certutil

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil não é recomendável ser usado em nenhum código de produção e não fornece garantias de suporte ao site dinâmico ou de compatibilidades de aplicativos. É uma ferramenta utilizada por desenvolvedores e administradores de TI para exibir informações de conteúdo de certificado em dispositivos.

Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para exibir informações de configuração da AC (autoridade de certificação), configurar os Serviços de Certificados e fazer backup e restaurar componentes de AC. O programa também verifica certificados, pares de chaves e cadeias de certificados.

Se certutil for executado em uma autoridade de certificação sem outros parâmetros, ele exibirá a configuração atual da autoridade de certificação. Se certutil for executado em uma autoridade de não certificação sem outros parâmetros, o comando usará como padrão a execução do certutil -dump comando. Nem todas as versões do certutil fornecem todos os parâmetros e opções descritos por este documento. Você pode ver as opções que sua versão do certutil fornece executando certutil -? ou certutil <parameter> -?.

Tip

Para ver a ajuda completa para todos os verbos e opções certutil, incluindo os que estão ocultos do -? argumento, execute certutil -v -uSAGE. A uSAGE opção diferencia maiúsculas de minúsculas.

Parameters

-dump

Despeja as informações ou arquivos de configuração.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Despeja a estrutura PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analisa e exibe o conteúdo de um arquivo usando a sintaxe ASN.1 (Abstract Syntax Notation). Os tipos de arquivo incluem . CER, . Arquivos formatados de DER e PKCS nº 7.

certutil [options] -asn File [type]

[type]: tipo de decodificação de CRYPT_STRING_* numérico

-decodehex

Decodifica um arquivo codificado em hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo de decodificação de CRYPT_STRING_* numérico

Options:

[-f]

-encodehex

Codifica um arquivo em hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo de codificação de CRYPT_STRING_* numérico

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodifica um arquivo codificado em Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codifica um arquivo para Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Nega uma solicitação pendente.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Reenvia uma solicitação pendente.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Define atributos para uma solicitação de certificado pendente.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId é a ID de solicitação numérica para a solicitação pendente.
AttributeString é o nome do atributo de solicitação e os pares de valor.

Options:

[-config Machine\CAName]

Remarks

Nomes e valores devem ser separados por dois pontos, enquanto vários nomes e pares de valores devem ser separados por nova linha. Por exemplo: CertificateTemplate:User\nEMail:User@Domain.com em que a \n sequência é convertida em um separador de nova linha.

-setextension

Defina uma extensão para uma solicitação de certificado pendente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID é a ID de solicitação numérica para a solicitação pendente.
ExtensionName é a cadeia de caracteres ObjectId da extensão.
Flags define a prioridade da extensão. 0 é recomendável, enquanto 1 define a extensão como crítica, 2 desabilita a extensão e 3 faz as duas coisas.

Options:

[-config Machine\CAName]

Remarks

Se o último parâmetro for numérico, ele será considerado como Long.
Se o último parâmetro puder ser analisado como uma data, ele será considerado uma data.
Se o último parâmetro começar com \@, o restante do token será considerado como o nome do arquivo com dados binários ou um despejo hexadecimal de texto ASCII.
Se o último parâmetro for qualquer outra coisa, ele será usado como uma cadeia de caracteres.

-revoke

Revoga um certificado.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber é uma lista separada por vírgulas de números de série de certificados a serem revogados.
Razão é a representação numérica ou simbólica da razão da revogação, incluindo:
- 0. CRL_REASON_UNSPECIFIED - Não especificado (padrão)
- 1. CRL_REASON_KEY_COMPROMISE - Compromisso de chave
- 2. CRL_REASON_CA_COMPROMISE - Comprometimento da Autoridade de Certificação
- 3. CRL_REASON_AFFILIATION_CHANGED - Afiliação alterada
- 4. CRL_REASON_SUPERSEDED - Substituído
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessação da exploração
- 6. CRL_REASON_CERTIFICATE_HOLD - Retenção de certificado
- 8. CRL_REASON_REMOVE_FROM_CRL - Remover da CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilégio retirado
- 10: CRL_REASON_AA_COMPROMISE - Compromisso AA
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Exibe a disposição do certificado atual.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Obtém a cadeia de caracteres de configuração padrão.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtém a cadeia de caracteres de configuração padrão por meio de ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Obtém a configuração por meio de ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Tenta entrar em contato com a interface de solicitação dos Serviços de Certificados do Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList é uma lista separada por vírgulas de nomes de máquinas de CA. Para um único computador, use uma vírgula de encerramento. Essa opção também exibe o custo do site para cada computador de AC.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta entrar em contato com a interface de administrador dos Serviços de Certificados do Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Exibe informações sobre a autoridade de certificação.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName indica a propriedade CA a ser exibida, com base na seguinte sintaxe de argumento infoname:
- * – Exibe todas as propriedades
- ads - Servidor Avançado
- aia [Índice] - URLs AIA
- cdp [Índice] - URLs do CDP
- cert [Índice] - certificado CA
- certchain [Index] - cadeia de certificados CA
- certcount - contagem de certificados CA
- certcrlchain [Index] - cadeia de certificados CA com CRLs
- certstate [Índice] - certificado CA
- certstatuscode [Index] - status de verificação do certificado CA
- certversion [Index] - Versão do certificado CA
- CRL [Índice] - CRL Base
- crlstate [Índice] - CRL
- crlstatus [Index] - Status de publicação da CRL
- cross- [Index] - Certificado cruzado para trás
- cross+ [Index] - Forward cross cert
- crossstate- [Index] - Certificado cruzado reverso
- crossstate+ [Índice] - Forward cross cert
- deltacrl [Índice] - Delta CRL
- deltacrlstatus [Índice] - Status de publicação da CRL delta
- dns - Nome DNS
- dsname - Nome abreviado da CA higienizada (nome DS)
- error1 ErrorCode - Texto da mensagem de erro
- error2 ErrorCode - Texto da mensagem de erro e código de erro
- exit [Index] - Descrição do módulo de saída
- exitcount - Contagem de módulos de saída
- arquivo - Versão do arquivo
- info - informações da CA
- kra [Índice] - certificado KRA
- kracount - contagem de certificados KRA
- krastate [Índice] - certificado KRA
- kraused - contagem usada do certificado KRA
- localename - nome da localidade da CA
- name - nome da CA
- ocsp [Índice] - URLs OCSP
- pai - CA pai
- policy - Descrição do módulo de política
- product - Versão do produto
- propidmax - PropId CA máximo
- função - Separação de funções
- sanitizedname - Nome da CA higienizada
- sharedfolder - Pasta compartilhada
- subjecttemplateoids - OIDs de modelo de assunto
- modelos - Modelos
- tipo - tipo CA
- xchg [Índice] - certificado de troca CA
- xchgchain [Index] - cadeia de certificados de troca CA
- xchgcount - contagem de certificados de troca de CA
- xchgcrlchain [Index] - cadeia de certificados de troca de CA com CRLs
index é o índice de propriedade baseado em zero opcional.
errorcode é o código de erro numérico.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Exibe informações de tipo de propriedade da AC.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera o certificado para a autoridade de certificação.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile é o arquivo de saída.
Index é o índice de renovação de certificado de CA (o padrão é mais recente).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera a cadeia de certificados para a autoridade de certificação.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile é o arquivo de saída.
Index é o índice de renovação de certificado de CA (o padrão é mais recente).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtém uma CRL (lista de revogação de certificados).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Index é o índice CRL ou índice de chave (o padrão é CRL para a chave mais recente).
delta é a CRL delta (o padrão é CRL base).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica novas CRLs (listas de revogação de certificados) ou CRLs delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh é o novo período de validade da CRL em dias e horas.
republicar republica as CRLs mais recentes.
delta publica apenas as CRLs delta (o padrão é CRLs base e delta).

Options:

[-split] [-config Machine\CAName]

-shutdown

Desliga os Serviços de Certificados do Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Instala um certificado de autoridade de certificação.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renova um certificado de autoridade de certificação.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Use -f para ignorar uma solicitação de renovação pendente e gerar uma nova solicitação.

-schema

Despeja o esquema do certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

O comando usa como padrão a tabela Solicitação e Certificado.
Ext é a tabela de extensão.
Atributo é a tabela de atributos.
CRL é a tabela CRL.

Options:

[-split] [-config Machine\CAName]

-view

Despeja o modo de exibição de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Despejos de fila em uma fila de solicitações específica.
O log despeja os certificados emitidos ou revogados, além de todas as solicitações com falha.
LogFail despeja as solicitações com falha.
Revoked despeja os certificados revogados.
Ext despeja a tabela de extensão.
Attrib despeja a tabela de atributos.
A CRL despeja a tabela CRL.
csv fornece a saída usando valores separados por vírgula.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Para exibir a coluna StatusCode para todas as entradas, digite -out StatusCode
Para exibir todas as colunas da última entrada, digite: -restrict RequestId==$
Para exibir o RequestId e a Disposição para três solicitações, digite: -restrict requestID>=37,requestID<40 -out requestID,disposition
Para exibir IDs de linha IDs de linha e números de CRL para todas as CRLs base, digite: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Para exibir o número 3 da CRL base, digite: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Para exibir toda a tabela CRL, digite: CRL
Use Date[+|-dd:hh] para restrições de data.
Use now+dd:hh para uma data relativa à hora atual.
Os modelos contêm EKUs (usos de chave estendida), que são identificadores de objeto (OIDs) que descrevem como o certificado é usado. Os certificados nem sempre incluem nomes comuns de modelo ou nomes de exibição, mas sempre contêm os EKUs de modelo. Você pode extrair os EKUs de um modelo de certificado específico do Active Directory e restringir exibições com base nessa extensão.

-db

Despeja o banco de dados bruto.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Exclui uma linha do banco de dados do servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

A solicitação exclui as solicitações com falha e pendentes, com base na data de envio.
O certificado exclui os certificados expirados e revogados, com base na data de expiração.
Ext exclui a tabela de extensão.
O atributo exclui a tabela de atributos.
A CRL exclui a tabela CRL.

Options:

[-f] [-config Machine\CAName]

Examples

Para excluir solicitações com falha e pendentes enviadas até 22 de janeiro de 2001, digite: 1/22/2001 request
Para excluir todos os certificados que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 cert
Para excluir a linha de certificado, os atributos e as extensões do RequestID 37, digite: 37
Para excluir CRLs que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 crl

Note

Date espera o formato mm/dd/yyyy em vez de dd/mm/yyyy, por exemplo 1/22/2001 , em vez de 22/1/2001 22 de janeiro de 2001. Se o servidor não estiver configurado com as configurações regionais dos EUA, o uso do argumento Date poderá produzir resultados inesperados.

-backup

Faz backup dos Serviços de Certificados do Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory é o diretório para armazenar os dados de backup.
Incremental executa apenas um backup incremental (o padrão é backup completo).
O KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar os arquivos de log).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Faz backup do banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory é o diretório para armazenar os arquivos de banco de dados de backup.
Incremental executa apenas um backup incremental (o padrão é backup completo).
O KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar os arquivos de log).

Options:

[-f] [-config Machine\CAName]

-backupkey

Faz backup do certificado dos Serviços de Certificados do Active Directory e da chave privada.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory é o diretório para armazenar o arquivo PFX de backup.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaura os Serviços de Certificados do Active Directory.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory é o diretório que contém os dados a serem restaurados.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura o banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory é o diretório que contém os arquivos de banco de dados a serem restaurados.

Options:

[-f] [-config Machine\CAName]

-restorekey

Restaura o certificado dos Serviços de Certificados do Active Directory e a chave privada.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory é o diretório que contém o arquivo PFX a ser restaurado.
PFXFile é o arquivo PFX a ser restaurado.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta os certificados e as chaves privadas. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName é o nome do repositório de certificados.
CertId é o certificado ou o token de correspondência de CRL.
PFXFile é o arquivo PFX a ser exportado.
Os modificadores são a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
- CryptoAlgorithm= especifica o algoritmo criptográfico a ser usado para criptografar o arquivo PFX, como TripleDES-Sha1 ou Aes256-Sha256.
- EncryptCert - Criptografa a chave privada associada ao certificado com uma senha.
- ExportParameters -Exports os parâmetros de chave privada, além do certificado e da chave privada.
- ExtendedProperties - Inclui todas as propriedades estendidas associadas ao certificado no arquivo de saída.
- NoEncryptCert - Exporta a chave privada sem criptografá-la.
- NoChain - Não importa a cadeia de certificados.
- NoRoot - Não importa o certificado raiz.

-importPFX

Importa os certificados e as chaves privadas. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName é o nome do repositório de certificados.
PFXFile é o arquivo PFX a ser importado.
Os modificadores são a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
- AT_KEYEXCHANGE - Altera a especificação de chave para troca de chaves.
- AT_SIGNATURE - Altera a especificação de chave para assinatura.
- ExportEncrypted - Exporta a chave privada associada ao certificado com criptografia de senha.
- FriendlyName= - Especifica um nome amigável para o certificado importado.
- KeyDescription= - Especifica uma descrição para a chave privada associada ao certificado importado.
- KeyFriendlyName= - Especifica um nome amigável para a chave privada associada ao certificado importado.
- NoCert - Não importa o certificado.
- NoChain - Não importa a cadeia de certificados.
- NoExport - Torna a chave privada não exportável.
- NoProtect - Não protege as chaves com senha usando uma senha.
- NoRoot - Não importa o certificado raiz.
- Pkcs8 - Usa o formato PKCS8 para a chave privada no arquivo PFX.
- Proteger - Protege as chaves usando uma senha.
- ProtectHigh - Especifica que uma senha de alta segurança deve ser associada à chave privada.
- VSM - Armazena a chave privada associada ao certificado importado no contêiner do VSC (Cartão Inteligente Virtual).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

O padrão é o repositório de máquinas pessoal.

-dynamicfilelist

Exibe uma lista de arquivos dinâmicos.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Exibe locais de banco de dados.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Gera e exibe um hash criptográfico em um arquivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Despeja o repositório de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName é o nome do repositório de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou o token de correspondência de CRL. Essa ID pode ser:
- Serial number
- SHA-1 certificate
- CRL, CTL ou hash de chave pública
- Índice de certificado numérico (0, 1 e assim por diante)
- Índice crl numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Public key
- ObjectId de assinatura ou extensão
- Nome Comum da entidade de certificado
- E-mail address
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- ObjectId de políticas de aplicativo ou EKU
- Nome Comum do emissor de CRL.

Muitos desses identificadores podem resultar em várias correspondências.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
A -enterprise opção acessa um repositório corporativo de máquinas.
A -service opção acessa um repositório de serviços de máquina.
A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Os problemas de desempenho são observados ao usar o -store parâmetro, considerando estes dois aspectos:

Quando o número de certificados no repositório exceder 10.
Quando um CertId é especificado, ele é usado para corresponder a todos os tipos listados para cada certificado. Por exemplo, se um número de série for fornecido, ele também tentará corresponder a todos os outros tipos listados.

Se você estiver preocupado com problemas de desempenho, os comandos do PowerShell serão recomendados em que ele corresponda apenas ao tipo de certificado especificado.

-enumstore

Enumera os repositórios de certificados.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName é o nome do computador remoto.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Adiciona um certificado ao repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName é o nome do repositório de certificados.
InFile é o certificado ou arquivo CRL que você deseja adicionar ao repositório.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Exclui um certificado do repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName é o nome do repositório de certificados.
CertId é o certificado ou o token de correspondência de CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica um certificado no repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName é o nome do repositório de certificados.
CertId é o certificado ou o token de correspondência de CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara uma associação de chave ou atualiza as propriedades do certificado ou o descritor de segurança de chave. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName é o nome do repositório de certificados.
CertIdList é a lista separada por vírgulas de tokens de correspondência de certificado ou CRL. Para obter mais informações, consulte a -store descrição CertId neste artigo.

PropertyInfFile é o arquivo INF que contém propriedades externas, incluindo:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Despeja o repositório de certificados. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName é o nome do repositório de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou o token de correspondência de CRL. Isso pode ser um:
- Serial number
- SHA-1 certificate
- CRL, CTL ou hash de chave pública
- Índice de certificado numérico (0, 1 e assim por diante)
- Índice crl numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Public key
- ObjectId de assinatura ou extensão
- Nome Comum da entidade de certificado
- E-mail address
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- ObjectId de políticas de aplicativo ou EKU
- Nome Comum do emissor de CRL.

Muitos deles podem resultar em várias correspondências.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
A -enterprise opção acessa um repositório corporativo de máquinas.
A -service opção acessa um repositório de serviços de máquina.
A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Exclui um certificado do repositório.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName é o nome do repositório de certificados. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId é o certificado ou o token de correspondência de CRL. Isso pode ser um:
- Serial number
- SHA-1 certificate
- CRL, CTL ou hash de chave pública
- Índice de certificado numérico (0, 1 e assim por diante)
- Índice crl numérico (.0, .1 e assim por diante)
- Índice CTL numérico (.. 0, .. 1, e assim por diante)
- Public key
- ObjectId de assinatura ou extensão
- Nome Comum da entidade de certificado
- E-mail address
- Nome UPN ou DNS
- Nome do contêiner de chave ou nome do CSP
- Nome do modelo ou ObjectId
- ObjectId de políticas de aplicativo ou EKU
- Nome Comum do emissor de CRL.

Muitos deles podem resultar em várias correspondências.

OutputFile é o arquivo usado para salvar os certificados correspondentes.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
A -enterprise opção acessa um repositório corporativo de máquinas.
A -service opção acessa um repositório de serviços de máquina.
A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Invoca a interface certutil.

certutil [options] -UI File [import]

-TPMInfo

Exibe informações de módulo de plataforma confiável.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Especifica que o arquivo de solicitação de certificado deve ser atestado.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Seleciona um certificado de uma interface do usuário de seleção.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Exibe DNs (nomes diferenciados) do serviço de diretório (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Exclui DNs DS.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Publica uma CRL (lista de certificados ou certificados revogados) no Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile é o nome do arquivo de certificado a ser publicado.
O NTAuthCA publica o certificado no repositório DS Enterprise.
O RootCA publica o certificado no repositório Raiz Confiável do DS.
A SubCA publica o certificado CA no objeto CA DS.
O CrossCA publica o certificado cruzado no objeto de CA DS.
O KRA publica o certificado no objeto do Agente de Recuperação de Chave DS.
O usuário publica o certificado no objeto DS do usuário.
A máquina publica o certificado no objeto DS da máquina.
CRLfile é o nome do arquivo CRL a ser publicado.
DSCDPContainer é o CN do contêiner DS CDP, geralmente o nome da máquina CA.
DSCDPCN é o CN do objeto CDP DS com base no nome abreviado da CA higienizada e no índice de chave.

Options:

[-f] [-user] [-dc DCName]

Use -f para criar um novo objeto DS.

-dsCert

Exibe certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Exibe CRLs DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Exibe CRLs delta do DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Exibe atributos de modelo DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Adiciona modelos de DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Exibe modelos do Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Exibe os modelos de política de registro de certificado.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Exibe as autoridades de certificação (ACs) de um modelo de certificado.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Exibe modelos para a Autoridade de Certificação.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Define os modelos de certificado que a Autoridade de Certificação pode emitir.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

O + sinal adiciona modelos de certificado à lista de modelos disponíveis da AC.
O - sinal remove modelos de certificado da lista de modelos disponíveis da AC.

-SetCASites

Gerencia nomes de site, incluindo a configuração, a verificação e a exclusão de nomes de site da Autoridade de Certificação.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

SiteName é permitido somente ao direcionar uma única Autoridade de Certificação.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

A -config opção tem como destino uma única Autoridade de Certificação (o padrão é todos os CAs).
A -f opção pode ser usada para substituir erros de validação para o SiteName especificado ou para excluir todos os nomes de sites da autoridade de certificação.

Note

Para obter mais informações sobre como configurar os CAs para o reconhecimento de site do AD DS (Active Directory Domain Services), consulte o Reconhecimento de Site do AD DS para clientes CS e PKI do AD DS.

-enrollmentServerURL

Exibe, adiciona ou exclui URLs de servidor de registro associadas a uma AC.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType especifica um dos seguintes métodos de autenticação de cliente ao adicionar uma URL:
- Kerberos - Use credenciais SSL Kerberos.
- UserName - Use uma conta nomeada para credenciais SSL.
- ClientCertificate - Use credenciais SSL de certificado X.509.
- Anônimo - Use credenciais SSL anônimas.
delete exclui a URL especificada associada à CA.
O padrão 1de prioridade é if not specified ao adicionar um URL.
Modificadores é uma lista separada por vírgulas, que inclui um ou mais dos seguintes:
- AllowRenewalsSomente solicitações de renovação podem ser enviadas a esta CA por meio deste URL.
- AllowKeyBasedRenewal permite o uso de um certificado que não tem conta associada no AD. Isso se aplica somente ao modo ClientCertificate e AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Exibe as autoridades de certificação do Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Exibe a política de registro Autoridades de Certificação.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Exibe a política de registro.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Exibe ou exclui entradas de cache da política de registro.

certutil [options] -PolicyCache [delete]

Where:

delete exclui as entradas de cache do servidor de políticas.
-f exclui todas as entradas de cache

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Exibe, adiciona ou exclui entradas do Repositório de Credenciais.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL é o URL de destino. Você também pode usar * para corresponder a todas as entradas ou https://machine* para corresponder a um prefixo de URL.
add adiciona uma entrada de repositório de credenciais. Usar essa opção também requer o uso de credenciais SSL.
delete exclui entradas do repositório de credenciais.
-f substitui uma única entrada ou exclui várias entradas.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala os modelos de certificado padrão.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Verifica o certificado ou as URLs de CRL.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Exibe ou exclui entradas de cache de URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

URL é a URL armazenada em cache.
A CRL é executada somente em todas as URLs de CRL armazenadas em cache.
* opera em todas as URLs armazenadas em cache.
delete exclui URLs relevantes do cache local do usuário atual.
-f força a busca de uma URL específica e a atualização do cache.

Options:

[-f] [-split]

-pulse

Pulsa um evento de registro automático ou tarefa NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName é a tarefa a ser disparada.
- Pregen é a tarefa de pré-geração da chave NGC.
- AIKEnroll é a tarefa de registro de certificado NGC AIK. (Padrão para o evento de registro automático).
SRKThumbprint é a impressão digital da chave raiz de armazenamento
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Exibe informações sobre o objeto de máquina do Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Exibe informações sobre o controlador de domínio. O padrão exibe certificados DC sem verificação.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

A capacidade de especificar um domínio [Domínio] dos Serviços de Domínio Active Directory (AD DS) e especificar um controlador de domínio (-dc) foi adicionada no Windows Server 2012. Para executar o comando com êxito, você deve usar uma conta que seja membro de Administradores de Domínio ou Administradores Corporativos. As modificações de comportamento desse comando são as seguintes:

Se um domínio não for especificado e um controlador de domínio específico não for especificado, essa opção retornará uma lista de controladores de domínio a serem processados do controlador de domínio padrão.
Se um domínio não for especificado, mas um controlador de domínio for especificado, um relatório dos certificados no controlador de domínio especificado será gerado.
Se um domínio for especificado, mas um controlador de domínio não for especificado, uma lista de controladores de domínio será gerada juntamente com relatórios nos certificados de cada controlador de domínio na lista.
Se o domínio e o controlador de domínio forem especificados, uma lista de controladores de domínio será gerada do controlador de domínio de destino. Um relatório dos certificados para cada controlador de domínio na lista também é gerado.

Por exemplo, suponha que haja um domínio chamado CPANDL com um controlador de domínio chamado CPANDL-DC1. Você pode executar o seguinte comando para recuperar uma lista de controladores de domínio e seus certificados do CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Exibe informações sobre uma autoridade de certificação corporativa.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Exibe informações sobre a Autoridade de Certificação.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Exibe informações sobre o cartão inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET exclui todas as chaves do cartão inteligente.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gerencia certificados raiz de cartão inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Lista as chaves armazenadas em um contêiner de chave.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Essa opção usa como padrão as chaves do computador. Para alternar para chaves de usuário, use -user.
Usar o - sinal refere-se ao uso do contêiner de chave padrão.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Exclui o contêiner de chave nomeado.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Exclui o contêiner do Windows Hello, removendo todas as credenciais associadas armazenadas no dispositivo, incluindo todas as credenciais webAuthn e FIDO.

Os usuários precisam sair depois de usar essa opção para que ela seja concluída.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica um conjunto de chaves pública ou privada.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName é o nome do contêiner de chave para a chave a ser verificada. Essa opção usa como padrão as chaves do computador. Para alternar para chaves de usuário, use -user.
CACertFile assina ou criptografa arquivos de certificado.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Se nenhum argumento for especificado, cada certificado de AC de assinatura será verificado em relação à chave privada.
Essa operação só pode ser executada em uma AC local ou chaves locais.

-verify

Verifica um certificado, uma CRL (lista de certificados revogados) ou uma cadeia de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile é o nome do certificado a ser verificado.
ApplicationPolicyList é a lista opcional separada por vírgulas de ObjectIds de política de aplicativo necessários.
IssuancePolicyList é a lista opcional separada por vírgulas de ObjectIds de política de emissão necessárias.
CACertFile é o certificado de autoridade de certificação de emissão opcional a ser verificado.
CrossedCACertFile é o certificado opcional certificado pelo CertFile.
CRLFile é o arquivo CRL usado para verificar o CACertFile.
IssuedCertFile é o certificado emitido opcional coberto pelo CRLfile.
DeltaCRLFile é o arquivo CRL delta opcional.
Modifiers:
- Forte – Verificação de assinatura forte
- MSRoot – Deve ser encadeamento a uma raiz da Microsoft
- MSTestRoot – Deve ser encadeamento a uma raiz de teste da Microsoft
- AppRoot – Deve ser encadeamento a uma raiz de aplicativo da Microsoft
- EV – Impor política de validação estendida

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

O uso de ApplicationPolicyList restringe a criação de cadeias apenas a cadeias válidas para as Políticas de Aplicativo especificadas.
O uso de IssuancePolicyList restringe a criação de cadeias apenas a cadeias válidas para as Políticas de Emissão especificadas.
O uso de CACertFile verifica os campos no arquivo em relação a CertFile ou CRLfile.
Se CACertFile não for especificado, a cadeia completa será criada e verificada em relação a CertFile.
Se CACertFile e CrossedCACertFile forem especificados, os campos em ambos os arquivos serão verificados em relação a CertFile.
O uso de IssuedCertFile verifica os campos no arquivo em relação a CRLfile.
O uso de DeltaCRLFile verifica os campos no arquivo em relação a CertFile.

-verifyCTL

Verifica a CTL de Certificados AuthRoot ou Não Permitido.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

O CTLObject identifica o CTL a ser verificado, incluindo:
- AuthRootWU lê o CAB AuthRoot e os certificados correspondentes do cache de URL. Use -f para baixar do Windows Update.
- DisallowedWU lê o CAB de certificados não permitidos e o arquivo de armazenamento de certificados não permitidos do cache de URL. Use -f para baixar do Windows Update.
  - PinRulesWU lê o CAB PinRules do cache de URL. Use -f para baixar do Windows Update.
- AuthRoot lê a CTL AuthRoot armazenada em cache no registro. Use com -f e um CertFile não confiável para forçar a atualização das CTLs de AuthRoot e Certificado Não Permitido em cache do Registro.
- Disallowed lê a CTL de Certificados Não Permitidos armazenados em cache no registro. Use com -f e um CertFile não confiável para forçar a atualização das CTLs de AuthRoot e Certificado Não Permitido em cache do Registro.
  - PinRules lê o registro armazenado em cache PinRules CTL. O uso -f tem o mesmo comportamento que com PinRulesWU.
- CTLFileName especifica o arquivo ou o caminho http para o arquivo CTL ou CAB.
CertDir especifica a pasta que contém os certificados que correspondem às entradas CTL. O padrão é a mesma pasta ou site que o CTLobject. Usar um caminho de pasta http requer um separador de caminho no final. Se você não especificar AuthRoot ou Disallowed, vários locais serão pesquisados por certificados correspondentes, incluindo repositórios de certificados locais, recursos crypt32.dll e o cache de URL local. Use -f para baixar do Windows Update, conforme necessário.
CertFile especifica os certificados a serem verificados. Os certificados são correspondidos com entradas CTL, exibindo os resultados. Essa opção suprime a maior parte da saída padrão.

Options:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados com o Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir é o diretório especificado.
f força uma substituição.
O Unicode grava a saída redirecionada em Unicode.
gmt exibe os horários como GMT.
segundos exibe tempos com segundos e milissegundos.
v é uma operação detalhada.
PIN é o PIN do Smart Card.
WELL_KNOWN_SID_TYPE é um SID numérico:
- 22 – Sistema Local
- 23 – Serviço Local
- 24 – Serviço de Rede

Remarks

Os seguintes arquivos são baixados usando o mecanismo de atualização automática:

authrootstl.cab contém as CTLs de certificados raiz que não são da Microsoft.
disallowedcertstl.cab contém as CTLs de certificados não confiáveis.
DisallowedCert.sst contém o repositório de certificados serializados, incluindo os certificados não confiáveis.
thumbprint.crt contém os certificados raiz que não são da Microsoft.

Por exemplo, certutil -syncWithWU \\server1\PKI\CTLs.

Se você usar um caminho ou pasta local inexistente como a pasta de destino, verá o erro: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Se você usar um local de rede inexistente ou indisponível como a pasta de destino, verá o erro: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Se o servidor não puder se conectar pela porta TCP 80 aos servidores de Atualização Automática da Microsoft, você receberá o seguinte erro: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Se o servidor não conseguir acessar os servidores de Atualização Automática da Microsoft com o nome ctldl.windowsupdate.comDNS, você receberá o seguinte erro: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Se você não usar a opção -f e qualquer um dos arquivos CTL já existir no diretório, você receberá um erro: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Se houver uma alteração nos certificados raiz confiáveis, você verá: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Gera um arquivo de repositório sincronizado com o Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile é o .sst arquivo a ser gerado que contém as raízes de terceiros baixadas do Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Gera um arquivo CTL (Lista de Confiança de Certificado) que contém uma lista de regras de fixação.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile é o arquivo XML de entrada a ser analisado.
CTLFile é o arquivo CTL de saída a ser gerado.
SSTFile é o arquivo opcional .sst a ser criado que contém todos os certificados usados para fixação.
QueryFilesPrefix são Domains.csv opcionais e Keys.csv arquivos a serem criados para consulta de banco de dados.
- A cadeia de caracteres QueryFilesPrefix é anexada a cada arquivo criado.
- O arquivoDomains.csvcontém o nome da regra, linhas de domínio.
- O arquivo Keys.csv contém o nome da regra, as principais linhas de impressão digital SHA256.

Options:

[-f]

-downloadOcsp

Baixa as respostas E gravações do OCSP no diretório.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir é o diretório de um certificado, armazenamento e arquivos PFX.
OcspDir é o diretório para gravar respostas OCSP.
ThreadCount é o número máximo opcional de threads para download simultâneo. O padrão é 10.
Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- DownloadOnce - Baixa uma vez e sai.
- ReadOcsp - Lê de OcspDir em vez de gravar.

-generateHpkpHeader

Gera o cabeçalho HPKP usando certificados em um arquivo ou diretório especificado.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir é o arquivo ou diretório de certificados, que é a origem do pin-sha256.
MaxAge é o valor max-age em segundos.
ReportUri é o report-uri opcional.
Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- includeSubDomains - Acrescenta os includeSubDomains.

-flushCache

Libera os caches especificados no processo selecionado, como lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId é a ID numérica de um processo a ser liberado. Defina como 0 para liberar todos os processos em que a liberação está habilitada.
CacheMask é a máscara de bits dos caches a serem liberados numéricos ou os seguintes bits:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
- Mostrar - Mostra os caches que estão sendo liberados. O Certutil deve ser encerrado explicitamente.

-addEccCurve

Adiciona uma curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass é o tipo de classe de curva ECC:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName é o nome da curva ECC.
CurveParameters são um dos seguintes:
- Um nome de arquivo de certificado que contém parâmetros codificados em ASN.
- Um arquivo que contém parâmetros codificados em ASN.
CurveOID é o OID da curva ECC e é um dos seguintes:
- Um nome de arquivo de certificado que contém uma OID codificada em ASN.
- Uma OID de curva ECC explícita.
CurveType é o ponto Schannel ECC NamedCurve (numérico).

Options:

[-f]

-deleteEccCurve

Exclui a curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName é o nome da curva ECC.
CurveOID é o OID da curva ECC.

Options:

[-f]

-displayEccCurve

Exibe a curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName é o nome da curva ECC.
CurveOID é o OID da curva ECC.

Options:

[-f]

-csplist

Lista os CSPs (provedores de serviços criptográficos) instalados neste computador para operações criptográficas.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Testa os CSPs instalados neste computador.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Exibe a configuração criptográfica CNG neste computador.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Assina novamente uma CRL (lista de certificados revogados) ou certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList é a lista separada por vírgulas de arquivos de certificado ou CRL a serem modificados e assinados novamente.
SerialNumber é o número de série do certificado a ser criado. O período de validade e outras opções não podem estar presentes.
A CRL cria uma CRL vazia. O período de validade e outras opções não podem estar presentes.
OutFileList é a lista separada por vírgulas de arquivos de saída de certificado ou CRL modificados. O número de arquivos deve corresponder à lista de arquivos.
StartDate+dd:hh é o novo período de validade para o certificado ou arquivos CRL, incluindo:
- data e adição opcionais
- período de validade de dias e horas opcionais Se vários campos forem usados, use um separador (+) ou (-). Use now[+dd:hh] para começar no momento atual. Use now-dd:hh+dd:hh para iniciar em um deslocamento fixo do tempo atual e um período de validade fixo. Use never para não ter data de validade (somente para CRLs).
SerialNumberList é a lista de números de série separados por vírgula dos arquivos a serem adicionados ou removidos.
ObjectIdList é a lista ObjectId de extensão separada por vírgulas dos arquivos a serem removidos.

@ExtensionFile é o arquivo INF que contém as extensões a serem atualizadas ou removidas. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm é o nome do algoritmo de hash. Esse deve ser apenas o texto precedido pelo # sinal.
AlternateSignatureAlgorithm é o especificador de algoritmo de assinatura alternativo.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

O uso do sinal de subtração (-) remove os números de série e as extensões.
Usar o sinal de adição (+) adiciona números de série a uma CRL.
Você pode usar uma lista para remover números de série e ObjectIds de uma CRL ao mesmo tempo.
Usar o sinal de menos antes de AlternateSignatureAlgorithm permite que você use o formato de assinatura herdado.
Usar o sinal de adição permite que você use o formato de assinatura alternativo.
Se você não especificar AlternateSignatureAlgorithm, o formato de assinatura no certificado ou na CRL será usado.

-vroot

Cria ou exclui raízes virtuais da Web e compartilhamentos de arquivos.

certutil [options] -vroot [delete]

-vocsproot

Cria ou exclui raízes virtuais da Web para um proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Adiciona um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários ou pacotes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificados, incluindo:
- O Kerberos usa credenciais SSL do Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- O ClientCertificate usa credenciais SSL do Certificado X.509.
Modifiers:
- AllowRenewalsOnly permite apenas envios de solicitação de renovação para a Autoridade de Certificação por meio do URL.
- AllowKeyBasedRenewal permite o uso de um certificado sem conta associada no Active Directory. Isso se aplica quando usado com o modo ClientCertificate e AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Exclui um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários ou pacotes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificados, incluindo:
- O Kerberos usa credenciais SSL do Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- O ClientCertificate usa credenciais SSL do Certificado X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

Adicione um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Esse comando não instala binários ou pacotes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
- O Kerberos usa credenciais SSL do Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- O ClientCertificate usa credenciais SSL do Certificado X.509.
KeyBasedRenewal permite o uso de políticas retornadas ao cliente que contêm modelos keybasedreducation. Essa opção se aplica somente à autenticação UserName e ClientCertificate .

-deletePolicyServer

Exclui um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Esse comando não remove binários ou pacotes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
- O Kerberos usa credenciais SSL do Kerberos.
- UserName usa conta nomeada para credenciais SSL.
- O ClientCertificate usa credenciais SSL do Certificado X.509.
KeyBasedRenewal permite o uso de um servidor de política KeyBasedRenewal.

-Class

Exibe informações do registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Verifica o certificado para codificações de comprimento 0x7f.

certutil [options] -7f CertFile

-oid

Exibe o identificador de objeto ou define um nome de exibição.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId é a ID a ser exibida ou a ser adicionada ao nome de exibição.
GroupId é o número GroupID (decimal) que ObjectIds enumera.
AlgId é a ID hexadecimal que objectID procura.
AlgorithmName é o nome do algoritmo que objectID procura.
DisplayName exibe o nome a ser armazenado no DS.
Excluir exclui o nome de exibição.
LanguageId é o valor da ID do idioma (o padrão é atual: 1033).
Type é o tipo de objeto DS a ser criado, incluindo:
- 1 - Modelo (padrão)
- 2 - Política de Emissão
- 3 – Política de Aplicativo
-f cria um objeto DS.

Options:

[-f]

-error

Exibe o texto da mensagem associado a um código de erro.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtém informações do Protocolo SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Define informações de SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Exibe um valor do Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca usa uma chave de registro da Autoridade de Certificação.
restore usa a chave de registro de restauração da Autoridade de Certificação.
A política usa a chave do Registro do módulo de política.
exit usa a chave do Registro do primeiro módulo de saída.
O modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
Enroll usa a chave do Registro de registro (use -user para contexto de usuário).
A cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
O ProgId usa o ProgID (nome da subchave do Registro) do módulo de política ou saída.
RegistryValueName usa o nome do valor do Registro (use Name* para prefixar a correspondência).
value usa o novo valor numérico, cadeia de caracteres ou data do Registro ou nome de arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
Registry aliases:
- Config
- AC
- Política – PolicyModules
- Exit – ExitModules
- Restauração – RestoreInProgress
- Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP – Software\Microsoft\Cryptography\MSCEP
- Cadeia - Software\Microsoft\Criptografia\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - Sistema \ CurrentControlSet \ Controle \ Criptografia \ Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Define um valor do Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca usa uma chave de registro da Autoridade de Certificação.
restore usa a chave de registro de restauração da Autoridade de Certificação.
A política usa a chave do Registro do módulo de política.
exit usa a chave do Registro do primeiro módulo de saída.
O modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
Enroll usa a chave do Registro de registro (use -user para contexto de usuário).
A cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
O ProgId usa o ProgID (nome da subchave do Registro) do módulo de política ou saída.
RegistryValueName usa o nome do valor do Registro (use Name* para prefixar a correspondência).
O valor usa o novo valor numérico, de cadeia de caracteres ou de data ou nome de arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.

-delreg

Exclui um valor do Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca usa uma chave de registro da Autoridade de Certificação.
restore usa a chave de registro de restauração da Autoridade de Certificação.
A política usa a chave do Registro do módulo de política.
exit usa a chave do Registro do primeiro módulo de saída.
O modelo usa a chave do Registro do modelo (use -user para modelos de usuário).
Enroll usa a chave do Registro de registro (use -user para contexto de usuário).
A cadeia usa a chave do Registro de configuração de cadeia.
PolicyServers usa a chave do Registro Policy Servers.
O ProgId usa o ProgID (nome da subchave do Registro) do módulo de política ou saída.
RegistryValueName usa o nome do valor do Registro (use Name* para prefixar a correspondência).
O valor usa o novo valor numérico, de cadeia de caracteres ou de data do Registro ou nome de arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
Use i64 como sufixo para criar um valor REG_QWORD.
Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
Registry aliases:
- Config
- AC
- Política – PolicyModules
- Exit – ExitModules
- Restauração – RestoreInProgress
- Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
- Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP – Software\Microsoft\Cryptography\MSCEP
- Cadeia - Software\Microsoft\Criptografia\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - Sistema \ CurrentControlSet \ Controle \ Criptografia \ Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport – Software\Policies\Microsoft\PassportForWork
- MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importa chaves de usuário e certificados para o banco de dados do servidor para arquivamento de chaves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile é um arquivo de dados com chaves privadas do usuário e certificados que devem ser arquivados. Esse arquivo pode ser:
- Um arquivo de exportação KMS (Servidor de Gerenciamento de Chaves do Exchange).
- Um arquivo PFX.
CertId é um token de correspondência de certificado de descriptografia de arquivo de exportação do KMS. Para obter mais informações, consulte o -store parâmetro neste artigo.
-f importa certificados não emitidos pela Autoridade de Certificação.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa um arquivo de certificado para o banco de dados.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow importa o certificado no lugar de uma solicitação pendente para a mesma chave.
-f importa certificados não emitidos pela Autoridade de Certificação.

Options:

[-f] [-config Machine\CAName]

Remarks

A Autoridade de Certificação também pode precisar ser configurada para dar suporte a certificados estrangeiros executando certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera um blob de recuperação de chave privada arquivado, gera um script de recuperação ou recupera chaves arquivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

script gera um script para recuperar e recuperar chaves (comportamento padrão se vários candidatos de recuperação correspondentes forem encontrados ou se o arquivo de saída não for especificado).
recuperar recupera um ou mais Blobs de Recuperação de Chave (comportamento padrão se exatamente um candidato a recuperação correspondente for encontrado e se o arquivo de saída for especificado). Usar essa opção trunca qualquer extensão e acrescenta a cadeia de caracteres específica do certificado e a .rec extensão para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografada em um ou mais certificados do Key Recovery Agent.
recover recupera e recupera chaves privadas em uma etapa (requer certificados e chaves privadas do Agente de Recuperação de Chaves). Usar essa opção trunca qualquer extensão e acrescenta a .p12 extensão. Cada arquivo contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.
O SearchToken seleciona as chaves e certificados a serem recuperados, incluindo:
- Nome Comum do Certificado
- Número de série do certificado
- Hash SHA-1 do certificado (impressão digital)
- Hash KeyId SHA-1 de certificado (identificador de chave de entidade)
- Nome do solicitante (domínio\usuário)
- UPN (user@domain)
RecoveryBlobOutFile gera um arquivo com uma cadeia de certificados e uma chave privada associada, ainda criptografada para um ou mais certificados do Agente de Recuperação de Chaves.
OutputScriptFile gera um arquivo com um script em lote para recuperar chaves privadas.
OutputFileBaseName gera um nome base de arquivo.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Para recuperar, qualquer extensão é truncada e uma cadeia de caracteres específica do certificado e as .rec extensões são acrescentadas para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografada em um ou mais certificados do Key Recovery Agent.
Para recuperar, qualquer extensão é truncada e a .p12 extensão é anexada. Contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.

-RecoverKey

Recupera uma chave privada arquivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Mescla arquivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList é uma lista separada por vírgulas de arquivos de entrada PFX.
PFXOutFile é o nome do arquivo de saída PFX.
Modificadores são listas separadas por vírgulas de um ou mais dos seguintes:
- ExtendedProperties inclui todas as propriedades estendidas.
- NoEncryptCert especifica para não criptografar os certificados.
- EncryptCert especifica a criptografia dos certificados.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

A senha especificada na linha de comando deve ser uma lista de senhas separada por vírgulas.
Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-add-chain

Adiciona uma cadeia de certificados.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Adiciona uma cadeia de pré-certificados.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Obtém uma cabeça de árvore assinada.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Obtém alterações de cabeça de árvore assinadas.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Obtém a prova de um hash de um servidor de carimbo de data/hora.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Recupera entradas de um log de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Recupera os certificados raiz do repositório de certificados.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Recupera uma entrada de log de eventos e sua prova criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Verifica um certificado no log de Transparência do Certificado.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Exibe a lista de parâmetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? exibe a lista de parâmetros
-<name_of_parameter> -? exibe o conteúdo da ajuda para o parâmetro especificado.
-? -v exibe uma lista detalhada de parâmetros e opções.

Opções

Esta seção define todas as opções que você pode especificar, com base no comando. Cada parâmetro inclui informações sobre quais opções são válidas para uso.

Option	Description
-admin	Use ICertAdmin2 para propriedades de AC.
-anonymous	Use credenciais SSL anônimas.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Use credenciais SSL de certificado X.509. Para a interface do usuário de seleção, use `-clientcertificate`.
-config Machine\CAName	Autoridade de Certificação e cadeia de caracteres de nome do computador.
-csp provider	Provider: KSP - Provedor de armazenamento de chaves de software da Microsoft TPM - Provedor de criptografia da plataforma Microsoft NGC - Provedor de armazenamento de chaves do Microsoft Passport SC - Provedor de Armazenamento de Chaves de Cartão Inteligente da Microsoft
-dc DCName	Direcione um controlador de domínio específico.
-enterprise	Use o repositório de certificados do Registro empresarial do computador local.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Gere o SST usando o mecanismo de atualização automática.
-gmt	Tempos de exibição usando GMT.
-GroupPolicy	Use o repositório de certificados de política de grupo.
-idispatch	Use IDispatch em vez de métodos nativos COM.
-kerberos	Use as credenciais de SSL do Kerberos.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-mt	Exibir modelos de computador.
-nocr	Codificar texto sem caracteres CR.
-nocrlf	Codificar texto sem CR-LF caracteres.
-nullsign	Use o hash dos dados como uma assinatura.
-oldpfx	Use criptografia PFX antiga.
-out columnlist	Lista de colunas separadas por vírgulas.
-p password	Password
-pin PIN	PIN de cartão inteligente.
-policyserver URLorID	URL ou ID do Servidor de Política. Para a seleção U/I, use `-policyserver`. Para todos os Servidores de Política, use `-policyserver *`
-privatekey	Exibir dados de senha e chave privada.
-protect	Proteger chaves com senha.
-protectto SAMnameandSIDlist	Lista de SID/nome SAM separado por vírgulas.
-restrict restrictionlist	Lista de restrições separada por vírgulas. Cada restrição consiste em um nome de coluna, um operador relacional e um inteiro constante, cadeia de caracteres ou data. Um nome de coluna pode ser precedido por um sinal de adição ou menos para indicar a ordem de classificação. Por exemplo: `requestID = 47`, `+requestername >= a, requestername`, ou `-requestername > DOMAIN, Disposition = 21`.
-reverse	Colunas de log e fila inversas.
-seconds	Tempos de exibição usando segundos e milissegundos.
-service	Use o repositório de certificados de serviço.
-sid	Numeric SID: 22 - Sistema Local 23 - Serviço Local 24 - Serviço de Rede
-silent	Use o sinalizador para adquirir o `silent` contexto de cripta.
-split	Dividir elementos ASN.1 inseridos e salvar em arquivos.
-sslpolicy servername	ServerName correspondente à Política SSL.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome do Algoritmo de Chave Simétrica com comprimento de chave opcional. Por exemplo: `AES,128` ou `3DES`.
-syncWithWU DestinationDir	Sincronizar com o Windows Update.
-t timeout	Tempo limite de busca de URL em milissegundos.
-Unicode	Gravar saída redirecionada no Unicode.
-UnicodeText	Gravar arquivo de saída no Unicode.
-urlfetch	Recuperar e verificar certificados do AIA e CRLs cdp.
-user	Use as chaves HKEY_CURRENT_USER ou o repositório de certificados.
-username username	Use a conta nomeada para credenciais SSL. Para a interface do usuário de seleção, use `-username`.
-ut	Exibir modelos de usuário.
-v	Forneça informações mais detalhadas (detalhadas).
-v1	Use interfaces V1.

Algoritmos de hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Para obter mais exemplos de como usar esse comando, consulte os seguintes artigos:

Comentários

Esta página foi útil?

Last updated on 2025-08-16

Compartilhar via

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA