certutil

Cuidado

Certutil não é recomendado para uso em nenhum código de produção e não fornece nenhuma garantia de suporte ao site ativo ou compatibilidade de aplicativos. É uma ferramenta utilizada por desenvolvedores e administradores de TI para exibir informações de conteúdo de certificado em dispositivos.

Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Use o certutil.exe para exibir informações de configuração da AC (autoridade de certificação) e configurar os Serviços de Certificado, além de fazer backup e restauração dos componentes da AC. O programa também verifica os certificados, os pares de chaves e as cadeias de certificados.

Se certutil for executado em uma autoridade de certificação sem outros parâmetros, ele exibirá a configuração atual da autoridade de certificação. Se certutil for executado em uma autoridade de não certificação sem outros parâmetros, o comando usará como padrão a execução do comando certutil -dump. Nem todas as versões do Certutil fornecem todos os parâmetros e opções descritos por este documento. Você pode ver as opções que sua versão do Certutil fornece executando certutil -? ou certutil <parameter> -?.

Dica

Para ver a ajuda completa de todos os verbos e opções do Certutil, incluindo aqueles que estão ocultos do argumento -?, execute certutil -v -uSAGE. A alternância uSAGE diferencia maiúsculas de minúsculas.

Parâmetros

-dump

Despejar informações ou arquivos de configuração.

certutil [options] [-dump]
certutil [options] [-dump] File

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Despeja a estrutura PFX.

certutil [options] [-dumpPFX] File

Opções:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analisar e exibir o conteúdo de um arquivo usando a sintaxe ASN.1 (Abstract Syntax Notation). Os tipos de arquivo incluem arquivos formatados .CER, .DER e PKCS #7.

certutil [options] -asn File [type]

• [type]: tipo de decodificação CRYPT_STRING_* numérica

-decodehex

Decodifica um arquivo codificado em hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

• [type]: tipo de decodificação CRYPT_STRING_* numérica

Opções:

[-f]

-encodehex

Codifica um arquivo em hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: tipo de codificação CRYPT_STRING_* numérica

Opções:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodifica um arquivo codificado em Base64.

certutil [options] -decode InFile OutFile

Opções:

[-f]

-encode

Codifica um arquivo para Base64.

certutil [options] -encode InFile OutFile

Opções:

[-f] [-unicodetext]

-deny

Nega uma solicitação pendente.

certutil [options] -deny RequestId

Opções:

[-config Machine\CAName]

-resubmit

Reenvia uma solicitação pendente.

certutil [options] -resubmit RequestId

Opções:

[-config Machine\CAName]

-setattributes

Define atributos para uma solicitação de certificado pendente.

certutil [options] -setattributes RequestId AttributeString

Onde:

• RequestID é a ID de solicitação numérica para a solicitação pendente.
• AttributeString é o nome do atributo da solicitação e os pares de valores.

Opções:

[-config Machine\CAName]

Comentários

• Nomes e valores devem ser separados por dois pontos, enquanto vários nomes e pares de valores devem ser separados por nova linha. Por exemplo: CertificateTemplate:User\nEMail:User@Domain.com em que a sequência \n é convertida em um separador de nova linha.

-setextension

Definir uma extensão para uma solicitação de certificado pendente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Em que:

• requestID é a ID de solicitação numérica para a solicitação pendente.
• ExtensionName é a cadeia de caracteres ObjectId da extensão.
• Flags define a prioridade da extensão. 0 é recomendado, enquanto 1 define a extensão como crítica, 2 desabilita a extensão e 3 faz as duas coisas.

Opções:

[-config Machine\CAName]

Comentários

• Se o último parâmetro for numérico, ele será entendido como Longo.
• Se o último parâmetro puder ser analisado como uma data, ele será entendido como uma Data.
• Se o último parâmetro começar com \@, o restante do token será entendido como o nome do arquivo com dados binários ou um despejo hexadecimal de texto ASCII.
• Se o último parâmetro for qualquer outra coisa, ele será entendido como uma cadeia de caracteres.

-revoke

Revoga um certificado.

certutil [options] -revoke SerialNumber [Reason]

Onde:

• SerialNumber é uma lista separada por vírgulas de números de série de certificado a serem revogados.
• Reason é a representação numérica ou simbólica do motivo da revogação, incluindo:
  • 0. CRL_REASON_UNSPECIFIED – não especificado (padrão)
  • 1. CRL_REASON_KEY_COMPROMISE – comprometimento da chave
  • 2. CRL_REASON_CA_COMPROMISE – comprometimento da Autoridade de Certificação
  • 3. CRL_REASON_AFFILIATION_CHANGED – afiliação alterada
  • 4. CRL_REASON_SUPERSEDED – substituído
  • 5. CRL_REASON_CESSATION_OF_OPERATION – cessação da operação
  • 6. CRL_REASON_CERTIFICATE_HOLD – retenção de certificado
  • 8. CRL_REASON_REMOVE_FROM_CRL - Remover de CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilégio retirado
  • 10: CRL_REASON_AA_COMPROMISE - Comprometimento do AA
  • -1. Cancelar a revogação - Cancela revogação

Opções:

[-config Machine\CAName]

-isvalid

Exibe a disposição do certificado atual.

certutil [options] -isvalid SerialNumber | CertHash

Opções:

[-config Machine\CAName]

-getconfig

Obtém a cadeia de caracteres de configuração padrão.

certutil [options] -getconfig

Opções:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtém a cadeia de caracteres de configuração padrão via ICertGetConfig.

certutil [options] -getconfig2

Opções:

[-idispatch] 

-getconfig3

Obtém configuração via ICertConfig.

certutil [options] -getconfig3

Opções:

[-idispatch] 

-ping

Tenta entrar em contato com a interface de Solicitação de Serviços de Certificados do Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Onde:

• CAMachineList é uma lista separada por vírgulas de nomes de computadores da AC. Para um só computador, usar uma vírgula de encerramento. Essa opção também exibe o custo do site para cada computador da AC.

Opções:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta entrar em contato com a interface de administrador dos Serviços de Certificados do Active Directory.

certutil [options] -pingadmin

Opções:

[-config Machine\CAName]

-CAInfo

Exibe informações sobre a autoridade de certificação.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Onde:

• infoname indica a propriedade da AC a ser exibida, com base na sintaxe do argumento infoname a seguir:
  • * – exibe todas as propriedades
  • ads – servidor avançado
  • aia [Índice] – URLs do AIA
  • cdp [Índice] – URLs do CPD
  • cert [Índice] - Certificado de AC
  • certchain [Índice] - Cadeia de certificados de AC
  • certcount – contagem de certificados da AC
  • certcrlchain [Índice] – Cadeia de certificados de AC com CRLs
  • certstate [Índice] - Certificado de AC
  • certstatuscode [Índice] – Status de verificação do certificado da AC
  • certversion [Índice] – Versão do certificado de AC
  • CRL [Índice] - CRL Base
  • crlstate [Índice] - CRL
  • crlstatus [Índice] – Status de Publicação de CRL
  • cross- [Índice] – Certificado cruzado de regressão
  • cross+ [Índice] – Certificado cruzado de encaminhamento
  • crossstate- [Índice] – Certificado cruzado de regressão
  • crossstate+ [Índice] – Certificado cruzado de encaminhamento
  • deltacrl [Índice] - CRL delta
  • deltacrlstatus [Índice] - Status de publicação de CRL delta
  • dns – nome DNS
  • dsname – nome curto da Autoridade de Certificação sanitizado (nome DS)
  • error1 ErrorCode – texto da mensagem de erro
  • error2 ErrorCode – texto e código de erro da mensagem de erro
  • exit [Índice] – Descrição do módulo de saída
  • exitcount – contagem de módulos de saída
  • file – versão do arquivo
  • info – informações da AC
  • kra [Índice] - Certificado KRA
  • kracount – contagem de certificados KRA
  • krastate [Índice] - Certificado KRA
  • kraused – contagem de certificados KRA usados
  • localename - nome da localidade da AC
  • name – nome da AC
  • ocsp [Índice] - URLs OCSP
  • parent – AC pai
  • policy – descrição do módulo de política
  • product – versão do produto
  • propidmax – PropId de AC máxima
  • role – separação de funções
  • sanitizedname – nome da Autoridade de Certificação sanitizado
  • sharedfolder – pasta compartilhada
  • subjecttemplateoids - OIDs de modelo de entidade
  • templates - modelos
  • type – tipo de AC
  • xchg [Índice] - Certificado de troca da AC
  • xchgchain [Índice] - Cadeia de certificados de troca da AC
  • xchgcount – contagem de certificados de troca da AC
  • xchgcrlchain [Índice] - Cadeia de certificados de troca da AC com CRLs
• index é o índice de propriedade baseado em zero opcional.
• errorcode é o código de erro numérico.

Opções:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Exibe informações de Tipo de propriedade da AC.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opções:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera o certificado da autoridade de certificação.

certutil [options] -ca.cert OutCACertFile [Index]

Onde:

• OutCACCertFile é o arquivo de saída.
• Índice é o índice de renovação do Certificado da AC (o padrão é o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera a cadeia de certificados da autoridade de certificação.

certutil [options] -ca.chain OutCACertChainFile [Index]

Onde:

• OutCACCertFile é o arquivo de saída.
• Índice é o índice de renovação do Certificado da AC (o padrão é o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtém uma CRL (lista de certificados revogados).

certutil [options] -GetCRL OutFile [Index] [delta]

Em que:

• Índice é o índice da CRL ou índice de chave (o padrão é a CRL para a chave mais recente).
• delta é a CRL delta (o padrão é a CRL base).

Opções:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica novas CRLs (listas de revogação de certificados) ou CRLs delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Onde:

• dd:hh é o novo período de validade da CRL em dias e horas.
• republish republica as CRLs mais recentes.
• delta publica somente as CRLs delta (o padrão é CRLs base e delta).

Opções:

[-split] [-config Machine\CAName]

-shutdown

Desliga os Serviços de Certificados do Active Directory.

certutil [options] -shutdown

Opções:

[-config Machine\CAName]

-installCert

Instala um certificado de autoridade de certificação.

certutil [options] -installCert [CACertFile]

Opções:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renova um certificado de autoridade de certificação.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opções:

[-f] [-silent] [-config Machine\CAName]

• Use -f para ignorar uma solicitação de renovação pendente e para gerar uma nova solicitação.

-schema

Despeja o esquema do certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Em que:

• O comando usa como padrão a tabela Solicitação e Certificado.
• Ext é a tabela de extensão.
• Attribute é a tabela de atributos.
• CRL é a tabela CRL.

Opções:

[-split] [-config Machine\CAName]

-view

Despeja a exibição de certificados.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Em que:

• Queue despeja uma fila de solicitação específica.
• Log despeja os certificados emitidos ou revogados, além de solicitações com falha.
• LogFail despeja as solicitações de falha.
• Revoked despeja os certificados revogados.
• Ext despeja a tabela de extensão.
• Attrib despeja a tabela de atributos.
• CRL despeja a tabela CRL.
• csv fornece a saída usando valores separados por vírgulas.

Opções:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Comentários

• Para exibir a coluna StatusCode de todas as entradas, digite -out StatusCode
• Para exibir todas as colunas da última entrada, digite: -restrict RequestId==$
• Para exibir a RequestId e Disposição para três solicitações, digite: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Para exibir IDs de linha e Números de CRL para todas as CRLs base, digite: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Para exibir o número 3 da CRL Base, digite: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Para exibir toda a tabela de CRL, digite: CRL
• Use Date[+|-dd:hh] para restrições de data.
• Use now+dd:hh para uma data relativa à hora atual.
• Os modelos contêm EKUs (Extended Key Usages), que são identificadores de objeto (OIDs) que descrevem como o certificado é usado. Os certificados nem sempre incluem nomes comuns de modelo ou nomes de exibição, mas sempre contêm os EKUs de modelo. Você pode extrair os EKUs de um modelo de certificado específico do Active Directory e, em seguida, restringir as exibições com base nessa extensão.

-db

Despeja o banco de dados bruto.

certutil [options] -db

Opções:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Exclui uma linha do banco de dados do servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Em que:

• Request exclui as solicitações de falha e pendentes, com base na data de envio.
• Cert exclui os certificados expirados e revogados, com base na data de validade.
• Ext exclui a tabela de extensão.
• Attrib exclui a tabela de atributos.
• CRL exclui a tabela de CRL.

Opções:

[-f] [-config Machine\CAName]

Exemplos

• Para excluir solicitações com falha e pendentes enviadas até 22 de janeiro de 2001, digite: 1/22/2001 request
• Para excluir todos os certificados que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 cert
• Para excluir a linha de certificado, os atributos e as extensões do RequestID 37, digite: 37
• Para excluir CRLs que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 crl

Observação

Date espera que o formato mm/dd/yyyy em vez de dd/mm/yyyy, por exemplo, 1/22/2001 em vez de 22/1/2001 para 22 de janeiro de 2001. Se o servidor não estiver configurado com as configurações regionais dos EUA, usar o argumento Date poderá produzir resultados inesperados.

-backup

Faz backup dos Serviços de Certificados do Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Em que:

• BackupDirectory é o diretório para armazenar os dados de backup.
• Incremental executa apenas um backup incremental (o padrão é o backup completo).
• KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

Opções:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Faz backup do banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Em que:

• BackupDirectory é o diretório para armazenar os arquivos de banco de dados com backup.
• Incremental executa apenas um backup incremental (o padrão é o backup completo).
• KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

Opções:

[-f] [-config Machine\CAName]

-backupkey

Faz backup do certificado e da chave privada dos Serviços de Certificados do Active Directory.

certutil [options] -backupkey BackupDirectory

Em que:

• BackupDirectory é o diretório para armazenar o arquivo PFX com backup.

Opções:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaura os Serviços de Certificados do Active Directory.

certutil [options] -restore BackupDirectory

Em que:

• BackupDirectory é o diretório que contém os dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura o banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -restoredb BackupDirectory

Em que:

• BackupDirectory é o diretório que contém os arquivos de banco de dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName]

-restorekey

Restaura o certificado e da chave privada dos Serviços de Certificados do Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Em que:

• BackupDirectory é o diretório que contém o arquivo PFX a ser restaurado.
• PFXFile é o arquivo PFX a ser restaurado.

Opções:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta os certificados e chaves privadas. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Onde:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o certificado ou token de correspondência de CRL.
• PFXFile é o arquivo PFX a ser exportado.
• Modifiers é a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • CryptoAlgorithm= especifica o algoritmo criptográfico a ser usado para criptografar o arquivo PFX, como TripleDES-Sha1 ou Aes256-Sha256.
  • EncryptCert - Criptografa a chave privada associada ao certificado com uma senha.
  • ExportParameters - Exporta os parâmetros de chave privada, além do certificado e da chave privada.
  • ExtendedProperties - Inclui todas as propriedades estendidas associadas ao certificado no arquivo de saída.
  • NoEncryptCert - Exporta a chave privada sem criptografá-la.
  • NoChain – Não importa a cadeia de certificados.
  • NoRoot – Não importa o certificado raiz.

-importPFX

Importa os certificados e as chaves privadas. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Onde:

• CertificateStoreName é o nome do repositório de certificados.
• PFXFile é o arquivo PFX a ser importado.
• Modifiers é a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • AT_KEYEXCHANGE – Altera o keyspec para troca de chaves.
  • AT_SIGNATURE – Altera o keyspec para assinatura.
  • ExportEncrypted - Exporta a chave privada associada ao certificado com criptografia de senha.
  • FriendlyName= - Especifica um nome amigável para o certificado importado.
  • KeyDescription= - Especifica uma descrição para a chave privada associada ao certificado importado.
  • KeyFriendlyName= - Especifica um nome amigável para a chave privada associada ao certificado importado.
  • NoCert – Não importa o certificado.
  • NoChain – Não importa a cadeia de certificados.
  • NoExport – Torna a chave privada não exportável.
  • NoProtect – Não protege chaves por senha usando uma senha.
  • NoRoot – Não importa o certificado raiz.
  • Pkcs8 - Usa o formato PKCS8 para a chave privada no arquivo PFX.
  • Protect – Protege chaves usando uma senha.
  • ProtectHigh - Especifica que uma senha de alta segurança deve ser associada à chave privada.
  • VSM - Armazena a chave privada associada ao certificado importado no contêiner VSC (Virtual Smart Card).

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Comentários

• O padrão é o repositório do computador pessoal.

-dynamicfilelist

Exibe uma lista de arquivos dinâmicos.

certutil [options] -dynamicfilelist

Opções:

[-config Machine\CAName]

-databaselocations

Exibe locais de banco de dados.

certutil [options] -databaselocations

Opções:

[-config Machine\CAName]

-hashfile

Gera e exibe um hash criptográfico em um arquivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Despeja o repositório de certificados

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Em que:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o certificado ou token de correspondência de CRL. Essa ID pode ser:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice CRL numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.0, .1 e assim por diante)
  • Chave pública
  • Assinatura ou extensão ObjectId
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome CSP
  • Nome do modelo ou ObjectId
  • EKU ou Application Policies ObjectId
  • Nome Comum do emissor de CRL.

Muitos desses identificadores podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• A opção -user acessa um repositório de usuários em vez de um repositório de computadores.
• A opção -enterprise acessa um repositório corporativo de computadores.
• A opção -service acessa um repositório de serviços de computador.
• A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Observação

São observados problemas de desempenho ao usar o parâmetro -store, considerando estes dois aspectos:

1. Quando o número de certificados no repositório exceder 10.
2. Quando um CertId é especificado, ele é usado para corresponder a todos os tipos listados para cada certificado. Se um número de série for fornecido, ele também tentará corresponder a todos os outros tipos listados.

Se você estiver preocupado com problemas de desempenho, os comandos do PowerShell serão recomendados em que ele corresponda apenas ao tipo de certificado especificado.

-enumstore

Enumera os repositórios de certificados.

certutil [options] -enumstore [\\MachineName]

Onde:

• MachineName é o nome do computador remoto.

Opções:

[-enterprise] [-user] [-grouppolicy]

-addstore

Adiciona um certificado ao repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -addstore CertificateStoreName InFile

Onde:

• CertificateStoreName é o nome do repositório de certificados.
• InFile é o certificado ou arquivo CRL que você deseja adicionar ao repositório.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Exclui um certificado do repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -delstore CertificateStoreName certID

Onde:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o certificado ou token de correspondência de CRL.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica um certificado no repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -verifystore CertificateStoreName [CertId]

Onde:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o certificado ou token de correspondência de CRL.

Opções:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara uma associação de chaves ou atualiza as propriedades do certificado ou o descritor de segurança da chave. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Onde:

• CertificateStoreName é o nome do repositório de certificados.

• certIDlist é a lista separada por vírgulas de tokens de correspondência de certificado ou CRL. Para obter mais informações, consulte a descrição do CertId -store neste artigo.

• PropertyInfFile é o arquivo INF que contém propriedades externas, incluindo:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Despeja o repositório de certificados. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Onde:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o certificado ou token de correspondência de CRL. Isso pode ser um:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice CRL numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.0, .1 e assim por diante)
  • Chave pública
  • Assinatura ou extensão ObjectId
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome CSP
  • Nome do modelo ou ObjectId
  • EKU ou Application Policies ObjectId
  • Nome Comum do emissor de CRL.

Muitos deles podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A opção -user acessa um repositório de usuários em vez de um repositório de computadores.
• A opção -enterprise acessa um repositório corporativo de computadores.
• A opção -service acessa um repositório de serviços de computador.
• A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Exclui um certificado do repositório.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Em que:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o certificado ou token de correspondência de CRL. Isso pode ser um:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice CRL numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.0, .1 e assim por diante)
  • Chave pública
  • Assinatura ou extensão ObjectId
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome CSP
  • Nome do modelo ou ObjectId
  • EKU ou Application Policies ObjectId
  • Nome Comum do emissor de CRL. Muitos deles podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A opção -user acessa um repositório de usuários em vez de um repositório de computadores.
• A opção -enterprise acessa um repositório corporativo de computadores.
• A opção -service acessa um repositório de serviços de computador.
• A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-Interface do Usuário

Invoca a interface Certutil.

certutil [options] -UI File [import]

-TPMInfo

Exibe informações do Trusted Platform Module.

certutil [options] -TPMInfo

Opções:

[-f] [-Silent] [-split]

-attest

Especifica que o arquivo de solicitação de certificado deve ser atestado.

certutil [options] -attest RequestFile

Opções:

[-user] [-Silent] [-split]

-getcert

Seleciona um certificado de uma interface do usuário de seleção.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opções:

[-Silent] [-split]

-ds

Exibe nomes distintos (DNs) do serviço de diretório (DS).

certutil [options] -ds [CommonName]

Opções:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Exclui DNs de DS.

certutil [options] -dsDel [CommonName]

Opções:

[-user] [-split] [-dc DCName]

-dsPublish

Publica um certificado ou uma CRL (lista de certificados revogados) no Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Em que:

• CertFile é o nome do arquivo de certificado a ser publicado.
• NTAuthCA publica o certificado no repositório Enterprise do DS.
• RootCA publica o certificado no repositório de Raiz Confiável do DS.
• SubCA publica o Certificado de Autoridade de Certificação no objeto de AC do DS.
• CrossCA publica o certificado cruzado no objeto de AC do DS.
• KRA publica o certificado no objeto do Agente de Recuperação de Chave do DS.
• User publica o certificado no objeto User do DS.
• Machine publica o certificado no objeto Machine do DS.
• CRLfile é o nome do arquivo CRL a ser publicado.
• DSCDPContainer é o CN do contêiner CDP do DS, geralmente o nome do computador da AC.
• DSCDPCN é o objeto CN do DS CDP com base no nome abreviado e no índice de chave da CA sanitizado.

Opções:

[-f] [-user] [-dc DCName]

• Use -f para criar um objeto DS.

-dsCert

Exibe certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Exibe CRLs DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Exibe CRLs delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Exibe atributos de modelo DS.

certutil [options] -dsTemplate [Template]

Opções:

[Silent] [-dc DCName]

-dsAddTemplate

Adiciona modelos DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opções:

[-dc DCName]

-ADTemplate

Exibe modelos do Active Directory.

certutil [options] -ADTemplate [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Modelo

Exibe os modelos de política de registro de certificado.

Opções:

certutil [options] -Template [Template]

Opções:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Exibe as autoridades de certificação (ACs) de um modelo de certificado.

certutil [options] -TemplateCAs Template

Opções:

[-f] [-user] [-dc DCName]

-CATemplates

Exibe modelos para a Autoridade de Certificação.

certutil [options] -CATemplates [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Define os modelos de certificado que a Autoridade de Certificação pode emitir.

certutil [options] -SetCATemplates [+ | -] TemplateList

Onde:

• O sinal + adiciona modelos de certificado à lista de modelos disponíveis da AC.
• O sinal - remove modelos de certificado da lista de modelos disponíveis da AC.

-SetCASites

Gerencia nomes de site, incluindo a configuração, a verificação e a exclusão de nomes de site da Autoridade de Certificação

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Onde:

• SiteName só é permitido ao direcionar uma única Autoridade de Certificação.

Opções:

[-f] [-config Machine\CAName] [-dc DCName]

Comentários

• A opção -config direciona uma só Autoridade de Certificação (o padrão é todas as ACs).
• A opção -f pode ser usada para substituir erros de validação para o SiteName especificado ou para excluir todos os nomes de site da AC.

Observação

Para obter mais informações sobre como configurar CAs para reconhecimento de site do AD DS (Active Directory Domain Services), consulte Reconhecimento de site do AD DS para clientes do AD CS e PKI.

-enrollmentServerURL

Exibe, adiciona ou exclui URLs do servidor de registro associadas a uma AC.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Onde:

• AuthenticationType especifica um dos seguintes métodos de autenticação de cliente ao adicionar uma URL:
  • Kerberos – Usar credenciais SSL Kerberos.
  • UserName – Usar uma conta nomeada para credenciais SSL.
  • ClientCertificate – Usar credenciais SSL de Certificado X.509.
  • Anonymous – Usar credenciais SSL anônimas.
• delete exclui a URL especificada associada à AC.
• Priority usa como padrão 1 se não for especificado ao adicionar uma URL.
• Modifiers é uma lista separada por vírgulas, que inclui um ou mais dos seguintes:
  • AllowRenewalsOnly somente solicitações de renovação podem ser enviadas para essa AC por meio dessa URL.
  • AllowKeyBasedRenewal – Permite o uso de um certificado sem nenhuma conta associada no AD. Isso se aplica apenas com o modo ClientCertificate e AllowRenewalsOnly.

Opções:

[-config Machine\CAName] [-dc DCName]

-ADCA

Exibe as Autoridades de Certificação do Active Directory.

certutil [options] -ADCA [CAName]

Opções:

[-f] [-split] [-dc DCName]

-CA

Exibe as Autoridades de Certificação da política de registro.

certutil [options] -CA [CAName | TemplateName]

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Política

Exibe a política de registro.

certutil [options] -Policy

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Exibe ou exclui entradas de cache da política de registro.

certutil [options] -PolicyCache [delete]

Em que:

• delete exclui as entradas de cache do servidor de política.
• -f exclui todas as entradas de cache

Opções:

[-f] [-user] [-policyserver URLorID]

-CredStore

Exibe, adiciona ou exclui entradas do Repositório de Credenciais.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Em que:

• URL é a URL de destino. Você também pode usar * para corresponder a todas as entradas ou https://machine* para corresponder a um prefixo de URL.
• add adiciona uma entrada do repositório de credenciais. Usar essa opção também requer o uso de credenciais SSL.
• delete exclui entradas do repositório de credenciais.
• -f substitui uma só entrada ou exclui várias entradas.

Opções:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala modelos de certificado padrão.

certutil [options] -InstallDefaultTemplates

Opções:

[-dc DCName]

-URL

Verifica URLs de certificado ou CRL.

certutil [options] -URL InFile | URL

Opções:

[-f] [-split]

-URLCache

Exibe ou exclui entradas do cache de URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Em que:

• URL é a URL armazenada em cache.
• CRL é executado somente em URLs de CRL armazenadas em cache.
• * opera em todas as URLs armazenadas em cache.
• delete exclui as URLs relevantes do cache local do usuário atual.
• -f força a busca de uma URL específica e a atualização do cache.

Opções:

[-f] [-split]

-pulse

Pulsa um evento de registro automático ou uma tarefa NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Onde:

• TaskName é a tarefa a ser acionada.
  • Pregen é a tarefa de pré-geração de chave NGC.
  • AIKEnroll é a tarefa de registro de certificado NGC AIK. (O padrão é o evento de registro automático).
• SRKThumbprint é a impressão digital da Chave raiz de armazenamento
• Modificadores:
  • Pré-geração
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Opções:

[-user]

-MachineInfo

Exibe informações sobre o objeto de computador do Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Exibe informações sobre o controlador de domínio. O padrão exibe certificados DC sem verificação.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modificadores:

  • Verificar
  • DeleteBad
  • DeleteAll

Opções:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Dica

A capacidade de especificar um domínio do AD DS (Active Directory Domain Services) [Domínio] e especificar um controlador de domínio (-dc) foi adicionada no Windows Server 2012. Para executar o comando com êxito, você precisa usar uma conta que seja membro de Administradores de Domínio ou Administradores Corporativos. As modificações de comportamento desse comando são as seguintes:

• Se um domínio não for especificado e um controlador de domínio específico não for especificado, essa opção retornará uma lista de controladores de domínio a serem processados do controlador de domínio padrão.
• Se um domínio não for especificado, mas um controlador de domínio for, um relatório dos certificados no controlador de domínio especificado será gerado.
• Se um domínio for especificado, mas um controlador de domínio não for, uma lista de controladores de domínio será gerada junto com relatórios sobre os certificados para cada controlador de domínio na lista.
• Se o domínio e o controlador de domínio forem especificados, uma lista de controladores de domínio será gerada do controlador de domínio de destino. Um relatório dos certificados de cada controlador de domínio na lista também é gerado.

Por exemplo, suponha que haja um domínio chamado CPANDL com um controlador de domínio chamado CPANDL-DC1. Você pode executar o seguinte comando para recuperar uma lista de controladores de domínio e seus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Exibe informações sobre uma Autoridade de Certificação corporativa.

certutil [options] -EntInfo DomainName\MachineName$

Opções:

[-f] [-user]

-TCAInfo

Exibe informações sobre a Autoridade de Certificação.

certutil [options] -TCAInfo [DomainDN | -]

Opções:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Exibe informações sobre o cartão inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Em que:

• CRYPT_DELETEKEYSET exclui todas as chaves no cartão inteligente.

Opções:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gerencia certificados raiz de cartão inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opções:

[-f] [-split] [-p Password]

-chave

Lista as chaves armazenadas em um contêiner de chaves.

certutil [options] -key [KeyContainerName | -]

Onde:

• KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Essa opção usa como padrão chaves de computador. Para alternar para chaves de usuário, use -user.
• Usar o sinal - refere-se ao uso do contêiner de chave padrão.

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Exclui o contêiner de chave nomeado.

certutil [options] -delkey KeyContainerName

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Exclui o contêiner do Windows Hello, removendo todas as credenciais associadas armazenadas no dispositivo, incluindo todas as credenciais webAuthn e FIDO.

Os usuários precisarão sair depois de usar essa opção para que ela seja concluída.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica um conjunto de chaves públicas ou privadas.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Em que:

• KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Essa opção usa como padrão chaves de computador. Para alternar para chaves de usuário, use -user.
• CACertFile assina ou criptografa arquivos de certificado.

Opções:

[-f] [-user] [-Silent] [-config Machine\CAName]

Comentários

• Se nenhum argumento for especificado, cada certificado de AC de assinatura será verificado em relação à chave privada.
• Essa operação só pode ser executada em uma AC local ou chaves locais.

-verify

Verifica um certificado, uma CRL (lista de certificados revogados) ou uma cadeia de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Em que:

• CertFile é o nome do certificado a ser verificado.
• ApplicationPolicyList é a lista opcional separada por vírgulas de ObjectIds da Política de Aplicativo necessária.
• IssuancePolicyList é a lista opcional separada por vírgulas de ObjectIds da Política de Emissão necessária.
• CACertFile é o Certificado de AC emissora opcional a ser verificado.
• CrossedCACertFile é o certificado opcional com certificação cruzada pelo CertFile.
• CRLFile é o arquivo CRL usado para verificar o CACertFile.
• IssuedCertFile é o certificado emitido opcional coberto pelo CRLfile.
• DeltaCRLFile é o arquivo CRL delta opcional.
• Modificadores:
  • Forte - Verificação de assinatura forte
  • MSRoot - Deve encadear para uma raiz da Microsoft
  • MSTestRoot - Deve encadear para uma raiz de teste da Microsoft
  • AppRoot - Deve encadear para uma raiz de aplicativo da Microsoft
  • EV - Impor Política de Validação Estendida

Opções:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Comentários

• O uso ApplicationPolicyList restringe a criação de cadeia somente a cadeias válidas para as Políticas de Aplicativo especificadas.
• O uso de IssuancePolicyList restringe a criação de cadeia somente a cadeias válidas para as Políticas de Emissão especificadas.
• O uso de CACertFile verifica os campos no arquivo em relação a CertFile ou CRLfile.
• Se CACertFile não for especificado, a cadeia completa será criada e verificada em relação a CertFile.
• Se CACertFile e CrossedCACertFile forem especificados, os campos em ambos os arquivos serão verificados em relação a CertFile.
• O uso de IssuedCertFile verifica os campos no arquivo em relação a CRLfile.
• O uso de DeltaCRLFile verifica os campos no arquivo em relação a CertFile.

-verifyCTL

Verifica a CTL de Certificados AuthRoot ou Não Permitidos.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Em que:

• CTLObject identifica a CTL a ser verificada, incluindo:

  • AuthRootWU lê o CAB de AuthRoot e os certificados correspondentes do cache de URL. Use -f para baixar do Windows Update.
  • DisallowedWU lê o CAB de Certificados Não Permitidos e o arquivo de repositório de certificados não permitidos do cache de URL. Use -f para baixar do Windows Update.
    • PinRulesWU lê o CAB de PinRules do cache de URL. Use -f para baixar do Windows Update.
  • AuthRoot lê a CTL AuthRoot armazenada em cache do Registro. Use com -f e um CertFile não confiável para forçar o registro armazenado em cache AuthRoot e CTLs de Certificados Não Permitidos a serem atualizados.
  • Disallowed lê a CTL de Certificados Não Permitidos armazenados em cache do Registro. Use com -f e um CertFile não confiável para forçar o registro armazenado em cache AuthRoot e CTLs de Certificados Não Permitidos a serem atualizados.
    • PinRules lê a CTL PinRules armazenada em cache do Registro. O uso de -f tem o mesmo comportamento que com PinRulesWU.
  • CTLFileName especifica o arquivo ou o caminho http para o arquivo CTL ou CAB.

• CertDir especifica a pasta que contém certificados correspondentes às entradas de CTL. O padrão é a mesma pasta ou site que o CTLobject. O uso de um caminho de pasta HTTP requer um separador de caminho no final. Se você não especificar AuthRoot ou Disallowed, vários locais serão pesquisados em busca de certificados correspondentes, incluindo repositórios de certificados locais, recursos crypt32.dll e o cache de URL local. Use -f para baixar do Windows Update, conforme necessário.

• CertFile especifica os certificados a serem verificados. Os certificados são comparados com entradas de CTL, exibindo os resultados. Essa opção suprime a maior parte da saída padrão.

Opções:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados com o Windows Update.

certutil [options] -syncWithWU DestinationDir

Onde:

• DestinationDir é o diretório especificado.
• f força uma substituição.
• Unicode grava a saída redirecionada em Unicode.
• gmt exibe horários como GMT.
• seconds exibe horários com os segundos e os milissegundos.
• v é uma operação detalhada.
• PIN é o PIN do Cartão Inteligente.
• WELL_KNOWN_SID_TYPE é um SID numérico:
  • 22 – Sistema Local
  • 23 – Serviço Local
  • 24 – Serviço de Rede

Comentários

Os arquivos a seguir são baixados usando o mecanismo de atualização automática:

• authrootstl.cab contém as CTLs de certificados raiz não Microsoft.
• disallowedcertstl.cab contém as CTLs de certificados não confiáveis.
• disallowedcert.sst contém o repositório de certificados serializado, incluindo os certificados não confiáveis.
• thumbprint.crt contém os certificados raiz não Microsoft.

Por exemplo, certutil -syncWithWU \\server1\PKI\CTLs.

• Se você usar um caminho ou pasta local inexistente como a pasta de destino, verá o erro: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Se você usar um local de rede inexistente ou indisponível como a pasta de destino, verá o erro: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Se o servidor não puder se conectar pela porta TCP 80 aos servidores de Atualização Automática da Microsoft, você receberá o seguinte erro: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Se o servidor não conseguir acessar os servidores de Atualização Automática da Microsoft com o nome DNS ctldl.windowsupdate.com, você receberá o seguinte erro: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Se você não usar a alternância -f e algum dos arquivos da CTL já existir no diretório, você recebe um erro de arquivo existente: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Se houver uma alteração nos certificados raiz confiáveis, você verá: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opções:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Gera um arquivo de repositório sincronizado com o Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Onde:

• SSTFile é o arquivo .sst a ser gerado que contém as Raízes de Terceiros baixadas do Windows Update.

Opções:

[-f] [-split]

-generatePinRulesCTL

Gera um arquivo CTL (Lista de Certificados Confiáveis) que contém uma lista de regras de anexação.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Onde:

• XMLFile é o arquivo XML de entrada a ser analisado.
• CTLFile é o arquivo CTL de saída a ser gerado.
• SSTFile é o arquivo .sst opcional a ser criado que contém todos os certificados usados para anexação.
• QueryFilesPrefix são arquivos opcionais Domains.csv e Keys.csv a serem criados para consulta ao banco de dados.
  • A cadeia de caracteres QueryFilesPrefix é anexada a cada arquivo criado.
  • O arquivo Domains.csv contém o nome da regra, linhas de domínio.
  • O arquivo Keys.csv contém o nome da regra, as linhas de impressão digital SHA256 da chave.

Opções:

[-f]

-downloadOcsp

Baixa as respostas do OCSP e grava no diretório.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Onde:

• CertificateDir é o diretório de um certificado, repositório e arquivos PFX.
• OcspDir é o diretório para gravar respostas OCSP.
• ThreadCount é o número máximo opcional de threads para download simultâneo. O padrão é 10.
• Modifiers é uma lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • DownloadOnce - Baixa uma vez e sai.
  • ReadOcsp - Lê de OcspDir em vez de gravar.

-generateHpkpHeader

Gera o cabeçalho HPKP usando certificados em um arquivo ou diretório especificado.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Onde:

• CertFileOrDir é o arquivo ou diretório de certificados, que é a origem de pin-sha256.
• MaxAge é o valor de idade máxima em segundos.
• ReportUri é o URI de relatório opcional.
• Modifiers é uma lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • includeSubDomains - Acrescenta o includeSubDomains.

-flushCache

Libera os caches especificados no processo selecionado, como lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Onde:

• ProcessId é a ID numérica de um processo a ser liberado. Defina como 0 para liberar todos os processos em que a liberação está habilitada.

• CacheMask é a máscara de bits dos caches a serem liberados, numéricos ou os seguintes bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers é uma lista separada por vírgulas, que pode incluir um ou mais dos seguintes:

  • Show - Mostra os caches que estão sendo liberados. Certutil deve ser explicitamente encerrado.

-addEccCurve

Adiciona uma curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Onde:

• CurveClass é o tipo de Classe de curva ECC:

  • WEIERSTRASS (Padrão)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName é o nome da curva ECC.

• CurveParameters é um dos seguintes:

  • Um nome de arquivo de certificado que contém parâmetros codificados em ASN.
  • Um arquivo que contém parâmetros codificados em ASN.

• CurveOID é a curva ECC OID e é uma das seguintes:

  • Um nome de arquivo de certificado que contém parâmetros codificados em ASN.
  • Um OID explícito da curva ECC.

• CurveType é o ponto Schannel ECC NamedCurve (numérico).

Opções:

[-f]

-deleteEccCurve

Exclui a curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Onde:

• CurveName é o nome da curva ECC.
• CurveOID é a curva ECC OID.

Opções:

[-f]

-displayEccCurve

Exibe a curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Onde:

• CurveName é o nome da curva ECC.
• CurveOID é a curva ECC OID.

Opções:

[-f]

-csplist

Lista os provedores de serviços de criptografia (CSPs) instalados neste computador para operações criptográficas.

certutil [options] -csplist [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-csptest

Testa os CSPs instalados neste computador.

certutil [options] -csptest [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Exibe a configuração criptográfica do CNG neste computador.

certutil [options] -CNGConfig

Opções:

[-Silent]

-sign

Assina novamente uma CRL (lista de certificados revogados) ou certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Em que:

• InFileList é a lista separada por vírgulas de arquivos de certificado ou CRL para modificar e assinar novamente.

• SerialNumber é o número de série do certificado a ser criado. O período de validade e outras opções não podem estar presentes.

• CRL cria uma CRL vazia. O período de validade e outras opções não podem estar presentes.

• OutFileList é a lista separada por vírgulas de arquivos de saída de certificado ou CRL modificados. O número de arquivos precisa corresponder a infilelist.

• StartDate+dd:hh é o novo período de validade para os arquivos de certificado ou CRL, incluindo:

  • data opcional mais
  • período de validade de dias e horas opcionais Se vários campos forem usados, use um separador (+) ou (-). Use now[+dd:hh] para começar no momento atual. Use now-dd:hh+dd:hh para iniciar em um deslocamento fixo da hora atual e um período de validade fixo. Use never para não ter data de validade (somente para CRLs).

• SerialNumberList é a lista de números de série separados por vírgulas dos arquivos a serem adicionados ou removidos.

• ObjectIdList é a lista ObjectId de extensão separada por vírgulas dos arquivos a serem removidos.

• @ExtensionFile é o arquivo INF que contém as extensões a serem atualizadas ou removidas. Por exemplo:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm é o nome do algoritmo de hash. Ele deve ser apenas o texto precedido pelo sinal #.

• AlternateSignatureAlgorithm é o especificador de algoritmo de assinatura alternativo.

Opções:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Comentários

• O uso do sinal de subtração (-) remove números de série e extensões.
• Usar o sinal de adição (+) adiciona números de série a uma CRL.
• Você pode usar uma lista para remover números de série e ObjectIds de uma CRL ao mesmo tempo.
• Usar o sinal de subtração antes de AlternateSignatureAlgorithm permite que você use o formato de assinatura herdado.
• Usar o sinal de adição permite usar o formato de assinatura alternativo.
• Se você não especificar AlternateSignatureAlgorithm, o formato de assinatura no certificado ou CRL será usado.

-vroot

Cria ou exclui raízes virtuais da Web e compartilhamentos de arquivos.

certutil [options] -vroot [delete]

-vocsproot

Cria ou exclui raízes virtuais da Web para um proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Adiciona um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários nem pacotes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Em que:

• addEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:

  • Kerberos usa credenciais SSL Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.

• Modificadores:

  • AllowRenewalsOnly permite apenas envios de solicitação de renovação à Autoridade de Certificação por meio da URL.
  • AllowKeyBasedRenewal permite o uso de um certificado sem conta associada no Active Directory. Isso se aplica quando usado com o modo ClientCertificate e AllowRenewalsOnly.

Opções:

[-config Machine\CAName]

-deleteEnrollmentServer

Exclui um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários nem pacotes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Onde:

• deleteEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:
  • Kerberos usa credenciais SSL Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.

Opções:

[-config Machine\CAName]

-addPolicyServer

Adicionar um aplicativo do Servidor de Política e um pool de aplicativos, se necessário. Esse comando não instala binários nem pacotes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Onde:

• addPolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
  • Kerberos usa credenciais SSL Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.
• KeyBasedRenewal permite o uso de políticas retornadas ao cliente que contém modelos keybasedrenewal. Essa opção se aplica somente à autenticação para UserName e ClientCertificate.

-deletePolicyServer

Exclui um aplicativo do Servidor de Política e um pool de aplicativos, se necessário. Esse comando não remove binários nem pacotes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Onde:

• deletePolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
  • Kerberos usa credenciais SSL Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.
• KeyBasedRenewal permite o uso de um servidor de política KeyBasedRenewal.

-Classe

Exibe informações do Registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opções:

[-f]

-7f

Verifica o certificado para codificações de comprimento 0x7f.

certutil [options] -7f CertFile

-oid

Exibe o identificador de objeto ou define um nome de exibição.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Onde:

• ObjectId é a ID a ser exibida ou para adicionar ao nome de exibição.
• GroupID é o número de GroupID (decimal) que ObjectIDs enumeram.
• AlgID é a ID hexadecimal que ObjectID procura.
• AlgorithmName é o nome do algoritmo que ObjectID procura.
• DisplayName exibe o nome a ser armazenado no DS.
• Delete exclui o nome de exibição.
• LanguageId é o valor da ID do idioma (o padrão é o atual: 1033).
• Type é o tipo do objeto DS a ser criado, incluindo:
  • 1 – modelo (padrão)
  • 2 – Política de Emissão
  • 3 – Política de Aplicativo
• -f cria um objeto DS.

Opções:

[-f]

-error

Exibe o texto da mensagem associado a um código de erro.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtém informações do Protocolo SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Define informações SMTP.

certutil [options] -setsmtpinfo LogonName

Opções:

[-config Machine\CAName] [-p Password]

-getreg

Exibe um valor do Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• restore usa a chave do Registro de restauração da Autoridade de Certificação.
• policy usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• template usa a chave do Registro de modelo (usar -user para modelos de usuário).
• enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).
• chain usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).
• RegistryValueName usa o nome do valor do registro (use Name* para a correspondência de prefixo).
• value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

• Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
• Aliases do Registro:
  • Config
  • AC
  • Política - PolicyModules
  • Sair - ExitModules
  • Restaurar - RestoreInProgress
  • Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Cadeia - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Define um valor do Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• restore usa a chave do Registro de restauração da Autoridade de Certificação.
• policy usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• template usa a chave do Registro de modelo (usar -user para modelos de usuário).
• enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).
• chain usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).
• RegistryValueName usa o nome do valor do registro (use Name* para a correspondência de prefixo).
• Value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

• Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.

-delreg

Exclui um valor do Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• restore usa a chave do Registro de restauração da Autoridade de Certificação.
• policy usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• template usa a chave do Registro de modelo (usar -user para modelos de usuário).
• enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).
• chain usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).
• RegistryValueName usa o nome do valor do registro (use Name* para a correspondência de prefixo).
• Value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Comentários

• Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] que é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
• Aliases do Registro:
  • Config
  • AC
  • Política - PolicyModules
  • Sair - ExitModules
  • Restaurar - RestoreInProgress
  • Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptography\MSCEP
  • Cadeia - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importa chaves de usuário e certificados para o banco de dados do servidor para arquivamento de chave.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Em que:

• UserKeyAndCertFile é um arquivo de dados com chaves privadas do usuário e certificados que devem ser arquivados. Esse arquivo pode ser:
  • Um arquivo de exportação do KMS (Servidor de Gerenciamento de Chaves do Exchange).
  • Um arquivo PFX.
• CertId é um token de correspondência de certificado de descriptografia de arquivo de exportação KMS. Para obter mais informações, consulte o parâmetro -store neste artigo.
• -f importa certificados não emitidos pela Autoridade de Certificação.

Opções:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa um arquivo de certificado para o banco de dados.

certutil [options] -ImportCert Certfile [ExistingRow]

Em que:

• ExistingRow importa o certificado no lugar de uma solicitação pendente para a mesma chave.
• -f importa certificados não emitidos pela Autoridade de Certificação.

Opções:

[-f] [-config Machine\CAName]

Comentários

A Autoridade de Certificação também pode precisar ser configurada para dar suporte a certificados estrangeiros executando certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera um blob de recuperação de chave privada arquivado, gera um script de recuperação ou recupera chaves arquivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Em que:

• script gera um script para recuperar chaves (comportamento padrão se vários candidatos à recuperação correspondentes forem encontrados ou se o arquivo de saída não for especificado).
• retrieve recupera um ou mais Blobs de Recuperação de Chave (comportamento padrão se exatamente um candidato de recuperação correspondente for encontrado e se o arquivo de saída for especificado). O uso dessa opção trunca qualquer extensão e acrescenta a cadeia de caracteres específica do certificado e a extensão .rec para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografadas para um ou mais certificados do Agente de Recuperação de Chave.
• recover recupera chaves privadas em uma etapa (requer certificados do Agente de Recuperação de Chave e chaves privadas). O uso dessa opção trunca qualquer extensão e acrescenta a extensão .p12. Cada arquivo contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.
• SearchToken seleciona as chaves e certificados a serem recuperados, incluindo:
  • Nome comum do certificado
  • Número de série do certificado
  • Hash SHA-1 do certificado (impressão digital)
  • Hash SHA-1 da KeyId do certificado (Identificador de Chave da Entidade)
  • Nome do solicitante (domínio\usuário)
  • UPN (usuário@domínio)
• RecoveryBlobOutFile gera um arquivo com uma cadeia de certificados e uma chave privada associada, ainda criptografada para um ou mais certificados do Agente de Recuperação de Chave.
• OutputScriptFile gera um arquivo com um script em lote para reaver e recuperar chaves privadas.
• OutputFileBaseName gera um nome base de arquivo.

Opções:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentários

• Para reaver, qualquer extensão é truncada e uma cadeia de caracteres específica do certificado e as extensões .rec são acrescentadas para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografadas para um ou mais certificados do Agente de Recuperação de Chave.
• Para recuperar, qualquer extensão é truncada e a extensão .p12 é acrescentada. Cada arquivo contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.

-RecoverKey

Recupera uma chave privada arquivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Mescla arquivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Em que:

• PFXInFileList é uma lista separada por vírgulas de arquivos de entrada PFX.
• PFXOutFile é o nome do arquivo de saída PFX.
• Modifiers é uma lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • ExtendedProperties inclui as propriedades estendidas.
  • NoEncryptCert especifica para não criptografar os certificados.
  • EncryptCert especifica para criptografar os certificados.

Opções:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Comentários

• A senha especificada na linha de comando deve ser uma lista de senhas separadas por vírgulas.
• Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-convertEPF

Converte um arquivo PFX em um arquivo EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Em que:

• PFXInFileList é uma lista separada por vírgulas de arquivos de entrada PFX.
• EPFOutFile é o nome do arquivo de saída PFX.
• EPF é o nome do arquivo de saída EPF.
• cast usa criptografia CAST 64.
• cast- usa a criptografia CAST 64 (exportação).
• V3CAcertID é o token de correspondência de certificado de AC V3. Para obter mais informações, consulte o parâmetro -store neste artigo.
• Salt é a cadeia de caracteres de sal do arquivo de saída EPF.

Opções:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Comentários

• A senha especificada na linha de comando deve ser uma lista de senhas separadas por vírgulas.
• Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-add-chain

Adiciona uma cadeia de certificados.

certutil [options] -add-chain LogId certificate OutFile

Opções:

[-f]

-add-pre-chain

Adiciona uma cadeia de pré-certificados.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opções:

[-f]

-get-sth

Obtém uma cabeça de árvore assinada.

certutil [options] -get-sth [LogId]

Opções:

[-f]

-get-sth-consistency

Obtém alterações de cabeça de árvore assinada.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opções:

[-f]

-get-proof-by-hash

Obtém a prova de um hash de um servidor de carimbo de data/hora.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opções:

[-f]

-get-entries

Recupera entradas de um log de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opções:

[-f]

-get-roots

Recupera os certificados raiz do repositório de certificados.

certutil [options] -get-roots LogId

Opções:

[-f]

-get-entry-and-proof

Recupera uma entrada de log de eventos e sua prova criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opções:

[-f]

-VerifyCT

Verifica um certificado em relação ao log de Transparência de Certificado.

certutil [options] -VerifyCT Certificate SCT [precert]

Opções:

[-f]

-?

Exibe a lista de parâmetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Em que:

• -? exibe a lista de parâmetros
• -<name_of_parameter> -? exibe o conteúdo da ajuda para o parâmetro especificado.
• -? -v exibe uma lista completa de parâmetros e opções.

Opções

Esta seção define todas as opções que você pode especificar, com base no comando. Cada parâmetro inclui informações sobre quais opções são válidas para uso.

Opção	Descrição
-admin	Use ICertAdmin2 para propriedades de AC.
-anonymous	Usar credenciais SSL anônimas.
-cert CertId	Certificado de autenticação.
-clientcertificate clientCertId	Usar credenciais SSL de Certificado X.509. Para a interface do usuário de seleção, use -clientcertificate.
-config Machine\CAName	Cadeia de caracteres de nome do computador e Autoridade de Certificação.
-csp provider	Provedor: KSP – Provedor de Armazenamento de Chaves de Software da Microsoft TPM - Provedor de Criptografia da Plataforma Microsoft NGC – Provedor de Armazenamento de Chaves do Microsoft Passport SC – Provedor de Armazenamento de Chaves de Cartão Inteligente da Microsoft
-dc DCName	Direcionar um controlador de domínio específico.
-enterprise	Usar o repositório de certificados do registro empresarial do computador local.
-f	Forçar substituição.
-generateSSTFromWU SSTFile	Gera SST usando o mecanismo de atualização automática.
-gmt	Exibir horários usando GMT.
-GroupPolicy	Usar o repositório de certificados de política de grupo.
-idispatch	Use IDispatch em vez de métodos nativos COM.
-kerberos	Usar credenciais SSL Kerberos.
-localização alternatestoragelocation	(-loc) AlternateStorageLocation.
-mt	Exibir modelos de computador.
-nocr	Codifique texto sem caracteres CR.
-nocrlf	Codificar texto sem caracteres CR-LF.
-nullsign	Usar o hash dos dados como uma assinatura.
-oldpfx	Use criptografia PFX antiga.
-out columnlist	Lista de colunas separadas por vírgulas.
-p senha	Senha
-pin PIN	PIN do cartão inteligente.
-policyserver URLorID	URL ou ID do Servidor de Política. Para U/I de seleção, use -policyserver. Para todos os Servidores de Política, use -policyserver *
-privatekey	Exibir dados de senha e chave privada.
-protect	Proteja as chaves com senha.
-protectto SAMnameandSIDlist	Lista de SID/nome SAM separado por vírgulas.
-restrict restrictionlist	Lista de Restrições separadas por vírgulas. Cada restrição consiste em um nome de coluna, um operador relacional e um inteiro constante, cadeia de caracteres ou data. Um nome de coluna pode ser precedido por um sinal de mais ou de menos para indicar a ordem de classificação. Por exemplo: requestID = 47, +requestername >= a, requestername ou -requestername > DOMAIN, Disposition = 21
-reverse	Log reverso e colunas de fila.
-seconds	Exibir horários usando segundos e milissegundos.
-service	Usa o repositório de certificados de serviço.
-sid	SID numérico: 22 – Sistema Local 23 – Serviço Local 24 – Serviço de Rede
-silent	Use o sinalizador silent para adquirir o contexto de criptografia.
-split	Dividir elementos ASN.1 inseridos e salvar em arquivos.
-sslpolicy servername	ServerName correspondente à Política SSL.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome do Algoritmo de Chave Simétrica com comprimento de chave opcional. Por exemplo: AES,128 ou 3DES.
-syncWithWU DestinationDir	Sincronizar com o Windows Update.
-t timeout	Tempo limite de busca de URL em milissegundos.
-Unicode	Gravar a saída redirecionada em Unicode.
-UnicodeText	Gravar o arquivo de saída em Unicode.
-urlfetch	Recuperar e verificar certificados AIA e CRLs CDP.
-user	Usar as teclas HKEY_CURRENT_USER ou o armazenamento de certificados.
-username username	Usar a conta nomeada para credenciais SSL. Para a interface do usuário de seleção, use -username.
-ut	Exibir modelos de usuário.
-v	Fornecer informações mais detalhadas.
-v1	Use interfaces V1.

Algoritmos de hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Links relacionados

Para obter mais exemplos de como usar esse comando, consulte os seguintes artigos:

• AD CS (Serviços de Certificados do Active Directory)
• Tarefas de certutil para gerenciar certificados
• Configurar raízes confiáveis e certificados não permitidos no Windows