certutil

Применимо к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil не рекомендуется использовать в каком-либо рабочем коде и не предоставляет никаких гарантий поддержки сайта в реальном времени или совместимости приложений. Это инструмент, используемый разработчиками и ИТ-администраторами для просмотра информации о содержимом сертификатов на устройствах.

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.

Если certutil он запущен на центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil команда выполняется в центре, не являющемся центром сертификации, без других параметров, команда по умолчанию выполняет certutil -dump эту команду. Не все версии certutil предоставляют все параметры и опции, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые вашей версией certutil, выполнив команду или certutil -?certutil <parameter> -?.

Tip

Чтобы увидеть полную справку по всем глаголам и параметрам certutil, включая те, которые скрыты от аргумента -? , выполните certutil -v -uSAGE. Переключатель uSAGE чувствителен к регистру.

Parameters

-dump

Выгружает информацию о конфигурации или файлы.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Выгружает структуру PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной синтаксической нотации (ASN.1). Типы файлов включают . CER, . Файлы в формате DER и PKCS #7.

certutil [options] -asn File [type]

[type]: числовой тип декодирования CRYPT_STRING_*

-decodehex

Декодирует файл в шестнадцатеричной кодировке.

certutil [options] -decodehex InFile OutFile [type]

[type]: числовой тип декодирования CRYPT_STRING_*

Options:

[-f]

-encodehex

Кодирует файл в шестнадцатеричном формате.

certutil [options] -encodehex InFile OutFile [type]

[type]: числовой тип кодировки CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Декодирует файл, закодированный в Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Кодирует файл в Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Отклоняет ожидающий запроса.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Повторно отправляет ожидающий запроса.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Задает атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId — это числовой идентификатор запроса для ожидающего запроса.
AttributeString — это пары имени и значения атрибута запроса.

Options:

[-config Machine\CAName]

Remarks

Имена и значения должны быть разделены двоеточием, в то время как несколько имен и пар значений должны быть разделены новой строкой. Например: CertificateTemplate:User\nEMail:User@Domain.com где последовательность \n преобразуется в разделитель новой строки.

-setextension

Установите расширение для ожидающего запроса сертификата.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID — это числовой идентификатор запроса для ожидающего запроса.
ExtensionName — это строка ObjectId для расширения.
Флаги задают приоритет расширения. 0 рекомендуется, в то время как 1 для расширения устанавливается значение "Критический", 2 отключается расширение и 3 выполняется и то, и другое.

Options:

[-config Machine\CAName]

Remarks

Если последний параметр является числовым, он принимается как Long.
Если последний параметр может быть проанализирован как дата, он берется как дата.
Если последний параметр начинается с \@, остальная часть токена принимается в качестве имени файла с двоичными данными или шестнадцатеричного дампа ASCII-текста.
Если последний параметр является чем-то другим, он принимается как строка.

-revoke

Отзывает сертификат.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber — это разделенный запятыми список серийных номеров сертификатов, которые необходимо отозвать.
Причина — это числовое или символическое представление причины аннулирования, в том числе:
- 0. CRL_REASON_UNSPECIFIED - Не указано (по умолчанию)
- 1. CRL_REASON_KEY_COMPROMISE - компрометация ключа
- 2. CRL_REASON_CA_COMPROMISE - Компрометация центра сертификации
- 3. CRL_REASON_AFFILIATION_CHANGED - Изменена принадлежность
- 4. CRL_REASON_SUPERSEDED - Заменен
- 5. CRL_REASON_CESSATION_OF_OPERATION - Прекращение работы
- 6. CRL_REASON_CERTIFICATE_HOLD - Удержание сертификата
- 8. CRL_REASON_REMOVE_FROM_CRL - Удалить из CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Привилегия отозвана
- 10:CRL_REASON_AA_COMPROMISE - Компромисс АА
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Отображает распоряжение текущим сертификатом.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Получает строку конфигурации по умолчанию.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Получает строку конфигурации по умолчанию через ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Получает конфигурацию через ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Попытки связаться с интерфейсом запроса служб сертификации Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList — это список имен компьютеров центров сертификации, разделенных запятыми. Для одной машины используйте запятую в конце. Этот параметр также отображает стоимость сайта для каждой машины CA.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Попытки связаться с интерфейсом администратора служб сертификации Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Отображает информацию о центре сертификации.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName указывает отображаемое свойство CA на основе следующего синтаксиса аргументов infoname:
- * - Отображает все свойства
- объявления - Продвинутый сервер
- aia [Индекс] - URL-адреса AIA
- cdp [индекс] - URL CDP
- cert [Индекс] - сертификат CA
- certchain [Индекс] - цепочка сертификатов CA
- certcount - количество сертификатов CA
- certcrlchain [Индекс] - Цепочка сертификатов CA с CRL
- certstate [Индекс] - CA cert
- certstatuscode [Индекс] - статус проверки сертификата CA
- certversion [Индекс] - версия сертификата CA
- CRL [Индекс] - Базовый CRL
- crlstate [индекс] - CRL
- crlstatus [индекс] - статус публикации списков отзыва сертификатов
- cross- [Индекс] - Обратный перекрестный сертификат
- cross+ [Индекс] - Перекрестный сертификат
- crossstate- [Индекс] - Обратный перекрестный сертификат
- crossstate+ [Индекс] - Пересылка перекрестного сертификата
- deltacrl [индекс] - дельта CRL
- deltacrlstatus [индекс] - Статус публикации дельта-CRL
- dns - DNS-имя
- dsname - Сокращенное имя Sanitized CA (имя DS)
- error1 ErrorCode - текст сообщения об ошибке
- error2 ErrorCode - текст сообщения об ошибке и код ошибки
- exit [Индекс] - Описание модуля выхода
- exitcount - Количество модулей выхода
- file - Версия файла
- info - Информация о CA
- kra [Индекс] - KRA cert
- kracount - Количество сертификатов KRA
- krastate [Индекс] - KRA cert
- kraused - Количество использованных сертификатов KRA
- localename - имя локали CA
- name - имя CA
- ocsp [индекс] - URL-адреса OCSP
- parent - Родительский центр сертификации
- policy - описание модуля Policy
- product - Версия продукта
- propidmax - Максимальный CA PropId
- роль - Разделение ролей
- sanitizedname - Имя Sanitized CA
- sharedfolder - Общая папка
- subjecttemplateoids - OID шаблонов тем
- шаблоны - Шаблоны
- type - тип CA
- xchg [Индекс] - сертификат биржи CA
- xchgchain [Индекс] - цепочка сертификатов биржи CA
- xchgcount - количество сертификатов биржи CA
- xchgcrlchain [Индекс] - Цепочка сертификатов обмена CA с CRL
index — это необязательное свойство index, начинающееся с нуля.
errorcode — это числовой код ошибки.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Отображает информацию о типе свойства CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Извлекает сертификат для центра сертификации.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile - это выходной файл.
Индекс — это индекс обновления сертификата ЦС (по умолчанию — самый последний).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Извлекает цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile - это выходной файл.
Индекс — это индекс обновления сертификата ЦС (по умолчанию — самый последний).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Получает список отзыва сертификатов (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Индекс — это индекс CRL или ключевой индекс (по умолчанию CRL для самого последнего ключа).
delta — это разностный CRL (по умолчанию — базовый CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Публикует новые списки отзыва сертификатов (CRL) или разностные списки отзыва сертификатов.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh — новый срок действия CRL в днях и часах.
republish — повторная публикация самых последних списков отзыва сертификатов.
delta публикует только разностные списки отзыва сертификатов (по умолчанию — базовые и разностные списки отзыва сертификатов).

Options:

[-split] [-config Machine\CAName]

-shutdown

Завершает работу служб сертификации Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Устанавливает сертификат центра сертификации.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Продлевает срок действия сертификата центра сертификации.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Используется -f для игнорирования незавершенного запроса на продление и создания нового запроса.

-schema

Создает дамп схемы для сертификата.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

По умолчанию команда использует таблицу Request and Certificate.
Ext — это таблица расширений.
Attribute — это таблица атрибутов.
CRL — это таблица CRL.

Options:

[-split] [-config Machine\CAName]

-view

Выгружает представление сертификата.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Queue делает дамп определенной очереди запросов.
Журнал содержит дампы выданных или отозванных сертификатов, а также все неудачные запросы.
LogFail сбрасывает дамп неудачных запросов.
Отозванные дампы — это отозванные сертификаты.
Ext выдает дамп таблицы расширений.
Attrib выгружает таблицу атрибутов.
CRL выгружает таблицу CRL.
CSV предоставляет вывод с использованием значений, разделенных запятыми.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Чтобы отобразить столбец StatusCode для всех записей, введите -out StatusCode
Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$
Чтобы отобразить RequestId и Disposition для трех запросов, введите: -restrict requestID>=37,requestID<40 -out requestID,disposition
Чтобы отобразить идентификаторы строк, идентификаторы строк и номера списков отзыва сертификатов для всех базовых списков отзыва сертификатов, введите: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Чтобы отобразить базовый CRL номер 3, введите: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Чтобы отобразить всю таблицу списков отзыва сертификатов, введите: CRL
Используйте Date[+|-dd:hh] для ограничения по дате.
Используется now+dd:hh для обозначения даты относительно текущего времени.
Шаблоны содержат расширенные варианты использования ключей (EKU), которые представляют собой идентификаторы объектов (OID), описывающие способ использования сертификата. Сертификаты не всегда содержат общие имена шаблонов или отображаемые имена, но они всегда содержат шаблоны EKU. Вы можете извлечь EKU для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.

-db

Выгружает необработанную базу данных.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

Запрос удаляет невыполненные и ожидающие запросы в зависимости от даты отправки.
Cert удаляет сертификаты с истекшим сроком действия и отозванные сертификаты в зависимости от даты истечения срока действия.
Ext удаляет таблицу расширений.
Attrib удаляет таблицу атрибутов.
Список отзыва сертификатов удаляет таблицу списков отзыва сертификатов.

Options:

[-f] [-config Machine\CAName]

Examples

Чтобы удалить невыполненные и ожидающие запроса, отправленные 22 января 2001 г., введите: 1/22/2001 request
Чтобы удалить все сертификаты, срок действия которых истек до 22 января 2001 г., введите: 1/22/2001 cert
Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37
Чтобы удалить списки отзыва сертификатов, срок действия которых истек 22 января 2001 г., введите: 1/22/2001 crl

Note

Date ожидает формат mm/dd/yyyy , а не dd/mm/yyyy, например 1/22/2001 , а не 22/1/2001 22 января 2001 года. Если на сервере не настроены региональные параметры США, использование аргумента Date может привести к неожиданным результатам.

-backup

Резервное копирование служб сертификации Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory — это каталог для хранения резервных копий данных.
Incremental выполняет только инкрементное резервное копирование (по умолчанию — полное резервное копирование).
KeepLog сохраняет файлы журнала базы данных (по умолчанию файлы журнала обрезаются).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Резервное копирование базы данных служб сертификации Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory — это каталог для хранения резервных копий файлов базы данных.
Incremental выполняет только инкрементное резервное копирование (по умолчанию — полное резервное копирование).
KeepLog сохраняет файлы журнала базы данных (по умолчанию файлы журнала обрезаются).

Options:

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата и закрытого ключа служб сертификации Active Directory.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory — это каталог для хранения резервного файла PFX.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Восстанавливает службы сертификации Active Directory.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory — это каталог, содержащий данные, которые необходимо восстановить.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Восстанавливает базу данных служб сертификации Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory — это каталог, содержащий файлы базы данных, которые необходимо восстановить.

Options:

[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат и закрытый ключ служб сертификации Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory — это каталог, содержащий файл PFX, который необходимо восстановить.
PFXFile — это файл PFX, который необходимо восстановить.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.
PFXFile — это файл PFX, который необходимо экспортировать.
Модификаторы — это список, разделенный запятыми, который может включать в себя один или несколько из следующего:
- CryptoAlgorithm= указывает криптографический алгоритм, используемый для шифрования файла PFX, например TripleDES-Sha1 или Aes256-Sha256.
- EncryptCert — шифрует закрытый ключ, связанный с сертификатом, паролем.
- ExportParameters -Exports параметры закрытого ключа в дополнение к сертификату и закрытому ключу.
- ExtendedProperties — включает все расширенные свойства, связанные с сертификатом в выходном файле.
- NoEncryptCert — экспортирует закрытый ключ без его шифрования.
- NoChain — не импортирует цепочку сертификатов.
- NoRoot — не импортирует корневой сертификат.

-importPFX

Импортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName — это имя хранилища сертификатов.
PFXFile — это файл PFX, который необходимо импортировать.
Модификаторы — это список, разделенный запятыми, который может включать в себя один или несколько из следующего:
- AT_KEYEXCHANGE - Изменяет спецификацию ключа на обмен ключами.
- AT_SIGNATURE — изменяет ключевую спецификацию на подпись.
- ExportEncrypted — экспортирует закрытый ключ, связанный с сертификатом, с шифрованием паролем.
- FriendlyName= — указывает понятное имя для импортируемого сертификата.
- KeyDescription= — указывает описание закрытого ключа, связанного с импортированным сертификатом.
- KeyFriendlyName= — указывает понятное имя для закрытого ключа, связанного с импортированным сертификатом.
- NoCert — сертификат не импортируется.
- NoChain — не импортирует цепочку сертификатов.
- NoExport — делает закрытый ключ непригодным для экспорта.
- NoProtect — не защищает ключи паролем с помощью пароля.
- NoRoot — не импортирует корневой сертификат.
- Pkcs8 — использует формат PKCS8 для закрытого ключа в файле PFX.
- Protect — защищает ключи с помощью пароля.
- ProtectHigh — указывает, что пароль с высоким уровнем безопасности должен быть связан с закрытым ключом.
- VSM — хранит закрытый ключ, связанный с импортированным сертификатом, в контейнере виртуальной смарт-карты (VSC).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

По умолчанию используется персональное хранилище машин.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Отображает местоположения базы данных.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш над файлом.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Создает дамп хранилища сертификатов.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName — это имя хранилища сертификатов. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Этот идентификатор может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из этих идентификаторов могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Проблемы с производительностью наблюдаются при использовании параметра -store с учетом этих двух аспектов:

Когда количество сертификатов в магазине превышает 10.
Если указан идентификатор CertId, он используется для сопоставления всех перечисленных типов для каждого сертификата. Например, если указан серийный номер , он также попытается сопоставить все остальные перечисленные типы.

Если вас беспокоят проблемы с производительностью, рекомендуется использовать команды PowerShell, если они будут соответствовать только указанному типу сертификата.

-enumstore

Перечисляет хранилища сертификатов.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName — это имя удаленного компьютера.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Добавляет сертификат в магазин. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName — это имя хранилища сертификатов.
InFile — это файл сертификата или CRL, который вы хотите добавить в магазин.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Удаляет сертификат из магазина. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Проверяет сертификат в магазине. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Восстанавливает свойства сертификата связи ключей или обновления или дескриптор безопасности ключа. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName — это имя хранилища сертификатов.
CertIdList — это разделенный запятыми список маркеров соответствия сертификатов или списков отзыва сертификатов. Дополнительные сведения см. в описании -store CertId в этой статье.

PropertyInfFile — это INF-файл, содержащий внешние свойства, в том числе:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Выгружает хранилище сертификатов. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName — это имя хранилища сертификатов. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Это может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Удаляет сертификат из магазина.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName — это имя хранилища сертификатов. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Это может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Вызывает интерфейс certutil.

certutil [options] -UI File [import]

-TPMInfo

Отображает информацию о модуле доверенной платформы.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Указывает, что файл запроса сертификата должен быть заверен.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Выбор сертификата из пользовательского интерфейса выбора.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Отображает различающиеся имена (DN) службы каталогов (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Удаляет доменные домены DN.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Публикует сертификат или список отзыва сертификатов (CRL) в Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile — это имя файла сертификата для публикации.
NTAuthCA публикует сертификат в хранилище DS Enterprise.
RootCA публикует сертификат в хранилище DS Trusted Root.
SubCA публикует сертификат CA в объекте DS CA.
CrossCA публикует перекрестный сертификат в объекте DS CA.
KRA публикует сертификат в объекте агента восстановления ключа DS.
Пользователь публикует сертификат в объекте User DS.
Машина публикует сертификат в объекте Machine DS.
CRLfile — это имя файла CRL для публикации.
DSCDPContainer — это контейнер DS CDP CN, обычно это имя компьютера CA.
DSCDPCN — это CN объекта CDP DS на основе очищенного короткого имени CA и ключевого индекса.

Options:

[-f] [-user] [-dc DCName]

Используется -f для создания нового объекта DS.

-dsCert

Отображает сертификаты DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Отображает списки отзыва сертификатов DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Отображает дельта-списки отзыва сертификатов DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Отображает атрибуты шаблона DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Добавляет шаблоны DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Отображает шаблоны Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Отображает шаблоны политик подачи заявок на сертификаты.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Отображает шаблоны для центра сертификации.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Задает шаблоны сертификатов, которые может выдавать центр сертификации.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

Знак + добавляет шаблоны сертификатов в список доступных шаблонов ЦС.
Знак - удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.

-SetCASites

Управление именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

SiteName разрешен только при нацеливании на один центр сертификации.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

Этот -config параметр предназначен для одного центра сертификации (по умолчанию — все центры сертификации).
Этот -f параметр можно использовать для переопределения ошибок проверки для указанного SiteName или для удаления всех имен сайтов ЦС.

Note

Дополнительные сведения о настройке центров сертификации для осведомленности о сайте доменных служб Active Directory (AD DS) см. в статье Осведомленность о сайте AD DS для клиентов AD CS и PKI.

-enrollmentServerURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с центром сертификации.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType указывает один из следующих методов проверки подлинности клиента при добавлении URL:
- Kerberos — используйте учетные данные Kerberos SSL.
- UserName — используйте именованную учетную запись для учетных данных SSL.
- ClientCertificate — используйте учетные данные SSL сертификата X.509.
- Анонимный — используйте анонимные учетные данные SSL.
delete удаляет указанный URL-адрес, связанный с центром сертификации.
Приоритет по умолчанию равен, 1 если он не указан при добавлении URL.
Модификаторы — это список, разделенный запятыми, который включает в себя один или несколько из следующих элементов:
- AllowRenewalsТолько запросы на продление могут быть отправлены в этот центр сертификации по этому URL.
- AllowKeyBasedRenewal позволяет использовать сертификат, с которым не связана учетная запись в AD. Это относится только к режимам ClientCertificate и AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Отображает центры сертификации Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Отображает политику подачи заявок Центры сертификации.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Отображает политику зачисления.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -PolicyCache [delete]

Where:

Delete удаляет записи кэша сервера политик.
-f удаляет все записи кэша

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL — это целевой URL. Вы также можете использовать * для сопоставления всех записей или https://machine* для сопоставления префикса URL.
add добавляет запись в хранилище учетных данных. Использование этого варианта также требует использования учетных данных SSL.
Delete удаляет записи хранилища учетных данных.
-f перезаписывает одну запись или удаляет несколько записей.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Проверяет URL-адреса сертификатов или списков отзыва сертификатов.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

URL — это кэшированный URL.
Список отзыва сертификатов выполняется только для всех кэшированных URL-адресов списков отзыва сертификатов.
* работает со всеми кэшированными URL.
delete удаляет релевантные URL-адреса из локального кэша текущего пользователя.
-f принудительно извлекает определенный URL и обновляет кэш.

Options:

[-f] [-split]

-pulse

Мигает событие автоматической регистрации или задачу NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName — это задача, которую нужно запустить.
- Преген — это задача прегенерации ключа NGC.
- AIKEnroll — это задача для регистрации сертификата NGC AIK. (По умолчанию используется событие автоматической регистрации.)
SRKThumbprint — это отпечаток корневого ключа хранилища
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Отображает информацию об объекте компьютера Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Отображает информацию о контроллере домена. По умолчанию сертификаты контроллера домена отображаются без проверки.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

В Windows Server 2012 добавлена возможность указывать домен доменных служб Active Directory (AD DS) [Domain] и указывать контроллер домена (-dc). Для успешного выполнения команды необходимо использовать учетную запись, которая является членом Domain Admins или Enterprise Admins. Изменения в поведении этой команды следующие:

Если домен не указан и не указан конкретный контроллер домена, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
Если домен не указан, но указан контроллер домена, создается отчет о сертификатах на указанном контроллере домена.
Если домен указан, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
Если домен и контроллер домена указаны, список контроллеров домена создается из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что существует домен с именем CPANDL и контроллером домена с именем CPANDL-DC1. Для получения списка контроллеров домена и их сертификатов из CPANDL-DC1 можно выполнить следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Отображает информацию о корпоративном центре сертификации.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Отображает информацию о центре сертификации.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Отображает информацию о смарт-карте.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET удаляет все ключи на смарт-карте.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Управление корневыми сертификатами смарт-карт.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Список ключей, хранящихся в контейнере ключей.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName — это имя контейнера ключа для проверки. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
Использование - знака относится к использованию контейнера ключей по умолчанию.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Удаляет именованный контейнер ключей.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователям необходимо выйти из системы после использования этого параметра, чтобы завершить работу.

certutil [options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName — это имя контейнера ключа для проверки. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
CACertFile подписывает или шифрует файлы сертификатов.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Если аргументы не указаны, каждый подписывающий сертификат ЦС проверяется на соответствие его закрытому ключу.
Эта операция может быть выполнена только в отношении локального центра сертификации или локальных ключей.

-verify

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile — это имя сертификата для проверки.
ApplicationPolicyList — это необязательный список обязательных идентификаторов объектов Application Policy, разделенных запятыми.
IssuancePolicyList — это необязательный список обязательных идентификаторов объектов политики выпуска, разделенных запятыми.
CACertFile — это необязательный сертификат центра сертификации для проверки.
CrossedCACertFile — это необязательный сертификат, прошедший перекрестную сертификацию CertFile.
CRLFile — это CRL-файл , используемый для проверки CACertFile.
IssuedCertFile — это необязательный выданный сертификат, на который распространяется CRLfile.
DeltaCRLFile — это необязательный разностный файл CRL.
Modifiers:
- Strong - Строгая проверка подписи
- MSRoot — необходимо выполнить привязку к корневому каталогу Майкрософт
- MSTestRoot — необходимо выполнить привязку к тестовому корню Microsoft
- AppRoot — должен быть связан с корневым каталогом приложения Майкрософт
- EV - Применение политики расширенной проверки

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

Использование ApplicationPolicyList ограничивает построение цепочки только цепочками, допустимыми для указанных политик приложений.
Использование IssuancePolicyList ограничивает построение цепочки только цепочками, действительными для указанных политик выпуска.
С помощью CACertFile поля в файле проверяются на соответствие CertFile или CRLfile.
Если CACertFile не указан, создается полная цепочка и проверяется на соответствие CertFile.
Если указаны CACertFile и CrossedCACertFile, поля в обоих файлах проверяются на соответствие CertFile.
С помощью IssuedCertFile поля в файле проверяются на соответствие CRLfile.
С помощью DeltaCRLFile поля в файле проверяются на соответствие CertFile.

-verifyCTL

Проверяет CTL AuthRoot или Disallowed Certificates.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject определяет CTL для проверки, в том числе:
- AuthRootWU считывает CAB AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- DisallowedWU считывает файл CAB запрещенных сертификатов и файл хранилища запрещенных сертификатов из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
  - PinRulesWU считывает CAB PinRules из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- AuthRoot считывает кэшированный реестром CTL AuthRoot. Используйте с -f и недоверенный CertFile для принудительного обновления кэшированных CTL реестра AuthRoot и Disallowed Certificate.
- Disallowed считывает кэшированные в реестре Disallowed Certificates CTL. Используйте с -f и недоверенный CertFile для принудительного обновления кэшированных CTL реестра AuthRoot и Disallowed Certificate.
  - PinRules считывает кэшированный реестр PinRules CTL. Использование -f имеет то же поведение, что и с PinRulesWU.
- CTLFileName указывает путь к файлу CTL или CAB.
CertDir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и объект CTL. Для использования пути к папке http требуется разделитель путей в конце. Если не указать AuthRoot или Disallowed, поиск соответствующих сертификатов выполняется в нескольких расположениях, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. При необходимости используйте -f для загрузки из Центра обновления Windows.
CertFile указывает сертификат(ы) для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть вывода по умолчанию.

Options:

[-f] [-user] [-split]

-syncWithWU

Синхронизирует сертификаты с Центром обновления Windows.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir — указанный каталог.
f приводит к перезаписи.
Юникод записывает перенаправленный вывод в Юникоде.
GMT отображает время по Гринвичу.
Seconds отображает время с секундами и миллисекундами.
v — это многословная операция.
PIN-код — это PIN-код смарт-карты.
WELL_KNOWN_SID_TYPE — это числовой идентификатор безопасности:
- 22 - Локальная система
- 23 - Местное сообщение
- 24 - Сетевое обслуживание

Remarks

Следующие файлы загружаются с помощью механизма автоматического обновления:

authrootstl.cab содержит списки CTL корневых сертификатов сторонних производителей.
disallowedcertstl.cab содержит списки CTL недоверенных сертификатов.
disallowedcert.sst содержит сериализованное хранилище сертификатов, включая недоверенные сертификаты.
thumbprint.crt содержит корневые сертификаты, не принадлежащие Microsoft.

Например: certutil -syncWithWU \\server1\PKI\CTLs.

Если вы используете несуществующий локальный путь или папку в качестве целевой папки, вы увидите ошибку: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Если вы используете несуществующее или недоступное сетевое расположение в качестве целевой папки, вы увидите сообщение об ошибке: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Если серверу не удается подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, возникает следующая ошибка: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Если ваш сервер не может связаться с серверами автоматического обновления Майкрософт с DNS-именем ctldl.windowsupdate.com, вы получите следующую ошибку: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Если вы не используете -f переключатель и какой-либо из файлов CTL уже существует в каталоге, вы получите сообщение об ошибке "Файл существует": certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Если в доверенных корневых сертификатах произошли изменения, вы увидите: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Создает файл хранилища, который синхронизируется с Центром обновления Windows.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile — это .sst файл, который должен быть сгенерирован и содержит сторонние корневые каталоги, загруженные из Центра обновления Windows.

Options:

[-f] [-split]

-generatePinRulesCTL

Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile — это входной XML-файл, который нужно проанализировать.
CTLFile — это выходной CTL-файл, который необходимо создать.
SSTFile — это необязательный .sst файл, который должен быть создан, содержащий все сертификаты, используемые для закрепления.
QueryFilesPrefix — это необязательные файлыDomains.csv и Keys.csv , которые должны быть созданы для запроса к базе данных.
- Строка QueryFilesPrefix добавляется к каждому созданному файлу.
- Файл Domains.csv содержит имя правила, строки домена.
- Файл Keys.csv содержит имя правила, ключевые строки отпечатков SHA256.

Options:

[-f]

-downloadOcsp

Загружает ответы OCSP и записывает их в каталог.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir — это каталог файлов сертификата, хранилища и PFX.
OcspDir — это каталог для написания ответов OCSP.
ThreadCount — это необязательное максимальное количество потоков для параллельной загрузки. По умолчанию установлено значение 10.
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- DownloadOnce — однократная загрузка и завершение.
- ReadOcsp — читает из OcspDir вместо записи.

-generateHpkpHeader

Создает заголовок HPKP с использованием сертификатов в указанном файле или каталоге.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir — это файл или каталог сертификатов, который является источником pin-sha256.
MaxAge — это значение max-age в секундах.
ReportUri — это необязательный report-uri.
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- includeSubDomains - Добавляет includeSubDomains.

-flushCache

Сбрасывает указанные кэши в выбранном процессе, например, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId — это числовой идентификатор процесса, который нужно сбросить. Установите значение 0 , чтобы сбросить все процессы, в которых включена опция.
CacheMask — это битовая маска кэшей, которые должны быть сброшены либо числовыми, либо следующими битами:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- Показать - Показывает сбрасываемые кэши. Certutil должен быть прекращен в явном виде.

-addEccCurve

Добавляет кривую ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass - это тип класса ECC Curve:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName — это имя кривой ECC.
CurveParameters может быть одним из следующих:
- Имя файла сертификата, содержащее параметры в кодировке ASN.
- Файл, содержащий параметры в кодировке ASN.
CurveOID — это ECC Curve OID и является одним из следующих:
- Имя файла сертификата, содержащее OID в кодировке ASN.
- Явный OID кривой ECC.
CurveType — это точка Schannel ECC NamedCurve (числовая).

Options:

[-f]

-deleteEccCurve

Удаляет кривую ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName — это имя кривой ECC.
CurveOID — это ECC Curve OID.

Options:

[-f]

-displayEccCurve

Отображение кривой ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName — это имя кривой ECC.
CurveOID — это ECC Curve OID.

Options:

[-f]

-csplist

Список поставщиков служб шифрования (CSP), установленных на данном компьютере для выполнения криптографических операций.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Проверяет операторов связи, установленных на данном компьютере.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Отображает криптографическую конфигурацию CNG на данном аппарате.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList — это разделенный запятыми список файлов сертификатов или списков отзыва сертификатов для изменения и повторной подписи.
SerialNumber — это серийный номер создаваемого сертификата. Срок действия и другие опции отсутствовать не могут.
Список отзыва сертификатов создает пустой список отзыва сертификатов. Срок действия и другие опции отсутствовать не могут.
OutFileList — это разделенный запятыми список измененных файлов сертификатов или выходных файлов CRL. Количество файлов должно совпадать с infilelist.
StartDate+dd:hh — новый срок действия сертификата или файлов CRL, в том числе:
- Опциональная дата плюс
- необязательный срок действия дней и часов Если используется несколько полей, используйте разделитель (+) или (-). Используйте now[+dd:hh] для запуска в текущее время. Используйте now-dd:hh+dd:hh для начала с фиксированным смещением от текущего времени и фиксированным сроком действия. Используйте never без даты истечения срока действия (только для списков отзыва сертификатов).
SerialNumberList — это список серийных номеров, разделенных запятыми, для добавления или удаления.
ObjectIdList — это расширение, разделенное запятыми, список удаляемых файлов.
@ExtensionFile — это INF-файл, содержащий расширения, которые необходимо обновить или удалить. For example:
```
[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86
```
HashAlgorithm — это имя алгоритма хеширования. Это должен быть только текст, которому # предшествует знак.
AlternateSignatureAlgorithm — это спецификатор алгоритма альтернативной подписи.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

Использование знака минус (-) удаляет серийные номера и добавочные номера.
Использование знака «плюс» (+) добавляет серийные номера в список отзыва сертификатов.
Список можно использовать для одновременного удаления серийных номеров и идентификаторов объектов из списка отзыва сертификатов.
Использование знака минус перед AlternateSignatureAlgorithm позволяет использовать устаревший формат подписи.
Использование знака плюс позволяет использовать альтернативный формат подписи.
Если вы не укажете AlternateSignatureAlgorithm, будет использоваться формат подписи в сертификате или списке отзыва сертификатов.

-vroot

Создает или удаляет виртуальные корневые веб-серверы и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет виртуальные веб-корни для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Добавляет приложение сервера регистрации и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer требует, чтобы вы использовали метод аутентификации для подключения клиента к серверу регистрации сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
Modifiers:
- AllowRenewalsOnly разрешает только отправку запросов на продление в центр сертификации через URL.
- AllowKeyBasedRenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применимо при использовании с ClientCertificate и режимом AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Удаляет приложение сервера подачи заявок и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу подачи заявок на сертификаты, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

При необходимости добавьте приложение сервера политик и пул приложений. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer требует использования метода аутентификации для подключения клиента к серверу политики сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
KeyBasedRenewal позволяет использовать политики, возвращаемые клиенту, содержащие шаблоны keybasedrenewal. Этот параметр применим только для аутентификации UserName и ClientCertificate .

-deletePolicyServer

При необходимости удаляет приложение сервера политик и пул приложений. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer требует использования метода аутентификации для подключения клиента к серверу политики сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
KeyBasedRenewal позволяет использовать сервер политик KeyBasedRenewal.

-Class

Отображает информацию реестра COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Проверяет сертификат на 0x7f длины кодировок.

certutil [options] -7f CertFile

-oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId — это идентификатор, который будет отображаться или добавляться к отображаемому имени.
GroupId — это номер GroupID (десятичный), который перечисляются ObjectId.
AlgId — это шестнадцатеричный идентификатор, который ищет objectID.
AlgorithmName — это имя алгоритма, которое ищет objectID.
DisplayName отображает имя для сохранения в DS.
При нажатии на кнопку «Удалить » отображаемое имя удаляется.
LanguageId — это значение идентификатора языка (по умолчанию current: 1033).
Тип — это тип объекта DS для создания, в том числе:
- 1 - Шаблон (по умолчанию)
- 2 - Политика выпуска
- 3 - Политика применения
-f создает объект DS.

Options:

[-f]

-error

Отображает текст сообщения, связанный с кодом ошибки.

certutil [options] -error ErrorCode

-getsmtpinfo

Получает информацию по протоколу SMTP.

certutil [options] -getsmtpinfo

-setsmtpinfo

Устанавливает информацию SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
value использует новое числовое, строковое или датированное значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Registry aliases:
- Config
- CA
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
Value использует новое числовое значение, строку или дату, значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
Value использует новое числовое, строковое или датированное значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Registry aliases:
- Config
- CA
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-importKMS

Импортирует ключи пользователей и сертификаты в базу данных сервера для архивирования ключей.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile — это файл данных с закрытыми ключами пользователей и сертификатами, которые должны быть архивированы. Этот файл может быть:
- Файл экспорта сервера управления ключами Exchange (KMS).
- Файл PFX.
CertId — это маркер соответствия сертификата расшифровки файла экспорта KMS. Дополнительные сведения см. в параметре -store в этой статье.
-f импортные сертификаты, не выданные Центром сертификации.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Импортирует файл сертификата в базу данных.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow импортирует сертификат вместо ожидающего запроса на тот же ключ.
-f импортные сертификаты, не выданные Центром сертификации.

Options:

[-f] [-config Machine\CAName]

Remarks

Кроме того, может потребоваться настроить центр сертификации для поддержки иностранных сертификатов с помощью команды certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Извлекает архивный большой двоичный объект для восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

Скрипт создает сценарий для извлечения и восстановления ключей (поведение по умолчанию, если найдено несколько подходящих кандидатов на восстановление или если выходной файл не указан).
retrieve извлекает один или несколько BLOB-объектов восстановления ключа (поведение по умолчанию, если найден ровно один подходящий кандидат на восстановление и если указан выходной файл). При использовании этого параметра усекается любое расширение и добавляется строка, относящаяся к сертификату, и .rec расширение для каждого большого двоичного объекта восстановления ключа. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
recover извлекает и восстанавливает закрытые ключи за один шаг (требуются сертификаты и закрытые ключи агента восстановления ключей). Использование этой опции усекает любое расширение и добавляет расширение .p12 . Каждый файл содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.
SearchToken выбирает ключи и сертификаты для восстановления, в том числе:
- Общее имя сертификата
- Серийный номер сертификата
- Сертификат хеша SHA-1 (отпечаток пальца)
- Идентификатор ключа сертификата SHA-1 hash (идентификатор ключа субъекта)
- Имя запрашивающего (домен\пользователь)
- UPN (user@domain)
RecoveryBlobOutFile выводит файл с цепочкой сертификатов и связанным закрытым ключом, все еще зашифрованным до одного или нескольких сертификатов агента восстановления ключей.
OutputScriptFile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.
OutputFileBaseName выводит имя базы файла.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

При извлечении любое расширение усекается, а для каждого большого двоичного объекта восстановления ключа добавляется строка .rec , относящаяся к сертификату. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
При восстановлении любое расширение усекается, а расширение .p12 добавляется. Содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.

-RecoverKey

Восстанавливает архивированный закрытый ключ.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Объединяет файлы PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList — это разделенный запятыми список входных файлов PFX.
PFXOutFile — это имя выходного файла PFX.
Модификаторы — это разделенные запятыми списки одного или нескольких из следующих элементов:
- ExtendedProperties включает в себя любые расширенные свойства.
- NoEncryptCert указывает, что сертификаты не шифруются.
- EncryptCert указывает на шифрование сертификатов.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Пароль, указанный в командной строке, должен быть списком паролей, разделенных запятыми.
Если указано более одного пароля, то для выходного файла используется последний пароль. Если указан только один пароль или если последний пароль — *, пользователю будет предложено ввести пароль выходного файла.

-add-chain

Добавляет цепочку сертификатов.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Добавляет цепочку предварительных сертификатов.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Получает подписанную голову дерева.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Получает подписанные изменения заголовка дерева.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Получает доказательство хэша от сервера временных меток.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Извлекает записи из журнала событий.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Извлекает корневые сертификаты из хранилища сертификатов.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Извлекает запись в журнале событий и ее криптографическое доказательство.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Сверяет сертификат с журналом прозрачности сертификатов.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? отображает список параметров
-<name_of_parameter> -? отображает содержимое справки для указанного параметра.
-? -v Отображает подробный список параметров и опций.

Options

В этом разделе определены все параметры, которые вы можете указать в зависимости от команды. Каждый параметр включает информацию о том, какие опции допустимы для использования.

Option	Description
-admin	Используйте ICertAdmin2 для свойств ЦС.
-anonymous	Используйте анонимные учетные данные SSL.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Используйте учетные данные SSL сертификата X.509. Для пользовательского интерфейса выбора используйте `-clientcertificate`.
-config Machine\CAName	Строка центра сертификации и имени компьютера.
-csp provider	Provider: KSP - Поставщик программного обеспечения для хранения ключей Microsoft TPM — поставщик криптографии на платформе Майкрософт NGC - Поставщик хранилища ключей Microsoft Passport SC - Поставщик хранилища ключей смарт-карт Microsoft
-dc DCName	Нацельтесь на определенный контроллер домена.
-enterprise	Используйте локальное хранилище сертификатов реестра предприятия.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Создайте SST с помощью механизма автоматического обновления.
-gmt	Отображение времени с использованием GMT.
-GroupPolicy	Используйте хранилище сертификатов групповой политики.
-idispatch	Используйте IDispatch вместо нативных методов COM.
-kerberos	Используйте учетные данные Kerberos SSL.
-location alternatestoragelocation	`(-loc)` Альтернативное местоположение.
-mt	Отображение шаблонов машин.
-nocr	Кодирование текста без символов CR.
-nocrlf	Кодируйте текст без CR-LF символов.
-nullsign	Используйте хэш данных в качестве подписи.
-oldpfx	Используйте старое шифрование PFX.
-out columnlist	Список столбцов, разделенных запятыми.
-p password	Password
-pin PIN	PIN-код смарт-карты.
-policyserver URLorID	URL или идентификатор сервера политик. Для выбора U/I используйте `-policyserver`. Для всех серверов политик используйте `-policyserver *`
-privatekey	Отображение данных пароля и закрытого ключа.
-protect	Защитите ключи паролем.
-protectto SAMnameandSIDlist	Разделенные запятыми имя SAM/список SID.
-restrict restrictionlist	Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константы целого числа, строки или даты. Одному названию столбца может предшествовать знак плюс или минус для обозначения порядка сортировки. Например: `requestID = 47`, `+requestername >= a, requestername`, или `-requestername > DOMAIN, Disposition = 21`.
-reverse	Обратные столбцы журнала и очереди.
-seconds	Отображайте время с помощью секунд и миллисекунд.
-service	Используйте хранилище сертификатов службы.
-sid	Numeric SID: 22 - Локальная система 23 - Местное сообщение 24 - Сетевое обслуживание
-silent	Используйте `silent` флаг для получения контекста крипты.
-split	Разделите встроенные элементы ASN.1 и сохраните их в файлы.
-sslpolicy servername	Политика SSL соответствует ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Имя алгоритма симметричного ключа с необязательной длиной ключа. Пример: `AES,128` или `3DES`.
-syncWithWU DestinationDir	Синхронизация с Центром обновления Windows.
-t timeout	Время ожидания получения URL в миллисекундах.
-Unicode	Запись перенаправленного вывода в Юникоде.
-UnicodeText	Запишите выходной файл в Unicode.
-urlfetch	Получайте и проверяйте сертификаты AIA и списки отзыва сертификатов CDP.
-user	Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-username username	Используйте именованную учетную запись для учетных данных SSL. Для пользовательского интерфейса выбора используйте `-username`.
-ut	Отображение пользовательских шаблонов.
-v	Предоставляйте более подробную (подробную) информацию.
-v1	Используйте интерфейсы V1.

Алгоритмы хеширования: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Дополнительные примеры использования этой команды см. в следующих статьях:

Обратная связь

Была ли эта страница полезна?

Last updated on 2025-08-16

Поделиться через

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA