Share via


certutil

注意事項

Certutil は、運用コードで使用することはお勧めしません。また、ライブ サイトのサポートやアプリケーションの互換性の保証も提供されません。 これは、開発者や IT 管理者がデバイス上の証明書コンテンツ情報を表示するために使用するツールです。

certutil.exe は、証明書サービスの一部としてインストールされるコマンドライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報の表示、証明書サービスの構成、および CA コンポーネントのバックアップと復元を行うことができます。 このプログラムにより、証明書、キー ペア、および証明書チェーンの検証を行うこともできます。

他のパラメーターを指定せずに certutil を証明機関で実行すると、現在の証明機関の構成が表示されます。 certutil が他のパラメーターなしで証明機関以外で実行された場合は、既定で certutil -dump コマンドを実行するように設定されます。 このドキュメントで説明するすべてのパラメーターとオプションが certutil のすべてのバージョンで提供されているわけではありません。 certutil -? または certutil <parameter> -? を実行することで、お使いの certutil のバージョンで提供されるすべてのオプションを確認できます。

ヒント

-? 引数から非表示になっている動詞やオプションなど、すべての certutil 動詞とオプションの完全なヘルプを表示するには、certutil -v -uSAGE を実行します。 uSAGE スイッチでは大文字と小文字が区別されます。

パラメーター

-dump

構成情報またはファイルをダンプします。

certutil [options] [-dump]
certutil [options] [-dump] File

"オプション:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 構造体をダンプします。

certutil [options] [-dumpPFX] File

"オプション:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

抽象構文記法 (ASN.1) 構文を使用してファイルの内容を解析して表示します。 ファイルの種類には、.CER、.DER、および PKCS #7 形式のファイルが含まれます。

certutil [options] -asn File [type]
  • [type]: 数値の CRYPT_STRING_* デコードの種類

-decodehex

16 進エンコード ファイルをデコードします。

certutil [options] -decodehex InFile OutFile [type]
  • [type]: 数値の CRYPT_STRING_* デコードの種類

"オプション:

[-f]

-encodehex

ファイルを 16 進数でエンコードします。

certutil [options] -encodehex InFile OutFile [type]
  • [type]: 数値の CRYPT_STRING_* エンコードの種類

"オプション:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 エンコード ファイルをデコードします。

certutil [options] -decode InFile OutFile

"オプション:

[-f]

-encode

ファイルを Base64 にエンコードします。

certutil [options] -encode InFile OutFile

"オプション:

[-f] [-unicodetext]

-deny

保留中の要求を拒否します。

certutil [options] -deny RequestId

"オプション:

[-config Machine\CAName]

-resubmit

保留中の要求を再送信します。

certutil [options] -resubmit RequestId

"オプション:

[-config Machine\CAName]

-setattributes

保留中の証明書要求の属性を設定します。

certutil [options] -setattributes RequestId AttributeString

ここで:

  • RequestId は、保留中の要求の数値要求 ID です。
  • AttributeString は、要求属性の名前と値のペアです。

"オプション:

[-config Machine\CAName]

解説

  • 名前と値はコロンで区切る必要がありますが、複数の名前と値のペアは改行で区切る必要があります。 たとえば、CertificateTemplate:User\nEMail:User@Domain.com では、それぞれの \n が改行区切り記号に変換されます。

-setextension

保留中の証明書要求の拡張機能を設定します。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

各値の説明:

  • requestID は、保留中の要求の数値要求 ID です。
  • ExtensionName は、拡張機能の ObjectId 文字列です。
  • Flags は、拡張機能の優先順位を設定します。 0 が推奨されていますが、1 は拡張機能を critical に設定し、2 は拡張機能を無効し、3 は両方を実行します。

"オプション:

[-config Machine\CAName]

解説

  • 最後のパラメーターが数値の場合は、Long として取得されます。
  • 最後のパラメーターが日付として解析できる場合は、Date として取得されます。
  • 最後のパラメーターが \@ で始まる場合は、トークンの残りの部分がバイナリ データまたは ASCII テキスト 16 進数ダンプを含むファイル名として取得されます。
  • 最後のパラメーターが上記以外の場合は、String として取得されます。

-revoke

証明書を失効させます。

certutil [options] -revoke SerialNumber [Reason]

ここで:

  • SerialNumber は、失効させる証明書のシリアル番号のコンマ区切りの一覧です。
  • Reason は、失効理由の数値表現または記号表現で、次のようになります:
    • 0. CRL_REASON_UNSPECIFIED - 理由不明 (既定)
    • 1. CRL_REASON_KEY_COMPROMISE - キーの侵害
    • 2. CRL_REASON_CA_COMPROMISE -証明機関の侵害
    • 3. CRL_REASON_AFFILIATION_CHANGED - 所属の変更
    • 4. CRL_REASON_SUPERSEDED - 置き換え済み
    • 5. CRL_REASON_CESSATION_OF_OPERATION - 利用中止
    • 6. CRL_REASON_CERTIFICATE_HOLD - 証明書保留
    • 8.CRL_REASON_REMOVE_FROM_CRL - CRL から削除
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 特権の取り消し
    • 10: CRL_REASON_AA_COMPROMISE - AA 侵害
    • -1. Unrevoke - 失効の取り消し

"オプション:

[-config Machine\CAName]

-isvalid

現在の証明書の処分を表示します。

certutil [options] -isvalid SerialNumber | CertHash

"オプション:

[-config Machine\CAName]

-getconfig

既定の構成文字列を取得します。

certutil [options] -getconfig

"オプション:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig を使用して既定の構成文字列を取得します。

certutil [options] -getconfig2

"オプション:

[-idispatch] 

-getconfig3

ICertConfig を使用して構成を取得します。

certutil [options] -getconfig3

"オプション:

[-idispatch] 

-ping

Active Directory 証明書サービスの要求インターフェイスへの接続を試みます。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

ここで:

  • CAMachinelist は、CA マシン名のコンマ区切りの一覧です。 1 台のマシンの場合は、最後にコンマを指定します。 このオプションは、各 CA マシンのサイト コストも表示します。

"オプション:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 証明書サービスの管理者インターフェイスへの接続を試みます。

certutil [options] -pingadmin

"オプション:

[-config Machine\CAName]

-CAInfo

証明機関に関する情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

ここで:

  • InfoName は、次の infoname 引数構文に基づいて、表示する CA プロパティを示します。
    • * - すべてのプロパティを表示
    • ads - Advanced Server
    • aia [インデックス] - AIA URL
    • cdp [インデックス] - CDP URL
    • 証明書 [インデックス] - CA 証明書
    • certchain [インデックス] - CA 証明書チェーン
    • certcount - CA 証明書の数
    • certcrlchain [インデックス] - CRL を含む CA 証明書チェーン
    • certstate [インデックス] - CA 証明書
    • certstatuscode [インデックス] - CA 証明書の検証状態
    • certversion [インデックス] - CA 証明書のバージョン
    • CRL [インデックス] - ベース CRL
    • crlstate [インデックス] - CRL
    • crlstatus [インデックス] - CRL 発行の状態
    • cross- [インデックス] - 下位クロス証明書
    • cross+ [インデックス] - クロス証明書の転送
    • crossstate- [インデックス] - 下位クロス証明書
    • crossstate+ [インデックス] - クロス証明書の転送
    • deltacrl [インデックス] - Delta CRL
    • deltacrlstatus [インデックス] - Delta CRL 発行状態
    • dns - DNS の名前
    • dsname - 校正された CA の短い名前 (DS の名前)
    • error1 ErrorCode - エラー メッセージ テキスト
    • error2 ErrorCode - エラー メッセージ テキストとエラー コード
    • exit [インデックス] - Exit モジュールの説明
    • exitcount - Exit モジュールの数
    • file - ファイル バージョン
    • info - CA 情報
    • kra [インデックス] - KRA 証明書
    • kracount - KRA 証明書の数
    • krastate [インデックス] - KRA 証明書
    • kraused - KRA 証明書の使用数
    • localename - CA ロケール名
    • name - CA の名前
    • ocsp [インデックス] - OCSP URL
    • parent - 親 CA
    • policy - Policy モジュールの説明
    • product - 製品バージョン
    • propidmax - 最大 CA PropId
    • role - 役割の分離
    • sanitizedname - 校正された CA の名前
    • sharedfolder - 共有フォルダー
    • subjecttemplateoids - サブジェクト テンプレート OID
    • templates - テンプレート
    • type - CA の種類
    • xchg [インデックス] - CA Exchange 証明書
    • xchgchain [Index] - CA Exchange 証明書チェーン
    • xchgcount - CA Exchange 証明書の数
    • xchgcrlchain [インデックス] - CRL を含む CA Exchange 証明書チェーン
  • index は、オプションの 0 から始まるプロパティ インデックスです。
  • errorcode は、数値エラー コードです。

"オプション:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA プロパティの種類の情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

"オプション:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

証明機関の証明書を取得します。

certutil [options] -ca.cert OutCACertFile [Index]

ここで:

  • OutCACertFile は、出力ファイルです。
  • Index は、CA 証明書の更新インデックスです (既定で最新に設定されます)。

"オプション:

[-f] [-split] [-config Machine\CAName]

-ca.chain

証明機関の証明書チェーンを取得します。

certutil [options] -ca.chain OutCACertChainFile [Index]

ここで:

  • OutCACertChainFile は、出力ファイルです。
  • Index は、CA 証明書の更新インデックスです (既定で最新に設定されます)。

"オプション:

[-f] [-split] [-config Machine\CAName]

-GetCRL

証明書失効リスト (CRL) を取得します。

certutil [options] -GetCRL OutFile [Index] [delta]

各値の説明:

  • Index は、CRL インデックスまたはキー インデックスです (既定で最新のキーの CRL に設定されます)。
  • delta は、Delta CRL です (既定は base CRL です)。

"オプション:

[-f] [-split] [-config Machine\CAName]

-CRL

新しい証明書失効リスト (CRL) または Delta CRL を発行します。

certutil [options] -CRL [dd:hh | republish] [delta]

ここで:

  • dd: hh は、新しい CRL の有効期間 (日数と時間数) です。
  • republish は、最新の CRL を再発行します。
  • delta は、Delta CRL のみを発行します (既定は Base CRL と Delta CRL です)。

"オプション:

[-split] [-config Machine\CAName]

-shutdown

Active Directory 証明書サービスをシャットダウンします。

certutil [options] -shutdown

"オプション:

[-config Machine\CAName]

-installCert

証明機関証明書をインストールします。

certutil [options] -installCert [CACertFile]

"オプション:

[-f] [-silent] [-config Machine\CAName]

-renewCert

証明機関証明書を更新します。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

"オプション:

[-f] [-silent] [-config Machine\CAName]
  • 未処理の更新要求を無視し、新しい要求を生成するには、-f を使用します。

-schema

証明書のスキーマをダンプします。

certutil [options] -schema [Ext | Attrib | CRL]

各値の説明:

  • コマンドが、既定で要求テーブルと証明書テーブルに設定されます。
  • Ext は、拡張テーブルです。
  • Attribute は、属性テーブルです。
  • CRL は、CRL テーブルです。

"オプション:

[-split] [-config Machine\CAName]

-view

証明書ビューをダンプします。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

各値の説明:

  • Queue は、特定の要求キューをダンプします。
  • Log は、発行または失効した証明書に加えて、失敗した要求をダンプします。
  • LogFail は、失敗した要求をダンプします。
  • Revoked は、失効した証明書をダンプします。
  • Ext は、拡張テーブルをダンプします。
  • Attrib は、属性テーブルをダンプします。
  • CRL は、CRL テーブルをダンプします。
  • csv は、コンマ区切り値を出力します。

"オプション:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

解説

  • すべてのエントリの StatusCode 列を表示するには、「-out StatusCode」と入力します。
  • 最後のエントリのすべての列を表示するには、「-restrict RequestId==$」と入力します。
  • 3 つの要求の RequestIdDisposition を表示するには、「-restrict requestID>=37,requestID<40 -out requestID,disposition」と入力します。
  • すべての Base CRL の行 ID行 IDCRL 番号 を表示するには、「-restrict crlminbase=0 -out crlrowID,crlnumber crl」と入力します。
  • 基本 CRL 番号 3 を表示するには、「-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl」 と入力します。
  • CRL テーブル全体を表示するには、「CRL」と入力します。
  • 日付の制限には Date[+|-dd:hh] を使用します。
  • 現在時刻を基準にした日付には now+dd:hh を使用します。
  • テンプレートには拡張キー使用法 (EKU) が含まれています。これは、証明書の使用方法を記述するオブジェクト識別子 (OID) です。 証明書にはテンプレート共通名や表示名が常に含まれているわけではありませんが、テンプレート EKU は常に含まれます。 Active Directory から特定の証明書テンプレートの EKU を抽出し、その拡張機能に基づいてビューを制限できます。

-db

未処理データベースをダンプします。

certutil [options] -db

"オプション:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

サーバー データベースから行を削除します。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

各値の説明:

  • Request は、送信日に基づいて、失敗した要求と保留中の要求を削除します。
  • Cert は、有効期限に基づいて、期限切れの証明書と失効した証明書を削除します。
  • Ext は、拡張テーブルを削除します。
  • Attrib は、属性テーブルを削除します。
  • CRL は、CRL テーブルを削除します。

"オプション:

[-f] [-config Machine\CAName]

  • 2001 年 1 月 22 日に送信された失敗した要求と保留中の要求を削除するには、「1/22/2001 request」と入力します。
  • 2001 年 1 月 22 日に期限切れになったすべての証明書を削除するには、「1/22/2001 cert」と入力します。
  • RequestID 37 の証明書の行、属性、および拡張機能を削除するには、「37」と入力します。
  • 2001 年 1 月 22 日に期限切れになった CRL を削除するには、「1/22/2001 crl」と入力します。

Note

Date には、dd/mm/yyyy 形式ではなく、mm/dd/yyyy 形式が想定されます。例えば 2001 年 1 月 22 日は、22/1/2001 ではなく、1/22/2001 です。 サーバーが米国の地域設定で構成されていない場合、Date 引数を使用すると予期しない結果が発生する可能性があります。

-backup

Active Directory 証明書サービスをバックアップします。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

各値の説明:

  • BackupDirectory は、バックアップされたデータを格納するディレクトリです。
  • Incremental は、増分バックアップのみを実行します (既定は完全バックアップです)。
  • KeepLog は、データベース ログ ファイルを保持します (既定はログ ファイルの切り捨てです)。

"オプション:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 証明書サービスのデータベースをバックアップします。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

各値の説明:

  • BackupDirectory は、バックアップされたデータベース ファイルを格納するディレクトリです。
  • Incremental は、増分バックアップのみを実行します (既定は完全バックアップです)。
  • KeepLog は、データベース ログ ファイルを保持します (既定はログ ファイルの切り捨てです)。

"オプション:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 証明書サービスの証明書と秘密キーをバックアップします。

certutil [options] -backupkey BackupDirectory

各値の説明:

  • BackupDirectory は、バックアップされた PFX ファイルを格納するディレクトリです。

"オプション:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 証明書サービスを復元します。

certutil [options] -restore BackupDirectory

各値の説明:

  • BackupDirectory は、復元するデータが格納されているディレクトリです。

"オプション:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 証明書サービスのデータベースを復元します。

certutil [options] -restoredb BackupDirectory

各値の説明:

  • BackupDirectory は、復元するデータベース ファイルが格納されているディレクトリです。

"オプション:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 証明書サービスの証明書と秘密キーを復元します。

certutil [options] -restorekey BackupDirectory | PFXFile

各値の説明:

  • BackupDirectory は、復元する PFX ファイルが格納されているディレクトリです。
  • PFXFile は、復元する PFX ファイルです。

"オプション:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

証明書と秘密キーをエクスポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

ここで:

  • CertificateStoreName は、証明書ストアの名前です。
  • CertId は、証明書または CRL の一致トークンです。
  • PFXFile は、エクスポートする PFX ファイルです。
  • Modifiers は、次の 1 つ以上を含めることができるコンマ区切りの一覧です。
    • CryptoAlgorithm= は、PFX ファイルの暗号化に使用する暗号化アルゴリズムを指定します。例えば TripleDES-Sha1Aes256-Sha256 です。
    • EncryptCert - 証明書に関連付けられている秘密キーをパスワードで暗号化します。
    • ExportParameters -証明書と秘密キーに加えて秘密キー パラメーターをエクスポートします。
    • ExtendedProperties - 証明書に関連付けられているすべての拡張プロパティを出力ファイルに含めます。
    • NoEncryptCert - 秘密キーを暗号化せずにエクスポートします。
    • NoChain - 証明書チェーンをインポートしません。
    • NoRoot - ルート証明書をインポートしません。

-importPFX

証明書と秘密キーをインポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

ここで:

  • CertificateStoreName は、証明書ストアの名前です。
  • PFXFile は、インポートする PFX ファイルです。
  • Modifiers は、次の 1 つ以上を含めることができるコンマ区切りの一覧です。
    • AT_KEYEXCHANGE - keyspec をキー交換に変更します。
    • AT_SIGNATURE - keyspec を署名に変更します。
    • ExportEncrypted - 証明書に関連付けられている秘密キーをパスワード暗号化を使用してエクスポートします。
    • FriendlyName= - インポートされた証明書のフレンドリ名を指定します。
    • KeyDescription= - インポートされた証明書に関連付けられている秘密キーの説明を指定します。
    • KeyFriendlyName= - インポートされた証明書に関連付けられている秘密キーのフレンドリ名を指定します。
    • NoCert - 証明書をインポートしません
    • NoChain - 証明書チェーンをインポートしません。
    • NoExport - 秘密キーをエクスポート不可にします。
    • NoProtect - パスワードを使用してキーを保護しません。
    • NoRoot - ルート証明書をインポートしません。
    • Pkcs8 - PFX ファイルの秘密キーに PKCS8 形式を使用します。
    • Protect - パスワードを使用してキーを保護します。
    • ProtectHigh - セキュリティの高いパスワードを秘密キーに関連付ける必要があることを指定します。
    • VSM - インポートされた証明書に関連付けられている秘密キーを仮想スマート カード (VSC) コンテナーに格納します。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

解説

  • 既定でパーソナル マシン ストアに設定されます。

-dynamicfilelist

動的ファイル リストを表示します。

certutil [options] -dynamicfilelist

"オプション:

[-config Machine\CAName]

-databaselocations

データベースの場所を表示します。

certutil [options] -databaselocations

"オプション:

[-config Machine\CAName]

-hashfile

ファイル経由で暗号化ハッシュを生成して表示します。

certutil [options] -hashfile InFile [HashAlgorithm]

-store

証明書ストアをダンプします。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

各値の説明:

  • CertificateStoreName は、証明書ストアの名前です。 次に例を示します。

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 この ID は次のようになります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または拡張 ObjectId
    • 証明書サブジェクト共通名
    • [電子メール アドレス]
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。

これらの識別子の多くは、複数の一致が発生する可能性があります。

  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。
  • -service オプションは、マシンのサービス ストアにアクセスします。
  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Note

-store オプションを使用すると、次の 2 つの側面からパフォーマンスの問題が発生します。

  1. ストア内の証明書の数が 10 を超える場合。
  2. CertId を指定すると、リストされているすべての型を証明書ごとに照合するために使用されます。 シリアル番号が指定されている場合は、リストされている他のすべての型との照合も試みます。

パフォーマンスの問題が懸念される場合は、指定した証明書の種類のみを照合する PowerShell コマンドをお勧めします。

-enumstore

証明書ストアを列挙します。

certutil [options] -enumstore [\\MachineName]

ここで:

  • MachineName はリモート コンピューター名です。

"オプション:

[-enterprise] [-user] [-grouppolicy]

-addstore

ストアに証明書を追加します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -addstore CertificateStoreName InFile

ここで:

  • CertificateStoreName は、証明書ストアの名前です。
  • InFile は、ストアに追加する証明書または CRL ファイルです。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

ストアから証明書を削除します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -delstore CertificateStoreName certID

ここで:

  • CertificateStoreName は、証明書ストアの名前です。
  • CertId は、証明書または CRL の一致トークンです。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

ストア内の証明書を検証します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -verifystore CertificateStoreName [CertId]

ここで:

  • CertificateStoreName は、証明書ストアの名前です。
  • CertId は、証明書または CRL の一致トークンです。

"オプション:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

キーの関連付けの修復、または証明書プロパティやキーのセキュリティ記述子の更新を行います。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

ここで:

  • CertificateStoreName は、証明書ストアの名前です。

  • CertIdList は、証明書または CRL 一致トークンのコンマ区切りの一覧です。 詳細については、この記事の -store CertId の説明を参照してください。

  • PropertyInfFile は、次のような外部プロパティを含む INF ファイルです。

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

証明書ストアをダンプします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

ここで:

  • CertificateStoreName は、証明書ストアの名前です。 次に例を示します。

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 次の場合があります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または拡張 ObjectId
    • 証明書サブジェクト共通名
    • [電子メール アドレス]
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。

これらの多くで、複数の一致が発生する可能性があります。

  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。
  • -service オプションは、マシンのサービス ストアにアクセスします。
  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

ストアから証明書を削除します。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

各値の説明:

  • CertificateStoreName は、証明書ストアの名前です。 次に例を示します。

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 次の場合があります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または拡張 ObjectId
    • 証明書サブジェクト共通名
    • [電子メール アドレス]
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。 これらの多くで、複数の一致が発生する可能性があります。
  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、マシンのエンタープライズ ストアにアクセスします。
  • -service オプションは、マシンのサービス ストアにアクセスします。
  • -grouppolicy オプションは、マシンのグループ ポリシー ストアにアクセスします。

次に例を示します。

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

certutil インターフェイスを呼び出します。

certutil [options] -UI File [import]

-TPMInfo

トラステッド プラットフォーム モジュール情報を表示します。

certutil [options] -TPMInfo

"オプション:

[-f] [-Silent] [-split]

-attest

証明書要求ファイルを構成証明する必要があることを指定します。

certutil [options] -attest RequestFile

"オプション:

[-user] [-Silent] [-split]

-getcert

選択 UI から証明書を選択します。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

"オプション:

[-Silent] [-split]

-ds

ディレクトリ サービス (DS) 識別名 (DN) を表示します。

certutil [options] -ds [CommonName]

"オプション:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN を削除します。

certutil [options] -dsDel [CommonName]

"オプション:

[-user] [-split] [-dc DCName]

-dsPublish

証明書または証明書失効リスト (CRL) を Active Directory に発行します。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

各値の説明:

  • CertFile は、発行する証明書ファイルの名前です。
  • NTAuthCA は、DS エンタープライズ ストアに証明書を発行します。
  • RootCA は、DS に信頼されたルート ストアに証明書を発行します。
  • SubCA は、CA 証明書を DS CA オブジェクトに発行します。
  • CrossCA は、クロス証明書を DS CA オブジェクトに発行します。
  • KRA は、証明書を DS キー回復エージェント オブジェクトに発行します。
  • User は、証明書をユーザー DS オブジェクトに発行します。
  • Machine は、証明書をマシン DS オブジェクトに発行します。
  • CRLfile は、発行する CRL ファイルの名前です。
  • DSCDPContainer は、DS CDP コンテナー CN (通常は CA マシン名) です。
  • DSCDPCN は、通常、校正された CA の短い名前とキー インデックスに基づく DS CDP オブジェクト CN です。

"オプション:

[-f] [-user] [-dc DCName]
  • 新しい DS オブジェクトを作成するには -f を使用します。

-dsCert

DS 証明書を表示します。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

"オプション:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL を表示します。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

"オプション:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS デルタ CRL を表示します。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

"オプション:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS テンプレート属性を表示します。

certutil [options] -dsTemplate [Template]

"オプション:

[Silent] [-dc DCName]

-dsAddTemplate

DS テンプレートを追加します。

certutil [options] -dsAddTemplate TemplateInfFile

"オプション:

[-dc DCName]

-ADTemplate

Active Directory テンプレートを表示します。

certutil [options] -ADTemplate [Template]

"オプション:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

証明書登録ポリシー テンプレートを表示します。

"オプション:

certutil [options] -Template [Template]

"オプション:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

証明書テンプレートの証明機関 (CA) を表示します。

certutil [options] -TemplateCAs Template

"オプション:

[-f] [-user] [-dc DCName]

-CATemplates

証明機関のテンプレートを表示します。

certutil [options] -CATemplates [Template]

"オプション:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

証明機関が発行できる証明書テンプレートを設定します。

certutil [options] -SetCATemplates [+ | -] TemplateList

ここで:

  • + 署名により、CA の使用可能なテンプレート リストに証明書テンプレートが追加されます。
  • - 署名により、CA の使用可能なテンプレート一覧から証明書テンプレートが削除されます。

-SetCASites

証明機関のサイト名の設定、検証、および削除を含め、サイト名を管理します。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

ここで:

  • SiteName は、単一の証明機関を対象とする場合にのみ許可されます。

"オプション:

[-f] [-config Machine\CAName] [-dc DCName]

解説

  • -config オプションは、単一の証明機関を対象とします (既定はすべての CA です)。
  • -f オプションを使用すると、指定した SiteName の検証エラーをオーバーライドしたり、すべての CA サイト名を削除したりできます。

Note

Active Directory Domain Services (AD DS) サイト認識用の CA の構成の詳細については、「AD DS Site Awareness for AD CS および PKI クライアント」を参照してください。

-enrollmentServerURL

CA に関連付けられた登録サーバーの URL を表示、追加、または削除します。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

ここで:

  • AuthenticationType は、URL を追加しながら、次のいずれかのクライアント認証方法を指定します。
    • Kerberos - Kerberos SSL 資格情報を使用します。
    • UserName - SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate - X.509 証明書 SSL 資格情報を使用します。
    • Anonymous - 匿名 SSL 資格情報を使用します。
  • delete は、指定された、CA に関連付けられた URL を削除します。
  • Priority は、URL を追加するときに指定されなかった場合に、既定で 1 に設定されます。
  • Modifiers は、次の 1 つ以上が含まれるコンマ区切りの一覧です。
    • AllowRenewalsOnly - この URL を介してこの CA に送信できるのは、更新要求のみです。
    • AllowKeyBasedRenewal - AD 内に関連付けられたアカウントが存在しない証明書の使用を許可します。 これは、ClientCertificate モードと AllowRenewalsOnly モードでのみ適用されます

"オプション:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory の証明機関を表示します。

certutil [options] -ADCA [CAName]

"オプション:

[-f] [-split] [-dc DCName]

-CA

登録ポリシーの証明機関を表示します。

certutil [options] -CA [CAName | TemplateName]

"オプション:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

登録ポリシーを表示します。

certutil [options] -Policy

"オプション:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

登録ポリシーのキャッシュ エントリを表示または削除します。

certutil [options] -PolicyCache [delete]

各値の説明:

  • delete は、ポリシー サーバーのキャッシュ エントリを削除します。
  • -f は、すべてのキャッシュ エントリを削除します

"オプション:

[-f] [-user] [-policyserver URLorID]

-CredStore

資格情報ストアのエントリを表示、追加、または削除します。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

各値の説明:

  • URL は、ターゲット URL です。 すべてのエントリを照合するには * を使用し、URL プレフィックスを照合するには https://machine* を使用することもできます。
  • add は、資格情報ストアのエントリを追加します。 このオプションを使用するには、SSL 資格情報を使用する必要もあります。
  • delete は、資格情報ストアのエントリを削除します。
  • -f は、1 つのエントリを上書きするか、複数のエントリを削除します。

"オプション:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

既定の証明書テンプレートをインストールします。

certutil [options] -InstallDefaultTemplates

"オプション:

[-dc DCName]

-URL

証明書または CRL URL を検証します。

certutil [options] -URL InFile | URL

"オプション:

[-f] [-split]

-URLCache

URL キャッシュ エントリを表示または削除します。

certutil [options] -URLcache [URL | CRL | * [delete]]

各値の説明:

  • URL は、キャッシュされた URL です。
  • CRL は、キャッシュされた CRL URL のみで動作します。
  • * は、キャッシュされたすべての URL で動作します。
  • delete は、現在のユーザーのローカル キャッシュから関連する URL を削除します。
  • -f は、特定の URL のフェッチとキャッシュの更新を強制します。

"オプション:

[-f] [-split]

-pulse

自動登録イベントまたは NGC タスクをパルスします。

certutil [options] -pulse [TaskName [SRKThumbprint]]

ここで:

  • TaskName はトリガーするタスクです。
    • Pregen は NGC Key pregen タスクです。
    • AIKEnroll は、NGC AIK 証明書登録タスクです。 (既定では自動登録イベントです)。
  • SRKThumbprint は、ストレージ ルート キーの拇印です
  • Modifiers:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

"オプション:

[-user]

-MachineInfo

Active Directory マシン オブジェクトに関する情報を表示します。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
  • Modifiers:

    • 確認
    • DeleteBad
    • DeleteAll

"オプション:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

ヒント

Active Directory Domain Services (AD DS) ドメイン [Domain] を指定し、ドメイン コントローラー (-dc) を指定する機能が Windows Server 2012 に追加されました。 コマンドを正常に実行するには、Domain Admins または Enterprise Admins のメンバーであるアカウントを使用する必要があります。 このコマンドの動作変更は次のとおりです。

  • ドメインが指定されておらず、特定のドメイン コントローラーが指定されていない場合、このオプションは、既定のドメイン コントローラーから処理するドメイン コントローラーの一覧を返します。
  • ドメインは指定されていないが、ドメイン コントローラーは指定されている場合は、指定されたドメイン コントローラー上の証明書のレポートが生成されます。
  • ドメインは指定されているが、ドメイン コントローラーは指定されていない場合は、ドメイン コントローラーの一覧が、一覧内の各ドメイン コントローラーの証明書に関するレポートと共に生成されます。
  • ドメインとドメイン コントローラーが指定されている場合は、対象のドメイン コントローラーからドメイン コントローラーの一覧が生成されます。 一覧内の各ドメイン コントローラーの証明書のレポートも生成されます。

たとえば、CPANDL という名前のドメインに CPANDL-DC1 という名前のドメイン コントローラーがあるとします。 CPANDL-DC1 からドメイン コントローラーとその証明書の一覧を取得するには、「certutil -dc cpandl-dc1 -DCInfo cpandl」というコマンドを実行します。

-EntInfo

エンタープライズ証明機関に関する情報を表示します。

certutil [options] -EntInfo DomainName\MachineName$

"オプション:

[-f] [-user]

-TCAinfo

証明機関に関する情報を表示します。

certutil [options] -TCAInfo [DomainDN | -]

"オプション:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

スマート カードに関する情報を表示します。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

各値の説明:

  • CRYPT_DELETEKEYSET は、スマート カード上のすべてのキーを削除します。

"オプション:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCroots

スマート カード ルート証明書を管理します。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

"オプション:

[-f] [-split] [-p Password]

-key

キー コンテナーに格納されているキーを一覧表示します。

certutil [options] -key [KeyContainerName | -]

ここで:

  • KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションは、既定でマシン キーに設定されます。 ユーザー キーに切り替えるには、-user を使用します。
  • - 記号の使用は、既定のキー コンテナーの使用を指します。

"オプション:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

名前付きキー コンテナーを削除します。

certutil [options] -delkey KeyContainerName

"オプション:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello コンテナーを削除し、WebAuthn 資格情報と FIDO 資格情報を含め、デバイスに格納されているすべての関連付けられている資格情報を削除します。

このオプションを使用して完了するには、ユーザーがサインアウトする必要があります。

certutil [options] -DeleteHelloContainer

-verifykeys

公開キー セットまたは秘密キー セットを検証します。

certutil [options] -verifykeys [KeyContainerName CACertFile]

各値の説明:

  • KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションは、既定でマシン キーに設定されます。 ユーザー キーに切り替えるには、-user を使用します。
  • CACertFile は、証明書ファイルに署名または証明書ファイルを暗号化します。

"オプション:

[-f] [-user] [-Silent] [-config Machine\CAName]

解説

  • 引数が指定されていない場合は、各署名 CA 証明書がその秘密キーに対して検証されます。
  • この操作は、ローカル CA またはローカル キーに対してのみ実行できます。

-verify

証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

各値の説明:

  • CertFile は、検証する証明書の名前です。
  • ApplicationPolicyList は、必要なアプリケーション ポリシー ObjectId のオプションのコンマ区切りの一覧です。
  • IssuancePolicyList は、必要な発行ポリシー ObjectId のオプションのコンマ区切りの一覧です。
  • CACertFile は、検証するオプションの発行元 CA 証明書です。
  • CrossedCACertFile は、CertFile によって相互証明されるオプションの証明書です。
  • CRLFile は、CACertFile を検証するために使用される CRL ファイルです。
  • IssuedCertFile は、CRLfile の対象となるオプションの発行済み証明書です。
  • DeltaCRLFile は、オプションの Delta CRL ファイルです。
  • Modifiers:
    • Strong - 強力な署名の検証
    • MSRoot - Microsoft ルートにチェーンする必要があります
    • MSTestRoot - Microsoft テスト ルートにチェーンする必要があります
    • AppRoot - Microsoft アプリケーション ルートにチェーンする必要があります
    • EV - 拡張検証ポリシーの適用

"オプション:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

解説

  • ApplicationPolicyList を使用すると、チェーン構築が指定されたアプリケーション ポリシーに対して有効なチェーンにのみ制限されます。
  • IssuancePolicyList を使用すると、チェーン構築が指定された発行ポリシーに対して有効なチェーンにのみ制限されます。
  • CACertFile を使用すると、ファイル内のフィールドが CertFile または CRLfile に対して検証されます。
  • CACertFile が指定されなかった場合は、完全なチェーンが構築され、CertFile に対して検証されます。
  • CACertFileCrossedCACertFile の両方が指定されている場合は、両方のファイル内のフィールドが CertFile に対して検証されます。
  • IssuedCertFile を使用すると、ファイル内のフィールドが CRLfile に対して検証されます。
  • DeltaCRLFile を使用すると、ファイル内のフィールドが CertFile に対して検証されます。

-verifyCTL

AuthRoot または許可されていない証明書 CTL を検証します。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

各値の説明:

  • CTLObject は、次を含む検証する CTL を識別します。

    • AuthRootWU - URL キャッシュから AuthRoot CAB と、一致する証明書を読み取ります。 Windows Update からダウンロードするには、代わりに、-f を使用します。
    • DisallowedWU - 許可されていない証明書 CAB と許可されていない証明書ストア ファイルを URL キャッシュから読み取ります。 Windows Update からダウンロードするには、代わりに、-f を使用します。
      • PinRulesWU は、URL キャッシュから PinRules CAB を読み取ります。 Windows Update からダウンロードするには、代わりに、-f を使用します。
    • AuthRoot - レジストリにキャッシュされた AuthRoot CTL を読み取ります。 レジストリにキャッシュされた AuthRoot と許可されていない証明書の CTL の更新を強制するには、-f と信頼されていない CertFile を使用します。
    • Disallowed - レジストリにキャッシュされた許可されていない証明書 CTL を読み取ります。 レジストリにキャッシュされた AuthRoot と許可されていない証明書の CTL の更新を強制するには、-f と信頼されていない CertFile を使用します。
      • PinRules は、レジストリ キャッシュされた PinRules CTL を読み取ります。 -f の動作は、PinRulesWU と同じです。
    • CTLFileName は、CTL または CAB ファイルへのファイル パスまたは HTTP パスを指定します。
  • CertDir は、CTL エントリと一致する証明書を格納されているフォルダーを指定します。 既定で、CTLobject と同じフォルダーまたは Web サイトに設定されます。 HTTP フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 AuthRoot または Disallowed を指定しなかった場合は、ローカル証明書ストア、crypt32.dll リソース、ローカル URL キャッシュなど、一致する証明書が複数の場所で検索されます。 必要に応じて、Windows Update からダウンロードするには、-f を使用します。

  • CertFile は、検証する証明書を指定します。 証明書は、結果が表示されている CTL エントリに対して照合されます。 このオプションは、既定の出力の大部分を抑制します。

"オプション:

[-f] [-user] [-split]

-syncWithWU

証明書を Windows Update と同期します。

certutil [options] -syncWithWU DestinationDir

ここで:

  • DestinationDir は指定されたディレクトリです。
  • f は上書きを強制します。
  • Unicode はリダイレクトされた出力を Unicode で書き込みます。
  • gmt は時刻を GMT として表示します。
  • seconds は秒とミリ秒を含めて時刻を表示します。
  • v は詳細な操作です。
  • PIN はスマート カード PIN です。
  • WELL_KNOWN_SID_TYPE 数値 SID です
    • 22 - ローカル システム
    • 23 - ローカル サービス
    • 24 - ネットワーク サービス

解説

自動更新の機構を使用して次のファイルがダウンロードされます:

  • authrootstl.cab には Microsoft 以外のルート証明書の CTL が含まれます。
  • disallowedcertstl.cab には信頼されていない証明書の CTL が含まれます。
  • disallowedcert.sst には信頼されていない証明書を含む、シリアル化された証明書ストアが含まれます。
  • thumbprint.crt にはMicrosoft 以外のルート証明書が含まれます。

たとえば、「 certutil -syncWithWU \\server1\PKI\CTLs 」のように入力します。

  • 保存先のフォルダーとして存在しないローカル パスまたはフォルダーを指定すると、次のエラーが表示されます: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 保存先のフォルダーとして存在しない、または利用できないネットワークの場所を指定すると、次のエラーが表示されます: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • サーバーが TCP ポート 80 で Microsoft 自動更新サーバーに接続できない場合、次のエラーが表示されます: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • サーバーが DNS 名 ctldl.windowsupdate.com を持つ Microsoft 自動更新サーバーに到達できない場合、次のエラーが表示されます: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • -f スイッチを使用せず、CTL ファイルのいずれかがディレクトリに存在する場合、ファイルが存在するというエラーが表示されます: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • 信頼されたルート証明書に変更がある場合は、次のように表示されます: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

"オプション:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update と同期されるストア ファイルを生成します。

certutil [options] -generateSSTFromWU SSTFile

ここで:

  • SSTFile は、 Windows Update からダウンロードしたサード パーティルートを含む、生成される .sst ファイルです。

"オプション:

[-f] [-split]

-generatePinRulesCTL

ピン留め規則の一覧を含む証明書信頼リスト (CTL) ファイルを生成します。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

ここで:

  • XMLFile は、解析する入力 XML ファイルです。
  • CTLFile は、生成される出力 CTL ファイルです。
  • SSTFile は、ピン留めするために使用されるすべての証明書を含む、作成するオプションの .sst ファイルです。
  • QueryFilesPrefix は、データベース クエリ用に作成されるオプションの Domains.csv ファイルと Keys.csv ファイルです。
    • QueryFilesPrefix 文字列は、作成された各ファイルの先頭に付加されます。
    • Domains.csv ファイルには、ルール名、ドメイン行が含まれています。
    • Keys.csv ファイルには、ルール名、キー SHA256 拇印行が含まれています。

"オプション:

[-f]

-downloadOcsp

OCSP 応答をダウンロードし、ディレクトリに書き込みます。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

ここで:

  • CertificateDir は、証明書、ストア、および PFX ファイルのディレクトリです。
  • OcspDir は、OCSP 応答を書き込むディレクトリです。
  • ThreadCount は、同時ダウンロードのスレッドの最大数 (省略可能) です。 既定値は 10 です。
  • Modifiers は、次の 1 つ以上のコンマ区切りリストです。
    • DownloadOnce - 1 回ダウンロードして終了します。
    • ReadOcsp - 書き込む代わりに OcspDir から読み取ります。

-generateHpkpHeader

指定したファイルまたはディレクトリ内の証明書を使用して HPKP ヘッダーを生成します。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

ここで:

  • CertFileOrDir は、pin-sha256 のソースである証明書のファイルまたはディレクトリです。
  • MaxAge は、最長有効期間の値 (秒単位) です。
  • ReportUri は省略可能な report-uri です。
  • Modifiers は、次の 1 つ以上のコンマ区切りリストです。
    • includeSubDomains - includeSubDomains を追加します。

-flushCache

選択したプロセス (lsass.exe など) で指定されたキャッシュをフラッシュします。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

ここで:

  • ProcessId は、フラッシュするプロセスの数値 ID です。 フラッシュが有効になっているすべてのプロセスをフラッシュするには、0 に設定します。

  • CacheMask は、数値または次のビットのいずれかをフラッシュするキャッシュのビット マスクです。

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
  • Modifiers は、次の 1 つ以上のコンマ区切りリストです。

    • Show - フラッシュされるキャッシュを表示します。 Certutil は明示的に終了する必要があります。

-addEccCurve

ECC 曲線を追加します。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

ここで:

  • CurveClass は ECC 曲線クラスタイプです。

    • WEIERSTRASS (既定)
    • MONTGOMERY
    • TWISTED_EDWARDS
  • CurveName は ECC 曲線名です。

  • CurveParameters は次のいずれかです。

    • ASN でエンコードされたパラメーターを含む証明書ファイル名。
    • ASN でエンコードされたパラメーターを含むファイル。
  • CurveOID は ECC 曲線 OID であり、次のいずれかです。

    • ASN でエンコードされた OID を含む証明書ファイル名。
    • 明示的な ECC 曲線 OID。
  • CurveType は、Schannel ECC NamedCurve ポイント (数値) です。

"オプション:

[-f]

-deleteEccCurve

ECC 曲線を削除します。

certutil [options] -deleteEccCurve CurveName | CurveOID

ここで:

  • CurveName は ECC 曲線名です。
  • CurveOID は ECC 曲線 OID です。

"オプション:

[-f]

-displayEccCurve

ECC カーブを表示します。

certutil [options] -displayEccCurve [CurveName | CurveOID]

ここで:

  • CurveName は ECC 曲線名です。
  • CurveOID は ECC 曲線 OID です。

"オプション:

[-f]

-csplist

暗号化操作のためにこのマシンにインストールされている暗号化サービス プロバイダー (CSP) を一覧表示します。

certutil [options] -csplist [Algorithm]

"オプション:

[-user] [-Silent] [-csp Provider]

-csptest

このマシンにインストールされている CSP をテストします。

certutil [options] -csptest [Algorithm]

"オプション:

[-user] [-Silent] [-csp Provider]

-CNGConfig

このマシン上の CNG 暗号化構成を表示します。

certutil [options] -CNGConfig

"オプション:

[-Silent]

-sign

証明書失効リスト (CRL) または証明書に再署名します。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

各値の説明:

  • InFileList は、変更して再署名する証明書または CRL ファイルのコンマ区切りの一覧です。

  • SerialNumber は、作成する証明書のシリアル番号です。 有効期間とその他のオプションは使用できません。

  • CRL は、空の CRL を作成します。 有効期間とその他のオプションは使用できません。

  • OutFileList は、変更された証明書または CRL 出力ファイルのコンマ区切りの一覧です。 ファイルの数は infilelist と一致する必要があります。

  • StartDate+dd:hh は、次を含む証明書または CRL ファイルの新しい有効期間です。

    • オプションの日付 +
    • オプションの日数と時間の有効期間 複数のフィールドを使用する場合は、(+) または (-) 区切り記号を使用します。 現在時刻から開始するには、now[+dd:hh] を使用します。 現在の時刻からの固定オフセットと固定有効期間から開始するために now-dd:hh+dd:hh を使用します。 有効期限がない場合は、never を使用します (CRL の場合のみ)。
  • SerialNumberList は、追加または削除するファイルのコンマ区切りのシリアル番号の一覧です。

  • ObjectIdList は、削除するファイルのコンマ区切りの拡張 ObjectId の一覧です。

  • @ExtensionFile は、更新または削除する拡張子を含む INF ファイルです。 次に例を示します。

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm は、ハッシュ アルゴリズムの名前です。 これは、前に # 記号が付くテキストのみにする必要があります。

  • AlternateSignatureAlgorithm は、代替署名アルゴリズム指定子です。

"オプション:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

解説

  • マイナス記号 (-) を使用すると、シリアル番号と拡張子が削除されます。
  • プラス記号 (+) を使用すると、シリアル番号が CRL に追加されます。
  • 一覧を使用すると、シリアル番号と ObjectIds の両方を CRL から同時に削除できます。
  • AlternateSignatureAlgorithm の前にマイナス記号を使用すると、従来の署名形式を使用できます。
  • プラス記号を使用すると、代替署名形式を使用できます。
  • AlternateSignatureAlgorithm を指定しなかった場合は、証明書または CRL の署名形式が使用されます。

-vroot

Web 仮想ルートとファイル共有を作成または削除します。

certutil [options] -vroot [delete]

-vocsproot

OCSP Web プロキシの Web 仮想ルートを作成または削除します。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

必要に応じて、指定された証明機関の登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

各値の説明:

  • addEnrollmentServer は、証明書登録サーバーへのクライアント接続に次のような認証方法を使用するように要求します。

    • Kerberos は、Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate は、X.509 証明書 SSL 資格情報を使用します。
  • Modifiers:

    • AllowRenewalsOnly は、URL 経由の証明機関への更新要求の送信のみを許可します。
    • AllowKeyBasedRenewal は、Active Directory 内に関連付けられたアカウントが存在しない証明書の使用を許可します。 これは、ClientCertificate モードと AllowRenewalsOnly モードで使用された場合に適用されます。

"オプション:

[-config Machine\CAName]

-deleteEnrollmentServer

必要に応じて、指定された証明機関の登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

各値の説明:

  • deleteEnrollmentServer は、証明書登録サーバーへのクライアント接続に次のような認証方法を使用するように要求します。
    • Kerberos は、Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate は、X.509 証明書 SSL 資格情報を使用します。

"オプション:

[-config Machine\CAName]

-addPolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドは、バイナリまたはパッケージをインストールしません。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

各値の説明:

  • addPolicyServer は、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用するように要求します。
    • Kerberos は、Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate は、X.509 証明書 SSL 資格情報を使用します。
  • KeyBasedRenewal は、keybaseaddnewal テンプレートを含むクライアントに返されるポリシーの使用を許可します。 このオプションは、UserName 認証と ClientCertificate 認証にのみ適用されます。

-deletePolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドは、バイナリまたはパッケージを削除しません。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

各値の説明:

  • deletePolicyServer は、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用するように要求します。
    • Kerberos は、Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate は、X.509 証明書 SSL 資格情報を使用します。
  • KeyBasedRenewal は、KeyBasedRenewal ポリシー サーバーの使用を許可します。

-Class

COM レジストリ情報を表示します。

certutil [options] -Class [ClassId | ProgId | DllName | *]

"オプション:

[-f]

-7f

証明書で 0x7f 長さのエンコードを確認します。

certutil [options] -7f CertFile

-oid

オブジェクト識別子を表示するか、表示名を設定します。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

ここで:

  • ObjectId は、表示する ID または表示名に追加する ID です。
  • GroupID は、ObjectIds が列挙する GroupID 番号 (10 進数) です。
  • AlgId は、objectID が検索する 16 進数 ID です。
  • AlgorithmName は、objectID が検索するアルゴリズム名です。
  • DisplayName は、DS に格納する名前を表示します。
  • Delete は、表示名を削除します。
  • LanguageId は、言語 ID の値です (既定で current: 1033 に設定されます)。
  • Type は、次を含む、作成する DS オブジェクトの種類です。
    • 1 - テンプレート (既定)
    • 2 - 発行ポリシー
    • 3 - アプリケーション ポリシー
  • -f は、DS オブジェクトを作成します。

"オプション:

[-f]

-error

エラー コードに関連付けられたメッセージ テキストを表示します。

certutil [options] -error ErrorCode

-getsmtpinfo

簡易メール転送プロトコル (SMTP) 情報を取得します。

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 情報を設定します。

certutil [options] -setsmtpinfo LogonName

"オプション:

[-config Machine\CAName] [-p Password]

-getreg

レジストリ値を表示します。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。
  • restore は、証明機関の復元レジストリ キーを使用します。
  • policy は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは -user を使用します)。
  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは -user を使用します)。
  • chain は、チェーン構成レジストリ キーを使用します。
  • PolicyServers は、ポリシー サーバー レジストリ キーを使用します。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName は、レジストリ値の名前を使用します (プレフィックスの一致には Name* を使用します)。
  • value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。
  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - オプションの日数と時間数) として解析されます。
  • 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。
  • サフィックスとして i64 を使用して、REG_QWORD 値を作成します。
  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。
  • レジストリ エイリアス:
    • 構成
    • CA
    • Policy - PolicyModules
    • Exit - ExitModules
    • Restore - RestoreInProgress
    • Template - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

レジストリ値を設定します。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。
  • restore は、証明機関の復元レジストリ キーを使用します。
  • policy は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは -user を使用します)。
  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは -user を使用します)。
  • chain は、チェーン構成レジストリ キーを使用します。
  • PolicyServers は、ポリシー サーバー レジストリ キーを使用します。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName は、レジストリ値の名前を使用します (プレフィックスの一致には Name* を使用します)。
  • Value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。
  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - オプションの日数と時間数) として解析されます。
  • 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。
  • サフィックスとして i64 を使用して、REG_QWORD 値を作成します。
  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。

-delreg

レジストリ値を削除します。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

各値の説明:

  • ca は、証明機関のレジストリ キーを使用します。
  • restore は、証明機関の復元レジストリ キーを使用します。
  • policy は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • template は、テンプレート レジストリ キーを使用します (ユーザー テンプレートでは -user を使用します)。
  • enroll は、登録レジストリ キーを使用します (ユーザー コンテキストでは -user を使用します)。
  • chain は、チェーン構成レジストリ キーを使用します。
  • PolicyServers は、ポリシー サーバー レジストリ キーを使用します。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName は、レジストリ値の名前を使用します (プレフィックスの一致には Name* を使用します)。
  • Value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または - で始まっている場合は、新しい値で指定されたビットが既存のレジストリ値でセットまたはクリアされます。

"オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

解説

  • 文字列値が + または - で始まっており、既存の値が REG_MULTI_SZ の値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。 REG_MULTI_SZ の値の作成を強制するには、文字列値の末尾に \n を追加します。
  • 値が \@ で始まっている場合は、値の残りの部分がバイナリ値の 16 進数テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに、[Date][+|-][dd:hh] (オプションの日付 + または - オプションの日数と時間数) として解析されます。
  • 両方を指定する場合は、プラス記号 (+) またはマイナス記号 (-) の区切りを使用します。 現在時刻を基準にした日付には now+dd:hh を使用します。
  • サフィックスとして i64 を使用して、REG_QWORD 値を作成します。
  • キャッシュされた CRL を効率的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。
  • レジストリ エイリアス:
    • 構成
    • CA
    • Policy - PolicyModules
    • Exit - ExitModules
    • Restore - RestoreInProgress
    • Template - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

キーのアーカイブのために、ユーザー キーと証明書をサーバー データベースにインポートします。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

各値の説明:

  • UserKeyAndCertFile は、アーカイブするユーザーの秘密キーと証明書を含むデータ ファイルです。 このファイルは、次のファイルにすることができます。
    • Exchange キー マネージメント サーバー (KMS) エクスポート ファイル。
    • PFX ファイル。
  • CertId は、KMS エクスポート ファイルの暗号化解除証明書の一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。
  • -f は、証明機関によって発行されていない証明書をインポートします。

"オプション:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

証明書ファイルをデータベースにインポートします。

certutil [options] -ImportCert Certfile [ExistingRow]

各値の説明:

  • ExistingRow は、同じキーに対する保留中の要求の代わりに証明書をインポートします。
  • -f は、証明機関によって発行されていない証明書をインポートします。

"オプション:

[-f] [-config Machine\CAName]

解説

certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN を実行して、外部証明書をサポートするように証明機関を構成しなければならない場合もあります。

-GetKey

アーカイブされた秘密キー回復 BLOB を取得して、回復スクリプトを生成するか、アーカイブされたキーを回復します。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

各値の説明:

  • script は、キーを取得および回復するスクリプトを生成します (複数の一致する回復候補が検出された場合、または、出力ファイルが指定されていない場合は、既定の動作)。
  • retrieve は、1 つまたは複数のキー回復 BLOB を取得します (一致する回復候補が 1 つだけ見つかった場合、および、出力ファイルが指定されている場合は、既定の動作)。 このオプションを使用すると、すべての拡張子が切り捨てられ、キー回復 BLOB ごとに証明書固有の文字列と .rec 拡張子が追加されます。 各ファイルには、1 つ以上のキー回復エージェント証明書に暗号化されたままの、証明書チェーンと関連する秘密キーが含まれています。
  • recover は、1 ステップ (キー回復エージェント証明書と秘密キーが必要) で秘密キーを取得して回復します。 このオプションを使用すると、拡張子が切り捨てられ、.p12 拡張子が追加されます。 各ファイルには、回復した証明書チェーンと、PFX ファイルとして格納された関連する秘密キーが含まれています。
  • SearchToken は、次を含む、回復するキーと証明書を選択します。
    • [証明書の共通名]
    • 証明書シリアル番号
    • 証明書 SHA-1 ハッシュ (拇印)
    • 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
    • 要求者名 (ドメイン\ユーザー)
    • UPN (user@domain)
  • RecoveryBlobOutFile は、1 つ以上のキー回復エージェント証明書に暗号化されたままの、証明書チェーンと関連する秘密キーを含むファイルを出力します。
  • OutputScriptFile は、プライベート キーを取得して回復するためのバッチ スクリプトを含むファイルを出力します。
  • OutputFileBaseName は、ファイルのベース名を出力します。

"オプション:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

解説

  • retrieve の場合、すべての拡張機能が切り捨てられ、証明書固有の文字列と、キー回復 BLOB ごとに .rec 拡張機能が追加されます。 各ファイルには、1 つ以上のキー回復エージェント証明書に暗号化されたままの、証明書チェーンと関連する秘密キーが含まれています。
  • recover の場合、拡張機能はすべて切り捨てられ、.p12 拡張機能が追加されます。 回復した証明書チェーンと、PFX ファイルとして格納された関連する秘密キーが含まれています。

-RecoverKey

アーカイブされた秘密キーを回復します。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

"オプション:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX ファイルをマージします。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

各値の説明:

  • PFXInFileList は、PFX 入力ファイルのコンマ区切りの一覧です。
  • PFXOutFile は、PFX 出力ファイルの名前です。
  • Modifiers は、次の 1 つ以上のコンマ区切りリストです。
    • ExtendedProperties には、すべての拡張プロパティが含まれています。
    • NoEncryptCert は、証明書を暗号化しないことを指定します。
    • EncryptCert は、証明書を暗号化するように指定します。

"オプション:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

解説

  • コマンドラインで指定するパスワードは、コンマ区切りのパスワード一覧にする必要があります。
  • 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。 パスワードが 1 つしか指定されていない場合、または、最後のパスワードが * の場合は、出力ファイルのパスワードを入力するように求められます。

-convertEPF

PFX ファイルを EPF ファイルに変換します。

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

各値の説明:

  • PFXInFileList は、PFX 入力ファイルのコンマ区切りの一覧です。
  • PFXOutFile は、PFX 出力ファイルの名前です。
  • EPF は、EPF 出力ファイルの名前です。
  • cast は、CAST 64 暗号化を使用します。
  • cast- は、CAST 64 暗号化 (エクスポート) を使用します。
  • V3CACertId は、V3 CA 証明書の一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。
  • Salt は、EPF 出力ファイルの salt 文字列です。

"オプション:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

解説

  • コマンドラインで指定するパスワードは、コンマ区切りのパスワード一覧にする必要があります。
  • 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。 パスワードが 1 つしか指定されていない場合、または、最後のパスワードが * の場合は、出力ファイルのパスワードを入力するように求められます。

-add-chain

証明書チェーンを追加します。

certutil [options] -add-chain LogId certificate OutFile

"オプション:

[-f]

-add-pre-chain

事前証明書チェーンを追加します。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

"オプション:

[-f]

-get-sth

署名付きツリーヘッドを取得します。

certutil [options] -get-sth [LogId]

"オプション:

[-f]

-get-sth-consistency

署名付きツリーヘッドの変更を取得します。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

"オプション:

[-f]

-get-proof-by-hash

タイムスタンプ サーバーからハッシュの証明を取得します。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

"オプション:

[-f]

-get-entries

イベント ログからエントリを取得します。

certutil [options] -get-entries LogId FirstIndex LastIndex

"オプション:

[-f]

-get-root

証明書ストアからルート証明書を取得します。

certutil [options] -get-roots LogId

"オプション:

[-f]

-get-entry-and-proof

イベント ログ エントリとその暗号化証明を取得します。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

"オプション:

[-f]

-VerifyCT

証明書の透過性ログに対して証明書を検証します。

certutil [options] -VerifyCT Certificate SCT [precert]

"オプション:

[-f]

-?

パラメーターの一覧を表示します。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

各値の説明:

  • -? パラメーターの一覧を表示します。
  • -<name_of_parameter> -? 指定されたパラメーターのヘルプ コンテンツを表示します。
  • -? -v パラメーターとオプションの詳細な一覧を表示します。

[オプション]

このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。

オプション 説明
-admin CA プロパティに ICertAdmin2 を使用します。
-anonymous 匿名 SSL 資格情報を使用します。
-cert CertId 署名証明書。
-clientcertificate clientCertId X.509 証明書 SSL 資格情報を使用します。 選択 UI の場合は、-clientcertificate を使用します。
-config Machine\CAName 証明機関とコンピューター名の文字列。
-csp provider プロバイダー:
KSP - Microsoft ソフトウェア キー ストレージ プロバイダー
TPM - Microsoft プラットフォーム暗号化プロバイダー
NGC - Microsoft Passport キー ストレージ プロバイダー
SC - Microsoft スマート カード キー ストレージ プロバイダー
-dc DCName 特定のドメイン コントローラーをターゲットにします。
-enterprise ローカル コンピューターのエンタープライズ レジストリ証明書ストアを使用します。
-f 上書きを強制します。
-generateSSTFromWU SSTFile 自動更新機構を使用して SST を生成します。
-gmt GMT を使用して時刻を表示します。
-GroupPolicy グループ ポリシー証明書ストアを使用します。
-idispatch COM ネイティブ メソッドの代わりに IDispatch を使用します。
-kerberos Kerberos SSL 資格情報を使用します。
-location alternatestoragelocation (-loc) AlternateStorageLocation。
-mt マシン テンプレートを表示します。
-nocr CR 文字なしでテキストをエンコードします。
-nocrlf CR-LF 文字を使用せずにテキストをエンコードします。
-nullsign データのハッシュを署名として使用します。
-oldpfx 古い PFX 暗号化を使用します。
-out columnlist コンマ区切りの列の一覧。
-p password Password
-pin PIN スマート カードの PIN。
-policyserver URLorID ポリシー サーバーの URL または ID。 選択 U/I では、-policyserver を使用します。 すべてのポリシー サーバーでは、-policyserver * を使用します。
-privatekey パスワードと秘密キーのデータを表示します。
-protect パスワードでキーを保護します。
-protectto SAMnameandSIDlist コンマ区切りの SAM 名/SID の一覧。
-restrict restrictionlist コンマ区切りの制限の一覧。 各制限は、列名、関係演算子、および定数整数、文字列、または日付で構成されます。 並べ替え順序を示すために、1 つの列名の前にプラス記号またはマイナス記号を付けることができます。 例: requestID = 47+requestername >= a, requestername、または-requestername > DOMAIN, Disposition = 21
-reverse ログ列とキュー列の逆引き。
-seconds 秒とミリ秒を使用して時刻を表示します。
-service サービス証明書ストアを使用します。
-sid 数値 SID:
22 - ローカル システム
23 - ローカル サービス
24 - ネットワーク サービス
-silent 暗号コンテキストを取得するには、silent フラグを使用します。
-split 埋め込みの ASN.1 要素を分割して、ファイルに保存します。
-sslpolicy servername ServerName に一致する SSL ポリシー。
-symkeyalg symmetrickeyalgorithm[,keylength] オプションのキー長を持つ対称キー アルゴリズムの名前。 たとえば、AES,1283DES などです。
-syncWithWU DestinationDir Windows Update と同期します。
-t timeout URL フェッチのタイムアウト (ミリ秒)。
-Unicode リダイレクトされた出力を Unicode で書き込みます。
-UnicodeText 出力ファイルを Unicode で書き込みます。
-urlfetch AIA 証明書と CDP CRL を取得して検証します。
-user HKEY_CURRENT_USER キーまたは証明書ストアを使用します。
-username username SSL 資格情報に名前付きアカウントを使用します。 選択 UI の場合は、-username を使用します。
-ut ユーザー テンプレートを表示します。
-v より詳細 (冗長) な情報を提供します。
-v1 V1 インターフェイスを使用します。

ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

このコマンドの使用方法の他の例については、次の記事を参照してください。