RegistryValueName usa il nome del valore del registro (usare
Name*
per la corrispondenza del prefisso). - value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con
+
o-
, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
- Se un valore stringa inizia con
+
o-
e il valore esistente è un valoreREG_MULTI_SZ
, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valoreREG_MULTI_SZ
, aggiungere\n
alla fine del valore stringa. - Se il valore inizia con
\@
, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario. - Se non fa riferimento a un file valido, viene invece analizzato come
[Date][+|-][dd:hh]
una data facoltativa più o meno giorni e ore facoltativi. - Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare
now+dd:hh
per una data relativa all'ora corrente. - Usare
i64
come suffisso per creare un valore REG_QWORD. - Usare
chain\chaincacheresyncfiletime @now
per consuntivare in modo efficace i CRL memorizzati nella cache. - Alias dei registri:
- Config
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Template - Software\Microsoft\Cryptography\CertificateTemplateCache
- Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork
Imposta un valore del Registro di sistema.
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value
Dove:
- ca usa la chiave del registro di un'autorità di certificazione.
- restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
- il criterio usa la chiave del registro di sistema del modulo criteri.
- exit usa la chiave del Registro di sistema del primo modulo di uscita.
- template usa la chiave di registro del modello (usa
-user
per modelli utente). - la registrazione usa la chiave del Registro di sistema di registrazione (usare
-user
per il contesto utente). - chain usa la chiave di registro per la configurazione della catena.
- PolicyServers usa la chiave di registro dei server dei criteri.
- ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
- RegistryValueName usa il nome del valore del registro (usare
Name*
per la corrispondenza del prefisso). - Value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con
+
o-
, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
- Se un valore stringa inizia con
+
o-
e il valore esistente è un valoreREG_MULTI_SZ
, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valoreREG_MULTI_SZ
, aggiungere\n
alla fine del valore stringa. - Se il valore inizia con
\@
, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario. - Se non fa riferimento a un file valido, viene invece analizzato come
[Date][+|-][dd:hh]
una data facoltativa più o meno giorni e ore facoltativi. - Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare
now+dd:hh
per una data relativa all'ora corrente. - Usare
i64
come suffisso per creare un valore REG_QWORD. - Usare
chain\chaincacheresyncfiletime @now
per consuntivare in modo efficace i CRL memorizzati nella cache.
Elimina i valori del Registro di sistema
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]
Dove:
- ca usa la chiave del registro di un'autorità di certificazione.
- restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
- il criterio usa la chiave del registro di sistema del modulo criteri.
- exit usa la chiave del Registro di sistema del primo modulo di uscita.
- template usa la chiave di registro del modello (usa
-user
per modelli utente). - la registrazione usa la chiave del Registro di sistema di registrazione (usare
-user
per il contesto utente). - chain usa la chiave di registro per la configurazione della catena.
- PolicyServers usa la chiave di registro dei server dei criteri.
- ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
- RegistryValueName usa il nome del valore del registro (usare
Name*
per la corrispondenza del prefisso). - Value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con
+
o-
, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.
Opzioni:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
- Se un valore stringa inizia con
+
o-
e il valore esistente è un valoreREG_MULTI_SZ
, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valoreREG_MULTI_SZ
, aggiungere\n
alla fine del valore stringa. - Se il valore inizia con
\@
, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario. - Se non fa riferimento a un file valido, viene invece analizzato come
[Date][+|-][dd:hh]
una data facoltativa più o meno giorni e ore facoltativi. - Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare
now+dd:hh
per una data relativa all'ora corrente. - Usare
i64
come suffisso per creare un valore REG_QWORD. - Usare
chain\chaincacheresyncfiletime @now
per consuntivare in modo efficace i CRL memorizzati nella cache. - Alias dei registri:
- Config
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Template - Software\Microsoft\Cryptography\CertificateTemplateCache
- Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork
Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.
certutil [options] -importKMS UserKeyAndCertFile [CertId]
Dove:
- UserKeyAndCertFile è un file di dati con chiavi private utente e certificati da archiviare. Questo file può essere:
- Un file di esportazione di Key Management Server (Servizio di gestione delle chiavi) di Exchange.
- Un file PFX.
- CertId è un token di corrispondenza del certificato di decrittografia dei file di esportazione KMS. Per altre informazioni, vedere il
-store
parametro nel presente articolo. -f
importa i certificati non rilasciati dall'autorità di certificazione.
Opzioni:
[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]
Importa un file di certificato nel database.
certutil [options] -ImportCert Certfile [ExistingRow]
Dove:
- ExistingRow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.
-f
importa i certificati non rilasciati dall'autorità di certificazione.
Opzioni:
[-f] [-config Machine\CAName]
Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni eseguendo certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
.
Recupera un blob di recupero delle chiavi private archiviato, genera uno script di ripristino o recupera le chiavi archiviate.
certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName
Dove:
- lo script genera uno script per recuperare e ripristinare le chiavi (comportamento predefinito se vengono trovati più candidati di recupero corrispondenti o se il file di output non è specificato).
- retrieve recupera uno o più blob di recupero delle chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se il file di output è specificato). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato come pure
.rec
l'estensione per ogni blob di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi. - recover e recupera e ripristina le chiavi private in un unico passaggio (richiede i certificati dell'agente di ripristino chiavi e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione
.p12
. Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX. - SearchToken seleziona le chiavi e i certificati da recuperare, tra cui:
- Nome comune del certificato
- Numero di serie del certificato
- Hash SHA-1 del certificato (identificazione personale)
- Hash SHA-1 del KeyId del certificato (identificatore della chiave del soggetto)
- Nome richiedente (dominio\utente)
- UPN (user@domain)
- RecoveryBlobOutFile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di ripristino chiavi.
- OutputScriptFile restituisce un file con uno script batch per recuperare e ripristinare chiavi private.
- OutputFileBaseName restituisce un nome base del file.
Opzioni:
[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
- Per retrieve, qualsiasi estensione viene troncata e una stringa specifica del certificato e le
.rec
estensioni vengono aggiunte per ogni BLOB di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi. - Per recover, qualsiasi estensione viene troncata e l'estensione
.p12
viene aggiunta. Contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.
Recupera una chiave privata archiviata.
certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]
Opzioni:
[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]
Unisce i file PFX.
certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]
Dove:
- PFXInFileList è un elenco delimitato da virgole di file di input PFX.
- PFXOutFile è il nome del file di output PFX.
- I Modifiers sono degli elenchi delimitati da virgole di una o più delle opzioni seguenti:
- ExtendedProperties include tutte le proprietà estese.
- NoEncryptCert specifica di non crittografare i certificati.
- EncryptCert specifica di crittografare i certificati.
Opzioni:
[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
- La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
- Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è
*
, all'utente viene richiesta la password del file di output.
Converte un file PFX in un file EPF.
certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]
Dove:
- PFXInFileList è un elenco delimitato da virgole di file di input PFX.
- EPFOutFile è il nome del file di output PFX.
- EPF è il nome del file di output EPF.
- cast usa la crittografia CAST 64.
- cast: usa la crittografia CAST 64 (esportazione).
- V3CACertId è il token di corrispondenza del certificato della CA V3. Per altre informazioni, vedere il
-store
parametro nel presente articolo. - Salt è la stringa salt del file di output EPF.
Opzioni:
[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]
- La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
- Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è
*
, all'utente viene richiesta la password del file di output.
Aggiunge una catena di certificati.
certutil [options] -add-chain LogId certificate OutFile
Opzioni:
[-f]
Aggiunge una catena di pre-certificati.
certutil [options] -add-pre-chain LogId pre-certificate OutFile
Opzioni:
[-f]
Ottiene un'intestazione dell'albero con firma.
certutil [options] -get-sth [LogId]
Opzioni:
[-f]
Ottiene le modifiche apportate all'intestazione dell'albero firmata.
certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2
Opzioni:
[-f]
Ottiene la prova di un hash da un server timestamp.
certutil [options] -get-proof-by-hash LogId Hash [TreeSize]
Opzioni:
[-f]
Recupera le voci da un registro eventi.
certutil [options] -get-entries LogId FirstIndex LastIndex
Opzioni:
[-f]
Recupera i certificati radice dall'archivio certificati.
certutil [options] -get-roots LogId
Opzioni:
[-f]
Recupera una voce del registro eventi e la relativa prova crittografica.
certutil [options] -get-entry-and-proof LogId Index [TreeSize]
Opzioni:
[-f]
Verifica un certificato rispetto al log di trasparenza dei certificati.
certutil [options] -VerifyCT Certificate SCT [precert]
Opzioni:
[-f]
Visualizza l'elenco dei parametri.
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
Dove:
- -? visualizza l'elenco dei parametri.
- -<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.
- -? -v visualizza un elenco dettagliato di parametri e opzioni.
Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.
Opzione | Descrizione |
---|---|
-admin | Usare ICertAdmin2 per le proprietà della CA. |
-anonymous | Usare credenziali SSL anonime. |
-cert CertId | Certificato di firma. |
-clientcertificate clientCertId | Usare le credenziali SSL del certificato X.509. Per l'interfaccia utente di selezione, usare -clientcertificate . |
-config Machine\CAName | Autorità di certificazione e stringa del nome computer. |
-csp provider | Provider: KSP - Provider di archiviazione chiavi del software Microsoft TPM - Provider di crittografia della piattaforma Microsoft NGC - Provider di archiviazione chiavi per Microsoft Passport SC - Provider di archiviazione chiavi per smart card Microsoft |
-dc DCName | Specificare come destinazione un controller di dominio specifico. |
-enterprise | Usare l'archivio certificati registro di sistema aziendale del computer locale. |
-f | Forza sovrascrittura. |
-generateSSTFromWU SSTFile | Genera il file SST mediante il meccanismo di aggiornamento automatico. |
-ora di Greenwich | Ore di visualizzazione con GMT. |
-GroupPolicy | Usare l'archivio certificati criteri di gruppo. |
-idispatch | Usare IDispatch anziché i metodi nativi COM. |
-kerberos | Usare le credenziali SSL Kerberos. |
-location alternatestoragelocation | (-loc) AlternateStorageLocation. |
-mt | Visualizzare i modelli di computer. |
-nocr | Codificare il testo senza caratteri CR. |
-nocrlf | Codificare il testo senza caratteri CR LF. |
-nullsign | Usare l'hash dei dati come firma. |
-oldpfx | Usare la crittografia PFX precedente. |
-out columnlist | Elenco di colonne delimitate da virgole. |
-p password | Password |
-pin PIN | PIN della smart card |
-policyserver URLorID | URL o ID del server dei criteri. Per l'interfaccia utente di selezione, usare -policyserver . Per tutti i server dei criteri, usare -policyserver * |
-privatekey | Visualizzare i dati della password e della chiave privata. |
-protect | Proteggere le chiavi con password. |
-protectto SAMnameandSIDlist | Nome SAM/elenco SID delimitato da virgole. |
-restrict restrictionlist | Elenco di restrizioni delimitato da virgole. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data. Un nome di colonna potrebbe essere preceduto da un segno più o meno per indicare l'ordinamento. Ad esempio: requestID = 47 , +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21 . |
-reverse | Colonne di log inverso e coda. |
-seconds | Visualizzare i tempi usando secondi e millisecondi. |
-service | Usare l'archivio certificati servizio. |
-sid | SID Numerico: 22 - Sistema locale 23 - Servizio locale 24 - Servizio di rete |
-silent | Usare il silent flag per acquisire il contesto di crittografia. |
-split | Dividere gli elementi ASN.1 incorporati e salvarli nei file. |
-sslpolicy servername | Criteri SSL corrispondenti a ServerName. |
-symkeyalg symmetrickeyalgorithm[,keylength] | Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave opzionale. Ad esempio, AES,128 o 3DES . |
-syncWithWU DestinationDir | Esegue la sincronizzazione con Windows Update. |
-t timeout | Timeout recupero URL in millisecondi. |
-Unicode | Scrivere l'output reindirizzato in Unicode. |
-UnicodeText | Scrivere il file di output in Unicode. |
-urlfetch | Recuperare e verificare certificati AIA e i CRL CDP. |
-utente | Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati. |
-username username | Usare l'account denominato per le credenziali SSL. Per l'interfaccia utente di selezione, usare -username . |
-ut | Visualizzare i modelli utente. |
-v | Fornire informazioni più dettagliate (verbose). |
-v1 | Usare le interfacce V1. |
Algoritmi hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.
Per altri esempi di come usare questo comando, vedere gli articoli seguenti: