certutil

Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil nie zaleca się użycia w żadnym kodzie produkcyjnym i nie zapewnia żadnych gwarancji dotyczących obsługi witryn na żywo ani zgodności aplikacji. Jest to narzędzie używane przez deweloperów i administratorów IT do wyświetlania informacji o zawartości certyfikatu na urządzeniach.

Certutil.exe jest programem wiersza polecenia zainstalowanym w ramach usług certyfikatów. Można użyć certutil.exe do wyświetlania informacji o konfiguracji urzędu certyfikacji, konfigurowania usług certyfikatów oraz tworzenia kopii zapasowych i przywracania składników urzędu certyfikacji. Program weryfikuje również certyfikaty, pary kluczy i łańcuchy certyfikatów.

Jeśli certutil jest uruchamiany w urzędzie certyfikacji bez innych parametrów, wyświetla bieżącą konfigurację urzędu certyfikacji. Jeśli certutil polecenie jest uruchamiane w urzędzie innym niż urząd certyfikacji bez innych parametrów, polecenie domyślnie uruchamia certutil -dump polecenie . Nie wszystkie wersje narzędzia certutil zawierają wszystkie parametry i opcje opisane w tym dokumencie. Możesz zobaczyć, jakie opcje udostępnia Twoja wersja narzędzia certutil, uruchamiając polecenie certutil -? lub certutil <parameter> -?.

Tip

Aby wyświetlić pełną pomoc dotyczącą wszystkich zleceń i opcji narzędzia certutil, w tym tych, które są ukryte przed argumentem -? , uruchom polecenie certutil -v -uSAGE. W przełączniku uSAGE jest rozróżniana wielkość liter.

Parameters

-dump

Zrzuty informacji o konfiguracji lub plików.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Zrzuty struktury PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analizuje i wyświetla zawartość pliku przy użyciu składni abstrakcyjnej notacji składni (ASN.1). Typy plików obejmują . CER, . Pliki sformatowane DER i PKCS #7.

certutil [options] -asn File [type]

[type]: typ dekodowania liczbowego CRYPT_STRING_*

-decodehex

Dekoduje plik zakodowany w formacie szesnastkowym.

certutil [options] -decodehex InFile OutFile [type]

[type]: typ dekodowania liczbowego CRYPT_STRING_*

Options:

[-f]

-encodehex

Koduje plik w formacie szesnastkowym.

certutil [options] -encodehex InFile OutFile [type]

[type]: typ kodowania liczbowy CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Dekoduje plik zakodowany w formacie Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Koduje plik do base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Odrzuca oczekujące żądanie.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Ponownie przesyła oczekujące żądanie.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Ustawia atrybuty oczekującego żądania certyfikatu.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId to numeryczny identyfikator żądania dla oczekującego żądania.
AttributeString to para nazwy atrybutu żądania i pary: wartość.

Options:

[-config Machine\CAName]

Remarks

Nazwy i wartości muszą być oddzielone dwukropkami, podczas gdy wiele nazw i par wartości musi być oddzielonych znakiem nowego wiersza. Na przykład: CertificateTemplate:User\nEMail:User@Domain.com gdzie \n sekwencja jest konwertowana na separator nowego wiersza.

-setextension

Ustaw rozszerzenie dla oczekującego żądania certyfikatu.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID to numeryczny identyfikator żądania dla oczekującego żądania.
ExtensionName to ciąg ObjectId dla rozszerzenia.
Flags ustawia priorytet rozszerzenia. 0 jest zalecane, podczas gdy 1 ustawia rozszerzenie na krytyczne, 2 wyłącza rozszerzenie i 3 wykonuje oba te czynności.

Options:

[-config Machine\CAName]

Remarks

Jeśli ostatni parametr jest liczbowy, jest traktowany jako Long.
Jeśli ostatni parametr można przeanalizować jako datę, jest on traktowany jako data.
Jeśli ostatni parametr zaczyna się od \@, pozostała część tokenu jest traktowana jako nazwa pliku z danymi binarnymi lub zrzutem szesnastkowym ASCII-tekst.
Jeśli ostatni parametr jest czymkolwiek innym, jest traktowany jako ciąg.

-revoke

Odwołuje certyfikat.

certutil [options] -revoke SerialNumber [Reason]

Where:

NumerSeryjny to rozdzielana przecinkami lista numerów seryjnych certyfikatów, które mają zostać odwołane.
Przyczyna jest numeryczną lub symboliczną reprezentacją przyczyny odwołania, w tym:
- 0. CRL_REASON_UNSPECIFIED - Nieokreślone (domyślnie)
- 1. CRL_REASON_KEY_COMPROMISE - Kluczowy kompromis
- 2. CRL_REASON_CA_COMPROMISE — naruszenie zabezpieczeń urzędu certyfikacji
- 3. CRL_REASON_AFFILIATION_CHANGED - Zmiana przynależności
- 4. CRL_REASON_SUPERSEDED - Zastąpiony
- 5. CRL_REASON_CESSATION_OF_OPERATION - Zaprzestanie działalności
- 6. CRL_REASON_CERTIFICATE_HOLD - Posiadanie certyfikatu
- 8. CRL_REASON_REMOVE_FROM_CRL - Usuń z listy CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Cofnięto przywilej
- 10: CRL_REASON_AA_COMPROMISE - Kompromis AA
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Wyświetla dyspozycję bieżącego certyfikatu.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Pobiera domyślny ciąg konfiguracji.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Pobiera domyślny ciąg konfiguracji za pośrednictwem aplikacji ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Pobiera konfigurację za pośrednictwem aplikacji ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Próbuje skontaktować się z interfejsem żądania usług certyfikatów Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList to rozdzielana przecinkami lista nazw maszyn CA. W przypadku pojedynczej maszyny użyj przecinka zakończenia. Ta opcja wyświetla również koszt lokacji dla każdej maszyny urzędu certyfikacji.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Próbuje skontaktować się z interfejsem administracyjnym usług certyfikatów Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

Parametr InfoName wskazuje właściwość CA do wyświetlenia na podstawie następującej składni argumentu infoname:
- * — Wyświetla wszystkie właściwości
- ads - Zaawansowany serwer
- aia [Indeks] - Adresy URL AIA
- cdp [Indeks] - Adresy URL CDP
- cert [Indeks] - CA cert
- certchain [Index] - Łańcuch certyfikatów CA
- certcount - liczba certyfikatów urzędu certyfikacji
- certcrlchain [Index] — łańcuch certyfikatów urzędu certyfikacji z listami CRL
- certstate [Indeks] — certyfikat urzędu certyfikacji
- certstatuscode [Index] — stan weryfikacji certyfikatu urzędu certyfikacji
- certversion [Index] - wersja certyfikatu urzędu certyfikacji
- CRL [Indeks] - Podstawowa lista CRL
- crlstate [Indeks] - Lista CRL
- crlstatus [Indeks] — stan publikowania listy CRL
- cross- [Indeks] - Wsteczny certyfikat krzyżowy
- cross+ [Indeks] - Przekazywanie certyfikatów krzyżowych
- crossstate- [Indeks] - Wsteczny certyfikat krzyżowy
- crossstate+ [Indeks] - Przekazywanie certyfikatów krzyżowych
- deltacrl [Indeks] - Delta CRL
- deltacrlstatus [Indeks] — stan publikowania różnicowej listy CRL
- dns - nazwa DNS
- dsname — skrócona nazwa oczyszczonego urzędu certyfikacji (nazwa DS)
- error1 ErrorCode - Tekst komunikatu o błędzie
- error2 ErrorCode - Tekst komunikatu o błędzie i kod błędu
- exit [Index] - Opis modułu wyjścia
- exitcount - Liczba modułów wyjściowych
- file - Wersja pliku
- info - CA info
- kra [Indeks] - KRA cert
- kracount - liczba certyfikatów KRA
- krastate [Indeks] - KRA cert
- kraused - liczba użytych certyfikatów KRA
- localename - nazwa ustawień regionalnych urzędu certyfikacji
- name - nazwa urzędu certyfikacji
- ocsp [Indeks] - Adresy URL protokołu OCSP
- parent - Nadrzędny urząd certyfikacji
- policy - Opis modułu polityki
- produkt - Wersja produktu
- propidmax - Maksymalny identyfikator CA PropId
- role - Separacja ról
- sanitizedname — nazwa oczyszczonego urzędu certyfikacji
- sharedfolder - Folder udostępniony
- subjecttemplateoids - Identyfikatory OID szablonu tematu
- szablony - Szablony
- type - typ CA
- xchg [Indeks] - CA exchange cert
- xchgchain [Indeks] - Łańcuch certyfikatów giełdy CA
- xchgcount — liczba certyfikatów wymiany urzędu certyfikacji
- xchgcrlchain [Indeks] - Łańcuch certyfikatów wymiany CA z listami CRL
index jest opcjonalnym indeksem właściwości liczonym od zera.
Kod błędu to numeryczny kod błędu.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Wyświetla informacje o typie właściwości urzędu certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Pobiera certyfikat dla urzędu certyfikacji.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile jest plikiem wyjściowym.
Indeks jest indeksem odnawiania certyfikatów urzędu certyfikacji (domyślnie jest to najnowsze).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Pobiera łańcuch certyfikatów dla urzędu certyfikacji.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile jest plikiem wyjściowym.
Indeks jest indeksem odnawiania certyfikatów urzędu certyfikacji (domyślnie jest to najnowsze).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Pobiera listę odwołania certyfikatów (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Indeks jest indeksem listy CRL lub indeksem klucza (domyślnie jest to lista CRL dla najnowszego klucza).
delta to różnicowa lista CRL (domyślnie jest to podstawowa lista CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nowe listy odwołania certyfikatów (CRL) lub różnicowe listy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh to nowy okres ważności listy CRL w dniach i godzinach.
Ponowne publikowanie powoduje ponowne opublikowanie najnowszych list CRL.
Różnica publikuje tylko różnicowe listy CRL (wartość domyślna to lista CRL podstawowa i różnicowa).

Options:

[-split] [-config Machine\CAName]

-shutdown

Zamyka usługi certyfikatów Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Instaluje certyfikat urzędu certyfikacji.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Odnawia certyfikat urzędu certyfikacji.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Użyj polecenia -f , aby zignorować zaległe żądanie odnowienia i wygenerować nowe żądanie.

-schema

Zrzuty schematu certyfikatu.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

Domyślnie polecenie to tabela Request (Żądanie) i Certificate (Certyfikat).
Ext to tabela rozszerzeń.
Atrybut jest tabelą atrybutów.
Lista CRL to tabela listy CRL.

Options:

[-split] [-config Machine\CAName]

-view

Zrzuty widoku certyfikatu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Kolejka zrzuca określoną kolejkę żądań.
Dziennik zrzuca wystawione lub odwołane certyfikaty oraz wszelkie żądania, które zakończyły się niepowodzeniem.
LogFail zrzuca żądania, które zakończyły się niepowodzeniem.
Odwołane zrzuca odwołane certyfikaty.
Ext zrzuca tabelę rozszerzeń.
Attrib zrzuca tabelę atrybutów.
Lista CRL zrzuca tabelę listy CRL.
Plik CSV udostępnia dane wyjściowe przy użyciu wartości rozdzielanych przecinkami.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Aby wyświetlić kolumnę StatusCode dla wszystkich wpisów, wpisz -out StatusCode
Aby wyświetlić wszystkie kolumny dla ostatniego wpisu, wpisz: -restrict RequestId==$
Aby wyświetlić identyfikatory RequestId i Disposition dla trzech żądań, należy wpisać: -restrict requestID>=37,requestID<40 -out requestID,disposition
Aby wyświetlić identyfikatory wierszy Identyfikatory wierszy i numery list CRL dla wszystkich podstawowych list CRL, należy wpisać: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Aby wyświetlić podstawowy numer listy CRL 3, wpisz: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Aby wyświetlić całą tabelę listy CRL, wpisz: CRL
Służy Date[+|-dd:hh] do ograniczeń daty.
Użyj now+dd:hh dla daty względem bieżącej godziny.
Szablony zawierają rozszerzone użycie kluczy (EKU), które są identyfikatorami obiektów (OID), które opisują sposób używania certyfikatu. Certyfikaty nie zawsze zawierają nazwy pospolite szablonu ani nazwy wyświetlane, ale zawsze zawierają EKU szablonu. EKU dla określonego szablonu certyfikatu można wyodrębnić z usługi Active Directory, a następnie ograniczyć widoki na podstawie tego rozszerzenia.

-db

Zrzuty nieprzetworzonej bazy danych.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Usuwa wiersz z bazy danych serwera.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

Żądanie usuwa żądania, które zakończyły się niepowodzeniem i oczekują, na podstawie daty przesłania.
Cert usuwa wygasłe i odwołane certyfikaty na podstawie daty wygaśnięcia.
Ext usuwa tabelę rozszerzeń.
Atrybut Attrib usuwa tabelę atrybutów.
Lista CRL usuwa tabelę CRL.

Options:

[-f] [-config Machine\CAName]

Examples

Aby usunąć żądania nie powiodły się i oczekujące do 22 stycznia 2001 r., wpisz: 1/22/2001 request
Aby usunąć wszystkie certyfikaty, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 cert
Aby usunąć wiersz certyfikatu, atrybuty i rozszerzenia dla identyfikatora RequestID 37, wpisz: 37
Aby usunąć listy CRL, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 crl

Note

Data oczekuje formatu mm/dd/yyyy , a nie dd/mm/yyyy, na przykład 1/22/2001 raczej niż 22/1/2001 22 stycznia 2001 r. Jeśli serwer nie jest skonfigurowany z ustawieniami regionalnymi w Stanach Zjednoczonych, użycie argumentu Data może dać nieoczekiwane wyniki.

-backup

Wykonuje kopię zapasową usług certyfikatów Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory to katalog do przechowywania danych z kopii zapasowej.
Przyrostowa wykonuje tylko przyrostową kopię zapasową (domyślnie jest to pełna kopia zapasowa).
KeepLog zachowuje pliki dziennika bazy danych (domyślnie pliki dziennika są obcinane).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Wykonuje kopię zapasową bazy danych usług certyfikatów Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory to katalog do przechowywania plików bazy danych, których kopia zapasowa została utworzona.
Przyrostowa wykonuje tylko przyrostową kopię zapasową (domyślnie jest to pełna kopia zapasowa).
KeepLog zachowuje pliki dziennika bazy danych (domyślnie pliki dziennika są obcinane).

Options:

[-f] [-config Machine\CAName]

-backupkey

Wykonuje kopię zapasową certyfikatu usług certyfikatów Active Directory i klucza prywatnego.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory to katalog do przechowywania kopii zapasowej pliku PFX.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Przywraca usługi certyfikatów Active Directory.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory to katalog zawierający dane, które mają zostać przywrócone.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Przywraca bazę danych usług certyfikatów Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory to katalog zawierający pliki bazy danych, które mają zostać przywrócone.

Options:

[-f] [-config Machine\CAName]

-restorekey

Przywraca certyfikat usług certyfikatów Active Directory i klucz prywatny.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory to katalog zawierający plik PFX, który ma zostać przywrócony.
PFXFile to plik PFX, który ma zostać przywrócony.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Eksportuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to certyfikat lub token dopasowania listy CRL.
PFXFile to plik PFX do wyeksportowania.
Modyfikatory to lista rozdzielona przecinkami, która może zawierać co najmniej jeden z następujących elementów:
- CryptoAlgorithm= określa algorytm kryptograficzny, który ma być używany do szyfrowania pliku PFX, takiego jak TripleDES-Sha1 lub Aes256-Sha256.
- EncryptCert — szyfruje klucz prywatny skojarzony z certyfikatem za pomocą hasła.
- ExportParameters -Exports parametry klucza prywatnego oprócz certyfikatu i klucza prywatnego.
- ExtendedProperties — zawiera wszystkie rozszerzone właściwości skojarzone z certyfikatem w pliku wyjściowym.
- NoEncryptCert — eksportuje klucz prywatny bez jego szyfrowania.
- NoChain — nie importuje łańcucha certyfikatów.
- NoRoot — nie importuje certyfikatu głównego.

-importPFX

Importuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
PFXFile to plik PFX, który ma zostać zaimportowany.
Modyfikatory to lista rozdzielona przecinkami, która może zawierać co najmniej jeden z następujących elementów:
- AT_KEYEXCHANGE - Zmienia specyfikację na wymianę kluczy.
- AT_SIGNATURE - Zmienia specyfikację na sygnaturę.
- ExportEncrypted — eksportuje klucz prywatny skojarzony z certyfikatem z szyfrowaniem hasła.
- FriendlyName= - Określa przyjazną nazwę dla importowanego certyfikatu.
- KeyDescription= - Określa opis klucza prywatnego powiązanego z importowanym certyfikatem.
- KeyFriendlyName= - Określa przyjazną nazwę dla klucza prywatnego powiązanego z zaimportowanym certyfikatem.
- NoCert — nie importuje certyfikatu.
- NoChain — nie importuje łańcucha certyfikatów.
- NoExport — sprawia, że klucz prywatny nie może być eksportowany.
- NoProtect — nie chroni kluczy hasłem przy użyciu hasła.
- NoRoot — nie importuje certyfikatu głównego.
- Pkcs8 — używa formatu PKCS8 dla klucza prywatnego w pliku PFX.
- Ochrona — chroni klucze przy użyciu hasła.
- ProtectHigh — określa, że hasło o wysokim poziomie zabezpieczeń musi być skojarzone z kluczem prywatnym.
- VSM — przechowuje klucz prywatny skojarzony z zaimportowanym certyfikatem w kontenerze wirtualnej karty inteligentnej (VSC).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

Domyślnie jest to magazyn maszyn osobistych.

-dynamicfilelist

Wyświetla listę plików dynamicznych.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Wyświetla lokalizacje bazy danych.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Generuje i wyświetla skrót kryptograficzny dla pliku.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Zrzuty magazynu certyfikatów.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName to nazwa magazynu certyfikatów. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to certyfikat lub token dopasowania listy CRL. Ten identyfikator może być następujący:
- Serial number
- SHA-1 certificate
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Public key
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- E-mail address
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z tych identyfikatorów może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Problemy z wydajnością są obserwowane podczas korzystania z parametru -store podanego w tych dwóch aspektach:

Gdy liczba certyfikatów w magazynie przekracza 10.
Po określeniu identyfikatora CertId jest on używany do dopasowania wszystkich wymienionych typów dla każdego certyfikatu. Na przykład, jeśli zostanie podany numer seryjny , zostanie również podjęta próba dopasowania wszystkich innych wymienionych typów.

Jeśli martwisz się o problemy z wydajnością, zalecane są polecenia programu PowerShell, w których będą one zgodne tylko z określonym typem certyfikatu.

-enumstore

Wylicza magazyny certyfikatów.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName to nazwa komputera zdalnego.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Dodaje certyfikat do magazynu. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
InFile to certyfikat lub plik CRL, który chcesz dodać do sklepu.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Usuwa certyfikat z magazynu. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to certyfikat lub token dopasowania listy CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Weryfikuje certyfikat w magazynie. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to certyfikat lub token dopasowania listy CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Naprawia skojarzenie klucza lub aktualizowanie właściwości certyfikatu lub deskryptora zabezpieczeń klucza. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName to nazwa magazynu certyfikatów.
CertIdList to rozdzielana przecinkami lista tokenów dopasowania certyfikatów lub list CRL. Aby uzyskać więcej informacji, zobacz opis identyfikatora -store CertId w tym artykule.

PropertyInfFile to plik INF zawierający właściwości zewnętrzne, w tym:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Zrzuty magazynu certyfikatów. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName to nazwa magazynu certyfikatów. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to certyfikat lub token dopasowania listy CRL. Może to być:
- Serial number
- SHA-1 certificate
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Public key
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- E-mail address
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Usuwa certyfikat z magazynu.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName to nazwa magazynu certyfikatów. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to certyfikat lub token dopasowania listy CRL. Może to być:
- Serial number
- SHA-1 certificate
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Public key
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- E-mail address
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Wywołuje interfejs certutil.

certutil [options] -UI File [import]

-TPMInfo

Wyświetla informacje o module zaufanej platformy.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Określa, że plik żądania certyfikatu powinien być testowany.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Wybiera certyfikat z wybranego interfejsu użytkownika.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Wyświetla nazwy wyróżniające usługi katalogowej (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Usuwa nazwy DN ds.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certyfikat lub listę odwołania certyfikatów (CRL) w usłudze Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile to nazwa pliku certyfikatu, który ma zostać opublikowany.
Protokół NTAuthCA opublikuje certyfikat w sklepie DS Enterprise.
RootCA publikuje certyfikat w zaufanym magazynie głównym DS.
Podurząd certyfikacji publikuje certyfikat urzędu certyfikacji w obiekcie urzędu certyfikacji DS.
Protokół CrossCA publikuje certyfikat krzyżowy w obiekcie urzędu certyfikacji DS.
KRA publikuje certyfikat w obiekcie DS Key Recovery Agent.
Użytkownik publikuje certyfikat w obiekcie DS użytkownika.
Maszyna opublikuje certyfikat w obiekcie DS maszyny.
Plik CRL to nazwa pliku CRL, który ma zostać opublikowany.
DSCDPContainer to numer CN kontenera DS CDP, zwykle nazwa maszyny urzędu certyfikacji.
DSCDPCN to nazwa CN obiektu DS CDP oparta na oczyszczonej skróconej nazwie urzędu certyfikacji i indeksie klucza.

Options:

[-f] [-user] [-dc DCName]

Użyj -f polecenia , aby utworzyć nowy obiekt DS.

-dsCert

Wyświetla certyfikaty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Wyświetla listy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Wyświetla różnicowe listy CRL platformy DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Wyświetla atrybuty szablonu DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Dodaje szablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Wyświetla szablony usługi Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Wyświetla szablony zasad rejestracji certyfikatów.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Przedstawia urzędy certyfikacji dla szablonu certyfikatu.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Wyświetla szablony urzędu certyfikacji.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Ustawia szablony certyfikatów, które może wystawiać urząd certyfikacji.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

Znak + dodaje szablony certyfikatów do listy dostępnych szablonów urzędu certyfikacji.
Znak - usuwa szablony certyfikatów z listy dostępnych szablonów urzędu certyfikacji.

-SetCASites

Zarządza nazwami witryn, w tym ustawianiem, weryfikowaniem i usuwaniem nazw witryn urzędu certyfikacji.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

Parametr SiteName jest dozwolony tylko w przypadku określania wartości docelowej dla jednego urzędu certyfikacji.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

Opcja jest przeznaczona dla jednego urzędu certyfikacji (wartość domyślna -config to wszystkie urzędy certyfikacji).
Za pomocą tej -f opcji można zastąpić błędy sprawdzania poprawności dla określonej nazwy witryny lub usunąć wszystkie nazwy witryn urzędu certyfikacji.

Note

Aby uzyskać więcej informacji na temat konfigurowania urzędów certyfikacji na potrzeby rozpoznawania lokacji usług Active Directory Domain Services (AD DS), zobacz Ad DS Site Awareness for AD CS and PKI clients (Rozpoznawanie lokacji usług AD DS dla klientów usług AD CS i PKI).

-enrollmentServerURL

Wyświetla, dodaje lub usuwa adresy URL serwera rejestracji skojarzone z urzędem certyfikacji.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType określa jedną z następujących metod uwierzytelniania klienta podczas dodawania adresu URL:
- Kerberos — użyj poświadczeń SSL protokołu Kerberos.
- UserName — użyj nazwanego konta dla poświadczeń SSL.
- ClientCertificate — użyj poświadczeń SSL certyfikatu X.509.
- Anonimowe — użyj anonimowych poświadczeń SSL.
delete usuwa określony adres URL skojarzony z urzędem certyfikacji.
Domyślny priorytet to 1 jeśli nie zostanie określony podczas dodawania adresu URL.
Modyfikatory to lista rozdzielona przecinkami, która zawiera co najmniej jeden z następujących elementów:
- Zezwalaj na odnowieniaTylko żądania odnowienia mogą być przesyłane do tego urzędu certyfikacji za pośrednictwem tego adresu URL.
- AllowKeyBasedRenewal umożliwia korzystanie z certyfikatu, który nie ma skojarzonego konta w usłudze AD. Dotyczy to tylko trybów ClientCertificate i AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Wyświetla urzędy certyfikacji usługi Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Wyświetla zasady rejestracji Urzędy certyfikacji.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Wyświetla zasady rejestracji.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Wyświetla lub usuwa wpisy pamięci podręcznej zasad rejestracji.

certutil [options] -PolicyCache [delete]

Where:

Usuń usuwa wpisy pamięci podręcznej serwera strategii.
-f usuwa wszystkie wpisy w pamięci podręcznej

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Wyświetla, dodaje lub usuwa wpisy magazynu poświadczeń.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

Adres URL to docelowy adres URL. Można również użyć * polecenia , aby dopasować wszystkie wpisy lub https://machine* dopasować prefiks adresu URL.
Polecenie Dodaj dodaje wpis magazynu poświadczeń. Użycie tej opcji wymaga również użycia poświadczeń SSL.
Usuń usuwa wpisy magazynu poświadczeń.
-f nadpisuje pojedynczy wpis lub usuwa wiele wpisów.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instaluje domyślne szablony certyfikatów.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Weryfikuje adresy URL certyfikatu lub listy CRL.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Wyświetla lub usuwa wpisy pamięci podręcznej adresu URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

Adres URL to adres URL zapisany w pamięci podręcznej.
Lista CRL jest uruchamiana tylko na wszystkich buforowanych adresach URL list CRL.
* działa na wszystkich buforowanych adresach URL.
delete usuwa odpowiednie adresy URL z lokalnej pamięci podręcznej bieżącego użytkownika.
-f wymusza pobranie określonego adresu URL i aktualizację pamięci podręcznej.

Options:

[-f] [-split]

-pulse

Impulsuje zdarzenie automatycznej rejestracji lub zadanie NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName to zadanie do wyzwolenia.
- Pregen to zadanie NGC Key Pregen.
- AIKEnroll jest zadaniem rejestracji certyfikatu NGC AIK. (Domyślnie jest to zdarzenie automatycznej rejestracji).
SRKThumbprint to odcisk palca klucza głównego pamięci masowej
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Wyświetla informacje o obiekcie maszyny usługi Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Wyświetla informacje o kontrolerze domeny. Domyślne wyświetla certyfikaty kontrolera domeny bez weryfikacji.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

W systemie Windows Server 2012 dodano możliwość określania domeny usług domenowych w usłudze Active Directory (AD DS, AD DS) [ Domena] oraz określania kontrolera domeny (-dc). Aby pomyślnie uruchomić polecenie, należy użyć konta, które jest członkiem administratorów domeny lub administratorów przedsiębiorstwa. Modyfikacje zachowania tego polecenia są następujące:

Jeśli domena nie zostanie określona i określony kontroler domeny nie zostanie określony, ta opcja zwraca listę kontrolerów domeny do przetworzenia z domyślnego kontrolera domeny.
Jeśli domena nie zostanie określona, ale zostanie określony kontroler domeny, zostanie wygenerowany raport certyfikatów na określonym kontrolerze domeny.
Jeśli domena jest określona, ale kontroler domeny nie jest określony, lista kontrolerów domeny jest generowana wraz z raportami na temat certyfikatów dla każdego kontrolera domeny na liście.
Jeśli określono domenę i kontroler domeny, zostanie wygenerowana lista kontrolerów domeny z docelowego kontrolera domeny. Zostanie również wygenerowany raport certyfikatów dla każdego kontrolera domeny na liście.

Załóżmy na przykład, że istnieje domena o nazwie CPANDL z kontrolerem domeny o nazwie CPANDL-DC1. Możesz uruchomić następujące polecenie, aby pobrać listę kontrolerów domeny i ich certyfikatów z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Wyświetla informacje o urzędzie certyfikacji przedsiębiorstwa.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Wyświetla informacje o karcie inteligentnej.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET usuwa wszystkie klucze z karty inteligentnej.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Zarządza certyfikatami głównymi kart inteligentnych.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Wyświetla listę kluczy przechowywanych w kontenerze kluczy.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName to nazwa kontenera klucza dla klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj polecenia -user.
- Użycie znaku oznacza użycie domyślnego kontenera kluczy.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Usuwa nazwany kontener kluczy.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Usuwa kontener Windows Hello, usuwając wszystkie skojarzone poświadczenia przechowywane na urządzeniu, w tym wszystkie poświadczenia WebAuthn i FIDO.

Użytkownicy muszą wylogować się po użyciu tej opcji, aby ją ukończyć.

certutil [options] -DeleteHelloContainer

-verifykeys

Weryfikuje zestaw kluczy publicznych lub prywatnych.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName to nazwa kontenera klucza dla klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj polecenia -user.
CACertFile podpisuje lub szyfruje pliki certyfikatów.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Jeśli nie określono żadnych argumentów, każdy certyfikat urzędu certyfikacji podpisywania jest weryfikowany względem klucza prywatnego.
Tę operację można wykonać tylko względem lokalnego urzędu certyfikacji lub kluczy lokalnych.

-verify

Weryfikuje certyfikat, listę odwołania certyfikatów (CRL) lub łańcuch certyfikatów.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile to nazwa certyfikatu, który ma zostać zweryfikowany.
ApplicationPolicyList to opcjonalna rozdzielana przecinkami lista wymaganych identyfikatorów obiektów zasad aplikacji.
IssuancePolicyList to opcjonalna rozdzielana przecinkami lista wymaganych identyfikatorów ObjectId zasad wystawiania.
CACertFile jest opcjonalnym certyfikatem urzędu certyfikacji, który ma być weryfikowany.
CrossedCACertFile to opcjonalny certyfikat certyfikowany krzyżowo przez CertFile.
CRLFile jest plikiem CRL używanym do weryfikowania pliku CACertFile.
IssuedCertFile jest opcjonalnym wystawionym certyfikatem objętym plikiem CRL.
DeltaCRLFile jest opcjonalnym plikiem różnicowej listy CRL.
Modifiers:
- Silna — silna weryfikacja podpisu
- MSRoot — musi połączyć łańcuch z katalogiem głównym firmy Microsoft
- MSTestRoot — musi połączyć łańcuch z katalogiem głównym testu firmy Microsoft
- AppRoot — musi łączyć się z katalogiem głównym aplikacji firmy Microsoft
- EV — wymuszanie rozszerzonych zasad walidacji

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

Użycie ApplicationPolicyList ogranicza budowanie łańcucha tylko do łańcuchów prawidłowych dla określonych zasad aplikacji.
Użycie IssuancePolicyList ogranicza tworzenie łańcucha tylko do łańcuchów ważnych dla określonych zasad wystawiania.
Użycie CACertFile weryfikuje pola w pliku względem pliku CertFile lub CRLfile.
Jeśli CACertFile nie zostanie określony, cały łańcuch zostanie skompilowany i zweryfikowany względem CertFile.
Jeśli określono zarówno CACertFile , jak i CrossedCACertFile , pola w obu plikach są weryfikowane względem pliku CertFile.
Użycie IssuedCertFile weryfikuje pola w pliku względem pliku CRL.
Użycie funkcji DeltaCRLFile weryfikuje pola w pliku względem pliku CertFile.

-verifyCTL

Weryfikuje certyfikaty AuthRoot lub Niedozwolone certyfikaty CTL.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject identyfikuje CTL do zweryfikowania, w tym:
- AuthRootWU odczytuje certyfikat CAB AuthRoot i pasujące certyfikaty z pamięci podręcznej adresu URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
- DisallowedWU odczytuje plik CAB niedozwolonych certyfikatów i niedozwolonych certyfikatów z pamięci podręcznej adresów URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
  - PinRulesWU odczytuje PinRules CAB z pamięci podręcznej adresu URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
- AuthRoot odczytuje listę CTL AuthRoot w pamięci podręcznej rejestru. Użyj z -f i niezaufanym plikiem CertFile , aby wymusić aktualizację list CTL certyfikatów AuthRoot i niedozwolonych certyfikatów w pamięci podręcznej rejestru.
- Niedozwolone odczytuje listę CTL niedozwolonych certyfikatów buforowanych w pamięci podręcznej rejestru. Użyj z -f i niezaufanym plikiem CertFile , aby wymusić aktualizację list CTL certyfikatów AuthRoot i niedozwolonych certyfikatów w pamięci podręcznej rejestru.
  - PinRules odczytuje rejestr buforowany przez PinRules CTL. Używanie -f ma takie samo zachowanie jak w przypadku PinRulesWU.
- CTLFileName określa plik lub ścieżkę http do pliku CTL lub CAB.
CertDir określa folder zawierający certyfikaty pasujące do wpisów CTL. Domyślnie jest to ten sam folder lub witryna internetowa co CTLobject. Użycie ścieżki folderu http wymaga separatora ścieżki na końcu. Jeśli nie określisz opcji AuthRoot lub Niedozwolone, w wielu lokalizacjach zostaną wyszukane pasujące certyfikaty, w tym lokalne magazyny certyfikatów, zasoby crypt32.dll i lokalna pamięć podręczna adresów URL. Użyj -f polecenia , aby pobrać z usługi Windows Update zgodnie z potrzebami.
CertFile określa certyfikaty do zweryfikowania. Certyfikaty są dopasowywane do wpisów CTL, wyświetlając wyniki. Ta opcja pomija większość domyślnych danych wyjściowych.

Options:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certyfikaty z usługą Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

Katalog_docelowy jest określonym katalogiem.
f wymusza nadpisanie.
Unicode zapisuje przekierowane dane wyjściowe w Unicode.
GMT wyświetla godziny jako GMT.
Sekundy Wyświetla czasy z sekundami i milisekundami.
v jest operacją szczegółową.
Kod PIN to numer PIN karty inteligentnej.
WELL_KNOWN_SID_TYPE jest numerycznym identyfikatorem SID:
- 22 — System lokalny
- 23 — Usługa lokalna
- 24 — Usługa sieciowa

Remarks

Następujące pliki są pobierane przy użyciu mechanizmu automatycznej aktualizacji:

authrootstl.cab zawiera listy CTL certyfikatów głównych firm innych niż Microsoft.
disallowedcertstl.cab zawiera listy CTL niezaufanych certyfikatów.
disallowedcert.sst zawiera serializowany magazyn certyfikatów, w tym niezaufane certyfikaty.
thumbprint.crt zawiera certyfikaty główne firm innych niż Microsoft.

Na przykład certutil -syncWithWU \\server1\PKI\CTLs.

Jeśli jako folder docelowy używasz nieistnienej ścieżki lokalnej lub folderu, zostanie wyświetlony błąd: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Jeśli jako folderu docelowego używasz nieistniejących lub niedostępnych lokalizacji sieciowych, zostanie wyświetlony błąd: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Jeśli serwer nie może nawiązać połączenia za pośrednictwem portu TCP 80 z serwerami automatycznej aktualizacji firmy Microsoft, zostanie wyświetlony następujący błąd: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Jeśli serwer nie może nawiązać połączenia z serwerami automatycznej aktualizacji firmy Microsoft przy użyciu nazwy ctldl.windowsupdate.comDNS, zostanie wyświetlony następujący błąd: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Jeśli nie używasz przełącznika -f i którykolwiek z plików CTL już istnieje w katalogu, zostanie wyświetlony błąd: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Jeśli w zaufanych certyfikatach głównych zostanie zmieniona, zobaczysz: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generuje plik magazynu synchronizowany z usługą Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile to plik do wygenerowania .sst , który zawiera katalogi główne innych firm pobrane z usługi Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Generuje plik listy zaufania certyfikatów (CTL), który zawiera listę reguł przypinania.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile jest wejściowym plikiem XML do przeanalizowania.
CTLFile jest wyjściowym plikiem CTL, który ma zostać wygenerowany.
SSTFile to opcjonalny .sst plik do utworzenia, który zawiera wszystkie certyfikaty używane do przypinania.
QueryFilesPrefix to opcjonalne pliki Domains.csv i Keys.csv , które mają zostać utworzone dla zapytania do bazy danych.
- Ciąg QueryFilesPrefix jest dołączany do każdego utworzonego pliku.
- Plik Domains.csv zawiera nazwę reguły, wiersze domeny.
- Plik Keys.csv zawiera nazwę reguły, wiersze odcisku palca klucza SHA256.

Options:

[-f]

-downloadOcsp

Pobiera odpowiedzi OCSP i zapisuje je w katalogu.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir to katalog plików certyfikatu, magazynu i PFX.
OcspDir to katalog do zapisywania odpowiedzi OCSP.
ThreadCount to opcjonalna maksymalna liczba wątków do współbieżnego pobierania. Wartość domyślna to 10.
Modyfikatory są oddzieloną przecinkami listą co najmniej jednego z poniższych:
- DownloadOnce — pobiera raz i kończy działanie.
- ReadOcsp — odczytuje z OcspDir zamiast zapisu.

-generateHpkpHeader

Generuje nagłówek HPKP przy użyciu certyfikatów w określonym pliku lub katalogu.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir to plik lub katalog certyfikatów, który jest źródłem pin-sha256.
MaxAge to maksymalna wartość wieku w sekundach.
Identyfikator ReportUri jest opcjonalnym identyfikatorem URI raportu.
Modyfikatory są oddzieloną przecinkami listą co najmniej jednego z poniższych:
- includeSubDomains — dołącza includeSubDomains.

-flushCache

Opróżnia określone pamięci podręczne w wybranym procesie, na przykład lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId to numeryczny identyfikator procesu do opróżnienia. Ustaw wartość 0 , aby opróżnić wszystkie procesy, w których jest włączone opróżnianie.
CacheMask jest maską bitową pamięci podręcznych, które mają być opróżniane, zarówno liczbowych, jak i następujących bitów:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modyfikatory są oddzieloną przecinkami listą co najmniej jednego z poniższych:
- Pokaż — pokazuje opróżniane pamięci podręczne. Program Certutil musi zostać jawnie zakończony.

-addEccCurve

Dodaje krzywą ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass jest typem klasy krzywej ECC:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName jest nazwą krzywej ECC.
CurveParameters to jeden z następujących elementów:
- Nazwa pliku certyfikatu zawierająca parametry zakodowane w formacie ASN.
- Plik zawierający parametry zakodowane w formacie ASN.
CurveOID to krzywa ECC OID i jest jednym z następujących:
- Nazwa pliku certyfikatu zawierająca zakodowany w formacie ASN OID.
- Jawny OID krzywej ECC.
CurveType jest punktem Schannel ECC NamedCurve (numerycznym).

Options:

[-f]

-deleteEccCurve

Usuwa krzywą ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName jest nazwą krzywej ECC.
CurveOID to krzywa ECC OID.

Options:

[-f]

-displayEccCurve

Wyświetla krzywą ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName jest nazwą krzywej ECC.
CurveOID to krzywa ECC OID.

Options:

[-f]

-csplist

Wyświetla listę dostawców usług kryptograficznych zainstalowanych na tym komputerze na potrzeby operacji kryptograficznych.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Testuje dostawców CSP zainstalowanych na tym komputerze.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Wyświetla konfigurację kryptograficzną CNG na tym komputerze.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Ponownie podpisuje listę odwołania certyfikatów (CRL) lub certyfikat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList to rozdzielana przecinkami lista plików certyfikatów lub list CRL, które można zmodyfikować i ponownie podpisać.
NumerSeryjny to numer seryjny certyfikatu, który ma zostać utworzony. Okres ważności i inne opcje nie mogą być obecne.
Lista CRL tworzy pustą listę CRL. Okres ważności i inne opcje nie mogą być obecne.
OutFileList to rozdzielana przecinkami lista zmodyfikowanych plików wyjściowych certyfikatów lub list CRL. Liczba plików musi być zgodna z listą plików.
StartDate+dd:hh to nowy okres ważności certyfikatu lub plików CRL, w tym:
- opcjonalna data plus
- opcjonalny okres ważności dni i godzin, jeśli jest używanych wiele pól, użyj separatora (+) lub (-). Użyj polecenia now[+dd:hh] , aby rozpocząć od bieżącej godziny. Użyj now-dd:hh+dd:hh polecenia , aby rozpocząć od stałego przesunięcia od bieżącego czasu i stałego okresu ważności. Użyj polecenia never , aby nie mieć daty wygaśnięcia (tylko w przypadku list CRL).
ListaNumerówSeryjnych to rozdzielana przecinkami lista numerów seryjnych plików, które mają zostać dodane lub usunięte.
ObjectIdList to rozdzielana przecinkami lista ObjectId plików do usunięcia.

@ExtensionFile jest plikiem INF zawierającym rozszerzenia do zaktualizowania lub usunięcia. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm to nazwa algorytmu wyznaczania wartości skrótu. Musi to być tylko tekst poprzedzony znakiem # .
AlternateSignatureAlgorithm jest alternatywnym specyfikatorem algorytmu podpisu.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

Użycie znaku minus (-) usuwa numery seryjne i rozszerzenia.
Za pomocą znaku plus (+) dodaje numery seryjne do listy CRL.
Za pomocą listy można jednocześnie usuwać numery seryjne i identyfikatory obiektów z listy CRL.
Użycie znaku minus przed AlternateSignatureAlgorithm umożliwia użycie starszego formatu podpisu.
Użycie znaku plus umożliwia użycie alternatywnego formatu podpisu.
Jeśli nie określisz AlternateSignatureAlgorithm, zostanie użyty format podpisu w certyfikacie lub na liście CRL.

-vroot

Tworzy lub usuwa wirtualne katalogi głównych sieci Web i udziały plików.

certutil [options] -vroot [delete]

-vocsproot

Tworzy lub usuwa wirtualne katalogi root sieci Web dla internetowego serwera proxy OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Dodaje aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń SSL.
- ClientCertificate używa poświadczeń SSL certyfikatu X.509.
Modifiers:
- Opcja AllowRenewalsOnly zezwala tylko na przesyłanie żądań odnowienia do urzędu certyfikacji za pośrednictwem adresu URL.
- AllowKeyBasedRenewal umożliwia korzystanie z certyfikatu bez skojarzonego konta w usłudze Active Directory. Ma to zastosowanie w przypadku korzystania z trybu ClientCertificate i AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Usuwa aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń SSL.
- ClientCertificate używa poświadczeń SSL certyfikatu X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

W razie potrzeby dodaj aplikację serwera zasad i pulę aplikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń SSL.
- ClientCertificate używa poświadczeń SSL certyfikatu X.509.
Funkcja KeyBasedRenewal umożliwia korzystanie z zasad zwracanych do klienta zawierających szablony odnawiania oparte na kluczach. Ta opcja ma zastosowanie tylko do uwierzytelniania UserName i ClientCertificate .

-deletePolicyServer

W razie potrzeby usuwa aplikację serwera zasad i pulę aplikacji. To polecenie nie usuwa plików binarnych ani pakietów.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń SSL.
- ClientCertificate używa poświadczeń SSL certyfikatu X.509.
Funkcja KeyBasedRenewal umożliwia korzystanie z serwera zasad KeyBasedRenewal.

-Class

Wyświetla informacje rejestru COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Sprawdza certyfikat pod kątem kodowania 0x7f długości.

certutil [options] -7f CertFile

-oid

Wyświetla identyfikator obiektu lub ustawia nazwę wyświetlaną.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId to identyfikator, który ma być wyświetlany lub dodawany do nazwy wyświetlanej.
GroupId to numer GroupID (dziesiętny) wyliczany przez identyfikatory obiektów.
AlgId to identyfikator szesnastkowy, który wyszukuje objectID.
NazwaAlgorytmu to nazwa algorytmu, którą wyszukuje objectID.
DisplayName wyświetla nazwę, która ma być przechowywana w DS.
Delete powoduje usunięcie nazwy wyświetlanej.
LanguageId to wartość identyfikatora języka (wartość domyślna to current: 1033).
Typ to typ obiektu DS do utworzenia, w tym:
- 1 — Szablon (wartość domyślna)
- 2 - Zasady wystawiania
- 3 - Zasady aplikacji
-f tworzy obiekt DS.

Options:

[-f]

-error

Wyświetla tekst komunikatu skojarzony z kodem błędu.

certutil [options] -error ErrorCode

-getsmtpinfo

Pobiera informacje o protokole SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Ustawia informacje SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Wyświetla wartość rejestru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca używa klucza rejestru urzędu certyfikacji.
restore używa klucza rejestru przywracania urzędu certyfikacji.
Zasady używają klucza rejestru modułu Polityka.
exit używa klucza rejestru pierwszego modułu wyjścia.
Szablon używa klucza rejestru szablonów (użyj -user dla szablonów użytkowników).
Rejestrowanie używa klucza rejestru rejestracji (użyj -user dla kontekstu użytkownika).
Chain używa klucza rejestru konfiguracji łańcucha.
PolicyServers używa klucza rejestru Policy Servers.
ProgId używa identyfikatora ProgID zasad lub modułu wyjścia (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (służy Name* do dopasowania prefiksu).
value używa nowej wartości numerycznej, ciągu lub daty w rejestrze lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.
Registry aliases:
- Config
- urząd certyfikacji
- Zasady — zasadyModuły
- Exit — ExitModules
- Przywracanie — RestoreInProgress
- Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
- Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Software\Microsoft\Cryptography\MSCEP
- Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-setreg

Ustawia wartość rejestru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca używa klucza rejestru urzędu certyfikacji.
restore używa klucza rejestru przywracania urzędu certyfikacji.
Zasady używają klucza rejestru modułu Polityka.
exit używa klucza rejestru pierwszego modułu wyjścia.
Szablon używa klucza rejestru szablonów (użyj -user dla szablonów użytkowników).
Rejestrowanie używa klucza rejestru rejestracji (użyj -user dla kontekstu użytkownika).
Chain używa klucza rejestru konfiguracji łańcucha.
PolicyServers używa klucza rejestru Policy Servers.
ProgId używa identyfikatora ProgID zasad lub modułu wyjścia (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (służy Name* do dopasowania prefiksu).
Wartość używa nowej wartości numerycznej, ciągu lub daty w rejestrze lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.

-delreg

Usuwa wartość rejestru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca używa klucza rejestru urzędu certyfikacji.
restore używa klucza rejestru przywracania urzędu certyfikacji.
Zasady używają klucza rejestru modułu Polityka.
exit używa klucza rejestru pierwszego modułu wyjścia.
Szablon używa klucza rejestru szablonów (użyj -user dla szablonów użytkowników).
Rejestrowanie używa klucza rejestru rejestracji (użyj -user dla kontekstu użytkownika).
Chain używa klucza rejestru konfiguracji łańcucha.
PolicyServers używa klucza rejestru Policy Servers.
ProgId używa identyfikatora ProgID zasad lub modułu wyjścia (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (służy Name* do dopasowania prefiksu).
Wartość używa nowej wartości numerycznej, ciągu lub daty w rejestrze lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.
Registry aliases:
- Config
- urząd certyfikacji
- Zasady — zasadyModuły
- Exit — ExitModules
- Przywracanie — RestoreInProgress
- Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
- Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Software\Microsoft\Cryptography\MSCEP
- Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-importKMS

Importuje klucze użytkownika i certyfikaty do bazy danych serwera na potrzeby archiwizacji kluczy.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile to plik danych z kluczami prywatnymi użytkownika i certyfikatami, które mają zostać zarchiwizowane. Ten plik może być następujący:
- Plik eksportu serwera zarządzania kluczami programu Exchange (KMS).
- Plik PFX.
CertId to token dopasowania certyfikatu odszyfrowywania pliku eksportu usługi KMS. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.
-f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje plik certyfikatu do bazy danych.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow importuje certyfikat zamiast oczekującego żądania dla tego samego klucza.
-f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Options:

[-f] [-config Machine\CAName]

Remarks

Może być również konieczne skonfigurowanie urzędu certyfikacji do obsługi certyfikatów zagranicznych przez uruchomienie polecenia certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Pobiera zarchiwizowany obiekt blob odzyskiwania klucza prywatnego, generuje skrypt odzyskiwania lub odzyskuje zarchiwizowane klucze.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

Skrypt generuje skrypt do pobierania i odzyskiwania kluczy (zachowanie domyślne, jeśli zostanie znalezionych wielu pasujących kandydatów do odzyskiwania lub jeśli plik wyjściowy nie zostanie określony).
retrieve pobiera co najmniej jeden obiekt blob odzyskiwania kluczy (zachowanie domyślne, jeśli zostanie znaleziony dokładnie jeden pasujący kandydat do odzyskiwania i jeśli określono plik wyjściowy). Użycie tej opcji powoduje obcięcie dowolnego rozszerzenia i dołączenie ciągu specyficznego dla certyfikatu i .rec rozszerzenia dla każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
recover pobiera i odzyskuje klucze prywatne w jednym kroku (wymaga certyfikatów Key Recovery Agent i kluczy prywatnych). Za pomocą tej opcji obcina wszelkie rozszerzenia i dołącza .p12 rozszerzenie. Każdy plik zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.
SearchToken wybiera klucze i certyfikaty do odzyskania, w tym:
- Nazwa pospolita certyfikatu
- Numer seryjny certyfikatu
- Skrót SHA-1 certyfikatu (odcisk palca)
- Skrót SHA-1 klucza certyfikatu (identyfikator klucza podmiotu)
- Nazwa osoby żądającego (domena\użytkownik)
- UPN (user@domain)
RecoveryBlobOutFile wyprowadza plik z łańcuchem certyfikatów i skojarzonym kluczem prywatnym, nadal zaszyfrowanym do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
OutputScriptFile wyprowadza plik ze skryptem wsadowym w celu pobrania i odzyskania kluczy prywatnych.
OutputFileBaseName wyprowadza nazwę bazy plików.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

W przypadku pobierania każde rozszerzenie jest obcinane, a ciąg specyficzny dla certyfikatu i .rec rozszerzenia są dołączane do każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
W przypadku odzyskiwania każde rozszerzenie jest obcinane, a .p12 rozszerzenie jest dołączane. Zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.

-RecoverKey

Odzyskuje zarchiwizowany klucz prywatny.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Scala pliki PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList to rozdzielana przecinkami lista plików wejściowych PFX.
PFXOutFile to nazwa pliku wyjściowego PFX.
Modyfikatory to rozdzielone przecinkami listy co najmniej jednego z następujących elementów:
- ExtendedProperties zawiera wszystkie właściwości rozszerzone.
- NoEncryptCert określa, że certyfikaty nie mogą być szyfrowane.
- EncryptCert określa szyfrowanie certyfikatów.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Hasło określone w wierszu polecenia musi być listą haseł rozdzielanych przecinkami.
Jeśli określono więcej niż jedno hasło, ostatnie hasło jest używane dla pliku wyjściowego. Jeśli podano tylko jedno hasło lub ostatnie hasło to *, użytkownik zostanie poproszony o podanie hasła pliku wyjściowego.

-add-chain

Dodaje łańcuch certyfikatów.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Dodaje łańcuch certyfikatów wstępnych.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Pobiera podpisaną głowę drzewa.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Pobiera zmiany w głowę drzewa ze znakiem.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Pobiera dowód skrótu z serwera sygnatury czasowej.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Pobiera wpisy z dziennika zdarzeń.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Pobiera certyfikaty główne z magazynu certyfikatów.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Pobiera wpis dziennika zdarzeń i jego dowód kryptograficzny.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Weryfikuje certyfikat względem dziennika przezroczystości certyfikatu.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Wyświetla listę parametrów.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? wyświetla listę parametrów
-<name_of_parameter> -? Wyświetla zawartość pomocy dla określonego parametru.
-? -v wyświetla szczegółową listę parametrów i opcji.

Opcje

W tej sekcji zdefiniowano wszystkie opcje, które można określić na podstawie polecenia . Każdy parametr zawiera informacje o tym, które opcje są prawidłowe do użycia.

Option	Description
-admin	Użyj ICertAdmin2 dla właściwości urzędu certyfikacji.
-anonymous	Użyj anonimowych poświadczeń SSL.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Użyj poświadczeń protokołu SSL certyfikatu X.509. W przypadku interfejsu użytkownika wyboru użyj polecenia `-clientcertificate`.
-config Machine\CAName	Ciąg nazwy urzędu certyfikacji i komputera.
-csp provider	Provider: KSP — dostawca magazynu kluczy oprogramowania firmy Microsoft TPM — dostawca kryptograficzny platformy Microsoft NGC — dostawca magazynu kluczy usługi Microsoft Passport SC — dostawca magazynu kluczy kart inteligentnych firmy Microsoft
-dc DCName	Docelowy określony kontroler domeny.
-enterprise	Użyj magazynu certyfikatów rejestru przedsiębiorstwa komputera lokalnego.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Wygeneruj SST przy użyciu mechanizmu automatycznej aktualizacji.
-gmt	Czas wyświetlania przy użyciu gmt.
-GroupPolicy	Użyj magazynu certyfikatów zasad grupy.
-idispatch	Użyj interfejsu IDispatch zamiast metod natywnych COM.
-kerberos	Użyj poświadczeń protokołu SSL protokołu Kerberos.
-location alternatestoragelocation	`(-loc)` AlternatywnaLokalizacjaPrzechowywania.
-mt	Wyświetlanie szablonów maszyn.
-nocr	Kodowanie tekstu bez znaków CR.
-nocrlf	Kodowanie tekstu bez CR-LF znaków.
-nullsign	Użyj skrótu danych jako podpisu.
-oldpfx	Użyj starego szyfrowania PFX.
-out columnlist	Lista kolumn rozdzielonych przecinkami.
-p password	Password
-pin PIN	Numer PIN karty inteligentnej.
-policyserver URLorID	Adres URL lub identyfikator serwera zasad. W przypadku zaznaczenia opcji U/I użyj polecenia `-policyserver`. W przypadku wszystkich serwerów zasad użyj polecenia `-policyserver *`
-privatekey	Wyświetl hasło i dane klucza prywatnego.
-protect	Ochrona kluczy przy użyciu hasła.
-protectto SAMnameandSIDlist	Rozdzielona przecinkami nazwa SAM/lista SID.
-restrict restrictionlist	Lista ograniczeń rozdzielonych przecinkami. Każde ograniczenie składa się z nazwy kolumny, operatora relacyjnego i stałej liczby całkowitej, ciągu lub daty. Jedna nazwa kolumny może być poprzedzona znakiem plus lub minus, aby wskazać kolejność sortowania. Na przykład: `requestID = 47`, `+requestername >= a, requestername`lub `-requestername > DOMAIN, Disposition = 21`.
-reverse	Odwrotne kolumny dzienników i kolejek.
-seconds	Wyświetlanie czasów użycia sekund i milisekund.
-service	Użyj magazynu certyfikatów usługi.
-sid	Numeric SID: 22 - System lokalny 23 - Serwis lokalny 24 - Usługa sieciowa
-silent	Użyj flagi `silent` , aby uzyskać kontekst kryptografii.
-split	Podziel osadzone elementy ASN.1 i zapisz je w plikach.
-sslpolicy servername	Zasady SSL pasujące do nazwy serwera.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nazwa algorytmu klucza symetrycznego z opcjonalną długością klucza. Na przykład: `AES,128` lub `3DES`.
-syncWithWU DestinationDir	Synchronizacja z usługą Windows Update.
-t timeout	Limit czasu pobierania adresu URL w milisekundach.
-Unicode	Zapisywanie przekierowanych danych wyjściowych w formacie Unicode.
-UnicodeText	Zapisz plik wyjściowy w formacie Unicode.
-urlfetch	Pobierz i zweryfikuj certyfikaty AIA i listy CRL cdP.
-user	Użyj kluczy HKEY_CURRENT_USER lub magazynu certyfikatów.
-username username	Użyj nazwanego konta dla poświadczeń PROTOKOŁU SSL. W przypadku interfejsu użytkownika wyboru użyj polecenia `-username`.
-ut	Wyświetlanie szablonów użytkowników.
-v	Podaj bardziej szczegółowe (pełne) informacje.
-v1	Użyj interfejsów w wersji 1.

Algorytmy wyznaczania skrótu: MD2 MD4 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Aby uzyskać więcej przykładów użycia tego polecenia, zobacz następujące artykuły:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-08-16

Udostępnij za pomocą

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA