certutil

Caution

Certutil wordt niet aanbevolen om te worden gebruikt in een productiecode en biedt geen garanties voor livesiteondersteuning of toepassingscomppatibiliteit. Het is een hulpprogramma dat wordt gebruikt door ontwikkelaars en IT-beheerders om informatie over certificaatinhoud op apparaten weer te geven.

Certutil.exe is een opdrachtregelprogramma dat is geïnstalleerd als onderdeel van Certificate Services. U kunt certutil.exe gebruiken om configuratiegegevens van certificeringsinstantie (CA) weer te geven, Certificate Services te configureren en een back-up te maken van CA-onderdelen en deze te herstellen. Het programma controleert ook certificaten, sleutelparen en certificaatketens.

Als certutil deze wordt uitgevoerd op een certificeringsinstantie zonder andere parameters, wordt de huidige configuratie van de certificeringsinstantie weergegeven. Als certutil de opdracht wordt uitgevoerd op een niet-certificeringsinstantie zonder andere parameters, wordt de certutil -dump opdracht standaard uitgevoerd. Niet alle versies van certutil bieden alle parameters en opties die in dit document worden beschreven. U kunt de keuzes zien die uw versie van certutil biedt door uit te voeren certutil -? of certutil <parameter> -?.

Tip

Als u volledige help wilt zien voor alle certutil-werkwoorden en -opties, inclusief werkwoorden die zijn verborgen voor het -? argument, voert u de opdracht uit certutil -v -uSAGE. De uSAGE switch is hoofdlettergevoelig.

Parameters

-dump

Dumpt de configuratiegegevens of bestanden.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Dumpt de PFX-structuur.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Parseert en geeft de inhoud van een bestand weer met behulp van de asn.1-syntaxis (Abstract SyntaxIs notation). Bestandstypen zijn onder andere. CER, . OPGEMAAKTe DER- en PKCS #7-bestanden.

certutil [options] -asn File [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

-decodehex

Codeert een hexadecimale gecodeerd bestand.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

Options:

[-f]

-encodehex

Codeert een bestand in hexadecimaal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* coderingstype

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Codeert een met Base64 gecodeerd bestand.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codeert een bestand naar Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Weigert een aanvraag die in behandeling is.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Verzendt een aanvraag die in behandeling is opnieuw.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Hiermee stelt u kenmerken in voor een certificaataanvraag die in behandeling is.

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId is the numeric Request ID for the pending request.
• AttributeString is the request attribute name and value pairs.

Options:

[-config Machine\CAName]

Remarks

• Namen en waarden moeten worden gescheiden door dubbele punten, terwijl meerdere namen en waardeparen moeten worden gescheiden door nieuwe regels. Bijvoorbeeld: CertificateTemplate:User\nEMail:User@Domain.com waarbij de \n reeks wordt geconverteerd naar een scheidingsteken voor nieuwe regels.

-setextension

Stel een extensie in voor een certificaataanvraag die in behandeling is.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID is the numeric Request ID for the pending request.
• ExtensionName is the ObjectId string for the extension.
• Flags sets the priority of the extension. 0 wordt aanbevolen, terwijl 1 de extensie wordt ingesteld op kritiek, 2 wordt de extensie uitgeschakeld en 3 beide.

Options:

[-config Machine\CAName]

Remarks

• If the last parameter is numeric, it's taken as a Long.
• If the last parameter can be parsed as a date, it's taken as a Date.
• Als de laatste parameter begint met \@, wordt de rest van het token gebruikt als de bestandsnaam met binaire gegevens of een ASCII-text hex dump.
• Als de laatste parameter iets anders is, wordt deze gebruikt als een tekenreeks.

-revoke

Hiermee wordt een certificaat ingetrokken.

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber is a comma-separated list of certificate serial numbers to revoke.
• Reason is the numeric or symbolic representation of the revocation reason, including:
  • 0. CRL_REASON_UNSPECIFIED - Unspecified (default)
  • 1. CRL_REASON_KEY_COMPROMISE - Key compromise
  • 2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed
  • 4. CRL_REASON_SUPERSEDED - Superseded
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold
  • 8. CRL_REASON_REMOVE_FROM_CRL - Remove from CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege withdrawn
  • 10: CRL_REASON_AA_COMPROMISE - AA compromise
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Geeft de verwijdering van het huidige certificaat weer.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Hiermee haalt u de standaardconfiguratietekenreeks op.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Hiermee haalt u de standaardconfiguratiereeks op via ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Hiermee wordt de configuratie via ICertConfig ophaalt.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Er wordt geprobeerd contact op te maken met de active Directory Certificate Services-aanvraaginterface.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList is a comma-separated list of CA machine names. Gebruik voor één machine een afsluitkomma. Met deze optie worden ook de sitekosten voor elke CA-machine weergegeven.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Er wordt geprobeerd contact op te maken met de beheerinterface van Active Directory Certificate Services.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName indicates the CA property to display, based on the following infoname argument syntax:
  • * - Geeft alle eigenschappen weer
  • ads - Advanced Server
  • aia [Index] - AIA URLs
  • cdp [Index] - CDP URLs
  • cert [Index] - CA cert
  • certchain [Index] - CA cert chain
  • certcount - CA cert count
  • certcrlchain [Index] - CA cert chain with CRLs
  • certstate [Index] - CA cert
  • certstatuscode [Index] - CA cert verify status
  • certversion [Index] - CA cert version
  • CRL [Index] - Base CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL Publish Status
  • cross- [Index] - Backward cross cert
  • cross+ [Index] - Forward cross cert
  • crossstate- [Index] - Backward cross cert
  • crossstate+ [Index] - Forward cross cert
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Delta CRL Publish Status
  • dns - DNS Name
  • dsname - Sanitized CA short name (DS name)
  • error1 ErrorCode - Error message text
  • error2 ErrorCode - Error message text and error code
  • exit [Index] - Exit module description
  • exitcount - Exit module count
  • file - File version
  • info - CA info
  • kra [Index] - KRA cert
  • kracount - KRA cert count
  • krastate [Index] - KRA cert
  • kraused - KRA cert used count
  • localename - CA locale name
  • name - CA name
  • ocsp [Index] - OCSP URLs
  • parent - Parent CA
  • policy - Policy module description
  • product - Product version
  • propidmax - Maximum CA PropId
  • role - Role Separation
  • sanitizedname - Sanitized CA name
  • sharedfolder - Shared folder
  • subjecttemplateoids - Subject Template OIDs
  • templates - Templates
  • type - CA type
  • xchg [Index] - CA exchange cert
  • xchgchain [Index] - CA exchange cert chain
  • xchgcount - CA exchange cert count
  • xchgcrlchain [Index] - CA exchange cert chain with CRLs
• index is the optional zero-based property index.
• errorcode is the numeric error code.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Geeft informatie over het type CA-eigenschap weer.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Haalt het certificaat voor de certificeringsinstantie op.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Haalt de certificaatketen voor de certificeringsinstantie op.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Hiermee haalt u een certificaatintrekkingslijst (CRL) op.

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index is the CRL index or key index (defaults to CRL for most recent key).
• delta is the delta CRL (default is base CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publiceert nieuwe certificaatintrekkingslijsten (CRL's) of delta-CRL's.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh is the new CRL validity period in days and hours.
• republish republishes the most recent CRLs.
• delta publishes the delta CRLs only (default is base and delta CRLs).

Options:

[-split] [-config Machine\CAName]

-shutdown

Hiermee sluit u de Active Directory Certificate Services af.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Hiermee wordt een certificeringsinstantiecertificaat geïnstalleerd.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Een certificeringsinstantiecertificaat wordt vernieuwd.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• Gebruik -f dit om een openstaande verlengingsaanvraag te negeren en om een nieuwe aanvraag te genereren.

-schema

Dumpt het schema voor het certificaat.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• De opdracht wordt standaard ingesteld op de tabel Aanvraag en Certificaat.
• Ext is the extension table.
• Attribute is the attribute table.
• CRL is the CRL table.

Options:

[-split] [-config Machine\CAName]

-view

Dumpt de certificaatweergave.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Queue dumps a specific request queue.
• Log dumps the issued or revoked certificates, plus any failed requests.
• LogFail dumps the failed requests.
• Revoked dumps the revoked certificates.
• Ext dumps the extension table.
• Attrib dumps the attribute table.
• CRL dumps the CRL table.
• csv provides the output using comma-separated values.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• To display the StatusCode column for all entries, type -out StatusCode
• Als u alle kolommen voor het laatste item wilt weergeven, typt u: -restrict RequestId==$
• To display the RequestId and Disposition for three requests, type: -restrict requestID>=37,requestID<40 -out requestID,disposition
• To display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Als u basis-CRL nummer 3 wilt weergeven, typt u: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Als u de hele CRL-tabel wilt weergeven, typt u: CRL
• Gebruiken Date[+|-dd:hh] voor datumbeperkingen.
• Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Sjablonen bevatten uitgebreide sleutelgebruiken (EKU's), die object-id's (OID's) zijn die beschrijven hoe het certificaat wordt gebruikt. Certificaten bevatten niet altijd algemene sjabloonnamen of weergavenamen, maar bevatten altijd de sjabloon-EKU's. U kunt de EKU's voor een specifieke certificaatsjabloon uit Active Directory extraheren en vervolgens weergaven beperken op basis van die extensie.

-db

Dumpt de onbewerkte database.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Hiermee verwijdert u een rij uit de serverdatabase.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• Request deletes the failed and pending requests, based on submission date.
• Cert deletes the expired and revoked certificates, based on expiration date.
• Ext deletes the extension table.
• Attrib deletes the attribute table.
• CRL deletes the CRL table.

Options:

[-f] [-config Machine\CAName]

Examples

• Als u mislukte en wachtende aanvragen wilt verwijderen die zijn ingediend op 22 januari 2001, typt u: 1/22/2001 request
• Als u alle certificaten wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 cert
• Als u de certificaatrij, kenmerken en extensies voor RequestID 37 wilt verwijderen, typt u: 37
• Als u CRL's wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 crl

Note

Date expects the format mm/dd/yyyy rather than dd/mm/yyyy, for example 1/22/2001 rather than 22/1/2001 for January 22, 2001. If your server isn't configured with US regional settings, using the Date argument might produce unexpected results.

-backup

Hiermee wordt een back-up gemaakt van Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up data.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Hiermee wordt een back-up gemaakt van de Active Directory Certificate Services-database.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up database files.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName]

-backupkey

Hiermee wordt een back-up gemaakt van het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory is the directory to store the backed up PFX file.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Hiermee herstelt u de Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory is the directory containing the data to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Hiermee herstelt u de Active Directory Certificate Services-database.

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory is the directory containing the database files to be restored.

Options:

[-f] [-config Machine\CAName]

-restorekey

Hiermee herstelt u het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory is the directory containing PFX file to be restored.
• PFXFile is the PFX file to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporteert de certificaten en persoonlijke sleutels. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• CertId is the certificate or CRL match token.
• PFXFile is the PFX file to be exported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • CryptoAlgorithm= specifies the cryptographic algorithm to use for encrypting the PFX file, such as TripleDES-Sha1 or Aes256-Sha256.
  • EncryptCert - Encrypts the private key associated with the certificate with a password.
  • ExportParameters -Exports the private key parameters in addition to the certificate and private key.
  • ExtendedProperties - Includes all extended properties associated with the certificate in the output file.
  • NoEncryptCert - Exports the private key without encrypting it.
  • NoChain - Doesn't import the certificate chain.
  • NoRoot - Doesn't import the root certificate.

-importPFX

Hiermee importeert u de certificaten en persoonlijke sleutels. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• PFXFile is the PFX file to be imported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • AT_KEYEXCHANGE - Changes the keyspec to key exchange.
  • AT_SIGNATURE - Changes the keyspec to signature.
  • ExportEncrypted - Exports the private key associated with the certificate with password encryption.
  • FriendlyName= - Specifies a friendly name for the imported certificate.
  • KeyDescription= - Specifies a description for the private key associated with the imported certificate.
  • KeyFriendlyName= - Specifies a friendly name for the private key associated with the imported certificate.
  • NoCert - Doesn't import the certificate.
  • NoChain - Doesn't import the certificate chain.
  • NoExport - Makes the private key non-exportable.
  • NoProtect - Doesn't password protect keys by using a password.
  • NoRoot - Doesn't import the root certificate.
  • Pkcs8 - Uses PKCS8 format for the private key in the PFX file.
  • Protect - Protects keys by using a password.
  • ProtectHigh - Specifies that a high-security password must be associated with the private key.
  • VSM - Stores the private key associated with the imported certificate in the Virtual Smart Card (VSC) container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• Standaard ingesteld op persoonlijke computeropslag.

-dynamicfilelist

Geeft een lijst met dynamische bestanden weer.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Geeft databaselocaties weer.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Hiermee wordt een cryptografische hash over een bestand gegenereerd en weergegeven.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Dumpt het certificaatarchief.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Deze id kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze id's kunnen meerdere overeenkomsten tot gevolg hebben.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Note

Prestatieproblemen worden waargenomen bij het gebruik van de -store parameter op basis van deze twee aspecten:

1. Wanneer het aantal certificaten in het archief groter is dan 10.
2. When a CertId is specified, it's used to match all the listed types for every certificate. For example, if a serial number is provided, it will also attempt to match all other listed types.

Als u zich zorgen maakt over prestatieproblemen, worden PowerShell-opdrachten aanbevolen waar deze alleen overeenkomen met het opgegeven certificaattype.

-enumstore

Inventariseert de certificaatarchieven.

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName is the remote machine name.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Hiermee voegt u een certificaat toe aan het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName is the certificate store name.
• InFile is the certificate or CRL file you want to add to the store.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Hiermee verwijdert u een certificaat uit het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Controleert een certificaat in het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Hiermee herstelt u een sleutelkoppeling of werkt u certificaateigenschappen of de sleutelbeveiligingsdescriptor bij. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName is the certificate store name.

• CertIdList is the comma-separated list of certificate or CRL match tokens. Zie de beschrijving van de -store CertId in dit artikel voor meer informatie.

• PropertyInfFile is the INF file containing external properties, including:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Dumpt het certificaatarchief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Dit kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen resulteren in meerdere overeenkomsten.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Hiermee verwijdert u een certificaat uit het archief.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. Dit kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen leiden tot meerdere overeenkomsten.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Roept de certutil-interface aan.

certutil [options] -UI File [import]

-TPMInfo

Geeft informatie over vertrouwde platformmodules weer.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Hiermee geeft u op dat het certificaataanvraagbestand moet worden getest.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Selecteert een certificaat in een selectiegebruikersinterface.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Hiermee worden DS-DS-DN's (DS)-namen (DS) weergegeven.

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Hiermee verwijdert u DS DN's.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Hiermee publiceert u een certificaat of certificaatintrekkingslijst (CRL) naar Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile is the name of the certificate file to publish.
• NTAuthCA publishes the certificate to the DS Enterprise store.
• RootCA publishes the certificate to the DS Trusted Root store.
• SubCA publishes the CA certificate to the DS CA object.
• CrossCA publishes the cross-certificate to the DS CA object.
• KRA publishes the certificate to the DS Key Recovery Agent object.
• User publishes the certificate to the User DS object.
• Machine publishes the certificate to the Machine DS object.
• CRLfile is the name of the CRL file to publish.
• DSCDPContainer is the DS CDP container CN, usually the CA machine name.
• DSCDPCN is the DS CDP object CN based on the sanitized CA short name and key index.

Options:

[-f] [-user] [-dc DCName]

• Hiermee -f maakt u een nieuw DS-object.

-dsCert

Geeft DS-certificaten weer.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Geeft DS CRL's weer.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Geeft DS Delta CRL's weer.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Geeft DS-sjabloonkenmerken weer.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Hiermee voegt u DS-sjablonen toe.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Geeft Active Directory-sjablonen weer.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Geeft de certificaatinschrijvingsbeleidssjablonen weer.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Geeft de certificeringsinstanties (CA's) weer voor een certificaatsjabloon.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Hiermee worden sjablonen voor de certificeringsinstantie weergegeven.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Hiermee stelt u de certificaatsjablonen in die de certificeringsinstantie kan uitgeven.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• Met + het teken worden certificaatsjablonen toegevoegd aan de lijst met beschikbare sjablonen van de CA.
• Het - teken verwijdert certificaatsjablonen uit de lijst met beschikbare sjablonen van de CA.

-SetCASites

Beheert sitenamen, waaronder instelling, verificatie en het verwijderen van sitenamen van certificeringsinstanties.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName is allowed only when targeting a single Certificate Authority.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• De -config optie is gericht op één certificeringsinstantie (standaard zijn alle CA's).
• The -f option can be used to override validation errors for the specified SiteName or to delete all CA site names.

Note

Zie AD DS-sitebewustzijn voor AD CS- en PKI-clients voor meer informatie over het configureren van CA's voor AD DS-sitebewustzijn voor AD DS-sites (Active Directory Domain Services).

-enrollmentServerURL

Hiermee worden URL's van inschrijvingsservers weergegeven, toegevoegd of verwijderd die zijn gekoppeld aan een CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType specifies one of the following client authentication methods while adding a URL:
  • Kerberos - Use Kerberos SSL credentials.
  • UserName - Use a named account for SSL credentials.
  • ClientCertificate - Use X.509 Certificate SSL credentials.
  • Anonymous - Use anonymous SSL credentials.
• delete deletes the specified URL associated with the CA.
• Priority defaults to 1 if not specified when adding a URL.
• Modifiers is a comma-separated list, which includes one or more of the following:
  • AllowRenewalsOnly only renewal requests can be submitted to this CA via this URL.
  • AllowKeyBasedRenewal allows use of a certificate that has no associated account in the AD. This applies only with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Geeft de Active Directory-certificeringsinstanties weer.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Geeft de certificeringsinstanties voor inschrijvingsbeleid weer.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Geeft het inschrijvingsbeleid weer.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Hiermee worden cachevermeldingen voor het inschrijvingsbeleid weergegeven of verwijderd.

certutil [options] -PolicyCache [delete]

Where:

• delete deletes the policy server cache entries.
• -f deletes all cache entries

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Hiermee worden vermeldingen in het referentiearchief weergegeven, toegevoegd of verwijderd.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL is the target URL. U kunt ook gebruiken * om alle vermeldingen te vinden of https://machine* om een URL-voorvoegsel te vinden.
• add adds a credential store entry. Voor het gebruik van deze optie is ook het gebruik van SSL-referenties vereist.
• delete deletes credential store entries.
• -f overwrites a single entry or deletes multiple entries.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Hiermee worden de standaardcertificaatsjablonen geïnstalleerd.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Controleert certificaat- of CRL-URL's.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Hiermee worden url-cachevermeldingen weergegeven of verwijderd.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL is the cached URL.
• CRL runs on all cached CRL URLs only.
• * werkt op alle URL's in de cache.
• delete deletes relevant URLs from the current user's local cache.
• -f forces fetching a specific URL and updating the cache.

Options:

[-f] [-split]

-pulse

Pulseert een gebeurtenis voor automatische inschrijving of NGC-taak.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName is the task to trigger.
  • Pregen is the NGC Key pregen task.
  • AIKEnroll is the NGC AIK certificate enrollment task. (Standaard ingesteld op de gebeurtenis voor automatisch inschrijven).
• SRKThumbprint is the thumbprint of the Storage Root Key
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Geeft informatie weer over het Active Directory-machineobject.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Geeft informatie weer over de domeincontroller. De standaardinstelling geeft DC-certificaten weer zonder verificatie.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. De gedragswijzigingen van deze opdracht zijn als volgt:

• Als een domein niet is opgegeven en een specifieke domeincontroller niet is opgegeven, retourneert deze optie een lijst met domeincontrollers die moeten worden verwerkt vanaf de standaarddomeincontroller.
• Als een domein niet is opgegeven, maar een domeincontroller is opgegeven, wordt een rapport van de certificaten op de opgegeven domeincontroller gegenereerd.
• Als een domein is opgegeven, maar een domeincontroller niet is opgegeven, wordt er een lijst met domeincontrollers gegenereerd, samen met rapporten over de certificaten voor elke domeincontroller in de lijst.
• Als het domein en de domeincontroller zijn opgegeven, wordt er een lijst met domeincontrollers gegenereerd op basis van de doeldomeincontroller. Er wordt ook een rapport gegenereerd van de certificaten voor elke domeincontroller in de lijst.

Stel dat er een domein met de naam CPANDL is met een domeincontroller met de naam CPANDL-DC1. U kunt de volgende opdracht uitvoeren om een lijst met domeincontrollers en hun certificaten op te halen van CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Geeft informatie weer over een certificeringsinstantie voor ondernemingen.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Geeft informatie weer over de smartcard.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET deletes all keys on the smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Beheert basiscertificaten voor smartcards.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Geeft een lijst weer van de sleutels die zijn opgeslagen in een sleutelcontainer.

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName is the key container name for the key to verify. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• Het gebruik van het - teken verwijst naar het gebruik van de standaardsleutelcontainer.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Hiermee verwijdert u de benoemde sleutelcontainer.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Hiermee verwijdert u de Windows Hello-container, waarbij alle bijbehorende referenties worden verwijderd die zijn opgeslagen op het apparaat, inclusief webauthn- en FIDO-referenties.

Gebruikers moeten zich afmelden nadat ze deze optie hebben gebruikt om deze te voltooien.

certutil [options] -DeleteHelloContainer

-verifykeys

Hiermee wordt een openbare of persoonlijke sleutelset geverifieerd.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName is the key container name for the key to verify. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• CACertFile signs or encrypts certificate files.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• Als er geen argumenten zijn opgegeven, wordt elk handtekening-CA-certificaat geverifieerd op basis van de persoonlijke sleutel.
• Deze bewerking kan alleen worden uitgevoerd op basis van een lokale CA of lokale sleutels.

-verify

Controleert een certificaat, certificaatintrekkingslijst (CRL) of certificaatketen.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile is the name of the certificate to verify.
• ApplicationPolicyList is the optional comma-separated list of required Application Policy ObjectIds.
• IssuancePolicyList is the optional comma-separated list of required Issuance Policy ObjectIds.
• CACertFile is the optional issuing CA certificate to verify against.
• CrossedCACertFile is the optional certificate cross-certified by CertFile.
• CRLFile is the CRL file used to verify the CACertFile.
• IssuedCertFile is the optional issued certificate covered by the CRLfile.
• DeltaCRLFile is the optional delta CRL file.
• Modifiers:
  • Sterk - Sterke handtekeningverificatie
  • MSRoot - Moet worden gekoppeld aan een Microsoft-hoofdmap
  • MSTestRoot - Moet worden gekoppeld aan een Microsoft-testhoofdmap
  • AppRoot : moet worden gekoppeld aan de hoofdmap van een Microsoft-toepassing
  • EV - Uitgebreide validatiebeleid afdwingen

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• Using ApplicationPolicyList restricts chain building to only chains valid for the specified Application Policies.
• Using IssuancePolicyList restricts chain building to only chains valid for the specified Issuance Policies.
• Using CACertFile verifies the fields in the file against CertFile or CRLfile.
• If CACertFile isn't specified, the full chain is built and verified against CertFile.
• If CACertFile and CrossedCACertFile are both specified, the fields in both files are verified against CertFile.
• Using IssuedCertFile verifies the fields in the file against CRLfile.
• Using DeltaCRLFile verifies the fields in the file against CertFile.

-verifyCTL

Controleert of de CTL voor verificatieroot of niet-toegestane certificaten is toegestaan.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identifies the CTL to verify, including:

  • AuthRootWU reads the AuthRoot CAB and matching certificates from the URL cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
  • DisallowedWU reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
    • PinRulesWU reads the PinRules CAB from the URL cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
  • AuthRoot reads the registry-cached AuthRoot CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
  • Disallowed reads the registry-cached Disallowed Certificates CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
    • PinRules reads the registry cached PinRules CTL. Using -f has the same behavior as with PinRulesWU.
  • CTLFileName specifies the file or http path to the CTL or CAB file.

• CertDir specifies the folder containing certificates matching the CTL entries. Defaults to the same folder or website as the CTLobject. Voor het gebruik van een HTTP-mappad is een padscheidingsteken aan het einde vereist. If you don't specify AuthRoot or Disallowed, multiple locations are searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. Gebruik -f deze optie om, indien nodig, te downloaden van Windows Update.

• CertFile specifies the certificate(s) to verify. Certificaten worden vergeleken met CTL-vermeldingen, waarbij de resultaten worden weergegeven. Met deze optie wordt de meeste standaarduitvoer onderdrukt.

Options:

[-f] [-user] [-split]

-syncWithWU

Hiermee worden certificaten gesynchroniseerd met Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir is the specified directory.
• f forces an overwrite.
• Unicode writes redirected output in Unicode.
• gmt displays times as GMT.
• seconds displays times with seconds and milliseconds.
• v is a verbose operation.
• PIN is the Smart Card PIN.
• WELL_KNOWN_SID_TYPE is a numeric SID:
  • 22 - Lokaal systeem
  • 23 - Lokale service
  • 24 - Netwerkservice

Remarks

De volgende bestanden worden gedownload met behulp van het mechanisme voor automatische updates:

• authrootstl.cab contains the CTLs of non-Microsoft root certificates.
• disallowedcertstl.cab contains the CTLs of untrusted certificates.
• disallowedcert.sst contains the serialized certificate store, including the untrusted certificates.
• thumbprint.crt contains the non-Microsoft root certificates.

Bijvoorbeeld: certutil -syncWithWU \\server1\PKI\CTLs.

• Als u een niet-bestaand lokaal pad of een niet-bestaande map als doelmap gebruikt, wordt de volgende fout weergegeven: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Als u een niet-bestaande of niet-beschikbare netwerklocatie als doelmap gebruikt, ziet u de volgende fout: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Als uw server geen verbinding kan maken via TCP-poort 80 met Microsoft Automatic Update-servers, krijgt u de volgende fout: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Als uw server de Microsoft Automatic Update-servers met de DNS-naam ctldl.windowsupdate.comniet kan bereiken, ontvangt u de volgende fout: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Als u de -f schakeloptie niet gebruikt en een van de CTL-bestanden al in de map bestaat, treedt er een fout op bij het bestand: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Als er een wijziging is in de vertrouwde basiscertificaten, ziet u: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Hiermee wordt een archiefbestand gegenereerd dat is gesynchroniseerd met Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile is the .sst file to be generated that contains the Third Party Roots downloaded from Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Hiermee wordt een CTL-bestand (Certificate Trust List) gegenereerd dat een lijst met regels voor vastmaken bevat.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile is the input XML file to be parsed.
• CTLFile is the output CTL file to be generated.
• SSTFile is the optional .sst file to be created that contains all of the certificates used for pinning.
• QueryFilesPrefix are optional Domains.csv and Keys.csv files to be created for database query.
  • The QueryFilesPrefix string is prepended to each created file.
  • The Domains.csv file contains rule name, domain rows.
  • The Keys.csv file contains rule name, key SHA256 thumbprint rows.

Options:

[-f]

-downloadOcsp

Hiermee worden de OCSP-antwoorden gedownload en naar de map geschreven.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir is the directory of a certificate, store and PFX files.
• OcspDir is the directory to write OCSP responses.
• ThreadCount is the optional maximum number of threads for concurrent downloading. Default is 10.
• Modifiers are comma separated list of one or more of the following:
  • DownloadOnce - Downloads once and exits.
  • ReadOcsp - Reads from OcspDir instead of writing.

-generateHpkpHeader

Hiermee genereert u de HPKP-header met behulp van certificaten in een opgegeven bestand of map.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir is the file or directory of certificates, which is the source of pin-sha256.
• MaxAge is the max-age value in seconds.
• ReportUri is the optional report-uri.
• Modifiers are comma separated list of one or more of the following:
  • includeSubDomains - Appends the includeSubDomains.

-flushCache

Hiermee worden de opgegeven caches in het geselecteerde proces leeggemaakt, zoals lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId is the numeric ID of a process to flush. Set to 0 to flush all processes where flush is enabled.

• CacheMask is the bit mask of caches to be flushed either numeric or the following bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers are comma separated list of one or more of the following:

  • Show - Shows the caches being flushed. Certutil moet expliciet worden beëindigd.

-addEccCurve

Hiermee voegt u een ECC-curve toe.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass is the ECC Curve Class type:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is the ECC Curve name.

• CurveParameters are one of the following:

  • Een certificaatbestand met ASN-gecodeerde parameters.
  • Een bestand met ASN-gecodeerde parameters.

• CurveOID is the ECC Curve OID and is one of the following:

  • Een certificaatbestand met een ASN-gecodeerde OID.
  • Een expliciete ECC-curve-OID.

• CurveType is the Schannel ECC NamedCurve point (numeric).

Options:

[-f]

-deleteEccCurve

Hiermee verwijdert u de ECC-curve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-displayEccCurve

Geeft de ECC-curve weer.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-csplist

Geeft een lijst weer van de cryptografische serviceproviders (CSP's) die op deze computer zijn geïnstalleerd voor cryptografische bewerkingen.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Test de CSP's die op deze computer zijn geïnstalleerd.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Geeft cryptografische CNG-configuratie weer op deze computer.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Ondertekent een certificaatintrekkingslijst (CRL) of certificaat opnieuw.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList is the comma-separated list of certificate or CRL files to modify and re-sign.

• SerialNumber is the serial number of the certificate to create. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• CRL creates an empty CRL. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• OutFileList is the comma-separated list of modified certificate or CRL output files. Het aantal bestanden moet overeenkomen met de inbestandslijst.

• StartDate+dd:hh is the new validity period for the certificate or CRL files, including:

  • optionele datum plus
  • optionele dagen en uren geldigheidsperiode Als er meerdere velden worden gebruikt, gebruikt u een (+) of (-) scheidingsteken. Gebruik now[+dd:hh] dit om te beginnen op het huidige tijdstip. Gebruik now-dd:hh+dd:hh dit om te beginnen bij een vaste verschuiving van de huidige tijd en een vaste geldigheidsperiode. Gebruik never dit om geen vervaldatum te hebben (alleen voor CRL's).

• SerialNumberList is the comma-separated serial number list of the files to add or remove.

• ObjectIdList is the comma-separated extension ObjectId list of the files to remove.

• @ExtensionFile is the INF file that contains the extensions to update or remove. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is the name of the hash algorithm. Dit mag alleen de tekst zijn die wordt voorafgegaan door het # teken.

• AlternateSignatureAlgorithm is the alternate signature algorithm specifier.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• Als u het minteken (-) gebruikt, worden serienummers en extensies verwijderd.
• Met het plusteken (+) worden serienummers aan een CRL toegevoegd.
• You can use a list to remove both serial numbers and ObjectIds from a CRL at the same time.
• Using the minus sign before AlternateSignatureAlgorithm allows you to use the legacy signature format.
• Met het plusteken kunt u de alternatieve handtekeningindeling gebruiken.
• If you don't specify AlternateSignatureAlgorithm, the signature format in the certificate or CRL is used.

-vroot

Hiermee maakt of verwijdert u virtuele webmappen en bestandsshares.

certutil [options] -vroot [delete]

-vocsproot

Hiermee maakt of verwijdert u virtuele webmappen voor een OCSP-webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Voegt indien nodig een inschrijvingsservertoepassing en toepassingsgroep toe voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

• Modifiers:

  • AllowRenewalsOnly allows only renewal request submissions to the Certificate Authority through the URL.
  • AllowKeyBasedRenewal allows use of a certificate with no associated account in Active Directory. This applies when used with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Hiermee verwijdert u een inschrijvingsservertoepassing en toepassingsgroep indien nodig voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

Options:

[-config Machine\CAName]

-addPolicyServer

Voeg indien nodig een beleidsservertoepassing en toepassingsgroep toe. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of policies returned to the client containing keybasedrenewal templates. This option applies only for UserName and ClientCertificate authentication.

-deletePolicyServer

Hiermee verwijdert u een beleidsservertoepassing en toepassingsgroep, indien nodig. Met deze opdracht worden binaire bestanden of pakketten niet verwijderd.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of a KeyBasedRenewal policy server.

-Class

Geeft COM-registergegevens weer.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Controleert het certificaat op 0x7f lengtecoderingen.

certutil [options] -7f CertFile

-oid

Geeft de object-id weer of stelt een weergavenaam in.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId is the ID to be displayed or to add to the display name.
• GroupId is the GroupID number (decimal) that ObjectIds enumerate.
• AlgId is the hexadecimal ID that objectID looks up.
• AlgorithmName is the algorithm name that objectID looks up.
• DisplayName displays the name to store in DS.
• Delete deletes the display name.
• LanguageId is the language ID value (defaults to current: 1033).
• Type is the type of DS object to create, including:
  • 1 - Sjabloon (standaard)
  • 2 - Uitgiftebeleid
  • 3 - Toepassingsbeleid
• -f maakt een DS-object.

Options:

[-f]

-error

Geeft de berichttekst weer die is gekoppeld aan een foutcode.

certutil [options] -error ErrorCode

-getsmtpinfo

Hiermee haalt u SMTP-gegevens (Simple Mail Transfer Protocol) op.

certutil [options] -getsmtpinfo

-setsmtpinfo

Hiermee stelt u SMTP-gegevens in.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Geeft een registerwaarde weer.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• value uses the new numeric, string, or date registry value or filename. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.
• Registry aliases:
  • Config
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptografie\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Hiermee stelt u een registerwaarde in.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string, or date registry value or filename. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.

-delreg

Hiermee verwijdert u een registerwaarde.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string or date registry value or filename. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.
• Registry aliases:
  • Config
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptografie\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Hiermee importeert u gebruikerssleutels en certificaten in de serverdatabase voor sleutelarchivering.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile is a data file with user private keys and certificates that are to be archived. Dit bestand kan het volgende zijn:
  • Een KMS-exportbestand (Exchange Key Management Server).
  • Een PFX-bestand.
• CertId is a KMS export file decryption certificate match token. Zie de -store parameter in dit artikel voor meer informatie.
• -f importeert certificaten die niet zijn uitgegeven door de certificeringsinstantie.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Hiermee importeert u een certificaatbestand in de database.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow imports the certificate in place of a pending request for the same key.
• -f importeert certificaten die niet zijn uitgegeven door de certificeringsinstantie.

Options:

[-f] [-config Machine\CAName]

Remarks

De certificeringsinstantie moet mogelijk ook worden geconfigureerd om externe certificaten te ondersteunen door uit te voeren certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Hiermee haalt u een gearchiveerde blob voor herstel van persoonlijke sleutels op, genereert u een herstelscript of herstelt u gearchiveerde sleutels.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file isn't specified).
• retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). Met deze optie wordt elke extensie afgekapt en wordt de certificaatspecifieke tekenreeks en de .rec extensie toegevoegd voor elke sleutelherstelblob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). Met deze optie kapt u alle extensies af en voegt u de .p12 extensie toe. Elk bestand bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als EEN PFX-bestand.
• SearchToken selects the keys and certificates to be recovered, including:
  • Algemene naam van certificaat
  • Serienummer van certificaat
  • Sha-1-hash van certificaat (vingerafdruk)
  • Sha-1-hash van certificaatsleutel (onderwerpsleutel-id)
  • Naam van aanvrager (domein\gebruiker)
  • UPN (user@domain)
• RecoveryBlobOutFile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.
• OutputScriptFile outputs a file with a batch script to retrieve and recover private keys.
• OutputFileBaseName outputs a file base name.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• For retrieve, any extension is truncated and a certificate-specific string and the .rec extensions are appended for each key recovery blob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• For recover, any extension is truncated and the .p12 extension is appended. Bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als een PFX-bestand.

-RecoverKey

Herstelt een gearchiveerde persoonlijke sleutel.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Hiermee worden PFX-bestanden samengevoegd.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList is a comma-separated list of PFX input files.
• PFXOutFile is the name of the PFX output file.
• Modifiers are comma separated lists of one or more of the following:
  • ExtendedProperties includes any extended properties.
  • NoEncryptCert specifies to not encrypt the certificates.
  • EncryptCert specifies to encrypt the certificates.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• Het wachtwoord dat op de opdrachtregel is opgegeven, moet een door komma's gescheiden wachtwoordlijst zijn.
• Als er meer dan één wachtwoord is opgegeven, wordt het laatste wachtwoord gebruikt voor het uitvoerbestand. Als er slechts één wachtwoord is opgegeven of als het laatste wachtwoord is *, wordt de gebruiker gevraagd om het wachtwoord van het uitvoerbestand.

-add-chain

Hiermee voegt u een certificaatketen toe.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Hiermee voegt u een keten vooraf certificaat toe.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Hiermee haalt u een ondertekende boomstructuurkop op.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Hiermee worden wijzigingen in de hoofdstructuur aangebracht.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Hiermee wordt bewijs van een hash opgehaald van een tijdstempelserver.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Hiermee worden vermeldingen opgehaald uit een gebeurtenislogboek.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Haalt de basiscertificaten op uit het certificaatarchief.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Haalt een gebeurtenislogboekvermelding en het bijbehorende cryptografische bewijs op.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Controleert een certificaat op basis van het certificaattransparantielogboek.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Geeft de lijst met parameters weer.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? geeft de lijst met parameters weer
• -<name_of_parameter> -? geeft help-inhoud weer voor de opgegeven parameter.
• -? -v geeft een uitgebreide lijst met parameters en opties weer.

Options

In deze sectie worden alle opties gedefinieerd die u kunt opgeven, op basis van de opdracht. Elke parameter bevat informatie over welke opties geldig zijn voor gebruik.

Option	Description
-admin	ICertAdmin2 gebruiken voor CA-eigenschappen.
-anonymous	Gebruik anonieme SSL-referenties.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Gebruik SSL-referenties voor X.509-certificaat. Voor de selectiegebruikersinterface gebruikt u -clientcertificate.
-config Machine\CAName	Tekenreeks voor certificeringsinstantie en computernaam.
-csp provider	Provider: KSP - Microsoft Software Key Storage Provider TPM - Microsoft Platform Crypto Provider NGC - Microsoft Passport Key Storage Provider SC - Microsoft Smart Card Key Storage Provider
-dc DCName	Richt u op een specifieke domeincontroller.
-enterprise	Gebruik het certificaatarchief voor het bedrijfsregister van de lokale computer.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Genereer SST met behulp van het mechanisme voor automatische updates.
-gmt	Weergavetijden met GMT.
-GroupPolicy	Gebruik het certificaatarchief voor groepsbeleid.
-idispatch	Gebruik IDispatch in plaats van systeemeigen COM-methoden.
-kerberos	Gebruik Kerberos SSL-referenties.
-location alternatestoragelocation	(-loc) Alternatieve opslaglocatie.
-mt	Computersjablonen weergeven.
-nocr	Tekst zonder CR-tekens coderen.
-nocrlf	Tekst coderen zonder CR-LF tekens.
-nullsign	Gebruik de hash van de gegevens als handtekening.
-oldpfx	Gebruik oude PFX-versleuteling.
-out columnlist	Lijst met door komma's gescheiden kolommen.
-p password	Password
-pin PIN	Pincode voor smartcard.
-policyserver URLorID	URL of id van beleidsserver. Voor selectie U/I gebruikt -policyserveru . Gebruik voor alle beleidsservers -policyserver *
-privatekey	Geef wachtwoord- en persoonlijke sleutelgegevens weer.
-protect	Sleutels beveiligen met een wachtwoord.
-protectto SAMnameandSIDlist	Door komma's gescheiden SAM-naam/SID-lijst.
-restrict restrictionlist	Door komma's gescheiden beperkingslijst. Elke beperking bestaat uit een kolomnaam, een relationele operator en een constant geheel getal, tekenreeks of datum. Een kolomnaam kan worden voorafgegaan door een plus- of minteken om de sorteervolgorde aan te geven. Bijvoorbeeld: requestID = 47, +requestername >= a, requesternameof -requestername > DOMAIN, Disposition = 21.
-reverse	Omgekeerde logboek- en wachtrijkolommen.
-seconds	Weergavetijden met seconden en milliseconden.
-service	Gebruik het servicecertificaatarchief.
-sid	Numeric SID: 22 - Local System 23 - Local Service 24 - Network Service
-silent	Gebruik de silent vlag om de crypt-context te verkrijgen.
-split	Splits ingesloten ASN.1-elementen en sla deze op in bestanden.
-sslpolicy servername	SSL-beleid dat overeenkomt met ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Naam van het symmetrische sleutelalgoritmen met optionele sleutellengte. Bijvoorbeeld: AES,128 of 3DES.
-syncWithWU DestinationDir	Synchroniseren met Windows Update.
-t timeout	Time-out voor het ophalen van url's in milliseconden.
-Unicode	Omgeleide uitvoer schrijven in Unicode.
-UnicodeText	Uitvoerbestand schrijven in Unicode.
-urlfetch	AIA-certificaten en CDP-CRL's ophalen en verifiëren.
-user	Gebruik de HKEY_CURRENT_USER sleutels of het certificaatarchief.
-username username	Gebruik een benoemd account voor SSL-referenties. Voor de selectiegebruikersinterface gebruikt u -username.
-ut	Gebruikerssjablonen weergeven.
-v	Geef gedetailleerdere (uitgebreide) informatie op.
-v1	V1-interfaces gebruiken.

Hash-algoritmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Related links

Zie de volgende artikelen voor meer voorbeelden van het gebruik van deze opdracht:

• Active Directory Certificate Services (AD CS)
• Certutil-taken voor het beheren van certificaten
• Vertrouwde basiscertificaten en niet-toegestane certificaten configureren in Windows