certutil

  • Artigo
  • 39 minutos para o fim da leitura

Certutil.exe é um programa de linha de comando instalado como parte dos Serviços de Certificados. Você pode usar certutil.exe para despejar e exibir informações de configuração de AC (autoridade de certificação), configurar os Serviços de Certificado, fazer backup e restaurar componentes de AC e verificar certificados, pares de chaves e cadeias de certificados.

Se certutil for executado em uma autoridade de certificação sem parâmetros adicionais, exibirá a configuração atual da autoridade de certificação. Se certutil for executado em uma autoridade que não é de certificação, o comando usará como padrão a execução do comando certutil [-dump].

Importante

Versões anteriores de certutil podem não fornecer todas as opções descritas neste documento. Veja todas as opções que uma versão específica de certutil fornece executando certutil -? ou certutil <parameter> -?.

Parâmetros

-dump

Despejar informações ou arquivos de configuração.

certutil [options] [-dump]
certutil [options] [-dump] file

[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

Analisar e exibir o conteúdo de um arquivo usando a sintaxe ASN.1 (Abstract Syntax Notation). Os tipos de arquivo incluem arquivos formatados .CER, .DER e PKCS #7.

certutil [options] -asn file [type]

[type]: tipo de decodificação CRYPT_STRING_* numérica

-decodehex

Decodificar um arquivo codificado em hexadecimal.

certutil [options] -decodehex infile outfile [type]

[type]: tipo de codificação CRYPT_STRING_* numérica

[-f]

-decode

Decodificar um arquivo codificado em Base64.

certutil [options] -decode infile outfile

[-f]

-encode

Codificar um arquivo em Base64.

certutil [options] -encode infile outfile

[-f] [-unicodetext]

-deny

Negar uma solicitação pendente.

certutil [options] -deny requestID

[-config Machine\CAName]

-resubmit

Reenviar uma solicitação pendente.

certutil [options] -resubmit requestId

[-config Machine\CAName]

-setattributes

Definir atributos para uma solicitação de certificado pendente.

certutil [options] -setattributes RequestID attributestring

Em que:

  • requestID é a ID de solicitação numérica para a solicitação pendente.

  • attributestring são os pares de nome e valor do atributo de solicitação.

[-config Machine\CAName]

Comentários

  • Nomes e valores precisam ser separados por dois-pontos, enquanto vários pares de nome e valor precisam ser separados por nova linha. Por exemplo: CertificateTemplate:User\nEMail:User@Domain.com em que a sequência \n é convertida em um separador de nova linha.

-setextension

Definir uma extensão para uma solicitação de certificado pendente.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Em que:

  • requestID é a ID de solicitação numérica para a solicitação pendente.

  • extensionname é a cadeia de caracteres ObjectId da extensão.

  • flags define a prioridade da extensão. 0 é recomendado, enquanto 1 define a extensão como crítica, 2 desabilita a extensão e 3 faz as duas coisas.

[-config Machine\CAName]

Comentários

  • Se o último parâmetro for numérico, ele será entendido como Longo.

  • Se o último parâmetro puder ser analisado como uma data, ele será entendido como uma Data.

  • Se o último parâmetro começar com \@, o restante do token será entendido como o nome do arquivo com dados binários ou um despejo hexadecimal de texto ASCII.

  • Se o último parâmetro for qualquer outra coisa, ele será entendido como uma cadeia de caracteres.

-revoke

Revogar um certificado.

certutil [options] -revoke serialnumber [reason]

Em que:

  • serialnumber é uma lista separada por vírgulas de números de série de certificado a serem revogados.

  • reason é a representação numérica ou simbólica do motivo da revogação, incluindo:

    • 0. CRL_REASON_UNSPECIFIED – não especificado (padrão)

    • 1. CRL_REASON_KEY_COMPROMISE – comprometimento da chave

    • 2. CRL_REASON_CA_COMPROMISE – comprometimento da Autoridade de Certificação

    • 3. CRL_REASON_AFFILIATION_CHANGED – afiliação alterada

    • 4. CRL_REASON_SUPERSEDED – substituído

    • 5. CRL_REASON_CESSATION_OF_OPERATION – cessação da operação

    • 6. CRL_REASON_CERTIFICATE_HOLD – retenção de certificado

    • 8. CRL_REASON_REMOVE_FROM_CRL – remover do CRL

    • -1. Cancelar a revogação - Unrevoke

[-config Machine\CAName]

-isvalid

Exibir a disposição do certificado atual.

certutil [options] -isvalid serialnumber | certhash

[-config Machine\CAName]

-getconfig

Obter a cadeia de caracteres de configuração padrão.

certutil [options] -getconfig

[-config Machine\CAName]

-ping

Tentar entrar em contato com a interface de Solicitação dos Serviços de Certificados do Active Directory.

certutil [options] -ping [maxsecondstowait | camachinelist]

Em que:

  • camachinelist é uma lista separada por vírgulas de nomes de computador da AC. Para um só computador, usar uma vírgula de encerramento. Essa opção também exibe o custo do site para cada computador da AC.
[-config Machine\CAName]

-cainfo

Exibir informações sobre a autoridade de certificação.

certutil [options] -cainfo [infoname [index | errorcode]]

Em que:

  • infoname indica a propriedade do CA a ser exibido, com base na seguinte sintaxe do argumento infoname:

    • file – versão do arquivo

    • product – versão do produto

    • exitcount – contagem de módulos de saída

    • exit [index] – descrição do módulo de saída

    • policy – descrição do módulo de política

    • name – nome da AC

    • sanitizedname – nome da Autoridade de Certificação sanitizado

    • dsname – nome curto da Autoridade de Certificação sanitizado (nome DS)

    • sharedfolder – pasta compartilhada

    • error1 ErrorCode – texto da mensagem de erro

    • error2 ErrorCode – texto e código de erro da mensagem de erro

    • type – tipo de AC

    • info – informações da AC

    • parent – AC pai

    • certcount – contagem de certificados da AC

    • xchgcount – contagem de certificados de troca da AC

    • kracount – contagem de certificados KRA

    • kraused – contagem de certificados KRA usados

    • propidmax – PropId de AC máxima

    • certstate [index] - certificado da AC

    • certversion [index] – versão do certificado da AC

    • certstatuscode [index] – status de verificação do certificado da AC

    • crlstate [index] – CRL

    • krastate [index] – certificado KRA

    • crossstate+ [index] – certificado de encaminhamento cruzado

    • crossstate- [index] – certificado cruzado de regressão

    • cert [index] – certificado da AC

    • certchain [index] - cadeia de certificados da AC

    • certcrlchain [index] - cadeia de certificados da AC com CRLs

    • xchg [index] - certificado de troca de AC

    • xchgchain [index] - cadeia de certificados de troca de AC

    • xchgcrlchain [index] - cadeia de certificados de troca de AC com CRLs

    • kra [index] - certificado KRA

    • cross+ [index] - certificado de encaminhamento cruzado

    • cross- [index] – certificado cruzado de regressão

    • CRL [index] - CRL base

    • deltacrl [index] - CRL delta

    • crlstatus [index] - status de publicação de CRL

    • deltacrlstatus [index] - status de publicação de CRL delta

    • dns – nome DNS

    • role – separação de funções

    • ads – servidor avançado

    • templates - modelos

    • csp [index] – URLs OCSP

    • aia [index] - URLs AIA

    • cdp [index] - URLs CDP

    • localename - nome da localidade da AC

    • subjecttemplateoids - OIDs de modelo de entidade

    • * – exibe todas as propriedades

  • index é o índice de propriedade baseado em zero opcional.

  • errorcode é o código de erro numérico.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Recuperar o certificado da autoridade de certificação.

certutil [options] -ca.cert outcacertfile [index]

Em que:

  • outcacertfile é o arquivo de saída.

  • index é o índice de renovação do Certificado de Autoridade de Certificação (o padrão é o mais recente).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recuperar a cadeia de certificados da autoridade de certificação.

certutil [options] -ca.chain outcacertchainfile [index]

Em que:

  • outcacertchainfile is the output file.

  • index é o índice de renovação do Certificado de Autoridade de Certificação (o padrão é o mais recente).

[-f] [-split] [-config Machine\CAName]

-getcrl

Obtém uma CRL (lista de certificados revogados).

certutil [options] -getcrl outfile [index] [delta]

Em que:

  • index é o índice da CRL ou índice de chave (o padrão é a CRL para a chave mais recente).

  • delta é a CRL delta (o padrão é a CRL base).

[-f] [-split] [-config Machine\CAName]

-crl

Publicar novas CRLs (listas de certificados revogados) ou CRLs delta.

certutil [options] -crl [dd:hh | republish] [delta]

Em que:

  • dd:hh é o novo período de validade da CRL em dias e horas.

  • republish republica as CRLs mais recentes.

  • delta publica somente as CRLs delta (o padrão é CRLs base e delta).

[-split] [-config Machine\CAName]

-shutdown

Desliga os Serviços de Certificados do Active Directory.

certutil [options] -shutdown

[-config Machine\CAName]

-installcert

Instala um certificado de autoridade de certificação.

certutil [options] -installcert [cacertfile]

[-f] [-silent] [-config Machine\CAName]

-renewcert

Renova um certificado de autoridade de certificação.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Use -f para ignorar uma solicitação de renovação pendente e para gerar uma nova solicitação.
[-f] [-silent] [-config Machine\CAName]

-schema

Despeja o esquema do certificado.

certutil [options] -schema [ext | attrib | cRL]

Em que:

  • O comando usa como padrão a tabela Solicitação e Certificado.

  • ext é a tabela de extensão.

  • attribute é a tabela de atributos.

  • crl é a tabela CRL.

[-split] [-config Machine\CAName]

-view

Despeja a exibição de certificados.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Em que:

  • queue despeja uma fila de solicitação específica.

  • log despeja os certificados emitidos ou revogados, além de solicitações com falha.

  • logfail despeja as solicitações com falha.

  • revoked despeja os certificados revogados.

  • ext despeja a tabela de extensão.

  • attribute despeja a tabela de atributos.

  • crl despeja a tabela de CRL.

  • csv fornece a saída usando valores separados por vírgulas.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Comentários

  • Para exibir a coluna StatusCode de todas as entradas, digite -out StatusCode

  • Para exibir todas as colunas da última entrada, digite: -restrict RequestId==$

  • Para exibir a RequestID e Disposição para três solicitações, digite: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Para exibir IDs de linha e números de CRL para todas as CRLs base, digite: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Para exibir , digite: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Para exibir toda a tabela de CRL, digite: CRL

  • Use Date[+|-dd:hh] para restrições de data.

  • Use now+dd:hh para uma data relativa à hora atual.

-db

Despeja o banco de dados bruto.

certutil [options] -db

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Exclui uma linha do banco de dados do servidor.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Em que:

  • request exclui as solicitações com falha e pendentes, com base na data de envio.

  • cert exclui os certificados expirados e revogados, com base na data de validade.

  • ext exclui a tabela de extensão.

  • attribute exclui a tabela de atributos.

  • crl exclui a tabela de CRL.

[-f] [-config Machine\CAName]

Exemplos

  • Para excluir solicitações com falha e pendentes enviadas até 22 de janeiro de 2001, digite: 1/22/2001 request

  • Para excluir todos os certificados que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 cert

  • Para excluir a linha de certificado, os atributos e as extensões do RequestID 37, digite: 37

  • Para excluir CRLs que expiraram até 22 de janeiro de 2001, digite: 1/22/2001 crl

-backup

Faz backup dos Serviços de Certificados do Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Em que:

  • backupdirectory é o diretório para armazenar os dados de backup.

  • incremental executa apenas um backup incremental (o padrão é o backup completo).

  • keeplog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Faz backup do banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Em que:

  • backupdirectory é o diretório para armazenar os arquivos de banco de dados de backup.

  • incremental executa apenas um backup incremental (o padrão é o backup completo).

  • keeplog preserva os arquivos de log do banco de dados (o padrão é truncar arquivos de log).

[-f] [-config Machine\CAName]

-backupkey

Faz backup do certificado e da chave privada dos Serviços de Certificados do Active Directory.

certutil [options] -backupkey backupdirectory

Em que:

  • backupdirectory é o diretório para armazenar o arquivo PFX de backup.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Restaura os Serviços de Certificados do Active Directory.

certutil [options] -restore backupdirectory

Em que:

  • backupdirectory é o diretório que contém os dados a serem restaurados.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura o banco de dados dos Serviços de Certificados do Active Directory.

certutil [options] -restoredb backupdirectory

Em que:

  • backupdirectory é o diretório que contémarquivos de banco de dados a serem restaurados.
[-f] [-config Machine\CAName]

-restorekey

Restaura o certificado e da chave privada dos Serviços de Certificados do Active Directory.

certutil [options] -restorekey backupdirectory | pfxfile

Em que:

  • backupdirectory é o diretório que contém o arquivo PFX a serem restaurados.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importar o certificado e a chave privada. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • modifiers são a lista separada por vírgulas, que pode incluir um ou mais dos seguintes:

    1. AT_SIGNATURE – altera o keyspec para assinatura

    2. AT_KEYEXCHANGE – altera o keyspec para troca de chaves

    3. NoExport – torna a chave privada não exportável

    4. NoCert – não importa o certificado

    5. NoChain – não importa a cadeia de certificados

    6. NoRoot – não importa o certificado raiz

    7. Protect – protege chaves usando uma senha

    8. NoProtect – não protege chaves por senha

[-f] [-user] [-p password] [-csp provider]

Comentários

  • O padrão é o repositório do computador pessoal.

-dynamicfilelist

Exibe uma lista de arquivos dinâmicos.

certutil [options] -dynamicfilelist

[-config Machine\CAName]

-databaselocations

Exibe locais de banco de dados.

certutil [options] -databaselocations

[-config Machine\CAName]

-hashfile

Gera e exibe um hash criptográfico em um arquivo.

certutil [options] -hashfile infile [hashalgorithm]

-store

Despeja o repositório de certificados

certutil [options] -store [certificatestorename [certID [outputfile]]]

Em que:

  • certificatestorename é o nome do repositório de certificados. Por exemplo:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID é o token de correspondência de CRL ou certificado. Pode ser um número de série, um certificado SHA-1, CRL, CTL ou hash de chave pública, um índice de certificado numérico (0, 1 e assim por diante), um índice de CRL numérico (.0, .1 e assim por diante), um índice de CTL numérico (.. 0, .. 1 e assim por diante), uma chave pública, assinatura ou extensão ObjectId, um Nome Comum da entidade de certificado, um endereço de email, nome UPN ou DNS, um nome de contêiner de chave ou nome CSP, um nome de modelo ou ObjectId, um ObjectId de Políticas de Aplicativo ou EKU ou um Nome Comum do emissor de CRL. Muitos deles podem resultar em várias correspondências.

  • outputfile é o arquivo usado para salvar os certificados correspondentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Opções

  • A opção -user acessa um repositório de usuários em vez de um repositório de computadores.

  • A opção -enterprise acessa um repositório corporativo de computadores.

  • A opção -service acessa um repositório de serviços de computador.

  • A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Adiciona um certificado ao repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -addstore certificatestorename infile

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • infile é o arquivo de certificado ou CRL que você deseja adicionar ao repositório.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Exclui um certificado do repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -delstore certificatestorename certID

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • certID é o token de correspondência de CRL ou certificado.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Verifica um certificado no repositório. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -verifystore certificatestorename [certID]

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • certID é o token de correspondência de CRL ou certificado.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Repara uma associação de chaves ou atualiza as propriedades do certificado ou o descritor de segurança da chave. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • certIDlist é a lista separada por vírgulas de tokens de correspondência de certificado ou CRL. Para obter mais informações, consulte a descrição -store certID neste artigo.

  • propertyinffile é o arquivo INF que contém propriedades externas, incluindo:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Despeja o repositório de certificados. Para obter mais informações, consulte o parâmetro -store neste artigo.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • certID é o token de correspondência de CRL ou certificado.

  • outputfile é o arquivo usado para salvar os certificados correspondentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opções

  • A opção -user acessa um repositório de usuários em vez de um repositório de computadores.

  • A opção -enterprise acessa um repositório corporativo de computadores.

  • A opção -service acessa um repositório de serviços de computador.

  • A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Exclui um certificado do repositório.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Em que:

  • certificatestorename é o nome do repositório de certificados.

  • certID é o token de correspondência de CRL ou certificado.

  • outputfile é o arquivo usado para salvar os certificados correspondentes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opções

  • A opção -user acessa um repositório de usuários em vez de um repositório de computadores.

  • A opção -enterprise acessa um repositório corporativo de computadores.

  • A opção -service acessa um repositório de serviços de computador.

  • A opção -grouppolicy acessa um repositório de políticas de grupo de computadores.

Por exemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Publica um certificado ou uma CRL (lista de certificados revogados) no Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]

certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Em que:

  • certfile é o nome do arquivo de certificado a ser publicado.

  • NTAuthCA publica o certificado no repositório Enterprise do DS.

  • RootCA publica o certificado no repositório de Raiz Confiável do DS.

  • SubCA publica o Certificado de Autoridade de Certificação no objeto de AC do DS.

  • CrossCA publica o certificado cruzado no objeto de AC do DS.

  • KRA publica o certificado no objeto do Agente de Recuperação de Chave do DS.

  • User publica o certificado no objeto User do DS.

  • Machine publica o certificado no objeto Machine do DS.

  • CRLfile é o nome do arquivo CRL a ser publicado.

  • DSCDPContainer é o CN do contêiner CDP do DS, geralmente o nome do computador da AC.

  • DSCDPCN é o CN do objeto CDP do DS, geralmente com base no índice de chave e no nome curto da AC sanitizado.

  • Use -f para criar um objeto DS.

[-f] [-user] [-dc DCName]

-adtemplate

Exibe modelos do Active Directory.

certutil [options] -adtemplate [template]

[-f] [-user] [-ut] [-mt] [-dc DCName]

-template

Exibe os modelos de certificado.

certutil [options] -template [template]

[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Exibe as autoridades de certificação (ACs) de um modelo de certificado.

certutil [options] -templatecas template

[-f] [-user] [-dc DCName]

-catemplates

Exibe modelos para a Autoridade de Certificação.

certutil [options] -catemplates [template]

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Gerencia nomes de site, incluindo a configuração, a verificação e a exclusão de nomes de site da Autoridade de Certificação

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Em que:

  • sitename é permitido somente ao direcionar uma só Autoridade de Certificação.
[-f] [-config Machine\CAName] [-dc DCName]

Comentários

  • A opção -config direciona uma só Autoridade de Certificação (o padrão é todas as ACs).

  • A opção -f pode ser usada para substituir erros de validação para o nome do site especificado ou para excluir todos os nomes de site da AC.

Observação

Para obter mais informações sobre como configurar CAs para reconhecimento de site do AD DS (Active Directory Domain Services), consulte Reconhecimento de site do AD DS para clientes do AD CS e PKI.

-enrollmentserverURL

Exibe, adiciona ou exclui URLs do servidor de registro associadas a uma AC.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Em que:

  • authenticationtype especifica um dos seguintes métodos de autenticação de cliente, ao adicionar uma URL:

    1. kerberos – usar credenciais SSL Kerberos.

    2. username – usar uma conta nomeada para credenciais SSL.

    3. clientcertificate – usar credenciais SSL de Certificado X.509.

    4. anonymous – usar credenciais SSL anônimas.

  • delete exclui a URL especificada associada à AC.

  • priority, por padrão, será 1 se não for especificado ao adicionar uma URL.

  • modifiers é uma lista separada por vírgulas, que inclui um ou mais dos seguintes:

  1. allowrenewalsonly – somente solicitações de renovação podem ser enviadas a essa AC por meio dessa URL.

  2. allowkeybasedrenewal – permite o uso de um certificado sem nenhuma conta associada no AD. Isso se aplica apenas com o modo clientcertificate e allowrenewalsonly

[-config Machine\CAName] [-dc DCName]

-adca

Exibe as Autoridades de Certificação do Active Directory.

certutil [options] -adca [CAName]

[-f] [-split] [-dc DCName]

-ca

Exibe as Autoridades de Certificação da política de registro.

certutil [options] -CA [CAName | templatename]

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policy

Exibe a política de registro.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Exibe ou exclui entradas de cache da política de registro.

certutil [options] -policycache [delete]

Em que:

  • delete exclui as entradas de cache do servidor de política.

  • -f exclui todas as entradas de cache

[-f] [-user] [-policyserver URLorID]

-credstore

Exibe, adiciona ou exclui entradas do Repositório de Credenciais.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Em que:

  • URL é a URL de destino. Você também pode usar * para corresponder a todas as entradas ou https://machine* para corresponder a um prefixo de URL.

  • add adiciona uma entrada do repositório de credenciais. Usar essa opção também requer o uso de credenciais SSL.

  • delete exclui entradas do repositório de credenciais.

  • -f substitui uma só entrada ou exclui várias entradas.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Instala modelos de certificado padrão.

certutil [options] -installdefaulttemplates

[-dc DCName]

-URLcache

Exibe ou exclui entradas do cache de URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Em que:

  • URL é a URL armazenada em cache.

  • CRL é executado somente em URLs de CRL armazenadas em cache.

  • * opera em todas as URLs armazenadas em cache.

  • delete exclui as URLs relevantes do cache local do usuário atual.

  • -f força a busca de uma URL específica e a atualização do cache.

[-f] [-split]

-pulse

Pulsa eventos de registro automático.

certutil [options] -pulse

[-user]

-machineinfo

Exibe informações sobre o objeto de computador do Active Directory.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Exibe informações sobre o controlador de domínio. O padrão exibe certificados DC sem verificação.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]

[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Dica

A capacidade de especificar um domínio do AD DS (Active Directory Domain Services) [Domínio] e especificar um controlador de domínio (-dc) foi adicionada no Windows Server 2012. Para executar o comando com êxito, você precisa usar uma conta que seja membro de Administradores de Domínio ou Administradores Corporativos. As modificações de comportamento desse comando são as seguintes:

  1. 1. Se um domínio não for especificado e um controlador de domínio específico não for especificado, essa opção retornará uma lista de controladores de domínio a serem processados do controlador de domínio padrão.
  2. 2. Se um domínio não for especificado, mas um controlador de domínio for, um relatório dos certificados no controlador de domínio especificado será gerado.
  3. 3. Se um domínio for especificado, mas um controlador de domínio não for, uma lista de controladores de domínio será gerada junto com relatórios sobre os certificados para cada controlador de domínio na lista.
  4. 4. Se o domínio e o controlador de domínio forem especificados, uma lista de controladores de domínio será gerada do controlador de domínio de destino. Um relatório dos certificados de cada controlador de domínio na lista também é gerado.

Por exemplo, suponha que haja um domínio chamado CPANDL com um controlador de domínio chamado CPANDL-DC1. Você pode executar o seguinte comando para recuperar uma lista de controladores de domínio e seus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Exibe informações sobre uma Autoridade de Certificação corporativa.

certutil [options] -entinfo domainname\machinename$

[-f] [-user]

-tcainfo

Exibe informações sobre a Autoridade de Certificação.

certutil [options] -tcainfo [domainDN | -]

[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Exibe informações sobre o cartão inteligente.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Em que:

  • CRYPT_DELETEKEYSET exclui todas as chaves no cartão inteligente.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Gerencia certificados raiz de cartão inteligente.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]

[-f] [-split] [-p Password]

-DeleteHelloContainer

Exclui o contêiner do Windows Hello, removendo todas as credenciais associadas armazenadas no dispositivo, incluindo todas as credenciais webAuthn e FIDO.

Os usuários precisarão sair depois de usar essa opção para que ela seja concluída.

CertUtil [Options] -DeleteHelloContainer

-verifykeys

Verifica um conjunto de chaves públicas ou privadas.

certutil [options] -verifykeys [keycontainername cacertfile]

Em que:

  • keycontainername é o nome do contêiner de chave da chave a ser verificada. Essa opção usa como padrão chaves de computador. Para alternar para chaves de usuário, use -user.

  • cacertfile assina ou criptografa arquivos de certificado.

[-f] [-user] [-silent] [-config Machine\CAName]

Comentários

  • Se nenhum argumento for especificado, cada certificado de AC de assinatura será verificado em relação à chave privada.

  • Essa operação só pode ser executada em uma AC local ou chaves locais.

-verify

Verifica um certificado, uma CRL (lista de certificados revogados) ou uma cadeia de certificados.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Em que:

  • certfile é o nome do certificado a ser verificado.

  • applicationpolicylist é a lista opcional separada por vírgula de ObjectIds da Política de Aplicativo necessária.

  • issuancepolicylist é a lista opcional separada por vírgula de ObjectIds da Política de Emissão necessária.

  • cacertfile é o Certificado de Autoridade de Certificação emissor opcional a ser verificado.

  • crossedcacertfile é o certificado opcional com certificação cruzada pelo certfile.

  • CRLfile é o arquivo CRL usado para verificar o cacertfile.

  • issuedcertfile é o certificado emitido opcional coberto pelo CRLfile.

  • deltaCRLfile é o arquivo CRL delta opcional.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Comentários

  • O uso de applicationpolicylist restringe a criação de cadeia apenas a cadeias válidas para as Políticas de Aplicativo especificadas.

  • O uso de issuancepolicylist restringe a criação de cadeia apenas a cadeias válidas para as Políticas de Emissão especificadas.

  • O uso de cacertfile verifica os campos no arquivo em relação a certfile ou CRLfile.

  • O uso de issuedcertfile verifica os campos no arquivo em relação a CRLfile.

  • O uso de deltaCRLfile verifica os campos no arquivo em relação a certfile.

  • Se cacertfile não for especificado, a cadeia completa será criada e verificada em relação a certfile.

  • Se cacertfile e crossedcacertfile forem especificados, os campos em ambos os arquivos serão verificados em relação a certfile.

-verifyCTL

Verifica a CTL de Certificados AuthRoot ou Não Permitidos.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Em que:

  • CTLobject identifica a CTL a ser verificada, incluindo:

    • AuthRootWU – lê o CAB de AuthRoot e os certificados correspondentes do cache de URL. Use -f para baixar do Windows Update.

    • DisallowedWU - lê o CAB de Certificados Não Permitidos e o arquivo de repositório de certificados não permitidos do cache de URL. Use -f para baixar do Windows Update.

    • AuthRoot - lê a CTL AuthRoot armazenada em cache do Registro. Use com -f e um arquivo de certificado não confiável para forçar o registro armazenado em cache AuthRoot e CTLs de certificado não permitidos a serem atualizados.

    • Disallowed – lê a CTL de Certificados Não Permitidos armazenados em cache do Registro. Use com -f e um arquivo de certificado não confiável para forçar o registro armazenado em cache AuthRoot e CTLs de certificado não permitidos a serem atualizados.

  • CTLfilename especifica o arquivo ou caminho HTTP para o arquivo CTL ou CAB.

  • certdir especifica a pasta que contém certificados que correspondem às entradas de CTL. O padrão é a mesma pasta ou site que o CTLobject. O uso de um caminho de pasta HTTP requer um separador de caminho no final. Se você não especificar AuthRoot ou Disallowed, vários locais serão pesquisados em busca de certificados correspondentes, incluindo repositórios de certificados locais, crypt32.dll recursos e o cache de URL local. Use -f para baixar do Windows Update, conforme necessário.

  • certfile especifica os certificados a serem verificados. Os certificados são comparados com entradas de CTL, exibindo os resultados. Essa opção suprime a maior parte da saída padrão.

[-f] [-user] [-split]

-sign

Assina novamente uma CRL (lista de certificados revogados) ou certificado.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Em que:

  • infilelist é a lista separada por vírgulas de arquivos de CRL ou certificados para modificar e assinar novamente.

  • serialnumber é o número de série do certificado a ser criado. O período de validade e outras opções não podem estar presentes.

  • CRL cria uma CRL vazia. O período de validade e outras opções não podem estar presentes.

  • outfilelist é a lista separada por vírgulas de arquivos de saída de certificado ou CRL modificados. O número de arquivos precisa corresponder a infilelist.

  • startdate+dd:hh é o novo período de validade dos arquivos de certificado ou CRL, incluindo:

    • data opcional mais

    • período de validade dos dias e horas opcionais

    Se ambos forem especificados, você precisará usar um separador de sinal de adição (+). Use now[+dd:hh] para começar no momento atual. Use never para não ter data de validade (somente para CRLs).

  • serialnumberlist é a lista de números de série separados por vírgulas dos arquivos a serem adicionados ou removidos.

  • objectIDlist é a lista de ObjectId de extensão separada por vírgulas dos arquivos a serem removidos.

  • @extensionfile é o arquivo INF que contém as extensões a serem atualizadas ou removidas. Por exemplo:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • hashalgorithm é o nome do algoritmo de hash. Ele deve ser apenas o texto precedido pelo sinal #.

  • alternatesignaturealgorithm é o especificador do algoritmo de assinatura alternativo.

[-nullsign] [-f] [-silent] [-cert certID]

Comentários

  • O uso do sinal de subtração (-) remove números de série e extensões.

  • Usar o sinal de adição (+) adiciona números de série a uma CRL.

  • Você pode usar uma lista para remover números de série e ObjectIDs de uma CRL ao mesmo tempo.

  • Usar o sinal de subtração antes de alternatesignaturealgorithm permite que você use o formato de assinatura herdado. Usar o sinal de adição permite usar o formato de assinatura alternativo. Se você não especificar alternatesignaturealgorithm, o formato de assinatura no certificado ou CRL será usado.

-vroot

Cria ou exclui raízes virtuais da Web e compartilhamentos de arquivos.

certutil [options] -vroot [delete]

-vocsproot

Cria ou exclui raízes virtuais da Web para um proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Adicionar um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários nem pacotes.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Em que:

  • addenrollmentserver exige que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:

    • kerberos usa credenciais SSL Kerberos.

    • username usa a conta nomeada para credenciais SSL.

    • clientcertificate usa credenciais SSL de Certificado X.509.

  • allowrenewalsonly permite apenas envios de solicitação de renovação para a Autoridade de Certificação por meio da URL.

  • allowkeybasedrenewal permite o uso de um certificado sem nenhuma conta associada no Active Directory. Isso se aplica quando usado com o modo clientcertificate e allowrenewalsonly.

[-config Machine\CAName]

-deleteenrollmentserver

Exclui um aplicativo do Servidor de Registro e um pool de aplicativos, se necessário, para a Autoridade de Certificação especificada. Esse comando não instala binários nem pacotes.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Em que:

  • deleteenrollmentserver exige que você use um método de autenticação para a conexão do cliente com o Servidor de Registro de Certificado, incluindo:

    • kerberos usa credenciais SSL Kerberos.

    • username usa a conta nomeada para credenciais SSL.

    • clientcertificate usa credenciais SSL de Certificado X.509.

[-config Machine\CAName]

-addpolicyserver

Adicionar um aplicativo do Servidor de Política e um pool de aplicativos, se necessário. Esse comando não instala binários nem pacotes.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Em que:

  • addpolicyserver exige que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:

    • kerberos usa credenciais SSL Kerberos.

    • username usa a conta nomeada para credenciais SSL.

    • clientcertificate usa credenciais SSL de Certificado X.509.

  • keybasedrenewal permite o uso de políticas retornadas ao cliente contendo modelos keybasedrenewal. Essa opção se aplica somente à autenticação com nome de usuário e clientcertificate.

-deletepolicyserver

Exclui um aplicativo do Servidor de Política e um pool de aplicativos, se necessário. Esse comando não remove binários nem pacotes.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Em que:

  • deletepolicyserver exige que você use um método de autenticação para a conexão do cliente com o Servidor de Política de Certificado, incluindo:

    • kerberos usa credenciais SSL Kerberos.

    • username usa a conta nomeada para credenciais SSL.

    • clientcertificate usa credenciais SSL de Certificado X.509.

  • keybasedrenewal permite o uso de um servidor de política KeyBasedRenewal.

-oid

Exibe o identificador de objeto ou define um nome de exibição.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Em que:

  • objectID exibe ou adiciona o nome de exibição.

  • groupID é o número de groupID (decimal) que as objectIDs enumeram.

  • algID é a ID hexadecimal que objectID pesquisa.

  • algorithmname é o nome do algoritmo que objectID pesquisa.

  • displayname exibe o nome a ser armazenado no DS.

  • delete exclui o nome de exibição.

  • LanguageId é o valor da ID do idioma (o padrão é o atual: 1033).

  • Type é o tipo do objeto DS a ser criado, incluindo:

    • 1 – modelo (padrão)

    • 2 – Política de Emissão

    • 3 – Política de Aplicativo

  • -f cria um objeto DS.

-error

Exibe o texto da mensagem associado a um código de erro.

certutil [options] -error errorcode

-getreg

Exibe um valor do Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Em que:

  • ca usa uma chave do Registro da Autoridade de Certificação.

  • restore usa a chave do Registro de restauração da Autoridade de Certificação.

  • policy usa a chave do Registro do módulo de política.

  • exit usa a chave do Registro do primeiro módulo de saída.

  • template usa a chave do Registro de modelo (usar -user para modelos de usuário).

  • enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).

  • chain usa a chave do Registro de configuração de cadeia.

  • policyservers usa a chave do Registro dos Servidores de Política.

  • progID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).

  • registryvaluename usa o nome do valor do registro (usar Name* para correspondência de prefixo).

  • value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentários

  • Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.

  • Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário. Se ele não se referir a um arquivo válido, será analisado como [Date][+|-][dd:hh] – uma data opcional mais ou menos dias e horas opcionais. Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.

  • Use chain\chaincacheresyncfiletime \@now para liberar efetivamente CRLs armazenadas em cache.

-setreg

Define um valor do Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Em que:

  • ca usa uma chave do Registro da Autoridade de Certificação.

  • restore usa a chave do Registro de restauração da Autoridade de Certificação.

  • policy usa a chave do Registro do módulo de política.

  • exit usa a chave do Registro do primeiro módulo de saída.

  • template usa a chave do Registro de modelo (usar -user para modelos de usuário).

  • enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).

  • chain usa a chave do Registro de configuração de cadeia.

  • policyservers usa a chave do Registro dos Servidores de Política.

  • progID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).

  • registryvaluename usa o nome do valor do registro (usar Name* para correspondência de prefixo).

  • value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentários

  • Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.

  • Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário. Se ele não se referir a um arquivo válido, será analisado como [Date][+|-][dd:hh] – uma data opcional mais ou menos dias e horas opcionais. Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.

  • Use chain\chaincacheresyncfiletime \@now para liberar efetivamente CRLs armazenadas em cache.

-delreg

Exclui um valor do Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Em que:

  • ca usa uma chave do Registro da Autoridade de Certificação.

  • restore usa a chave do Registro de restauração da Autoridade de Certificação.

  • policy usa a chave do Registro do módulo de política.

  • exit usa a chave do Registro do primeiro módulo de saída.

  • template usa a chave do Registro de modelo (usar -user para modelos de usuário).

  • enroll usa a chave do Registro de inscrição (usar -user para o contexto do usuário).

  • chain usa a chave do Registro de configuração de cadeia.

  • policyservers usa a chave do Registro dos Servidores de Política.

  • progID usa a ProgID do módulo de política ou de saída (nome da subchave do Registro).

  • registryvaluename usa o nome do valor do registro (usar Name* para correspondência de prefixo).

  • value usa o novo valor numérico, de cadeia de caracteres ou de registro de data, ou nome do arquivo. Se um valor numérico começar com + ou -, os bits especificados no novo valor serão definidos ou limpos no valor do Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Comentários

  • Se um valor de cadeia de caracteres começar com + ou - e o valor existente for um valor REG_MULTI_SZ, a cadeia de caracteres será adicionada ou removida do valor existente do Registro. Para forçar a criação de um valor REG_MULTI_SZ, adicione \n ao final do valor da cadeia de caracteres.

  • Se o valor começar com \@, o restante do valor será o nome do arquivo que contém a representação de texto hexadecimal de um valor binário. Se ele não se referir a um arquivo válido, será analisado como [Date][+|-][dd:hh] – uma data opcional mais ou menos dias e horas opcionais. Se ambos forem especificados, use um separador de sinal de adição (+) ou de subtração (-). Use now+dd:hh para uma data relativa à hora atual.

  • Use chain\chaincacheresyncfiletime \@now para liberar efetivamente CRLs armazenadas em cache.

-importKMS

Importa chaves de usuário e certificados para o banco de dados do servidor para arquivamento de chave.

certutil [options] -importKMS userkeyandcertfile [certID]

Em que:

  • userkeyandcertfile é um arquivo de dados com chaves privadas do usuário e certificados que devem ser arquivados. Esse arquivo pode ser:

    • Um arquivo de exportação do KMS (Servidor de Gerenciamento de Chaves do Exchange).

    • Um arquivo PFX.

  • certID é um token de correspondência de certificado de descriptografia de arquivo de exportação KMS. Para obter mais informações, consulte o parâmetro -store neste artigo.

  • -f importa certificados não emitidos pela Autoridade de Certificação.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importa um arquivo de certificado para o banco de dados.

certutil [options] -importcert certfile [existingrow]

Em que:

  • existingrow importa o certificado no lugar de uma solicitação pendente para a mesma chave.

  • -f importa certificados não emitidos pela Autoridade de Certificação.

[-f] [-config Machine\CAName]

Comentários

A Autoridade de Certificação também pode precisar ser configurada para dar suporte a certificados estrangeiros. Para fazer isso, digite import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-getkey

Recupera um blob de recuperação de chave privada arquivado, gera um script de recuperação ou recupera chaves arquivadas.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Em que:

  • script gera um script para recuperar chaves (comportamento padrão se vários candidatos à recuperação correspondentes forem encontrados ou se o arquivo de saída não for especificado).

  • retrieve recupera um ou mais Blobs de Recuperação de Chave (comportamento padrão se exatamente um candidato de recuperação correspondente for encontrado e se o arquivo de saída for especificado). O uso dessa opção trunca qualquer extensão e acrescenta a cadeia de caracteres específica do certificado e a extensão .rec para cada blob de recuperação de chave. Cada arquivo contém uma cadeia de certificados e uma chave privada associada, ainda criptografadas para um ou mais certificados do Agente de Recuperação de Chave.

  • recover recupera chaves privadas em uma etapa (requer certificados do Agente de Recuperação de Chave e chaves privadas). O uso dessa opção trunca qualquer extensão e acrescenta a extensão .p12. Cada arquivo contém as cadeias de certificados recuperadas e as chaves privadas associadas, armazenadas como um arquivo PFX.

  • searchtoken seleciona as chaves e os certificados a serem recuperados, incluindo:

      1. Nome comum do certificado
      1. Número de série do certificado
      1. Hash SHA-1 do certificado (impressão digital)
      1. Hash SHA-1 da KeyId do certificado (Identificador de Chave da Entidade)
      1. Nome do solicitante (domínio\usuário)
      1. UPN (usuário@domínio)

  • recoverybloboutfile gera um arquivo com uma cadeia de certificados e uma chave privada associada, ainda criptografadas para um ou mais certificados do Agente de Recuperação de Chave.

  • outputscriptfile gera um arquivo com um script em lote para recuperar chaves privadas.

  • outputfilebasename gera um nome base de arquivo.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Recuperar uma chave privada arquivada.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]

[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Mescla arquivos PFX.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Em que:

  • PFXinfilelist é uma lista separada por vírgulas de arquivos de entrada PFX.

  • PFXoutfile é o nome do arquivo de saída PFX.

  • extendedproperties inclui as propriedades estendidas.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Comentários

  • A senha especificada na linha de comando deve ser uma lista de senhas separadas por vírgulas.

  • Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-convertEPF

Converte um arquivo PFX em um arquivo EPF.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Em que:

  • PFXinfilelist é uma lista separada por vírgulas de arquivos de entrada PFX.

  • PFXoutfile é o nome do arquivo de saída PFX.

  • EPF é o nome do arquivo de saída EPF.

  • cast usa criptografia CAST 64.

  • cast - usa a criptografia CAST 64 (exportação)

  • V3CAcertID é o token de correspondência de certificado de AC V3. Para obter mais informações, consulte o parâmetro -store neste artigo.

  • salt é a cadeia de caracteres de sal do arquivo de saída do EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Comentários

  • A senha especificada na linha de comando deve ser uma lista de senhas separadas por vírgulas.

  • Se mais de uma senha for especificada, a última senha será usada para o arquivo de saída. Se apenas uma senha for fornecida ou se a última senha for *, o usuário será solicitado a fornecer a senha do arquivo de saída.

-?

Exibe a lista de parâmetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Em que:

  • -? exibe a lista de parâmetros completa

  • -<name_of_parameter> -? exibe o conteúdo da ajuda para o parâmetro especificado.

  • -? -v exibe uma lista completa de parâmetros e opções.

Opções

Esta seção define todas as opções que você pode especificar, com base no comando. Cada parâmetro inclui informações sobre quais opções são válidas para uso.

Opções Descrição
-nullsign Usar o hash dos dados como uma assinatura.
-f Forçar substituição.
-enterprise Usar o repositório de certificados do registro empresarial do computador local.
-user Usar as teclas HKEY_CURRENT_USER ou o armazenamento de certificados.
-GroupPolicy Usar o repositório de certificados de política de grupo.
-ut Exibir modelos de usuário.
-mt Exibir modelos de computador.
-Unicode Gravar a saída redirecionada em Unicode.
-UnicodeText Gravar o arquivo de saída em Unicode.
-gmt Exibir horários usando GMT.
-seconds Exibir horários usando segundos e milissegundos.
-silent Use o sinalizador silent para adquirir o contexto de criptografia.
-split Dividir elementos ASN.1 inseridos e salvar em arquivos.
-v Fornecer informações mais detalhadas.
-privatekey Exibir dados de senha e chave privada.
-pin PIN PIN do cartão inteligente.
-urlfetch Recuperar e verificar certificados AIA e CRLs CDP.
-config Machine\CAName Cadeia de caracteres de nome do computador e Autoridade de Certificação.
-policyserver URLorID URL ou ID do Servidor de Política. Para U/I de seleção, use -policyserver. Para todos os Servidores de Política, use -policyserver *
-anonymous Usar credenciais SSL anônimas.
-kerberos Usar credenciais SSL Kerberos.
-clientcertificate clientcertID Usar credenciais SSL de Certificado X.509. Para U/I de seleção, use -clientcertificate.
-username username Usar a conta nomeada para credenciais SSL. Para U/I de seleção, use -username.
-cert certID Certificado de autenticação.
-dc DCName Direcionar um controlador de domínio específico.
-restrict restrictionlist Lista de Restrições separadas por vírgulas. Cada restrição é composta por um nome de coluna, um operador relacional e um inteiro constante, cadeia de caracteres ou data. Um nome de coluna pode ser precedido por um sinal de mais ou de menos para indicar a ordem de classificação. Por exemplo: requestID = 47, +requestername >= a, requestername ou -requestername > DOMAIN, Disposition = 21
-out columnlist Lista de colunas separadas por vírgulas.
-p senha Senha
-protectto SAMnameandSIDlist Lista de SID/nome SAM separado por vírgulas.
-csp provider Provedor
-t timeout Tempo limite de busca de URL em milissegundos.
-symkeyalg symmetrickeyalgorithm[,keylength] Nome do Algoritmo de Chave Simétrica com comprimento de chave opcional. Por exemplo: AES,128 ou 3DES

Para ver mais alguns exemplos de como usar esse comando, consulte