certutil
注意
Certutil
は、運用コードで使用することはお勧めしません。また、ライブ サイトのサポートやアプリケーションの互換性を保証するものではありません。 これは、開発者と IT 管理者がデバイス上の証明書コンテンツ情報を表示するために利用するツールです。
Certutil.exe は、Certificate Services の一部としてインストールされるコマンド ライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報の表示、証明書サービスの構成、CA コンポーネントのバックアップと復元を行うことができます。 このプログラムでは、証明書、キー ペア、および証明書チェーンも検証されます。
certutil
が他のパラメーターなしで証明機関で実行されている場合は、現在の証明機関の構成が表示されます。
certutil
が他のパラメーターなしで非証明機関で実行されている場合、コマンドは既定で certutil -dump
コマンドを実行します。 certutil のすべてのバージョンで、このドキュメントで説明するすべてのパラメーターとオプションが提供されているわけではありません。
certutil -?
または certutil <parameter> -?
を実行すると、certutil のバージョンで提供される選択肢を確認できます。
先端
-?
引数から非表示になっている動詞やオプションなど、すべての certutil 動詞とオプションの完全なヘルプを表示するには、certutil -v -uSAGE
実行します。
uSAGE
スイッチでは大文字と小文字が区別されます。
パラメーター
-ダンプ
構成情報またはファイルをダンプします。
certutil [options] [-dump]
certutil [options] [-dump] File
オプション:
[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]
-dumpPFX
PFX 構造体をダンプします。
certutil [options] [-dumpPFX] File
オプション:
[-f] [-Silent] [-split] [-p Password] [-csp Provider]
-asn
抽象構文表記 (ASN.1) 構文を使用して、ファイルの内容を解析して表示します。 ファイルの種類は次のとおりです。CER、.DERおよび PKCS #7フォーマットのファイルを開ける。
certutil [options] -asn File [type]
-
[type]
: 数値CRYPT_STRING_* デコードの種類
-decodehex
16 進数でエンコードされたファイルをデコードします。
certutil [options] -decodehex InFile OutFile [type]
-
[type]
: 数値CRYPT_STRING_* デコードの種類
オプション:
[-f]
-encodehex
ファイルを 16 進数でエンコードします。
certutil [options] -encodehex InFile OutFile [type]
-
[type]
: 数値CRYPT_STRING_* エンコードの種類
オプション:
[-f] [-nocr] [-nocrlf] [-UnicodeText]
-デコード
Base64 でエンコードされたファイルをデコードします。
certutil [options] -decode InFile OutFile
オプション:
[-f]
-エンコードする
ファイルを Base64 にエンコードします。
certutil [options] -encode InFile OutFile
オプション:
[-f] [-unicodetext]
-打ち消す
保留中の要求を拒否します。
certutil [options] -deny RequestId
オプション:
[-config Machine\CAName]
-再
保留中の要求を再送信します。
certutil [options] -resubmit RequestId
オプション:
[-config Machine\CAName]
-setattributes
保留中の証明書要求の属性を設定します。
certutil [options] -setattributes RequestId AttributeString
どこ:
- RequestId は、保留中の要求の数値の要求 ID です。
- AttributeString は、要求属性の名前と値のペアです。
オプション:
[-config Machine\CAName]
備考
- 名前と値はコロンで区切る必要があり、複数の名前と値のペアは改行で区切る必要があります。 たとえば、
\n
シーケンスが改行区切り記号に変換される場所をCertificateTemplate:User\nEMail:User@Domain.com
します。
-setextension
保留中の証明書要求の拡張機能を設定します。
certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}
どこ:
- requestID は、保留中の要求の数値の要求 ID です。
- ExtensionName は、拡張機能の ObjectId 文字列です。
-
Flags 拡張機能の優先度を設定します。
0
をお勧めしますが、1
は拡張機能を critical に設定しますが、2
は拡張機能を無効にし、3
は両方を行います。
オプション:
[-config Machine\CAName]
備考
- 最後のパラメーターが数値の場合は、長い
と見なされます。 - 最後のパラメーターを日付として解析できる場合は、Dateと見なされます。
- 最後のパラメーターが
\@
で始まる場合、残りのトークンはバイナリ データまたは ascii テキストの 16 進ダンプを含むファイル名として取得されます。 - 最後のパラメーターがそれ以外の場合は、文字列として使用されます。
-取り消す
証明書を取り消します。
certutil [options] -revoke SerialNumber [Reason]
どこ:
- SerialNumber は、取り消す証明書のシリアル番号のコンマ区切りのリストです。
-
理由 は、次のような失効理由の数値表現またはシンボリック表現です。
- 0。CRL_REASON_UNSPECIFIED - 未指定 (既定)
- 1.CRL_REASON_KEY_COMPROMISE - 重要な侵害
- 2.CRL_REASON_CA_COMPROMISE - 証明機関の侵害
- 3.CRL_REASON_AFFILIATION_CHANGED - 所属の変更
- 4.CRL_REASON_SUPERSEDED - 置き換えられます
- 5.CRL_REASON_CESSATION_OF_OPERATION - 操作の停止
- 6.CRL_REASON_CERTIFICATE_HOLD - 証明書の保留
- 8.CRL_REASON_REMOVE_FROM_CRL - CRL からの削除
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 特権の取り消し
- 10: CRL_REASON_AA_COMPROMISE - AA 侵害
- -1. Unrevoke - Unrevokes
オプション:
[-config Machine\CAName]
-isvalid
現在の証明書の処理を表示します。
certutil [options] -isvalid SerialNumber | CertHash
オプション:
[-config Machine\CAName]
-getconfig
既定の構成文字列を取得します。
certutil [options] -getconfig
オプション:
[-idispatch] [-config Machine\CAName]
-getconfig2
ICertGetConfig を使用して既定の構成文字列を取得します。
certutil [options] -getconfig2
オプション:
[-idispatch]
-getconfig3
ICertConfig を使用して構成を取得します。
certutil [options] -getconfig3
オプション:
[-idispatch]
-ping
Active Directory 証明書サービス要求インターフェイスへの接続を試みます。
certutil [options] -ping [MaxSecondsToWait | CAMachineList]
どこ:
- CAMachineList は、CA マシン名のコンマ区切りのリストです。 1 台のコンピューターの場合は、終端のコンマを使用します。 このオプションでは、各 CA マシンのサイト コストも表示されます。
オプション:
[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-pingadmin
Active Directory 証明書サービス管理インターフェイスへの接続を試みます。
certutil [options] -pingadmin
オプション:
[-config Machine\CAName]
-CAInfo
証明機関に関する情報を表示します。
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
どこ:
-
InfoName は、次の infoname 引数構文に基づいて、表示する CA プロパティを示します。
- * - すべてのプロパティを表示します
- 広告 - Advanced Server
- aia [インデックス] - AIA URL
- cdp [Index] - CDP URL
- 証明書 [インデックス] - CA 証明書
- 証明書チェーン [インデックス] - CA 証明書チェーン
- certcount - CA 証明書の数
- certcrlchain [Index] - CRL を使用した CA 証明書チェーン
- certstate [Index] - CA 証明書
- certstatuscode [Index] - CA 証明書の検証状態
- certversion [Index] - CA 証明書のバージョン
- CRL [インデックス] - ベース CRL
- crlstate [Index] - CRL
- crlstatus [インデックス] - CRL 発行状態
- クロス - [インデックス] - 下位クロス証明書
- cross+ [Index] - クロス証明書の転送
- crossstate- [Index] - 下位クロス証明書
- crossstate+ [Index] - クロス証明書の転送
- deltacrl [Index] - Delta CRL
- deltacrlstatus [インデックス] - Delta CRL 発行状態
- dns - DNS 名
- dsname - サニタイズされた CA の短い名前 (DS 名)
- error1 ErrorCode - エラー メッセージ テキスト
- error2 ErrorCode - エラー メッセージのテキストとエラー コード
- exit [Index] - Exit モジュールの説明
- exitcount - Exit モジュール数
- ファイルの - ファイルのバージョン
- 情報 - CA 情報
- kra [インデックス] - KRA 証明書
- kracount - KRA 証明書の数
- krastate [インデックス] - KRA 証明書
- kraused - KRA 証明書の使用数
- localename - CA ロケール名
- 名 - CA 名
- ocsp [インデックス] - OCSP URL
- 親 - 親 CA
- ポリシー - ポリシー モジュールの説明
- 製品 の
- 製品バージョン - propidmax - 最大 CA PropId
- ロールの - ロールの分離
- sanitizedname - サニタイズされた CA 名
- sharedfolder - 共有フォルダー
- subjecttemplateoid - サブジェクト テンプレート OID
- テンプレート - テンプレート
- の種類 - CA の種類
- xchg [Index] - CA Exchange 証明書
- xchgchain [Index] - CA Exchange 証明書チェーン
- xchgcount - CA Exchange 証明書の数
- xchgcrlchain [Index] - CRL を使用した CA Exchange 証明書チェーン
- インデックス は、オプションの 0 から始まるプロパティ インデックスです。
- エラー コード
数値エラー コードです。
オプション:
[-f] [-split] [-config Machine\CAName]
-CAPropInfo
CA プロパティの種類の情報を表示します。
certutil [options] -CAInfo [InfoName [Index | ErrorCode]]
オプション:
[-idispatch] [-v1] [-admin] [-config Machine\CAName]
-ca.cert
証明機関の証明書を取得します。
certutil [options] -ca.cert OutCACertFile [Index]
どこ:
- OutCACertFile
出力ファイルです。 - インデックス は、CA 証明書の更新インデックスです (既定値は最新)。
オプション:
[-f] [-split] [-config Machine\CAName]
-ca.chain
証明機関の証明書チェーンを取得します。
certutil [options] -ca.chain OutCACertChainFile [Index]
どこ:
- OutCACertChainFile
出力ファイルです。 - インデックス は、CA 証明書の更新インデックスです (既定値は最新)。
オプション:
[-f] [-split] [-config Machine\CAName]
-GetCRL
証明書失効リスト (CRL) を取得します。
certutil [options] -GetCRL OutFile [Index] [delta]
どこ:
- インデックス は CRL インデックスまたはキー インデックスです (最新のキーの場合、既定では CRL に設定されます)。
- デルタ
デルタ CRL (既定値はベース CRL) です。
オプション:
[-f] [-split] [-config Machine\CAName]
-CRL
新しい証明書失効リスト (CRL) またはデルタ CRL を発行します。
certutil [options] -CRL [dd:hh | republish] [delta]
どこ:
- dd:hh は、新しい CRL 有効期間 (日と時間) です。
- 、最新の CRL を再発行 再発行します。
- デルタ
は、デルタ CRL のみを発行します (既定値は基本 CRL とデルタ CRL です)。
オプション:
[-split] [-config Machine\CAName]
-シャットダウン
Active Directory 証明書サービスをシャットダウンします。
certutil [options] -shutdown
オプション:
[-config Machine\CAName]
-installCert
証明機関の証明書をインストールします。
certutil [options] -installCert [CACertFile]
オプション:
[-f] [-silent] [-config Machine\CAName]
-renewCert
証明機関の証明書を更新します。
certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]
オプション:
[-f] [-silent] [-config Machine\CAName]
- 未処理の更新要求を無視し、新しい要求を生成するには、
-f
を使用します。
-スキーマ
証明書のスキーマをダンプします。
certutil [options] -schema [Ext | Attrib | CRL]
どこ:
- このコマンドは、既定で Request テーブルと Certificate テーブルに設定されます。
- 拡張テーブル Ext です。
- 属性 は属性テーブルです。
- CRL
CRL テーブルです。
オプション:
[-split] [-config Machine\CAName]
-眺める
証明書ビューをダンプします。
certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
どこ:
- Queue は、特定の要求キューをダンプします。
- ログ は、発行された証明書または失効した証明書と失敗した要求をダンプします。
- LogFail
は、失敗した要求をダンプします。 - 失効 は、失効した証明書をダンプします。
- Ext
拡張テーブルがダンプされます。 - attrib
属性テーブルがダンプされます。 - CRL
CRL テーブルをダンプします。 - csv は、コンマ区切りの値を使用して出力を提供します。
オプション:
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
備考
- すべてのエントリの StatusCode 列を表示するには、「
-out StatusCode
- 最後のエントリのすべての列を表示するには、「
-restrict RequestId==$
」と入力します。 - 3 つの要求の RequestId と Disposition を表示するには、「
-restrict requestID>=37,requestID<40 -out requestID,disposition
- すべての基本 CRL の行 ID 行 ID および CRL 番号 を表示するには、次のように入力します
-restrict crlminbase=0 -out crlrowID,crlnumber crl
- ベース CRL 番号 3 を表示するには、「
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
- CRL テーブル全体を表示するには、「
CRL
- 日付の制限には
Date[+|-dd:hh]
を使用します。 - 現在の時刻を基準にした日付には、
now+dd:hh
を使用します。 - テンプレートには拡張キー使用法 (EKU) が含まれています。これは、証明書の使用方法を記述するオブジェクト識別子 (OID) です。 証明書にはテンプレート共通名や表示名が常に含まれているわけではありませんが、テンプレート EKU は常に含まれます。 Active Directory から特定の証明書テンプレートの EKU を抽出し、その拡張機能に基づいてビューを制限できます。
-db
生データベースをダンプします。
certutil [options] -db
オプション:
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
-deleterow
サーバー データベースから行を削除します。
certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]
どこ:
- 要求 は、送信日に基づいて、失敗した要求と保留中の要求を削除します。
- 証明書 は、有効期限に基づいて、期限切れの証明書と失効した証明書を削除します。
- 拡張テーブル
削除します。 - attrib
属性テーブルを削除します。 - CRL
CRL テーブルを削除します。
オプション:
[-f] [-config Machine\CAName]
例
- 2001 年 1 月 22 日までに送信された失敗した要求と保留中の要求を削除するには、「:
1/22/2001 request
- 2001 年 1 月 22 日までに期限切れになったすべての証明書を削除するには、「
1/22/2001 cert
- RequestID 37 の証明書の行、属性、および拡張機能を削除するには、「
37
- 2001 年 1 月 22 日までに期限切れになった CRL を削除するには、「
1/22/2001 crl
手記
日付 では、2001 年 1 月 22 日に 22/1/2001
するのではなく、dd/mm/yyyy
ではなく mm/dd/yyyy
形式が 1/22/2001
されます。 サーバーが米国の地域設定で構成されていない場合は、Date 引数を使用すると、予期しない結果が発生する可能性があります。
-バックアップ
Active Directory 証明書サービスをバックアップします。
certutil [options] -backup BackupDirectory [Incremental] [KeepLog]
どこ:
- BackupDirectory は、バックアップされたデータを格納するディレクトリです。
- 増分 は増分バックアップのみを実行します (既定では完全バックアップです)。
- KeepLog
は、データベース ログ ファイルを保持します (既定では、ログ ファイルを切り捨てます)。
オプション:
[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]
-backupDB
Active Directory 証明書サービス データベースをバックアップします。
certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]
どこ:
- BackupDirectory は、バックアップされたデータベース ファイルを格納するディレクトリです。
- 増分 は増分バックアップのみを実行します (既定では完全バックアップです)。
- KeepLog
は、データベース ログ ファイルを保持します (既定では、ログ ファイルを切り捨てます)。
オプション:
[-f] [-config Machine\CAName]
-backupkey
Active Directory 証明書サービスの証明書と秘密キーをバックアップします。
certutil [options] -backupkey BackupDirectory
どこ:
- BackupDirectory は、バックアップされた PFX ファイルを格納するディレクトリです。
オプション:
[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]
-戻す
Active Directory 証明書サービスを復元します。
certutil [options] -restore BackupDirectory
どこ:
- BackupDirectory は、復元するデータを含むディレクトリです。
オプション:
[-f] [-config Machine\CAName] [-p password]
-restoredb
Active Directory 証明書サービス データベースを復元します。
certutil [options] -restoredb BackupDirectory
どこ:
- BackupDirectory は、復元するデータベース ファイルを含むディレクトリです。
オプション:
[-f] [-config Machine\CAName]
-restorekey
Active Directory 証明書サービスの証明書と秘密キーを復元します。
certutil [options] -restorekey BackupDirectory | PFXFile
どこ:
- BackupDirectory は、復元する PFX ファイルを含むディレクトリです。
- PFXFile は、復元する PFX ファイルです。
オプション:
[-f] [-config Machine\CAName] [-p password]
-exportPFX
証明書と秘密キーをエクスポートします。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]
どこ:
- CertificateStoreName は、証明書ストアの名前です。
- CertId は、証明書または CRL の一致トークンです。
- PFXFile は、エクスポートする PFX ファイルです。
-
修飾子 はコンマ区切りのリストであり、次の 1 つ以上を含めることができます。
-
CryptoAlgorithm= は、PFX ファイルの暗号化に使用する暗号化アルゴリズム (
TripleDES-Sha1
やAes256-Sha256
など) を指定します。 - EncryptCert - 証明書に関連付けられている秘密キーをパスワードで暗号化します。
- ExportParameters 、証明書と秘密キーに加えて、秘密キーパラメーターを -Exports します。
- ExtendedProperties - 証明書に関連付けられているすべての拡張プロパティを出力ファイルに含めます。
- NoEncryptCert - 秘密キーを暗号化せずにエクスポートします。
- NoChain - 証明書チェーンをインポートしません。
- NoRoot - ルート証明書をインポートしません。
-
CryptoAlgorithm= は、PFX ファイルの暗号化に使用する暗号化アルゴリズム (
-importPFX
証明書と秘密キーをインポートします。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]
どこ:
- CertificateStoreName は、証明書ストアの名前です。
- PFXFile は、インポートする PFX ファイルです。
-
修飾子 はコンマ区切りのリストであり、次の 1 つ以上を含めることができます。
- AT_KEYEXCHANGE - keyspec をキー交換に変更します。
- AT_SIGNATURE - keyspec を署名に変更します。
- ExportEncrypted - パスワード暗号化を使用して証明書に関連付けられている秘密キーをエクスポートします。
- FriendlyName= - インポートされた証明書のフレンドリ名を指定します。
- KeyDescription= - インポートされた証明書に関連付けられている秘密キーの説明を指定します。
- KeyFriendlyName= - インポートされた証明書に関連付けられている秘密キーのフレンドリ名を指定します。
- NoCert - 証明書をインポートしません。
- NoChain - 証明書チェーンをインポートしません。
- NoExport - 秘密キーをエクスポート不可にします。
- NoProtect - パスワードを使用してキーをパスワードで保護しません。
- NoRoot - ルート証明書をインポートしません。
- Pkcs8 - PFX ファイルの秘密キーに PKCS8 形式を使用します。
- の保護 - パスワードを使用してキーを保護します。
- ProtectHigh - セキュリティの高いパスワードを秘密キーに関連付ける必要があることを指定します。
- VSM - インポートされた証明書に関連付けられている秘密キーを仮想スマート カード (VSC) コンテナーに格納します。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]
備考
- 既定では、個人用コンピューター ストアが使用されます。
-dynamicfilelist
動的ファイルの一覧を表示します。
certutil [options] -dynamicfilelist
オプション:
[-config Machine\CAName]
-databaselocations
データベースの場所を表示します。
certutil [options] -databaselocations
オプション:
[-config Machine\CAName]
-hashfile
ファイルに対する暗号化ハッシュを生成して表示します。
certutil [options] -hashfile InFile [HashAlgorithm]
-店
証明書ストアをダンプします。
certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]
どこ:
CertificateStoreName
証明書ストア名です。 例えば: My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId は、証明書または CRL の一致トークンです。 この ID は次のようになります。
- シリアル番号
- SHA-1 証明書
- CRL、CTL、または公開キー ハッシュ
- 数値証明書インデックス (0、1 など)
- 数値 CRL インデックス (.0、.1 など)
- 数値 CTL インデックス (..0, ..1 など)
- 公開キー
- Signature または extension ObjectId
- 証明書サブジェクトの共通名
- メルアド
- UPN または DNS 名
- キー コンテナー名または CSP 名
- テンプレート名または ObjectId
- EKU またはアプリケーション ポリシー ObjectId
- CRL 発行者の共通名。
これらの識別子の多くは、複数の一致が発生する可能性があります。
- OutputFile は、一致する証明書を保存するために使用されるファイルです。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
-
-user
オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。 -
-enterprise
オプションは、コンピューターエンタープライズ ストアにアクセスします。 -
-service
オプションは、マシン サービス ストアにアクセスします。 -
-grouppolicy
オプションは、マシン グループ ポリシー ストアにアクセスします。
例えば:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
手記
パフォーマンスの問題は、次の 2 つの側面を考えると、-store
パラメーターを使用するときに観察されます。
- ストア内の証明書の数が 10 を超える場合。
- CertId を指定すると、すべての証明書に対して一覧表示されているすべての種類を照合するために使用されます。 たとえば、シリアル番号 が指定されている場合は、リストされている他のすべての型との照合も試みます。
パフォーマンスの問題が懸念される場合は、指定された証明書の種類にのみ一致する PowerShell コマンドをお勧めします。
-enumstore
証明書ストアを列挙します。
certutil [options] -enumstore [\\MachineName]
どこ:
- MachineName はリモート コンピューター名です。
オプション:
[-enterprise] [-user] [-grouppolicy]
-addstore
ストアに証明書を追加します。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -addstore CertificateStoreName InFile
どこ:
- CertificateStoreName
証明書ストア名です。 - InFile は、ストアに追加する証明書または CRL ファイルです。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
-delstore
ストアから証明書を削除します。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -delstore CertificateStoreName certID
どこ:
- CertificateStoreName
証明書ストア名です。 - CertId は、証明書または CRL の一致トークンです。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]
-verifystore
ストア内の証明書を検証します。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -verifystore CertificateStoreName [CertId]
どこ:
- CertificateStoreName
証明書ストア名です。 - CertId は、証明書または CRL の一致トークンです。
オプション:
[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]
-repairstore
キーの関連付けを修復するか、証明書のプロパティまたはキーセキュリティ記述子を更新します。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]
どこ:
CertificateStoreName
証明書ストア名です。 CertIdList は、証明書または CRL の一致トークンのコンマ区切りの一覧です。 詳細については、この記事の
-store
CertId の説明を参照してください。PropertyInfFile は、次のような外部プロパティを含む INF ファイルです。
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]
-viewstore
証明書ストアをダンプします。 詳細については、この記事の -store
パラメーターを参照してください。
certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]
どこ:
CertificateStoreName
証明書ストア名です。 例えば: My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId は、証明書または CRL の一致トークンです。 次の場合があります。
- シリアル番号
- SHA-1 証明書
- CRL、CTL、または公開キー ハッシュ
- 数値証明書インデックス (0、1 など)
- 数値 CRL インデックス (.0、.1 など)
- 数値 CTL インデックス (..0, ..1 など)
- 公開キー
- Signature または extension ObjectId
- 証明書サブジェクトの共通名
- メルアド
- UPN または DNS 名
- キー コンテナー名または CSP 名
- テンプレート名または ObjectId
- EKU またはアプリケーション ポリシー ObjectId
- CRL 発行者の共通名。
これらの多くは、複数の一致が発生する可能性があります。
- OutputFile は、一致する証明書を保存するために使用されるファイルです。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
-
-user
オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。 -
-enterprise
オプションは、コンピューターエンタープライズ ストアにアクセスします。 -
-service
オプションは、マシン サービス ストアにアクセスします。 -
-grouppolicy
オプションは、マシン グループ ポリシー ストアにアクセスします。
例えば:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-viewdelstore
ストアから証明書を削除します。
certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]
どこ:
CertificateStoreName
証明書ストア名です。 例えば: My, CA (default), Root,
ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
ldap: (AD computer object certificates)
-user ldap: (AD user object certificates)
CertId は、証明書または CRL の一致トークンです。 次の場合があります。
- シリアル番号
- SHA-1 証明書
- CRL、CTL、または公開キー ハッシュ
- 数値証明書インデックス (0、1 など)
- 数値 CRL インデックス (.0、.1 など)
- 数値 CTL インデックス (..0, ..1 など)
- 公開キー
- Signature または extension ObjectId
- 証明書サブジェクトの共通名
- メルアド
- UPN または DNS 名
- キー コンテナー名または CSP 名
- テンプレート名または ObjectId
- EKU またはアプリケーション ポリシー ObjectId
- CRL 発行者の共通名。
これらの多くは、複数の一致が発生する可能性があります。
- OutputFile は、一致する証明書を保存するために使用されるファイルです。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
-
-user
オプションは、コンピューター ストアではなくユーザー ストアにアクセスします。 -
-enterprise
オプションは、コンピューターエンタープライズ ストアにアクセスします。 -
-service
オプションは、マシン サービス ストアにアクセスします。 -
-grouppolicy
オプションは、マシン グループ ポリシー ストアにアクセスします。
例えば:
-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11
-UI
certutil インターフェイスを呼び出します。
certutil [options] -UI File [import]
-TPMInfo
トラステッド プラットフォーム モジュール情報を表示します。
certutil [options] -TPMInfo
オプション:
[-f] [-Silent] [-split]
-アテスト
証明書要求ファイルを構成証明する必要があることを指定します。
certutil [options] -attest RequestFile
オプション:
[-user] [-Silent] [-split]
-getcert
選択 UI から証明書を選択します。
certutil [options] [ObjectId | ERA | KRA [CommonName]]
オプション:
[-Silent] [-split]
-ds
ディレクトリ サービス (DS) 識別名 (DN) を表示します。
certutil [options] -ds [CommonName]
オプション:
[-f] [-user] [-split] [-dc DCName]
-dsDel
DS DN を削除します。
certutil [options] -dsDel [CommonName]
オプション:
[-user] [-split] [-dc DCName]
-dsPublish
証明書または証明書失効リスト (CRL) を Active Directory に発行します。
certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
どこ:
- CertFile は、発行する証明書ファイルの名前です。
- NTAuthCA
、証明書を DS Enterprise ストアに発行します。 - RootCA は、証明書を DS 信頼されたルート ストアに発行します。
- SubCA は、CA 証明書を DS CA オブジェクトに発行します。
- crossCA
は、クロス証明書を DS CA オブジェクトに発行します。 - KRA
、証明書を DS キー回復エージェント オブジェクトに発行します。 - ユーザー は、ユーザー DS オブジェクトに証明書を発行します。
- Machine は、証明書を Machine DS オブジェクトに発行します。
- CRLfile は、発行する CRL ファイルの名前です。
- DSCDPContainer は DS CDP コンテナー CN (通常は CA マシン名) です。
- DSCDPCN は、サニタイズされた CA の短い名前とキー インデックスに基づく DS CDP オブジェクト CN です。
オプション:
[-f] [-user] [-dc DCName]
-
-f
を使用して新しい DS オブジェクトを作成します。
-dsCert
DS 証明書を表示します。
certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]
オプション:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsCRL
DS CRL を表示します。
certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]
オプション:
[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsDeltaCRL
DS デルタ CRL を表示します。
certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]
オプション:
[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]
-dsTemplate
DS テンプレート属性を表示します。
certutil [options] -dsTemplate [Template]
オプション:
[Silent] [-dc DCName]
-dsAddTemplate
DS テンプレートを追加します。
certutil [options] -dsAddTemplate TemplateInfFile
オプション:
[-dc DCName]
-ADTemplate
Active Directory テンプレートを表示します。
certutil [options] -ADTemplate [Template]
オプション:
[-f] [-user] [-ut] [-mt] [-dc DCName]
-テンプレート
証明書登録ポリシー テンプレートを表示します。
オプション:
certutil [options] -Template [Template]
オプション:
[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-TemplateCAs
証明書テンプレートの証明機関 (CA) を表示します。
certutil [options] -TemplateCAs Template
オプション:
[-f] [-user] [-dc DCName]
-CATemplates
証明機関のテンプレートを表示します。
certutil [options] -CATemplates [Template]
オプション:
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
-SetCATemplates
証明機関が発行できる証明書テンプレートを設定します。
certutil [options] -SetCATemplates [+ | -] TemplateList
どこ:
-
+
記号は、CA の使用可能なテンプレートリストに証明書テンプレートを追加します。 -
-
記号は、CA の使用可能なテンプレートの一覧から証明書テンプレートを削除します。
-SetCASites
証明機関のサイト名の設定、検証、削除など、サイト名を管理します。
certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete
どこ:
- SiteName は、単一の証明機関を対象とする場合にのみ許可されます。
オプション:
[-f] [-config Machine\CAName] [-dc DCName]
備考
-
-config
オプションは、1 つの証明機関を対象とします (既定値はすべての CA です)。 -
-f
オプションを使用すると、指定した SiteName の検証エラーをオーバーライドしたり、すべての CA サイト名を削除することができます。
手記
Active Directory Domain Services (AD DS) サイト認識用に CA を構成する方法の詳細については、「AD CS および PKI クライアントの AD DS Site Awareness
-enrollmentServerURL
CA に関連付けられている登録サーバーの URL を表示、追加、または削除します。
certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete
どこ:
-
AuthenticationType では、URL を追加するときに、次のいずれかのクライアント認証方法を指定します。
- Kerberos - Kerberos SSL 資格情報を使用します。
- UserName - SSL 資格情報に名前付きアカウントを使用します。
- ClientCertificate - X.509 証明書 SSL 資格情報を使用します。
- 匿名 - 匿名 SSL 資格情報を使用します。
- 削除 、CA に関連付けられている指定された URL を削除します。
-
優先度 は、URL の追加時に指定されていない場合は既定で
1
されます。 -
修飾子 はコンマ区切りのリストであり、次の 1 つ以上が含まれます。
- AllowRenewalsOnly 更新要求のみをこの URL を介してこの CA に送信できます。
- AllowKeyBasedRenewal を
すると、AD に関連付けられたアカウントを持たない証明書を使用できます。 これは、 ClientCertificate と AllowRenewalsOnly モード場合にのみ適用されます。
オプション:
[-config Machine\CAName] [-dc DCName]
-ADCA
Active Directory 証明機関を表示します。
certutil [options] -ADCA [CAName]
オプション:
[-f] [-split] [-dc DCName]
-CA
登録ポリシー証明機関を表示します。
certutil [options] -CA [CAName | TemplateName]
オプション:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-政策
登録ポリシーを表示します。
certutil [options] -Policy
オプション:
[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-PolicyCache
登録ポリシー キャッシュ エントリを表示または削除します。
certutil [options] -PolicyCache [delete]
どこ:
- 削除 ポリシー サーバーのキャッシュ エントリを削除します。
- -f はすべてのキャッシュ エントリを削除します
オプション:
[-f] [-user] [-policyserver URLorID]
-CredStore
資格情報ストアのエントリを表示、追加、または削除します。
certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete
どこ:
-
URL はターゲット URL です。
*
を使用してすべてのエントリを照合したり、URL プレフィックスに一致するhttps://machine*
を使用したりすることもできます。 - 資格情報ストア エントリ 追加 追加します。 このオプションを使用するには、SSL 資格情報も使用する必要があります。
- 削除 資格情報ストアエントリを削除します。
- -f は、1 つのエントリを上書きするか、複数のエントリを削除します。
オプション:
[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-InstallDefaultTemplates
既定の証明書テンプレートをインストールします。
certutil [options] -InstallDefaultTemplates
オプション:
[-dc DCName]
-URL
証明書または CRL URL を検証します。
certutil [options] -URL InFile | URL
オプション:
[-f] [-split]
-URLCache
URL キャッシュ エントリを表示または削除します。
certutil [options] -URLcache [URL | CRL | * [delete]]
どこ:
- URL はキャッシュされた URL です。
- CRL は、キャッシュされたすべての CRL URL でのみ実行されます。
- * は、キャッシュされたすべての URL に対して動作します。
- 削除、現在のユーザーのローカル キャッシュから関連する URL を削除します。
- -f は、特定の URL のフェッチとキャッシュの更新を強制します。
オプション:
[-f] [-split]
-脈拍
自動登録イベントまたは NGC タスクをパルスします。
certutil [options] -pulse [TaskName [SRKThumbprint]]
どこ:
- TaskName
は、トリガーするタスクです。 - Pregen は NGC キーのプリジェン タスクです。
- AIKEnroll は、NGC AIK 証明書登録タスクです。 (既定では自動登録イベントです)。
- SRKThumbprint は、ストレージ ルート キーの拇印です
-
修飾子:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam
オプション:
[-user]
-MachineInfo
Active Directory コンピューター オブジェクトに関する情報を表示します。
certutil [options] -MachineInfo DomainName\MachineName$
-DCInfo
ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。
certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
修飾子:
- 確かめる
- DeleteBad
- DeleteAll
オプション:
[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
先端
[ドメイン]
- ドメインが指定されておらず、特定のドメイン コントローラーが指定されていない場合、このオプションは既定のドメイン コントローラーから処理するドメイン コントローラーの一覧を返します。
- ドメインが指定されていないが、ドメイン コントローラーが指定されている場合は、指定されたドメイン コントローラー上の証明書のレポートが生成されます。
- ドメインが指定されているが、ドメイン コントローラーが指定されていない場合は、ドメイン コントローラーの一覧と、一覧内の各ドメイン コントローラーの証明書に関するレポートが生成されます。
- ドメインとドメイン コントローラーが指定されている場合は、対象のドメイン コントローラーからドメイン コントローラーの一覧が生成されます。 一覧内の各ドメイン コントローラーの証明書のレポートも生成されます。
たとえば、CPANDL-DC1 という名前のドメイン コントローラーを持つ CPANDL という名前のドメインがあるとします。 CPANDL-DC1 からドメイン コントローラーとその証明書の一覧を取得するには、次のコマンドを実行します:certutil -dc cpandl-dc1 -DCInfo cpandl
。
-EntInfo
エンタープライズ証明機関に関する情報を表示します。
certutil [options] -EntInfo DomainName\MachineName$
オプション:
[-f] [-user]
-TCAInfo
証明機関に関する情報を表示します。
certutil [options] -TCAInfo [DomainDN | -]
オプション:
[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
-SCInfo
スマート カードに関する情報を表示します。
certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]
どこ:
- CRYPT_DELETEKEYSET スマート カード上のすべてのキーを削除します。
オプション:
[-Silent] [-split] [-urlfetch] [-t Timeout]
-SCRoots
スマート カードのルート証明書を管理します。
certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]
オプション:
[-f] [-split] [-p Password]
-鍵
キー コンテナーに格納されているキーを一覧表示します。
certutil [options] -key [KeyContainerName | -]
どこ:
-
KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、
-user
を使用します。 -
-
記号の使用は、既定のキー コンテナーの使用を指します。
オプション:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-delkey
名前付きキー コンテナーを削除します。
certutil [options] -delkey KeyContainerName
オプション:
[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]
-DeleteHelloContainer
Windows Hello コンテナーを削除し、WebAuthn と FIDO の資格情報を含め、デバイスに格納されているすべての関連付けられている資格情報を削除します。
このオプションを使用して完了するには、ユーザーがサインアウトする必要があります。
certutil [options] -DeleteHelloContainer
-verifykeys
公開キーまたは秘密キー セットを検証します。
certutil [options] -verifykeys [KeyContainerName CACertFile]
どこ:
-
KeyContainerName は、検証するキーのキー コンテナー名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、
-user
を使用します。 - CACertFile
、証明書ファイルの署名または暗号化を行います。
オプション:
[-f] [-user] [-Silent] [-config Machine\CAName]
備考
- 引数が指定されていない場合、各署名 CA 証明書は秘密キーに対して検証されます。
- この操作は、ローカル CA またはローカル キーに対してのみ実行できます。
-確かめる
証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。
certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]
どこ:
- CertFile
は、検証する証明書の名前です。 - ApplicationPolicyList は、必要なアプリケーション ポリシー ObjectId の省略可能なコンマ区切りの一覧です。
- IssuancePolicyList は、必要な発行ポリシー ObjectId の省略可能なコンマ区切りのリストです。
- CACertFile
は、検証対象のオプションの発行元 CA 証明書です。 - crossedCACertFile
は、 CertFile によってクロス認定されるオプションの証明書です。 - CRLFile は、CACertFileの検証に使用される CRL ファイルです。
- issuedCertFile
は、CRLfile の対象となるオプションの発行済み証明書です。 - DeltaCRLFile
は、オプションのデルタ CRL ファイルです。 -
修飾子:
- 厳密 - 強力な署名の検証
- MSRoot - Microsoft ルートにチェーンする必要があります
- MSTestRoot - Microsoft テスト ルートにチェーンする必要があります
- AppRoot - Microsoft アプリケーション ルートにチェーンする必要があります
- EV - 拡張検証ポリシーの適用
オプション:
[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]
備考
- ApplicationPolicyList を使用すると、指定したアプリケーション ポリシーに対して有効なチェーンのみにチェーン構築が制限されます。
- IssuancePolicyList を使用すると、指定された発行ポリシーに対して有効なチェーンのみにチェーン構築が制限されます。
CACertFile を使用すると、ファイル内のフィールドが CertFile または CRLfile検証されます。 - CACertFile
指定されていない場合は、 CertFile に対して完全なチェーンが構築され、検証されます。 - CACertFile
と CrossedCACertFile の両方が指定されている場合、両方のファイル内のフィールドが CertFile に対して検証されます。 - IssuedCertFile
を使用すると、ファイル内のフィールドが CRLfile 検証されます。 - DeltaCRLFile を使用すると、ファイル内のフィールドが CertFileに対して検証されます。
-verifyCTL
AuthRoot または許可されていない証明書 CTL を検証します。
certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]
どこ:
CTLObject は、検証する CTL を次に示します。
- AuthRootWU
、URL キャッシュから AuthRoot CAB と一致する証明書を読み取ります。 代わりに、 -f
を使用して Windows Update からダウンロードします。 - 許可されていないWU
、許可されていない証明書 CAB と許可されていない証明書ストア ファイルを URL キャッシュから読み取ります。 代わりに、 -f
を使用して Windows Update からダウンロードします。- PinRulesWU
は、URL キャッシュから PinRules CAB を読み取ります。 代わりに、 -f
を使用して Windows Update からダウンロードします。
- PinRulesWU
- AuthRoot
、レジストリ キャッシュされた AuthRoot CTL を読み取ります。 と信頼されていない CertFile と共に使用して、AuthRoot および許可されていない証明書の CCTLキャッシュされたレジストリを強制的に更新します。 -
許可されていない は、レジストリ キャッシュされた許可されていない証明書 CTL を読み取ります。
と信頼されていない CertFile と共に使用して、AuthRoot および許可されていない証明書の CCTLキャッシュされたレジストリを強制的に更新します。 -
PinRules は、レジストリにキャッシュされた PinRules CTL を読み取ります。
-f
の使用は、PinRulesWUと同じ動作になります。
-
PinRules は、レジストリにキャッシュされた PinRules CTL を読み取ります。
- CTLFileName
、CTL または CAB ファイルへのファイルまたは http パスを指定します。
- AuthRootWU
CertDir
は、CTL エントリに一致する証明書を含むフォルダーを指定します。 既定では、CTLobjectと同じフォルダーまたは Web サイトが使用されます。 http フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 AuthRoot または許可されていない指定しない場合は、ローカル証明書ストア、crypt32.dll リソース、ローカル URL キャッシュなど、一致する証明書が複数の場所で検索されます。 必要に応じて、 -f
を使用して Windows Update からダウンロードします。CertFile は、検証する証明書を指定します。 証明書は CTL エントリと照合され、結果が表示されます。 このオプションでは、既定の出力の大部分が抑制されます。
オプション:
[-f] [-user] [-split]
-syncWithWU
証明書を Windows Update と同期します。
certutil [options] -syncWithWU DestinationDir
どこ:
- DestinationDir
指定したディレクトリです。 - f
、強制的に上書きします。 - Unicode は、リダイレクトされた出力を Unicode で書き込みます。
- gmt では、時刻が GMT として表示されます。
- 秒 秒とミリ秒の時間が表示されます。
- v は詳細な操作です。
- PIN はスマート カード PIN です。
-
WELL_KNOWN_SID_TYPE は数値 SID です。
- 22 - ローカル システム
- 23 - ローカル サービス
- 24 - ネットワーク サービス
備考
自動更新メカニズムを使用して、次のファイルがダウンロードされます。
- authrootstl.cab には、Microsoft 以外のルート証明書の CCTL が含まれています。
- disallowedcertstl.cab には、信頼されていない証明書の CTL が含まれています。
- disallowedcert.sst
、信頼されていない証明書を含むシリアル化された証明書ストアが含まれます。 - 拇印.crt には、Microsoft 以外のルート証明書が含まれています。
たとえば、certutil -syncWithWU \\server1\PKI\CTLs
します。
存在しないローカル パスまたはフォルダーを宛先フォルダーとして使用すると、次のエラーが表示されます:
The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
存在しない、または使用できないネットワークの場所を宛先フォルダーとして使用すると、次のエラーが表示されます:
The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
サーバーが TCP ポート 80 経由で Microsoft 自動更新サーバーに接続できない場合は、次のエラーが表示されます:
A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
DNS 名が
ctldl.windowsupdate.com
された Microsoft 自動更新サーバーにサーバーが到達できない場合は、次のエラーが表示されます:The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
-f
スイッチを使用せず、ディレクトリに既に CTL ファイルが存在する場合は、次のエラーが表示されます。certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
信頼されたルート証明書に変更がある場合は、
Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.
オプション:
[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]
-generateSSTFromWU
Windows Update と同期されるストア ファイルを生成します。
certutil [options] -generateSSTFromWU SSTFile
どこ:
-
SSTFile は、Windows Update からダウンロードしたサード パーティルートを含む、生成される
.sst
ファイルです。
オプション:
[-f] [-split]
-generatePinRulesCTL
ピン留め規則の一覧を含む証明書信頼リスト (CTL) ファイルを生成します。
certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]
どこ:
- XMLFile は、解析する入力 XML ファイルです。
- CTLFile は、生成される出力 CTL ファイルです。
-
SSTFile は、ピン留めするために使用されるすべての証明書を含む、作成するオプションの
.sst
ファイルです。 -
QueryFilesPrefix は、データベース クエリ用に作成するオプションの Domains.csv ファイルと Keys.csv ファイルです。
- QueryFilesPrefix 文字列は、作成された各ファイルの先頭に付加されます。
- Domains.csv ファイルには、ルール名、ドメイン行が含まれています。
- Keys.csv ファイルには、ルール名、キー SHA256 拇印行が含まれています。
オプション:
[-f]
-downloadOcsp
OCSP 応答をダウンロードし、ディレクトリに書き込みます。
certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]
どこ:
- CertificateDir
は、証明書、ストア、および PFX ファイルのディレクトリです。 - OcspDir
は、OCSP 応答を書き込むディレクトリです。 - ThreadCount は、同時ダウンロードのスレッドの最大数 (省略可能) です。 既定値は 10です。
-
修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
- DownloadOnce - 1 回ダウンロードして終了します。
- ReadOcsp - 書き込む代わりに OcspDir から読み取ります。
-generateHpkpHeader
指定したファイルまたはディレクトリ内の証明書を使用して HPKP ヘッダーを生成します。
certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]
どこ:
- CertFileOrDir は、pin-sha256 のソースである証明書のファイルまたはディレクトリです。
- MaxAge
は、秒単位の最長有効期間の値です。 - ReportUri は省略可能な report-uri です。
-
修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
- includeSubDomains - includeSubDomains を追加します。
-flushCache
lsass.exeなど、選択したプロセスで指定されたキャッシュをフラッシュします。
certutil [options] -flushCache ProcessId CacheMask [Modifiers]
どこ:
ProcessId は、フラッシュするプロセスの数値 ID です。 フラッシュが有効になっているすべてのプロセスをフラッシュするには、0 に設定します。
CacheMask は、数値または次のビットをフラッシュするキャッシュのビット マスクです。
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
- の表示 - フラッシュされるキャッシュを表示します。 Certutil は明示的に終了する必要があります。
-addEccCurve
ECC 曲線を追加します。
certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]
どこ:
CurveClass は ECC 曲線クラス タイプです。
- WEIERSTRASS (既定)
- モンゴメリー
- TWISTED_EDWARDS
CurveName は ECC 曲線名です。
CurveParameters は、次のいずれかです。
- ASN でエンコードされたパラメーターを含む証明書ファイル名。
- ASN でエンコードされたパラメーターを含むファイル。
CurveOID は ECC 曲線 OID であり、次のいずれかです。
- ASN でエンコードされた OID を含む証明書ファイル名。
- 明示的な ECC 曲線 OID。
CurveType
は、Schannel ECC NamedCurve ポイント (数値) です。
オプション:
[-f]
-deleteEccCurve
ECC 曲線を削除します。
certutil [options] -deleteEccCurve CurveName | CurveOID
どこ:
- CurveName は ECC 曲線名です。
- CurveOID は ECC 曲線 OID です。
オプション:
[-f]
-displayEccCurve
ECC カーブを表示します。
certutil [options] -displayEccCurve [CurveName | CurveOID]
どこ:
- CurveName は ECC 曲線名です。
- CurveOID は ECC 曲線 OID です。
オプション:
[-f]
-csplist
暗号化操作のためにこのマシンにインストールされている暗号化サービス プロバイダー (CSP) を一覧表示します。
certutil [options] -csplist [Algorithm]
オプション:
[-user] [-Silent] [-csp Provider]
-csptest
このマシンにインストールされている CSP をテストします。
certutil [options] -csptest [Algorithm]
オプション:
[-user] [-Silent] [-csp Provider]
-CNGConfig
このマシン上の CNG 暗号化構成を表示します。
certutil [options] -CNGConfig
オプション:
[-Silent]
-看板
証明書失効リスト (CRL) または証明書に再署名します。
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]
どこ:
InFileList は、変更および再署名する証明書または CRL ファイルのコンマ区切りの一覧です。
SerialNumber は、作成する証明書のシリアル番号です。 有効期間およびその他のオプションを指定できません。
CRL
空の CRL が作成されます。 有効期間およびその他のオプションを指定できません。 OutFileList は、変更された証明書または CRL 出力ファイルのコンマ区切りの一覧です。 ファイルの数は infilelist と一致する必要があります。
StartDate+dd:hh は、次のような証明書または CRL ファイルの新しい有効期間です。
- 省略可能な日付と
- オプションの日数と時間の有効期間 複数のフィールドを使用する場合は、(+) または (-) 区切り記号を使用します。
now[+dd:hh]
を使用して、現在の時刻から開始します。now-dd:hh+dd:hh
を使用して、現在の時刻と固定有効期間からの固定オフセットから開始します。 有効期限を設定しない場合は、never
を使用します (CRL の場合のみ)。
SerialNumberList は、追加または削除するファイルのコンマ区切りのシリアル番号リストです。
ObjectIdList は、削除するファイルのコンマ区切りの拡張 ObjectId リストです。
@ExtensionFile は、更新または削除する拡張機能を含む INF ファイルです。 例えば:
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86
hashAlgorithm
ハッシュ アルゴリズムの名前です。 これは、前に #
記号が付いたテキストである必要があります。AlternateSignatureAlgorithm
、代替署名アルゴリズム指定子です。
オプション:
[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]
備考
- 負符号 (-) を使用すると、シリアル番号と拡張機能が削除されます。
- プラス記号 (+) を使用すると、CRL にシリアル番号が追加されます。
- リストを使用すると、シリアル番号と ObjectIds の両方を CRL から同時に削除できます。
- AlternateSignatureAlgorithm
前にマイナス記号を使用すると、レガシ署名形式を使用できます。 - プラス記号を使用すると、代替署名形式を使用できます。
- AlternateSignatureAlgorithm
指定しない場合は、証明書または CRL の署名形式が使用されます。
-vroot
Web 仮想ルートとファイル共有を作成または削除します。
certutil [options] -vroot [delete]
-vocsproot
OCSP Web プロキシの Web 仮想ルートを作成または削除します。
certutil [options] -vocsproot [delete]
-addEnrollmentServer
指定した証明機関に必要に応じて、登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。
certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]
どこ:
addEnrollmentServer
、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。 - Kerberos は Kerberos SSL 資格情報を使用します。
- UserName は、SSL 資格情報に名前付きアカウントを使用します。
- ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
修飾子:
- AllowRenewalsOnly
は、URL を介して証明機関への更新要求の送信のみを許可します。 - AllowKeyBasedRenewal
では、Active Directory に関連付けられたアカウントのない証明書を使用できます。 これは、 ClientCertificate と AllowRenewalsOnly モード使用した場合に適用されます。
- AllowRenewalsOnly
オプション:
[-config Machine\CAName]
-deleteEnrollmentServer
指定された証明機関に必要な場合は、登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージはインストールされません。
certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate
どこ:
- deleteEnrollmentServer
、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。 - Kerberos は Kerberos SSL 資格情報を使用します。
- UserName は、SSL 資格情報に名前付きアカウントを使用します。
- ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
オプション:
[-config Machine\CAName]
-addPolicyServer
必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。
certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
どこ:
- addPolicyServer
では、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用する必要があります。 - Kerberos は Kerberos SSL 資格情報を使用します。
- UserName は、SSL 資格情報に名前付きアカウントを使用します。
- ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
-
KeyBasedRenewal では、keybasedrenewal テンプレートを含むクライアントに返されるポリシーを使用できます。 このオプションは、
UserName と ClientCertificate 認証にのみ適用されます。
-deletePolicyServer
必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージは削除されません。
certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]
どこ:
- deletePolicyServer
、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用する必要があります。 - Kerberos は Kerberos SSL 資格情報を使用します。
- UserName は、SSL 資格情報に名前付きアカウントを使用します。
- ClientCertificate では、X.509 証明書 SSL 資格情報が使用されます。
- KeyBasedRenewal では、KeyBasedRenewal ポリシー サーバーを使用できます。
-クラス
COM レジストリ情報を表示します。
certutil [options] -Class [ClassId | ProgId | DllName | *]
オプション:
[-f]
-7f
証明書で0x7f長さのエンコードを確認します。
certutil [options] -7f CertFile
-oid
オブジェクト識別子を表示するか、表示名を設定します。
certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]
どこ:
- ObjectId は、表示する ID または表示名に追加する ID です。
- GroupId は、ObjectId が列挙する GroupID 番号 (10 進数) です。
- AlgId
は、objectID が検索する 16 進数の ID です。 - AlgorithmName は、objectID が検索するアルゴリズム名です。
- DisplayName
DS に格納する名前が表示されます。 - 削除 表示名を削除します。
- LanguageId は言語 ID 値です (既定値は現在の値: 1033)。
-
Type は、作成する DS オブジェクトの型です。次に示します。
-
1
- テンプレート (既定) -
2
- 発行ポリシー -
3
- アプリケーション ポリシー
-
-
-f
DS オブジェクトを作成します。
オプション:
[-f]
-エラー
エラー コードに関連付けられているメッセージ テキストを表示します。
certutil [options] -error ErrorCode
-getsmtpinfo
簡易メール転送プロトコル (SMTP) 情報を取得します。
certutil [options] -getsmtpinfo
-setsmtpinfo
SMTP 情報を設定します。
certutil [options] -setsmtpinfo LogonName
オプション:
[-config Machine\CAName] [-p Password]
-getreg
レジストリ値を表示します。
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]
どこ:
- ca は証明機関のレジストリ キーを使用します。
- 復元 は、証明機関の復元レジストリ キーを使用します。
- ポリシー
は、ポリシー モジュールのレジストリ キーを使用します。 - exit
は、最初の終了モジュールのレジストリ キーを使用します。 - テンプレート
は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。 - 登録
登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。 - チェーン
は、チェーン構成レジストリ キーを使用します。 - PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
- ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
-
RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には
Name*
を使用します)。 -
値 は、新しい数値、文字列、または日付レジストリ値またはファイル名を使用します。 数値が
+
または-
で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
備考
- 文字列値が
+
または-
で始まり、既存の値がREG_MULTI_SZ
値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。REG_MULTI_SZ
値を強制的に作成するには、文字列値の末尾に\n
を追加します。 - 値が
\@
で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。 - 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である
[Date][+|-][dd:hh]
として解析されます。 - 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、
now+dd:hh
を使用します。 - REG_QWORD値を作成するには、サフィックスとして
i64
を使用します。 - キャッシュされた CRL を効果的にフラッシュするには、
chain\chaincacheresyncfiletime @now
を使用します。 - レジストリ エイリアス:
- Config
- CA
- ポリシー - PolicyModules
- Exit - ExitModules
- 復元 - RestoreInProgress
- テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
- 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork
-setreg
レジストリ値を設定します。
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value
どこ:
- ca は証明機関のレジストリ キーを使用します。
- 復元 は、証明機関の復元レジストリ キーを使用します。
- ポリシー
は、ポリシー モジュールのレジストリ キーを使用します。 - exit
は、最初の終了モジュールのレジストリ キーを使用します。 - テンプレート
は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。 - 登録
登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。 - チェーン
は、チェーン構成レジストリ キーを使用します。 - PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
- ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
-
RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には
Name*
を使用します)。 -
値 は、新しい数値、文字列、または日付レジストリ値またはファイル名を使用します。 数値が
+
または-
で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
備考
- 文字列値が
+
または-
で始まり、既存の値がREG_MULTI_SZ
値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。REG_MULTI_SZ
値を強制的に作成するには、文字列値の末尾に\n
を追加します。 - 値が
\@
で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。 - 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である
[Date][+|-][dd:hh]
として解析されます。 - 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、
now+dd:hh
を使用します。 - REG_QWORD値を作成するには、サフィックスとして
i64
を使用します。 - キャッシュされた CRL を効果的にフラッシュするには、
chain\chaincacheresyncfiletime @now
を使用します。
-delreg
レジストリ値を削除します。
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]
どこ:
- ca は証明機関のレジストリ キーを使用します。
- 復元 は、証明機関の復元レジストリ キーを使用します。
- ポリシー
は、ポリシー モジュールのレジストリ キーを使用します。 - exit
は、最初の終了モジュールのレジストリ キーを使用します。 - テンプレート
は、テンプレート レジストリ キーを使用します (ユーザー テンプレートには を使用します)。 - 登録
登録レジストリ キーを使用します (ユーザー コンテキストには を使用します)。 - チェーン
は、チェーン構成レジストリ キーを使用します。 - PolicyServers では、ポリシー サーバー レジストリ キーが使用されます。
- ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
-
RegistryValueName では、レジストリ値の名前が使用されます (プレフィックス一致には
Name*
を使用します)。 -
値 は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が
+
または-
で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。
オプション:
[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]
備考
- 文字列値が
+
または-
で始まり、既存の値がREG_MULTI_SZ
値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。REG_MULTI_SZ
値を強制的に作成するには、文字列値の末尾に\n
を追加します。 - 値が
\@
で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。 - 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である
[Date][+|-][dd:hh]
として解析されます。 - 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準にした日付には、
now+dd:hh
を使用します。 - REG_QWORD値を作成するには、サフィックスとして
i64
を使用します。 - キャッシュされた CRL を効果的にフラッシュするには、
chain\chaincacheresyncfiletime @now
を使用します。 - レジストリ エイリアス:
- Config
- CA
- ポリシー - PolicyModules
- Exit - ExitModules
- 復元 - RestoreInProgress
- テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
- 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork
-importKMS
ユーザー キーと証明書をサーバー データベースにインポートして、キーのアーカイブを行います。
certutil [options] -importKMS UserKeyAndCertFile [CertId]
どこ:
-
UserKeyAndCertFile は、アーカイブするユーザー秘密キーと証明書を含むデータ ファイルです。 このファイルは次のようになります。
- Exchange Key Management Server (KMS) エクスポート ファイル。
- PFX ファイル。
-
CertId は、KMS エクスポート ファイル暗号化解除証明書の一致トークンです。 詳細については、この記事の
-store
パラメーターを参照してください。 -
-f
は、証明機関によって発行されていない証明書をインポートします。
オプション:
[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]
-ImportCert
証明書ファイルをデータベースにインポートします。
certutil [options] -ImportCert Certfile [ExistingRow]
どこ:
- ExistingRow は、同じキーに対する保留中の要求の代わりに証明書をインポートします。
-
-f
は、証明機関によって発行されていない証明書をインポートします。
オプション:
[-f] [-config Machine\CAName]
備考
証明機関は、certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN
を実行して外部証明書をサポートするように構成する必要がある場合もあります。
-GetKey
アーカイブされた秘密キー回復 BLOB を取得し、回復スクリプトを生成するか、アーカイブされたキーを回復します。
certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName
どこ:
- スクリプト は、キーを取得して回復するスクリプトを生成します (一致する複数の回復候補が見つかった場合、または出力ファイルが指定されていない場合の既定の動作)。
-
取得、1 つ以上のキー回復 BLOB を取得します (一致する復旧候補が 1 つだけ見つかった場合、および出力ファイルが指定されている場合の既定の動作)。 このオプションを使用すると、拡張機能が切り捨てられ、各キー回復 BLOB の証明書固有の文字列と
.rec
拡張機能が追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。 -
回復、1 つの手順で秘密キーを取得および回復します (Key Recovery Agent 証明書と秘密キーが必要)。 このオプションを使用すると、拡張機能が切り捨てられ、
.p12
拡張機能が追加されます。 各ファイルには、回復された証明書チェーンと関連する秘密キーが含まれており、PFX ファイルとして格納されます。 -
SearchToken は、回復するキーと証明書を選択します。これには次のものが含まれます。
- 証明書の共通名
- 証明書のシリアル番号
- 証明書 SHA-1 ハッシュ (拇印)
- 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
- リクエスター名 (domain\user)
- UPN (user@domain)
- RecoveryBlobOutFile は、証明書チェーンと関連付けられた秘密キーを持つファイルを出力します。それでも、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
- OutputScriptFile は、秘密キーを取得して回復するためのバッチ スクリプトを含むファイルを出力します。
- OutputFileBaseName
ファイルベース名を出力します。
オプション:
[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
備考
取得する場合、すべての拡張機能が切り捨てられ、証明書固有の文字列と 拡張機能がキー回復 BLOB ごとに追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。 回復する場合、すべての拡張機能が切り捨てられ、 拡張機能が追加されます。 回復された証明書チェーンと関連付けられた秘密キーが含まれており、PFX ファイルとして格納されます。
-RecoverKey
アーカイブされた秘密キーを回復します。
certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]
オプション:
[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]
-mergePFX
PFX ファイルをマージします。
certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]
どこ:
- PFXInFileList は、PFX 入力ファイルのコンマ区切りのリストです。
- PFXOutFile は PFX 出力ファイルの名前です。
-
修飾子 は、次の 1 つ以上のコンマ区切りのリストです。
- ExtendedProperties
には、拡張プロパティが含まれます。 - NoEncryptCert
は、証明書を暗号化しないことを指定します。 - EncryptCert は、証明書を暗号化するように指定します。
- ExtendedProperties
オプション:
[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]
備考
- コマンド ラインで指定するパスワードは、コンマ区切りのパスワード リストである必要があります。
- 複数のパスワードが指定されている場合は、出力ファイルに最後のパスワードが使用されます。 パスワードが 1 つだけ指定されている場合、または最後のパスワードが
*
場合、ユーザーは出力ファイルのパスワードの入力を求められます。
-add-chain
証明書チェーンを追加します。
certutil [options] -add-chain LogId certificate OutFile
オプション:
[-f]
-add-pre-chain
事前証明書チェーンを追加します。
certutil [options] -add-pre-chain LogId pre-certificate OutFile
オプション:
[-f]
-get-sth
署名付きツリーヘッドを取得します。
certutil [options] -get-sth [LogId]
オプション:
[-f]
-get-sth-consistency
署名付きツリーヘッドの変更を取得します。
certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2
オプション:
[-f]
-get-proof-by-hash
タイムスタンプ サーバーからハッシュの証明を取得します。
certutil [options] -get-proof-by-hash LogId Hash [TreeSize]
オプション:
[-f]
-get-entries
イベント ログからエントリを取得します。
certutil [options] -get-entries LogId FirstIndex LastIndex
オプション:
[-f]
-get-root
証明書ストアからルート証明書を取得します。
certutil [options] -get-roots LogId
オプション:
[-f]
-get-entry-and-proof
イベント ログ エントリとその暗号化証明を取得します。
certutil [options] -get-entry-and-proof LogId Index [TreeSize]
オプション:
[-f]
-VerifyCT
証明書の透過性ログに対して証明書を検証します。
certutil [options] -VerifyCT Certificate SCT [precert]
オプション:
[-f]
-?
パラメーターの一覧を表示します。
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
どこ:
- -? パラメーターの一覧が表示されます
- -<name_of_parameter> -? は、指定されたパラメーターのヘルプ コンテンツを表示します。
- -? -v には、パラメーターとオプションの詳細な一覧が表示されます。
オプション
このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。
オプション | 形容 |
---|---|
-管理者 | CA プロパティには ICertAdmin2 を使用します。 |
-アノニマス | 匿名 SSL 資格情報を使用します。 |
-cert CertId | 署名証明書。 |
-clientcertificate clientCertId | X.509 証明書 SSL 資格情報を使用します。 選択 UI の場合は、-clientcertificate を使用します。 |
-config Machine\CAName | 証明機関とコンピューター名の文字列。 |
-csp provider | 供給者: KSP - Microsoft ソフトウェア キー ストレージ プロバイダー TPM - Microsoft Platform Crypto Provider NGC - Microsoft Passport Key Storage Provider SC - Microsoft スマート カード キー ストレージ プロバイダー |
-dc DCName | 特定のドメイン コントローラーを対象とします。 |
-エンタープライズ | ローカル コンピューターのエンタープライズ レジストリ証明書ストアを使用します。 |
-f | 強制的に上書きします。 |
-generateSSTFromWU SSTFile | 自動更新メカニズムを使用して SST を生成します。 |
-gmt | GMT を使用して時刻を表示します。 |
-GroupPolicy | グループ ポリシー証明書ストアを使用します。 |
-idispatch | COM ネイティブ メソッドの代わりに IDispatch を使用します。 |
-kerberos | Kerberos SSL 資格情報を使用します。 |
-location alternatestoragelocation | AlternateStorageLocation を (-loc) します。 |
-山 | コンピューター テンプレートを表示します。 |
-nocr | CR 文字なしでテキストをエンコードします。 |
-nocrlf | CR-LF 文字なしでテキストをエンコードします。 |
-nullsign | データのハッシュを署名として使用します。 |
-oldpfx | 古い PFX 暗号化を使用します。 |
-out columnlist | コンマ区切りの列リスト。 |
-p password | パスワード |
-pin PIN | スマート カード PIN。 |
-policyserver URLorID | ポリシー サーバーの URL または ID。 U/I を選択する場合は、-policyserver を使用します。 すべてのポリシー サーバーに対して、-policyserver * |
-privatekey | パスワードと秘密キーのデータを表示します。 |
-守る | パスワードでキーを保護します。 |
-protectto SAMnameandSIDlist | コンマ区切りの SAM 名/SID リスト。 |
-restrict restrictionlist | コンマ区切りの制限リスト。 各制限は、列名、関係演算子、定数整数、文字列、または日付で構成されます。 並べ替え順序を示すために、1 つの列名の前にプラス記号またはマイナス記号を付けます。 たとえば、requestID = 47 、+requestername >= a, requestername 、-requestername > DOMAIN, Disposition = 21 などです。 |
-逆 | ログ列とキュー列の逆引き。 |
-お代わり | 秒とミリ秒を使用して時刻を表示します。 |
-サービス | サービス証明書ストアを使用します。 |
-sid | 数値 SID: 22 - ローカル システム 23 - ローカル サービス 24 - ネットワーク サービス |
-サイレント |
silent フラグを使用して、crypt コンテキストを取得します。 |
-割る | 埋め込まれた ASN.1 要素を分割し、ファイルに保存します。 |
-sslpolicy サーバー名 | ServerName に一致する SSL ポリシー。 |
-symkeyalg symmetrickeyalgorithm[,keylength] | オプションのキー長を持つ対称キー アルゴリズムの名前。 例: AES,128 または 3DES 。 |
-syncWithWU DestinationDir | Windows Update と同期します。 |
-t timeout | URL フェッチのタイムアウト (ミリ秒単位)。 |
-Unicode | リダイレクトされた出力を Unicode で書き込みます。 |
-UnicodeText | Unicode で出力ファイルを書き込みます。 |
-urlfetch | AIA 証明書と CDP CRL を取得して確認します。 |
-利用者 | HKEY_CURRENT_USER キーまたは証明書ストアを使用します。 |
-username username | SSL 資格情報には名前付きアカウントを使用します。 選択 UI の場合は、-username を使用します。 |
-ut | ユーザー テンプレートを表示します。 |
-v | 詳細 (詳細) 情報を指定します。 |
-v1 | V1 インターフェイスを使用します。 |
ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。
関連リンク
このコマンドの使用方法の他の例については、次の記事を参照してください。
- Active Directory 証明書サービス (AD CS) の
- 証明書 を管理するための Certutil タスクを
する - Windows で信頼されたルートと許可されていない証明書を構成する