次の方法で共有


certutil

注意

Certutil は、運用コードで使用することはお勧めしません。また、ライブ サイトのサポートやアプリケーションの互換性を保証するものではありません。 これは、開発者と IT 管理者がデバイス上の証明書コンテンツ情報を表示するために利用するツールです。

Certutil.exe は、Certificate Services の一部としてインストールされるコマンド ライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報の表示、証明書サービスの構成、CA コンポーネントのバックアップと復元を行うことができます。 このプログラムでは、証明書、キー ペア、および証明書チェーンも検証されます。

certutil が他のパラメーターなしで証明機関で実行されている場合は、現在の証明機関の構成が表示されます。 certutil が他のパラメーターなしで非証明機関で実行されている場合、コマンドは既定で certutil -dump コマンドを実行します。 certutil のすべてのバージョンで、このドキュメントで説明するすべてのパラメーターとオプションが提供されているわけではありません。 certutil -? または certutil <parameter> -?を実行すると、certutil のバージョンで提供される選択肢を確認できます。

先端

-? 引数から非表示になっている動詞やオプションなど、すべての certutil 動詞とオプションの完全なヘルプを表示するには、certutil -v -uSAGE実行します。 uSAGE スイッチでは大文字と小文字が区別されます。

パラメーター

-ダンプ

構成情報またはファイルをダンプします。

certutil [options] [-dump]
certutil [options] [-dump] File

オプション:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 構造体をダンプします。

certutil [options] [-dumpPFX] File

オプション:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

抽象構文表記 (ASN.1) 構文を使用して、ファイルの内容を解析して表示します。 ファイルの種類は次のとおりです。CER、.DERおよび PKCS #7フォーマットのファイルを開ける。

certutil [options] -asn File [type]
  • [type]: 数値CRYPT_STRING_* デコードの種類

-decodehex

16 進数でエンコードされたファイルをデコードします。

certutil [options] -decodehex InFile OutFile [type]
  • [type]: 数値CRYPT_STRING_* デコードの種類

オプション:

[-f]

-encodehex

ファイルを 16 進数でエンコードします。

certutil [options] -encodehex InFile OutFile [type]
  • [type]: 数値CRYPT_STRING_* エンコードの種類

オプション:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-デコード

Base64 でエンコードされたファイルをデコードします。

certutil [options] -decode InFile OutFile

オプション:

[-f]

-エンコードする

ファイルを Base64 にエンコードします。

certutil [options] -encode InFile OutFile

オプション:

[-f] [-unicodetext]

-打ち消す

保留中の要求を拒否します。

certutil [options] -deny RequestId

オプション:

[-config Machine\CAName]

-再

保留中の要求を再送信します。

certutil [options] -resubmit RequestId

オプション:

[-config Machine\CAName]

-setattributes

保留中の証明書要求の属性を設定します。

certutil [options] -setattributes RequestId AttributeString

どこ:

  • RequestId は、保留中の要求の数値の要求 ID です。
  • AttributeString は、要求属性の名前と値のペアです。

オプション:

[-config Machine\CAName]

備考

  • 名前と値はコロンで区切る必要があり、複数の名前と値のペアは改行で区切る必要があります。 たとえば、\n シーケンスが改行区切り記号に変換される場所を CertificateTemplate:User\nEMail:User@Domain.com します。

-setextension

保留中の証明書要求の拡張機能を設定します。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

どこ:

  • requestID は、保留中の要求の数値の要求 ID です。
  • ExtensionName は、拡張機能の ObjectId 文字列です。
  • Flags 拡張機能の優先度を設定します。 0 をお勧めしますが、1 は拡張機能を critical に設定しますが、2 は拡張機能を無効にし、3 は両方を行います。

オプション:

[-config Machine\CAName]

備考

  • 最後のパラメーターが数値の場合は、長いと見なされます。
  • 最後のパラメーターを日付として解析できる場合は、Dateと見なされます。
  • 最後のパラメーターが \@で始まる場合、残りのトークンはバイナリ データまたは ascii テキストの 16 進ダンプを含むファイル名として取得されます。
  • 最後のパラメーターがそれ以外の場合は、文字列として使用されます。

-取り消す

証明書を取り消します。

certutil [options] -revoke SerialNumber [Reason]

どこ:

  • SerialNumber は、取り消す証明書のシリアル番号のコンマ区切りのリストです。
  • 理由 は、次のような失効理由の数値表現またはシンボリック表現です。
    • 0。CRL_REASON_UNSPECIFIED - 未指定 (既定)
    • 1.CRL_REASON_KEY_COMPROMISE - 重要な侵害
    • 2.CRL_REASON_CA_COMPROMISE - 証明機関の侵害
    • 3.CRL_REASON_AFFILIATION_CHANGED - 所属の変更
    • 4.CRL_REASON_SUPERSEDED - 置き換えられます
    • 5.CRL_REASON_CESSATION_OF_OPERATION - 操作の停止
    • 6.CRL_REASON_CERTIFICATE_HOLD - 証明書の保留
    • 8.CRL_REASON_REMOVE_FROM_CRL - CRL からの削除
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 特権の取り消し
    • 10: CRL_REASON_AA_COMPROMISE - AA 侵害
    • -1. Unrevoke - Unrevokes

オプション:

[-config Machine\CAName]

-isvalid

現在の証明書の処理を表示します。

certutil [options] -isvalid SerialNumber | CertHash

オプション:

[-config Machine\CAName]

-getconfig

既定の構成文字列を取得します。

certutil [options] -getconfig

オプション:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig を使用して既定の構成文字列を取得します。

certutil [options] -getconfig2

オプション:

[-idispatch] 

-getconfig3

ICertConfig を使用して構成を取得します。

certutil [options] -getconfig3

オプション:

[-idispatch] 

-ping

Active Directory 証明書サービス要求インターフェイスへの接続を試みます。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

どこ:

  • CAMachineList は、CA マシン名のコンマ区切りのリストです。 1 台のコンピューターの場合は、終端のコンマを使用します。 このオプションでは、各 CA マシンのサイト コストも表示されます。

オプション:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 証明書サービス管理インターフェイスへの接続を試みます。

certutil [options] -pingadmin

オプション:

[-config Machine\CAName]

-CAInfo

証明機関に関する情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

どこ:

  • InfoName は、次の infoname 引数構文に基づいて、表示する CA プロパティを示します。
    • * - すべてのプロパティを表示します
    • 広告 - Advanced Server
    • aia [インデックス] - AIA URL
    • cdp [Index] - CDP URL
    • 証明書 [インデックス] - CA 証明書
    • 証明書チェーン [インデックス] - CA 証明書チェーン
    • certcount - CA 証明書の数
    • certcrlchain [Index] - CRL を使用した CA 証明書チェーン
    • certstate [Index] - CA 証明書
    • certstatuscode [Index] - CA 証明書の検証状態
    • certversion [Index] - CA 証明書のバージョン
    • CRL [インデックス] - ベース CRL
    • crlstate [Index] - CRL
    • crlstatus [インデックス] - CRL 発行状態
    • クロス - [インデックス] - 下位クロス証明書
    • cross+ [Index] - クロス証明書の転送
    • crossstate- [Index] - 下位クロス証明書
    • crossstate+ [Index] - クロス証明書の転送
    • deltacrl [Index] - Delta CRL
    • deltacrlstatus [インデックス] - Delta CRL 発行状態
    • dns - DNS 名
    • dsname - サニタイズされた CA の短い名前 (DS 名)
    • error1 ErrorCode - エラー メッセージ テキスト
    • error2 ErrorCode - エラー メッセージのテキストとエラー コード
    • exit [Index] - Exit モジュールの説明
    • exitcount - Exit モジュール数
    • ファイルの - ファイルのバージョン
    • 情報 - CA 情報
    • kra [インデックス] - KRA 証明書
    • kracount - KRA 証明書の数
    • krastate [インデックス] - KRA 証明書
    • kraused - KRA 証明書の使用数
    • localename - CA ロケール名
    • - CA 名
    • ocsp [インデックス] - OCSP URL
    • - 親 CA
    • ポリシー - ポリシー モジュールの説明
    • 製品 の - 製品バージョン
    • propidmax - 最大 CA PropId
    • ロールの - ロールの分離
    • sanitizedname - サニタイズされた CA 名
    • sharedfolder - 共有フォルダー
    • subjecttemplateoid - サブジェクト テンプレート OID
    • テンプレート - テンプレート
    • の種類 - CA の種類
    • xchg [Index] - CA Exchange 証明書
    • xchgchain [Index] - CA Exchange 証明書チェーン
    • xchgcount - CA Exchange 証明書の数
    • xchgcrlchain [Index] - CRL を使用した CA Exchange 証明書チェーン
  • インデックス は、オプションの 0 から始まるプロパティ インデックスです。
  • エラー コード 数値エラー コードです。

オプション:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA プロパティの種類の情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

オプション:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

証明機関の証明書を取得します。

certutil [options] -ca.cert OutCACertFile [Index]

どこ:

  • OutCACertFile 出力ファイルです。
  • インデックス は、CA 証明書の更新インデックスです (既定値は最新)。

オプション:

[-f] [-split] [-config Machine\CAName]

-ca.chain

証明機関の証明書チェーンを取得します。

certutil [options] -ca.chain OutCACertChainFile [Index]

どこ:

  • OutCACertChainFile 出力ファイルです。
  • インデックス は、CA 証明書の更新インデックスです (既定値は最新)。

オプション:

[-f] [-split] [-config Machine\CAName]

-GetCRL

証明書失効リスト (CRL) を取得します。

certutil [options] -GetCRL OutFile [Index] [delta]

どこ:

  • インデックス は CRL インデックスまたはキー インデックスです (最新のキーの場合、既定では CRL に設定されます)。
  • デルタ デルタ CRL (既定値はベース CRL) です。

オプション:

[-f] [-split] [-config Machine\CAName]

-CRL

新しい証明書失効リスト (CRL) またはデルタ CRL を発行します。

certutil [options] -CRL [dd:hh | republish] [delta]

どこ:

  • dd:hh は、新しい CRL 有効期間 (日と時間) です。
  • 、最新の CRL を再発行 再発行します。
  • デルタ は、デルタ CRL のみを発行します (既定値は基本 CRL とデルタ CRL です)。

オプション:

[-split] [-config Machine\CAName]

-シャットダウン

Active Directory 証明書サービスをシャットダウンします。

certutil [options] -shutdown

オプション:

[-config Machine\CAName]

-installCert

証明機関の証明書をインストールします。

certutil [options] -installCert [CACertFile]

オプション:

[-f] [-silent] [-config Machine\CAName]

-renewCert

証明機関の証明書を更新します。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

オプション:

[-f] [-silent] [-config Machine\CAName]
  • 未処理の更新要求を無視し、新しい要求を生成するには、-f を使用します。

-スキーマ

証明書のスキーマをダンプします。

certutil [options] -schema [Ext | Attrib | CRL]

どこ:

  • このコマンドは、既定で Request テーブルと Certificate テーブルに設定されます。
  • 拡張テーブル Ext です。
  • 属性 は属性テーブルです。
  • CRL CRL テーブルです。

オプション:

[-split] [-config Machine\CAName]

-眺める

証明書ビューをダンプします。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

どこ:

  • Queue は、特定の要求キューをダンプします。
  • ログ は、発行された証明書または失効した証明書と失敗した要求をダンプします。
  • LogFail は、失敗した要求をダンプします。
  • 失効 は、失効した証明書をダンプします。
  • Ext 拡張テーブルがダンプされます。
  • attrib 属性テーブルがダンプされます。
  • CRL CRL テーブルをダンプします。
  • csv は、コンマ区切りの値を使用して出力を提供します。

オプション:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

備考

  • すべてのエントリの StatusCode 列を表示するには、「-out StatusCode
  • 最後のエントリのすべての列を表示するには、「-restrict RequestId==$」と入力します。
  • 3 つの要求の RequestIdDisposition を表示するには、「-restrict requestID>=37,requestID<40 -out requestID,disposition
  • すべての基本 CRL の行 ID 行 ID および CRL 番号 を表示するには、次のように入力します -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • ベース CRL 番号 3 を表示するには、「-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • CRL テーブル全体を表示するには、「CRL
  • 日付の制限には Date[+|-dd:hh] を使用します。
  • 現在の時刻を基準にした日付には、now+dd:hh を使用します。
  • テンプレートには拡張キー使用法 (EKU) が含まれています。これは、証明書の使用方法を記述するオブジェクト識別子 (OID) です。 証明書にはテンプレート共通名や表示名が常に含まれているわけではありませんが、テンプレート EKU は常に含まれます。 Active Directory から特定の証明書テンプレートの EKU を抽出し、その拡張機能に基づいてビューを制限できます。

-db

生データベースをダンプします。

certutil [options] -db

オプション:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

サーバー データベースから行を削除します。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

どこ:

  • 要求 は、送信日に基づいて、失敗した要求と保留中の要求を削除します。
  • 証明書 は、有効期限に基づいて、期限切れの証明書と失効した証明書を削除します。
  • 拡張テーブル 削除します。
  • attrib 属性テーブルを削除します。
  • CRL CRL テーブルを削除します。

オプション:

[-f] [-config Machine\CAName]

  • 2001 年 1 月 22 日までに送信された失敗した要求と保留中の要求を削除するには、「:1/22/2001 request
  • 2001 年 1 月 22 日までに期限切れになったすべての証明書を削除するには、「1/22/2001 cert
  • RequestID 37 の証明書の行、属性、および拡張機能を削除するには、「37
  • 2001 年 1 月 22 日までに期限切れになった CRL を削除するには、「1/22/2001 crl

手記

日付 では、2001 年 1 月 22 日に 22/1/2001 するのではなく、dd/mm/yyyyではなく mm/dd/yyyy 形式が 1/22/2001 されます。 サーバーが米国の地域設定で構成されていない場合は、Date 引数を使用すると、予期しない結果が発生する可能性があります。

-バックアップ

Active Directory 証明書サービスをバックアップします。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

どこ:

  • BackupDirectory は、バックアップされたデータを格納するディレクトリです。
  • 増分 は増分バックアップのみを実行します (既定では完全バックアップです)。
  • KeepLog は、データベース ログ ファイルを保持します (既定では、ログ ファイルを切り捨てます)。

オプション:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 証明書サービス データベースをバックアップします。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

どこ:

  • BackupDirectory は、バックアップされたデータベース ファイルを格納するディレクトリです。
  • 増分 は増分バックアップのみを実行します (既定では完全バックアップです)。
  • KeepLog は、データベース ログ ファイルを保持します (既定では、ログ ファイルを切り捨てます)。

オプション:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 証明書サービスの証明書と秘密キーをバックアップします。

certutil [options] -backupkey BackupDirectory

どこ:

  • BackupDirectory は、バックアップされた PFX ファイルを格納するディレクトリです。

オプション:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-戻す

Active Directory 証明書サービスを復元します。

certutil [options] -restore BackupDirectory

どこ:

  • BackupDirectory は、復元するデータを含むディレクトリです。

オプション:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 証明書サービス データベースを復元します。

certutil [options] -restoredb BackupDirectory

どこ:

  • BackupDirectory は、復元するデータベース ファイルを含むディレクトリです。

オプション:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 証明書サービスの証明書と秘密キーを復元します。

certutil [options] -restorekey BackupDirectory | PFXFile

どこ:

  • BackupDirectory は、復元する PFX ファイルを含むディレクトリです。
  • PFXFile は、復元する PFX ファイルです。

オプション:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

証明書と秘密キーをエクスポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

どこ:

  • CertificateStoreName は、証明書ストアの名前です。
  • CertId は、証明書または CRL の一致トークンです。
  • PFXFile は、エクスポートする PFX ファイルです。
  • 修飾子 はコンマ区切りのリストであり、次の 1 つ以上を含めることができます。
    • CryptoAlgorithm= は、PFX ファイルの暗号化に使用する暗号化アルゴリズム (TripleDES-Sha1Aes256-Sha256など) を指定します。
    • EncryptCert - 証明書に関連付けられている秘密キーをパスワードで暗号化します。
    • ExportParameters 、証明書と秘密キーに加えて、秘密キーパラメーターを -Exports します。
    • ExtendedProperties - 証明書に関連付けられているすべての拡張プロパティを出力ファイルに含めます。
    • NoEncryptCert - 秘密キーを暗号化せずにエクスポートします。
    • NoChain - 証明書チェーンをインポートしません。
    • NoRoot - ルート証明書をインポートしません。

-importPFX

証明書と秘密キーをインポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

どこ:

  • CertificateStoreName は、証明書ストアの名前です。
  • PFXFile は、インポートする PFX ファイルです。
  • 修飾子 はコンマ区切りのリストであり、次の 1 つ以上を含めることができます。
    • AT_KEYEXCHANGE - keyspec をキー交換に変更します。
    • AT_SIGNATURE - keyspec を署名に変更します。
    • ExportEncrypted - パスワード暗号化を使用して証明書に関連付けられている秘密キーをエクスポートします。
    • FriendlyName= - インポートされた証明書のフレンドリ名を指定します。
    • KeyDescription= - インポートされた証明書に関連付けられている秘密キーの説明を指定します。
    • KeyFriendlyName= - インポートされた証明書に関連付けられている秘密キーのフレンドリ名を指定します。
    • NoCert - 証明書をインポートしません。
    • NoChain - 証明書チェーンをインポートしません。
    • NoExport - 秘密キーをエクスポート不可にします。
    • NoProtect - パスワードを使用してキーをパスワードで保護しません。
    • NoRoot - ルート証明書をインポートしません。
    • Pkcs8 - PFX ファイルの秘密キーに PKCS8 形式を使用します。
    • の保護 - パスワードを使用してキーを保護します。
    • ProtectHigh - セキュリティの高いパスワードを秘密キーに関連付ける必要があることを指定します。
    • VSM - インポートされた証明書に関連付けられている秘密キーを仮想スマート カード (VSC) コンテナーに格納します。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

備考

  • 既定では、個人用コンピューター ストアが使用されます。

-dynamicfilelist

動的ファイルの一覧を表示します。

certutil [options] -dynamicfilelist

オプション:

[-config Machine\CAName]

-databaselocations

データベースの場所を表示します。

certutil [options] -databaselocations

オプション:

[-config Machine\CAName]

-hashfile

ファイルに対する暗号化ハッシュを生成して表示します。

certutil [options] -hashfile InFile [HashAlgorithm]

-店

証明書ストアをダンプします。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

どこ:

  • CertificateStoreName 証明書ストア名です。 例えば:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 この ID は次のようになります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または extension ObjectId
    • 証明書サブジェクトの共通名
    • メルアド
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。

これらの識別子の多くは、複数の一致が発生する可能性があります。

  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • -user オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
  • -service オプションは、マシン サービス ストアにアクセスします。
  • -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

例えば:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

手記

パフォーマンスの問題は、次の 2 つの側面を考えると、-store パラメーターを使用するときに観察されます。

  1. ストア内の証明書の数が 10 を超える場合。
  2. CertId を指定すると、すべての証明書に対して一覧表示されているすべての種類を照合するために使用されます。 たとえば、シリアル番号 が指定されている場合は、リストされている他のすべての型との照合も試みます。

パフォーマンスの問題が懸念される場合は、指定された証明書の種類にのみ一致する PowerShell コマンドをお勧めします。

-enumstore

証明書ストアを列挙します。

certutil [options] -enumstore [\\MachineName]

どこ:

  • MachineName はリモート コンピューター名です。

オプション:

[-enterprise] [-user] [-grouppolicy]

-addstore

ストアに証明書を追加します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -addstore CertificateStoreName InFile

どこ:

  • CertificateStoreName 証明書ストア名です。
  • InFile は、ストアに追加する証明書または CRL ファイルです。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

ストアから証明書を削除します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -delstore CertificateStoreName certID

どこ:

  • CertificateStoreName 証明書ストア名です。
  • CertId は、証明書または CRL の一致トークンです。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

ストア内の証明書を検証します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -verifystore CertificateStoreName [CertId]

どこ:

  • CertificateStoreName 証明書ストア名です。
  • CertId は、証明書または CRL の一致トークンです。

オプション:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

キーの関連付けを修復するか、証明書のプロパティまたはキーセキュリティ記述子を更新します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

どこ:

  • CertificateStoreName 証明書ストア名です。

  • CertIdList は、証明書または CRL の一致トークンのコンマ区切りの一覧です。 詳細については、この記事の -store CertId の説明を参照してください。

  • PropertyInfFile は、次のような外部プロパティを含む INF ファイルです。

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

証明書ストアをダンプします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

どこ:

  • CertificateStoreName 証明書ストア名です。 例えば:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 次の場合があります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または extension ObjectId
    • 証明書サブジェクトの共通名
    • メルアド
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • -user オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
  • -service オプションは、マシン サービス ストアにアクセスします。
  • -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

例えば:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

ストアから証明書を削除します。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

どこ:

  • CertificateStoreName 証明書ストア名です。 例えば:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId は、証明書または CRL の一致トークンです。 次の場合があります。

    • シリアル番号
    • SHA-1 証明書
    • CRL、CTL、または公開キー ハッシュ
    • 数値証明書インデックス (0、1 など)
    • 数値 CRL インデックス (.0、.1 など)
    • 数値 CTL インデックス (..0, ..1 など)
    • 公開キー
    • Signature または extension ObjectId
    • 証明書サブジェクトの共通名
    • メルアド
    • UPN または DNS 名
    • キー コンテナー名または CSP 名
    • テンプレート名または ObjectId
    • EKU またはアプリケーション ポリシー ObjectId
    • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

  • OutputFile は、一致する証明書を保存するために使用されるファイルです。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • -user オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。
  • -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
  • -service オプションは、マシン サービス ストアにアクセスします。
  • -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

例えば:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

certutil インターフェイスを呼び出します。

certutil [options] -UI File [import]

-TPMInfo

トラステッド プラットフォーム モジュール情報を表示します。

certutil [options] -TPMInfo

オプション:

[-f] [-Silent] [-split]

-アテスト

証明書要求ファイルを構成証明する必要があることを指定します。

certutil [options] -attest RequestFile

オプション:

[-user] [-Silent] [-split]

-getcert

選択 UI から証明書を選択します。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

オプション:

[-Silent] [-split]

-ds

ディレクトリ サービス (DS) 識別名 (DN) を表示します。

certutil [options] -ds [CommonName]

オプション:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN を削除します。

certutil [options] -dsDel [CommonName]

オプション:

[-user] [-split] [-dc DCName]

-dsPublish

証明書または証明書失効リスト (CRL) を Active Directory に発行します。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

どこ:

  • CertFile は、発行する証明書ファイルの名前です。
  • NTAuthCA 、証明書を DS Enterprise ストアに発行します。
  • RootCA は、証明書を DS 信頼されたルート ストアに発行します。
  • SubCA は、CA 証明書を DS CA オブジェクトに発行します。
  • crossCA は、クロス証明書を DS CA オブジェクトに発行します。
  • KRA 、証明書を DS キー回復エージェント オブジェクトに発行します。
  • ユーザー は、ユーザー DS オブジェクトに証明書を発行します。
  • Machine は、証明書を Machine DS オブジェクトに発行します。
  • CRLfile は、発行する CRL ファイルの名前です。
  • DSCDPContainer は DS CDP コンテナー CN (通常は CA マシン名) です。
  • DSCDPCN は、サニタイズされた CA の短い名前とキー インデックスに基づく DS CDP オブジェクト CN です。

オプション:

[-f] [-user] [-dc DCName]
  • -f を使用して新しい DS オブジェクトを作成します。

-dsCert

DS 証明書を表示します。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

オプション:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL を表示します。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

オプション:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS デルタ CRL を表示します。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

オプション:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS テンプレート属性を表示します。

certutil [options] -dsTemplate [Template]

オプション:

[Silent] [-dc DCName]

-dsAddTemplate

DS テンプレートを追加します。

certutil [options] -dsAddTemplate TemplateInfFile

オプション:

[-dc DCName]

-ADTemplate

Active Directory テンプレートを表示します。

certutil [options] -ADTemplate [Template]

オプション:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-テンプレート

証明書登録ポリシー テンプレートを表示します。

オプション:

certutil [options] -Template [Template]

オプション:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

証明書テンプレートの証明機関 (CA) を表示します。

certutil [options] -TemplateCAs Template

オプション:

[-f] [-user] [-dc DCName]

-CATemplates

証明機関のテンプレートを表示します。

certutil [options] -CATemplates [Template]

オプション:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

証明機関が発行できる証明書テンプレートを設定します。

certutil [options] -SetCATemplates [+ | -] TemplateList

どこ:

  • + 記号は、CA の使用可能なテンプレートリストに証明書テンプレートを追加します。
  • - 記号は、CA の使用可能なテンプレートの一覧から証明書テンプレートを削除します。

-SetCASites

証明機関のサイト名の設定、検証、削除など、サイト名を管理します。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

どこ:

  • SiteName は、単一の証明機関を対象とする場合にのみ許可されます。

オプション:

[-f] [-config Machine\CAName] [-dc DCName]

備考

  • -config オプションは、1 つの証明機関を対象とします (既定値はすべての CA です)。
  • -f オプションを使用すると、指定した SiteName の検証エラーをオーバーライドしたり、すべての CA サイト名を削除することができます。

手記

Active Directory Domain Services (AD DS) サイト認識用に CA を構成する方法の詳細については、「AD CS および PKI クライアントの AD DS Site Awarenessを参照してください。

-enrollmentServerURL

CA に関連付けられている登録サーバーの URL を表示、追加、または削除します。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

どこ:

  • AuthenticationType では、URL を追加するときに、次のいずれかのクライアント認証方法を指定します。
    • Kerberos - Kerberos SSL 資格情報を使用します。
    • UserName - SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate - X.509 証明書 SSL 資格情報を使用します。
    • 匿名 - 匿名 SSL 資格情報を使用します。
  • 削除 、CA に関連付けられている指定された URL を削除します。
  • 優先度 は、URL の追加時に指定されていない場合は既定で 1 されます。
  • 修飾子 はコンマ区切りのリストであり、次の 1 つ以上が含まれます。
    • AllowRenewalsOnly 更新要求のみをこの URL を介してこの CA に送信できます。
    • AllowKeyBasedRenewal を すると、AD に関連付けられたアカウントを持たない証明書を使用できます。 これは、ClientCertificate と AllowRenewalsOnly モード 場合にのみ適用されます。

オプション:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 証明機関を表示します。

certutil [options] -ADCA [CAName]

オプション:

[-f] [-split] [-dc DCName]

-CA

登録ポリシー証明機関を表示します。

certutil [options] -CA [CAName | TemplateName]

オプション:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-政策

登録ポリシーを表示します。

certutil [options] -Policy

オプション:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

登録ポリシー キャッシュ エントリを表示または削除します。

certutil [options] -PolicyCache [delete]

どこ:

  • 削除 ポリシー サーバーのキャッシュ エントリを削除します。
  • -f はすべてのキャッシュ エントリを削除します

オプション:

[-f] [-user] [-policyserver URLorID]

-CredStore

資格情報ストアのエントリを表示、追加、または削除します。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

どこ:

  • URL はターゲット URL です。 * を使用してすべてのエントリを照合したり、URL プレフィックスに一致する https://machine* を使用したりすることもできます。
  • 資格情報ストア エントリ 追加 追加します。 このオプションを使用するには、SSL 資格情報も使用する必要があります。
  • 削除 資格情報ストアエントリを削除します。
  • -f は、1 つのエントリを上書きするか、複数のエントリを削除します。

オプション:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

既定の証明書テンプレートをインストールします。

certutil [options] -InstallDefaultTemplates

オプション:

[-dc DCName]

-URL

証明書または CRL URL を検証します。

certutil [options] -URL InFile | URL

オプション:

[-f] [-split]

-URLCache

URL キャッシュ エントリを表示または削除します。

certutil [options] -URLcache [URL | CRL | * [delete]]

どこ:

  • URL はキャッシュされた URL です。
  • CRL は、キャッシュされたすべての CRL URL でのみ実行されます。
  • * は、キャッシュされたすべての URL に対して動作します。
  • 削除、現在のユーザーのローカル キャッシュから関連する URL を削除します。
  • -f は、特定の URL のフェッチとキャッシュの更新を強制します。

オプション:

[-f] [-split]

-脈拍

自動登録イベントまたは NGC タスクをパルスします。

certutil [options] -pulse [TaskName [SRKThumbprint]]

どこ:

  • TaskName は、トリガーするタスクです。
    • Pregen は NGC キーのプリジェン タスクです。
    • AIKEnroll は、NGC AIK 証明書登録タスクです。 (既定では自動登録イベントです)。
  • SRKThumbprint は、ストレージ ルート キーの拇印です
  • 修飾子:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

オプション:

[-user]

-MachineInfo

Active Directory コンピューター オブジェクトに関する情報を表示します。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
  • 修飾子:

    • 確かめる
    • DeleteBad
    • DeleteAll

オプション:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

先端

[ドメイン] Active Directory Domain Services (AD DS) ドメインを指定し、ドメイン コントローラー (-dc) を指定する機能が Windows Server 2012 に追加されました。 コマンドを正常に実行するには、Domain Admins または Enterprise Adminsのメンバーであるアカウントを使用する必要があります。 このコマンドの動作の変更は次のとおりです。

  • ドメインが指定されておらず、特定のドメイン コントローラーが指定されていない場合、このオプションは既定のドメイン コントローラーから処理するドメイン コントローラーの一覧を返します。
  • ドメインが指定されていないが、ドメイン コントローラーが指定されている場合は、指定されたドメイン コントローラー上の証明書のレポートが生成されます。
  • ドメインが指定されているが、ドメイン コントローラーが指定されていない場合は、ドメイン コントローラーの一覧と、一覧内の各ドメイン コントローラーの証明書に関するレポートが生成されます。
  • ドメインとドメイン コントローラーが指定されている場合は、対象のドメイン コントローラーからドメイン コントローラーの一覧が生成されます。 一覧内の各ドメイン コントローラーの証明書のレポートも生成されます。

たとえば、CPANDL-DC1 という名前のドメイン コントローラーを持つ CPANDL という名前のドメインがあるとします。 CPANDL-DC1 からドメイン コントローラーとその証明書の一覧を取得するには、次のコマンドを実行します:certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

エンタープライズ証明機関に関する情報を表示します。

certutil [options] -EntInfo DomainName\MachineName$

オプション:

[-f] [-user]

-TCAInfo

証明機関に関する情報を表示します。

certutil [options] -TCAInfo [DomainDN | -]

オプション:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

スマート カードに関する情報を表示します。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

どこ:

  • CRYPT_DELETEKEYSET スマート カード上のすべてのキーを削除します。

オプション:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

スマート カードのルート証明書を管理します。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

オプション:

[-f] [-split] [-p Password]

-鍵

キー コンテナーに格納されているキーを一覧表示します。

certutil [options] -key [KeyContainerName | -]

どこ:

  • KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、-userを使用します。
  • - 記号の使用は、既定のキー コンテナーの使用を指します。

オプション:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

名前付きキー コンテナーを削除します。

certutil [options] -delkey KeyContainerName

オプション:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello コンテナーを削除し、WebAuthn と FIDO の資格情報を含め、デバイスに格納されているすべての関連付けられている資格情報を削除します。

このオプションを使用して完了するには、ユーザーがサインアウトする必要があります。

certutil [options] -DeleteHelloContainer

-verifykeys

公開キーまたは秘密キー セットを検証します。

certutil [options] -verifykeys [KeyContainerName CACertFile]

どこ:

  • KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、-userを使用します。
  • CACertFile 、証明書ファイルの署名または暗号化を行います。

オプション:

[-f] [-user] [-Silent] [-config Machine\CAName]

備考

  • 引数が指定されていない場合、各署名 CA 証明書は秘密キーに対して検証されます。
  • この操作は、ローカル CA またはローカル キーに対してのみ実行できます。

-確かめる

証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

どこ:

  • CertFile は、検証する証明書の名前です。
  • ApplicationPolicyList は、必要なアプリケーション ポリシー ObjectId の省略可能なコンマ区切りの一覧です。
  • IssuancePolicyList は、必要な発行ポリシー ObjectId の省略可能なコンマ区切りのリストです。
  • CACertFile は、検証対象のオプションの発行元 CA 証明書です。
  • crossedCACertFile は、CertFileによってクロス認定されるオプションの証明書です。
  • CRLFile は、CACertFileの検証に使用される CRL ファイルです。
  • issuedCertFile は、CRLfile の対象となるオプションの発行済み証明書です。
  • DeltaCRLFile は、オプションのデルタ CRL ファイルです。
  • 修飾子:
    • 厳密 - 強力な署名の検証
    • MSRoot - Microsoft ルートにチェーンする必要があります
    • MSTestRoot - Microsoft テスト ルートにチェーンする必要があります
    • AppRoot - Microsoft アプリケーション ルートにチェーンする必要があります
    • EV - 拡張検証ポリシーの適用

オプション:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

備考

  • ApplicationPolicyList を使用すると、指定したアプリケーション ポリシーに対して有効なチェーンのみにチェーン構築が制限されます。
  • IssuancePolicyList を使用すると、指定された発行ポリシーに対して有効なチェーンのみにチェーン構築が制限されます。
  • CACertFile を使用すると、ファイル内のフィールドが CertFile または CRLfile検証されます。
  • CACertFile 指定されていない場合は、CertFileに対して完全なチェーンが構築され、検証されます。
  • CACertFile と CrossedCACertFile の両方が指定されている場合、両方のファイル内のフィールドが CertFileに対して検証されます。
  • IssuedCertFile を使用すると、ファイル内のフィールドが CRLfile検証されます。
  • DeltaCRLFile を使用すると、ファイル内のフィールドが CertFileに対して検証されます。

-verifyCTL

AuthRoot または許可されていない証明書 CTL を検証します。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

どこ:

  • CTLObject は、検証する CTL を次に示します。

    • AuthRootWU 、URL キャッシュから AuthRoot CAB と一致する証明書を読み取ります。 代わりに、-f を使用して Windows Update からダウンロードします。
    • 許可されていないWU 、許可されていない証明書 CAB と許可されていない証明書ストア ファイルを URL キャッシュから読み取ります。 代わりに、-f を使用して Windows Update からダウンロードします。
      • PinRulesWU は、URL キャッシュから PinRules CAB を読み取ります。 代わりに、-f を使用して Windows Update からダウンロードします。
    • AuthRoot 、レジストリ キャッシュされた AuthRoot CTL を読み取ります。 と信頼されていない CertFile と共に使用して、AuthRoot および許可されていない証明書の CCTL キャッシュされたレジストリを強制的に更新します。
    • 許可されていない は、レジストリ キャッシュされた許可されていない証明書 CTL を読み取ります。 と信頼されていない CertFile と共に使用して、AuthRoot および許可されていない証明書の CCTL キャッシュされたレジストリを強制的に更新します。
      • PinRules は、レジストリにキャッシュされた PinRules CTL を読み取ります。 -f の使用は、PinRulesWUと同じ動作になります。
    • CTLFileName 、CTL または CAB ファイルへのファイルまたは http パスを指定します。
  • CertDir は、CTL エントリに一致する証明書を含むフォルダーを指定します。 既定では、CTLobjectと同じフォルダーまたは Web サイトが使用されます。 http フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 AuthRoot または許可されていない指定しない場合は、ローカル証明書ストア、crypt32.dll リソース、ローカル URL キャッシュなど、一致する証明書が複数の場所で検索されます。 必要に応じて、-f を使用して Windows Update からダウンロードします。

  • CertFile は、検証する証明書を指定します。 証明書は CTL エントリと照合され、結果が表示されます。 このオプションでは、既定の出力の大部分が抑制されます。

オプション:

[-f] [-user] [-split]

-syncWithWU

証明書を Windows Update と同期します。

certutil [options] -syncWithWU DestinationDir

どこ:

  • DestinationDir 指定したディレクトリです。
  • f 、強制的に上書きします。
  • Unicode は、リダイレクトされた出力を Unicode で書き込みます。
  • gmt では、時刻が GMT として表示されます。
  • 秒とミリ秒の時間が表示されます。
  • v は詳細な操作です。
  • PIN はスマート カード PIN です。
  • WELL_KNOWN_SID_TYPE は数値 SID です。
    • 22 - ローカル システム
    • 23 - ローカル サービス
    • 24 - ネットワーク サービス

備考

自動更新メカニズムを使用して、次のファイルがダウンロードされます。

  • authrootstl.cab には、Microsoft 以外のルート証明書の CCTL が含まれています。
  • disallowedcertstl.cab には、信頼されていない証明書の CTL が含まれています。
  • disallowedcert.sst 、信頼されていない証明書を含むシリアル化された証明書ストアが含まれます。
  • 拇印.crt には、Microsoft 以外のルート証明書が含まれています。

たとえば、certutil -syncWithWU \\server1\PKI\CTLsします。

  • 存在しないローカル パスまたはフォルダーを宛先フォルダーとして使用すると、次のエラーが表示されます: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 存在しない、または使用できないネットワークの場所を宛先フォルダーとして使用すると、次のエラーが表示されます: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • サーバーが TCP ポート 80 経由で Microsoft 自動更新サーバーに接続できない場合は、次のエラーが表示されます: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • DNS 名が ctldl.windowsupdate.comされた Microsoft 自動更新サーバーにサーバーが到達できない場合は、次のエラーが表示されます: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • -f スイッチを使用せず、ディレクトリに既に CTL ファイルが存在する場合は、次のエラーが表示されます。certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • 信頼されたルート証明書に変更がある場合は、Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

オプション:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update と同期されるストア ファイルを生成します。

certutil [options] -generateSSTFromWU SSTFile

どこ:

  • SSTFile は、Windows Update からダウンロードしたサード パーティルートを含む、生成される .sst ファイルです。

オプション:

[-f] [-split]

-generatePinRulesCTL

ピン留め規則の一覧を含む証明書信頼リスト (CTL) ファイルを生成します。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

どこ:

  • XMLFile は、解析する入力 XML ファイルです。
  • CTLFile は、生成される出力 CTL ファイルです。
  • SSTFile は、ピン留めするために使用されるすべての証明書を含む、作成するオプションの .sst ファイルです。
  • QueryFilesPrefix は、データベース クエリ用に作成するオプションの Domains.csv ファイルと Keys.csv ファイルです。
    • QueryFilesPrefix 文字列は、作成された各ファイルの先頭に付加されます。
    • Domains.csv ファイルには、ルール名、ドメイン行が含まれています。
    • Keys.csv ファイルには、ルール名、キー SHA256 拇印行が含まれています。

オプション:

[-f]

-downloadOcsp

OCSP 応答をダウンロードし、ディレクトリに書き込みます。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

どこ:

  • CertificateDir は、証明書、ストア、および PFX ファイルのディレクトリです。
  • OcspDir は、OCSP 応答を書き込むディレクトリです。
  • ThreadCount は、同時ダウンロードのスレッドの最大数 (省略可能) です。 既定値は 10です。
  • 修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
    • DownloadOnce - 1 回ダウンロードして終了します。
    • ReadOcsp - 書き込む代わりに OcspDir から読み取ります。

-generateHpkpHeader

指定したファイルまたはディレクトリ内の証明書を使用して HPKP ヘッダーを生成します。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

どこ:

  • CertFileOrDir は、pin-sha256 のソースである証明書のファイルまたはディレクトリです。
  • MaxAge は、秒単位の最長有効期間の値です。
  • ReportUri は省略可能な report-uri です。
  • 修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
    • includeSubDomains - includeSubDomains を追加します。

-flushCache

lsass.exeなど、選択したプロセスで指定されたキャッシュをフラッシュします。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

どこ:

  • ProcessId は、フラッシュするプロセスの数値 ID です。 フラッシュが有効になっているすべてのプロセスをフラッシュするには、0 に設定します。

  • CacheMask は、数値または次のビットをフラッシュするキャッシュのビット マスクです。

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
  • 修飾子 は、次の 1 つ以上のコンマ区切りのリストです。

    • の表示 - フラッシュされるキャッシュを表示します。 Certutil は明示的に終了する必要があります。

-addEccCurve

ECC 曲線を追加します。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

どこ:

  • CurveClass は ECC 曲線クラス タイプです。

    • WEIERSTRASS (既定)
    • モンゴメリー
    • TWISTED_EDWARDS
  • CurveName は ECC 曲線名です。

  • CurveParameters は、次のいずれかです。

    • ASN でエンコードされたパラメーターを含む証明書ファイル名。
    • ASN でエンコードされたパラメーターを含むファイル。
  • CurveOID は ECC 曲線 OID であり、次のいずれかです。

    • ASN でエンコードされた OID を含む証明書ファイル名。
    • 明示的な ECC 曲線 OID。
  • CurveType は、Schannel ECC NamedCurve ポイント (数値) です。

オプション:

[-f]

-deleteEccCurve

ECC 曲線を削除します。

certutil [options] -deleteEccCurve CurveName | CurveOID

どこ:

  • CurveName は ECC 曲線名です。
  • CurveOID は ECC 曲線 OID です。

オプション:

[-f]

-displayEccCurve

ECC カーブを表示します。

certutil [options] -displayEccCurve [CurveName | CurveOID]

どこ:

  • CurveName は ECC 曲線名です。
  • CurveOID は ECC 曲線 OID です。

オプション:

[-f]

-csplist

暗号化操作のためにこのマシンにインストールされている暗号化サービス プロバイダー (CSP) を一覧表示します。

certutil [options] -csplist [Algorithm]

オプション:

[-user] [-Silent] [-csp Provider]

-csptest

このマシンにインストールされている CSP をテストします。

certutil [options] -csptest [Algorithm]

オプション:

[-user] [-Silent] [-csp Provider]

-CNGConfig

このマシン上の CNG 暗号化構成を表示します。

certutil [options] -CNGConfig

オプション:

[-Silent]

-看板

証明書失効リスト (CRL) または証明書に再署名します。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

どこ:

  • InFileList は、変更および再署名する証明書または CRL ファイルのコンマ区切りの一覧です。

  • SerialNumber は、作成する証明書のシリアル番号です。 有効期間およびその他のオプションを指定できません。

  • CRL 空の CRL が作成されます。 有効期間およびその他のオプションを指定できません。

  • OutFileList は、変更された証明書または CRL 出力ファイルのコンマ区切りの一覧です。 ファイルの数は infilelist と一致する必要があります。

  • StartDate+dd:hh は、次のような証明書または CRL ファイルの新しい有効期間です。

    • 省略可能な日付と
    • オプションの日数と時間の有効期間 複数のフィールドを使用する場合は、(+) または (-) 区切り記号を使用します。 now[+dd:hh] を使用して、現在の時刻から開始します。 now-dd:hh+dd:hh を使用して、現在の時刻と固定有効期間からの固定オフセットから開始します。 有効期限を設定しない場合は、never を使用します (CRL の場合のみ)。
  • SerialNumberList は、追加または削除するファイルのコンマ区切りのシリアル番号リストです。

  • ObjectIdList は、削除するファイルのコンマ区切りの拡張 ObjectId リストです。

  • @ExtensionFile は、更新または削除する拡張機能を含む INF ファイルです。 例えば:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashAlgorithm ハッシュ アルゴリズムの名前です。 これは、前に # 記号が付いたテキストである必要があります。

  • AlternateSignatureAlgorithm 、代替署名アルゴリズム指定子です。

オプション:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

備考

  • 負符号 (-) を使用すると、シリアル番号と拡張機能が削除されます。
  • プラス記号 (+) を使用すると、CRL にシリアル番号が追加されます。
  • リストを使用すると、シリアル番号と ObjectIds の両方を CRL から同時に削除できます。
  • AlternateSignatureAlgorithm 前にマイナス記号を使用すると、レガシ署名形式を使用できます。
  • プラス記号を使用すると、代替署名形式を使用できます。
  • AlternateSignatureAlgorithm指定しない場合は、証明書または CRL の署名形式が使用されます。

-vroot

Web 仮想ルートとファイル共有を作成または削除します。

certutil [options] -vroot [delete]

-vocsproot

OCSP Web プロキシの Web 仮想ルートを作成または削除します。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

指定した証明機関に必要に応じて、登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

どこ:

  • addEnrollmentServer 、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。

    • Kerberos は Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
  • 修飾子:

    • AllowRenewalsOnly は、URL を介して証明機関への更新要求の送信のみを許可します。
    • AllowKeyBasedRenewal では、Active Directory に関連付けられたアカウントのない証明書を使用できます。 これは、ClientCertificate と AllowRenewalsOnly モード 使用した場合に適用されます。

オプション:

[-config Machine\CAName]

-deleteEnrollmentServer

指定された証明機関に必要な場合は、登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

どこ:

  • deleteEnrollmentServer 、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。
    • Kerberos は Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。

オプション:

[-config Machine\CAName]

-addPolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

どこ:

  • addPolicyServer では、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用する必要があります。
    • Kerberos は Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
  • KeyBasedRenewal では、keybasedrenewal テンプレートを含むクライアントに返されるポリシーを使用できます。 このオプションは、UserName と ClientCertificate 認証 にのみ適用されます。

-deletePolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージは削除されません。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

どこ:

  • deletePolicyServer 、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用する必要があります。
    • Kerberos は Kerberos SSL 資格情報を使用します。
    • UserName は、SSL 資格情報に名前付きアカウントを使用します。
    • ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
  • KeyBasedRenewal では、KeyBasedRenewal ポリシー サーバーを使用できます。

-クラス

COM レジストリ情報を表示します。

certutil [options] -Class [ClassId | ProgId | DllName | *]

オプション:

[-f]

-7f

証明書で0x7f長さのエンコードを確認します。

certutil [options] -7f CertFile

-oid

オブジェクト識別子を表示するか、表示名を設定します。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

どこ:

  • ObjectId は、表示する ID または表示名に追加する ID です。
  • GroupId は、ObjectId が列挙する GroupID 番号 (10 進数) です。
  • AlgId は、objectID が検索する 16 進数の ID です。
  • AlgorithmName は、objectID が検索するアルゴリズム名です。
  • DisplayName DS に格納する名前が表示されます。
  • 削除 表示名を削除します。
  • LanguageId は言語 ID 値です (既定値は現在の値: 1033)。
  • Type は、作成する DS オブジェクトの型です。次に示します。
    • 1 - テンプレート (既定)
    • 2 - 発行ポリシー
    • 3 - アプリケーション ポリシー
  • -f DS オブジェクトを作成します。

オプション:

[-f]

-エラー

エラー コードに関連付けられているメッセージ テキストを表示します。

certutil [options] -error ErrorCode

-getsmtpinfo

簡易メール転送プロトコル (SMTP) 情報を取得します。

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 情報を設定します。

certutil [options] -setsmtpinfo LogonName

オプション:

[-config Machine\CAName] [-p Password]

-getreg

レジストリ値を表示します。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

どこ:

  • ca は証明機関のレジストリ キーを使用します。
  • 復元 は、証明機関の復元レジストリ キーを使用します。
  • ポリシー は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • テンプレート は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。
  • 登録 登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。
  • チェーン は、チェーン構成レジストリ キーを使用します。
  • PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には Name* を使用します)。
  • は、新しい数値、文字列、または日付レジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備考

  • 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に \n を追加します。
  • 値が \@で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
  • 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、now+dd:hh を使用します。
  • REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
  • キャッシュされた CRL を効果的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。
  • レジストリ エイリアス:
    • Config
    • CA
    • ポリシー - PolicyModules
    • Exit - ExitModules
    • 復元 - RestoreInProgress
    • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

レジストリ値を設定します。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

どこ:

  • ca は証明機関のレジストリ キーを使用します。
  • 復元 は、証明機関の復元レジストリ キーを使用します。
  • ポリシー は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • テンプレート は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。
  • 登録 登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。
  • チェーン は、チェーン構成レジストリ キーを使用します。
  • PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には Name* を使用します)。
  • は、新しい数値、文字列、または日付レジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備考

  • 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に \n を追加します。
  • 値が \@で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
  • 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、now+dd:hh を使用します。
  • REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
  • キャッシュされた CRL を効果的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。

-delreg

レジストリ値を削除します。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

どこ:

  • ca は証明機関のレジストリ キーを使用します。
  • 復元 は、証明機関の復元レジストリ キーを使用します。
  • ポリシー は、ポリシー モジュールのレジストリ キーを使用します。
  • exit は、最初の終了モジュールのレジストリ キーを使用します。
  • テンプレート は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。
  • 登録 登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。
  • チェーン は、チェーン構成レジストリ キーを使用します。
  • PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
  • ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
  • RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には Name* を使用します)。
  • は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

オプション:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備考

  • 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に \n を追加します。
  • 値が \@で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
  • 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
  • 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、now+dd:hh を使用します。
  • REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
  • キャッシュされた CRL を効果的にフラッシュするには、chain\chaincacheresyncfiletime @now を使用します。
  • レジストリ エイリアス:
    • Config
    • CA
    • ポリシー - PolicyModules
    • Exit - ExitModules
    • 復元 - RestoreInProgress
    • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Software\Microsoft\Cryptography\MSCEP
    • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport - Software\Policies\Microsoft\PassportForWork
    • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

ユーザー キーと証明書をサーバー データベースにインポートして、キーのアーカイブを行います。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

どこ:

  • UserKeyAndCertFile は、アーカイブするユーザー秘密キーと証明書を含むデータ ファイルです。 このファイルは次のようになります。
    • Exchange Key Management Server (KMS) エクスポート ファイル。
    • PFX ファイル。
  • CertId は、KMS エクスポート ファイル暗号化解除証明書の一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。
  • -f は、証明機関によって発行されていない証明書をインポートします。

オプション:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

証明書ファイルをデータベースにインポートします。

certutil [options] -ImportCert Certfile [ExistingRow]

どこ:

  • ExistingRow は、同じキーに対する保留中の要求の代わりに証明書をインポートします。
  • -f は、証明機関によって発行されていない証明書をインポートします。

オプション:

[-f] [-config Machine\CAName]

備考

証明機関は、certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNを実行して外部証明書をサポートするように構成する必要がある場合もあります。

-GetKey

アーカイブされた秘密キー回復 BLOB を取得し、回復スクリプトを生成するか、アーカイブされたキーを回復します。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

どこ:

  • スクリプト は、キーを取得して回復するスクリプトを生成します (一致する複数の回復候補が見つかった場合、または出力ファイルが指定されていない場合の既定の動作)。
  • 取得、1 つ以上のキー回復 BLOB を取得します (一致する復旧候補が 1 つだけ見つかった場合、および出力ファイルが指定されている場合の既定の動作)。 このオプションを使用すると、拡張機能が切り捨てられ、各キー回復 BLOB の証明書固有の文字列と .rec 拡張機能が追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
  • 回復、1 つの手順で秘密キーを取得および回復します (Key Recovery Agent 証明書と秘密キーが必要)。 このオプションを使用すると、拡張機能が切り捨てられ、.p12 拡張機能が追加されます。 各ファイルには、回復された証明書チェーンと関連する秘密キーが含まれており、PFX ファイルとして格納されます。
  • SearchToken は、回復するキーと証明書を選択します。これには次のものが含まれます。
    • 証明書の共通名
    • 証明書のシリアル番号
    • 証明書 SHA-1 ハッシュ (拇印)
    • 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
    • リクエスター名 (domain\user)
    • UPN (user@domain)
  • RecoveryBlobOutFile は、証明書チェーンと関連付けられた秘密キーを持つファイルを出力します。それでも、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
  • OutputScriptFile は、秘密キーを取得して回復するためのバッチ スクリプトを含むファイルを出力します。
  • OutputFileBaseName ファイルベース名を出力します。

オプション:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

備考

  • 取得する場合、すべての拡張機能が切り捨てられ、証明書固有の文字列と 拡張機能がキー回復 BLOB ごとに追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
  • 回復する場合、すべての拡張機能が切り捨てられ、 拡張機能が追加されます。 回復された証明書チェーンと関連付けられた秘密キーが含まれており、PFX ファイルとして格納されます。

-RecoverKey

アーカイブされた秘密キーを回復します。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

オプション:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX ファイルをマージします。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

どこ:

  • PFXInFileList は、PFX 入力ファイルのコンマ区切りのリストです。
  • PFXOutFile は PFX 出力ファイルの名前です。
  • 修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
    • ExtendedProperties には、拡張プロパティが含まれます。
    • NoEncryptCert は、証明書を暗号化しないことを指定します。
    • EncryptCert は、証明書を暗号化するように指定します。

オプション:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

備考

  • コマンド ラインで指定するパスワードは、コンマ区切りのパスワード リストである必要があります。
  • 複数のパスワードが指定されている場合は、出力ファイルに最後のパスワードが使用されます。 パスワードが 1 つだけ指定されている場合、または最後のパスワードが *場合、ユーザーは出力ファイルのパスワードの入力を求められます。

-add-chain

証明書チェーンを追加します。

certutil [options] -add-chain LogId certificate OutFile

オプション:

[-f]

-add-pre-chain

事前証明書チェーンを追加します。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

オプション:

[-f]

-get-sth

署名付きツリーヘッドを取得します。

certutil [options] -get-sth [LogId]

オプション:

[-f]

-get-sth-consistency

署名付きツリーヘッドの変更を取得します。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

オプション:

[-f]

-get-proof-by-hash

タイムスタンプ サーバーからハッシュの証明を取得します。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

オプション:

[-f]

-get-entries

イベント ログからエントリを取得します。

certutil [options] -get-entries LogId FirstIndex LastIndex

オプション:

[-f]

-get-root

証明書ストアからルート証明書を取得します。

certutil [options] -get-roots LogId

オプション:

[-f]

-get-entry-and-proof

イベント ログ エントリとその暗号化証明を取得します。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

オプション:

[-f]

-VerifyCT

証明書の透過性ログに対して証明書を検証します。

certutil [options] -VerifyCT Certificate SCT [precert]

オプション:

[-f]

-?

パラメーターの一覧を表示します。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

どこ:

  • -? パラメーターの一覧が表示されます
  • -<name_of_parameter> -? は、指定されたパラメーターのヘルプ コンテンツを表示します。
  • -? -v には、パラメーターとオプションの詳細な一覧が表示されます。

オプション

このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。

オプション 形容
-管理者 CA プロパティには ICertAdmin2 を使用します。
-アノニマス 匿名 SSL 資格情報を使用します。
-cert CertId 署名証明書。
-clientcertificate clientCertId X.509 証明書 SSL 資格情報を使用します。 選択 UI の場合は、-clientcertificateを使用します。
-config Machine\CAName 証明機関とコンピューター名の文字列。
-csp provider 供給者:
KSP - Microsoft ソフトウェア キー ストレージ プロバイダー
TPM - Microsoft Platform Crypto Provider
NGC - Microsoft Passport Key Storage Provider
SC - Microsoft スマート カード キー ストレージ プロバイダー
-dc DCName 特定のドメイン コントローラーを対象とします。
-エンタープライズ ローカル コンピューターのエンタープライズ レジストリ証明書ストアを使用します。
-f 強制的に上書きします。
-generateSSTFromWU SSTFile 自動更新メカニズムを使用して SST を生成します。
-gmt GMT を使用して時刻を表示します。
-GroupPolicy グループ ポリシー証明書ストアを使用します。
-idispatch COM ネイティブ メソッドの代わりに IDispatch を使用します。
-kerberos Kerberos SSL 資格情報を使用します。
-location alternatestoragelocation AlternateStorageLocation を (-loc) します。
-山 コンピューター テンプレートを表示します。
-nocr CR 文字なしでテキストをエンコードします。
-nocrlf CR-LF 文字なしでテキストをエンコードします。
-nullsign データのハッシュを署名として使用します。
-oldpfx 古い PFX 暗号化を使用します。
-out columnlist コンマ区切りの列リスト。
-p password パスワード
-pin PIN スマート カード PIN。
-policyserver URLorID ポリシー サーバーの URL または ID。 U/I を選択する場合は、-policyserverを使用します。 すべてのポリシー サーバーに対して、-policyserver *
-privatekey パスワードと秘密キーのデータを表示します。
-守る パスワードでキーを保護します。
-protectto SAMnameandSIDlist コンマ区切りの SAM 名/SID リスト。
-restrict restrictionlist コンマ区切りの制限リスト。 各制限は、列名、関係演算子、定数整数、文字列、または日付で構成されます。 並べ替え順序を示すために、1 つの列名の前にプラス記号またはマイナス記号を付けます。 たとえば、requestID = 47+requestername >= a, requestername-requestername > DOMAIN, Disposition = 21などです。
-逆 ログ列とキュー列の逆引き。
-お代わり 秒とミリ秒を使用して時刻を表示します。
-サービス サービス証明書ストアを使用します。
-sid 数値 SID:
22 - ローカル システム
23 - ローカル サービス
24 - ネットワーク サービス
-サイレント silent フラグを使用して、crypt コンテキストを取得します。
-割る 埋め込まれた ASN.1 要素を分割し、ファイルに保存します。
-sslpolicy サーバー名 ServerName に一致する SSL ポリシー。
-symkeyalg symmetrickeyalgorithm[,keylength] オプションのキー長を持つ対称キー アルゴリズムの名前。 例: AES,128 または 3DES
-syncWithWU DestinationDir Windows Update と同期します。
-t timeout URL フェッチのタイムアウト (ミリ秒単位)。
-Unicode リダイレクトされた出力を Unicode で書き込みます。
-UnicodeText Unicode で出力ファイルを書き込みます。
-urlfetch AIA 証明書と CDP CRL を取得して確認します。
-利用者 HKEY_CURRENT_USER キーまたは証明書ストアを使用します。
-username username SSL 資格情報には名前付きアカウントを使用します。 選択 UI の場合は、-usernameを使用します。
-ut ユーザー テンプレートを表示します。
-v 詳細 (詳細) 情報を指定します。
-v1 V1 インターフェイスを使用します。

ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

このコマンドの使用方法の他の例については、次の記事を参照してください。

  • Active Directory 証明書サービス (AD CS) の
  • 証明書 を管理するための Certutil タスクを する
  • Windows で信頼されたルートと許可されていない証明書を構成する