certutil

2025-05-08
Dotyczy: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Ostrzeżenie

Certutil nie zaleca się użycia w żadnym kodzie produkcyjnym i nie zapewnia żadnych gwarancji dotyczących obsługi witryn na żywo ani zgodności aplikacji. Jest to narzędzie używane przez deweloperów i administratorów IT do wyświetlania informacji o zawartości certyfikatu na urządzeniach.

Certutil.exe jest programem wiersza polecenia zainstalowanym w ramach usług certyfikatów. Można użyć certutil.exe do wyświetlania informacji o konfiguracji urzędu certyfikacji, konfigurowania usług certyfikatów oraz tworzenia kopii zapasowych i przywracania składników urzędu certyfikacji. Program weryfikuje również certyfikaty, pary kluczy i łańcuchy certyfikatów.

Jeśli certutil jest uruchamiany w urzędzie certyfikacji bez innych parametrów, wyświetla bieżącą konfigurację urzędu certyfikacji. Jeśli certutil polecenie jest uruchamiane w urzędzie innym niż urząd certyfikacji bez innych parametrów, polecenie domyślnie uruchamia certutil -dump polecenie . Nie wszystkie wersje narzędzia certutil zawierają wszystkie parametry i opcje opisane w tym dokumencie. Możesz zobaczyć, jakie opcje udostępnia Twoja wersja narzędzia certutil, uruchamiając polecenie certutil -? lub certutil <parameter> -?.

Wskazówka

Aby wyświetlić pełną pomoc dotyczącą wszystkich zleceń i opcji narzędzia certutil, w tym tych, które są ukryte przed argumentem -? , uruchom polecenie certutil -v -uSAGE. W przełączniku uSAGE jest rozróżniana wielkość liter.

Parametry

-dump

Zrzuty informacji o konfiguracji lub plików.

certutil [options] [-dump]
certutil [options] [-dump] File

Opcje:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Zrzuty struktury PFX.

certutil [options] [-dumpPFX] File

Opcje:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analizuje i wyświetla zawartość pliku przy użyciu składni abstrakcyjnej notacji składni (ASN.1). Typy plików obejmują . CER, . Pliki sformatowane DER i PKCS #7.

certutil [options] -asn File [type]

[type]: typ dekodowania liczbowego CRYPT_STRING_*

-decodehex

Dekoduje plik zakodowany w formacie szesnastkowym.

certutil [options] -decodehex InFile OutFile [type]

[type]: typ dekodowania liczbowego CRYPT_STRING_*

Opcje:

[-f]

-encodehex

Koduje plik w formacie szesnastkowym.

certutil [options] -encodehex InFile OutFile [type]

[type]: typ kodowania liczbowy CRYPT_STRING_*

Opcje:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Dekoduje plik zakodowany w formacie Base64.

certutil [options] -decode InFile OutFile

Opcje:

[-f]

-encode

Koduje plik do base64.

certutil [options] -encode InFile OutFile

Opcje:

[-f] [-unicodetext]

-deny

Odrzuca oczekujące żądanie.

certutil [options] -deny RequestId

Opcje:

[-config Machine\CAName]

-resubmit

Ponownie przesyła oczekujące żądanie.

certutil [options] -resubmit RequestId

Opcje:

[-config Machine\CAName]

-setattributes

Ustawia atrybuty oczekującego żądania certyfikatu.

certutil [options] -setattributes RequestId AttributeString

Gdzie:

RequestId to numeryczny identyfikator żądania oczekującego żądania.
AttributeString to nazwa atrybutu żądania i pary wartości.

Opcje:

[-config Machine\CAName]

Uwagi

Nazwy i wartości muszą być oddzielone dwukropkami, podczas gdy wiele nazw i par wartości musi być oddzielonych znakiem nowego wiersza. Na przykład: CertificateTemplate:User\nEMail:User@Domain.com gdzie \n sekwencja jest konwertowana na separator nowego wiersza.

-setextension

Ustaw rozszerzenie dla oczekującego żądania certyfikatu.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Gdzie:

requestID to numeryczny identyfikator żądania dla oczekującego żądania.
ExtensionName to ciąg ObjectId rozszerzenia.
Flagi ustawia priorytet rozszerzenia. 0 jest zalecane, podczas gdy 1 ustawia rozszerzenie na krytyczne, 2 wyłącza rozszerzenie i 3 wykonuje oba te czynności.

Opcje:

[-config Machine\CAName]

Uwagi

Jeśli ostatni parametr jest numeryczny, jest on traktowany jako długi.
Jeśli ostatni parametr można przeanalizować jako datę, jest on traktowany jako data.
Jeśli ostatni parametr zaczyna się od \@, pozostała część tokenu jest traktowana jako nazwa pliku z danymi binarnymi lub zrzutem szesnastkowym ASCII-tekst.
Jeśli ostatni parametr jest czymkolwiek innym, jest traktowany jako ciąg.

-revoke

Odwołuje certyfikat.

certutil [options] -revoke SerialNumber [Reason]

Gdzie:

Numer seryjny to rozdzielona przecinkami lista numerów seryjnych certyfikatu do odwołania.
Przyczyną jest liczbowa lub symboliczna reprezentacja przyczyny odwołania, w tym:
- 0. CRL_REASON_UNSPECIFIED — nieokreślony (ustawienie domyślne)
- 1. CRL_REASON_KEY_COMPROMISE — naruszenie klucza
- 2. CRL_REASON_CA_COMPROMISE — naruszenie zabezpieczeń urzędu certyfikacji
- 3. CRL_REASON_AFFILIATION_CHANGED — Przynależność została zmieniona
- 4. CRL_REASON_SUPERSEDED — zastąpione
- 5. CRL_REASON_CESSATION_OF_OPERATION - Zaprzestanie działalności
- 6. CRL_REASON_CERTIFICATE_HOLD — blokada certyfikatu
- 8. CRL_REASON_REMOVE_FROM_CRL — usuwanie z listy CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN — wycofanie uprawnień
- 10: CRL_REASON_AA_COMPROMISE — naruszenie zabezpieczeń usługi AA
- -1. Odwołowywanie - Cofa odwołania

Opcje:

[-config Machine\CAName]

-isvalid

Wyświetla dyspozycję bieżącego certyfikatu.

certutil [options] -isvalid SerialNumber | CertHash

Opcje:

[-config Machine\CAName]

-getconfig

Pobiera domyślny ciąg konfiguracji.

certutil [options] -getconfig

Opcje:

[-idispatch] [-config Machine\CAName]

-getconfig2

Pobiera domyślny ciąg konfiguracji za pośrednictwem aplikacji ICertGetConfig.

certutil [options] -getconfig2

Opcje:

[-idispatch]

-getconfig3

Pobiera konfigurację za pośrednictwem aplikacji ICertConfig.

certutil [options] -getconfig3

Opcje:

[-idispatch]

-ping

Próbuje skontaktować się z interfejsem żądania usług certyfikatów Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Gdzie:

CAMachineList to rozdzielona przecinkami lista nazw maszyn urzędu certyfikacji. W przypadku pojedynczej maszyny użyj przecinka zakończenia. Ta opcja wyświetla również koszt lokacji dla każdej maszyny urzędu certyfikacji.

Opcje:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Próbuje skontaktować się z interfejsem administracyjnym usług certyfikatów Active Directory.

certutil [options] -pingadmin

Opcje:

[-config Machine\CAName]

-CAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Gdzie:

InfoName wskazuje właściwość urzędu certyfikacji do wyświetlenia na podstawie następującej składni argumentu infoname:
- * — Wyświetla wszystkie właściwości
- reklamy — serwer zaawansowany
- aia [Index] — adresy URL AIA
- cdp [Index] — adresy URL cdP
- Certyfikat [Index] — certyfikat urzędu certyfikacji
- certchain [Index] — łańcuch certyfikatów urzędu certyfikacji
- certcount — liczba certyfikatów urzędu certyfikacji
- certcrlchain [Index] — łańcuch certyfikatów urzędu certyfikacji z listami CRL
- certstate [Index] — certyfikat urzędu certyfikacji
- certstatuscode [Index] — stan weryfikacji certyfikatu urzędu certyfikacji
- certversion [Index] — wersja certyfikatu urzędu certyfikacji
- Lista CRL [Indeks] — podstawowa lista CRL
- crlstate [Index] — lista CRL
- crlstatus [Index] — stan publikowania listy CRL
- cross- [Index] — certyfikat między poprzednimi wersjami
- cross+ [Index] — przekazywanie certyfikatu krzyżowego
- crossstate — [Indeks] — certyfikat między poprzednimi wersjami
- crossstate+ [Index] — przekazywanie certyfikatu krzyżowego
- deltacrl [Index] — delta CRL
- deltacrlstatus [Index] — stan publikowania listy CRL różnicowej
- dns — nazwa DNS
- dsname — krótka nazwa sanitized urzędu certyfikacji (nazwa DS)
- error1 ErrorCode — tekst komunikatu o błędzie
- error2 ErrorCode — tekst komunikatu o błędzie i kod błędu
- exit [Index] — opis modułu zakończenia
- exitcount — liczba modułów zakończenia
- plik — wersja pliku
- informacje — informacje o urzędach certyfikacji
- kra [Index] — certyfikat KRA
- kracount — liczba certyfikatów KRA
- krastate [Index] — certyfikat KRA
- kraused — liczba użytych certyfikatów KRA
- localename — nazwa ustawień regionalnych urzędu certyfikacji
- name — nazwa urzędu certyfikacji
- ocsp [Index] — adresy URL OCSP
- nadrzędny — nadrzędny urząd certyfikacji
- policy — opis modułu zasad
- product — wersja produktu
- propidmax — maksymalny identyfikator PropId urzędu certyfikacji
- role — separacja ról
- sanitizedname — nazwa oczyszczonego urzędu certyfikacji
- folder udostępniony — folder udostępniony
- subjecttemplateoids — identyfikatory OID szablonu tematu
- szablony — szablony
- type — typ urzędu certyfikacji
- xchg [Index] — certyfikat wymiany urzędu certyfikacji
- xchgchain [Index] — łańcuch certyfikatów wymiany urzędu certyfikacji
- xchgcount — liczba certyfikatów wymiany urzędu certyfikacji
- xchgcrlchain [Index] — łańcuch certyfikatów wymiany urzędu certyfikacji z listami CRL
indeks jest opcjonalnym indeksem właściwości opartym na zera.
errorcode to kod błędu liczbowego.

Opcje:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Wyświetla informacje o typie właściwości urzędu certyfikacji.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opcje:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Pobiera certyfikat dla urzędu certyfikacji.

certutil [options] -ca.cert OutCACertFile [Index]

Gdzie:

OutCACertFile to plik wyjściowy.
Indeks to indeks odnawiania certyfikatu urzędu certyfikacji (domyślnie jest używany do najnowszych).

Opcje:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Pobiera łańcuch certyfikatów dla urzędu certyfikacji.

certutil [options] -ca.chain OutCACertChainFile [Index]

Gdzie:

OutCACertChainFile jest plikiem wyjściowym.
Indeks to indeks odnawiania certyfikatu urzędu certyfikacji (domyślnie jest używany do najnowszych).

Opcje:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Pobiera listę odwołania certyfikatów (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Gdzie:

Indeks to indeks listy CRL lub indeks klucza (domyślnie lista CRL dla ostatniego klucza).
delta to delta CRL (domyślna jest podstawowa lista CRL).

Opcje:

[-f] [-split] [-config Machine\CAName]

-CRL

Publikuje nowe listy odwołania certyfikatów (CRL) lub różnicowe listy CRL.

certutil [options] -CRL [dd:hh | republish] [delta]

Gdzie:

dd:hh to nowy okres ważności listy CRL w dniach i godzinach.
Opublikuj ponownie najnowsze listy CRL.
funkcja delta publikuje tylko różnicowe listy CRL (wartość domyślna to podstawowe i różnicowe listy CRL).

Opcje:

[-split] [-config Machine\CAName]

-shutdown

Zamyka usługi certyfikatów Active Directory.

certutil [options] -shutdown

Opcje:

[-config Machine\CAName]

-installCert

Instaluje certyfikat urzędu certyfikacji.

certutil [options] -installCert [CACertFile]

Opcje:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Odnawia certyfikat urzędu certyfikacji.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opcje:

[-f] [-silent] [-config Machine\CAName]

Użyj polecenia -f , aby zignorować zaległe żądanie odnowienia i wygenerować nowe żądanie.

-schema

Zrzuty schematu certyfikatu.

certutil [options] -schema [Ext | Attrib | CRL]

Gdzie:

Domyślnie polecenie to tabela Request (Żądanie) i Certificate (Certyfikat).
Ext to tabela rozszerzeń.
Atrybut jest tabelą atrybutów.
Lista CRL jest tabelą listy CRL.

Opcje:

[-split] [-config Machine\CAName]

-view

Zrzuty widoku certyfikatu.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Gdzie:

Kolejka zrzutuje określoną kolejkę żądań.
Zrzuty dziennika wystawionych lub odwołanych certyfikatów oraz wszelkie żądania, które zakończyły się niepowodzeniem.
LogFail zrzuty żądań, które zakończyły się niepowodzeniem.
Odwołane zrzuty odwołanych certyfikatów.
Ext zrzuty tabeli rozszerzenia.
Attrib zrzutuje tabelę atrybutów.
Listy CRL zrzuty tabeli listy CRL.
Plik csv udostępnia dane wyjściowe przy użyciu wartości rozdzielanych przecinkami.

Opcje:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Uwagi

Aby wyświetlić kolumnę StatusCode dla wszystkich wpisów, wpisz -out StatusCode
Aby wyświetlić wszystkie kolumny dla ostatniego wpisu, wpisz: -restrict RequestId==$
Aby wyświetlić identyfikator żądania i dyspozycję dla trzech żądań, wpisz: -restrict requestID>=37,requestID<40 -out requestID,disposition
Aby wyświetlić identyfikatory wierszy i numery listy CRL dla wszystkich podstawowych list CRL, wpisz: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Aby wyświetlić podstawowy numer listy CRL 3, wpisz: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Aby wyświetlić całą tabelę listy CRL, wpisz: CRL
Służy Date[+|-dd:hh] do ograniczeń daty.
Użyj now+dd:hh dla daty względem bieżącej godziny.
Szablony zawierają rozszerzone użycie kluczy (EKU), które są identyfikatorami obiektów (OID), które opisują sposób używania certyfikatu. Certyfikaty nie zawsze zawierają nazwy pospolite szablonu ani nazwy wyświetlane, ale zawsze zawierają EKU szablonu. EKU dla określonego szablonu certyfikatu można wyodrębnić z usługi Active Directory, a następnie ograniczyć widoki na podstawie tego rozszerzenia.

-db

Zrzuty nieprzetworzonej bazy danych.

certutil [options] -db

Opcje:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Usuwa wiersz z bazy danych serwera.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Gdzie:

Żądanie usuwa żądania, które zakończyły się niepowodzeniem i oczekujące na podstawie daty przesłania.
Certyfikat usuwa wygasłe i odwołane certyfikaty na podstawie daty wygaśnięcia.
Ext usuwa tabelę rozszerzeń.
Attrib usuwa tabelę atrybutów.
Lista CRL usuwa tabelę listy CRL.

Opcje:

[-f] [-config Machine\CAName]

Przykłady

Aby usunąć żądania nie powiodły się i oczekujące do 22 stycznia 2001 r., wpisz: 1/22/2001 request
Aby usunąć wszystkie certyfikaty, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 cert
Aby usunąć wiersz certyfikatu, atrybuty i rozszerzenia dla identyfikatora RequestID 37, wpisz: 37
Aby usunąć listy CRL, które wygasły do 22 stycznia 2001 r., wpisz: 1/22/2001 crl

Uwaga / Notatka

Data oczekuje formatu mm/dd/yyyy , a nie dd/mm/yyyy, na przykład 1/22/200122/1/2001 22 stycznia 2001 r. Jeśli serwer nie jest skonfigurowany z ustawieniami regionalnymi Stanów Zjednoczonych, użycie argumentu Date może spowodować nieoczekiwane wyniki.

-backup

Wykonuje kopię zapasową usług certyfikatów Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Gdzie:

BackupDirectory to katalog do przechowywania danych kopii zapasowej.
Przyrostowe wykonuje tylko przyrostową kopię zapasową (wartość domyślna to pełna kopia zapasowa).
Funkcja KeepLog zachowuje pliki dziennika bazy danych (ustawieniem domyślnym jest obcięcie plików dziennika).

Opcje:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Wykonuje kopię zapasową bazy danych usług certyfikatów Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Gdzie:

BackupDirectory to katalog do przechowywania kopii zapasowych plików bazy danych.
Przyrostowe wykonuje tylko przyrostową kopię zapasową (wartość domyślna to pełna kopia zapasowa).
Funkcja KeepLog zachowuje pliki dziennika bazy danych (ustawieniem domyślnym jest obcięcie plików dziennika).

Opcje:

[-f] [-config Machine\CAName]

-backupkey

Wykonuje kopię zapasową certyfikatu usług certyfikatów Active Directory i klucza prywatnego.

certutil [options] -backupkey BackupDirectory

Gdzie:

BackupDirectory to katalog do przechowywania kopii zapasowej pliku PFX.

Opcje:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Przywraca usługi certyfikatów Active Directory.

certutil [options] -restore BackupDirectory

Gdzie:

BackupDirectory to katalog zawierający dane do przywrócenia.

Opcje:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Przywraca bazę danych usług certyfikatów Active Directory.

certutil [options] -restoredb BackupDirectory

Gdzie:

BackupDirectory to katalog zawierający pliki bazy danych do przywrócenia.

Opcje:

[-f] [-config Machine\CAName]

-restorekey

Przywraca certyfikat usług certyfikatów Active Directory i klucz prywatny.

certutil [options] -restorekey BackupDirectory | PFXFile

Gdzie:

BackupDirectory to katalog zawierający plik PFX do przywrócenia.
Plik PFXFile jest plikiem PFX, który ma zostać przywrócony.

Opcje:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Eksportuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to token dopasowania certyfikatu lub listy CRL.
PFXFile to plik PFX do wyeksportowania.
Modyfikatory są listą rozdzielaną przecinkami, która może zawierać co najmniej jedną z następujących wartości:
- CryptoAlgorithm = określa algorytm kryptograficzny używany do szyfrowania pliku PFX, takiego jak TripleDES-Sha1 lub Aes256-Sha256.
- EncryptCert — szyfruje klucz prywatny skojarzony z certyfikatem przy użyciu hasła.
- ExportParameters -Exports parametrów klucza prywatnego oprócz certyfikatu i klucza prywatnego.
- ExtendedProperties — obejmuje wszystkie właściwości rozszerzone skojarzone z certyfikatem w pliku wyjściowym.
- NoEncryptCert — eksportuje klucz prywatny bez szyfrowania go.
- NoChain — nie importuje łańcucha certyfikatów.
- NoRoot — nie importuje certyfikatu głównego.

-importPFX

Importuje certyfikaty i klucze prywatne. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
PLIK PFX jest plikiem PFX, który ma zostać zaimportowany.
Modyfikatory są listą rozdzielaną przecinkami, która może zawierać co najmniej jedną z następujących wartości:
- AT_KEYEXCHANGE — zmienia element keyspec na wymianę kluczy.
- AT_SIGNATURE — zmienia element keyspec na podpis.
- ExportEncrypted — eksportuje klucz prywatny skojarzony z certyfikatem z szyfrowaniem haseł.
- FriendlyName= — określa przyjazną nazwę zaimportowanego certyfikatu.
- KeyDescription= — określa opis klucza prywatnego skojarzonego z zaimportowanym certyfikatem.
- KeyFriendlyName= — określa przyjazną nazwę klucza prywatnego skojarzonego z zaimportowanym certyfikatem.
- NoCert — nie importuje certyfikatu.
- NoChain — nie importuje łańcucha certyfikatów.
- NoExport — sprawia, że klucz prywatny jest nieeksportowalny.
- NoProtect — nie chroni kluczy hasłem przy użyciu hasła.
- NoRoot — nie importuje certyfikatu głównego.
- Pkcs8 — używa formatu PKCS8 dla klucza prywatnego w pliku PFX.
- Ochrona — chroni klucze przy użyciu hasła.
- ProtectHigh — określa, że hasło o wysokim poziomie zabezpieczeń musi być skojarzone z kluczem prywatnym.
- VSM — przechowuje klucz prywatny skojarzony z zaimportowanym certyfikatem w kontenerze wirtualnej karty inteligentnej (VSC).

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Uwagi

Domyślnie jest to magazyn maszyn osobistych.

-dynamicfilelist

Wyświetla listę plików dynamicznych.

certutil [options] -dynamicfilelist

Opcje:

[-config Machine\CAName]

-databaselocations

Wyświetla lokalizacje bazy danych.

certutil [options] -databaselocations

Opcje:

[-config Machine\CAName]

-hashfile

Generuje i wyświetla skrót kryptograficzny dla pliku.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Zrzuty magazynu certyfikatów.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów. Przykład:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to token dopasowania certyfikatu lub listy CRL. Ten identyfikator może być następujący:
- Numer seryjny
- Certyfikat SHA-1
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Klucz publiczny
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- Adres e-mail
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z tych identyfikatorów może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

Przykład:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Uwaga / Notatka

Problemy z wydajnością są obserwowane podczas korzystania z parametru -store podanego w tych dwóch aspektach:

Gdy liczba certyfikatów w magazynie przekracza 10.
Po określeniu identyfikatora CertId jest on używany do dopasowania wszystkich wymienionych typów dla każdego certyfikatu. Jeśli na przykład zostanie podany numer seryjny , będzie on również próbował dopasować wszystkie inne wymienione typy.

Jeśli martwisz się o problemy z wydajnością, zalecane są polecenia programu PowerShell, w których będą one zgodne tylko z określonym typem certyfikatu.

-enumstore

Wylicza magazyny certyfikatów.

certutil [options] -enumstore [\\MachineName]

Gdzie:

MachineName to nazwa maszyny zdalnej.

Opcje:

[-enterprise] [-user] [-grouppolicy]

-addstore

Dodaje certyfikat do magazynu. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -addstore CertificateStoreName InFile

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
InFile to plik certyfikatu lub listy CRL, który chcesz dodać do magazynu.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Usuwa certyfikat z magazynu. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -delstore CertificateStoreName certID

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to token dopasowania certyfikatu lub listy CRL.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Weryfikuje certyfikat w magazynie. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -verifystore CertificateStoreName [CertId]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
CertId to token dopasowania certyfikatu lub listy CRL.

Opcje:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Naprawia skojarzenie klucza lub aktualizowanie właściwości certyfikatu lub deskryptora zabezpieczeń klucza. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów.
CertIdList to rozdzielona przecinkami lista tokenów dopasowania certyfikatu lub listy CRL. Aby uzyskać więcej informacji, zobacz opis identyfikatora -store CertId w tym artykule.

PropertyInfFile to plik INF zawierający właściwości zewnętrzne, w tym:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Zrzuty magazynu certyfikatów. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów. Przykład:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to token dopasowania certyfikatu lub listy CRL. Może to być:
- Numer seryjny
- Certyfikat SHA-1
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Klucz publiczny
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- Adres e-mail
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

Przykład:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Usuwa certyfikat z magazynu.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Gdzie:

CertificateStoreName to nazwa magazynu certyfikatów. Przykład:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId to token dopasowania certyfikatu lub listy CRL. Może to być:
- Numer seryjny
- Certyfikat SHA-1
- Skrót listy CRL, listy CTL lub klucza publicznego
- Indeks certyfikatu liczbowego (0, 1 itd.)
- Numeryczny indeks listy CRL (.0, .1 itd.)
- Numeryczny indeks CTL (.. 0, .. 1 itd.)
- Klucz publiczny
- Identyfikator objectid podpisu lub rozszerzenia
- Nazwa pospolita podmiotu certyfikatu
- Adres e-mail
- Nazwa UPN lub nazwa DNS
- Nazwa kontenera klucza lub nazwa dostawcy CSP
- Nazwa szablonu lub Identyfikator obiektu
- Identyfikator objectId zasad EKU lub zasad aplikacji
- Nazwa pospolita wystawcy listy CRL.

Wiele z nich może spowodować wiele dopasowań.

OutputFile to plik używany do zapisywania pasujących certyfikatów.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Opcja -user uzyskuje dostęp do magazynu użytkowników zamiast magazynu maszynowego.
Opcja -enterprise uzyskuje dostęp do magazynu przedsiębiorstwa maszyny.
Opcja -service uzyskuje dostęp do magazynu usług maszynowych.
Opcja -grouppolicy uzyskuje dostęp do magazynu zasad grupy maszyn.

Przykład:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Wywołuje interfejs certutil.

certutil [options] -UI File [import]

-TPMInfo

Wyświetla informacje o module zaufanej platformy.

certutil [options] -TPMInfo

Opcje:

[-f] [-Silent] [-split]

-attest

Określa, że plik żądania certyfikatu powinien być testowany.

certutil [options] -attest RequestFile

Opcje:

[-user] [-Silent] [-split]

-getcert

Wybiera certyfikat z wybranego interfejsu użytkownika.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opcje:

[-Silent] [-split]

-ds

Wyświetla nazwy wyróżniające usługi katalogowej (DS).

certutil [options] -ds [CommonName]

Opcje:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Usuwa nazwy DN ds.

certutil [options] -dsDel [CommonName]

Opcje:

[-user] [-split] [-dc DCName]

-dsPublish

Publikuje certyfikat lub listę odwołania certyfikatów (CRL) w usłudze Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Gdzie:

CertFile to nazwa pliku certyfikatu do opublikowania.
NTAuthCA publikuje certyfikat w magazynie DS Enterprise.
RootCA publikuje certyfikat w zaufanym magazynie głównym ds.
SubCA publikuje certyfikat urzędu certyfikacji do obiektu urzędu certyfikacji DS.
CrossCA publikuje krzyżowy certyfikat do obiektu urzędu certyfikacji DS.
Kra publikuje certyfikat w obiekcie agenta odzyskiwania kluczy DS.
Użytkownik publikuje certyfikat w obiekcie User DS.
Maszyna publikuje certyfikat w obiekcie Machine DS.
Plik CRLfile jest nazwą pliku listy CRL do opublikowania.
DSCDPContainer to cn kontenera DS CDP, zazwyczaj nazwa komputera urzędu certyfikacji.
DSCDPCN to obiekt CDP DS oparty na oczyszczonej nazwie i indeksie klucza urzędu certyfikacji.

Opcje:

[-f] [-user] [-dc DCName]

Użyj -f polecenia , aby utworzyć nowy obiekt DS.

-dsCert

Wyświetla certyfikaty DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opcje:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Wyświetla listy CRL ds.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opcje:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Wyświetla różnicowe listy CRL platformy DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opcje:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Wyświetla atrybuty szablonu DS.

certutil [options] -dsTemplate [Template]

Opcje:

[Silent] [-dc DCName]

-dsAddTemplate

Dodaje szablony DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opcje:

[-dc DCName]

-ADTemplate

Wyświetla szablony usługi Active Directory.

certutil [options] -ADTemplate [Template]

Opcje:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Wyświetla szablony zasad rejestracji certyfikatów.

Opcje:

certutil [options] -Template [Template]

Opcje:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Przedstawia urzędy certyfikacji dla szablonu certyfikatu.

certutil [options] -TemplateCAs Template

Opcje:

[-f] [-user] [-dc DCName]

-CATemplates

Wyświetla szablony urzędu certyfikacji.

certutil [options] -CATemplates [Template]

Opcje:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Ustawia szablony certyfikatów, które może wystawiać urząd certyfikacji.

certutil [options] -SetCATemplates [+ | -] TemplateList

Gdzie:

Znak + dodaje szablony certyfikatów do listy dostępnych szablonów urzędu certyfikacji.
Znak - usuwa szablony certyfikatów z listy dostępnych szablonów urzędu certyfikacji.

-SetCASites

Zarządza nazwami witryn, w tym ustawianiem, weryfikowaniem i usuwaniem nazw witryn urzędu certyfikacji.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Gdzie:

Nazwa witryny jest dozwolona tylko w przypadku określania wartości docelowej dla pojedynczego urzędu certyfikacji.

Opcje:

[-f] [-config Machine\CAName] [-dc DCName]

Uwagi

Opcja jest przeznaczona dla jednego urzędu certyfikacji (wartość domyślna -config to wszystkie urzędy certyfikacji).
Za -f pomocą tej opcji można zastąpić błędy walidacji dla określonej nazwy witryny lub usunąć wszystkie nazwy witryn urzędu certyfikacji.

Uwaga / Notatka

Aby uzyskać więcej informacji na temat konfigurowania urzędów certyfikacji na potrzeby rozpoznawania lokacji usług Active Directory Domain Services (AD DS), zobacz Ad DS Site Awareness for AD CS and PKI clients (Rozpoznawanie lokacji usług AD DS dla klientów usług AD CS i PKI).

-enrollmentServerURL

Wyświetla, dodaje lub usuwa adresy URL serwera rejestracji skojarzone z urzędem certyfikacji.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Gdzie:

AuthenticationType określa jedną z następujących metod uwierzytelniania klienta podczas dodawania adresu URL:
- Kerberos — użyj poświadczeń protokołu SSL protokołu Kerberos.
- UserName — użyj nazwanego konta dla poświadczeń PROTOKOŁU SSL.
- ClientCertificate — użyj poświadczeń PROTOKOŁU SSL certyfikatu X.509.
- Anonimowe — użyj anonimowych poświadczeń SSL.
Usunięcie usuwa określony adres URL skojarzony z urzędem certyfikacji.
Wartość domyślna priorytetu to 1 , jeśli nie zostanie określona podczas dodawania adresu URL.
Modyfikatory są listą rozdzielaną przecinkami, która zawiera co najmniej jedną z następujących wartości:
- AllowRenewalsOnly można przesyłać do tego urzędu certyfikacji tylko żądania odnowienia za pośrednictwem tego adresu URL.
- AllowKeyBasedRenewal umożliwia korzystanie z certyfikatu, który nie ma skojarzonego konta w usłudze AD. Dotyczy to tylko trybu ClientCertificate i AllowRenewalsOnly .

Opcje:

[-config Machine\CAName] [-dc DCName]

-ADCA

Wyświetla urzędy certyfikacji usługi Active Directory.

certutil [options] -ADCA [CAName]

Opcje:

[-f] [-split] [-dc DCName]

-CA

Wyświetla zasady rejestracji Urzędy certyfikacji.

certutil [options] -CA [CAName | TemplateName]

Opcje:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Wyświetla zasady rejestracji.

certutil [options] -Policy

Opcje:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Wyświetla lub usuwa wpisy pamięci podręcznej zasad rejestracji.

certutil [options] -PolicyCache [delete]

Gdzie:

Usunięcie usuwa wpisy pamięci podręcznej serwera zasad.
-f usuwa wszystkie wpisy pamięci podręcznej

Opcje:

[-f] [-user] [-policyserver URLorID]

-CredStore

Wyświetla, dodaje lub usuwa wpisy magazynu poświadczeń.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Gdzie:

Adres URL to docelowy adres URL. Można również użyć * polecenia , aby dopasować wszystkie wpisy lub https://machine* dopasować prefiks adresu URL.
Dodaj dodaje wpis magazynu poświadczeń. Użycie tej opcji wymaga również użycia poświadczeń SSL.
Usunięcie usuwa wpisy magazynu poświadczeń.
-f zastępuje pojedynczy wpis lub usuwa wiele wpisów.

Opcje:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instaluje domyślne szablony certyfikatów.

certutil [options] -InstallDefaultTemplates

Opcje:

[-dc DCName]

-URL

Weryfikuje adresy URL certyfikatu lub listy CRL.

certutil [options] -URL InFile | URL

Opcje:

[-f] [-split]

-URLCache

Wyświetla lub usuwa wpisy pamięci podręcznej adresu URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Gdzie:

Adres URL to buforowany adres URL.
Lista CRL jest uruchamiana tylko na wszystkich buforowanych adresach URL listy CRL.
* działa na wszystkich buforowanych adresach URL.
Usunięcie usuwa odpowiednie adresy URL z lokalnej pamięci podręcznej bieżącego użytkownika.
-f wymusza pobranie określonego adresu URL i zaktualizowanie pamięci podręcznej.

Opcje:

[-f] [-split]

-pulse

Impulsuje zdarzenie automatycznej rejestracji lub zadanie NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Gdzie:

TaskName to zadanie do wyzwolenia.
- Pregen to zadanie pregenu klucza NGC.
- AIKEnroll to zadanie rejestracji certyfikatu NGC AIK. (Domyślnie jest to zdarzenie automatycznej rejestracji).
SRKThumbprint to odcisk palca klucza głównego magazynu
Modyfikatory:
- Przedwzmacniacz
- Opóźnienie PregenDelay
- AIKEnroll (Biblioteka AIKEnroll)
- Polityka kryptowalutowa
- NgcPregenKey
- DIMSRoam (Moduły DIMSRoam)

Opcje:

[-user]

-MachineInfo

Wyświetla informacje o obiekcie maszyny usługi Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Wyświetla informacje o kontrolerze domeny. Domyślne wyświetla certyfikaty kontrolera domeny bez weryfikacji.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modyfikatory:
- Weryfikacja
- DeleteBad (UsuńZły)
- Usuńwszystkie

Opcje:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Wskazówka

Możliwość określenia domeny usług Domenowych Active Directory (AD DS) [domena] i określenia kontrolera domeny (-dc) została dodana w systemie Windows Server 2012. Aby pomyślnie uruchomić polecenie, należy użyć konta, które jest członkiem administratorów domeny lub administratorów przedsiębiorstwa. Modyfikacje zachowania tego polecenia są następujące:

Jeśli domena nie zostanie określona i określony kontroler domeny nie zostanie określony, ta opcja zwraca listę kontrolerów domeny do przetworzenia z domyślnego kontrolera domeny.
Jeśli domena nie zostanie określona, ale zostanie określony kontroler domeny, zostanie wygenerowany raport certyfikatów na określonym kontrolerze domeny.
Jeśli domena jest określona, ale kontroler domeny nie jest określony, lista kontrolerów domeny jest generowana wraz z raportami na temat certyfikatów dla każdego kontrolera domeny na liście.
Jeśli określono domenę i kontroler domeny, zostanie wygenerowana lista kontrolerów domeny z docelowego kontrolera domeny. Zostanie również wygenerowany raport certyfikatów dla każdego kontrolera domeny na liście.

Załóżmy na przykład, że istnieje domena o nazwie CPANDL z kontrolerem domeny o nazwie CPANDL-DC1. Możesz uruchomić następujące polecenie, aby pobrać listę kontrolerów domeny i ich certyfikatów z CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Wyświetla informacje o urzędzie certyfikacji przedsiębiorstwa.

certutil [options] -EntInfo DomainName\MachineName$

Opcje:

[-f] [-user]

-TCAInfo

Wyświetla informacje o urzędzie certyfikacji.

certutil [options] -TCAInfo [DomainDN | -]

Opcje:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Wyświetla informacje o karcie inteligentnej.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Gdzie:

CRYPT_DELETEKEYSET usuwa wszystkie klucze na karcie inteligentnej.

Opcje:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Zarządza certyfikatami głównymi kart inteligentnych.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opcje:

[-f] [-split] [-p Password]

-key

Wyświetla listę kluczy przechowywanych w kontenerze kluczy.

certutil [options] -key [KeyContainerName | -]

Gdzie:

KeyContainerName to nazwa kontenera klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj polecenia -user.
- Użycie znaku oznacza użycie domyślnego kontenera kluczy.

Opcje:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Usuwa nazwany kontener kluczy.

certutil [options] -delkey KeyContainerName

Opcje:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Usuwa kontener Windows Hello, usuwając wszystkie skojarzone poświadczenia przechowywane na urządzeniu, w tym wszystkie poświadczenia WebAuthn i FIDO.

Użytkownicy muszą wylogować się po użyciu tej opcji, aby ją ukończyć.

certutil [options] -DeleteHelloContainer

-verifykeys

Weryfikuje zestaw kluczy publicznych lub prywatnych.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Gdzie:

KeyContainerName to nazwa kontenera klucza do zweryfikowania. Ta opcja jest domyślnie ustawiona na klucze komputera. Aby przełączyć się na klucze użytkownika, użyj polecenia -user.
CaCertFile podpisuje lub szyfruje pliki certyfikatów.

Opcje:

[-f] [-user] [-Silent] [-config Machine\CAName]

Uwagi

Jeśli nie określono żadnych argumentów, każdy certyfikat urzędu certyfikacji podpisywania jest weryfikowany względem klucza prywatnego.
Tę operację można wykonać tylko względem lokalnego urzędu certyfikacji lub kluczy lokalnych.

-verify

Weryfikuje certyfikat, listę odwołania certyfikatów (CRL) lub łańcuch certyfikatów.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Gdzie:

CertFile to nazwa certyfikatu do zweryfikowania.
ApplicationPolicyList jest opcjonalną rozdzielaną przecinkami listą wymaganych identyfikatorów objectid zasad aplikacji.
WystawianiePolicyList jest opcjonalną rozdzielaną przecinkami listą wymaganych identyfikatorów objectid zasad wystawiania.
CACertFile to opcjonalny certyfikat wystawiający urząd certyfikacji do zweryfikowania.
CrossedCACertFile jest opcjonalnym certyfikatem certyfikowanym przez plik CertFile.
CRLFile to plik listy CRL używany do weryfikowania pliku CACertFile.
IssuedCertFile to opcjonalny wystawiony certyfikat objęty plikiem CRLfile.
DeltaCRLFile jest opcjonalnym plikiem listy CRL różnicowej.
Modyfikatory:
- Silna — silna weryfikacja podpisu
- MSRoot — musi połączyć łańcuch z katalogiem głównym firmy Microsoft
- MSTestRoot — musi połączyć łańcuch z katalogiem głównym testu firmy Microsoft
- AppRoot — musi łączyć się z katalogiem głównym aplikacji firmy Microsoft
- EV — wymuszanie rozszerzonych zasad walidacji

Opcje:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Uwagi

Użycie elementu ApplicationPolicyList ogranicza tworzenie łańcucha tylko do łańcuchów prawidłowych dla określonych zasad aplikacji.
Użycie elementu WystawianiePolicyList ogranicza tworzenie łańcucha tylko do łańcuchów prawidłowych dla określonych zasad wystawiania.
Użycie pliku CACertFile weryfikuje pola w pliku względem pliku CertFile lub CRLfile.
Jeśli nie określono pliku CACertFile , pełny łańcuch zostanie skompilowany i zweryfikowany względem pliku CertFile.
Jeśli parametr CACertFile i CrossedCACertFile są określone, pola w obu plikach są weryfikowane względem pliku CertFile.
Użycie elementu IssuedCertFile weryfikuje pola w pliku względem pliku CRLfile.
Za pomocą pliku DeltaCRLFile sprawdza pola w pliku względem pliku CertFile.

-verifyCTL

Weryfikuje certyfikaty AuthRoot lub Niedozwolone certyfikaty CTL.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Gdzie:

Obiekt CTLObject identyfikuje bibliotekę CTL do zweryfikowania, w tym:
- AuthRootWU odczytuje plik CAB AuthRoot i pasujące certyfikaty z pamięci podręcznej adresów URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
- DisallowedWU odczytuje plik CAB niedozwolonych certyfikatów i niedozwolony plik magazynu certyfikatów z pamięci podręcznej adresów URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
  - PinRulesWU odczytuje plik CAB PinRules z pamięci podręcznej adresów URL. Zamiast tego użyj polecenia -f , aby pobrać z usługi Windows Update.
- Element AuthRoot odczytuje buforowany rejestr AuthRoot CTL. Użyj polecenia i -f niezaufanego pliku CertFile , aby wymusić aktualizację w pamięci podręcznej rejestru AuthRoot i Niedozwolone listy CTL certyfikatów.
- Niedozwolone odczytuje buforowane w rejestrze listy CTL niedozwolone certyfikaty. Użyj polecenia i -f niezaufanego pliku CertFile , aby wymusić aktualizację w pamięci podręcznej rejestru AuthRoot i Niedozwolone listy CTL certyfikatów.
  - PinRules odczytuje rejestr buforowany PinRules CTL. Użycie -f ma takie samo zachowanie jak w przypadku funkcji PinRulesWU.
- CTLFileName określa plik lub ścieżkę http do pliku CTL lub CAB.
CertDir określa folder zawierający certyfikaty pasujące do wpisów CTL. Domyślnie jest to ten sam folder lub witryna internetowa co obiekt CTLobject. Użycie ścieżki folderu http wymaga separatora ścieżki na końcu. Jeśli nie określisz elementu AuthRoot lub niedozwolonego, wiele lokalizacji jest wyszukiwanych pod kątem pasujących certyfikatów, w tym lokalnych magazynów certyfikatów, crypt32.dll zasobów i lokalnej pamięci podręcznej adresów URL. Użyj -f polecenia , aby pobrać z usługi Windows Update zgodnie z potrzebami.
Plik CertFile określa certyfikaty do zweryfikowania. Certyfikaty są dopasowywane do wpisów CTL, wyświetlając wyniki. Ta opcja pomija większość domyślnych danych wyjściowych.

Opcje:

[-f] [-user] [-split]

-syncWithWU

Synchronizuje certyfikaty z usługą Windows Update.

certutil [options] -syncWithWU DestinationDir

Gdzie:

DestinationDir to określony katalog.
f wymusza zastąpienie.
Unicode zapisuje przekierowane dane wyjściowe w formacie Unicode.
gmt wyświetla czasy gmt jako GMT.
w sekundach są wyświetlane czasy z sekundami i milisekundami.
v jest operacją szczegółową.
Numer PIN to numer PIN karty inteligentnej.
WELL_KNOWN_SID_TYPE jest numerycznym identyfikatorem SID:
- 22 — System lokalny
- 23 — Usługa lokalna
- 24 — Usługa sieciowa

Uwagi

Następujące pliki są pobierane przy użyciu mechanizmu automatycznej aktualizacji:

authrootstl.cab zawiera listy CTL certyfikatów głównych innych niż Microsoft.
disallowedcertstl.cab zawiera listy CTL niezaufanych certyfikatów.
disallowedcert.sst zawiera serializowany magazyn certyfikatów, w tym niezaufane certyfikaty.
plik thumbprint.crt zawiera certyfikaty główne firmy innej niż Microsoft.

Na przykład certutil -syncWithWU \\server1\PKI\CTLs.

Jeśli jako folder docelowy używasz nieistnienej ścieżki lokalnej lub folderu, zostanie wyświetlony błąd: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Jeśli jako folderu docelowego używasz nieistniejących lub niedostępnych lokalizacji sieciowych, zostanie wyświetlony błąd: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Jeśli serwer nie może nawiązać połączenia za pośrednictwem portu TCP 80 z serwerami automatycznej aktualizacji firmy Microsoft, zostanie wyświetlony następujący błąd: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Jeśli serwer nie może nawiązać połączenia z serwerami automatycznej aktualizacji firmy Microsoft przy użyciu nazwy ctldl.windowsupdate.comDNS, zostanie wyświetlony następujący błąd: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Jeśli nie używasz przełącznika -f i którykolwiek z plików CTL już istnieje w katalogu, zostanie wyświetlony błąd: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Jeśli w zaufanych certyfikatach głównych zostanie zmieniona, zobaczysz: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opcje:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generuje plik magazynu synchronizowany z usługą Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Gdzie:

SSTFile to .sst plik, który ma zostać wygenerowany, który zawiera elementy główne innych firm pobrane z usługi Windows Update.

Opcje:

[-f] [-split]

-generatePinRulesCTL

Generuje plik listy zaufania certyfikatów (CTL), który zawiera listę reguł przypinania.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Gdzie:

XMLFile to wejściowy plik XML, który ma zostać przeanalizowany.
CTLFile to wyjściowy plik CTL, który ma zostać wygenerowany.
SSTFile to opcjonalny .sst plik do utworzenia, który zawiera wszystkie certyfikaty używane do przypinania.
QueryFilesPrefix to opcjonalne plikiDomains.csv i Keys.csv do utworzenia dla zapytania bazy danych.
- Ciąg QueryFilesPrefix jest poprzedzony każdym utworzonym plikiem.
- Plik Domains.csv zawiera nazwę reguły, wiersze domeny.
- Plik Keys.csv zawiera nazwę reguły, wiersze odcisku palca SHA256 klucza.

Opcje:

[-f]

-downloadOcsp

Pobiera odpowiedzi OCSP i zapisuje je w katalogu.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Gdzie:

CertificateDir to katalog plików certyfikatu, magazynu i PFX.
OcspDir to katalog do zapisywania odpowiedzi OCSP.
ThreadCount to opcjonalna maksymalna liczba wątków do równoczesnego pobierania. Wartość domyślna to 10.
Modyfikatory są rozdzielone przecinkami listy co najmniej jednej z następujących elementów:
- DownloadOnce — pobiera raz i kończy działanie.
- ReadOcsp — odczyty z OcspDir zamiast pisania.

-generateHpkpHeader

Generuje nagłówek HPKP przy użyciu certyfikatów w określonym pliku lub katalogu.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Gdzie:

CertFileOrDir to plik lub katalog certyfikatów, który jest źródłem pin-sha256.
MaxAge jest wartością maksymalnego wieku w sekundach.
Identyfikator ReportUri jest opcjonalnym identyfikatorem URI raportu.
Modyfikatory są rozdzielone przecinkami listy co najmniej jednej z następujących elementów:
- includeSubDomains — dołącza elementy includeSubDomains.

-flushCache

Opróżnia określone pamięci podręczne w wybranym procesie, na przykład lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Gdzie:

ProcessId to numeryczny identyfikator procesu do opróżnienia. Ustaw wartość 0 , aby opróżnić wszystkie procesy, w których włączono opróżnianie.
CacheMask to maska bitów pamięci podręcznych do opróżnienia liczbowego lub następujących bitów:
- 0: Tylko pokaz
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modyfikatory są rozdzielone przecinkami listy co najmniej jednej z następujących elementów:
- Pokaż — pokazuje opróżnione pamięci podręczne. Program Certutil musi zostać jawnie zakończony.

-addEccCurve

Dodaje krzywą ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Gdzie:

CurveClass to typ klasy krzywej ECC:
- WEIERSTRASS (ustawienie domyślne)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName to nazwa krzywej ECC.
CurveParameters są jednym z następujących elementów:
- Nazwa pliku certyfikatu zawierająca parametry zakodowane w formacie ASN.
- Plik zawierający parametry zakodowane w formacie ASN.
CurveOID to OID krzywej ECC i jest jednym z następujących elementów:
- Nazwa pliku certyfikatu zawierająca zakodowany w formacie ASN OID.
- Jawny OID krzywej ECC.
CurveType to punkt ECC Schannel NamedCurve point (numeryczny).

Opcje:

[-f]

-deleteEccCurve

Usuwa krzywą ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Gdzie:

CurveName to nazwa krzywej ECC.
CurveOID to OID krzywej ECC.

Opcje:

[-f]

-displayEccCurve

Wyświetla krzywą ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Gdzie:

CurveName to nazwa krzywej ECC.
CurveOID to OID krzywej ECC.

Opcje:

[-f]

-csplist

Wyświetla listę dostawców usług kryptograficznych zainstalowanych na tym komputerze na potrzeby operacji kryptograficznych.

certutil [options] -csplist [Algorithm]

Opcje:

[-user] [-Silent] [-csp Provider]

-csptest

Testuje dostawców CSP zainstalowanych na tym komputerze.

certutil [options] -csptest [Algorithm]

Opcje:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Wyświetla konfigurację kryptograficzną CNG na tym komputerze.

certutil [options] -CNGConfig

Opcje:

[-Silent]

-sign

Ponownie podpisuje listę odwołania certyfikatów (CRL) lub certyfikat.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Gdzie:

InFileList to rozdzielona przecinkami lista plików certyfikatu lub listy CRL do modyfikowania i ponownego podpisywania.
Numer seryjny to numer seryjny certyfikatu do utworzenia. Okres ważności i inne opcje nie mogą być obecne.
Lista CRL tworzy pustą listę CRL. Okres ważności i inne opcje nie mogą być obecne.
OutFileList to rozdzielona przecinkami lista zmodyfikowanych plików wyjściowych certyfikatu lub listy CRL. Liczba plików musi być zgodna z listą plików.
StartDate+dd:hh to nowy okres ważności dla plików certyfikatu lub listy CRL, w tym:
- opcjonalna data plus
- opcjonalny okres ważności dni i godzin, jeśli jest używanych wiele pól, użyj separatora (+) lub (-). Użyj polecenia now[+dd:hh] , aby rozpocząć od bieżącej godziny. Użyj now-dd:hh+dd:hh polecenia , aby rozpocząć od stałego przesunięcia od bieżącego czasu i stałego okresu ważności. Użyj polecenia never , aby nie mieć daty wygaśnięcia (tylko w przypadku list CRL).
SerialNumberList to rozdzielona przecinkami lista numerów seryjnych plików do dodania lub usunięcia.
ObjectIdList to rozdzielona przecinkami lista objectid rozszerzeń do usunięcia.

@ExtensionFile to plik INF zawierający rozszerzenia do aktualizacji lub usunięcia. Przykład:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm to nazwa algorytmu skrótu. Musi to być tylko tekst poprzedzony znakiem # .
AlternateSignatureAlgorithm to specyfikator alternatywnego algorytmu podpisu.

Opcje:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Uwagi

Użycie znaku minus (-) usuwa numery seryjne i rozszerzenia.
Za pomocą znaku plus (+) dodaje numery seryjne do listy CRL.
Możesz użyć listy, aby usunąć jednocześnie numery seryjne i identyfikatory ObjectId z listy CRL.
Użycie znaku minus przed ustawieniem AlternateSignatureAlgorithm umożliwia użycie starszego formatu podpisu.
Użycie znaku plus umożliwia użycie alternatywnego formatu podpisu.
Jeśli nie określisz wartości AlternateSignatureAlgorithm, zostanie użyty format podpisu w certyfikacie lub liście CRL.

-vroot

Tworzy lub usuwa wirtualne katalogi głównych sieci Web i udziały plików.

certutil [options] -vroot [delete]

-vocsproot

Tworzy lub usuwa wirtualne katalogi root sieci Web dla internetowego serwera proxy OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Dodaje aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Gdzie:

AddEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
- ClientCertificate używa poświadczeń PROTOKOŁU SSL certyfikatu X.509.
Modyfikatory:
- Ustawienie AllowRenewalsOnly zezwala tylko na przesyłanie żądań odnowienia do urzędu certyfikacji za pośrednictwem adresu URL.
- AllowKeyBasedRenewal umożliwia korzystanie z certyfikatu bez skojarzonego konta w usłudze Active Directory. Ma to zastosowanie w przypadku użycia z trybem ClientCertificate i AllowRenewalsOnly .

Opcje:

[-config Machine\CAName]

-deleteEnrollmentServer

Usuwa aplikację serwera rejestracji i pulę aplikacji, jeśli jest to konieczne dla określonego urzędu certyfikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Gdzie:

deleteEnrollmentServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem rejestracji certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
- ClientCertificate używa poświadczeń PROTOKOŁU SSL certyfikatu X.509.

Opcje:

[-config Machine\CAName]

-addPolicyServer

W razie potrzeby dodaj aplikację serwera zasad i pulę aplikacji. To polecenie nie instaluje plików binarnych ani pakietów.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Gdzie:

AddPolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
- ClientCertificate używa poświadczeń PROTOKOŁU SSL certyfikatu X.509.
KluczBasedRenewal umożliwia użycie zasad zwracanych do klienta zawierającego szablony keybasedrenewal. Ta opcja dotyczy tylko uwierzytelniania UserName i ClientCertificate .

-deletePolicyServer

W razie potrzeby usuwa aplikację serwera zasad i pulę aplikacji. To polecenie nie usuwa plików binarnych ani pakietów.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Gdzie:

deletePolicyServer wymaga użycia metody uwierzytelniania dla połączenia klienta z serwerem zasad certyfikatów, w tym:
- Protokół Kerberos używa poświadczeń PROTOKOŁU SSL protokołu Kerberos.
- UserName używa nazwanego konta dla poświadczeń PROTOKOŁU SSL.
- ClientCertificate używa poświadczeń PROTOKOŁU SSL certyfikatu X.509.
KluczBasedRenewal umożliwia korzystanie z serwera zasad KeyBasedRenewal.

-Class

Wyświetla informacje rejestru COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opcje:

[-f]

-7f

Sprawdza certyfikat pod kątem kodowania 0x7f długości.

certutil [options] -7f CertFile

-oid

Wyświetla identyfikator obiektu lub ustawia nazwę wyświetlaną.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Gdzie:

ObjectId to identyfikator, który ma być wyświetlany lub dodawany do nazwy wyświetlanej.
GroupId jest liczbą GroupID (dziesiętną), którą wyliczają identyfikatory ObjectId.
AlgId to szesnastkowy identyfikator, który obiekt objectID wyszukuje.
AlgorithmName to nazwa algorytmu, który wyszukuje identyfikator objectID.
DisplayName wyświetla nazwę do przechowywania w usługach DS.
Usunięcie usuwa nazwę wyświetlaną.
LanguageId to wartość identyfikatora języka (domyślnie bieżąca: 1033).
Typ to typ obiektu DS do utworzenia, w tym:
- 1 — Szablon (wartość domyślna)
- 2 - Zasady wystawiania
- 3 - Zasady aplikacji
-f tworzy obiekt DS.

Opcje:

[-f]

-error

Wyświetla tekst komunikatu skojarzony z kodem błędu.

certutil [options] -error ErrorCode

-getsmtpinfo

Pobiera informacje o protokole SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Ustawia informacje SMTP.

certutil [options] -setsmtpinfo LogonName

Opcje:

[-config Machine\CAName] [-p Password]

-getreg

Wyświetla wartość rejestru.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Gdzie:

Urząd certyfikacji używa klucza rejestru urzędu certyfikacji.
Przywracanie używa klucza rejestru przywracania urzędu certyfikacji.
zasady używają klucza rejestru modułu zasad.
Exit używa klucza rejestru pierwszego modułu zakończenia.
Szablon używa klucza rejestru szablonu (używanego -user dla szablonów użytkowników).
rejestracja używa klucza rejestru rejestracji (użyj -user go w kontekście użytkownika).
łańcuch używa klucza rejestru konfiguracji łańcucha.
Usługa PolicyServers używa klucza rejestru serwerów zasad.
ProgId używa identyfikatora ProgID zasad lub wyjścia modułu (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (użyj Name* parametru do dopasowania prefiksu).
wartość używa nowej wartości liczbowej, ciągu lub wartości rejestru dat lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.
Aliasy rejestru:
- Konfiguracja
- CA
- Zasady — zasadyModuły
- Exit — ExitModules
- Przywracanie — RestoreInProgress
- Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
- Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Software\Microsoft\Cryptography\MSCEP
- Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-setreg

Ustawia wartość rejestru.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Gdzie:

Urząd certyfikacji używa klucza rejestru urzędu certyfikacji.
Przywracanie używa klucza rejestru przywracania urzędu certyfikacji.
zasady używają klucza rejestru modułu zasad.
Exit używa klucza rejestru pierwszego modułu zakończenia.
Szablon używa klucza rejestru szablonu (używanego -user dla szablonów użytkowników).
rejestracja używa klucza rejestru rejestracji (użyj -user go w kontekście użytkownika).
łańcuch używa klucza rejestru konfiguracji łańcucha.
Usługa PolicyServers używa klucza rejestru serwerów zasad.
ProgId używa identyfikatora ProgID zasad lub wyjścia modułu (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (użyj Name* parametru do dopasowania prefiksu).
Wartość używa nowej wartości liczbowej, ciągu lub wartości rejestru dat lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.

-delreg

Usuwa wartość rejestru.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Gdzie:

Urząd certyfikacji używa klucza rejestru urzędu certyfikacji.
Przywracanie używa klucza rejestru przywracania urzędu certyfikacji.
zasady używają klucza rejestru modułu zasad.
Exit używa klucza rejestru pierwszego modułu zakończenia.
Szablon używa klucza rejestru szablonu (używanego -user dla szablonów użytkowników).
rejestracja używa klucza rejestru rejestracji (użyj -user go w kontekście użytkownika).
łańcuch używa klucza rejestru konfiguracji łańcucha.
Usługa PolicyServers używa klucza rejestru serwerów zasad.
ProgId używa identyfikatora ProgID zasad lub wyjścia modułu (nazwa podklucza rejestru).
RegistryValueName używa nazwy wartości rejestru (użyj Name* parametru do dopasowania prefiksu).
Wartość używa nowej wartości liczbowej, ciągu lub wartości rejestru dat lub nazwy pliku. Jeśli wartość liczbowa rozpoczyna się od + lub -, bity określone w nowej wartości są ustawiane lub czyszczone w istniejącej wartości rejestru.

Opcje:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Uwagi

Jeśli wartość ciągu rozpoczyna się od + wartości lub -, a istniejąca wartość jest wartością REG_MULTI_SZ , ciąg zostanie dodany lub usunięty z istniejącej wartości rejestru. Aby wymusić REG_MULTI_SZ utworzenie wartości, dodaj \n wartość na końcu ciągu.
Jeśli wartość zaczyna się od \@, pozostała część wartości to nazwa pliku zawierającego szesnastkowy tekst reprezentujący wartość binarną.
Jeśli nie odwołuje się do prawidłowego pliku, zamiast tego jest analizowana jako [Date][+|-][dd:hh] opcjonalna data plus lub minus opcjonalne dni i godziny.
Jeśli oba są określone, użyj separatora znaku plus (+) lub znaku minus (-). Użyj now+dd:hh dla daty względem bieżącej godziny.
Użyj i64 jako sufiksu, aby utworzyć wartość REG_QWORD.
Służy chain\chaincacheresyncfiletime @now do efektywnego opróżniania buforowanych list CRL.
Aliasy rejestru:
- Konfiguracja
- CA
- Zasady — zasadyModuły
- Exit — ExitModules
- Przywracanie — RestoreInProgress
- Szablon — Software\Microsoft\Cryptography\CertificateTemplateCache
- Rejestrowanie — Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP — Software\Microsoft\Cryptography\MSCEP
- Chain — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport — Software\Policies\Microsoft\PassportForWork
- MDM — Oprogramowanie\Microsoft\Policies\PassportForWork

-importKMS

Importuje klucze użytkownika i certyfikaty do bazy danych serwera na potrzeby archiwizacji kluczy.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Gdzie:

UserKeyAndCertFile to plik danych z kluczami prywatnymi użytkownika i certyfikatami, które mają być archiwizowane. Ten plik może być następujący:
- Plik eksportu serwera zarządzania kluczami programu Exchange (KMS).
- Plik PFX.
CertId to token dopasowania certyfikatu odszyfrowywania plików eksportu usługi KMS. Aby uzyskać więcej informacji, zobacz -store parametr w tym artykule.
-f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Opcje:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importuje plik certyfikatu do bazy danych.

certutil [options] -ImportCert Certfile [ExistingRow]

Gdzie:

ExistingRow importuje certyfikat zamiast oczekującego żądania dla tego samego klucza.
-f importuje certyfikaty, które nie są wystawiane przez urząd certyfikacji.

Opcje:

[-f] [-config Machine\CAName]

Uwagi

Może być również konieczne skonfigurowanie urzędu certyfikacji do obsługi certyfikatów zagranicznych przez uruchomienie polecenia certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Pobiera zarchiwizowany obiekt blob odzyskiwania klucza prywatnego, generuje skrypt odzyskiwania lub odzyskuje zarchiwizowane klucze.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Gdzie:

Skrypt generuje skrypt do pobierania i odzyskiwania kluczy (zachowanie domyślne, jeśli znaleziono wiele pasujących kandydatów odzyskiwania lub jeśli plik wyjściowy nie jest określony).
Pobieranie pobiera co najmniej jeden obiekt blob odzyskiwania kluczy (zachowanie domyślne, jeśli zostanie znaleziony dokładnie jeden pasujący kandydat odzyskiwania i jeśli zostanie określony plik wyjściowy). Użycie tej opcji powoduje obcięcie dowolnego rozszerzenia i dołączenie ciągu specyficznego dla certyfikatu i .rec rozszerzenia dla każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
odzyskiwanie pobiera i odzyskuje klucze prywatne w jednym kroku (wymaga certyfikatów i kluczy prywatnych agenta odzyskiwania kluczy). Za pomocą tej opcji obcina wszelkie rozszerzenia i dołącza .p12 rozszerzenie. Każdy plik zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.
Funkcja SearchToken wybiera klucze i certyfikaty do odzyskania, w tym:
- Nazwa pospolita certyfikatu
- Numer seryjny certyfikatu
- Skrót SHA-1 certyfikatu (odcisk palca)
- Skrót SHA-1 klucza certyfikatu (identyfikator klucza podmiotu)
- Nazwa osoby żądającego (domena\użytkownik)
- NAZWA UPN (user@domain)
RecoveryBlobOutFile generuje plik z łańcuchem certyfikatów i skojarzonym kluczem prywatnym, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
OutputScriptFile generuje plik ze skryptem wsadowym w celu pobrania i odzyskania kluczy prywatnych.
OutputFileBaseName zwraca nazwę podstawową pliku.

Opcje:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Uwagi

W przypadku pobierania każde rozszerzenie jest obcinane i ciąg specyficzny dla certyfikatu, a .rec rozszerzenia są dołączane dla każdego obiektu blob odzyskiwania klucza. Każdy plik zawiera łańcuch certyfikatów i skojarzony klucz prywatny, nadal szyfrowany do co najmniej jednego certyfikatu agenta odzyskiwania kluczy.
W przypadku odzyskiwania wszystkie rozszerzenia są obcięte, a .p12 rozszerzenie jest dołączane. Zawiera odzyskane łańcuchy certyfikatów i skojarzone klucze prywatne przechowywane jako plik PFX.

-RecoverKey

Odzyskuje zarchiwizowany klucz prywatny.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opcje:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Scala pliki PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Gdzie:

PFXInFileList to rozdzielona przecinkami lista plików wejściowych PFX.
PFXOutFile jest nazwą pliku wyjściowego PFX.
Modyfikatory są rozdzielone przecinkami listy co najmniej jednej z następujących wartości:
- Właściwość ExtendedProperties zawiera wszelkie właściwości rozszerzone.
- NoEncryptCert określa, że certyfikaty nie są szyfrowane.
- SzyfrujCert określa szyfrowanie certyfikatów.

Opcje:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Uwagi

Hasło określone w wierszu polecenia musi być listą haseł rozdzielanych przecinkami.
Jeśli określono więcej niż jedno hasło, ostatnie hasło jest używane dla pliku wyjściowego. Jeśli podano tylko jedno hasło lub ostatnie hasło to *, użytkownik zostanie poproszony o podanie hasła pliku wyjściowego.

-add-chain

Dodaje łańcuch certyfikatów.

certutil [options] -add-chain LogId certificate OutFile

Opcje:

[-f]

-add-pre-chain

Dodaje łańcuch certyfikatów wstępnych.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opcje:

[-f]

-get-sth

Pobiera podpisaną głowę drzewa.

certutil [options] -get-sth [LogId]

Opcje:

[-f]

-get-sth-consistency

Pobiera zmiany w głowę drzewa ze znakiem.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opcje:

[-f]

-get-proof-by-hash

Pobiera dowód skrótu z serwera sygnatury czasowej.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opcje:

[-f]

-get-entries

Pobiera wpisy z dziennika zdarzeń.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opcje:

[-f]

-get-roots

Pobiera certyfikaty główne z magazynu certyfikatów.

certutil [options] -get-roots LogId

Opcje:

[-f]

-get-entry-and-proof

Pobiera wpis dziennika zdarzeń i jego dowód kryptograficzny.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opcje:

[-f]

-VerifyCT

Weryfikuje certyfikat względem dziennika przezroczystości certyfikatu.

certutil [options] -VerifyCT Certificate SCT [precert]

Opcje:

[-f]

-?

Wyświetla listę parametrów.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Gdzie:

-? wyświetla listę parametrów
-<name_of_parameter> -? Wyświetla zawartość pomocy dla określonego parametru.
-? -v wyświetla szczegółową listę parametrów i opcji.

Opcje

W tej sekcji zdefiniowano wszystkie opcje, które można określić na podstawie polecenia . Każdy parametr zawiera informacje o tym, które opcje są prawidłowe do użycia.

Opcja	Opis
-Admin	Użyj ICertAdmin2 dla właściwości urzędu certyfikacji.
-anonimowy	Użyj anonimowych poświadczeń SSL.
-cert Identyfikator certyfikatu	Certyfikat podpisywania.
-clientcertificate clientCertId	Użyj poświadczeń protokołu SSL certyfikatu X.509. W przypadku interfejsu użytkownika wyboru użyj polecenia `-clientcertificate`.
-config Maszyna\CAName	Ciąg nazwy urzędu certyfikacji i komputera.
-csp dostawca	Dostawca: KSP — dostawca magazynu kluczy oprogramowania firmy Microsoft TPM — dostawca kryptograficzny platformy Microsoft NGC — dostawca magazynu kluczy usługi Microsoft Passport SC — Dostawca magazynu kluczy kart inteligentnych firmy Microsoft
-dc DCName	Docelowy określony kontroler domeny.
-przedsiębiorstwo	Użyj magazynu certyfikatów rejestru przedsiębiorstwa komputera lokalnego.
-f	Wymuś zastąpienie.
-generateSSTFromWU SSTFile	Wygeneruj SST przy użyciu mechanizmu automatycznej aktualizacji.
-Gmt	Czas wyświetlania przy użyciu gmt.
-Zasady grupy	Użyj magazynu certyfikatów zasad grupy.
-iWysyłka	Użyj interfejsu IDispatch zamiast metod natywnych COM.
-kerberos (protokół kerberos)	Użyj poświadczeń protokołu SSL protokołu Kerberos.
-location alternatestoragelocation	`(-loc)` AlternatywnaLokalizacjaPrzechowywania.
-Mt	Wyświetlanie szablonów maszyn.
-nocr	Kodowanie tekstu bez znaków CR.
-nocrlf powiedział:	Kodowanie tekstu bez CR-LF znaków.
-nullsign (znak null)	Użyj skrótu danych jako podpisu.
-oldpfx powiedział:	Użyj starego szyfrowania PFX.
-out lista-kolumn	Lista kolumn rozdzielonych przecinkami.
-p hasło	Hasło
-pin PIN	Numer PIN karty inteligentnej.
-policyserver URLorID	Adres URL lub identyfikator serwera zasad. W przypadku zaznaczenia opcji U/I użyj polecenia `-policyserver`. W przypadku wszystkich serwerów zasad użyj polecenia `-policyserver *`
-klucz prywatny	Wyświetl hasło i dane klucza prywatnego.
-chronić	Ochrona kluczy przy użyciu hasła.
-protectto SAMnameandSIDlist	Rozdzielona przecinkami nazwa SAM/lista SID.
-ogranicz listę ograniczeń	Lista ograniczeń rozdzielonych przecinkami. Każde ograniczenie składa się z nazwy kolumny, operatora relacyjnego i stałej liczby całkowitej, ciągu lub daty. Jedna nazwa kolumny może być poprzedzona znakiem plus lub minus, aby wskazać kolejność sortowania. Na przykład: `requestID = 47`, `+requestername >= a, requestername`lub `-requestername > DOMAIN, Disposition = 21`.
-rewers	Odwrotne kolumny dzienników i kolejek.
-Sekund	Wyświetlanie czasów użycia sekund i milisekund.
-usługa	Użyj magazynu certyfikatów usługi.
-Sid	Numeryczny identyfikator SID: 22 — System lokalny 23 — Usługa lokalna 24 — Usługa sieciowa
-cichy	Użyj flagi `silent` , aby uzyskać kontekst kryptografii.
-rozszczepiać	Podziel osadzone elementy ASN.1 i zapisz je w plikach.
-sslpolicy nazwa serwera	Zasady SSL pasujące do nazwy serwera.
-symkeyalg symmetrickeyalgorithm[,długość klucza]	Nazwa algorytmu klucza symetrycznego z opcjonalną długością klucza. Na przykład: `AES,128` lub `3DES`.
-syncWithWU Katalog docelowy	Synchronizacja z usługą Windows Update.
-t limitu czasu	Limit czasu pobierania adresu URL w milisekundach.
-Unicode	Zapisywanie przekierowanych danych wyjściowych w formacie Unicode.
-Tekst Unicode'a	Zapisz plik wyjściowy w formacie Unicode.
-urlfetch	Pobierz i zweryfikuj certyfikaty AIA i listy CRL cdP.
-użytkownik	Użyj kluczy HKEY_CURRENT_USER lub magazynu certyfikatów.
-nazwa użytkownika użytkownika	Użyj nazwanego konta dla poświadczeń PROTOKOŁU SSL. W przypadku interfejsu użytkownika wyboru użyj polecenia `-username`.
-Ut	Wyświetlanie szablonów użytkowników.
-v	Podaj bardziej szczegółowe (pełne) informacje.
-v1 powiedział:	Użyj interfejsów w wersji 1.

Algorytmy wyznaczania skrótu: MD2 MD4 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Aby uzyskać więcej przykładów użycia tego polecenia, zobacz następujące artykuły:

Udostępnij za pośrednictwem

certutil

Parametry

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Uwagi

-setextension

Uwagi

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Uwagi

-db

-deleterow

Przykłady

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Uwagi

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Uwagi

-enrollmentServerURL

-ADCA

-CA