certutil

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

주의

Certutil는 프로덕션 코드에서 사용하지 않는 것이 좋으며, 라이브 사이트 지원 또는 애플리케이션 호환성을 보장하지 않습니다. 개발자와 IT 관리자가 디바이스에서 인증서 콘텐츠 정보를 보기 위해 사용하는 도구입니다.

Certutil.exe는 인증서 서비스의 일부로 설치되는 명령줄 프로그램입니다. certutil.exe를 사용하여 CA(인증 기관) 구성 정보를 표시하고, 인증서 서비스를 구성하며, CA 구성 요소를 백업하고 복원할 수 있습니다. 이 프로그램은 인증서, 키 쌍 및 인증서 체인도 확인합니다.

certutil가 다른 매개 변수 없이 인증 기관에서 실행되면 현재 인증 기관 구성이 표시됩니다. certutil가 다른 매개 변수 없이 비인증 기관에서 실행되는 경우 이 명령은 기본적으로certutil -dump 명령을 실행합니다. 모든 버전의 certutil에서 이 문서에서 설명하는 모든 매개 변수와 옵션을 제공하는 것은 아닙니다. certutil -? 또는 certutil <parameter> -?를 실행하여 사용 중인 certutil 버전에서 제공하는 선택 항목을 볼 수 있습니다.

팁

-? 인수에서 숨겨진 것을 포함하여 모든 certutil 동사 및 옵션에 대한 전체 도움말을 보려면 certutil -v -uSAGE를 실행합니다. uSAGE 스위치는 대/소문자를 구분합니다.

매개 변수

-덤프

구성 정보나 파일을 덤프합니다.

certutil [options] [-dump]
certutil [options] [-dump] File

옵션:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 구조를 덤프합니다.

certutil [options] [-dumpPFX] File

옵션:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

ASN.1(추상 구문 표기법) 구문을 사용하여 파일의 콘텐츠를 구문 분석하고 표시합니다. 파일 형식에는 .CER, .DER 및 PKCS #7 형식 파일이 포함됩니다.

certutil [options] -asn File [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

-decodehex

16진수 인코딩 파일을 디코딩합니다.

certutil [options] -decodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

옵션:

[-f]

-encodehex

16진수로 파일을 인코딩합니다.

certutil [options] -encodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 인코딩 형식

옵션:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-디코딩

Base64 인코딩 파일을 디코딩합니다.

certutil [options] -decode InFile OutFile

옵션:

[-f]

-인코딩

Base64로 파일을 인코딩합니다.

certutil [options] -encode InFile OutFile

옵션:

[-f] [-unicodetext]

-거부

보류 중 요청을 거부합니다.

certutil [options] -deny RequestId

옵션:

[-config Machine\CAName]

-다시 전송

보류 중 요청을 다시 제출합니다.

certutil [options] -resubmit RequestId

옵션:

[-config Machine\CAName]

-setattributes

보류 중 인증서 요청의 특성을 설정합니다.

certutil [options] -setattributes RequestId AttributeString

여기서

• RequestId는 보류 중인 요청에 대한 숫자 요청 ID입니다.
• AttributeString은 요청 특성 이름과 값 쌍입니다.

옵션:

[-config Machine\CAName]

설명

• 이름과 값은 콜론으로 구분되어야 하며, 여러 이름과 값 쌍은 줄 바꿈으로 구분되어야 합니다. 예: CertificateTemplate:User\nEMail:User@Domain.com. 여기서 \n 시퀀스가 줄 바꿈 구분 기호로 변환됩니다.

-setextension

보류 중인 인증서 요청의 확장을 설정합니다.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

여기서

• requestID는 보류 중인 요청에 대한 숫자 요청 ID입니다.
• ExtensionName은 확장에 대한 ObjectId 문자열입니다.
• Flags는 확장의 우선 순위를 설정합니다. 0가 권장되며, 1는 확장을 위험으로 설정하고, 2는 확장을 사용하지 않도록 설정하며, 3는 이 둘을 모두 수행합니다.

옵션:

[-config Machine\CAName]

설명

• 마지막 매개 변수가 숫자인 경우에는 Long으로 간주됩니다.
• 마지막 매개 변수가 날짜로 구문 분석될 수 있는 경우 Date로 간주됩니다.
• 마지막 매개 변수가 \@로 시작하는 경우, 토큰의 나머지 부분은 이진 데이터가 있는 파일 이름 또는 ascii-text hex 덤프로 간주됩니다.
• 마지막 매개 변수가 그 외의 것인 경우 문자열로 간주됩니다.

-취소

인증서를 해지합니다.

certutil [options] -revoke SerialNumber [Reason]

여기서

• SerialNumber는 해지할 인증서 일련 번호의 쉼표로 구분된 목록입니다.
• Reason은 다음을 포함하여 해지 이유의 숫자 또는 기호 표현입니다.
  • 0. CRL_REASON_UNSPECIFIED - 미지정(기본값)
  • 1. CRL_REASON_KEY_COMPROMISE - 키 손상
  • 2. CRL_REASON_CA_COMPROMISE - 인증 기관 손상
  • 3. CRL_REASON_AFFILIATION_CHANGED - 소속 변경됨
  • 4. CRL_REASON_SUPERSEDED - 대체됨
  • 5. CRL_REASON_CESSATION_OF_OPERATION - 작업 중단
  • 6. CRL_REASON_CERTIFICATE_HOLD - 인증서 보류
  • 8. CRL_REASON_REMOVE_FROM_CRL - CRL에서 제거
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 권한 철회
  • 10: CRL_REASON_AA_COMPROMISE - AA 손상
  • -1. 해지 취소 - 해지 취소

옵션:

[-config Machine\CAName]

-isvalid

현재 인증서의 처리를 표시합니다.

certutil [options] -isvalid SerialNumber | CertHash

옵션:

[-config Machine\CAName]

-getconfig

기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig

옵션:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig를 통해 기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig2

옵션:

[-idispatch] 

-getconfig3

ICertConfig를 통해 구성을 가져옵니다.

certutil [options] -getconfig3

옵션:

[-idispatch] 

-ping

Active Directory 인증서 서비스 요청 인터페이스 연결을 시도합니다.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

여기서

• CAMachineList는 CA 컴퓨터 이름의 쉼표로 구분된 목록입니다. 단일 컴퓨터는 종결 쉼표를 사용합니다. 이 옵션은 각 CA 머신의 사이트 비용도 표시합니다.

옵션:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 인증서 서비스 관리 인터페이스 연결을 시도합니다.

certutil [options] -pingadmin

옵션:

[-config Machine\CAName]

-CAInfo

인증 기관에 관한 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

여기서

• InfoName은 다음과 같은 infoname 인수 구문에 따라 표시할 CA 속성을 나타냅니다.
  • * - 모든 속성 표시
  • ads - 고급 서버
  • aia [Index] - AIA URL
  • cdp [Index] - CDP URL
  • cert [Index] - CA 인증서
  • certchain [Index] - CA 인증서 체인
  • certcount - CA 인증서 수
  • certcrlchain [Index] -CRL이 있는 CA 인증서 체인
  • certstate [Index] - CA 인증서
  • certstatuscode [Index] - CA 인증서 상태 확인
  • certversion [Index] - CA 인증서 버전
  • CRL [Index] - 기준 CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL 게시 상태
  • cross- [Index] - 역방향 상호 인증서
  • cross+ [Index] - 순방향 상호 인증서
  • crossstate- [Index] - 역방향 상호 인증서
  • crossstate+ [Index] - 순방향 상호 인증서
  • deltacrl [Index] - 델타 CRL
  • deltacrlstatus [Index] - 델타 CRL 게시 상태
  • dns - DNS 이름
  • dsname - Sanitized CA 짧은 이름(DS 이름)
  • error1 ErrorCode - 오류 메시지 텍스트
  • error2 ErrorCode - 오류 메시지 텍스트 및 오류 코드
  • exit [Index] - 끝내기 모듈 설명
  • exitcount - 끝내기 모듈 수
  • file - 파일 버전
  • info - CA 정보
  • kra [Index] - KRA 인증서
  • kracount - KRA 인증서 수
  • krastate [Index] - KRA 인증서
  • kraused - KRA 인증서 사용 수
  • localename - CA 로캘 이름
  • name - CA 이름
  • ocsp [Index] - OCSP URL
  • parent - 부모 CA
  • policy - 정책 모듈 설명
  • product - 제품 버전
  • propidmax - 최대 CA PropId
  • role - 역할 분리
  • sanitizedname - 삭제된 CA 이름
  • sharedfolder - 공유 폴더
  • subjecttemplateoids - 주제 템플릿 OID
  • templates - 템플릿
  • type - CA 유형
  • xchg [Index] - CA 교환 인증서
  • xchgchain [Index] - CA 교환 인증서 체인
  • xchgcount - CA 교환 인증서 수
  • xchgcrlchain [Index] - CRL이 있는 CA 교환 인증서 체인
• index는 선택적, 0 기반 속성 인덱스입니다.
• errorcode는 숫자 오류 코드입니다.

옵션:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA 속성 형식 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

옵션:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

인증 기관용 인증서를 검색합니다.

certutil [options] -ca.cert OutCACertFile [Index]

여기서

• OutCACertFile은 출력 파일입니다.
• Index은 CA 인증서 갱신 인덱스입니다(기본값은 가장 최근)

옵션:

[-f] [-split] [-config Machine\CAName]

-ca.chain

인증 기관용 인증서 체인을 검색합니다.

certutil [options] -ca.chain OutCACertChainFile [Index]

여기서

• OutCACertChainFile은 출력 파일입니다.
• Index은 CA 인증서 갱신 인덱스입니다(기본값은 가장 최근)

옵션:

[-f] [-split] [-config Machine\CAName]

-GetCRL

CRL(인증서 해지 목록)을 가져옵니다.

certutil [options] -GetCRL OutFile [Index] [delta]

여기서

• Index는 CRL 인덱스 또는 키 인덱스입니다(기본값은 가장 최근 키의 CRL).
• delta는 델타 CRL입니다(기본값은 기준 CRL).

옵션:

[-f] [-split] [-config Machine\CAName]

-CRL

새로운 CRL(인증서 해지 목록) 또는 델타 CRL을 게시합니다.

certutil [options] -CRL [dd:hh | republish] [delta]

여기서

• dd:hh는 일 및 시간 단위의 새 CRL 유효 기간입니다.
• republish는 가장 최근 CRL을 다시 게시합니다.
• delta는 델타 CRL만 게시합니다(기본값은 기준 및 델타 CRL).

옵션:

[-split] [-config Machine\CAName]

-종료

Active Directory 인증서 서비스를 종료합니다.

certutil [options] -shutdown

옵션:

[-config Machine\CAName]

-installCert

인증 기관 인증서를 설치합니다.

certutil [options] -installCert [CACertFile]

옵션:

[-f] [-silent] [-config Machine\CAName]

-renewCert

인증 기관 인증서를 갱신합니다.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

옵션:

[-f] [-silent] [-config Machine\CAName]

• -f를 사용하여 미해결 갱신 요청을 무시하고 새 요청을 생성합니다.

-스키마

인증서용 스키마를 덤프합니다.

certutil [options] -schema [Ext | Attrib | CRL]

여기서

• 이 명령은 기본적으로 요청 및 인증서 테이블로 설정됩니다.
• Ext는 확장 테이블입니다.
• Attribute은 특성 테이블입니다.
• CRL은 CRL 테이블입니다.

옵션:

[-split] [-config Machine\CAName]

-보기

인증서 보기를 덤프합니다.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

여기서

• Queue는 특정 요청 큐를 덤프합니다.
• Log는 발급되었거나 해지된 인증서와 실패한 모든 요청을 덤프합니다.
• LogFail은 실패한 요청을 덤프합니다.
• Revoked는 해지된 인증서를 덤프합니다.
• Ext는 확장 테이블을 덤프합니다.
• Attrib는 특성 테이블을 덤프합니다.
• CRL은 CRL 테이블을 덤프합니다.
• csv는 쉼표로 구분된 값을 사용하여 출력을 제공합니다.

옵션:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

설명

• 모든 항목에 대해 StatusCode 열을 표시하려면 다음을 입력합니다. -out StatusCode
• 마지막 항목에 대해 모든 열을 표시하려면 다음을 입력합니다. -restrict RequestId==$
• 세 가지 요청에 대해 RequestId 및 처리를 표시하려면 다음을 입력합니다. -restrict requestID>=37,requestID<40 -out requestID,disposition
• 모든 기준 CRL에 대해 행 ID 행 ID 및 CRL 번호를 표시하려면 다음을 입력합니다. -restrict crlminbase=0 -out crlrowID,crlnumber crl
• 기준 CRL 번호 3을 표시하려면 다음을 입력합니다. -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• CRL 테이블 전체를 표시하려면 다음을 입력합니다. CRL
• 날짜 제한에 Date[+|-dd:hh]를 사용합니다.
• 현재 시간을 기준으로 하는 날짜에 now+dd:hh를 사용합니다.
• 인증서 사용 방법을 설명하는 OID(개체 식별자)인 EKU(확장 키 사용)가 템플릿에 포함되어 있습니다. 템플릿 일반 이름 또는 표시 이름이 인증서에 항상 포함되는 것은 아니지만 템플릿 EKU는 항상 포함됩니다. Active Directory에서 특정 인증서 템플릿의 EKU를 추출한 다음에 해당 확장에 따라 보기를 제한할 수 있습니다.

-db

원시 데이터베이스를 덤프합니다.

certutil [options] -db

옵션:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

서버 데이터베이스에서 행 하나를 삭제합니다.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

여기서

• Request는 제출 날짜를 기준으로 실패한 요청과 보류 중인 요청을 삭제합니다.
• Cert는 만료일을 기준으로 만료된 인증서와 해지된 인증서를 삭제합니다.
• Ext는 확장 테이블을 삭제합니다.
• Attrib는 특성 테이블을 삭제합니다.
• CRL은 CRL 테이블을 삭제합니다.

옵션:

[-f] [-config Machine\CAName]

예제

• 2001년 1월 22일까지 제출된 실패한 요청과 보류 중인 요청을 삭제하려면 다음을 입력합니다. 1/22/2001 request
• 2001년 1월 22일까지 만료된 인증서를 모두 삭제하려면 다음을 입력합니다. 1/22/2001 cert
• RequestID 37의 인증서 행, 특성 및 확장을 삭제하려면 다음을 입력합니다. 37
• 2001년 1월 22일까지 만료가 된 CRL을 삭제하려면 다음을 입력합니다. 1/22/2001 crl

참고 항목

Date는 형식 mm/dd/yyyy를 예상합니다dd/mm/yyyy(예: 2001년 1월 22일의 경우 22/1/2001가 아닌 1/22/2001). 서버가 미국 지역 설정으로 구성되지 않은 경우 Date 인수를 사용하면 예기치 않은 결과가 발생할 수 있습니다.

-backup

Active Directory 인증서 서비스를 백업합니다.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

여기서

• BackupDirectory는 백업된 데이터를 저장할 디렉터리입니다.
• Incremental은 증분 백업만 수행합니다(기본값은 전체 백업).
• KeepLog는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것).

옵션:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 인증서 서비스 데이터베이스를 백업합니다.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

여기서

• BackupDirectory는 백업된 데이터베이스 파일을 저장할 디렉터리입니다.
• Incremental은 증분 백업만 수행합니다(기본값은 전체 백업).
• KeepLog는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것).

옵션:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 인증서 서비스 인증서와 프라이빗 키를 백업합니다.

certutil [options] -backupkey BackupDirectory

여기서

• BackupDirectory는 백업된 PFX 파일을 저장할 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 인증서 서비스를 복원합니다.

certutil [options] -restore BackupDirectory

여기서

• BackupDirectory는 복원할 데이터가 있는 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 인증서 서비스 데이터베이스를 복원합니다.

certutil [options] -restoredb BackupDirectory

여기서

• BackupDirectory는 복원할 데이터베이스 파일이 있는 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 인증서 서비스 인증서와 프라이빗 키를 복원합니다.

certutil [options] -restorekey BackupDirectory | PFXFile

여기서

• BackupDirectory는 복원할 PFX 파일이 포함된 디렉터리입니다.
• PFXFile은 복원할 PFX 파일입니다.

옵션:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

인증서와 프라이빗 키를 내보냅니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

여기서

• CertificateStoreName은 인증서 저장소의 이름입니다.
• CertId는 인증서 또는 CRL 일치 토큰입니다.
• PFXFile은 내보낼 PFX 파일입니다.
• Modifiers는 다음을 하나 이상 포함할 수 있는 쉼표로 구분된 목록입니다.
  • CryptoAlgorithm=은 PFX 파일 암호화에 사용할 암호화 알고리즘을 지정합니다(예: TripleDES-Sha1 또는 Aes256-Sha256).
  • EncryptCert - 암호로 인증서와 연결된 프라이빗 키를 암호화합니다.
  • ExportParameters - 인증서와 프라이빗 키 외에 프라이빗 키 매개 변수를 내보냅니다.
  • ExtendedProperties - 출력 파일에 있는 인증서와 연결된 모든 확장 속성을 포함합니다.
  • NoEncryptCert - 프라이빗 키를 암호화하지 않고 내보냅니다.
  • NoChain - 인증서 체인을 가져오지 않습니다.
  • NoRoot - 루트 인증서를 가져오지 않습니다.

-importPFX

인증서와 프라이빗 키를 가져옵니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

여기서

• CertificateStoreName은 인증서 저장소의 이름입니다.
• PFXFile은 가져올 PFX 파일입니다.
• Modifiers는 다음을 하나 이상 포함할 수 있는 쉼표로 구분된 목록입니다.
  • AT_KEYEXCHANGE - 키 사양을 키 교환으로 바꿉니다.
  • AT_SIGNATURE - 키 사양을 서명으로 변경합니다.
  • ExportEncrypted - 암호 암호화가 있는 인증서와 연결된 프라이빗 키를 내보냅니다.
  • FriendlyName= - 가져온 인증서의 식별 이름을 지정합니다.
  • KeyDescription= - 가져온 인증서와 연결된 프라이빗 키의 설명을 지정합니다.
  • KeyFriendlyName= - 가져온 인증서와 연결된 프라이빗 키의 식별 이름을 지정합니다.
  • NoCert - 인증서를 가져오지 않습니다.
  • NoChain - 인증서 체인을 가져오지 않습니다.
  • NoExport - 프라이빗 키를 내보낼 수 없게 만듭니다.
  • NoProtect - 암호로 키를 보호하지 않습니다.
  • NoRoot - 루트 인증서를 가져오지 않습니다.
  • Pkcs8 - PFX 파일에 있는 프라이빗 키에 PKCS8 형식을 사용합니다.
  • Protect - 암호를 사용하여 키를 보호합니다.
  • ProtectHigh - 보안이 높은 암호를 프라이빗 키와 연결해야 한다고 지정합니다.
  • VSM - 가져온 인증서와 연결된 프라이빗 키를 VSC(가상 스마트 카드) 컨테이너에 저장합니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

설명

• 기본값은 개인용 컴퓨터 저장소입니다.

-dynamicfilelist

동적 파일 목록을 표시합니다.

certutil [options] -dynamicfilelist

옵션:

[-config Machine\CAName]

-databaselocations

데이터베이스 위치를 표시합니다.

certutil [options] -databaselocations

옵션:

[-config Machine\CAName]

-hashfile

파일에 대한 암호화 해시를 생성하고 이를 표시합니다.

certutil [options] -hashfile InFile [HashAlgorithm]

-저장

인증서 저장소를 덤프합니다.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId는 인증서 또는 CRL 일치 토큰입니다. 다음이 이 ID가 될 수 있습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(..0, ..1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름.

이러한 식별자 대부분은 여러 일치 항목을 초래할 수 있습니다.

• OutputFile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

참고 항목

다음 두 측면을 고려하면 -store 매개 변수를 사용할 때 성능 문제가 관찰됩니다.

1. 저장소의 인증서 수가 10을 초과하는 경우.
2. CertId가 지정되어 있으면 이를 사용하여 각 인증서에 대해 나열된 모든 형식을 일치시킵니다. 예를 들어, 일련 번호가 제공되면 나열된 다른 모든 형식과 일치시키려고 시도합니다.

성능 문제가 우려되는 경우, 지정된 인증서 형식만 일치하는 PowerShell 명령을 사용하는 것이 좋습니다.

-enumstore

인증서 저장소를 열거합니다.

certutil [options] -enumstore [\\MachineName]

여기서

• MachineName은 원격 컴퓨터 이름입니다.

옵션:

[-enterprise] [-user] [-grouppolicy]

-addstore

인증서를 저장소에 추가합니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -addstore CertificateStoreName InFile

여기서

• CertificateStoreName은 인증서 저장소 이름입니다.
• InFile은 저장소에 추가하려는 인증서 또는 CRL 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

인증서를 저장소에서 삭제합니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -delstore CertificateStoreName certID

여기서

• CertificateStoreName은 인증서 저장소 이름입니다.
• CertId는 인증서 또는 CRL 일치 토큰입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

인증서를 저장소에서 확인합니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -verifystore CertificateStoreName [CertId]

여기서

• CertificateStoreName은 인증서 저장소 이름입니다.
• CertId는 인증서 또는 CRL 일치 토큰입니다.

옵션:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

키 연결을 복구하거나 인증서 속성이나 키 보안 설명자를 업데이트합니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

여기서

• CertificateStoreName은 인증서 저장소 이름입니다.

• CertIdList는 쉼표로 구분된 인증서 또는 CRL 일치 토큰 목록입니다. 자세한 내용은 이 문서의 -store CertId 설명을 참조하세요.

• PropertyInfFile은 다음을 포함하는 외부 속성이 있는 INF 파일입니다.

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-뷰 저장소

인증서 저장소를 덤프합니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId는 인증서 또는 CRL 일치 토큰입니다. 다음이 이에 해당할 수 있습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(..0, ..1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름.

이러한 대부분의 여러 일치 항목이 될 수 있습니다.

• OutputFile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

인증서를 저장소에서 삭제합니다.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId는 인증서 또는 CRL 일치 토큰입니다. 다음이 이에 해당할 수 있습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(..0, ..1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름. 이러한 대부분의 여러 일치 항목이 될 수 있습니다.

• OutputFile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

certutil 인터페이스를 호출합니다.

certutil [options] -UI File [import]

-TPMInfo

신뢰할 수 있는 플랫폼 모듈 정보를 표시합니다.

certutil [options] -TPMInfo

옵션:

[-f] [-Silent] [-split]

-attest

인증서 요청 파일을 증명해야 한다고 지정합니다.

certutil [options] -attest RequestFile

옵션:

[-user] [-Silent] [-split]

-getcert

선택 UI에서 인증서를 선택합니다.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

옵션:

[-Silent] [-split]

-ds

디렉터리 서비스(DS) 고유 이름(DN)을 표시합니다.

certutil [options] -ds [CommonName]

옵션:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN을 삭제합니다.

certutil [options] -dsDel [CommonName]

옵션:

[-user] [-split] [-dc DCName]

-dsPublish

인증서 또는 인증서 해지 목록(CRL)을 Active Directory에 게시합니다.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

여기서

• CertFile은 게시할 인증서 파일의 이름입니다.
• NTAuthCA는 DS Enterprise 저장소에 인증서를 게시합니다.
• RootCA는 DS 신뢰할 수 있는 루트 저장소에 인증서를 게시합니다.
• SubCA는 CA 인증서를 DS CA 개체에 게시합니다.
• CrossCA는 상호 인증서를 DS CA 개체에 게시합니다.
• KRA는 DS 키 복구 에이전트 개체에 인증서를 게시합니다.
• User는 사용자 DS 개체에 인증서를 게시합니다.
• Machine은 컴퓨터 DS 개체에 인증서를 게시합니다.
• CRLfile은 게시할 CRL 파일의 이름입니다.
• DSCDPContainer는 DS CDP 컨테이너 CN, 일반적으로 CA 컴퓨터 이름입니다.
• DSCDPCN은 삭제된 CA 짧은 이름 및 키 인덱스 기반하는 DS CDP 개체 CN입니다.

옵션:

[-f] [-user] [-dc DCName]

• -f를 사용하여 새 DS 개체를 생성합니다.

-dsCert

DS 인증서를 표시합니다.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

옵션:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL을 표시합니다.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

옵션:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS 델타 CRL을 표시합니다.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

옵션:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS 템플릿 특성을 표시합니다.

certutil [options] -dsTemplate [Template]

옵션:

[Silent] [-dc DCName]

-dsAddTemplate

DS 템플릿을 추가합니다.

certutil [options] -dsAddTemplate TemplateInfFile

옵션:

[-dc DCName]

-ADTemplate

Active Directory 템플릿을 표시합니다.

certutil [options] -ADTemplate [Template]

옵션:

[-f] [-user] [-ut] [-mt] [-dc DCName]

템플릿

인증서 등록 정책 템플릿을 표시합니다.

옵션:

certutil [options] -Template [Template]

옵션:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

인증서 템플릿의 인증 기관(CA)를 표시합니다.

certutil [options] -TemplateCAs Template

옵션:

[-f] [-user] [-dc DCName]

-CATemplates

인증 기관용 템플릿을 표시합니다.

certutil [options] -CATemplates [Template]

옵션:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

인증 기관에서 발급할 수 있는 인증서 템플릿을 설정합니다.

certutil [options] -SetCATemplates [+ | -] TemplateList

여기서

• + 기호는 CA의 사용 가능한 템플릿 목록에 인증서 템플릿을 추가합니다.
• - 기호는 CA의 사용 가능한 템플릿 목록에서 인증서 템플릿을 제거합니다.

-SetCASites

인증 기관 사이트 이름 설정, 확인 및 삭제를 포함해 사이트 이름을 관리합니다.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

여기서

• SiteName은 단일 인증 기관을 대상으로 할 때만 허용됩니다.

옵션:

[-f] [-config Machine\CAName] [-dc DCName]

설명

• -config 옵션은 단일 인증 기관을 대상으로 합니다(기본값은 모든 CA).
• -f 옵션을 사용하면 지정된 SiteName 에 대한 유효성 검사 오류를 재정의하거나 모든 CA 사이트 이름을 삭제할 수 있습니다.

참고 항목

Active Directory 도메인 서비스(AD DS) 사이트 인식을 위한 CA에 관한 자세한 내용은 AD CS 및 PKI 클라이언트에 대한 AD DS 사이트 인식을 참조하세요.

-enrollmentServerURL

CA와 연결된 등록 서버 URL을 표시하거나, 추가하거나, 삭제합니다.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

여기서

• AuthenticationType은 URL을 추가할 때 다음 클라이언트 인증 방법 중 하나를 지정합니다.
  • Kerberos - Kerberos SSL 자격 증명을 사용합니다.
  • UserName - SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate - X.509 인증서 SSL 자격 증명을 사용합니다.
  • Anonymous - 익명 SSL 자격 증명을 사용합니다.
• delete CA와 연결된 지정된 URL을 삭제합니다.
• URL을 추가할 때 지정되지 않으면 Priority가 1를 기본값으로 지정합니다.
• Modifiers는 다음 중 하나 이상을 포함하는 쉼표로 구분된 목록입니다.
  • AllowRenewalsOnly - 이 URL 통해 이 CA에 갱신 요청만 제출할 수 있습니다.
  • AllowKeyBasedRenewal을 사용하여 AD에 연결된 계정이 없는 인증서를 사용할 수 있습니다. 이것은 ClientCertificate 및 AllowRenewalsOnly 모드에서만 적용됩니다.

옵션:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 인증 기관을 표시합니다.

certutil [options] -ADCA [CAName]

옵션:

[-f] [-split] [-dc DCName]

-CA

등록 정책 인증 기관을 표시합니다.

certutil [options] -CA [CAName | TemplateName]

옵션:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

정책

등록 정책을 표시합니다.

certutil [options] -Policy

옵션:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

등록 정책 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -PolicyCache [delete]

여기서

• delete은 정책 서버 캐시 항목을 삭제합니다.
• -f는 모든 캐시 항목을 삭제합니다.

옵션:

[-f] [-user] [-policyserver URLorID]

-CredStore

자격 증명 저장소 항목을 표시하거나, 추가하거나, 삭제합니다.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

여기서

• URL은 대상 URL입니다. *를 사용하여 모든 항목을 일치시키거나 https://machine*를 사용하여 URL 접두사를 일시시킬 수도 있습니다.
• add는 자격 증명 저장소 항목을 추가합니다. 이 옵션을 사용하려면 SSL 자격 증명도 사용해야 합니다.
• delete는 자격 증명 저장소 항목을 삭제합니다.
• -f는 단일 항목을 덮어쓰거나 여러 항목을 삭제합니다.

옵션:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

기본 인증서 템플릿을 설치합니다.

certutil [options] -InstallDefaultTemplates

옵션:

[-dc DCName]

-URL

인증서 또는 CRL URL을 확인합니다.

certutil [options] -URL InFile | URL

옵션:

[-f] [-split]

-URLCache

URL 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -URLcache [URL | CRL | * [delete]]

여기서

• URL은 캐시된 URL입니다.
• CRL은 캐시된 모든 CRL URL에서만 실행됩니다.
• *는 캐시된 모든 URL에서 작동합니다.
• delete는 현재 사용자의 로컬 캐시에서 관련 URL을 삭제합니다.
• -f는 강제로 특정 URL을 가져오고 캐시를 업데이트합니다.

옵션:

[-f] [-split]

-펄스

자동 등록 이벤트나 NGC 작업을 펄스합니다.

certutil [options] -pulse [TaskName [SRKThumbprint]]

여기서

• TaskName은 트리거할 작업입니다.
  • Pregen은 NGC 키 사전 생성 작업입니다.
  • AIKEnroll은 NGC AIK 인증서 등록 작업입니다. (기본값은 자동 등록 이벤트).
• SRKThumbprint는 스토리지 루트 키의 지문입니다.
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

옵션:

[-user]

-MachineInfo

Active Directory 머신 개체에 관한 정보를 표시합니다.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

도메인 컨트롤러에 관한 정보를 표시합니다. 기본값은 확인 없이 DC 인증서를 표시합니다.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • 확인
  • DeleteBad
  • DeleteAll

옵션:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

팁

Active Directory 도메인 서비스(AD DS) 도메인 [도메인]을 지정하고 도메인 컨트롤러(-dc)를 지정하는 기능이 Windows Server 2012에 추가되었습니다. 명령을 성공적으로 실행 하려면의 구성원 인 계정을 사용 해야 Domain Admins 또는 Enterprise Admins합니다. 이 명령의 동작 수정 작업은 다음과 같습니다.

• 도메인을 지정 하지 않으면 특정 도메인 컨트롤러를 지정 하지 않은 경우이 옵션의 기본 도메인 컨트롤러에서 처리 하는 도메인 컨트롤러의 목록을 반환 합니다.
• 도메인을 지정 하지 않으면, 도메인 컨트롤러는 지정 하는 경우 지정된 된 도메인 컨트롤러에는 인증서의 보고서가 생성 됩니다.
• 도메인을 지정 하는 경우 도메인 컨트롤러를 지정 하지 않으면 보고서 목록에서 각 도메인 컨트롤러에 대 한 인증서와 함께 도메인 컨트롤러 목록이 생성 됩니다.
• 도메인 및 도메인 컨트롤러를 지정 하는 경우 대상된 도메인 컨트롤러에서 도메인 컨트롤러 목록이 생성 됩니다. 목록에서 각 도메인 컨트롤러에 대 한 인증서에 대 한 보고서도 생성 됩니다.

예를 들어 CPANDL-d c 1 이라는 도메인 컨트롤러와 CPANDL 라는 도메인이 가정 합니다. 다음 명령을 실행하여 CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl에서 도메인 컨트롤러 및 해당 인증서 목록을 검색할 수 있습니다.

-EntInfo

엔터프라이즈 인증 기관에 관한 정보를 표시합니다.

certutil [options] -EntInfo DomainName\MachineName$

옵션:

[-f] [-user]

-TCAInfo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -TCAInfo [DomainDN | -]

옵션:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

스마트 카드에 관한 정보를 표시합니다.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

여기서

• CRYPT_DELETEKEYSET는 스마트 카드의 모든 키를 삭제합니다.

옵션:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

스마트 카드 루트 인증서를 관리합니다.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

옵션:

[-f] [-split] [-p Password]

-key

키 컨테이너에 저장된 키를 나열합니다.

certutil [options] -key [KeyContainerName | -]

여기서

• KeyContainerName은 확인할 키에 대한 키 컨테이너 이름입니다. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키를 전환하려면 -user를 사용합니다.
• - 기호를 사용하는 것은 기본 키 컨테이너를 사용하는 것을 의미합니다.

옵션:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

이름이 지정된 키 컨테이너를 삭제합니다.

certutil [options] -delkey KeyContainerName

옵션:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello 컨테이너를 삭제하여, WebAuthn 및 FIDO 자격 증명을 포함하여 디바이스에 저장되어 있는 연결된 모든 자격 증명을 제거합니다.

이를 완료하려면 사용자가 이 옵션을 사용한 후에 로그아웃해야 합니다.

certutil [options] -DeleteHelloContainer

-verifykeys

공개 또는 프라이빗 키 집합을 확인합니다.

certutil [options] -verifykeys [KeyContainerName CACertFile]

여기서

• KeyContainerName은 확인할 키에 대한 키 컨테이너 이름입니다. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키를 전환하려면 -user를 사용합니다.
• CACertFile은 인증서 파일에 서명하거나 암호화합니다.

옵션:

[-f] [-user] [-Silent] [-config Machine\CAName]

설명

• 인수가 지정되지 않으면 각 서명 CA 인증서가 프라이빗 키에 대해 확인됩니다.
• 만 로컬 CA 또는 로컬 키에 대해이 작업을 수행할 수 있습니다.

-확인

인증서, 인증서 해지 목록(CRL) 또는 인증서 체인을 확인합니다.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

여기서

• CertFile은 확인할 인증서의 이름입니다.
• ApplicationPolicyList는 필수 애플리케이션 정책 ObjectId의 선택적인 쉼표 구분 목록입니다.
• IssuancePolicyList는 필수 발급 정책 ObjectId의 선택적 쉼표 구분 목록입니다.
• CACertFile은 확인할 선택적 발급 CA 인증서입니다.
• CrossedCACertFile은 CertFile이 상호 인증한 선택적 인증서입니다.
• CRLFile은 CACertFile을 확인하는 데 사용되는 CRL 파일입니다.
• IssuedCertFile은 CRLfile에서 적용되는 선택적 발급 인증서입니다.
• DeltaCRLFile은 선택적 델타 CRL 파일입니다.
• Modifiers:
  • 강력한 - 강력한 서명 확인
  • MSRoot - Microsoft 루트에 연결해야 함
  • MSTestRoot - Microsoft 테스트 루트에 연결해야 함
  • AppRoot - Microsoft 애플리케이션 루트에 연결해야 함
  • EV - 확장 유효성 검사 정책 적용

옵션:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

설명

• ApplicationPolicyList를 사용하면 지정된 애플리케이션 정책에 유효한 체인으로 체인 빌드가 제한됩니다.
• IssuancePolicyList를 사용하면 지정된 발급 정책에 유효한 체인으로 체인 빌드가 제한됩니다.
• CACertFile을 사용하면 CertFile 또는 CRLfile에 대해 파일의 필드를 확인합니다.
• CACertFile가 지정되지 않으면 전체 체인이 빌드되고 CertFile에 대해 확인됩니다.
• CACertFile 및 CrossedCACertFile이 모두 지정되면 두 파일의 필드를 CertFile에 대해 확인합니다.
• IssuedCertFile을 사용하면 파일의 필드를 CRLfile에 대해 확인합니다.
• DeltaCRLFile을 사용하면 파일의 필드를 CertFile에 대해 확인합니다.

-verifyCTL

AuthRoot 또는 허용되지 않는 인증서 CTL을 확인합니다.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

여기서

• CTLObject는 다음을 포함하여 확인할 CTL을 식별합니다.

  • AuthRootWU는 URL 캐시에서 AuthRoot CAB 및 일치하는 인증서를 읽습니다. 그 대신 -f를 사용하여 Windows 업데이트에서 다운로드합니다.
  • DisallowedWU는 URL 캐시에서 허용되지 않는 인증서 CAB 및 허용되지 않는 인증서 저장소 파일을 읽습니다. 그 대신 -f를 사용하여 Windows 업데이트에서 다운로드합니다.
    • PinRulesWU는 URL 캐시에서 PinRules CAB를 읽습니다. 그 대신 -f를 사용하여 Windows 업데이트에서 다운로드합니다.
  • AuthRoot는 레지스트리 캐시된 AuthRoot CTL을 읽습니다. -f 및 신뢰할 수 없는 CertFile을 함께 사용하여 레지스트리 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다.
  • Disallowed는 레지스트리 캐시된 허용되지 않는 인증서 CTL을 읽습니다. -f 및 신뢰할 수 없는 CertFile을 함께 사용하여 레지스트리 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다.
    • PinRules는 레지스트리 캐시된 PinRules CTL을 읽습니다. -f을 사용하는 동작은 PinRulesWU와 동일합니다.
  • CTLFileName은 CTL 또는 CAB 파일의 파일 또는 http 경로를 지정합니다.

• CertDir은 CTL 항목과 일치하는 인증서가 포함된 폴더를 지정합니다. 기본값은 CTLobject와 동일한 폴더나 웹사이트입니다. Http 폴더 경로를 사용하려면 끝에 경로 구분 기호가 필요합니다. AuthRoot 또는 Disallowed를 지정하지 않으면 여러 위치에서 로컬 인증서 저장소, crypt32.dll 리소스 및 로컬 URL 캐시를 포함해 일치하는 인증서를 검색합니다. 필요에 따라 -f를 사용하여 Windows 업데이트에서 다운로드합니다.

• CertFile은 확인할 인증서를 지정합니다. 인증서를 CTL 항목을 기준으로 일치시켜 결과를 표시합니다. 이 옵션은 대부분의 기본 출력을 억제합니다.

옵션:

[-f] [-user] [-split]

-syncWithWU

Windows 업데이트로 인증서를 동기화합니다.

certutil [options] -syncWithWU DestinationDir

여기서

• DestinationDir은 지정된 디렉터리입니다.
• f는 강제로 덮어씁니다.
• Unicode는 리디렉션된 출력을 유니코드로 씁니다.
• gmt는 GMT로 시간을 표시합니다.
• seconds는 시간을 초 및 밀리초로 표시합니다.
• v는 verbose 작업입니다.
• PIN은 스마트 카드 PIN입니다.
• WELL_KNOWN_SID_TYPE는 숫자 SID입니다.
  • 22 - 로컬 시스템
  • 23 - 로컬 서비스
  • 24 - 네트워크 서비스

설명

자동 업데이트 메커니즘을 통해 다운로드되는 파일은 다음과 같습니다.

• authrootstl.cab에는 타사 루트 인증서의 CTL이 포함됩니다.
• disallowedcertstl.cab에는 신뢰할 수 없는 인증서의 CTL이 포함됩니다.
• disallowedcert.sst에는 신뢰할 수 없는 인증서를 포함해 직렬화된 인증서 저장소가 포함됩니다.
• thumbprint.crt에는 타사 루트 인증서가 포함됩니다.

예들 들어 certutil -syncWithWU \\server1\PKI\CTLs입니다.

• 존재하지 않는 로컬 경로 또는 폴더를 대상 폴더로 사용하면 The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND) 오류가 표시됩니다.

• 존재하지 않거나 사용할 수 없는 네트워크 위치를 대상 폴더로 사용하면 The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME) 오류가 표시됩니다.

• 서버에서 TCP 포트 80 통해 Microsoft 자동 업데이트 서버에 연결할 수 없는 경우 A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT) 오류가 나타납니다.

• 서버에서 DNS 이름 ctldl.windowsupdate.com을 사용하여 Microsoft 자동 업데이트 서버에 연결하지 못하는 경우 The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED). 오류가 나타납니다.

• -f 스위치를 사용하지 않는 경우 CTL 파일이 디렉터리에 이미 있으면 파일 있음 오류 certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.가 나타납니다.

• 신뢰할 수 있는 루트 인증서가 변경된 경우 Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated. 메시지가 표시됩니다.

옵션:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows 업데이트로 동기화되는 저장소 파일을 생성합니다.

certutil [options] -generateSSTFromWU SSTFile

여기서

• SSTFile은 Windows 업데이트에서 다운로드한 타사 루트를 포함해 생성되는 .sst 파일입니다.

옵션:

[-f] [-split]

-generatePinRulesCTL

고정 규칙 목록이 포함된 인증서 신뢰 목록(CTL) 파일을 생성합니다.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

여기서

• XMLFile은 구문 분석할 입력 XML 파일입니다.
• CTLFile은 생성할 출력 CTL 파일입니다.
• SSTFile은 고정에 사용되는 모든 인증서를 포함해 생성되는 선택적 .sst 파일입니다.
• QueryFilesPrefix는 데이터베이스 쿼리용으로 생성되는 선택적 Domains.csv 및 Keys.csv 파일입니다.
  • QueryFilesPrefix 문자열은 생성된 각 파일 앞에 추가됩니다.
  • Domains.csv 파일에는 규칙 이름, 도메인 행이 포함됩니다.
  • Keys.csv 파일에는 규칙 이름, 키 SHA256 지문 행이 포함됩니다.

옵션:

[-f]

-downloadOcsp

OCSP 응답을 다운로드하여 디렉터리에 씁니다.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

여기서

• CertificateDir은 인증서, 저장소 및 PFX 파일의 디렉터리입니다.
• OcspDir는 OCSP 응답을 쓸 디렉터리입니다.
• ThreadCount는 동시 다운로드를 위한 선택적 최대 스레드 수입니다. 기본값은 10입니다.
• Modifiers는 다음 중 하나 이상의 쉼표 구분 목록입니다.
  • DownloadOnce - 한 번 다운로드하고 종료합니다.
  • ReadOcsp - 쓰지 않고 OcspDir에서 읽습니다.

-generateHpkpHeader

지정된 파일 또는 디렉터리에서 인증서를 사용하여 HPKP 헤더를 생성합니다.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

여기서

• CertFileOrDir은 pin-sha256의 소스인 인증서의 파일 또는 디렉터리입니다.
• MaxAge는 최대 값(초)입니다.
• ReportUri는 선택적 report-uri입니다.
• Modifiers는 다음 중 하나 이상의 쉼표 구분 목록입니다.
  • includeSubDomains - includeSubDomains를 추가합니다.

-flushCache

lsass.exe 같이 선택한 프로세스에서 지정된 캐시를 플러시합니다.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

여기서

• ProcessId는 플러시할 프로세스의 숫자 ID입니다. 플러시가 사용되는 모든 프로세스를 플러시하려면 0으로 설정합니다.

• CacheMask는 숫자 또는 다음 비트를 플러시할 캐시의 비트 마스크입니다.

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers는 다음 중 하나 이상의 쉼표 구분 목록입니다.

  • Show - 플러시되는 캐시를 표시합니다. Certutil을 명시적으로 종료해야 합니다.

-addEccCurve

ECC 곡선을 추가합니다.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

여기서

• CurveClass는 ECC 곡선 클래스 형식입니다.

  • WEIERSTRASS(기본값)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName은 ECC 곡선 이름입니다.

• CurveParameters는 다음 중 하나입니다.

  • ASN 인코딩 매개 변수를 포함하는 인증서 파일 이름.
  • ASN으로 인코딩된 매개 변수를 포함하는 파일.

• CurveOID는 ECC 곡선 OID이며 다음 중 하나입니다.

  • ASN 인코딩 OID를 포함하는 인증서 파일 이름.
  • 명시적 ECC 곡선 OID.

• CurveType은 Schannel ECC NamedCurve 점(숫자)입니다.

옵션:

[-f]

-deleteEccCurve

ECC 곡선을 삭제합니다.

certutil [options] -deleteEccCurve CurveName | CurveOID

여기서

• CurveName은 ECC 곡선 이름입니다.
• CurveOID는 ECC 곡선 OID입니다.

옵션:

[-f]

-displayEccCurve

ECC 곡선을 표시합니다.

certutil [options] -displayEccCurve [CurveName | CurveOID]

여기서

• CurveName은 ECC 곡선 이름입니다.
• CurveOID는 ECC 곡선 OID입니다.

옵션:

[-f]

-csplist

암호화 작업을 위해 이 컴퓨터에 설치된 암호화 서비스 공급자(CSP)를 나열합니다.

certutil [options] -csplist [Algorithm]

옵션:

[-user] [-Silent] [-csp Provider]

-csptest

이 컴퓨터에 설치된 CSP를 테스트합니다.

certutil [options] -csptest [Algorithm]

옵션:

[-user] [-Silent] [-csp Provider]

-CNGConfig

이 컴퓨터에 CNG 암호화 구성을 표시합니다.

certutil [options] -CNGConfig

옵션:

[-Silent]

-기호

인증서 해지 목록(CRL) 또는 인증서에 다시 서명합니다.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

여기서

• InFileList는 수정하고 다시 서명할 인증서나 CRL 파일의 쉼표로 구분된 목록입니다.

• SerialNumber는 만들 인증서의 일련 번호입니다. 유효 기간과 기타 옵션은 존재할 수 없습니다.

• CRL은 빈 CRL을 만듭니다. 유효 기간과 기타 옵션은 존재할 수 없습니다.

• OutFileList는 수정된 인증서 또는 CRL 출력 파일의 쉼표로 구분된 목록입니다. 파일 수가 infilelist와 일치해야 합니다.

• StartDate+dd:hh는 다음을 포함하여 인증서 또는 CRL 파일의 새로운 유효 기간입니다.

  • 선택적 날짜 더하기
  • 선택적 일수 및 시간 유효 기간, 여러 필드를 사용하는 경우 (+) 또는 (-) 구분 기호를 사용합니다. 현재 시간에서 시작하려면 now[+dd:hh]를 사용합니다. 현재 시간 및 고정된 유효 기간의 고정 오프셋에서 시작하려면 now-dd:hh+dd:hh를 사용합니다. never를 사용하면 만료일이 없습니다(CRL 전용).

• SerialNumberList는 추가하거나 제거할 파일의 쉼표로 구분된 일련 번호 목록입니다.

• ObjectIdList는 제거할 파일의 쉼표로 구분된 확장명 ObjectId 목록입니다.

• @ExtensionFile는 업데이트하거나 제거할 확장이 포함된 INI 파일입니다. 예시:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm은 해시 알고리즘의 이름입니다. 이것은 # 기호 앞에 오는 텍스트만 해당해야 합니다.

• AlternateSignatureAlgorithm은 대체 서명 알고리즘 지정자입니다.

옵션:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

설명

• 빼기 기호(-)를 사용하면 일련 번호 및 확장이 제거됩니다.
• 더하기 기호(+)를 사용하면 일련 번호가 CRL에 추가됩니다.
• 목록을 사용하여 CRL에서 일련 번호와 ObjectId를 동시에 제거할 수 있습니다.
• AlternateSignatureAlgorithm 앞에 빼기 기호를 사용하여 레거시 서명 형식을 사용할 수 있습니다.
• 더하기 기호를 사용하여 대체 서명 형식을 사용할 수 있습니다.
• AlternateSignatureAlgorithm을 지정하지 않으면 인증서나 CRL의 서명 형식이 사용됩니다.

-vroot

웹 가상 루트와 파일 공유를 생성하거나 삭제합니다.

certutil [options] -vroot [delete]

-vocsproot

OCSP 웹 프록시에 대해 웹 가상 루트를 생성하거나 삭제합니다.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션과 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일이나 패키지를 설치하지 않습니다.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

여기서

• addEnrollmentServer 를 사용하려면 다음을 포함해 인증서 등록 서버에 대해 클라이언트 연결용 인증 방법을 사용해야 합니다.

  • Kerberos는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate은 X.509 인증서 SSL 자격 증명을 사용합니다.

• Modifiers:

  • AllowRenewalsOnly는 URL을 통해 인증 기관에 대한 갱신 요청 제출만 허용합니다.
  • AllowKeyBasedRenewal을 사용하면 Active Directory에 연결된 계정이 없는 인증서를 사용할 수 있습니다. 이것은 ClientCertificate 및 AllowRenewalsOnly 모드로 사용할 때 적용됩니다.

옵션:

[-config Machine\CAName]

-deleteEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션과 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일이나 패키지를 설치하지 않습니다.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

여기서

• deleteEnrollmentServer를 사용하려면 다음을 포함해 인증서 등록 서버에 대해 클라이언트 연결용 인증 방법을 사용해야 합니다.
  • Kerberos는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate은 X.509 인증서 SSL 자격 증명을 사용합니다.

옵션:

[-config Machine\CAName]

-addPolicyServer

필요한 경우에 정책 서버 애플리케이션과 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일이나 패키지를 설치하지 않습니다.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

여기서

• addPolicyServer를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.
  • Kerberos는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate은 X.509 인증서 SSL 자격 증명을 사용합니다.
• KeyBasedRenewal을 사용하면 keybasedrenewal 템플릿이 포함된 클라이언트로 반환되는 정책을 사용할 수 있습니다. 이 옵션은 UserName 및 ClientCertificate 인증에만 적용됩니다.

-deletePolicyServer

필요한 경우에 정책 서버 애플리케이션과 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일이나 패키지를 제거하지 않습니다.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

여기서

• deletePolicyServer를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.
  • Kerberos는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate은 X.509 인증서 SSL 자격 증명을 사용합니다.
• KeyBasedRenewal을 사용하면 KeyBasedRenewal 정책 서버를 사용할 수 있습니다.

-Class

COM 레지스트리 정보를 표시합니다.

certutil [options] -Class [ClassId | ProgId | DllName | *]

옵션:

[-f]

-7f

인증서의 0x7f 길이 인코딩을 확인합니다.

certutil [options] -7f CertFile

-oid

개체 식별자를 표시하거나 표시 이름을 설정합니다.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

여기서

• ObjectId는 표시하거나 표시 이름에 추가할 ID입니다.
• GroupId는 ObjectIds가 열거하는 GroupID 번호(10진수)입니다.
• AlgId는 objectID가 조회하는 16진수 ID입니다.
• AlgorithmName은 objectID가 조회하는 알고리즘 이름입니다.
• DisplayName은 DS에 저장할 이름을 표시합니다.
• Delete는 표시 이름을 삭제합니다.
• LanguageId는 언어 ID 값입니다(기본값은 현재: 1033).
• Type은 다음을 포함하여 만들 DS 개체의 형식입니다.
  • 1 - 템플릿(기본값)
  • 2 - 발급 정책
  • 3 - 애플리케이션 정책
• -f는 DS 개체를 만듭니다.

옵션:

[-f]

-오류

오류 코드와 연결된 메시지 텍스트를 표시합니다.

certutil [options] -error ErrorCode

-getsmtpinfo

SMTP(Simple Mail Transfer Protocol) 정보를 가져옵니다.

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 정보를 설정합니다.

certutil [options] -setsmtpinfo LogonName

옵션:

[-config Machine\CAName] [-p Password]

-getreg

레지스트리 값을 표시합니다.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

여기서

• ca는 인증 기관의 레지스트리 키를 사용합니다.
• restore는 인증 기관의 복원 레지스트리 키를 사용합니다.
• policy는 정책 모듈의 레지스트리 키를 사용합니다.
• exit은 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• template은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 -user 사용).
• enroll은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 -user 사용).
• chain은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers는 정책 서버 레지스트리 키를 사용합니다.
• ProgId는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName은 레지스트리 값 이름을 사용합니다(접두사 일치에 Name* 사용).
• value는 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 + 또는 -로 시작하는 경우 새 값에 지정된 비트가 설정되었거나 기존 레지스트리 값에서 지워진 것입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 + 또는 -로 시작하고, 기존 값이 REG_MULTI_SZ 값이면 문자열이 추가되었거나 기존 레지스트리 값에서 제거된 것입니다. REG_MULTI_SZ 값을 강제로 만들려면 문자열 값 끝에 \n를 추가합니다.
• 값이 \@로 시작하는 경우 값의 나머지는 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우에는 대신 선택적 날짜에 선택적 일수와 시간을 더하거나 뺀 [Date][+|-][dd:hh]로 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 now+dd:hh를 사용합니다.
• i64를 접미사로 사용하여 REG_QWORD 값을 만듭니다.
• chain\chaincacheresyncfiletime @now를 사용하여 캐시된 CRL을 효과적으로 플러시합니다.
• 레지스트리 별칭:
  • Config
  • CA
  • 정책 - PolicyModules
  • 종료 - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • 체인 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

레지스트리 값을 설정합니다.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

여기서

• ca는 인증 기관의 레지스트리 키를 사용합니다.
• restore는 인증 기관의 복원 레지스트리 키를 사용합니다.
• policy는 정책 모듈의 레지스트리 키를 사용합니다.
• exit은 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• template은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 -user 사용).
• enroll은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 -user 사용).
• chain은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers는 정책 서버 레지스트리 키를 사용합니다.
• ProgId는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName은 레지스트리 값 이름을 사용합니다(접두사 일치에 Name* 사용).
• Value는 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 + 또는 -로 시작하는 경우 새 값에 지정된 비트가 설정되었거나 기존 레지스트리 값에서 지워진 것입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 + 또는 -로 시작하고, 기존 값이 REG_MULTI_SZ 값이면 문자열이 추가되었거나 기존 레지스트리 값에서 제거된 것입니다. REG_MULTI_SZ 값을 강제로 만들려면 문자열 값 끝에 \n를 추가합니다.
• 값이 \@로 시작하는 경우 값의 나머지는 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우에는 대신 선택적 날짜에 선택적 일수와 시간을 더하거나 뺀 [Date][+|-][dd:hh]로 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 now+dd:hh를 사용합니다.
• i64를 접미사로 사용하여 REG_QWORD 값을 만듭니다.
• chain\chaincacheresyncfiletime @now를 사용하여 캐시된 CRL을 효과적으로 플러시합니다.

-delreg

레지스트리 값을 삭제합니다.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

여기서

• ca는 인증 기관의 레지스트리 키를 사용합니다.
• restore는 인증 기관의 복원 레지스트리 키를 사용합니다.
• policy는 정책 모듈의 레지스트리 키를 사용합니다.
• exit은 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• template은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 -user 사용).
• enroll은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 -user 사용).
• chain은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers는 정책 서버 레지스트리 키를 사용합니다.
• ProgId는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName은 레지스트리 값 이름을 사용합니다(접두사 일치에 Name* 사용).
• Value는 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 + 또는 -로 시작하는 경우 새 값에 지정된 비트가 설정되었거나 기존 레지스트리 값에서 지워진 것입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 + 또는 -로 시작하고, 기존 값이 REG_MULTI_SZ 값이면 문자열이 추가되었거나 기존 레지스트리 값에서 제거된 것입니다. REG_MULTI_SZ 값을 강제로 만들려면 문자열 값 끝에 \n를 추가합니다.
• 값이 \@로 시작하는 경우 값의 나머지는 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우에는 대신 선택적 날짜에 선택적 일수와 시간을 더하거나 뺀 [Date][+|-][dd:hh]로 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 now+dd:hh를 사용합니다.
• i64를 접미사로 사용하여 REG_QWORD 값을 만듭니다.
• chain\chaincacheresyncfiletime @now를 사용하여 캐시된 CRL을 효과적으로 플러시합니다.
• 레지스트리 별칭:
  • Config
  • CA
  • 정책 - PolicyModules
  • 종료 - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • 체인 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

사용자 키 및 인증서를 키 보관용 서버 데이터베이스로 가져옵니다.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

여기서

• UserKeyAndCertFile은 보관할 사용자 프라이빗 키와 인증서가 있는 데이터 파일입니다. 다음이 이 파일에 해당할 수 있습니다.
  • Exchange KMS(키 관리 서버) 내보내기 파일.
  • PFX 파일.
• CertId는 KMS 내보내기 파일 암호 해독 인증서 일치 토큰입니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.
• -f는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

옵션:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

데이터베이스로 인증서 파일을 가져옵니다.

certutil [options] -ImportCert Certfile [ExistingRow]

여기서

• ExistingRow는 동일한 키에 대한 보류 중인 요청 대신 인증서를 가져옵니다.
• -f는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

옵션:

[-f] [-config Machine\CAName]

설명

certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN를 실행하여 외국 인증서를 지원하도록 인증 기관을 구성해야 할 수도 있습니다.

-GetKey

보관된 프라이빗 키 복구 Blob을 검색하거나, 복구 스크립트를 생성하거나, 보관된 키를 복구합니다.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

여기서

• script는 키를 검색하여 복구하는 스크립트를 생성합니다(일치하는 복구 후보가 여러 개이거나 출력 파일이 지정되지 않은 경우의 기본 동작).
• retrieve는 하나 이상의 키 복구 Blob을 검색합니다(일치하는 복구 후보가 하나 있고 출력 파일이 지정된 경우의 기본 동작). 이 옵션을 사용하면 확장이 잘리고 각 키 복구 Blob에 대한 인증서별 문자열과 .rec 확장이 추가됩니다. 각 파일에서 인증서 체인 및 하나 이상의 키 복구 에이전트 인증서에 암호화 되어 연결된 된 프라이빗 키를 포함 합니다.
• recover는 한 단계로 프라이빗 키를 검색하고 복구합니다(키 복구 에이전트 인증서 및 프라이빗 키 필요). 이 옵션을 사용하면 확장이 잘리고 .p12 확장이 추가됩니다. 각 파일에는 PFX 파일로 저장된 복구된 인증서 체인과 연결된 프라이빗 키가 포함됩니다.
• SearchToken은 다음을 포함해 복구할 키와 인증서를 선택합니다.
  • 인증서 일반 이름
  • 인증서 일련 번호
  • 인증서의 sha-1 해시 (지문)
  • 인증서 KeyId sha-1 해시 (주체 키 식별자)
  • 요청자 이름 (도메인 \ 사용자)
  • UPN(user@domain)
• RecoveryBlobOutFile은 하나 이상의 키 복구 에이전트 인증서로 암호화된 인증서 체인 및 연결된 개인 키가 있는 파일을 출력합니다.
• OutputScriptFile은 프라이빗 키를 검색하여 복구할 배치 스크립트가 포함된 파일을 출력합니다.
• OutputFileBaseName은 파일 기본 이름을 출력합니다.

옵션:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

설명

• retrieve의 경우 확장이 잘리고 각 키 복구 Blob에 대해 인증서별 문자열과 .rec 확장이 추가됩니다. 각 파일에서 인증서 체인 및 하나 이상의 키 복구 에이전트 인증서에 암호화 되어 연결된 된 프라이빗 키를 포함 합니다.
• recover의 경우 확장이 잘리고 .p12 확장이 추가됩니다. 복구 된 인증서 체인 및 PFX 파일로 저장 하는 연결 된 프라이빗 키를 포함 합니다.

-RecoverKey

보관된 프라이빗 키를 복구합니다.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

옵션:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX 파일을 병합합니다.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

여기서

• PFXInFileList는 PFX 입력 파일의 쉼표로 구분된 목록입니다.
• PFXOutFile은 PFX 출력 파일의 이름입니다.
• Modifiers는 다음 중 하나 이상의 쉼표 구분 목록입니다.
  • ExtendedProperties에는 모든 확장 속성이 포함됩니다.
  • NoEncryptCert는 인증서를 암호화하지 않도록 지정합니다.
  • EncryptCert는 인증서를 암호화하도록 지정합니다.

옵션:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

설명

• 명령줄에서 지정된 암호는 쉼표로 구분된 암호 목록이어야 합니다.
• 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호 하나만 제공되거나 마지막 암호가 *인 경우 사용자에게 출력 파일 암호를 입력하라는 메시지가 표시됩니다.

-convertEPF

PFX 파일을 EPF 파일로 변환합니다.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

여기서

• PFXInFileList는 PFX 입력 파일의 쉼표로 구분된 목록입니다.
• EPFOutFile은 PFX 출력 파일의 이름입니다.
• EPF는 EPF 출력 파일의 이름입니다.
• cast는 CAST 64 암호화를 사용합니다.
• cast-는 CAST 64 암호화(내보내기)를 사용합니다.
• V3CACertId는 V3 CA 인증서 일치 토큰입니다. 자세한 내용은 이 문서의 -store 매개 변수를 참조하세요.
• Salt는 EPF 출력 파일 솔트 문자열입니다.

옵션:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

설명

• 명령줄에서 지정된 암호는 쉼표로 구분된 암호 목록이어야 합니다.
• 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호 하나만 제공되거나 마지막 암호가 *인 경우 사용자에게 출력 파일 암호를 입력하라는 메시지가 표시됩니다.

-add-chain

인증서 체인을 추가합니다.

certutil [options] -add-chain LogId certificate OutFile

옵션:

[-f]

-add-pre-chain

사전 인증서 체인을 추가합니다.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

옵션:

[-f]

-get-sth

서명된 트리 헤드를 가져옵니다.

certutil [options] -get-sth [LogId]

옵션:

[-f]

-get-sth-consistency

서명된 트리 헤드 변경 내용을 가져옵니다.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

옵션:

[-f]

-get-proof-by-hash

해시의 증명을 타임스탬프 서버에서 가져옵니다.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

옵션:

[-f]

-get-entries

이벤트 로그에서 항목을 검색합니다.

certutil [options] -get-entries LogId FirstIndex LastIndex

옵션:

[-f]

-get-roots

루트 인증서를 인증서 저장소에서 검색합니다.

certutil [options] -get-roots LogId

옵션:

[-f]

-get-entry-and-proof

이벤트 로그 항목과 그 암호화 증명을 검색합니다.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

옵션:

[-f]

-VerifyCT

인증서 투명도 로그에 대해 인증서를 확인합니다.

certutil [options] -VerifyCT Certificate SCT [precert]

옵션:

[-f]

-?

매개 변수 목록을 표시합니다.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

여기서

• -? 매개 변수 목록을 표시
• -<name_of_parameter> -? 지정된 매개 변수에 대한 도움말 콘텐츠를 표시합니다.
• -? -v 매개 변수 및 옵션의 verbose 목록을 표시합니다.

옵션

이 섹션에서는 명령에 따라 지정할 수 있는 모든 옵션을 정의합니다. 각 매개 변수에는 사용할 수 있는 옵션에 관한 정보가 포함됩니다.

옵션	설명
-admin	CA 속성에 대해 ICertAdmin2를 사용합니다.
-anonymous	익명 SSL 자격 증명을 사용합니다.
-cert CertId	인증서 서명.
-clientcertificate clientCertId	SSL 되는 X.509 인증서 자격 증명을 사용 합니다. 선택 UI는 -clientcertificate를 사용합니다.
-config Machine\CAName	인증 기관 및 컴퓨터 이름 문자열.
-csp provider	공급자: KSP - Microsoft 소프트웨어 키 스토리지 공급자 TPM - Microsoft 플랫폼 암호화 공급자 NGC - Microsoft Passport 키 스토리지 공급자 SC - Microsoft 스마트 카드 키 스토리지 공급자
-dc DCName	특정 도메인 컨트롤러를 대상으로 합니다.
-enterprise	로컬 컴퓨터 엔터프라이즈 레지스트리 인증서 저장소를 사용합니다.
f-	강제로 덮어씁니다.
-generateSSTFromWU SSTFile	자동 업데이트 메커니즘을 사용하여 SST를 생성합니다.
-gmt	GMT를 사용하여 시간을 표시합니다.
-그룹 정책	그룹 정책 인증서 저장소를 사용합니다.
-idispatch	COM 네이티브 메서드 대신 IDispatch를 사용합니다.
-kerberos	Kerberos SSL 자격 증명을 사용합니다.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-mt	컴퓨터 템플릿을 표시합니다.
-nocr	CR 문자 없는 텍스트를 인코딩합니다.
-nocrlf	CR-LF 문자 없는 텍스트를 인코딩합니다.
-nullsign	데이터의 해시를 서명으로 사용합니다.
-oldpfx	이전 PFX 암호화를 사용합니다.
-out columnlist	쉼표로 구분된 열 목록.
-p 비밀번호	암호
-핀 고정	스마트 카드 PIN.
-policyserver URLorID	정책 서버 URL 또는 ID. 선택 U/I는 -policyserver를 사용합니다. 모든 정책 서버는 -policyserver * 사용
-privatekey	암호 및 프라이빗 키 데이터를 표시합니다.
-protect	키를 암호로 보호합니다.
-protectto SAMnameandSIDlist	쉼표로 구분된 SAM 이름/SID 목록.
-restrict restrictionlist	쉼표로 구분된 제한 목록. 각 제한은 열 이름, 관계형 연산자, 상수 정수, 문자열 또는 날짜로 구성됩니다. 한 열 이름 수 앞에 더하기 또는 빼기 기호 정렬 순서를 나타냅니다. 예: requestID = 47, +requestername >= a, requestername 또는 -requestername > DOMAIN, Disposition = 21.
-reverse	역방향 로그 및 큐 열.
-초	초와 밀리초를 사용하여 시간을 표시합니다.
-service	서비스 인증서 저장소를 사용합니다.
-sid	숫자 SID: 22 - 로컬 시스템 23 - 로컬 서비스 24 - 네트워크 서비스
-자동	silent 플래그를 사용하여 crypt 컨텍스트를 획득합니다.
-분할	포함된 ASN.1 요소를 분할하고 파일에 저장합니다.
-sslpolicy servername	ServerName과 일치하는 SSL 정책.
-symkeyalg symmetrickeyalgorithm[,keylength]	선택적 키 길이가 있는 대칭 키 알고리즘의 이름. 예를 들어 AES,128 또는 3DES입니다.
-syncWithWU DestinationDir	Windows 업데이트와 동기화합니다.
-t timeout	URL 인출 제한 시간(밀리초).
유니코드	리디렉션된 출력을 유니코드로 씁니다.
-UnicodeText	출력 파일을 유니코드로 씁니다.
-urlfetch	AIA 인증서와 CDP CRL을 검색하여 확인합니다.
-사용자	HKEY_CURRENT_USER 키나 인증서 저장소를 사용합니다.
-username username	SSL 자격 증명에 대 한 명명 된 계정을 사용 합니다. 선택 UI는 -username를 사용합니다.
-ut	사용자 템플릿을 표시합니다.
-v	자세한(verbose) 정보를 제공합니다.
-v1	V1 인터페이스를 사용합니다.

해시 알고리즘: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

관련 링크

이 명령의 사용법에 대한 자세한 예제는 다음 문서를 참조하세요.

• AD CS(Active Directory 인증서 서비스)
• 인증서 관리를 위한 Certutil 작업
• Windows에서 신뢰할 수 있는 루트와 허용되지 않는 인증서 구성