certutil

certutil.exe は、証明書サービスの一部としてインストールされるコマンドライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報のダンプと表示、証明書サービスの構成、CA コンポーネントのバックアップと復元、および証明書、キー ペア、および証明書チェーンの検証を行うことができます。

certutil を追加パラメーターを指定せずに証明機関で実行すると、現在の証明機関の構成が表示されます。 certutil が証明機関以外で実行された場合は、既定で certutil [-dump] コマンドを実行するように設定されます。

重要

certutil の以前のバージョンでは、このドキュメントに記載されているすべてのオプションが提供されない場合があります。 certutil -? または certutil <parameter> -? を実行することで、certutil の特定のバージョンで提供されるすべてのオプションを確認できます。

パラメーター

-dump

構成情報またはファイルをダンプします。

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

抽象構文記法 (ASN.1) 構文を使用してファイルの内容を解析して表示します。 ファイルの種類には、.CER、.DER、および PKCS #7 形式のファイルが含まれます。

certutil [options] -asn file [type]

[type]: 数値の CRYPT_STRING_* デコードの種類

-decodehex

16 進エンコード ファイルをデコードします。

certutil [options] -decodehex infile outfile [type]

[type]: 数値の CRYPT_STRING_* エンコードの種類

[-f]

-decode

Base64 エンコード ファイルをデコードします。

certutil [options] -decode infile outfile
[-f]

-encode

ファイルを Base64 にエンコードします。

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-deny

保留中の要求を拒否します。

certutil [options] -deny requestID
[-config Machine\CAName]

-resubmit

保留中の要求を再送信します。

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

保留中の証明書要求の属性を設定します。

certutil [options] -setattributes RequestID attributestring

各値の説明:

  • requestID は、保留中の要求の数値要求 ID です。

  • attributestring は、要求属性の名前と値のペアです。

[-config Machine\CAName]

解説

  • 名前と値はコロンで区切る必要がありますが、複数の名前と値のペアは改行で区切る必要があります。 たとえば、CertificateTemplate:User\nEMail:User@Domain.com では、それぞれの \n が改行区切り記号に変換されます。

-setextension

保留中の証明書要求の拡張機能を設定します。

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

各値の説明:

  • requestID は、保留中の要求の数値要求 ID です。

  • extensionname は、拡張機能の ObjectId 文字列です。

  • flags は、拡張機能の優先順位を設定します。 0 が推奨されていますが、1 は拡張機能を critical に設定し、2 は拡張機能を無効し、3 は両方を実行します。

[-config Machine\CAName]

解説

  • 最後のパラメーターが数値の場合は、Long として取得されます。

  • 最後のパラメーターが日付として解析できる場合は、Date として取得されます。

  • 最後のパラメーターが \@ で始まる場合は、トークンの残りの部分がバイナリ データまたは ASCII テキスト 16 進数ダンプを含むファイル名として取得されます。

  • 最後のパラメーターが上記以外の場合は、String として取得されます。

-revoke

証明書を失効させます。

certutil [options] -revoke serialnumber [reason]

各値の説明:

  • serialnumber は、失効させる証明書のシリアル番号のコンマ区切りの一覧です。

  • reason は、失効理由の数値表現または記号表現で、次のようになります。

    • 0. CRL_REASON_UNSPECIFIED - 理由不明 (既定)

    • 1. CRL_REASON_KEY_COMPROMISE - キーの侵害

    • 2. CRL_REASON_CA_COMPROMISE -証明機関の侵害

    • 3. CRL_REASON_AFFILIATION_CHANGED - 所属の変更

    • 4. CRL_REASON_SUPERSEDED - 置き換え済み

    • 5. CRL_REASON_CESSATION_OF_OPERATION - 利用中止

    • 6. CRL_REASON_CERTIFICATE_HOLD - 証明書保留

    • 8. CRL_REASON_REMOVE_FROM_CRL - CRL から削除

    • 1. Unrevoke - 失効取り消し

[-config Machine\CAName]

-isvalid

現在の証明書の処分を表示します。

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

既定の構成文字列を取得します。

certutil [options] -getconfig
[-config Machine\CAName]

-ping

Active Directory 証明書サービスの要求インターフェイスへの接続を試みます。

certutil [options] -ping [maxsecondstowait | camachinelist]

各値の説明:

  • camachinelist は、CA マシン名のコンマ区切りの一覧です。 1 台のマシンの場合は、最後にコンマを指定します。 このオプションは、各 CA マシンのサイト コストも表示します。
[-config Machine\CAName]

-cainfo

証明機関に関する情報を表示します。

certutil [options] -cainfo [infoname [index | errorcode]]

各値の説明:

  • infoname は、次の infoname 引数構文に基づいて、表示する CA プロパティを示します。

    • file - ファイル バージョン

    • product - 製品バージョン

    • exitcount - Exit モジュールの数

    • exit - Exit モジュールの説明

    • policy - Policy モジュールの説明

    • name - CA の名前

    • sanitizedname - 校正された CA の名前

    • dsname - 校正された CA の短い名前 (DS の名前)

    • sharedfolder - 共有フォルダー

    • error1 ErrorCode - エラー メッセージ テキスト

    • error2 ErrorCode - エラー メッセージ テキストとエラー コード

    • type - CA の種類

    • info - CA 情報

    • parent - 親 CA

    • certcount - CA 証明書の数

    • xchgcount - CA Exchange 証明書の数

    • kracount - KRA 証明書の数

    • kraused - KRA 証明書の使用数

    • propidmax - 最大 CA PropId

    • certstate - CA 証明書

    • certversion - CA 証明書のバージョン

    • certstatuscode - CA 証明書の検証状態

    • crlstate - CRL

    • krastate - KRA 証明書

    • crossstate+ - 前向きのクロス証明書

    • crossstate- - 後ろ向きのクロス証明書

    • cert - CA 証明書

    • certchain - CA 証明書チェーン

    • certcrlchain - CRL を含む CA 証明書チェーン

    • xchg - CA Exchange 証明書

    • xchgchain - CA Exchange 証明書チェーン

    • xchgcrlchain - CRL を含む CA Exchange 証明書チェーン

    • kra - KRA 証明書

    • cross+ - 前向きのクロス証明書

    • cross- - 後ろ向きのクロス証明書

    • CRL - Base CRL

    • deltacrl - Delta CRL

    • crlstatus - CRL 発行状態

    • deltacrlstatus - Delta CRL 発行状態

    • dns - DNS の名前

    • role - 役割の分離

    • ads - Advanced Server

    • templates - テンプレート

    • csp - OCSP URL

    • aia - AIA URL

    • cdp - CDP URL

    • localename - CA ロケール名

    • subjecttemplateoids - サブジェクト テンプレート OID

    • * - すべてのプロパティを表示

  • index は、オプションの 0 から始まるプロパティ インデックスです。

  • errorcode は、数値エラー コードです。

[-f] [-split] [-config Machine\CAName]

-ca.cert

証明機関の証明書を取得します。

certutil [options] -ca.cert outcacertfile [index]

各値の説明:

  • outcacertfile は、出力ファイルです。

  • index は、CA 証明書の更新インデックスです (既定で最新に設定されます)。

[-f] [-split] [-config Machine\CAName]

-ca.chain

証明機関の証明書チェーンを取得します。

certutil [options] -ca.chain outcacertchainfile [index]

各値の説明:

  • outcacertchainfile は、出力ファイルです。

  • index は、CA 証明書の更新インデックスです (既定で最新に設定されます)。

[-f] [-split] [-config Machine\CAName]

-getcrl

証明書失効リスト (CRL) を取得します。

certutil [options] -getcrl outfile [index] [delta]

各値の説明:

  • index は、CRL インデックスまたはキー インデックスです (既定で最新のキーの CRL に設定されます)。

  • delta は、Delta CRL です (既定は base CRL です)。

[-f] [-split] [-config Machine\CAName]

-crl

新しい証明書失効リスト (CRL) または Delta CRL を発行します。

certutil [options] -crl [dd:hh | republish] [delta]

各値の説明:

  • dd: hh は、新しい CRL の有効期間 (日数と時間数) です。

  • republish は、最新の CRL を再発行します。

  • delta は、Delta CRL のみを発行します (既定は Base CRL と Delta CRL です)。

[-split] [-config Machine\CAName]

-shutdown

Active Directory 証明書サービスをシャットダウンします。

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

証明機関証明書をインストールします。

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

証明機関証明書を更新します。

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • 未処理の更新要求を無視し、新しい要求を生成するには、-f を使用します。
[-f] [-silent] [-config Machine\CAName]

-schema

証明書のスキーマをダンプします。

certutil [options] -schema [ext | attrib | cRL]

各値の説明:

  • コマンドが、既定で要求テーブルと証明書テーブルに設定されます。

  • ext は、拡張テーブルです。

  • attribute は、属性テーブルです。

  • crl は、CRL テーブルです。

[-split] [-config Machine\CAName]

-view

証明書ビューをダンプします。

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

各値の説明:

  • queue は、特定の要求キューをダンプします。

  • log は、発行または失効した証明書に加えて、失敗した要求をダンプします。

  • logfail は、失敗した要求をダンプします。

  • revoked は、失効した証明書をダンプします。

  • ext は、拡張テーブルをダンプします。

  • attribute は、属性テーブルをダンプします。

  • crl は、CRL テーブルをダンプします。

  • csv は、コンマ区切り値を出力します。

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

解説

  • すべてのエントリの StatusCode 列を表示するには、「」と入力します。

  • 最後のエントリのすべての列を表示するには、「-restrict RequestId==$」と入力します。

  • 3 つの要求の RequestIDDisposition を表示するには、「」と入力します。

  • すべての Base CRL の行 ID行 IDCRL 番号 を表示するには、「」と入力します。

  • 表示するには、「-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl」と入力します。

  • CRL テーブル全体を表示するには、「CRL」と入力します。

  • 日付の制限には Date[+|-dd:hh] を使用します。

  • 現在時刻を基準にした日付には now+dd:hh を使用します。

-db

未処理データベースをダンプします。

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

サーバー データベースから行を削除します。

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

各値の説明:

  • request は、送信日に基づいて、失敗した要求と保留中の要求を削除します。

  • cert は、有効期限に基づいて、期限切れの証明書と失効した証明書を削除します。

  • ext は、拡張テーブルを削除します。

  • attribute は、属性テーブルを削除します。

  • crl は、CRL テーブルを削除します。

[-f] [-config Machine\CAName]

  • 2001 年 1 月 22 日に送信された失敗した要求と保留中の要求を削除するには、「1/22/2001 request」と入力します。

  • 2001 年 1 月 22 日に期限切れになったすべての証明書を削除するには、「1/22/2001 cert」と入力します。

  • RequestID 37 の証明書の行、属性、および拡張機能を削除するには、「37」と入力します。

  • 2001 年 1 月 22 日に期限切れになった CRL を削除するには、「1/22/2001 crl」と入力します。

-backup

Active Directory 証明書サービスをバックアップします。

certutil [options] -backup backupdirectory [incremental] [keeplog]

各値の説明:

  • backupdirectory は、バックアップされたデータを格納するディレクトリです。

  • incremental は、増分バックアップのみを実行します (既定は完全バックアップです)。

  • keeplog は、データベース ログ ファイルを保持します (既定はログ ファイルの切り捨てです)。

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Active Directory 証明書サービスのデータベースをバックアップします。

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

各値の説明:

  • backupdirectory は、バックアップされたデータベース ファイルを格納するディレクトリです。

  • incremental は、増分バックアップのみを実行します (既定は完全バックアップです)。

  • keeplog は、データベース ログ ファイルを保持します (既定はログ ファイルの切り捨てです)。

[-f] [-config Machine\CAName]

-backupkey

Active Directory 証明書サービスの証明書と秘密キーをバックアップします。

certutil [options] -backupkey backupdirectory

各値の説明:

  • backupdirectory は、バックアップされた PFX ファイルを格納するディレクトリです。
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Active Directory 証明書サービスを復元します。

certutil [options] -restore backupdirectory

各値の説明:

  • backupdirectory は、復元するデータが格納されているディレクトリです。
[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 証明書サービスのデータベースを復元します。

certutil [options] -restoredb backupdirectory

各値の説明:

  • backupdirectory は、復元するデータベース ファイルが格納されているディレクトリです。
[-f] [-config Machine\CAName]

-restorekey

Active Directory 証明書サービスの証明書と秘密キーを復元します。

certutil [options] -restorekey backupdirectory | pfxfile

各値の説明:

  • backupdirectory は、復元する PFX ファイルが格納されているディレクトリです。
[-f] [-config Machine\CAName] [-p password]

-importpfx

証明書と秘密キーをインポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • modifiers は、次の 1 つ以上を含めることができるコンマ区切りの一覧です。

    1. AT_SIGNATURE - keyspec を署名に変更します

    2. AT_KEYEXCHANGE - keyspec をキー交換に変更します

    3. NoExport - 秘密キーをエクスポート不可にします

    4. NoCert - 証明書をインポートしません

    5. NoChain - 証明書チェーンをインポートしません

    6. NoRoot - ルート証明書をインポートしません

    7. Protect - パスワードを使用してキーを保護します

    8. NoProtect - パスワードを使用してキーを保護しません

[-f] [-user] [-p password] [-csp provider]

解説

  • 既定でパーソナル マシン ストアに設定されます。

-dynamicfilelist

動的ファイル リストを表示します。

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

データベースの場所を表示します。

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

ファイル経由で暗号化ハッシュを生成して表示します。

certutil [options] -hashfile infile [hashalgorithm]

-store

証明書ストアをダンプします。

certutil [options] -store [certificatestorename [certID [outputfile]]]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。 次に例を示します。

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID は、証明書または CRL の一致トークンです。 これは、シリアル番号、SHA-1 証明書、CRL、CTL または公開キー ハッシュ、数値証明書インデックス (0 や 1 など)、数値 CRL インデックス (.0 や .1 など)、数値 CTL インデックス (..0 や ..1 など)、公開キー、署名または拡張 ObjectId、証明書のサブジェクトの一般名、電子メール アドレス、UPN 名または DNS 名、キー コンテナー名または CSP 名、テンプレート名または ObjectId、EKU またはアプリケーション ポリシー ObjectId、または CRL 発行者の一般名にすることができます。 これらの多くで、複数の一致が発生する可能性があります。

  • outputfile は、一致する証明書を保存するために使用されるファイルです。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

オプション

  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。

  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。

  • -service オプションは、マシンのサービス ストアにアクセスします。

  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

ストアに証明書を追加します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -addstore certificatestorename infile

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • infile は、ストアに追加する証明書または CRL ファイルです。

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

ストアから証明書を削除します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -delstore certificatestorename certID

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • certID は、証明書または CRL の一致トークンです。

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

ストア内の証明書を検証します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -verifystore certificatestorename [certID]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • certID は、証明書または CRL の一致トークンです。

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

キーの関連付けの修復、または証明書プロパティやキーのセキュリティ記述子の更新を行います。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • certIDlist は、証明書または CRL 一致トークンのコンマ区切りの一覧です。 詳細については、この記事の -store certID の説明を参照してください。

  • propertyinffile は、次のような外部プロパティを含む INF ファイルです。

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

証明書ストアをダンプします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • certID は、証明書または CRL の一致トークンです。

  • outputfile は、一致する証明書を保存するために使用されるファイルです。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

オプション

  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。

  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。

  • -service オプションは、マシンのサービス ストアにアクセスします。

  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

ストアから証明書を削除します。

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

各値の説明:

  • certificatestorename は、証明書ストアの名前です。

  • certID は、証明書または CRL の一致トークンです。

  • outputfile は、一致する証明書を保存するために使用されるファイルです。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

オプション

  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。

  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。

  • -service オプションは、マシンのサービス ストアにアクセスします。

  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

証明書または証明書失効リスト (CRL) を Active Directory に発行します。

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

各値の説明:

  • certfile は、発行する証明書ファイルの名前です。

  • NTAuthCA は、DS エンタープライズ ストアに証明書を発行します。

  • RootCA は、DS に信頼されたルート ストアに証明書を発行します。

  • SubCA は、CA 証明書を DS CA オブジェクトに発行します。

  • CrossCA は、クロス証明書を DS CA オブジェクトに発行します。

  • KRA は、証明書を DS キー回復エージェント オブジェクトに発行します。

  • User は、証明書をユーザー DS オブジェクトに発行します。

  • Machine は、証明書をマシン DS オブジェクトに発行します。

  • CRLfile は、発行する CRL ファイルの名前です。

  • DSCDPContainer は、DS CDP コンテナー CN (通常は CA マシン名) です。

  • DSCDPCN は、通常、校正された CA の短い名前とキー インデックスに基づく DS CDP オブジェクト CN です。

  • 新しい DS オブジェクトを作成するには -f を使用します。

[-f] [-user] [-dc DCName]

-adtemplate

Active Directory テンプレートを表示します。

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-template

証明書テンプレートを表示します。

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

証明書テンプレートの証明機関 (CA) を表示します。

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

証明機関のテンプレートを表示します。

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

証明機関のサイト名の設定、検証、および削除を含め、サイト名を管理します

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

各値の説明:

  • sitename は、単一の証明機関を対象とする場合にのみ許可されます。
[-f] [-config Machine\CAName] [-dc DCName]

解説

  • -config オプションは、単一の証明機関を対象とします (既定はすべての CA です)。

  • -f オプションを使用すると、指定した -f の検証エラーをオーバーライドしたり、すべての CA サイト名を削除したりできます。

Note

Active Directory Domain Services (AD DS) サイト認識用の CA の構成の詳細については、「AD DS Site Awareness for AD CS および PKI クライアント」を参照してください。

-enrollmentserverURL

CA に関連付けられた登録サーバーの URL を表示、追加、または削除します。

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

各値の説明:

  • authenticationtype は、URL を追加しながら、次のいずれかのクライアント認証方法を指定します。

    1. kerberos - Kerberos SSL 資格情報を使用します。

    2. username - SSL 資格情報に名前付きアカウントを使用します。

    3. clientcertificate - X.509 証明書 SSL 資格情報を使用します。

    4. anonymous - 匿名 SSL 資格情報を使用します。

  • delete は、指定された、CA に関連付けられた URL を削除します。

  • priority は、URL を追加するときに指定されなかった場合に、既定で に設定されます。

  • modifiers は、次の 1 つ以上が含まれるコンマ区切りの一覧です。

  1. allowrenewalsonly - この URL を介してこの CA に送信できるのは、更新要求のみです。

  2. allowkeybasedrenewal - AD 内に関連付けられたアカウントが存在しない証明書の使用を許可します。 これは、clientcertificate モードと allowrenewalsonly モードでのみ適用されます

[-config Machine\CAName] [-dc DCName]

-adca

Active Directory の証明機関を表示します。

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

登録ポリシーの証明機関を表示します。

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policy

登録ポリシーを表示します。

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

登録ポリシーのキャッシュ エントリを表示または削除します。

certutil [options] -policycache [delete]

各値の説明:

  • delete は、ポリシー サーバーのキャッシュ エントリを削除します。

  • -f は、すべてのキャッシュ エントリを削除します

[-f] [-user] [-policyserver URLorID]

-credstore

資格情報ストアのエントリを表示、追加、または削除します。

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

各値の説明:

  • URL は、ターゲット URL です。 すべてのエントリを照合するには * を使用し、URL プレフィックスを照合するには https://machine* を使用することもできます。

  • add は、資格情報ストアのエントリを追加します。 このオプションを使用するには、SSL 資格情報を使用する必要もあります。

  • delete は、資格情報ストアのエントリを削除します。

  • -f は、1 つのエントリを上書きするか、複数のエントリを削除します。

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

既定の証明書テンプレートをインストールします。

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

URL キャッシュ エントリを表示または削除します。

certutil [options] -URLcache [URL | CRL | * [delete]]

各値の説明:

  • URL は、キャッシュされた URL です。

  • CRL は、キャッシュされた CRL URL のみで動作します。

  • * は、キャッシュされたすべての URL で動作します。

  • delete は、現在のユーザーのローカル キャッシュから関連する URL を削除します。

  • -f は、特定の URL のフェッチとキャッシュの更新を強制します。

[-f] [-split]

-pulse

自動登録イベントを発信します。

certutil [options] -pulse
[-user]

-machineinfo

Active Directory マシン オブジェクトに関する情報を表示します。

certutil [options] -machineinfo domainname\machinename$

-DCInfo

ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

ヒント

Active Directory Domain Services (AD DS) ドメイン [Domain] を指定し、ドメイン コントローラー (-dc) を指定する機能が Windows Server 2012 に追加されました。 コマンドを正常に実行するには、Domain Admins または Enterprise Admins のメンバーであるアカウントを使用する必要があります。 このコマンドの動作変更は次のとおりです。

  1. 1. ドメインが指定されておらず、特定のドメイン コントローラーが指定されていない場合、このオプションは、既定のドメイン コントローラーから処理するドメイン コントローラーの一覧を返します。
  2. 2. ドメインは指定されていないが、ドメイン コントローラーは指定されている場合は、指定されたドメイン コントローラー上の証明書のレポートが生成されます。
  3. 3. ドメインは指定されているが、ドメイン コントローラーは指定されていない場合は、ドメイン コントローラーの一覧が、一覧内の各ドメイン コントローラーの証明書に関するレポートと共に生成されます。
  4. 4. ドメインとドメイン コントローラーが指定されている場合は、対象のドメイン コントローラーからドメイン コントローラーの一覧が生成されます。 一覧内の各ドメイン コントローラーの証明書のレポートも生成されます。

たとえば、CPANDL という名前のドメインに CPANDL-DC1 という名前のドメイン コントローラーがあるとします。 CPANDL-DC1 からドメイン コントローラーとその証明書の一覧を取得するには、「certutil -dc cpandl-dc1 -DCInfo cpandl」というコマンドを実行します。

-entinfo

エンタープライズ証明機関に関する情報を表示します。

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

証明機関に関する情報を表示します。

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

スマート カードに関する情報を表示します。

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

各値の説明:

  • CRYPT_DELETEKEYSET は、スマート カード上のすべてのキーを削除します。
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

スマート カード ルート証明書を管理します。

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys

公開キー セットまたは秘密キー セットを検証します。

certutil [options] -verifykeys [keycontainername cacertfile]

各値の説明:

  • keycontainername は、検証するキーのキー コンテナー名です。 このオプションは、既定でマシン キーに設定されます。 ユーザー キーに切り替えるには、-user を使用します。

  • cacertfile は、証明書ファイルに署名または証明書ファイルを暗号化します。

[-f] [-user] [-silent] [-config Machine\CAName]

解説

  • 引数が指定されていない場合は、各署名 CA 証明書がその秘密キーに対して検証されます。

  • この操作は、ローカル CA またはローカル キーに対してのみ実行できます。

-verify

証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

各値の説明:

  • certfile は、検証する証明書の名前です。

  • applicationpolicylist は、必要なアプリケーション ポリシー ObjectId のオプションのコンマ区切りの一覧です。

  • issuancepolicylist は、必要な発行ポリシー ObjectId のオプションのコンマ区切りの一覧です。

  • cacertfile は、検証するオプションの発行元 CA 証明書です。

  • crossedcacertfile は、certfile によって相互証明されるオプションの証明書です。

  • CRLfile は、cacertfile を検証するために使用される CRL ファイルです。

  • issuedcertfile は、CRLfile の対象となるオプションの発行済み証明書です。

  • deltaCRLfile は、オプションの Delta CRL ファイルです。

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

解説

  • applicationpolicylist を使用すると、チェーン構築が指定されたアプリケーション ポリシーに対して有効なチェーンにのみ制限されます。

  • issuancepolicylist を使用すると、チェーン構築が指定された発行ポリシーに対して有効なチェーンにのみ制限されます。

  • cacertfile を使用すると、ファイル内のフィールドが certfile または CRLfile に対して検証されます。

  • issuedcertfile を使用すると、ファイル内のフィールドが CRLfile に対して検証されます。

  • deltaCRLfile を使用すると、ファイル内のフィールドが certfile に対して検証されます。

  • cacertfile が指定されなかった場合は、完全なチェーンが構築され、certfile に対して検証されます。

  • cacertfilecrossedcacertfile の両方が指定されている場合は、両方のファイル内のフィールドが certfile に対して検証されます。

-verifyCTL

AuthRoot または許可されていない証明書 CTL を検証します。

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

各値の説明:

  • CTLobject は、次を含む検証する CTL を識別します。

    • AuthRootWU - URL キャッシュから AuthRoot CAB と、一致する証明書を読み取ります。 Windows Update からダウンロードするには、代わりに、-f を使用します。

    • DisallowedWU - 許可されていない証明書 CAB と許可されていない証明書ストア ファイルを URL キャッシュから読み取ります。 Windows Update からダウンロードするには、代わりに、-f を使用します。

    • AuthRoot - レジストリにキャッシュされた AuthRoot CTL を読み取ります。 レジストリにキャッシュされた AuthRoot と許可されていない証明書の CTL の更新を強制するには、-f と信頼されていない -f を使用します。

    • Disallowed - レジストリにキャッシュされた許可されていない証明書 CTL を読み取ります。 レジストリにキャッシュされた AuthRoot と許可されていない証明書の CTL の更新を強制するには、-f と信頼されていない -f を使用します。

  • CTLfilename は、CTL または CAB ファイルへのファイル パスまたは HTTP パスを指定します。

  • certdir は、CTL エントリと一致する証明書を格納されているフォルダーを指定します。 既定で、CTLobject と同じフォルダーまたは Web サイトに設定されます。 HTTP フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 AuthRoot または Disallowed を指定しなかった場合は、ローカル証明書ストア、crypt32.dll リソース、ローカル URL キャッシュなど、一致する証明書が複数の場所で検索されます。 必要に応じて、Windows Update からダウンロードするには、-f を使用します。

  • certfile は、検証する証明書を指定します。 証明書は、結果が表示されている CTL エントリに対して照合されます。 このオプションは、既定の出力の大部分を抑制します。

[-f] [-user] [-split]

-sign

証明書失効リスト (CRL) または証明書に再署名します。

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

各値の説明:

  • infilelist は、変更して再署名する証明書または CRL ファイルのコンマ区切りの一覧です。

  • serialnumber は、作成する証明書のシリアル番号です。 有効期間とその他のオプションは使用できません。

  • CRL は、空の CRL を作成します。 有効期間とその他のオプションは使用できません。

  • outfilelist は、変更された証明書または CRL 出力ファイルのコンマ区切りの一覧です。 ファイルの数は infilelist と一致する必要があります。

  • startdate+dd:hh は、次を含む証明書または CRL ファイルの新しい有効期間です。

    • オプションの日付 +

    • オプションの日数と時間数の有効期間

    両方を指定する場合は、プラス記号 (+) の区切りを使用する必要があります。 現在時刻から開始するには、now[+dd:hh] を使用します。 有効期限がない場合は、never を使用します (CRL の場合のみ)。

  • serialnumberlist は、追加または削除するファイルのコンマ区切りのシリアル番号の一覧です。

  • objectIDlist は、削除するファイルのコンマ区切りの拡張 ObjectId の一覧です。

  • @extensionfile は、更新または削除する拡張子を含む INF ファイルです。 次に例を示します。

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm は、ハッシュ アルゴリズムの名前です。 これは、前に # 記号が付くテキストのみにする必要があります。

  • alternatesignaturealgorithm は、代替署名アルゴリズム指定子です。

[-nullsign] [-f] [-silent] [-cert certID]

解説

  • マイナス記号 (-) を使用すると、シリアル番号と拡張子が削除されます。

  • プラス記号 (+) を使用すると、シリアル番号が CRL に追加されます。

  • 一覧を使用すると、シリアル番号と ObjectID の両方を CRL から同時に削除できます。

  • alternatesignaturealgorithm の前にマイナス記号を使用すると、従来の署名形式を使用できます。 プラス記号を使用すると、代替署名形式を使用できます。 alternatesignaturealgorithm を指定しなかった場合は、証明書または CRL の署名形式が使用されます。

-vroot

Web 仮想ルートとファイル共有を作成または削除します。

certutil [options] -vroot [delete]

-vocsproot

OCSP Web プロキシの Web 仮想ルートを作成または削除します。

certutil [options] -vocsproot [delete]

-addenrollmentserver

必要に応じて、指定された証明機関の登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

各値の説明:

  • addenrollmentserver は、証明書登録サーバーへのクライアント接続に次のような認証方法を使用するように要求します。

    • kerberos は、Kerberos SSL 資格情報を使用します。

    • username は、SSL 資格情報に名前付きアカウントを使用します。

    • clientcertificate は、X.509 証明書 SSL 資格情報を使用します。

  • allowrenewalsonly は、URL 経由の証明機関への更新要求の送信のみを許可します。

  • allowkeybasedrenewal は、Active Directory 内に関連付けられたアカウントが存在しない証明書の使用を許可します。 これは、clientcertificate モードと allowrenewalsonly モードで使用された場合に適用されます。

[-config Machine\CAName]

-deleteenrollmentserver

必要に応じて、指定された証明機関の登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

各値の説明:

  • deleteenrollmentserver は、証明書登録サーバーへのクライアント接続に次のような認証方法を使用するように要求します。

    • kerberos は、Kerberos SSL 資格情報を使用します。

    • username は、SSL 資格情報に名前付きアカウントを使用します。

    • clientcertificate は、X.509 証明書 SSL 資格情報を使用します。

[-config Machine\CAName]

-addpolicyserver

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

各値の説明:

  • addpolicyserver は、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用するように要求します。

    • kerberos は、Kerberos SSL 資格情報を使用します。

    • username は、SSL 資格情報に名前付きアカウントを使用します。

    • clientcertificate は、X.509 証明書 SSL 資格情報を使用します。

  • keybasedrenewal は、keybaseaddnewal テンプレートを含むクライアントに返されるポリシーの使用を許可します。 このオプションは、username 認証と clientcertificate 認証にのみ適用されます。

-deletepolicyserver

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドは、バイナリまたはパッケージを削除しません。

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

各値の説明:

  • deletepolicyserver は、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用するように要求します。

    • kerberos は、Kerberos SSL 資格情報を使用します。

    • username は、SSL 資格情報に名前付きアカウントを使用します。

    • clientcertificate は、X.509 証明書 SSL 資格情報を使用します。

  • keybasedrenewal は、KeyBasedRenewal ポリシー サーバーの使用を許可します。

-oid

オブジェクト識別子を表示するか、表示名を設定します。

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

各値の説明:

  • objectID は、表示名を表示または追加します。

  • groupID は、objectID が列挙する groupID 番号 (10 進数) です。

  • algID は、objectID が検索する 16 進数 ID です。

  • algorithmname は、objectID が検索するアルゴリズム名です。

  • displayname は、DS に格納する名前を表示します。

  • delete は、表示名を削除します。

  • LanguageId は、言語 ID の値です (既定で current: 1033 に設定されます)。

  • Type は、次を含む、作成する DS オブジェクトの種類です。

    • 1 - テンプレート (既定)

    • 2 - 発行ポリシー

    • 3 - アプリケーション ポリシー

  • -f は、DS オブジェクトを作成します。

-error

エラー コードに関連付けられたメッセージ テキストを表示します。

certutil [options] -error errorcode

-getreg

レジストリ値を表示します。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。

  • restore は、証明機関の復元レジストリ キーを使用します。

  • policy は、ポリシー モジュールのレジストリ キーを使用します。

  • exit は、最初の終了モジュールのレジストリ キーを使用します。

  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは を使用します)。

  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは を使用します)。

  • chain は、チェーン構成レジストリ キーを使用します。

  • policyservers は、ポリシー サーバー レジストリ キーを使用します。

  • progID は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。

  • registryvaluename は、レジストリ値の名前を使用します (プレフィックスの一致には を使用します)。

  • value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。

  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - 日数と時間数) として解析されます。 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。

  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime \@now を使用します。

-setreg

レジストリ値を設定します。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。

  • restore は、証明機関の復元レジストリ キーを使用します。

  • policy は、ポリシー モジュールのレジストリ キーを使用します。

  • exit は、最初の終了モジュールのレジストリ キーを使用します。

  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは を使用します)。

  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは を使用します)。

  • chain は、チェーン構成レジストリ キーを使用します。

  • policyservers は、ポリシー サーバー レジストリ キーを使用します。

  • progID は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。

  • registryvaluename は、レジストリ値の名前を使用します (プレフィックスの一致には を使用します)。

  • value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。

  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - 日数と時間数) として解析されます。 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。

  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime \@now を使用します。

-delreg

レジストリ値を削除します。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。

  • restore は、証明機関の復元レジストリ キーを使用します。

  • policy は、ポリシー モジュールのレジストリ キーを使用します。

  • exit は、最初の終了モジュールのレジストリ キーを使用します。

  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは を使用します)。

  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは を使用します)。

  • chain は、チェーン構成レジストリ キーを使用します。

  • policyservers は、ポリシー サーバー レジストリ キーを使用します。

  • progID は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。

  • registryvaluename は、レジストリ値の名前を使用します (プレフィックスの一致には を使用します)。

  • value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。

  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - 日数と時間数) として解析されます。 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。

  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime \@now を使用します。

-importKMS

キーのアーカイブのために、ユーザー キーと証明書をサーバー データベースにインポートします。

certutil [options] -importKMS userkeyandcertfile [certID]

各値の説明:

  • userkeyandcertfile は、アーカイブするユーザーの秘密キーと証明書を含むデータ ファイルです。 このファイルは、次のファイルにすることができます。

    • Exchange キー マネージメント サーバー (KMS) エクスポート ファイル。

    • PFX ファイル。

  • certID は、KMS エクスポート ファイルの暗号化解除証明書の一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。

  • -f は、証明機関によって発行されていない証明書をインポートします。

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

証明書ファイルをデータベースにインポートします。

certutil [options] -importcert certfile [existingrow]

各値の説明:

  • existingrow は、同じキーに対する保留中の要求の代わりに証明書をインポートします。

  • -f は、証明機関によって発行されていない証明書をインポートします。

[-f] [-config Machine\CAName]

解説

外部証明書をサポートするように証明機関を構成しなければならない場合もあります。 これを行うには、「import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN」と入力します。

-getkey

アーカイブされた秘密キー回復 BLOB を取得して、回復スクリプトを生成するか、アーカイブされたキーを回復します。

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

各値の説明:

  • script は、キーを取得および回復するスクリプトを生成します (複数の一致する回復候補が検出された場合、または、出力ファイルが指定されていない場合は、既定の動作)。

  • retrieve は、1 つまたは複数のキー回復 BLOB を取得します (一致する回復候補が 1 つだけ見つかった場合、および、出力ファイルが指定されている場合は、既定の動作)。 このオプションを使用すると、すべての拡張子が切り捨てられ、キー回復 BLOB ごとに証明書固有の文字列と .rec 拡張子が追加されます。 各ファイルには、1 つ以上のキー回復エージェント証明書に暗号化されたままの、証明書チェーンと関連する秘密キーが含まれています。

  • recover は、1 ステップ (キー回復エージェント証明書と秘密キーが必要) で秘密キーを取得して回復します。 このオプションを使用すると、拡張子が切り捨てられ、.p12 拡張子が追加されます。 各ファイルには、回復した証明書チェーンと、PFX ファイルとして格納された関連する秘密キーが含まれています。

  • searchtoken は、次を含む、回復するキーと証明書を選択します。

      1. [証明書の共通名]
      1. 証明書シリアル番号
      1. 証明書 SHA-1 ハッシュ (拇印)
      1. 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
      1. 要求者名 (ドメイン\ユーザー)
      1. UPN (user@domain)
  • recoverybloboutfile は、1 つ以上のキー回復エージェント証明書に暗号化されたままの、証明書チェーンと関連する秘密キーを含むファイルを出力します。

  • outputscriptfile は、プライベート キーを取得して回復するためのバッチ スクリプトを含むファイルを出力します。

  • outputfilebasename は、ファイルのベース名を出力します。

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

アーカイブされた秘密キーを回復します。

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

PFX ファイルをマージします。

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

各値の説明:

  • PFXinfilelist は、PFX 入力ファイルのコンマ区切りの一覧です。

  • PFXoutfile は、PFX 出力ファイルの名前です。

  • extendedproperties には、すべての拡張プロパティが含まれています。

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

解説

  • コマンドラインで指定するパスワードは、コンマ区切りのパスワード一覧にする必要があります。

  • 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。 パスワードが 1 つしか指定されていない場合、または、最後のパスワードが * の場合は、出力ファイルのパスワードを入力するように求められます。

-convertEPF

PFX ファイルを EPF ファイルに変換します。

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

各値の説明:

  • PFXinfilelist は、PFX 入力ファイルのコンマ区切りの一覧です。

  • PFXoutfile は、PFX 出力ファイルの名前です。

  • EPF は、EPF 出力ファイルの名前です。

  • cast は、CAST 64 暗号化を使用します。

  • cast- は、CAST 64 暗号化 (エクスポート) を使用します。

  • V3CAcertID は、V3 CA 証明書の一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。

  • salt は、EPF 出力ファイルの salt 文字列です。

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

解説

  • コマンドラインで指定するパスワードは、コンマ区切りのパスワード一覧にする必要があります。

  • 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。 パスワードが 1 つしか指定されていない場合、または、最後のパスワードが * の場合は、出力ファイルのパスワードを入力するように求められます。

-?

パラメーターの一覧を表示します。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

各値の説明:

  • -? パラメーターの完全な一覧を表示します

  • -<name_of_parameter> -? 指定されたパラメーターのヘルプ コンテンツを表示します。

  • -? -v は、パラメーターとオプションの完全な一覧を表示します。

オプション

このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。

オプション 説明
-nullsign データのハッシュを署名として使用します。
-f 上書きを強制します。
-enterprise ローカル コンピューターのエンタープライズ レジストリ証明書ストアを使用します。
-user HKEY_CURRENT_USER キーまたは証明書ストアを使用します。
-GroupPolicy グループ ポリシー証明書ストアを使用します。
-ut ユーザー テンプレートを表示します。
-mt マシン テンプレートを表示します。
-Unicode リダイレクトされた出力を Unicode で書き込みます。
-UnicodeText 出力ファイルを Unicode で書き込みます。
-gmt GMT を使用して時刻を表示します。
-seconds 秒とミリ秒を使用して時刻を表示します。
-silent 暗号コンテキストを取得するには、silent フラグを使用します。
-split 埋め込みの ASN.1 要素を分割して、ファイルに保存します。
-v より詳細 (冗長) な情報を提供します。
-privatekey パスワードと秘密キーのデータを表示します。
-pin PIN スマート カードの PIN。
-urlfetch AIA 証明書と CDP CRL を取得して検証します。
-config Machine\CAName 証明機関とコンピューター名の文字列。
-policyserver URLorID ポリシー サーバーの URL または ID。 選択 U/I では、-policyserver を使用します。 すべてのポリシー サーバーでは、-policyserver * を使用します。
-anonymous 匿名 SSL 資格情報を使用します。
-kerberos Kerberos SSL 資格情報を使用します。
-clientcertificate clientcertID X.509 証明書 SSL 資格情報を使用します。 選択 U/I では、-clientcertificate を使用します。
-username username SSL 資格情報に名前付きアカウントを使用します。 選択 U/I では、-username を使用します。
-cert certID 署名証明書。
-dc DCName 特定のドメイン コントローラーをターゲットにします。
-restrict restrictionlist コンマ区切りの制限の一覧。 各制限は、列名、関係演算子、および定数整数、文字列、または日付で構成されます。 並べ替え順序を示すために、1 つの列名の前にプラス記号またはマイナス記号を付けることができます。 たとえば、requestID = 47+requestername >= a, requestername-requestername > DOMAIN, Disposition = 21 などがあります。
-out columnlist コンマ区切りの列の一覧。
-p password Password
-protectto SAMnameandSIDlist コンマ区切りの SAM 名/SID の一覧。
-csp provider プロバイダー
-t timeout URL フェッチのタイムアウト (ミリ秒)。
-symkeyalg symmetrickeyalgorithm[,keylength] オプションのキー長を持つ対称キー アルゴリズムの名前。 例: AES,128 または 3DES

その他の参照情報

このコマンドの使用方法に関するその他の例については、次を参照してください。