certutil

주의

Certutil 는 프로덕션 코드에서 사용하지 않는 것이 좋으며 라이브 사이트 지원 또는 애플리케이션 호환성을 보장하지 않습니다. 개발자와 IT 관리자가 디바이스에서 인증서 콘텐츠 정보를 보는 데 사용하는 도구입니다.

Certutil.exe는 인증서 서비스의 일부로 설치된 명령줄 프로그램입니다. certutil.exe를 사용하여 CA(인증 기관) 구성 정보를 표시하고, 인증서 서비스를 구성하고, CA 구성 요소를 백업 및 복원할 수 있습니다. 또한 이 프로그램은 인증서, 키 쌍 및 인증서 체인을 확인합니다.

다른 매개 변수 없이 인증 기관에서 실행되는 경우 certutil 현재 인증 기관 구성이 표시됩니다. 다른 매개 변수 없이 비인증 기관에서 실행되는 경우 certutil 명령은 기본적으로 명령을 실행 certutil -dump 합니다. certutil의 모든 버전이 이 문서에서 설명하는 모든 매개 변수 및 옵션을 제공하는 것은 아닙니다. certutil 버전을 실행 certutil -? 하거나 certutil <parameter> -?실행하여 제공하는 선택 항목을 볼 수 있습니다.

팁

인수에서 숨겨진 동사를 포함하여 모든 certutil 동사 및 옵션에 대한 전체 도움말을 -? 보려면 실행 certutil -v -uSAGE합니다. 스위치는 uSAGE 대/소문자를 구분합니다.

매개 변수

-덤프

구성 정보 또는 파일을 덤프합니다.

certutil [options] [-dump]
certutil [options] [-dump] File

옵션:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 구조를 덤프합니다.

certutil [options] [-dumpPFX] File

옵션:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

ASN.1(추상 구문 표기법) 구문을 사용하여 파일의 내용을 구문 분석하고 표시합니다. 파일 형식에는 . Cer. DER 및 PKCS #7 형식의 파일입니다.

certutil [options] -asn File [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

-decodehex

16진수로 인코딩된 파일을 디코딩합니다.

certutil [options] -decodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

옵션:

[-f]

-encodehex

파일을 16진수로 인코딩합니다.

certutil [options] -encodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 인코딩 형식

옵션:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-디코딩

Base64로 인코딩된 파일을 디코딩합니다.

certutil [options] -decode InFile OutFile

옵션:

[-f]

-인코딩

파일을 Base64로 인코딩합니다.

certutil [options] -encode InFile OutFile

옵션:

[-f] [-unicodetext]

-거부

보류 중인 요청을 거부합니다.

certutil [options] -deny RequestId

옵션:

[-config Machine\CAName]

-다시 전송

보류 중인 요청을 다시 제출합니다.

certutil [options] -resubmit RequestId

옵션:

[-config Machine\CAName]

-setattributes

보류 중인 인증서 요청에 대한 특성을 설정합니다.

certutil [options] -setattributes RequestId AttributeString

여기서

• RequestId 는 보류 중인 요청에 대한 숫자 요청 ID입니다.
• AttributeString 은 요청 특성 이름 및 값 쌍입니다.

옵션:

[-config Machine\CAName]

설명

• 이름과 값은 콜론으로 구분되어야 하고 여러 이름과 값 쌍은 줄 바꿈으로 구분되어야 합니다. 예: CertificateTemplate:User\nEMail:User@Domain.com 시퀀스가 \n 줄 바꿈 구분 기호로 변환되는 위치입니다.

-setextension

보류 중인 인증서 요청에 대한 확장을 설정합니다.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

여기서

• requestID 는 보류 중인 요청에 대한 숫자 요청 ID입니다.
• ExtensionName 은 확장에 대한 ObjectId 문자열입니다.
• 플래그 는 확장의 우선 순위를 설정합니다. 0는 확장을 위험으로 설정하고, 확장을 사용하지 않도록 설정하고, 23 둘 다 수행하는 것이 좋습니다1.

옵션:

[-config Machine\CAName]

설명

• 마지막 매개 변수가 숫자이면 Long으로 표시됩니다.
• 마지막 매개 변수를 날짜로 구문 분석할 수 있는 경우 Date로 간주됩니다.
• 마지막 매개 변수가 \@시작되면 나머지 토큰은 이진 데이터 또는 ascii 텍스트 16진수 덤프가 있는 파일 이름으로 가져옵니다.
• 마지막 매개 변수가 다른 매개 변수인 경우 문자열로 가져옵니다.

-취소

인증서를 해지합니다.

certutil [options] -revoke SerialNumber [Reason]

여기서

• SerialNumber 는 해지할 인증서 일련 번호의 쉼표로 구분된 목록입니다.
• 이유는 다음을 포함하여 해지 이유의 숫자 또는 기호 표현입니다.
  • 0. CRL_REASON_UNSPECIFIED - 지정되지 않음(기본값)
  • 1. CRL_REASON_KEY_COMPROMISE - 키 손상
  • 2. CRL_REASON_CA_COMPROMISE - 인증 기관 손상
  • 3. CRL_REASON_AFFILIATION_CHANGED - 소속 변경됨
  • 4. CRL_REASON_SUPERSEDED - 대체됨
  • 5. CRL_REASON_CESSATION_OF_OPERATION - 작업 중단
  • 6. CRL_REASON_CERTIFICATE_HOLD - 인증서 보류
  • 8. CRL_REASON_REMOVE_FROM_CRL - CRL에서 제거
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 권한 철회
  • 10: CRL_REASON_AA_COMPROMISE - AA 손상
  • -1. 해지 취소 - 호출 취소

옵션:

[-config Machine\CAName]

-isvalid

현재 인증서의 처리를 표시합니다.

certutil [options] -isvalid SerialNumber | CertHash

옵션:

[-config Machine\CAName]

-getconfig

기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig

옵션:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig를 통해 기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig2

옵션:

[-idispatch] 

-getconfig3

ICertConfig를 통해 구성을 가져옵니다.

certutil [options] -getconfig3

옵션:

[-idispatch] 

-ping

Active Directory 인증서 서비스 요청 인터페이스에 연결하려고 시도합니다.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

여기서

• CAMachineList 는 CA 컴퓨터 이름의 쉼표로 구분된 목록입니다. 단일 컴퓨터의 경우 종료 쉼표 사용 이 옵션은 각 CA 머신의 사이트 비용도 표시합니다.

옵션:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 인증서 서비스 관리 인터페이스에 연결하려고 시도합니다.

certutil [options] -pingadmin

옵션:

[-config Machine\CAName]

-CAInfo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

여기서

• InfoName 은 다음 infoname 인수 구문에 따라 표시할 CA 속성을 나타냅니다.
  • * - 모든 속성을 표시합니다.
  • ads - Advanced Server
  • aia [Index] - AIA URL
  • cdp [Index] - CDP URL
  • cert [Index] - CA 인증서
  • certchain [Index] - CA 인증서 체인
  • certcount - CA 인증서 수
  • certcrlchain [Index] - CRL을 사용하는 CA 인증서 체인
  • certstate [Index] - CA 인증서
  • cert상태code [Index] - CA 인증서 확인 상태
  • certversion [Index] - CA 인증서 버전
  • CRL [인덱스] - 기본 CRL
  • crlstate [Index] - CRL
  • crl상태 [Index] - CRL 게시 상태
  • cross- [Index] - 뒤로 교차 인증서
  • cross+ [Index] - 교차 인증서 전달
  • crossstate- [Index] - 뒤로 교차 인증서
  • crossstate+ [Index] - 교차 인증서 전달
  • deltacrl [Index] - Delta CRL
  • deltacrl상태 [Index] - Delta CRL 게시 상태
  • dns - DNS 이름
  • dsname - 삭제된 CA 짧은 이름(DS 이름)
  • error1 ErrorCode - 오류 메시지 텍스트
  • error2 ErrorCode - 오류 메시지 텍스트 및 오류 코드
  • exit [Index] - Exit 모듈 설명
  • exitcount - 종료 모듈 수
  • file - 파일 버전
  • info - CA 정보
  • kra [Index] - KRA 인증서
  • kracount - KRA 인증서 수
  • krastate [Index] - KRA 인증서
  • kraused - KRA 인증서 사용 횟수
  • localename - CA 로캘 이름
  • name - CA 이름
  • ocsp [Index] - OCSP URL
  • parent - Parent CA
  • 정책 - 정책 모듈 설명
  • 제품 - 제품 버전
  • propidmax - 최대 CA PropId
  • 역할 - 역할 분리
  • sanitizedname - 삭제된 CA 이름
  • sharedfolder - 공유 폴더
  • subjecttemplateoids - 주체 템플릿 OID
  • 템플릿 - 템플릿
  • type - CA 형식
  • xchg [Index] - CA 교환 인증서
  • xchgchain [인덱스] - CA 교환 인증서 체인
  • xchgcount - CA 교환 인증서 수
  • xchgcrlchain [Index] - CA 교환 인증서 체인과 CRL
• 인덱 스는 선택적 0부터 시작하는 속성 인덱스입니다.
• errorcode 는 숫자 오류 코드입니다.

옵션:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA 속성 형식 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

옵션:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

인증 기관의 인증서를 검색합니다.

certutil [options] -ca.cert OutCACertFile [Index]

여기서

• OutCACertFile 은 출력 파일입니다.
• 인덱 스는 CA 인증서 갱신 인덱스입니다(기본값은 가장 최근).

옵션:

[-f] [-split] [-config Machine\CAName]

-ca.chain

인증 기관의 인증서 체인을 검색합니다.

certutil [options] -ca.chain OutCACertChainFile [Index]

여기서

• OutCACertChainFile 은 출력 파일입니다.
• 인덱 스는 CA 인증서 갱신 인덱스입니다(기본값은 가장 최근).

옵션:

[-f] [-split] [-config Machine\CAName]

-GetCRL

CRL(인증서 해지 목록)을 가져옵니다.

certutil [options] -GetCRL OutFile [Index] [delta]

여기서

• 인덱 스는 CRL 인덱스 또는 키 인덱스입니다(가장 최근 키의 경우 기본값은 CRL).
• 델타 는 델타 CRL입니다(기본값은 기본 CRL).

옵션:

[-f] [-split] [-config Machine\CAName]

-CRL

새 CRL(인증서 해지 목록) 또는 델타 CRL을 게시합니다.

certutil [options] -CRL [dd:hh | republish] [delta]

여기서

• dd:hh 는 일 및 시간의 새로운 CRL 유효 기간입니다.
• 가장 최근 CRL을 다시 게시합니다.
• 델타 는 델타 CRL만 게시합니다(기본값은 기본 및 델타 CRL).

옵션:

[-split] [-config Machine\CAName]

-종료

Active Directory 인증서 서비스를 종료합니다.

certutil [options] -shutdown

옵션:

[-config Machine\CAName]

-installCert

인증 기관 인증서를 설치합니다.

certutil [options] -installCert [CACertFile]

옵션:

[-f] [-silent] [-config Machine\CAName]

-renewCert

인증 기관 인증서를 갱신합니다.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

옵션:

[-f] [-silent] [-config Machine\CAName]

• 미해결 갱신 요청을 무시하고 새 요청을 생성하는 데 사용합니다 -f .

-스키마

인증서에 대한 스키마를 덤프합니다.

certutil [options] -schema [Ext | Attrib | CRL]

여기서

• 이 명령은 기본적으로 요청 및 인증서 테이블로 설정됩니다.
• Ext 는 확장 테이블입니다.
• 특성 은 특성 테이블입니다.
• CRL 은 CRL 테이블입니다.

옵션:

[-split] [-config Machine\CAName]

-보기

인증서 뷰를 덤프합니다.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

여기서

• 큐 는 특정 요청 큐를 덤프합니다.
• 로그 는 발급되거나 해지된 인증서와 실패한 모든 요청을 덤프합니다.
• LogFail 은 실패한 요청을 덤프합니다.
• 해지된 인증서는 덤프됩니다.
• 확장 테이블을 덤프합니다.
• Attrib 은 특성 테이블을 덤프합니다.
• CRL 은 CRL 테이블을 덤프합니다.
• csv 는 쉼표로 구분된 값을 사용하여 출력을 제공합니다.

옵션:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

설명

• 모든 항목에 대한 StatusCode 열을 표시하려면 다음을 입력합니다. -out StatusCode
• 마지막 항목의 모든 열을 표시하려면 다음을 입력합니다. -restrict RequestId==$
• 세 가지 요청에 대한 RequestId 및 처리를 표시하려면 다음을 입력합니다. -restrict requestID>=37,requestID<40 -out requestID,disposition
• 모든 기본 CRL에 대한 행 ID 행 ID 및 CRL 번호를 표시하려면 다음을 입력합니다. -restrict crlminbase=0 -out crlrowID,crlnumber crl
• 기본 CRL 번호 3을 표시하려면 다음을 입력합니다. -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• 전체 CRL 테이블을 표시하려면 다음을 입력합니다. CRL
• 날짜 제한에 사용합니다 Date[+|-dd:hh] .
• 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 템플릿에는 인증서 사용 방법을 설명하는 OID(개체 식별자)인 EKU(확장 키 사용)가 포함되어 있습니다. 인증서에는 항상 템플릿 일반 이름 또는 표시 이름이 포함되지는 않지만 항상 템플릿 EKU가 포함됩니다. Active Directory에서 특정 인증서 템플릿에 대한 EKU를 추출한 다음 해당 확장에 따라 보기를 제한할 수 있습니다.

-db

원시 데이터베이스를 덤프합니다.

certutil [options] -db

옵션:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

서버 데이터베이스에서 행을 삭제합니다.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

여기서

• 요청 은 제출 날짜에 따라 실패한 요청과 보류 중인 요청을 삭제합니다.
• 인증서는 만료 날짜에 따라 만료된 인증서와 해지된 인증서를 삭제합니다.
• 확장 테이블을 삭제합니다.
• Attrib 은 특성 테이블을 삭제합니다.
• CRL 은 CRL 테이블을 삭제합니다.

옵션:

[-f] [-config Machine\CAName]

예제

• 2001년 1월 22일까지 제출된 실패한 요청 및 보류 중인 요청을 삭제하려면 다음을 입력합니다. 1/22/2001 request
• 2001년 1월 22일까지 만료된 모든 인증서를 삭제하려면 다음을 입력합니다. 1/22/2001 cert
• RequestID 37에 대한 인증서 행, 특성 및 확장을 삭제하려면 다음을 입력합니다. 37
• 2001년 1월 22일까지 만료된 CRL을 삭제하려면 다음을 입력합니다. 1/22/2001 crl

참고 항목

날짜는 2001년 dd/mm/yyyymm/dd/yyyy1/22/2001 1월 22일이 아닌 22/1/2001 형식을 예상합니다. 서버가 미국 지역 설정으로 구성되지 않은 경우 Date 인수를 사용하면 예기치 않은 결과가 발생할 수 있습니다.

-백업

Active Directory 인증서 서비스를 백업합니다.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

여기서

• BackupDirectory 는 백업된 데이터를 저장할 디렉터리입니다.
• 증 분은 증분 백업만 수행합니다(기본값은 전체 백업임).
• KeepLog 는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것입니다).

옵션:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 인증서 서비스 데이터베이스를 백업합니다.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

여기서

• BackupDirectory 는 백업된 데이터베이스 파일을 저장할 디렉터리입니다.
• 증 분은 증분 백업만 수행합니다(기본값은 전체 백업임).
• KeepLog 는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것입니다).

옵션:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 백업합니다.

certutil [options] -backupkey BackupDirectory

여기서

• BackupDirectory 는 백업된 PFX 파일을 저장할 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 인증서 서비스를 복원합니다.

certutil [options] -restore BackupDirectory

여기서

• BackupDirectory 는 복원할 데이터가 포함된 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 인증서 서비스 데이터베이스를 복원합니다.

certutil [options] -restoredb BackupDirectory

여기서

• BackupDirectory 는 복원할 데이터베이스 파일을 포함하는 디렉터리입니다.

옵션:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 복원합니다.

certutil [options] -restorekey BackupDirectory | PFXFile

여기서

• BackupDirectory 는 복원할 PFX 파일이 포함된 디렉터리입니다.
• PFXFile 은 복원할 PFX 파일입니다.

옵션:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

인증서 및 프라이빗 키를 내보냅니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

여기서

• CertificateStoreName 은 인증서 저장소의 이름입니다.
• CertId 는 인증서 또는 CRL 일치 토큰입니다.
• PFXFile 은 내보낼 PFX 파일입니다.
• 한정자는 다음 중 하나 이상을 포함할 수 있는 쉼표로 구분된 목록입니다.
  • CryptoAlgorithm= 은 PFX 파일(예: TripleDES-Sha1 또는 Aes256-Sha256.)을 암호화하는 데 사용할 암호화 알고리즘을 지정합니다.
  • EncryptCert - 암호로 인증서와 연결된 프라이빗 키를 암호화합니다.
  • ExportParameters - 인증서 및 프라이빗 키 외에 프라이빗 키 매개 변수를 내보냅니다.
  • ExtendedProperties - 출력 파일의 인증서와 연결된 모든 확장 속성을 포함합니다.
  • NoEncryptCert - 암호화하지 않고 프라이빗 키를 내보냅니다.
  • NoChain - 인증서 체인을 가져오지 않습니다.
  • NoRoot - 루트 인증서를 가져오지 않습니다.

-importPFX

인증서 및 프라이빗 키를 가져옵니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

여기서

• CertificateStoreName 은 인증서 저장소의 이름입니다.
• PFXFile 은 가져올 PFX 파일입니다.
• 한정자는 다음 중 하나 이상을 포함할 수 있는 쉼표로 구분된 목록입니다.
  • AT_KEYEXCHANGE - keypec을 키 교환으로 변경합니다.
  • AT_SIGNATURE - keyspec을 서명으로 변경합니다.
  • ExportEncrypted - 암호 암호화를 사용하여 인증서와 연결된 프라이빗 키를 내보냅니다.
  • FriendlyName= - 가져온 인증서의 이름을 지정합니다.
  • KeyDescription= - 가져온 인증서와 연결된 프라이빗 키에 대한 설명을 지정합니다.
  • KeyFriendlyName= - 가져온 인증서와 연결된 프라이빗 키의 이름을 지정합니다.
  • NoCert - 인증서를 가져오지 않습니다.
  • NoChain - 인증서 체인을 가져오지 않습니다.
  • NoExport - 프라이빗 키를 내보낼 수 없게 만듭니다.
  • NoProtect - 암호를 사용하여 키를 보호하지 않습니다.
  • NoRoot - 루트 인증서를 가져오지 않습니다.
  • Pkcs8 - PFX 파일의 프라이빗 키에 PKCS8 형식을 사용합니다.
  • 보호 - 암호를 사용하여 키를 보호합니다.
  • ProtectHigh - 보안이 높은 암호를 프라이빗 키와 연결해야 되도록 지정합니다.
  • VSM - 가져온 인증서와 연결된 프라이빗 키를 VSC(가상 스마트 카드) 컨테이너에 저장합니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

설명

• 기본값은 개인용 컴퓨터 저장소입니다.

-dynamicfilelist

동적 파일 목록을 표시합니다.

certutil [options] -dynamicfilelist

옵션:

[-config Machine\CAName]

-databaselocations

데이터베이스 위치를 표시합니다.

certutil [options] -databaselocations

옵션:

[-config Machine\CAName]

-hashfile

파일을 통해 암호화 해시를 생성하고 표시합니다.

certutil [options] -hashfile InFile [HashAlgorithm]

-저장

인증서 저장소를 덤프합니다.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId 는 인증서 또는 CRL 일치 토큰입니다. 이 ID는 다음과 같습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다.

이러한 식별자 중 상당수는 여러 일치 항목이 발생할 수 있습니다.

• OutputFile 은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

참고 항목

다음과 같은 두 가지 측면을 고려할 때 매개 변수를 -store 사용할 때 성능 문제가 관찰됩니다.

1. 저장소의 인증서 수가 10을 초과하는 경우
2. CertId를 지정하면 모든 인증서에 대해 나열된 모든 형식을 일치시킬 수 있습니다. 예를 들어 일 련 번호 가 제공되면 나열된 다른 모든 형식과 일치하려고 시도합니다.

성능 문제가 우려되는 경우 지정된 인증서 유형과만 일치하는 경우 PowerShell 명령을 사용하는 것이 좋습니다.

-enumstore

인증서 저장소를 열거합니다.

certutil [options] -enumstore [\\MachineName]

여기서

• MachineName 은 원격 컴퓨터 이름입니다.

옵션:

[-enterprise] [-user] [-grouppolicy]

-addstore

저장소에 인증서를 추가합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -addstore CertificateStoreName InFile

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다.
• InFile 은 저장소에 추가하려는 인증서 또는 CRL 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

저장소에서 인증서를 삭제합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -delstore CertificateStoreName certID

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다.
• CertId 는 인증서 또는 CRL 일치 토큰입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

저장소에서 인증서를 확인합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -verifystore CertificateStoreName [CertId]

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다.
• CertId 는 인증서 또는 CRL 일치 토큰입니다.

옵션:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

키 연결을 복구하거나 인증서 속성 또는 키 보안 설명자를 업데이트합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다.

• CertIdList 는 인증서 또는 CRL 일치 토큰의 쉼표로 구분된 목록입니다. 자세한 내용은 이 문서의 CertId 설명을 참조 -store 하세요.

• PropertyInfFile 은 다음을 비롯한 외부 속성을 포함하는 INF 파일입니다.

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-뷰 저장소

인증서 저장소를 덤프합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId 는 인증서 또는 CRL 일치 토큰입니다. 다음이 될 수 있습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다.

이러한 대부분의 여러 일치 항목이 될 수 있습니다.

• OutputFile 은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

저장소에서 인증서를 삭제합니다.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

여기서

• CertificateStoreName 은 인증서 저장소 이름입니다. 예시:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId 는 인증서 또는 CRL 일치 토큰입니다. 다음이 될 수 있습니다.

  • 일련 번호
  • SHA-1 인증서
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • 공개 키
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • 전자 메일 주소
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다. 이러한 대부분의 여러 일치 항목이 될 수 있습니다.

• OutputFile 은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예시:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-Ui

certutil 인터페이스를 호출합니다.

certutil [options] -UI File [import]

-TPMInfo

신뢰할 수 있는 플랫폼 모듈 정보를 표시합니다.

certutil [options] -TPMInfo

옵션:

[-f] [-Silent] [-split]

-증명

인증서 요청 파일을 증명해야 되도록 지정합니다.

certutil [options] -attest RequestFile

옵션:

[-user] [-Silent] [-split]

-getcert

선택 UI에서 인증서를 선택합니다.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

옵션:

[-Silent] [-split]

-ds

DS(디렉터리 서비스) DN(고유 이름)을 표시합니다.

certutil [options] -ds [CommonName]

옵션:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN을 삭제합니다.

certutil [options] -dsDel [CommonName]

옵션:

[-user] [-split] [-dc DCName]

-dsPublish

인증서 또는 CRL(인증서 해지 목록)을 Active Directory에 게시합니다.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

여기서

• CertFile 은 게시할 인증서 파일의 이름입니다.
• NTAuthCA 는 DS Enterprise 저장소에 인증서를 게시합니다.
• RootCA 는 DS 신뢰할 수 있는 루트 저장소에 인증서를 게시합니다.
• SubCA 는 CA 인증서를 DS CA 개체에 게시합니다.
• CrossCA 는 교차 인증서를 DS CA 개체에 게시합니다.
• KRA 는 DS 키 복구 에이전트 개체에 인증서를 게시합니다.
• 사용자가 사용자 DS 개체에 인증서를 게시합니다.
• 컴퓨터 가 컴퓨터 DS 개체에 인증서를 게시합니다.
• CRLfile 은 게시할 CRL 파일의 이름입니다.
• DSCDPContainer 는 DS CDP 컨테이너 CN(일반적으로 CA 컴퓨터 이름)입니다.
• DSCDPCN 은 삭제된 CA 짧은 이름 및 키 인덱스를 기반으로 하는 DS CDP 개체 CN입니다.

옵션:

[-f] [-user] [-dc DCName]

• 새 DS 개체를 만드는 데 사용합니다 -f .

-dsCert

DS 인증서를 표시합니다.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

옵션:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL을 표시합니다.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

옵션:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS 델타 CRL을 표시합니다.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

옵션:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS 템플릿 특성을 표시합니다.

certutil [options] -dsTemplate [Template]

옵션:

[Silent] [-dc DCName]

-dsAddTemplate

DS 템플릿을 추가합니다.

certutil [options] -dsAddTemplate TemplateInfFile

옵션:

[-dc DCName]

-ADTemplate

Active Directory 템플릿을 표시합니다.

certutil [options] -ADTemplate [Template]

옵션:

[-f] [-user] [-ut] [-mt] [-dc DCName]

템플릿

인증서 등록 정책 템플릿을 표시합니다.

옵션:

certutil [options] -Template [Template]

옵션:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

인증서 템플릿에 대한 CA(인증 기관)를 표시합니다.

certutil [options] -TemplateCAs Template

옵션:

[-f] [-user] [-dc DCName]

-CATemplates

인증 기관에 대한 템플릿을 표시합니다.

certutil [options] -CATemplates [Template]

옵션:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

인증 기관에서 발급할 수 있는 인증서 템플릿을 설정합니다.

certutil [options] -SetCATemplates [+ | -] TemplateList

여기서

• 이 기호는 + CA의 사용 가능한 템플릿 목록에 인증서 템플릿을 추가합니다.
• 이 기호는 - CA의 사용 가능한 템플릿 목록에서 인증서 템플릿을 제거합니다.

-SetCASites

인증 기관 사이트 이름 설정, 확인 및 삭제를 포함하여 사이트 이름을 관리합니다.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

여기서

• SiteName 은 단일 인증 기관을 대상으로 하는 경우에만 허용됩니다.

옵션:

[-f] [-config Machine\CAName] [-dc DCName]

설명

• 이 -config 옵션은 단일 인증 기관을 대상으로 합니다(기본값은 모든 CA).
• 이 -f 옵션은 지정된 SiteName 에 대한 유효성 검사 오류를 재정의하거나 모든 CA 사이트 이름을 삭제하는 데 사용할 수 있습니다.

참고 항목

AD DS(Active Directory 도메인 Services) 사이트 인식에 대한 CA를 구성하는 방법에 대한 자세한 내용은 AD CS 및 PKI 클라이언트에 대한 AD DS 사이트 인식을 참조하세요.

-enrollmentServerURL

CA와 연결된 등록 서버 URL을 표시, 추가 또는 삭제합니다.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

여기서

• AuthenticationType 은 URL을 추가하는 동안 다음 클라이언트 인증 방법 중 하나를 지정합니다.
  • Kerberos - Kerberos SSL 자격 증명을 사용합니다.
  • UserName - SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate - X.509 인증서 SSL 자격 증명을 사용합니다.
  • 익명 - 익명 SSL 자격 증명을 사용합니다.
• delete 는 CA와 연결된 지정된 URL을 삭제합니다.
• URL을 1 추가할 때 지정하지 않으면 우선 순위가 기본값으로 지정됩니다.
• 한정자는 다음 중 하나 이상을 포함하는 쉼표로 구분된 목록입니다.
  • AllowRenewalsOnly 갱신 요청만 이 URL을 통해 이 CA에 제출할 수 있습니다.
  • AllowKeyBasedRenewal 을 사용하면 AD에 연결된 계정이 없는 인증서를 사용할 수 있습니다. ClientCertificate 및 AllowRenewalsOnly 모드에만 적용됩니다.

옵션:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 인증 기관을 표시합니다.

certutil [options] -ADCA [CAName]

옵션:

[-f] [-split] [-dc DCName]

-CA

등록 정책 인증 기관을 표시합니다.

certutil [options] -CA [CAName | TemplateName]

옵션:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

정책

등록 정책을 표시합니다.

certutil [options] -Policy

옵션:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

등록 정책 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -PolicyCache [delete]

여기서

• delete 는 정책 서버 캐시 항목을 삭제합니다.
• -f 는 모든 캐시 항목을 삭제합니다.

옵션:

[-f] [-user] [-policyserver URLorID]

-CredStore

자격 증명 저장소 항목을 표시, 추가 또는 삭제합니다.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

여기서

• URL 은 대상 URL입니다. * 모든 항목을 일치하거나 https://machine* URL 접두사를 일치시킬 수도 있습니다.
• 추가 하면 자격 증명 저장소 항목이 추가됩니다. 또한 이 옵션을 사용하려면 SSL 자격 증명을 사용해야 합니다.
• 삭제 는 자격 증명 저장소 항목을 삭제합니다.
• -f 단일 항목을 덮어쓰거나 여러 항목을 삭제합니다.

옵션:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

기본 인증서 템플릿을 설치합니다.

certutil [options] -InstallDefaultTemplates

옵션:

[-dc DCName]

-Url

인증서 또는 CRL URL을 확인합니다.

certutil [options] -URL InFile | URL

옵션:

[-f] [-split]

-URLCache

URL 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -URLcache [URL | CRL | * [delete]]

여기서

• URL 은 캐시된 URL입니다.
• CRL은 캐시된 모든 CRL URL에서만 실행됩니다.
• * 는 캐시된 모든 URL에서 작동합니다.
• delete 는 현재 사용자의 로컬 캐시에서 관련 URL을 삭제합니다.
• -f 는 특정 URL을 가져오고 캐시를 업데이트합니다.

옵션:

[-f] [-split]

-펄스

자동 등록 이벤트 또는 NGC 작업을 펄스합니다.

certutil [options] -pulse [TaskName [SRKThumbprint]]

여기서

• TaskName 은 트리거할 작업입니다.
  • Pregen 은 NGC 키 사전 생성 작업입니다.
  • AIKEnroll 은 NGC AIK 인증서 등록 작업입니다. (기본값은 자동 등록 이벤트)입니다.
• SRKThumbprint 는 스토리지 루트 키의 지문입니다.
• 한정자:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

옵션:

[-user]

-MachineInfo

Active Directory 컴퓨터 개체에 대한 정보를 표시합니다.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

do기본 컨트롤러에 대한 정보를 표시합니다. 기본값은 확인 없이 DC 인증서를 표시합니다.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• 한정자:

  • 확인
  • DeleteBad
  • DeleteAll

옵션:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

팁

AD DS(Active Directory 도메인 Services)를 지정하고기본 [Do기본]를 지정하고 do기본 컨트롤러(-dc)를 지정하는 기능이 Windows Server 2012에 추가되었습니다. 명령을 성공적으로 실행 하려면의 구성원 인 계정을 사용 해야 Domain Admins 또는 Enterprise Admins합니다. 이 명령의 동작 수정 작업은 다음과 같습니다.

• 도메인을 지정 하지 않으면 특정 도메인 컨트롤러를 지정 하지 않은 경우이 옵션의 기본 도메인 컨트롤러에서 처리 하는 도메인 컨트롤러의 목록을 반환 합니다.
• 도메인을 지정 하지 않으면, 도메인 컨트롤러는 지정 하는 경우 지정된 된 도메인 컨트롤러에는 인증서의 보고서가 생성 됩니다.
• 도메인을 지정 하는 경우 도메인 컨트롤러를 지정 하지 않으면 보고서 목록에서 각 도메인 컨트롤러에 대 한 인증서와 함께 도메인 컨트롤러 목록이 생성 됩니다.
• 도메인 및 도메인 컨트롤러를 지정 하는 경우 대상된 도메인 컨트롤러에서 도메인 컨트롤러 목록이 생성 됩니다. 목록에서 각 도메인 컨트롤러에 대 한 인증서에 대 한 보고서도 생성 됩니다.

예를 들어 CPANDL-d c 1 이라는 도메인 컨트롤러와 CPANDL 라는 도메인이 가정 합니다. 다음 명령을 실행하여 CPANDL-DC1certutil -dc cpandl-dc1 -DCInfo cpandl에서 할 일기본 컨트롤러 및 해당 인증서 목록을 검색할 수 있습니다.

-EntInfo

엔터프라이즈 인증 기관에 대한 정보를 표시합니다.

certutil [options] -EntInfo DomainName\MachineName$

옵션:

[-f] [-user]

-TCAInfo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -TCAInfo [DomainDN | -]

옵션:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

스마트 카드 대한 정보를 표시합니다.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

여기서

• CRYPT_DELETEKEYSET 스마트 카드 모든 키를 삭제합니다.

옵션:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

스마트 카드 루트 인증서를 관리합니다.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

옵션:

[-f] [-split] [-p Password]

-키

키 컨테이너에 저장된 키를 나열합니다.

certutil [options] -key [KeyContainerName | -]

여기서

• KeyContainerName 은 확인할 키의 키 컨테이너 이름입니다. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키 -user로 전환하려면 .
• 기호를 - 사용하는 것은 기본 키 컨테이너를 사용하는 것을 의미합니다.

옵션:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

명명된 키 컨테이너를 삭제합니다.

certutil [options] -delkey KeyContainerName

옵션:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello 컨테이너를 삭제하여 WebAuthn 및 FIDO 자격 증명을 포함하여 디바이스에 저장된 모든 연결된 자격 증명을 제거합니다.

사용자는 이 옵션을 사용한 후 로그아웃해야 완료할 수 있습니다.

certutil [options] -DeleteHelloContainer

-verifykeys

퍼블릭 또는 프라이빗 키 집합을 확인합니다.

certutil [options] -verifykeys [KeyContainerName CACertFile]

여기서

• KeyContainerName 은 확인할 키의 키 컨테이너 이름입니다. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키 -user로 전환하려면 .
• CACertFile 은 인증서 파일에 서명하거나 암호화합니다.

옵션:

[-f] [-user] [-Silent] [-config Machine\CAName]

설명

• 인수를 지정하지 않으면 각 서명 CA 인증서가 프라이빗 키에 대해 확인됩니다.
• 만 로컬 CA 또는 로컬 키에 대해이 작업을 수행할 수 있습니다.

-확인

인증서, CRL(인증서 해지 목록) 또는 인증서 체인을 확인합니다.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

여기서

• CertFile 은 확인할 인증서의 이름입니다.
• ApplicationPolicyList 는 필수 애플리케이션 정책 ObjectId의 선택적 쉼표로 구분된 목록입니다.
• IssuancePolicyList 는 필수 발급 정책 ObjectId의 선택적 쉼표로 구분된 목록입니다.
• CACertFile 은 확인할 선택적 발급 CA 인증서입니다.
• CrossedCACertFile은 CertFile에서 교차 인증한 선택적 인증서입니다.
• CRLFile은 CACertFile을 확인하는 데 사용되는 CRL 파일입니다.
• IssuedCertFile 은 CRLfile에서 적용되는 선택적 발급 인증서입니다.
• DeltaCRLFile 은 선택적 델타 CRL 파일입니다.
• 한정자:
  • 강력한 - 강력한 서명 확인
  • MSRoot - Microsoft 루트에 연결해야 합니다.
  • MSTestRoot - Microsoft 테스트 루트에 연결해야 합니다.
  • AppRoot - Microsoft 애플리케이션 루트에 연결해야 합니다.
  • EV - 확장 유효성 검사 정책 적용

옵션:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

설명

• ApplicationPolicyList를 사용하면 체인 빌드가 지정된 애플리케이션 정책에 유효한 체인으로만 제한됩니다.
• IssuancePolicyList를 사용하면 체인 빌드가 지정된 발급 정책에 유효한 체인으로만 제한됩니다.
• CACertFile을 사용하면 파일의 필드가 CertFile 또는 CRLfile에 대해 확인됩니다.
• CACertFile을 지정하지 않으면 CertFile에 대해 전체 체인이 빌드되고 확인됩니다.
• CACertFile과 CrossedCACertFile을 모두 지정하면 두 파일의 필드가 CertFile에 대해 확인됩니다.
• IssuedCertFile을 사용하면 파일의 필드가 CRLfile에 대해 확인됩니다.
• DeltaCRLFile을 사용하면 파일의 필드가 CertFile에 대해 확인됩니다.

-verifyCTL

AuthRoot 또는 허용되지 않는 인증서 CTL을 확인합니다.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

여기서

• CTLObject 는 다음을 포함하여 확인할 CTL을 식별합니다.

  • AuthRootWU 는 URL 캐시에서 AuthRoot CAB 및 일치하는 인증서를 읽습니다. 대신 Windows 업데이트 다운로드하는 데 사용합니다-f.
  • 허용되지 않는WU 는 URL 캐시에서 허용되지 않는 인증서 CAB 및 허용되지 않는 인증서 저장소 파일을 읽습니다. 대신 Windows 업데이트 다운로드하는 데 사용합니다-f.
    • PinRulesWU 는 URL 캐시에서 PinRules CAB를 읽습니다. 대신 Windows 업데이트 다운로드하는 데 사용합니다-f.
  • AuthRoot 는 레지스트리 캐시된 AuthRoot CTL을 읽습니다. 신뢰할 수 없는 CertFile과 함께 -f 사용하여 레지스트리에 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다.
  • 허용되지 않는 레지스트리 캐시된 허용되지 않는 인증서 CTL을 읽습니다. 신뢰할 수 없는 CertFile과 함께 -f 사용하여 레지스트리에 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다.
    • PinRules 는 캐시된 PinRules CTL 레지스트리를 읽습니다. 사용 -f 은 PinRulesWU와 동일한 동작을 가합니다.
  • CTLFileName 은 CTL 또는 CAB 파일의 파일 또는 http 경로를 지정합니다.

• CertDir 은 CTL 항목과 일치하는 인증서가 포함된 폴더를 지정합니다. 기본적으로 CTLobject와 동일한 폴더 또는 웹 사이트로 설정됩니다. http 폴더 경로를 사용하려면 끝에 경로 구분 기호가 필요합니다. AuthRoot 또는 허용되지 않음을 지정하지 않으면 로컬 인증서 저장소, crypt32.dll 리소스 및 로컬 URL 캐시를 비롯한 여러 위치에서 일치하는 인증서를 검색합니다. 필요에 따라 Windows 업데이트 다운로드하는 데 사용합니다-f.

• CertFile 은 확인할 인증서를 지정합니다. 인증서는 CTL 항목과 일치하여 결과를 표시합니다. 이 옵션은 대부분의 기본 출력을 표시하지 않습니다.

옵션:

[-f] [-user] [-split]

-syncWithWU

인증서를 Windows 업데이트 동기화합니다.

certutil [options] -syncWithWU DestinationDir

여기서

• DestinationDir 은 지정된 디렉터리입니다.
• f 는 강제로 덮어쓰기를 합니다.
• 유니코드 는 유니코드로 리디렉션된 출력을 씁니다.
• gmt 는 GMT로 시간을 표시합니다.
• 초 는 시간(초 및 밀리초)을 표시합니다.
• v 는 자세한 정보 표시 작업입니다.
• PIN 은 스마트 카드 PIN입니다.
• WELL_KNOWN_SID_TYPE 숫자 SID입니다.
  • 22 - 로컬 시스템
  • 23 - 로컬 서비스
  • 24 - 네트워크 서비스

설명

자동 업데이트 메커니즘을 통해 다운로드되는 파일은 다음과 같습니다.

• authrootstl.cab 에는 타사 루트 인증서의 CTL이 포함되어 있습니다.
• disallowedcertstl.cab 에는 신뢰할 수 없는 인증서의 CTL이 포함되어 있습니다.
• disallowedcert.sst 는 신뢰할 수 없는 인증서를 포함하여 직렬화된 인증서 저장소를 포함합니다.
• thumbprint.crt 에는 Microsoft가 아닌 루트 인증서가 포함되어 있습니다.

예: certutil -syncWithWU \\server1\PKI\CTLs.

• 존재하지 않는 로컬 경로 또는 폴더를 대상 폴더로 사용하는 경우 다음 오류가 표시됩니다. The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• 존재하지 않거나 사용할 수 없는 네트워크 위치를 대상 폴더로 사용하는 경우 다음 오류가 표시됩니다. The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• 서버가 TCP 포트 80을 통해 Microsoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 발생합니다. A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• 서버가 DNS 이름으로 ctldl.windowsupdate.comMicrosoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 발생합니다. The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• 스위치를 -f 사용하지 않고 디렉터리에 CTL 파일이 이미 있는 경우 다음과 같은 오류가 발생합니다. certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• 신뢰할 수 있는 루트 인증서가 변경되면 다음이 표시됩니다. Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

옵션:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows 업데이트 동기화되는 저장소 파일을 생성합니다.

certutil [options] -generateSSTFromWU SSTFile

여기서

• SSTFile은 .sst Windows 업데이트 다운로드한 타사 루트를 포함하는 생성되는 파일입니다.

옵션:

[-f] [-split]

-generatePinRulesCTL

고정 규칙 목록이 포함된 CTL(인증서 신뢰 목록) 파일을 생성합니다.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

여기서

• XMLFile 은 구문 분석할 입력 XML 파일입니다.
• CTLFile 은 생성할 출력 CTL 파일입니다.
• SSTFile 은 고정에 사용되는 모든 인증서를 포함하는 선택적 .sst 파일입니다.
• QueryFilesPrefix는 데이터베이스 쿼리에 대해 만들 선택적 Do기본s.csv 및 Keys.csv 파일입니다.
  • QueryFilesPrefix 문자열은 생성된 각 파일 앞에 추가됩니다.
  • Do기본s.csv 파일에는 규칙 이름, do기본 행이 포함되어 있습니다.
  • Keys.csv 파일에는 규칙 이름, 키 SHA256 지문 행이 포함됩니다.

옵션:

[-f]

-downloadOcsp

OCSP 응답을 다운로드하고 디렉터리에 씁니다.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

여기서

• CertificateDir 은 인증서, 저장 및 PFX 파일의 디렉터리입니다.
• OcspDir 는 OCSP 응답을 작성하는 디렉터리입니다.
• ThreadCount 는 동시 다운로드를 위한 선택적 최대 스레드 수입니다. 기본값은 10입니다.
• 한정자는 다음 중 하나 이상의 쉼표로 구분된 목록입니다.
  • DownloadOnce - 한 번 다운로드하고 종료합니다.
  • ReadOcsp - 쓰기 대신 OcspDir에서 읽습니다.

-generateHpkpHeader

지정된 파일 또는 디렉터리의 인증서를 사용하여 HPKP 헤더를 생성합니다.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

여기서

• CertFileOrDir 은 pin-sha256의 소스인 인증서의 파일 또는 디렉터리입니다.
• MaxAge 는 최대 기간 값(초)입니다.
• ReportUri 는 선택적 report-uri입니다.
• 한정자는 다음 중 하나 이상의 쉼표로 구분된 목록입니다.
  • includeSubDo기본s - includeSubDo기본를 추가합니다.

-flushCache

lsass.exe와 같이 선택한 프로세스에서 지정된 캐시를 플러시합니다.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

여기서

• ProcessId 는 플러시할 프로세스의 숫자 ID입니다. 플러시가 사용되는 모든 프로세스를 플러시하려면 0으로 설정합니다.

• CacheMask 는 숫자 또는 다음 비트 중 하나를 플러시할 캐시의 비트 마스크입니다.

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• 한정자는 다음 중 하나 이상의 쉼표로 구분된 목록입니다.

  • 표시 - 플러시되는 캐시를 표시합니다. Certutil은 명시적으로 종료되어야 합니다.

-addEccCurve

ECC 곡선을 추가합니다.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

여기서

• CurveClass 는 ECC 곡선 클래스 형식입니다.

  • WEIERSTRASS(기본값)
  • 몽고메리
  • TWISTED_EDWARDS

• CurveName 은 ECC 곡선 이름입니다.

• CurveParameters 는 다음 중 하나입니다.

  • ASN 인코딩 매개 변수를 포함하는 인증서 파일 이름입니다.
  • ASN으로 인코딩된 매개 변수를 포함하는 파일입니다.

• CurveOID 는 ECC 곡선 OID이며 다음 중 하나입니다.

  • ASN으로 인코딩된 OID를 포함하는 인증서 파일 이름입니다.
  • 명시적 ECC 곡선 OID입니다.

• CurveType 은 Schannel ECC NamedCurve 점(숫자)입니다.

옵션:

[-f]

-deleteEccCurve

ECC 곡선을 삭제합니다.

certutil [options] -deleteEccCurve CurveName | CurveOID

여기서

• CurveName 은 ECC 곡선 이름입니다.
• CurveOID 는 ECC 곡선 OID입니다.

옵션:

[-f]

-displayEccCurve

ECC 곡선을 표시합니다.

certutil [options] -displayEccCurve [CurveName | CurveOID]

여기서

• CurveName 은 ECC 곡선 이름입니다.
• CurveOID 는 ECC 곡선 OID입니다.

옵션:

[-f]

-csplist

암호화 작업을 위해 이 컴퓨터에 설치된 CSP(암호화 서비스 공급자)를 나열합니다.

certutil [options] -csplist [Algorithm]

옵션:

[-user] [-Silent] [-csp Provider]

-csptest

이 컴퓨터에 설치된 CSP를 테스트합니다.

certutil [options] -csptest [Algorithm]

옵션:

[-user] [-Silent] [-csp Provider]

-CNGConfig

이 컴퓨터에 CNG 암호화 구성을 표시합니다.

certutil [options] -CNGConfig

옵션:

[-Silent]

-기호

CRL(인증서 해지 목록) 또는 인증서를 다시 서명합니다.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

여기서

• InFileList 는 수정하고 다시 서명할 인증서 또는 CRL 파일의 쉼표로 구분된 목록입니다.

• SerialNumber 는 만들 인증서의 일련 번호입니다. 유효 기간 및 기타 옵션은 존재할 수 없습니다.

• CRL 은 빈 CRL을 만듭니다. 유효 기간 및 기타 옵션은 존재할 수 없습니다.

• OutFileList 는 수정된 인증서 또는 CRL 출력 파일의 쉼표로 구분된 목록입니다. 파일 수가 infilelist와 일치해야 합니다.

• StartDate+dd:hh 는 다음을 포함하여 인증서 또는 CRL 파일에 대한 새로운 유효 기간입니다.

  • 선택적 날짜 더하기
  • 선택적 일 및 시간 유효 기간 여러 필드를 사용하는 경우 (+) 또는 (-) 구분 기호를 사용합니다. 현재 시간에 시작하는 데 사용합니다 now[+dd:hh] . 현재 시간 및 고정된 유효 기간의 고정 오프셋에서 시작하는 데 사용합니다 now-dd:hh+dd:hh . 만료 날짜가 없도록 합니다 never (CRL에만 해당).

• SerialNumberList 는 추가하거나 제거할 파일의 쉼표로 구분된 일련 번호 목록입니다.

• ObjectIdList 는 제거할 파일의 쉼표로 구분된 확장명 ObjectId 목록입니다.

• @ExtensionFile 업데이트하거나 제거할 확장이 포함된 INF 파일입니다. 예시:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm 은 해시 알고리즘의 이름입니다. 기호 앞에 # 오는 텍스트만이어야 합니다.

• AlternateSignatureAlgorithm 은 대체 서명 알고리즘 지정자입니다.

옵션:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

설명

• 빼기 기호(-)를 사용하면 일련 번호와 확장이 제거됩니다.
• 더하기 기호(+)를 사용하면 CRL에 일련 번호가 추가됩니다.
• 목록을 사용하여 CRL에서 일련 번호와 ObjectId를 동시에 제거할 수 있습니다.
• AlternateSignatureAlgorithm 앞에 빼기 기호를 사용하면 레거시 서명 형식을 사용할 수 있습니다.
• 더하기 기호를 사용하면 대체 서명 형식을 사용할 수 있습니다.
• AlternateSignatureAlgorithm을 지정하지 않으면 인증서 또는 CRL의 서명 형식이 사용됩니다.

-vroot

웹 가상 루트 및 파일 공유를 만들거나 삭제합니다.

certutil [options] -vroot [delete]

-vocsproot

OCSP 웹 프록시에 대한 웹 가상 루트를 만들거나 삭제합니다.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

여기서

• addEnrollmentServer 를 사용하려면 다음을 포함하여 인증서 등록 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.

  • Kerberos 는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName 은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate 는 X.509 인증서 SSL 자격 증명을 사용합니다.

• 한정자:

  • AllowRenewalsOnly 는 URL을 통해 인증 기관에 대한 갱신 요청 제출만 허용합니다.
  • AllowKeyBasedRenewal 을 사용하면 Active Directory에 연결된 계정이 없는 인증서를 사용할 수 있습니다. ClientCertificate 및 AllowRenewalsOnly 모드와 함께 사용할 때 적용됩니다.

옵션:

[-config Machine\CAName]

-deleteEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

여기서

• deleteEnrollmentServer 를 사용하려면 다음을 포함하여 인증서 등록 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.
  • Kerberos 는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName 은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate 는 X.509 인증서 SSL 자격 증명을 사용합니다.

옵션:

[-config Machine\CAName]

-addPolicyServer

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

여기서

• addPolicyServer 를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.
  • Kerberos 는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName 은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate 는 X.509 인증서 SSL 자격 증명을 사용합니다.
• KeyBasedRenewal 을 사용하면 keybasedrenewal 템플릿을 포함하는 클라이언트에 반환된 정책을 사용할 수 있습니다. 이 옵션은 UserName 및 ClientCertificate 인증에만 적용됩니다.

-deletePolicyServer

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일 또는 패키지를 제거하지 않습니다.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

여기서

• deletePolicyServer 를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.
  • Kerberos 는 Kerberos SSL 자격 증명을 사용합니다.
  • UserName 은 SSL 자격 증명에 명명된 계정을 사용합니다.
  • ClientCertificate 는 X.509 인증서 SSL 자격 증명을 사용합니다.
• KeyBasedRenewal 을 사용하면 KeyBasedRenewal 정책 서버를 사용할 수 있습니다.

-클래스

COM 레지스트리 정보를 표시합니다.

certutil [options] -Class [ClassId | ProgId | DllName | *]

옵션:

[-f]

-7f

인증서에서 0x7f 길이 인코딩을 확인합니다.

certutil [options] -7f CertFile

-oid

개체 식별자를 표시하거나 표시 이름을 설정합니다.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

여기서

• ObjectId 는 표시하거나 표시 이름에 추가할 ID입니다.
• GroupId 는 ObjectId가 열거하는 GroupID 번호(10진수)입니다.
• AlgId 는 objectID가 조회하는 16진수 ID입니다.
• AlgorithmName 은 objectID가 조회하는 알고리즘 이름입니다.
• DisplayName 은 DS에 저장할 이름을 표시합니다.
• 삭제 하면 표시 이름이 삭제됩니다.
• LanguageId 는 언어 ID 값입니다(기본값은 현재: 1033).
• 형식 은 다음을 포함하여 만들 DS 개체의 형식입니다.
  • 1 - 템플릿(기본값)
  • 2 - 발급 정책
  • 3 - 애플리케이션 정책
• -f 는 DS 개체를 만듭니다.

옵션:

[-f]

-오류

오류 코드와 연결된 메시지 텍스트를 표시합니다.

certutil [options] -error ErrorCode

-getsmtpinfo

SMTP(Simple Mail Transfer Protocol) 정보를 가져옵니다.

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 정보를 설정합니다.

certutil [options] -setsmtpinfo LogonName

옵션:

[-config Machine\CAName] [-p Password]

-getreg

레지스트리 값을 표시합니다.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

여기서

• ca 는 인증 기관의 레지스트리 키를 사용합니다.
• 복원 은 인증 기관의 복원 레지스트리 키를 사용합니다.
• 정책은 정책 모듈의 레지스트리 키를 사용합니다.
• exit 는 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• 템플릿 은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 사용 -user ).
• 등록 은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 사용 -user ).
• 체인 은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers 는 정책 서버 레지스트리 키를 사용합니다.
• ProgId 는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName 은 레지스트리 값 이름을 사용합니다(접두사 일치에 사용 Name* ).
• 값 은 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .
• 레지스트리 별칭:
  • Config
  • CA
  • 정책 - PolicyModules
  • Exit - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • 자동 업데이트 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

레지스트리 값을 설정합니다.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

여기서

• ca 는 인증 기관의 레지스트리 키를 사용합니다.
• 복원 은 인증 기관의 복원 레지스트리 키를 사용합니다.
• 정책은 정책 모듈의 레지스트리 키를 사용합니다.
• exit 는 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• 템플릿 은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 사용 -user ).
• 등록 은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 사용 -user ).
• 체인 은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers 는 정책 서버 레지스트리 키를 사용합니다.
• ProgId 는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName 은 레지스트리 값 이름을 사용합니다(접두사 일치에 사용 Name* ).
• 값 은 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .

-delreg

레지스트리 값을 삭제합니다.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

여기서

• ca 는 인증 기관의 레지스트리 키를 사용합니다.
• 복원 은 인증 기관의 복원 레지스트리 키를 사용합니다.
• 정책은 정책 모듈의 레지스트리 키를 사용합니다.
• exit 는 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.
• 템플릿 은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 사용 -user ).
• 등록 은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 사용 -user ).
• 체인 은 체인 구성 레지스트리 키를 사용합니다.
• PolicyServers 는 정책 서버 레지스트리 키를 사용합니다.
• ProgId 는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.
• RegistryValueName 은 레지스트리 값 이름을 사용합니다(접두사 일치에 사용 Name* ).
• 값 은 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

옵션:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

설명

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .
• 레지스트리 별칭:
  • Config
  • CA
  • 정책 - PolicyModules
  • Exit - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • 자동 업데이트 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

키 보관을 위해 사용자 키와 인증서를 서버 데이터베이스로 가져옵니다.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

여기서

• UserKeyAndCertFile 은 보관할 사용자 개인 키 및 인증서가 있는 데이터 파일입니다. 이 파일은 다음과 같습니다.
  • KMS(Exchange 키 관리 서버) 내보내기 파일입니다.
  • PFX 파일입니다.
• CertId 는 KMS 내보내기 파일 암호 해독 인증서 일치 토큰입니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.
• -f 는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

옵션:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

인증서 파일을 데이터베이스로 가져옵니다.

certutil [options] -ImportCert Certfile [ExistingRow]

여기서

• ExistingRow 는 동일한 키에 대한 보류 중인 요청 대신 인증서를 가져옵니다.
• -f 는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

옵션:

[-f] [-config Machine\CAName]

설명

또한 인증서 기관을 실행 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN하여 외국 인증서를 지원하도록 구성해야 할 수도 있습니다.

-GetKey

보관된 프라이빗 키 복구 Blob을 검색하거나, 복구 스크립트를 생성하거나, 보관된 키를 복구합니다.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

여기서

• 스크립트 는 키를 검색하고 복구하는 스크립트를 생성합니다(일치하는 복구 후보를 여러 개 찾거나 출력 파일이 지정되지 않은 경우 기본 동작).
• 검색 은 하나 이상의 키 복구 Blob을 검색합니다(일치하는 복구 후보가 정확히 하나 있고 출력 파일이 지정된 경우 기본 동작). 이 옵션을 사용하면 확장이 잘리고 각 키 복구 Blob에 대한 인증서별 문자열과 확장이 .rec 추가됩니다. 각 파일에서 인증서 체인 및 하나 이상의 키 복구 에이전트 인증서에 암호화 되어 연결된 된 프라이빗 키를 포함 합니다.
• 복구 는 한 단계에서 프라이빗 키를 검색하고 복구합니다(키 복구 에이전트 인증서 및 프라이빗 키 필요). 이 옵션을 사용하면 확장이 잘리고 확장이 .p12 추가됩니다. 각 파일에는 PFX 파일로 저장된 복구된 인증서 체인 및 연결된 프라이빗 키가 포함됩니다.
• SearchToken 은 다음을 포함하여 복구할 키와 인증서를 선택합니다.
  • 인증서 일반 이름
  • 인증서 일련 번호
  • 인증서의 sha-1 해시 (지문)
  • 인증서 KeyId sha-1 해시 (주체 키 식별자)
  • 요청자 이름 (도메인 \ 사용자)
  • UPN(user@do기본)
• RecoveryBlobOutFile 은 하나 이상의 키 복구 에이전트 인증서로 암호화된 인증서 체인 및 연결된 프라이빗 키를 사용하여 파일을 출력합니다.
• OutputScriptFile 은 프라이빗 키를 검색하고 복구하기 위해 일괄 처리 스크립트를 사용하여 파일을 출력합니다.
• OutputFileBaseName 은 파일 기본 이름을 출력합니다.

옵션:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

설명

• 검색을 위해 모든 확장이 잘리고 인증서별 문자열과 .rec 확장이 각 키 복구 Blob에 추가됩니다. 각 파일에서 인증서 체인 및 하나 이상의 키 복구 에이전트 인증서에 암호화 되어 연결된 된 프라이빗 키를 포함 합니다.
• 복구의 경우 모든 확장이 잘리고 확장이 .p12 추가됩니다. 복구 된 인증서 체인 및 PFX 파일로 저장 하는 연결 된 프라이빗 키를 포함 합니다.

-RecoverKey

보관된 프라이빗 키를 복구합니다.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

옵션:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX 파일을 병합합니다.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

여기서

• PFXInFileList 는 PFX 입력 파일의 쉼표로 구분된 목록입니다.
• PFXOutFile 은 PFX 출력 파일의 이름입니다.
• 한정자는 다음 중 하나 이상의 쉼표로 구분된 목록입니다.
  • ExtendedProperties 에는 모든 확장 속성이 포함됩니다.
  • NoEncryptCert 는 인증서를 암호화하지 않도록 지정합니다.
  • EncryptCert 는 인증서를 암호화하도록 지정합니다.

옵션:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

설명

• 명령줄에 지정된 암호는 쉼표로 구분된 암호 목록이어야 합니다.
• 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호가 하나만 제공되거나 마지막 암호인 *경우 사용자에게 출력 파일 암호를 묻는 메시지가 표시됩니다.

-convertEPF

PFX 파일을 EPF 파일로 변환합니다.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

여기서

• PFXInFileList 는 PFX 입력 파일의 쉼표로 구분된 목록입니다.
• EPFOutFile 은 PFX 출력 파일의 이름입니다.
• EPF 는 EPF 출력 파일의 이름입니다.
• cast 는 CAST 64 암호화를 사용합니다.
• cast- CAST 64 암호화(내보내기)를 사용합니다.
• V3CACertId 는 V3 CA 인증서 일치 토큰입니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.
• Salt 는 EPF 출력 파일 솔트 문자열입니다.

옵션:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

설명

• 명령줄에 지정된 암호는 쉼표로 구분된 암호 목록이어야 합니다.
• 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호가 하나만 제공되거나 마지막 암호인 *경우 사용자에게 출력 파일 암호를 묻는 메시지가 표시됩니다.

-add-chain

인증서 체인을 추가합니다.

certutil [options] -add-chain LogId certificate OutFile

옵션:

[-f]

-add-pre-chain

사전 인증서 체인을 추가합니다.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

옵션:

[-f]

-get-sth

서명된 트리 헤드를 가져옵니다.

certutil [options] -get-sth [LogId]

옵션:

[-f]

-get-sth-consistency

서명된 트리 헤드 변경 내용을 가져옵니다.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

옵션:

[-f]

-get-proof-by-hash

타임스탬프 서버에서 해시의 증명을 가져옵니다.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

옵션:

[-f]

-get-entries

이벤트 로그에서 항목을 검색합니다.

certutil [options] -get-entries LogId FirstIndex LastIndex

옵션:

[-f]

-get-root

인증서 저장소에서 루트 인증서를 검색합니다.

certutil [options] -get-roots LogId

옵션:

[-f]

-get-entry-and-proof

이벤트 로그 항목 및 해당 암호화 증명을 검색합니다.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

옵션:

[-f]

-VerifyCT

인증서 투명도 로그에 대해 인증서를 확인합니다.

certutil [options] -VerifyCT Certificate SCT [precert]

옵션:

[-f]

-?

매개 변수 목록을 표시합니다.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

여기서

• -? 매개 변수 목록을 표시합니다.
• -<name_of_parameter> -? 는 지정된 매개 변수에 대한 도움말 콘텐츠를 표시합니다.
• -? -v 는 매개 변수 및 옵션의 자세한 목록을 표시합니다.

옵션

이 섹션에서는 명령에 따라 지정할 수 있는 모든 옵션을 정의합니다. 각 매개 변수에는 사용할 수 있는 옵션에 대한 정보가 포함됩니다.

옵션	설명
-관리자	CA 속성에는 ICert관리2를 사용합니다.
-익명	익명 SSL 자격 증명을 사용합니다.
-cert CertId	서명 인증서입니다.
-clientcertificate clientCertId	SSL 되는 X.509 인증서 자격 증명을 사용 합니다. 선택 UI의 -clientcertificate경우 .
-config Machine\CAName	인증 기관 및 컴퓨터 이름 문자열입니다.
-csp 공급자	공급자: KSP - Microsoft 소프트웨어 키 스토리지 공급자 TPM - Microsoft 플랫폼 암호화 공급자 NGC - Microsoft Passport 키 스토리지 공급자 SC - Microsoft 스마트 카드 키 스토리지 공급자
-dc DCName	특정 Do기본 컨트롤러를 대상으로 지정합니다.
-enterprise	로컬 컴퓨터 엔터프라이즈 레지스트리 인증서 저장소를 사용합니다.
f-	강제 덮어쓰기.
-generateSSTFromWU SSTFile	자동 업데이트 메커니즘을 사용하여 SST를 생성합니다.
-gmt	GMT를 사용하여 시간을 표시합니다.
-그룹 정책	그룹 정책 인증서 저장소를 사용합니다.
-Idispatch	COM 네이티브 메서드 대신 IDispatch를 사용합니다.
-Kerberos	Kerberos SSL 자격 증명을 사용합니다.
-location alternatestoragelocation	(-loc) AlternateStorageLocation.
-mt	컴퓨터 템플릿을 표시합니다.
-nocr	CR 문자 없이 텍스트를 인코딩합니다.
-nocrlf	CR-LF 문자 없이 텍스트를 인코딩합니다.
-nullsign	데이터의 해시를 서명으로 사용합니다.
-oldpfx	이전 PFX 암호화를 사용합니다.
-out columnlist	쉼표로 구분된 열 목록입니다.
-p password	암호
-핀 고정	스마트 카드 PIN.
-policyserver URLorID	정책 서버 URL 또는 ID입니다. 선택 U/I의 -policyserver경우 . 모든 정책 서버의 경우 -policyserver *
-privatekey	암호 및 프라이빗 키 데이터를 표시합니다.
-보호	암호를 사용하여 키를 보호합니다.
-protectto SAMnameandSIDlist	쉼표로 구분된 SAM 이름/SID 목록입니다.
-restrict restrictionlist	쉼표로 구분된 제한 목록입니다. 각 제한은 열 이름, 관계형 연산자 및 상수 정수, 문자열 또는 날짜로 구성됩니다. 한 열 이름 수 앞에 더하기 또는 빼기 기호 정렬 순서를 나타냅니다. 예: requestID = 47, +requestername >= a, requestername 또는 -requestername > DOMAIN, Disposition = 21.
-역방향	역방향 로그 및 큐 열입니다.
-초	초 및 밀리초를 사용하여 시간을 표시합니다.
-서비스	서비스 인증서 저장소를 사용합니다.
-Sid	숫자 SID: 22 - 로컬 시스템 23 - 로컬 서비스 24 - 네트워크 서비스
-자동	플래그를 silent 사용하여 암호화 컨텍스트를 가져옵니다.
-분할	포함된 ASN.1 요소를 분할하고 파일에 저장합니다.
-sslpolicy 서버 이름	ServerName과 일치하는 SSL 정책입니다.
-symkeyalg symmetrickeyalgorithm[,keylength]	선택적 키 길이를 가진 대칭 키 알고리즘의 이름입니다. 예를 들어 AES,128 또는 3DES입니다.
-syncWithWU DestinationDir	Windows 업데이트와 동기화합니다.
-t 시간 제한	URL 인출 시간 제한(밀리초)입니다.
유니코드	유니코드에서 리디렉션된 출력을 씁니다.
-UnicodeText	유니코드로 출력 파일을 씁니다.
-urlfetch	AIA 인증서 및 CDP CRL을 검색하고 확인합니다.
-사용자	HKEY_CURRENT_USER 키 또는 인증서 저장소를 사용합니다.
-username 사용자 이름	SSL 자격 증명에 대 한 명명 된 계정을 사용 합니다. 선택 UI의 -username경우 .
-ut	사용자 템플릿을 표시합니다.
-v	자세한(자세한 정보) 정보를 제공합니다.
-v1	V1 인터페이스를 사용합니다.

해시 알고리즘: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

관련 링크

이 명령을 사용하는 방법에 대한 자세한 예제는 다음 문서를 참조하세요.

• AD CS(Active Directory Certificate Services)
• 인증서를 관리하기 위한 Certutil 작업
• Windows에서 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성