certutil

Cuidado

Certutil não é recomendável ser usado em nenhum código de produção e não fornece garantias de suporte ao site dinâmico ou de compatibilidades de aplicativos. É uma ferramenta utilizada por desenvolvedores e administradores de TI para exibir informações de conteúdo de certificado em dispositivos.

Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para exibir informações de configuração da AC (autoridade de certificação), configurar os Serviços de Certificados e fazer backup e restaurar componentes de AC. O programa também verifica certificados, pares de chaves e cadeias de certificados.

Se certutil for executado em uma autoridade de certificação sem outros parâmetros, ele exibirá a configuração atual da autoridade de certificação. Se certutil for executado em uma autoridade de não certificação sem outros parâmetros, o comando usará como padrão a execução do certutil -dump comando. Nem todas as versões do certutil fornecem todos os parâmetros e opções descritos por este documento. Você pode ver as opções que sua versão do certutil fornece executando certutil -? ou certutil <parameter> -?.

Dica

Para ver a ajuda completa para todos os verbos e opções certutil, incluindo os que estão ocultos do -? argumento, execute certutil -v -uSAGE. A uSAGE opção diferencia maiúsculas de minúsculas.

Parâmetros

-dump

Despeja as informações ou arquivos de configuração.

certutil [options] [-dump]
certutil [options] [-dump] File

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Despeja a estrutura PFX.

certutil [options] [-dumpPFX] File

Opções:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analisa e exibe o conteúdo de um arquivo usando a sintaxe ASN.1 (Abstract Syntax Notation). Os tipos de arquivo incluem . CER, . Arquivos formatados de DER e PKCS nº 7.

certutil [options] -asn File [type]

• [type]: tipo de decodificação de CRYPT_STRING_* numérico

-decodehex

Decodifica um arquivo codificado em hexadecimal.

certutil [options] -decodehex InFile OutFile [type]

• [type]: tipo de decodificação de CRYPT_STRING_* numérico

Opções:

[-f]

-encodehex

Codifica um arquivo em hexadecimal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: tipo de codificação de CRYPT_STRING_* numérico

Opções:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodifica um arquivo codificado em Base64.

certutil [options] -decode InFile OutFile

Opções:

[-f]

-encode

Codifica um arquivo para Base64.

certutil [options] -encode InFile OutFile

Opções:

[-f] [-unicodetext]

-deny

Nega uma solicitação pendente.

certutil [options] -deny RequestId

Opções:

[-config Machine\CAName]

-resubmit

Reenvia uma solicitação pendente.

certutil [options] -resubmit RequestId

Opções:

[-config Machine\CAName]

-setattributes

Define atributos para uma solicitação de certificado pendente.

certutil [options] -setattributes RequestId AttributeString

Em que:

• RequestId é a ID de solicitação numérica para a solicitação pendente.
• AttributeString é o nome do atributo de solicitação e os pares de valor.

Opções:

[-config Machine\CAName]

Observações

• Nomes e valores devem ser separados por dois pontos, enquanto vários nomes e pares de valores devem ser separados por nova linha. Por exemplo: CertificateTemplate:User\nEMail:User@Domain.com em que a \n sequência é convertida em um separador de nova linha.

-setextension

Defina uma extensão para uma solicitação de certificado pendente.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Em que:

• requestID é a ID de solicitação numérica para a solicitação pendente.
• ExtensionName é a cadeia de caracteres ObjectId da extensão.
• Os sinalizadores definem a prioridade da extensão. 0 é recomendável, enquanto 1 define a extensão como crítica, 2 desabilita a extensão e 3 faz as duas coisas.

Opções:

[-config Machine\CAName]

Observações

• Se o último parâmetro for numérico, ele será usado como long.
• Se o último parâmetro puder ser analisado como uma data, ele será usado como uma Data.
• Se o último parâmetro começar com \@, o restante do token será considerado como o nome do arquivo com dados binários ou um despejo hexadecimal de texto ASCII.
• Se o último parâmetro for qualquer outra coisa, ele será usado como uma cadeia de caracteres.

-revoke

Revoga um certificado.

certutil [options] -revoke SerialNumber [Reason]

Em que:

• SerialNumber é uma lista separada por vírgulas de números de série de certificado a serem revogados.
• O motivo é a representação numérica ou simbólica do motivo da revogação, incluindo:
  • 0. CRL_REASON_UNSPECIFIED - Não especificado (padrão)
  • 1. CRL_REASON_KEY_COMPROMISE – Comprometimento da chave
  • 2. CRL_REASON_CA_COMPROMISE – Comprometimento da Autoridade de Certificação
  • 3. CRL_REASON_AFFILIATION_CHANGED – Afiliação alterada
  • 4. CRL_REASON_SUPERSEDED - Substituído
  • 5. CRL_REASON_CESSATION_OF_OPERATION – Cessação da operação
  • 6. CRL_REASON_CERTIFICATE_HOLD – Retenção de certificado
  • 8. CRL_REASON_REMOVE_FROM_CRL – Remover da CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilégio retirado
  • 10: CRL_REASON_AA_COMPROMISE - Comprometimento do AA
  • -1. Cancelar a votação - Cancelarvokes

Opções:

[-config Machine\CAName]

-isvalid

Exibe a disposição do certificado atual.

certutil [options] -isvalid SerialNumber | CertHash

Opções:

[-config Machine\CAName]

-getconfig

Obtém a cadeia de caracteres de configuração padrão.

certutil [options] -getconfig

Opções:

[-idispatch] [-config Machine\CAName]

-getconfig2

Obtém a cadeia de caracteres de configuração padrão por meio de ICertGetConfig.

certutil [options] -getconfig2

Opções:

[-idispatch]

-getconfig3

Obtém a configuração por meio de ICertConfig.

certutil [options] -getconfig3

Opções:

[-idispatch]

-ping

Tenta entrar em contato com a interface de solicitação dos Serviços de Certificados do Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Em que:

• CAMachineList é uma lista separada por vírgulas de nomes de máquinas de AC. Para um único computador, use uma vírgula de encerramento. Essa opção também exibe o custo do site para cada computador de AC.

Opções:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta entrar em contato com a interface de administrador dos Serviços de Certificados do Active Directory.

certutil [options] -pingadmin

Opções:

[-config Machine\CAName]

-CAInfo

Exibe informações sobre a autoridade de certificação.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Em que:

• O InfoName indica a propriedade ca a ser exibida, com base na seguinte sintaxe de argumento infoname:
  • * – Exibe todas as propriedades
  • anúncios – Servidor Avançado
  • aia [Índice] – URLs do AIA
  • cdp [Índice] – URLs de CDP
  • Certificado [Índice] – Certificado de AC
  • certchain [Índice] - Cadeia de certificados de AC
  • Contagem de certificados – contagem de certificados de AC
  • certcrlchain [Index] – Cadeia de certificados de AC com CRLs
  • certstate [Índice] – Certificado de AC
  • certstatuscode [Índice] – Status de verificação de certificado da AC
  • certversion [Index] – versão do certificado de AC
  • CRL [Índice] – CRL base
  • crlstate [Índice] – CRL
  • crlstatus [Índice] – Status de Publicação de CRL
  • cross- [Índice] - Certificado cruzado para trás
  • cross+ [Índice] – Cert cruzado para frente
  • crossstate- [Índice] - Certificado cruzado para trás
  • crossstate+ [Index] – Cert cruzado para frente
  • deltacrl [Índice] – CRL Delta
  • deltacrlstatus [Índice] – Status de Publicação de CRL Delta
  • dns – Nome DNS
  • dsname – Nome curto da AC higienizada (nome DS)
  • error1 ErrorCode – Texto da mensagem de erro
  • error2 ErrorCode – Texto da mensagem de erro e código de erro
  • exit [Index] – Descrição do módulo Exit
  • exitcount – Contagem de módulos de saída
  • arquivo – Versão do arquivo
  • informações – informações da AC
  • kra [Índice] - Certificado KRA
  • kracount - contagem de certificados KRA
  • krastate [Índice] - Certificado KRA
  • kraused - contagem usada do certificado KRA
  • localename – nome da localidade da AC
  • nome - Nome da AC
  • ocsp [Índice] – URLs OCSP
  • pai – AC pai
  • política – Descrição do módulo de política
  • product – Versão do produto
  • propidmax – PropId máxima de AC
  • função – Separação de função
  • sanitizedname - Nome da AC sanitizada
  • sharedfolder – Pasta compartilhada
  • subjecttemplateoids - OIDs de modelo de assunto
  • modelos – Modelos
  • tipo – tipo de AC
  • xchg [Índice] – Certificado de troca da AC
  • xchgchain [Índice] – Cadeia de certificados de troca de AC
  • xchgcount – Contagem de certificados de troca de AC
  • xchgcrlchain [Index] – Cadeia de certificados de troca de AC com CRLs
• index é o índice de propriedade opcional baseado em zero.
• errorcode é o código de erro numérico.

Opções:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Exibe informações de tipo de propriedade da AC.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opções:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera o certificado para a autoridade de certificação.

certutil [options] -ca.cert OutCACertFile [Index]

Em que:

• OutCACertFile é o arquivo de saída.
• Índice é o índice de renovação de certificado da AC (padrão para o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera a cadeia de certificados para a autoridade de certificação.

certutil [options] -ca.chain OutCACertChainFile [Index]

Em que:

• OutCACertChainFile é o arquivo de saída.
• Índice é o índice de renovação de certificado da AC (padrão para o mais recente).

Opções:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Obtém uma CRL (lista de revogação de certificados).

certutil [options] -GetCRL OutFile [Index] [delta]

Em que:

• Índice é o índice CRL ou índice de chave (padrão para CRL para a chave mais recente).
• delta é a CRL delta (o padrão é CRL base).

Opções:

[-f] [-split] [-config Machine\CAName]

-CRL

Publica novas CRLs (listas de revogação de certificados) ou CRLs delta.

certutil [options] -CRL [dd:hh | republish] [delta]

Em que:

• dd:hh é o novo período de validade de CRL em dias e horas.
• republicar republica as CRLs mais recentes.
• delta publica somente as CRLs delta (o padrão é CRLs base e delta).

Opções:

[-split] [-config Machine\CAName]

-shutdown

Desliga os Serviços de Certificados do Active Directory.

certutil [options] -shutdown

Opções:

[-config Machine\CAName]

-installCert

Instala um certificado de autoridade de certificação.

certutil [options] -installCert [CACertFile]

Opções:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Renova um certificado de autoridade de certificação.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opções:

[-f] [-silent] [-config Machine\CAName]

• Use -f para ignorar uma solicitação de renovação pendente e gerar uma nova solicitação.

-schema

Despeja o esquema do certificado.

certutil [options] -schema [Ext | Attrib | CRL]

Em que:

• O comando usa como padrão a tabela Solicitação e Certificado.
• Ext é a tabela de extensão.
• O atributo é a tabela de atributos.
• CRL é a tabela CRL.

Opções:

[-split] [-config Machine\CAName]

-view

Despeja o modo de exibição de certificado.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Em que:

• A fila despeja uma fila de solicitação específica.
• O log despeja os certificados emitidos ou revogados, além de solicitações com falha.
• O LogFail despeja as solicitações com falha.
• Despejos revogados dos certificados revogados.
• Ext despeja a tabela de extensão.
• A attrib despeja a tabela de atributos.
• A CRL despeja a tabela CRL.
• O csv fornece a saída usando valores separados por vírgulas.

Opções:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Observações

• Para exibir a coluna StatusCode para todas as entradas, digite -out StatusCode
• Para exibir todas as colunas da última entrada, digite: -restrict RequestId==$
• Para exibir a RequestId e a Disposição para três solicitações, digite: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Para exibir IDs de linha de IDs de linha e números de CRL para todas as CRLs base, digite: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Para exibir o número 3 da CRL base, digite: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Para exibir toda a tabela CRL, digite: CRL
• Use Date[+|-dd:hh] para restrições de data.
• Use now+dd:hh para uma data relativa à hora atual.
• Os modelos contêm EKUs (usos de chave estendida), que são identificadores de objeto (OIDs) que descrevem como o certificado é usado. Os certificados nem sempre incluem nomes comuns de modelo ou nomes de exibição, mas sempre contêm os EKUs de modelo. Você pode extrair os EKUs de um modelo de certificado específico do Active Directory e restringir exibições com base nessa extensão.

-db

Despeja o banco de dados bruto.

certutil [options] -db

Opções:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Exclui uma linha do banco de dados do servidor.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Em que:

• A solicitação exclui as solicitações com falha e pendentes, com base na data de envio.
• O certificado exclui os certificados expirados e revogados, com base na data de validade.
• Ext exclui a tabela de extensão.
• A Attrib exclui a tabela de atributos.
• A CRL exclui a tabela CRL.

Opções:

[-f] [-config Machine\CAName]

Exemplos

• Para excluir solicitações com falha e pendentes enviadas até 22 de janeiro de 2001, digite: 1/22/2001 request
• Para excluir todos os certificados que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 cert
• Para excluir a linha de certificado, os atributos e as extensões do RequestID 37, digite: 37
• Para excluir CRLs que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 crl

Observação

A data espera o formato mm/dd/yyyy em vez de dd/mm/yyyy, por exemplo 1/22/2001 , em vez de 22/1/2001 para 22 de janeiro de 2001. Se o servidor não estiver configurado com as configurações regionais dos EUA, o uso do argumento Date poderá produzir resultados inesperados.

-backup

Faz backup dos Serviços de Certificados do Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Em que:

• BackupDirectory é o diretório para armazenar os dados de backup.
• Incremental executa apenas um backup incremental (o padrão é o backup completo).
• KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

Opções:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Faz backup do banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Em que:

• BackupDirectory é o diretório para armazenar os arquivos de banco de dados com backup.
• Incremental executa apenas um backup incremental (o padrão é o backup completo).
• KeepLog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

Opções:

[-f] [-config Machine\CAName]

-backupkey

Faz backup do certificado dos Serviços de Certificados do Active Directory e da chave privada.

certutil [options] -backupkey BackupDirectory

Em que:

• BackupDirectory é o diretório para armazenar o arquivo PFX com backup.

Opções:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Restaura os Serviços de Certificados do Active Directory.

certutil [options] -restore BackupDirectory

Em que:

• BackupDirectory é o diretório que contém os dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura o banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -restoredb BackupDirectory

Em que:

• BackupDirectory é o diretório que contém os arquivos de banco de dados a serem restaurados.

Opções:

[-f] [-config Machine\CAName]

-restorekey

Restaura o certificado dos Serviços de Certificados do Active Directory e a chave privada.

certutil [options] -restorekey BackupDirectory | PFXFile

Em que:

• BackupDirectory é o diretório que contém o arquivo PFX a ser restaurado.
• PFXFile é o arquivo PFX a ser restaurado.

Opções:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporta os certificados e as chaves privadas. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Em que:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o token de correspondência de certificado ou CRL.
• PFXFile é o arquivo PFX a ser exportado.
• Modificadores são a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • CryptoAlgorithm= especifica o algoritmo criptográfico a ser usado para criptografar o arquivo PFX, como TripleDES-Sha1 ou Aes256-Sha256.
  • EncryptCert – Criptografa a chave privada associada ao certificado com uma senha.
  • ExportParameters -Exports os parâmetros de chave privada, além do certificado e da chave privada.
  • ExtendedProperties – Inclui todas as propriedades estendidas associadas ao certificado no arquivo de saída.
  • NoEncryptCert – Exporta a chave privada sem criptografá-la.
  • NoChain – não importa a cadeia de certificados.
  • NoRoot – não importa o certificado raiz.

-importPFX

Importa os certificados e as chaves privadas. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Em que:

• CertificateStoreName é o nome do repositório de certificados.
• PFXFile é o arquivo PFX a ser importado.
• Modificadores são a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:
  • AT_KEYEXCHANGE – altera o quadro de chaves para troca de chaves.
  • AT_SIGNATURE – altera o painel de chaves para assinatura.
  • ExportEncrypted – Exporta a chave privada associada ao certificado com criptografia de senha.
  • FriendlyName= – especifica um nome amigável para o certificado importado.
  • KeyDescription= – especifica uma descrição para a chave privada associada ao certificado importado.
  • KeyFriendlyName= – Especifica um nome amigável para a chave privada associada ao certificado importado.
  • NoCert – Não importa o certificado.
  • NoChain – não importa a cadeia de certificados.
  • NoExport – torna a chave privada não exportável.
  • NoProtect – Não protege chaves por senha usando uma senha.
  • NoRoot – não importa o certificado raiz.
  • Pkcs8 – Usa o formato PKCS8 para a chave privada no arquivo PFX.
  • Proteger – protege chaves usando uma senha.
  • ProtectHigh – Especifica que uma senha de alta segurança deve ser associada à chave privada.
  • VSM – Armazena a chave privada associada ao certificado importado no contêiner do VSC (Cartão Inteligente Virtual).

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Observações

• O padrão é o repositório de máquinas pessoal.

-dynamicfilelist

Exibe uma lista de arquivos dinâmicos.

certutil [options] -dynamicfilelist

Opções:

[-config Machine\CAName]

-databaselocations

Exibe locais de banco de dados.

certutil [options] -databaselocations

Opções:

[-config Machine\CAName]

-hashfile

Gera e exibe um hash criptográfico em um arquivo.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Despeja o repositório de certificados.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Em que:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o token de correspondência de certificado ou CRL. Essa ID pode ser:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice crl numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.. 0, .. 1, e assim por diante)
  • Chave pública
  • ObjectId de assinatura ou extensão
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome do CSP
  • Nome do modelo ou ObjectId
  • ObjectId de políticas de aplicativo ou EKU
  • Nome Comum do emissor de CRL.

Muitos desses identificadores podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
• A -enterprise opção acessa um repositório corporativo de máquinas.
• A -service opção acessa um repositório de serviços de máquina.
• A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Observação

Os problemas de desempenho são observados ao usar o -store parâmetro, considerando estes dois aspectos:

1. Quando o número de certificados no repositório exceder 10.
2. Quando um CertId é especificado, ele é usado para corresponder a todos os tipos listados para cada certificado. Por exemplo, se um número de série for fornecido, ele também tentará corresponder a todos os outros tipos listados.

Se você estiver preocupado com problemas de desempenho, os comandos do PowerShell serão recomendados em que ele corresponda apenas ao tipo de certificado especificado.

-enumstore

Enumera os repositórios de certificados.

certutil [options] -enumstore [\\MachineName]

Em que:

• MachineName é o nome do computador remoto.

Opções:

[-enterprise] [-user] [-grouppolicy]

-addstore

Adiciona um certificado ao repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -addstore CertificateStoreName InFile

Em que:

• CertificateStoreName é o nome do repositório de certificados.
• InFile é o certificado ou arquivo CRL que você deseja adicionar ao repositório.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Exclui um certificado do repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -delstore CertificateStoreName certID

Em que:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o token de correspondência de certificado ou CRL.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica um certificado no repositório. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -verifystore CertificateStoreName [CertId]

Em que:

• CertificateStoreName é o nome do repositório de certificados.
• CertId é o token de correspondência de certificado ou CRL.

Opções:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Repara uma associação de chave ou atualiza as propriedades do certificado ou o descritor de segurança de chave. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Em que:

• CertificateStoreName é o nome do repositório de certificados.

• CertIdList é a lista separada por vírgulas de tokens de correspondência de certificado ou CRL. Para obter mais informações, consulte a -store descrição CertId neste artigo.

• PropertyInfFile é o arquivo INF que contém propriedades externas, incluindo:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Despeja o repositório de certificados. Para obter mais informações, consulte o -store parâmetro neste artigo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Em que:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o token de correspondência de certificado ou CRL. Isso pode ser um:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice crl numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.. 0, .. 1, e assim por diante)
  • Chave pública
  • ObjectId de assinatura ou extensão
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome do CSP
  • Nome do modelo ou ObjectId
  • ObjectId de políticas de aplicativo ou EKU
  • Nome Comum do emissor de CRL.

Muitos deles podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
• A -enterprise opção acessa um repositório corporativo de máquinas.
• A -service opção acessa um repositório de serviços de máquina.
• A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Exclui um certificado do repositório.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Em que:

• CertificateStoreName é o nome do repositório de certificados. Por exemplo:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId é o token de correspondência de certificado ou CRL. Isso pode ser um:

  • Número de série
  • Certificado SHA-1
  • CRL, CTL ou hash de chave pública
  • Índice de certificado numérico (0, 1 e assim por diante)
  • Índice crl numérico (.0, .1 e assim por diante)
  • Índice CTL numérico (.. 0, .. 1, e assim por diante)
  • Chave pública
  • ObjectId de assinatura ou extensão
  • Nome Comum da entidade de certificado
  • Endereço de email
  • Nome UPN ou DNS
  • Nome do contêiner de chave ou nome do CSP
  • Nome do modelo ou ObjectId
  • ObjectId de políticas de aplicativo ou EKU
  • Nome Comum do emissor de CRL.

Muitos deles podem resultar em várias correspondências.

• OutputFile é o arquivo usado para salvar os certificados correspondentes.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• A -user opção acessa um repositório de usuários em vez de um repositório de máquinas.
• A -enterprise opção acessa um repositório corporativo de máquinas.
• A -service opção acessa um repositório de serviços de máquina.
• A -grouppolicy opção acessa um repositório de políticas de grupo de computadores.

Por exemplo:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Invoca a interface certutil.

certutil [options] -UI File [import]

-TPMInfo

Exibe informações de módulo de plataforma confiável.

certutil [options] -TPMInfo

Opções:

[-f] [-Silent] [-split]

-attest

Especifica que o arquivo de solicitação de certificado deve ser atestado.

certutil [options] -attest RequestFile

Opções:

[-user] [-Silent] [-split]

-getcert

Seleciona um certificado de uma interface do usuário de seleção.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opções:

[-Silent] [-split]

-ds

Exibe DNs (nomes diferenciados) do serviço de diretório (DS).

certutil [options] -ds [CommonName]

Opções:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Exclui DNs DS.

certutil [options] -dsDel [CommonName]

Opções:

[-user] [-split] [-dc DCName]

-dsPublish

Publica uma CRL (lista de certificados ou certificados revogados) no Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Em que:

• CertFile é o nome do arquivo de certificado a ser publicado.
• O NTAuthCA publica o certificado no repositório do DS Enterprise.
• O RootCA publica o certificado no repositório raiz confiável do DS.
• O SubCA publica o certificado de AUTORIDADE de certificação no objeto de AC do DS.
• O CrossCA publica o certificado cruzado no objeto de AC DS.
• O KRA publica o certificado no objeto do Agente de Recuperação de Chave DS.
• O usuário publica o certificado no objeto DS do usuário.
• O computador publica o certificado no objeto Machine DS.
• CRLfile é o nome do arquivo CRL a ser publicado.
• DSCDPContainer é o CN do contêiner cdp do DS, geralmente o nome do computador da AC.
• DSCDPCN é o CN do objeto CDP do DS com base no nome curto da AC e no índice de chave.

Opções:

[-f] [-user] [-dc DCName]

• Use -f para criar um novo objeto DS.

-dsCert

Exibe certificados DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Exibe CRLs DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Exibe CRLs delta do DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opções:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Exibe atributos de modelo DS.

certutil [options] -dsTemplate [Template]

Opções:

[Silent] [-dc DCName]

-dsAddTemplate

Adiciona modelos de DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opções:

[-dc DCName]

-ADTemplate

Exibe modelos do Active Directory.

certutil [options] -ADTemplate [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Exibe os modelos de política de registro de certificado.

Opções:

certutil [options] -Template [Template]

Opções:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Exibe as autoridades de certificação (ACs) de um modelo de certificado.

certutil [options] -TemplateCAs Template

Opções:

[-f] [-user] [-dc DCName]

-CATemplates

Exibe modelos para a Autoridade de Certificação.

certutil [options] -CATemplates [Template]

Opções:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Define os modelos de certificado que a Autoridade de Certificação pode emitir.

certutil [options] -SetCATemplates [+ | -] TemplateList

Em que:

• O + sinal adiciona modelos de certificado à lista de modelos disponíveis da AC.
• O - sinal remove modelos de certificado da lista de modelos disponíveis da AC.

-SetCASites

Gerencia nomes de site, incluindo a configuração, a verificação e a exclusão de nomes de site da Autoridade de Certificação.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Em que:

• SiteName é permitido somente ao direcionar uma única Autoridade de Certificação.

Opções:

[-f] [-config Machine\CAName] [-dc DCName]

Observações

• A -config opção tem como destino uma única Autoridade de Certificação (o padrão é todos os CAs).
• A -f opção pode ser usada para substituir erros de validação para o SiteName especificado ou para excluir todos os nomes de sites da AC.

Observação

Para obter mais informações sobre como configurar os CAs para o reconhecimento de site do AD DS (Active Directory Domain Services), consulte o Reconhecimento de Site do AD DS para clientes CS e PKI do AD DS.

-enrollmentServerURL

Exibe, adiciona ou exclui URLs de servidor de registro associadas a uma AC.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Em que:

• AuthenticationType especifica um dos seguintes métodos de autenticação de cliente ao adicionar uma URL:
  • Kerberos – Usar credenciais de SSL do Kerberos.
  • UserName – Usar uma conta nomeada para credenciais SSL.
  • ClientCertificate – Usar credenciais SSL de certificado X.509.
  • Anônimo – Usar credenciais SSL anônimas.
• a exclusão exclui a URL especificada associada à AC.
• A prioridade usa como padrão se 1 não for especificado ao adicionar uma URL.
• Modificadores é uma lista separada por vírgulas, que inclui um ou mais dos seguintes:
  • Somente solicitações de renovação AllowRenewalsOnly podem ser enviadas para essa AC por meio dessa URL.
  • AllowKeyBasedRenewal permite o uso de um certificado que não tem nenhuma conta associada no AD. Isso se aplica somente ao modo ClientCertificate e AllowRenewalsOnly .

Opções:

[-config Machine\CAName] [-dc DCName]

-ADCA

Exibe as autoridades de certificação do Active Directory.

certutil [options] -ADCA [CAName]

Opções:

[-f] [-split] [-dc DCName]

-CA

Exibe a política de registro Autoridades de Certificação.

certutil [options] -CA [CAName | TemplateName]

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Exibe a política de registro.

certutil [options] -Policy

Opções:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Exibe ou exclui entradas de cache da política de registro.

certutil [options] -PolicyCache [delete]

Em que:

• a exclusão exclui as entradas de cache do servidor de política.
• -f exclui todas as entradas de cache

Opções:

[-f] [-user] [-policyserver URLorID]

-CredStore

Exibe, adiciona ou exclui entradas do Repositório de Credenciais.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Em que:

• A URL é a URL de destino. Você também pode usar * para corresponder a todas as entradas ou https://machine* para corresponder a um prefixo de URL.
• adicionar adiciona uma entrada de repositório de credenciais. Usar essa opção também requer o uso de credenciais SSL.
• excluir exclui entradas do repositório de credenciais.
• -f substitui uma única entrada ou exclui várias entradas.

Opções:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Instala os modelos de certificado padrão.

certutil [options] -InstallDefaultTemplates

Opções:

[-dc DCName]

-URL

Verifica o certificado ou as URLs de CRL.

certutil [options] -URL InFile | URL

Opções:

[-f] [-split]

-URLCache

Exibe ou exclui entradas de cache de URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Em que:

• A URL é a URL armazenada em cache.
• A CRL é executada somente em todas as URLs de CRL armazenadas em cache.
• * opera em todas as URLs armazenadas em cache.
• a exclusão exclui URLs relevantes do cache local do usuário atual.
• -f força a busca de uma URL específica e a atualização do cache.

Opções:

[-f] [-split]

-pulse

Pulsa um evento de registro automático ou tarefa NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Em que:

• TaskName é a tarefa a ser disparada.
  • Pregen é a tarefa de pregênero de chave NGC.
  • AIKEnroll é a tarefa de registro de certificado NGC AIK. (Padrão para o evento de registro automático).
• SRKThumbprint é a impressão digital da chave raiz de armazenamento
• Modificadores:
  • Geração
  • Atraso de Geração
  • AIKEnroll
  • Política de criptografia
  • NgcPregenKey
  • DIMSRoam

Opções:

[-user]

-MachineInfo

Exibe informações sobre o objeto de máquina do Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Exibe informações sobre o controlador de domínio. O padrão exibe certificados DC sem verificação.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modificadores:

  • Verificar
  • ExcluirRuim
  • Excluir tudo

Opções:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Dica

A capacidade de especificar um domínio do AD DS (Active Directory Domain Services) [Domínio] e especificar um controlador de domínio (-dc) foi adicionada ao Windows Server 2012. Para executar o comando com êxito, você deve usar uma conta que seja membro dos Administradores de Domínio ou administradores corporativos. As modificações de comportamento desse comando são as seguintes:

• Se um domínio não for especificado e um controlador de domínio específico não for especificado, essa opção retornará uma lista de controladores de domínio a serem processados do controlador de domínio padrão.
• Se um domínio não for especificado, mas um controlador de domínio for especificado, um relatório dos certificados no controlador de domínio especificado será gerado.
• Se um domínio for especificado, mas um controlador de domínio não for especificado, uma lista de controladores de domínio será gerada juntamente com relatórios nos certificados de cada controlador de domínio na lista.
• Se o domínio e o controlador de domínio forem especificados, uma lista de controladores de domínio será gerada do controlador de domínio de destino. Um relatório dos certificados para cada controlador de domínio na lista também é gerado.

Por exemplo, suponha que haja um domínio chamado CPANDL com um controlador de domínio chamado CPANDL-DC1. Você pode executar o seguinte comando para recuperar uma lista de controladores de domínio e seus certificados do CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Exibe informações sobre uma autoridade de certificação corporativa.

certutil [options] -EntInfo DomainName\MachineName$

Opções:

[-f] [-user]

-TCAInfo

Exibe informações sobre a Autoridade de Certificação.

certutil [options] -TCAInfo [DomainDN | -]

Opções:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Exibe informações sobre o cartão inteligente.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Em que:

• CRYPT_DELETEKEYSET exclui todas as chaves no cartão inteligente.

Opções:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gerencia certificados raiz de cartão inteligente.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opções:

[-f] [-split] [-p Password]

-key

Lista as chaves armazenadas em um contêiner de chave.

certutil [options] -key [KeyContainerName | -]

Em que:

• KeyContainerName é o nome do contêiner da chave a ser verificada. Essa opção usa como padrão as chaves do computador. Para alternar para chaves de usuário, use -user.
• Usar o - sinal refere-se ao uso do contêiner de chave padrão.

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Exclui o contêiner de chave nomeado.

certutil [options] -delkey KeyContainerName

Opções:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Exclui o contêiner do Windows Hello, removendo todas as credenciais associadas armazenadas no dispositivo, incluindo todas as credenciais webAuthn e FIDO.

Os usuários precisam sair depois de usar essa opção para que ela seja concluída.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica um conjunto de chaves pública ou privada.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Em que:

• KeyContainerName é o nome do contêiner da chave a ser verificada. Essa opção usa como padrão as chaves do computador. Para alternar para chaves de usuário, use -user.
• O CACertFile assina ou criptografa arquivos de certificado.

Opções:

[-f] [-user] [-Silent] [-config Machine\CAName]

Observações

• Se nenhum argumento for especificado, cada certificado de AC de assinatura será verificado em relação à chave privada.
• Essa operação só pode ser executada em uma AC local ou chaves locais.

-verify

Verifica um certificado, uma CRL (lista de certificados revogados) ou uma cadeia de certificados.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Em que:

• CertFile é o nome do certificado a ser verificado.
• ApplicationPolicyList é a lista opcional separada por vírgulas de ObjectIds da Política de Aplicativo necessária.
• IssuancePolicyList é a lista opcional separada por vírgulas de ObjectIds da Política de Emissão necessária.
• CACertFile é o certificado de AC de emissão opcional para verificar.
• CrossedCACertFile é o certificado opcional certificado cruzado pelo CertFile.
• CRLFile é o arquivo CRL usado para verificar o CACertFile.
• IssuedCertFile é o certificado emitido opcional coberto pelo CRLfile.
• DeltaCRLFile é o arquivo CRL delta opcional.
• Modificadores:
  • Forte – Verificação de assinatura forte
  • MSRoot – Deve ser encadeamento a uma raiz da Microsoft
  • MSTestRoot – Deve ser encadeamento a uma raiz de teste da Microsoft
  • AppRoot – Deve ser encadeamento a uma raiz de aplicativo da Microsoft
  • EV – Impor política de validação estendida

Opções:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Observações

• O uso de ApplicationPolicyList restringe a criação de cadeia apenas a cadeias válidas para as Políticas de Aplicativo especificadas.
• O uso de IssuancePolicyList restringe a criação de cadeia apenas a cadeias válidas para as Políticas de Emissão especificadas.
• O uso de CACertFile verifica os campos no arquivo em relação a CertFile ou CRLfile.
• Se CACertFile não for especificado, a cadeia completa será criada e verificada em relação ao CertFile.
• Se CACertFile e CrossedCACertFile forem especificados, os campos em ambos os arquivos serão verificados no CertFile.
• O uso de IssuedCertFile verifica os campos no arquivo em relação ao CRLfile.
• O uso de DeltaCRLFile verifica os campos no arquivo em relação ao CertFile.

-verifyCTL

Verifica a CTL de Certificados AuthRoot ou Não Permitido.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Em que:

• CTLObject identifica a CTL para verificar, incluindo:

  • AuthRootWU lê o CAB AuthRoot e os certificados correspondentes do cache de URL. Use -f para baixar do Windows Update.
  • DisallowedWU lê o CAB de certificados não permitidos e o arquivo de repositório de certificados não permitido do cache de URL. Use -f para baixar do Windows Update.
    • PinRulesWU lê o CAB PinRules do cache de URL. Use -f para baixar do Windows Update.
  • AuthRoot lê a CTL do AuthRoot armazenada em cache do Registro. Use com -f e um CertFile não confiável para forçar a atualização das CTLs de Certificado do AuthRoot em cache e do Registro.
  • Não permitido lê a CTL de certificados não permitidos em cache do Registro. Use com -f e um CertFile não confiável para forçar a atualização das CTLs de Certificado do AuthRoot em cache e do Registro.
    • PinRules lê a CTL PinRules armazenada em cache do Registro. O uso -f tem o mesmo comportamento que com PinRulesWU.
  • CTLFileName especifica o arquivo ou caminho http para o arquivo CTL ou CAB.

• CertDir especifica a pasta que contém certificados que correspondem às entradas ctl. O padrão é a mesma pasta ou site que o CTLobject. Usar um caminho de pasta http requer um separador de caminho no final. Se você não especificar AuthRoot ou Disallowed, vários locais serão pesquisados para obter certificados correspondentes, incluindo repositórios de certificados locais, crypt32.dll recursos e o cache de URL local. Use -f para baixar do Windows Update, conforme necessário.

• CertFile especifica os certificados a serem verificados. Os certificados são correspondidos com entradas CTL, exibindo os resultados. Essa opção suprime a maior parte da saída padrão.

Opções:

[-f] [-user] [-split]

-syncWithWU

Sincroniza certificados com o Windows Update.

certutil [options] -syncWithWU DestinationDir

Em que:

• DestinationDir é o diretório especificado.
• f força uma substituição.
• O Unicode grava a saída redirecionada no Unicode.
• gmt exibe horários como GMT.
• segundos exibe tempos com segundos e milissegundos.
• v é uma operação detalhada.
• PIN é o PIN do Cartão Inteligente.
• WELL_KNOWN_SID_TYPE é um SID numérico:
  • 22 – Sistema Local
  • 23 – Serviço Local
  • 24 – Serviço de Rede

Observações

Os seguintes arquivos são baixados usando o mecanismo de atualização automática:

• authrootstl.cab contém as CTLs de certificados raiz não Microsoft.
• disallowedcertstl.cab contém as CTLs de certificados não confiáveis.
• disallowedcert.sst contém o repositório de certificados serializado, incluindo os certificados não confiáveis.
• thumbprint.crt contém os certificados raiz não Microsoft.

Por exemplo, certutil -syncWithWU \\server1\PKI\CTLs.

• Se você usar um caminho ou pasta local inexistente como a pasta de destino, verá o erro: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Se você usar um local de rede inexistente ou indisponível como a pasta de destino, verá o erro: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Se o servidor não puder se conectar pela porta TCP 80 aos servidores de Atualização Automática da Microsoft, você receberá o seguinte erro: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Se o servidor não conseguir acessar os servidores de Atualização Automática da Microsoft com o nome ctldl.windowsupdate.comDNS, você receberá o seguinte erro: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Se você não usar a opção -f e qualquer um dos arquivos CTL já existir no diretório, você receberá um erro: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Se houver uma alteração nos certificados raiz confiáveis, você verá: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opções:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Gera um arquivo de repositório sincronizado com o Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Em que:

• SSTFile é o .sst arquivo a ser gerado que contém as Raízes de Terceiros baixadas do Windows Update.

Opções:

[-f] [-split]

-generatePinRulesCTL

Gera um arquivo CTL (Lista de Confiança de Certificado) que contém uma lista de regras de fixação.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Em que:

• XMLFile é o arquivo XML de entrada a ser analisado.
• CTLFile é o arquivo CTL de saída a ser gerado.
• SSTFile é o arquivo opcional .sst a ser criado que contém todos os certificados usados para fixação.
• QueryFilesPrefix são Domains.csv opcionais e Keys.csv arquivos a serem criados para consulta de banco de dados.
  • A cadeia de caracteres QueryFilesPrefix é anexada a cada arquivo criado.
  • O arquivo Domains.csv contém o nome da regra, linhas de domínio.
  • O arquivo Keys.csv contém o nome da regra, as principais linhas de impressão digital SHA256.

Opções:

[-f]

-downloadOcsp

Baixa as respostas E gravações do OCSP no diretório.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Em que:

• CertificateDir é o diretório de um certificado, armazenamento e arquivos PFX.
• OcspDir é o diretório para gravar respostas OCSP.
• ThreadCount é o número máximo opcional de threads para download simultâneo. O padrão é 10.
• Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
  • DownloadOnce – Baixa uma vez e sai.
  • ReadOcsp - Leituras do OcspDir em vez de escrever.

-generateHpkpHeader

Gera o cabeçalho HPKP usando certificados em um arquivo ou diretório especificado.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Em que:

• CertFileOrDir é o arquivo ou diretório de certificados, que é a origem do pin-sha256.
• MaxAge é o valor máximo da idade em segundos.
• ReportUri é o uri de relatório opcional.
• Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:
  • includeSubDomains – acrescenta o includeSubDomains.

-flushCache

Libera os caches especificados no processo selecionado, como lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Em que:

• ProcessId é a ID numérica de um processo a ser liberado. Defina como 0 para liberar todos os processos em que a liberação está habilitada.

• CacheMask é a máscara de bits de caches a ser liberada numérica ou os seguintes bits:

  • 0: Mostrar somente
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Os modificadores são uma lista separada por vírgulas de um ou mais dos seguintes:

  • Mostrar – Mostra os caches sendo liberados. O Certutil deve ser encerrado explicitamente.

-addEccCurve

Adiciona uma curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Em que:

• CurveClass é o tipo de classe curva ECC:

  • WEIERSTRASS (padrão)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName é o nome da Curva ECC.

• CurveParameters é um dos seguintes:

  • Um nome de arquivo de certificado que contém parâmetros codificados em ASN.
  • Um arquivo que contém parâmetros codificados em ASN.

• CurveOID é o OID da Curva ECC e é um dos seguintes:

  • Um nome de arquivo de certificado que contém uma OID codificada em ASN.
  • Uma OID de curva ECC explícita.

• CurveType é o ponto Schannel ECC NamedCurve (numérico).

Opções:

[-f]

-deleteEccCurve

Exclui a curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Em que:

• CurveName é o nome da Curva ECC.
• CurveOID é o OID da Curva ECC.

Opções:

[-f]

-displayEccCurve

Exibe a curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Em que:

• CurveName é o nome da Curva ECC.
• CurveOID é o OID da Curva ECC.

Opções:

[-f]

-csplist

Lista os CSPs (provedores de serviços criptográficos) instalados neste computador para operações criptográficas.

certutil [options] -csplist [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-csptest

Testa os CSPs instalados neste computador.

certutil [options] -csptest [Algorithm]

Opções:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Exibe a configuração criptográfica CNG neste computador.

certutil [options] -CNGConfig

Opções:

[-Silent]

-sign

Assina novamente uma CRL (lista de certificados revogados) ou certificado.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Em que:

• InFileList é a lista separada por vírgulas de arquivos crl ou certificados para modificar e assinar novamente.

• SerialNumber é o número de série do certificado a ser criado. O período de validade e outras opções não podem estar presentes.

• A CRL cria uma CRL vazia. O período de validade e outras opções não podem estar presentes.

• OutFileList é a lista separada por vírgulas de arquivos de saída de certificado ou CRL modificados. O número de arquivos deve corresponder à lista de arquivos.

• StartDate+dd:hh é o novo período de validade para os arquivos de certificado ou CRL, incluindo:

  • data e adição opcionais
  • período de validade de dias e horas opcionais Se vários campos forem usados, use um separador (+) ou (-). Use now[+dd:hh] para começar no momento atual. Use now-dd:hh+dd:hh para iniciar em um deslocamento fixo do tempo atual e um período de validade fixo. Use never para não ter data de validade (somente para CRLs).

• SerialNumberList é a lista de números de série separados por vírgulas dos arquivos a serem adicionados ou removidos.

• ObjectIdList é a lista ObjectId de extensão separada por vírgulas dos arquivos a serem removidos.

• @ExtensionFile é o arquivo INF que contém as extensões a serem atualizadas ou removidas. Por exemplo:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm é o nome do algoritmo de hash. Esse deve ser apenas o texto precedido pelo # sinal.

• AlternateSignatureAlgorithm é o especificador de algoritmo de assinatura alternativo.

Opções:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Observações

• O uso do sinal de subtração (-) remove os números de série e as extensões.
• Usar o sinal de adição (+) adiciona números de série a uma CRL.
• Você pode usar uma lista para remover números de série e ObjectIds de uma CRL ao mesmo tempo.
• Usar o sinal de subtração antes de AlternateSignatureAlgorithm permite que você use o formato de assinatura herdado.
• Usar o sinal de adição permite que você use o formato de assinatura alternativo.
• Se você não especificar AlternateSignatureAlgorithm, o formato de assinatura no certificado ou CRL será usado.

-vroot

Cria ou exclui raízes virtuais da Web e compartilhamentos de arquivos.

certutil [options] -vroot [delete]

-vocsproot

Cria ou exclui raízes virtuais da Web para um proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Adiciona um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários ou pacotes.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Em que:

• addEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:

  • O Kerberos usa credenciais SSL do Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.

• Modificadores:

  • AllowRenewalsOnly permite apenas envios de solicitação de renovação à Autoridade de Certificação por meio da URL.
  • AllowKeyBasedRenewal permite o uso de um certificado sem nenhuma conta associada no Active Directory. Isso se aplica quando usado com o modo ClientCertificate e AllowRenewalsOnly .

Opções:

[-config Machine\CAName]

-deleteEnrollmentServer

Exclui um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários ou pacotes.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Em que:

• deleteEnrollmentServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:
  • O Kerberos usa credenciais SSL do Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.

Opções:

[-config Machine\CAName]

-addPolicyServer

Adicione um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Esse comando não instala binários ou pacotes.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Em que:

• addPolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
  • O Kerberos usa credenciais SSL do Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.
• KeyBasedRenewal permite o uso de políticas retornadas ao cliente que contém modelos keybasedrenewal. Essa opção se aplica somente à autenticação UserName e ClientCertificate .

-deletePolicyServer

Exclui um aplicativo do Servidor de Políticas e um pool de aplicativos, se necessário. Esse comando não remove binários ou pacotes.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Em que:

• deletePolicyServer requer que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:
  • O Kerberos usa credenciais SSL do Kerberos.
  • UserName usa a conta nomeada para credenciais SSL.
  • ClientCertificate usa credenciais SSL de certificado X.509.
• KeyBasedRenewal permite o uso de um servidor de política KeyBasedRenewal.

-Class

Exibe informações do registro COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opções:

[-f]

-7f

Verifica o certificado para codificações de comprimento 0x7f.

certutil [options] -7f CertFile

-oid

Exibe o identificador de objeto ou define um nome de exibição.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Em que:

• ObjectId é a ID a ser exibida ou para adicionar ao nome de exibição.
• GroupId é o número GroupID (decimal) que ObjectIds enumera.
• AlgId é a ID hexadecimal que objectID procura.
• AlgorithmName é o nome do algoritmo que objectID procura.
• DisplayName exibe o nome a ser armazenado no DS.
• Excluir exclui o nome de exibição.
• LanguageId é o valor da ID do idioma (padrão para atual: 1033).
• O tipo é o tipo de objeto DS a ser criado, incluindo:
  • 1 - Modelo (padrão)
  • 2 - Política de Emissão
  • 3 – Política de Aplicativo
• -f cria um objeto DS.

Opções:

[-f]

-error

Exibe o texto da mensagem associado a um código de erro.

certutil [options] -error ErrorCode

-getsmtpinfo

Obtém informações do Protocolo SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Define informações de SMTP.

certutil [options] -setsmtpinfo LogonName

Opções:

[-config Machine\CAName] [-p Password]

-getreg

Exibe um valor do Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• A restauração usa a chave do Registro de restauração da Autoridade de Certificação.
• A política usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• O modelo usa a chave do registro de modelo (use -user para modelos de usuário).
• O registro usa a chave do Registro de Registro (uso -user para o contexto do usuário).
• A cadeia usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgId usa o ProgID do módulo de saída ou política (nome da subchave do registro).
• RegistryValueName usa o nome do valor do registro (use Name* para correspondência de prefixo).
• O valor usa o novo valor ou nome de arquivo numérico, cadeia de caracteres ou data do Registro. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observações

• Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
• Aliases do Registro:
  • Configuração
  • CA
  • Política – PolicyModules
  • Exit – ExitModules
  • Restauração – RestoreInProgress
  • Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Cadeia - Software\Microsoft\Criptografia\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - Sistema \ CurrentControlSet \ Controle \ Criptografia \ Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-setreg

Define um valor do Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• A restauração usa a chave do Registro de restauração da Autoridade de Certificação.
• A política usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• O modelo usa a chave do registro de modelo (use -user para modelos de usuário).
• O registro usa a chave do Registro de Registro (uso -user para o contexto do usuário).
• A cadeia usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgId usa o ProgID do módulo de saída ou política (nome da subchave do registro).
• RegistryValueName usa o nome do valor do registro (use Name* para correspondência de prefixo).
• O valor usa o novo valor ou nome de arquivo numérico, cadeia de caracteres ou data do Registro. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observações

• Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.

-delreg

Exclui um valor do Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Em que:

• ca usa uma chave do Registro da Autoridade de Certificação.
• A restauração usa a chave do Registro de restauração da Autoridade de Certificação.
• A política usa a chave do Registro do módulo de política.
• exit usa a chave do Registro do primeiro módulo de saída.
• O modelo usa a chave do registro de modelo (use -user para modelos de usuário).
• O registro usa a chave do Registro de Registro (uso -user para o contexto do usuário).
• A cadeia usa a chave do Registro de configuração de cadeia.
• PolicyServers usa a chave do Registro dos Servidores de Política.
• ProgId usa o ProgID do módulo de saída ou política (nome da subchave do registro).
• RegistryValueName usa o nome do valor do registro (use Name* para correspondência de prefixo).
• O valor usa o novo valor ou nome de arquivo numérico, cadeia de caracteres ou data do Registro. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou desmarcados no valor existente do Registro.

Opções:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Observações

• Se um valor de cadeia de caracteres começar com + ou -, e o valor existente for um REG_MULTI_SZ valor, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um REG_MULTI_SZ valor, adicione \n ao final do valor da cadeia de caracteres.
• Se o valor começar, \@o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário.
• Se ele não se referir a um arquivo válido, ele será analisado como [Date][+|-][dd:hh] qual é uma data opcional mais ou menos dias e horas opcionais.
• Se ambos forem especificados, use um separador de sinal de adição (+) ou sinal de subtração (-). Use now+dd:hh para uma data relativa à hora atual.
• Use i64 como sufixo para criar um valor REG_QWORD.
• Use chain\chaincacheresyncfiletime @now para liberar efetivamente CRLs armazenadas em cache.
• Aliases do Registro:
  • Configuração
  • CA
  • Política – PolicyModules
  • Exit – ExitModules
  • Restauração – RestoreInProgress
  • Modelo – Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrar - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP – Software\Microsoft\Cryptography\MSCEP
  • Cadeia - Software\Microsoft\Criptografia\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - Sistema \ CurrentControlSet \ Controle \ Criptografia \ Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport – Software\Policies\Microsoft\PassportForWork
  • MDM – Software\Microsoft\Policies\PassportForWork

-importKMS

Importa chaves de usuário e certificados para o banco de dados do servidor para arquivamento de chaves.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Em que:

• UserKeyAndCertFile é um arquivo de dados com chaves privadas do usuário e certificados que devem ser arquivados. Esse arquivo pode ser:
  • Um arquivo de exportação KMS (Servidor de Gerenciamento de Chaves do Exchange).
  • Um arquivo PFX.
• CertId é um token de correspondência de certificado de descriptografia de arquivo de exportação KMS. Para obter mais informações, consulte o -store parâmetro neste artigo.
• -f importa certificados não emitidos pela Autoridade de Certificação.

Opções:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa um arquivo de certificado para o banco de dados.

certutil [options] -ImportCert Certfile [ExistingRow]

Em que:

• ExistingRow importa o certificado no lugar de uma solicitação pendente para a mesma chave.
• -f importa certificados não emitidos pela Autoridade de Certificação.

Opções:

[-f] [-config Machine\CAName]

Observações

A Autoridade de Certificação também pode precisar ser configurada para dar suporte a certificados estrangeiros executando certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera um blob de recuperação de chave privada arquivado, gera um script de recuperação ou recupera chaves arquivadas.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Em que:

• O script gera um script para recuperar e recuperar chaves (comportamento padrão se vários candidatos à recuperação correspondentes forem encontrados ou se o arquivo de saída não for especificado).
• recupera um ou mais Blobs de Recuperação de Chave (comportamento padrão se exatamente um candidato de recuperação correspondente for encontrado e se o arquivo de saída for especificado). Usar essa opção trunca qualquer extensão e acrescenta a cadeia de caracteres específica do certificado e a .rec extensão para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografada em um ou mais certificados do Key Recovery Agent.
• recupera e recupera chaves privadas em uma etapa (requer certificados do Agente de Recuperação de Chave e chaves privadas). Usar essa opção trunca qualquer extensão e acrescenta a .p12 extensão. Cada arquivo contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.
• SearchToken seleciona as chaves e certificados a serem recuperados, incluindo:
  • Nome Comum do Certificado
  • Número de série do certificado
  • Hash SHA-1 do certificado (impressão digital)
  • Hash KeyId SHA-1 de certificado (identificador de chave de entidade)
  • Nome do solicitante (domínio\usuário)
  • UPN (user@domain)
• RecoveryBlobOutFile gera um arquivo com uma cadeia de certificados e uma chave privada associada, ainda criptografada para um ou mais certificados do Key Recovery Agent.
• OutputScriptFile gera um arquivo com um script em lote para recuperar e recuperar chaves privadas.
• OutputFileBaseName gera um nome base de arquivo.

Opções:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Observações

• Para recuperação, qualquer extensão é truncada e uma cadeia de caracteres específica do certificado e as .rec extensões são acrescentadas para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografada em um ou mais certificados do Key Recovery Agent.
• Para recuperação, qualquer extensão é truncada e a .p12 extensão é acrescentada. Contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.

-RecoverKey

Recupera uma chave privada arquivada.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opções:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Mescla arquivos PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Em que:

• PFXInFileList é uma lista separada por vírgulas de arquivos de entrada PFX.
• PFXOutFile é o nome do arquivo de saída PFX.
• Modificadores são listas separadas por vírgulas de uma ou mais das seguintes:
  • ExtendedProperties inclui quaisquer propriedades estendidas.
  • NoEncryptCert especifica não criptografar os certificados.
  • EncryptCert especifica para criptografar os certificados.

Opções:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Observações

• A senha especificada na linha de comando deve ser uma lista de senhas separada por vírgulas.
• Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-add-chain

Adiciona uma cadeia de certificados.

certutil [options] -add-chain LogId certificate OutFile

Opções:

[-f]

-add-pre-chain

Adiciona uma cadeia de pré-certificados.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opções:

[-f]

-get-sth

Obtém uma cabeça de árvore assinada.

certutil [options] -get-sth [LogId]

Opções:

[-f]

-get-sth-consistency

Obtém alterações de cabeça de árvore assinadas.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opções:

[-f]

-get-proof-by-hash

Obtém a prova de um hash de um servidor de carimbo de data/hora.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opções:

[-f]

-get-entries

Recupera entradas de um log de eventos.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opções:

[-f]

-get-roots

Recupera os certificados raiz do repositório de certificados.

certutil [options] -get-roots LogId

Opções:

[-f]

-get-entry-and-proof

Recupera uma entrada de log de eventos e sua prova criptográfica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opções:

[-f]

-VerifyCT

Verifica um certificado no log de Transparência do Certificado.

certutil [options] -VerifyCT Certificate SCT [precert]

Opções:

[-f]

-?

Exibe a lista de parâmetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Em que:

• -? exibe a lista de parâmetros
• -<name_of_parameter> -? exibe o conteúdo da ajuda para o parâmetro especificado.
• -? -v exibe uma lista detalhada de parâmetros e opções.

Opções

Esta seção define todas as opções que você pode especificar, com base no comando. Cada parâmetro inclui informações sobre quais opções são válidas para uso.

Opção	Descrição
-admin	Use ICertAdmin2 para propriedades de AC.
-anônimo	Use credenciais SSL anônimas.
-cert CertId	Certificado de assinatura.
-clientcertificate clientCertId	Use credenciais SSL de certificado X.509. Para a interface do usuário de seleção, use -clientcertificate.
-config Máquina\CAName	Autoridade de Certificação e cadeia de caracteres de nome do computador.
Provedor -csp	Provedor: KSP – Provedor de Armazenamento de Chaves de Software da Microsoft TPM – Provedor de Criptografia da Plataforma Microsoft NGC – Provedor de Armazenamento de Chaves do Microsoft Passport SC – Provedor de Armazenamento de Chaves de Cartão Inteligente da Microsoft
-dc DCName	Direcione um controlador de domínio específico.
-empresa	Use o repositório de certificados do Registro empresarial do computador local.
-f	Forçar substituição.
-generateSSTFromWU SSTFile	Gere o SST usando o mecanismo de atualização automática.
-Gmt	Tempos de exibição usando GMT.
-Política de Grupo	Use o repositório de certificados de política de grupo.
-idispatch	Use IDispatch em vez de métodos nativos COM.
-Kerberos	Use as credenciais de SSL do Kerberos.
-localização alternativaarmazenamentolocalização	(-loc) AlternateStorageLocation.
-Mt	Exibir modelos de computador.
-nocr	Codificar texto sem caracteres CR.
-nocrlf	Codificar texto sem CR-LF caracteres.
-sinal nulo	Use o hash dos dados como uma assinatura.
-oldpfx	Use criptografia PFX antiga.
Lista de colunas -out	Lista de colunas separadas por vírgulas.
Senha -p	Senha
-pino PIN	PIN de cartão inteligente.
-policyserver URLorID	URL ou ID do Servidor de Política. Para a seleção U/I, use -policyserver. Para todos os Servidores de Política, use -policyserver *
-chave privada	Exibir dados de senha e chave privada.
-proteger	Proteger chaves com senha.
-protectpara SAMnameandSIDlist	Lista de SID/nome SAM separado por vírgulas.
-restringir lista de restrições	Lista de restrições separada por vírgulas. Cada restrição consiste em um nome de coluna, um operador relacional e um inteiro constante, cadeia de caracteres ou data. Um nome de coluna pode ser precedido por um sinal de adição ou menos para indicar a ordem de classificação. Por exemplo: requestID = 47, +requestername >= a, requestername, ou -requestername > DOMAIN, Disposition = 21.
-inverter	Colunas de log e fila inversas.
-Segundos	Tempos de exibição usando segundos e milissegundos.
-serviço	Use o repositório de certificados de serviço.
-Sid	SID numérico: 22 – Sistema Local 23 – Serviço Local 24 – Serviço de Rede
-silencioso	Use o sinalizador para adquirir o silent contexto de cripta.
-fender	Dividir elementos ASN.1 inseridos e salvar em arquivos.
-sslpolicy nome do servidor	ServerName correspondente à Política SSL.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome do Algoritmo de Chave Simétrica com comprimento de chave opcional. Por exemplo: AES,128 ou 3DES.
-syncWithWU DestinationDir	Sincronizar com o Windows Update.
-t tempo limite	Tempo limite de busca de URL em milissegundos.
-Unicode	Gravar saída redirecionada no Unicode.
-Texto Unicode	Gravar arquivo de saída no Unicode.
-urlfetch	Recuperar e verificar certificados do AIA e CRLs cdp.
-utilizador	Use as chaves HKEY_CURRENT_USER ou o repositório de certificados.
-nome de usuário do nome de usuário	Use a conta nomeada para credenciais SSL. Para a interface do usuário de seleção, use -username.
-Ut	Exibir modelos de usuário.
-v	Forneça informações mais detalhadas (detalhadas).
-v1	Use interfaces V1.

Algoritmos de hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Links relacionados

Para obter mais exemplos de como usar esse comando, consulte os seguintes artigos:

• Serviços de Certificados do Active Directory (AD CS)
• Tarefas do Certutil para gerenciar certificados
• Configurar raízes confiáveis e certificados não permitidos no Windows