certutil

  • Статья
  • Чтение занимает 32 мин

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для дампа и отображения сведений о конфигурации центра сертификации (ЦС), настройки служб сертификатов, резервного копирования и восстановления компонентов ЦС, а также для проверки сертификатов, пар ключей и цепочек сертификатов.

Если certutil выполняется в центре сертификации без дополнительных параметров, отображается текущая конфигурация центра сертификации. Если certutil выполняется в центре, не являющемся центром сертификации, команда по умолчанию выполняет certutil [-dump] команду .

Важно!

Более ранние версии certutil могут не предоставлять все параметры, описанные в этом документе. Вы можете просмотреть все параметры, предоставляемые определенной версией certutil, выполнив команду certutil -? или certutil <parameter> -?.

Параметры

-Дампа

Сведения о конфигурации дампа или файлы.

certutil [options] [-dump]
certutil [options] [-dump] file

[-f] [-silent] [-split] [-p password] [-t timeout]

-Asn

Анализ и отображение содержимого файла с помощью синтаксиса ASN.1. Типы файлов включают . CER. Файлы в формате DER и PKCS 7.

certutil [options] -asn file [type]

[type]: тип декодирования числовых CRYPT_STRING_*.

-decodehex

Декодирование файла в шестнадцатеричном формате.

certutil [options] -decodehex infile outfile [type]

[type]: числовой тип кодирования CRYPT_STRING_*.

[-f]

-Декодирования

Декодирование файла в кодировке Base64.

certutil [options] -decode infile outfile

[-f]

-Кодирования

Кодирование файла в Base64.

certutil [options] -encode infile outfile

[-f] [-unicodetext]

-Отрицать

Отклонить ожидающий запрос.

certutil [options] -deny requestID

[-config Machine\CAName]

-Повторно отправить

Повторно отправьте ожидающий запрос.

certutil [options] -resubmit requestId

[-config Machine\CAName]

-setattributes

Задайте атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestID attributestring

Где:

  • requestID — это числовой идентификатор запроса для ожидающего запроса.

  • attributestring — это пары имени и значения атрибута запроса.

[-config Machine\CAName]

Комментарии

  • Имена и значения должны быть разделены двоеточием, а пары имен и значений должны быть разделены новой строкой. Например, CertificateTemplate:User\nEMail:User@Domain.com где \n последовательность преобразуется в разделитель новой линии.

-setextension

Задайте расширение для ожидающего запроса сертификата.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Где:

  • requestID — это числовой идентификатор запроса для ожидающего запроса.

  • extensionname — это строка ObjectId для расширения.

  • flags задает приоритет расширения. 0 Рекомендуется, хотя 1 задает для расширения значение критического, 2 отключает расширение и 3 выполняет оба действия.

[-config Machine\CAName]

Комментарии

  • Если последний параметр является числовым, он принимается как Long.

  • Если последний параметр можно проанализировать как дату, он принимается как Дата.

  • Если последний параметр начинается с \@, остальная часть маркера принимается в качестве имени файла с двоичными данными или шестнадцатеричного дампа ascii-text.

  • Если последним параметром является что-либо другое, он принимается как Строка.

-Отменить

Отозвать сертификат.

certutil [options] -revoke serialnumber [reason]

Где:

  • serialnumber — это разделенный запятыми список серийных номеров сертификатов, которые необходимо отозвать.

  • reason — это числовое или символическое представление причины отзыва, в том числе:

    • 0. CRL_REASON_UNSPECIFIED — не указано (по умолчанию)

    • 1. CRL_REASON_KEY_COMPROMISE — компрометация ключа

    • 2. CRL_REASON_CA_COMPROMISE — компрометация центра сертификации

    • 3. CRL_REASON_AFFILIATION_CHANGED — изменена принадлежность

    • 4. CRL_REASON_SUPERSEDED — заменено

    • 5. CRL_REASON_CESSATION_OF_OPERATION - Прекращение эксплуатации

    • 6. CRL_REASON_CERTIFICATE_HOLD — удержание сертификата

    • 8. CRL_REASON_REMOVE_FROM_CRL — удалить из списка отзыва сертификатов

    • -1. Отменить вызов - Unrevoke

[-config Machine\CAName]

-Isvalid

Отображение ликвидации текущего сертификата.

certutil [options] -isvalid serialnumber | certhash

[-config Machine\CAName]

-getconfig

Получите строку конфигурации по умолчанию.

certutil [options] -getconfig

[-config Machine\CAName]

-Настольный

Попробуйте связаться с интерфейсом запроса служб сертификатов Active Directory.

certutil [options] -ping [maxsecondstowait | camachinelist]

Где:

  • camachinelist — это разделенный запятыми список имен компьютеров ЦС. Для одного компьютера используйте завершающее запятую. Этот параметр также отображает стоимость сайта для каждого компьютера ЦС.
[-config Machine\CAName]

-cainfo

Отображение сведений о центре сертификации.

certutil [options] -cainfo [infoname [index | errorcode]]

Где:

  • infoname указывает отображаемое свойство ЦС на основе следующего синтаксиса аргумента infoname:

    • file — версия файла

    • product — версия продукта

    • exitcount — число модулей выхода

    • Выход [index] — Описание модуля выхода

    • policy — описание модуля политики

    • name — имя ЦС

    • sanitizedname — имя санированного ЦС

    • dsname — короткое имя санированного ЦС (имя DS)

    • sharedfolder — общая папка

    • error1 ErrorCode — текст сообщения об ошибке

    • error2 ErrorCode — текст сообщения об ошибке и код ошибки

    • type — тип ЦС

    • info — сведения о ЦС

    • parent — родительский ЦС

    • certcount — количество сертификатов ЦС

    • xchgcount — количество сертификатов exchange ЦС

    • kracount — количество сертификатов KRA

    • kraused — количество использованных сертификатов KRA

    • propidmax — максимальное значение PropId ЦС

    • certstate [index] — сертификат ЦС

    • certversion [index] — Версия сертификата ЦС

    • certstatuscode [index] — Проверка состояния сертификата ЦС

    • crlstate [index] -CRL

    • krastate [index] — сертификат KRA

    • crossstate+ [index] — Переадресация перекрестного сертификата

    • crossstate- [index] — Обратный перекрестный сертификат

    • Cert [index] — Сертификат ЦС

    • certchain [index] — цепочка сертификатов ЦС

    • certcrlchain [index] — Цепочка сертификатов ЦС с списками отзыва сертификатов

    • xchg [index] — сертификат ЦС Exchange

    • xchgchain [index] — цепочка сертификатов ЦС Exchange

    • xchgcrlchain [index] - Цепочка сертификатов ЦС exchange с списками отзыва сертификатов

    • Kra [index] — сертификат KRA

    • cross+ [index] — Переадресация перекрестного сертификата

    • Крест- [index] — Обратный перекрестный сертификат

    • CRL [index] — Базовый список отзыва сертификатов

    • deltacrl [index] - Разностный список отзыва сертификатов

    • crlstatus [index] — Состояние публикации списка отзыва сертификатов

    • deltacrlstatus [index] — Разностное состояние публикации списка отзыва сертификатов

    • dns — DNS-имя

    • role — разделение ролей

    • Рекламные объявления — расширенный сервер

    • templates — шаблоны

    • Csp [index] — URL-адреса OCSP

    • Aia [index] — URL-адреса AIA

    • Cdp [index] — URL-адреса CDP

    • localename — имя языкового стандарта ЦС

    • subjecttemplateoids — OID шаблона субъекта

    • * — отображает все свойства.

  • index является необязательным индексом свойств с отсчитываемого от нуля.

  • errorcode — это числовой код ошибки.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Получите сертификат для центра сертификации.

certutil [options] -ca.cert outcacertfile [index]

Где:

  • outcacertfile — это выходной файл.

  • index — это индекс продления сертификата ЦС (по умолчанию — последний).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Получите цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain outcacertchainfile [index]

Где:

  • outcacertchainfile — это выходной файл.

  • index — это индекс продления сертификата ЦС (по умолчанию — последний).

[-f] [-split] [-config Machine\CAName]

-getcrl

Возвращает список отзыва сертификатов (CRL).

certutil [options] -getcrl outfile [index] [delta]

Где:

  • index — это индекс CRL или индекс ключа (по умолчанию — CRL для последнего ключа).

  • delta — это разностный список отзыва сертификатов (по умолчанию — базовый список отзыва сертификатов).

[-f] [-split] [-config Machine\CAName]

-Crl

Публикация новых списков отзыва сертификатов (CRL) или разностных списков отзыва сертификатов.

certutil [options] -crl [dd:hh | republish] [delta]

Где:

  • dd:hh — новый срок действия отзыва сертификатов в днях и часах.

  • Переиздание повторной публикации последних списков отзыва сертификатов.

  • Delta публикует только разностные CRL (по умолчанию — базовые и разностные CRL).

[-split] [-config Machine\CAName]

-Завершения работы

Завершает работу служб сертификатов Active Directory.

certutil [options] -shutdown

[-config Machine\CAName]

-installcert

Устанавливает сертификат центра сертификации.

certutil [options] -installcert [cacertfile]

[-f] [-silent] [-config Machine\CAName]

-renewcert

Обновляет сертификат центра сертификации.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Используйте , -f чтобы игнорировать невыполненные запросы на продление и создать новый запрос.
[-f] [-silent] [-config Machine\CAName]

-Схемы

Создает дамп схемы для сертификата.

certutil [options] -schema [ext | attrib | cRL]

Где:

  • Команда по умолчанию использует таблицу Запрос и сертификат.

  • ext — это таблица расширений.

  • attribute — это таблица атрибутов.

  • crl — это таблица CRL.

[-split] [-config Machine\CAName]

-Вид

Создает дамп представления сертификата.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Где:

  • queue создает дамп определенной очереди запросов.

  • журнал создает дамп выданных или отозванных сертификатов, а также все неудачные запросы.

  • Logfail создает дамп неудачных запросов.

  • отозванный дамп отозванных сертификатов.

  • ext создает дамп таблицы расширений.

  • attribute создает дамп таблицы атрибутов.

  • crl создает дамп таблицы CRL.

  • csv предоставляет выходные данные с помощью значений, разделенных запятыми.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Комментарии

  • Чтобы отобразить столбец StatusCode для всех записей, введите -out StatusCode

  • Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$

  • Чтобы отобразить requestID и Disposition для трех запросов, введите: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Чтобы отобразить идентификаторыстрок иномера списка отзыва сертификатов для всех базовых списков отзыва сертификатов , введите: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Чтобы отобразить , введите: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Чтобы отобразить всю таблицу списка отзыва сертификатов, введите: CRL

  • Используется Date[+|-dd:hh] для ограничений даты.

  • Используется now+dd:hh для даты относительно текущего времени.

-Db

Создает дамп необработанной базы данных.

certutil [options] -db

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Где:

  • Request удаляет неудачные и ожидающие запросы на основе даты отправки.

  • Сертификат удаляет просроченные и отозванные сертификаты в зависимости от даты окончания срока действия.

  • Ext удаляет таблицу расширений.

  • attribute удаляет таблицу атрибутов.

  • crl удаляет таблицу CRL.

[-f] [-config Machine\CAName]

Примеры

  • Чтобы удалить неудачные и ожидающие запросы, отправленные до 22 января 2001 г., введите: 1/22/2001 request

  • Чтобы удалить все сертификаты, срок действия которых истек до 22 января 2001 г., введите: 1/22/2001 cert

  • Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37

  • Чтобы удалить списки отзыва сертификатов, срок действия которых истек 22 января 2001 г., введите: 1/22/2001 crl

-backup

Резервное копирование служб сертификатов Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Где:

  • backupdirectory — это каталог для хранения резервных копий данных.

  • incremental выполняет только добавочное резервное копирование (по умолчанию — полная резервная копия).

  • Keeplog сохраняет файлы журнала базы данных (по умолчанию используется для усечения файлов журнала).

[-f] [-config Machine\CAName] [-p Password]

-Backupdb

Резервное копирование базы данных служб сертификатов Active Directory.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Где:

  • backupdirectory — это каталог для хранения файлов резервной копии базы данных.

  • incremental выполняет только добавочное резервное копирование (по умолчанию — полная резервная копия).

  • Keeplog сохраняет файлы журнала базы данных (по умолчанию используется для усечения файлов журнала).

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата служб сертификатов Active Directory и закрытого ключа.

certutil [options] -backupkey backupdirectory

Где:

  • backupdirectory — это каталог для хранения PFX-файла с резервной копией.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Восстанавливает службы сертификатов Active Directory.

certutil [options] -restore backupdirectory

Где:

  • backupdirectory — это каталог, содержащий данные для восстановления.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Восстанавливает базу данных служб сертификатов Active Directory.

certutil [options] -restoredb backupdirectory

Где:

  • backupdirectory — это каталог, содержащий восстанавливаемую базу данных.
[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат и закрытый ключ служб сертификатов Active Directory.

certutil [options] -restorekey backupdirectory | pfxfile

Где:

  • backupdirectory — это каталог, содержащий восстанавливаемую PFX-файл.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Импортируйте сертификат и закрытый ключ. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • модификаторы — это список, разделенный запятыми, который может содержать один или несколько из следующих элементов:

    1. AT_SIGNATURE — изменяет параметр keyspec на подпись.

    2. AT_KEYEXCHANGE — изменение значения keypec на обмен ключами

    3. NoExport — делает закрытый ключ неэкспортируемым.

    4. NoCert — не импортирует сертификат.

    5. NoChain — не импортирует цепочку сертификатов.

    6. NoRoot — не импортирует корневой сертификат.

    7. Защита — защита ключей с помощью пароля

    8. NoProtect — не защищает ключи паролем с помощью пароля.

[-f] [-user] [-p password] [-csp provider]

Комментарии

  • По умолчанию используется личное хранилище компьютеров.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

[-config Machine\CAName]

-databaselocations

Отображает расположения баз данных.

certutil [options] -databaselocations

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш для файла.

certutil [options] -hashfile infile [hashalgorithm]

-Магазин

Создает дамп хранилища сертификатов.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Где:

  • certificatestorename — это имя хранилища сертификатов. Пример:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID — это маркер соответствия сертификата или списка отзыва сертификатов. Это может быть серийный номер, сертификат SHA-1, CRL, CTL или хэш открытого ключа, числовой индекс сертификата (0, 1 и т. д.), числовой индекс CRL (.0, .1 и т. д.), числовой индекс CTL (.0, .1 и т. д.). 0, .. 1 и т. д.), открытый ключ, подпись или расширение ObjectId, общее имя субъекта сертификата, адрес электронной почты, имя участника-пользователя или DNS, имя контейнера ключей или имя CSP, имя шаблона или ObjectId, идентификатор объекта EKU или Политики приложений или общее имя издателя списка отзыва сертификатов. Многие из них могут привести к нескольким совпадениям.

  • outputfile — это файл, используемый для сохранения соответствующих сертификатов.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Варианты

  • Этот -user параметр обращается к пользовательскому хранилищу, а не к хранилищу компьютера.

  • Параметр -enterprise обращается к корпоративному хранилищу компьютера.

  • Параметр -service обращается к хранилищу служб компьютера.

  • Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Пример:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Добавляет сертификат в хранилище. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -addstore certificatestorename infile

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • infile — это файл сертификата или списка отзыва сертификатов, который вы хотите добавить в хранилище.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Удаляет сертификат из хранилища. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -delstore certificatestorename certID

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • certID — это маркер соответствия сертификата или списка отзыва сертификатов.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Проверяет сертификат в хранилище. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -verifystore certificatestorename [certID]

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • certID — это маркер соответствия сертификата или списка отзыва сертификатов.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Восстанавливает связь с ключами или обновляет свойства сертификата или дескриптор безопасности ключа. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • certIDlist — это разделенный запятыми список токенов соответствия сертификатов или списков отзыва сертификатов. Дополнительные сведения см. в описании -store certID в этой статье.

  • propertyinffile — это INF-файл , содержащий внешние свойства, в том числе:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Создает дамп хранилища сертификатов. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • certID — это маркер соответствия сертификата или списка отзыва сертификатов.

  • outputfile — это файл, используемый для сохранения соответствующих сертификатов.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Варианты

  • Этот -user параметр обращается к пользовательскому хранилищу, а не к хранилищу компьютера.

  • Параметр -enterprise обращается к корпоративному хранилищу компьютера.

  • Параметр -service обращается к хранилищу служб компьютера.

  • Параметр -grouppolicy обращается к хранилищу групповых политик компьютера.

Пример:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Удаляет сертификат из хранилища.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Где:

  • certificatestorename — это имя хранилища сертификатов.

  • certID — это сертификат или маркер соответствия списка сертификатов.

  • outputfile — это файл, используемый для сохранения соответствующих сертификатов.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Варианты

  • Параметр -user обращается к пользовательскому хранилищу, а не к хранилищу компьютеров.

  • Параметр -enterprise обращается к корпоративному хранилищу компьютера.

  • Параметр -service обращается к хранилищу служб компьютера.

  • Параметр -grouppolicy обращается к хранилищу групповых политик компьютера.

Пример:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Публикует сертификат или список отзыва сертификатов (CRL) в Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]

certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Где:

  • certfile — это имя файла сертификата для публикации.

  • NTAuthCA публикует сертификат в хранилище DS Enterprise.

  • RootCA публикует сертификат в доверенном корневом хранилище DS.

  • SubCA публикует сертификат ЦС в объектЕ ЦС DS.

  • CrossCA публикует перекрестный сертификат в объекте ЦС DS.

  • KRA публикует сертификат в объекте агента восстановления ключей DS.

  • Пользователь публикует сертификат в объекте User DS.

  • Компьютер публикует сертификат в объекте Machine DS.

  • CRLfile — это имя файла списка отзыва отзыва сертификатов для публикации.

  • DSCDPContainer — это CN контейнера DS CDP, обычно это имя компьютера ЦС.

  • DSCDPCN — это CN объекта DS CDP, обычно основанный на коротком имени и индексе ключа для санизированного ЦС.

  • Используйте -f для создания нового объекта DS.

[-f] [-user] [-dc DCName]

-adtemplate

Отображает шаблоны Active Directory.

certutil [options] -adtemplate [template]

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Шаблон

Отображает шаблоны сертификатов.

certutil [options] -template [template]

[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -templatecas template

[-f] [-user] [-dc DCName]

-catemplates

Отображает шаблоны для центра сертификации.

certutil [options] -catemplates [template]

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Управляет именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Где:

  • имя_сайта допускается только в том случае, если он предназначен для одного центра сертификации.
[-f] [-config Machine\CAName] [-dc DCName]

Комментарии

  • Параметр -config предназначен для одного центра сертификации (по умолчанию — все ЦС).

  • Параметр -f можно использовать для переопределения ошибок проверки для указанного имени сайта или для удаления всех имен сайтов ЦС.

Примечание

Дополнительные сведения о настройке ЦС для доменные службы Active Directory (AD DS) см. в статье Ad DS Site Awareness for AD CS and PKI clients.

-enrollmentserverURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с ЦС.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Где:

  • authenticationtype указывает один из следующих методов проверки подлинности клиента при добавлении URL-адреса:

    1. kerberos — используйте учетные данные SSL Kerberos.

    2. username — используйте именованную учетную запись для учетных данных SSL.

    3. clientcertificate— используйте учетные данные SSL сертификата X.509.

    4. anonymous — используйте анонимные учетные данные SSL.

  • Удаляет указанный URL-адрес, связанный с ЦС.

  • Параметр priority по умолчанию имеет значение , 1 если не указано при добавлении URL-адреса.

  • модификаторы — это разделенный запятыми список, который включает в себя один или несколько из следующих элементов:

  1. allowrenewalsonly — только запросы на продление могут отправляться в этот ЦС по этому URL-адресу.

  2. allowkeybasedrenewal — позволяет использовать сертификат, у которого нет связанной учетной записи в AD. Это относится только к режиму clientcertificate и allowrenewally

[-config Machine\CAName] [-dc DCName]

-adca

Отображает центры сертификации Active Directory.

certutil [options] -adca [CAName]

[-f] [-split] [-dc DCName]

-Ca

Отображает политики регистрации Центры сертификации.

certutil [options] -CA [CAName | templatename]

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-Политики

Отображает политику регистрации.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -policycache [delete]

Где:

  • delete удаляет записи кэша сервера политики.

  • -f удаляет все записи кэша

[-f] [-user] [-policyserver URLorID]

-credstore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Где:

  • URL-адрес является целевым URL-адресом. Вы также можете использовать для * сопоставления всех записей или https://machine* для сопоставления префикса URL-адреса.

  • add добавляет запись хранилища учетных данных. Для использования этого параметра также требуется использовать учетные данные SSL.

  • delete удаляет записи хранилища учетных данных.

  • -f перезаписывает одну запись или удаляет несколько записей.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -installdefaulttemplates

[-dc DCName]

-URLcache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Где:

  • URL-адрес — это кэшированный URL-адрес.

  • CRL выполняется только для всех кэшированных URL-адресов списка отзыва сертификатов.

  • * работает со всеми кэшируемыми URL-адресами.

  • delete удаляет соответствующие URL-адреса из локального кэша текущего пользователя.

  • -f принудительно получает определенный URL-адрес и обновляет кэш.

[-f] [-split]

-Импульса

Импульсив событий автоматической регистрации.

certutil [options] -pulse

[-user]

-machineinfo

Отображает сведения об объекте компьютера Active Directory.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Отображает сведения о контроллере домена. По умолчанию сертификаты контроллера домена отображаются без проверки.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]

[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Совет

Возможность указать домен доменные службы Active Directory (AD DS) [Домен] и указать контроллер домена (-dc) была добавлена в Windows Server 2012. Чтобы успешно выполнить команду, необходимо использовать учетную запись, которая является членом группы "Администраторы домена" или "Администраторы предприятия". Ниже приведены изменения в поведении этой команды.

  1. 1. Если домен не указан, а конкретный контроллер домена не указан, этот параметр возвращает список контроллеров домена для обработки из контроллера домена по умолчанию.
  2. 2. Если домен не указан, но указан контроллер домена, создается отчет о сертификатах на указанном контроллере домена.
  3. 3. Если домен указан, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
  4. 4. Если указаны домен и контроллер домена, создается список контроллеров домена из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что существует домен CPANDL с контроллером домена CPANDL-DC1. Вы можете выполнить следующую команду, чтобы получить список контроллеров домена и их сертификатов из CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Отображает сведения о корпоративном центре сертификации.

certutil [options] -entinfo domainname\machinename$

[-f] [-user]

-tcainfo

Отображает сведения о центре сертификации.

certutil [options] -tcainfo [domainDN | -]

[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Отображает сведения о смарт-карте.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Где:

  • CRYPT_DELETEKEYSET удаляет все ключи на смарт-карте.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Управляет корневыми сертификатами смарт-карт.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]

[-f] [-split] [-p Password]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователям потребуется выйти после использования этого параметра, чтобы завершить его.

CertUtil [Options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [keycontainername cacertfile]

Где:

  • keycontainername — это имя контейнера ключа для проверяемого ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте .-user

  • cacertfile подписывает или шифрует файлы сертификатов.

[-f] [-user] [-silent] [-config Machine\CAName]

Комментарии

  • Если аргументы не указаны, каждый сертификат ЦС для подписи проверяется на соответствие его закрытому ключу.

  • Эта операция может выполняться только для локального ЦС или локальных ключей.

-Проверяем подлинность

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Где:

  • certfile — это имя проверяемого сертификата.

  • applicationpolicylist — это необязательный разделенный запятыми список обязательных идентификаторов objectId политики приложения.

  • issuancepolicylist — это необязательный разделенный запятыми список обязательных идентификаторов objectId политики выдачи.

  • cacertfile — это необязательный сертификат ЦС для проверки.

  • crossedcacertfile — это необязательный сертификат, сертифицированный certfile.

  • CRLfile — это CRL-файл, используемый для проверки cacertfile.

  • issuedcertfile — это необязательный выданный сертификат, на который распространяется CRLfile.

  • deltaCRLfile — это необязательный разностный файл CRL.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Комментарии

  • Использование applicationpolicylist ограничивает создание цепочки только цепочками, допустимыми для указанных политик приложений.

  • Использование issuancepolicylist ограничивает создание цепочки только цепочками, допустимыми для указанных политик выдачи.

  • Использование cacertfile проверяет поля в файле на соответствие certfile или CRLfile.

  • При использовании issuedcertfile поля в файле проверяются на соответствие CRLfile.

  • При использовании deltaCRLfile поля в файле проверяются на соответствие certfile.

  • Если cacertfile не указан, создается полная цепочка и проверяется на соответствие certfile.

  • Если указаны cacertfile и crossedcacertfile , поля в обоих файлах проверяются на соответствие certfile.

-verifyCTL

Проверяет CTL AuthRoot или Запрещенные сертификаты.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Где:

  • CTLobject определяет CTL для проверки, в том числе:

    • AuthRootWU — считывает cab-файл AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте -f для скачивания из клиентский компонент Центра обновления Windows.

    • DisallowedWU — считывает CAB-файл запрещенных сертификатов и запрещенного хранилища сертификатов из кэша URL-адресов. Вместо этого используйте -f для скачивания из клиентский компонент Центра обновления Windows.

    • AuthRoot — считывает кэшированный реестр CTL AuthRoot. Используйте с -f и недоверенный файл сертификата , чтобы принудительно обновить кэшированные списки сертификатов AuthRoot и Запрещенные сертификаты реестра.

    • Запрещено — считывает CTL запрещенных сертификатов, кэшированных в реестре. Используйте с -f и недоверенный файл сертификата , чтобы принудительно обновить кэшированные списки сертификатов AuthRoot и Запрещенные сертификаты реестра.

  • CTLfilename указывает путь к файлу или HTTP-файлу CTL или CAB- файлу.

  • certdir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и ctLobject. Для использования пути к папке HTTP требуется разделитель пути в конце. Если не указать AuthRoot или Запрещено, будет выполняться поиск соответствующих сертификатов в нескольких расположениях, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. При необходимости используйте -f для скачивания с клиентский компонент Центра обновления Windows.

  • certfile указывает сертификаты для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть выходных данных по умолчанию.

[-f] [-user] [-split]

-Знак

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Где:

  • infilelist — это разделенный запятыми список файлов сертификатов или списков отзыва сертификатов для изменения и повторной подписи.

  • serialnumber — это серийный номер создаваемого сертификата. Срок действия и другие параметры отсутствуют.

  • CRL создает пустой список отзыва сертификатов. Срок действия и другие параметры отсутствуют.

  • outfilelist — это разделенный запятыми список измененных файлов сертификатов или списков отзыва сертификатов. Количество файлов должно совпадать с infilelist.

  • startdate+dd:hh — это новый срок действия для файлов сертификата или списка отзыва сертификатов, включая:

    • необязательное значение даты плюс

    • необязательный период действия в днях и часах

    Если указаны оба параметра, необходимо использовать разделитель со знаком "плюс" (+). Используйте now[+dd:hh] для запуска в текущее время. Используйте never для отсутствия даты окончания срока действия (только для списков отзыва сертификатов).

  • serialnumberlist — это разделенный запятыми список серийных номеров файлов для добавления или удаления.

  • objectIDlist — это разделенный запятыми список расширений ObjectId удаляемых файлов.

  • @extensionfile — это INF-файл, содержащий расширения для обновления или удаления. Пример:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • hashalgorithm — это имя хэш-алгоритма. Это должен быть только текст, предшествующий знаку # .

  • alternatesignaturealgorithm — это описатель алгоритма альтернативной сигнатуры.

[-nullsign] [-f] [-silent] [-cert certID]

Комментарии

  • При использовании знака "минус" (-) удаляются серийные номера и расширения.

  • При использовании знака "плюс" (+) к списку отзыва сертификатов добавляются серийные номера.

  • Список можно использовать для одновременного удаления серийных номеров и идентификаторов objectID из списка отзыва сертификатов.

  • Использование знака "минус" перед alternatesignaturealgorithm позволяет использовать устаревший формат подписи. Использование знака "плюс" позволяет использовать альтернативный формат подписи. Если не указать alternatesignaturealgorithm, используется формат подписи в сертификате или списке отзыва сертификатов.

-vroot

Создает или удаляет виртуальные корневые веб-ресурсы и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет виртуальные веб-корни для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

При необходимости добавьте приложение сервера регистрации и пул приложений для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Где:

  • Addenrollmentserver требует использовать метод проверки подлинности для подключения клиента к серверу регистрации сертификатов, в том числе:

    • Kerberos использует учетные данные SSL Kerberos.

    • имя пользователя использует именованную учетную запись для учетных данных SSL.

    • clientcertificate использует учетные данные SSL сертификата X.509.

  • allowrenewalsonly разрешает отправку только запросов на продление в центр сертификации через URL-адрес.

  • allowkeybasedrenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применяется при использовании с режимом clientcertificate и allowrenewalsonly .

[-config Machine\CAName]

-deleteenrollmentserver

При необходимости удаляет приложение сервера регистрации и пул приложений для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Где:

  • deleteenrollmentserver требует использовать метод проверки подлинности для подключения клиента к серверу регистрации сертификатов, в том числе:

    • Kerberos использует учетные данные SSL Kerberos.

    • имя пользователя использует именованную учетную запись для учетных данных SSL.

    • clientcertificate использует учетные данные SSL сертификата X.509.

[-config Machine\CAName]

-addpolicyserver

При необходимости добавьте приложение и пул приложений сервера политики. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Где:

  • Addpolicyserver требует использовать метод проверки подлинности для подключения клиента к серверу политики сертификатов, в том числе:

    • Kerberos использует учетные данные SSL Kerberos.

    • имя пользователя использует именованную учетную запись для учетных данных SSL.

    • clientcertificate использует учетные данные SSL сертификата X.509.

  • keybasedrenewal позволяет использовать политики, возвращаемые клиенту, содержащие шаблоны keybasedrenewal. Этот параметр применяется только для имени пользователя и проверки подлинности clientcertificate .

-deletepolicyserver

При необходимости удаляет приложение и пул приложений сервера политики. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Где:

  • Deletepolicyserver требует использовать метод проверки подлинности для подключения клиента к серверу политики сертификатов, в том числе:

    • Kerberos использует учетные данные SSL Kerberos.

    • имя пользователя использует именованную учетную запись для учетных данных SSL.

    • clientcertificate использует учетные данные SSL сертификата X.509.

  • keybasedrenewal позволяет использовать сервер политики KeyBasedRenewal.

-Oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Где:

  • ObjectID отображает или , чтобы добавить отображаемое имя.

  • groupID — это число groupID (десятичное число), перечисляемое objectID.

  • algID — это шестнадцатеричный идентификатор, который ищет objectID.

  • algorithmname — это имя алгоритма, которое ищет objectID.

  • displayname отображает имя для хранения в DS.

  • delete удаляет отображаемое имя.

  • LanguageId — это значение идентификатора языка (по умолчанию текущее значение: 1033).

  • Type — это тип создаваемого объекта DS, в том числе:

    • 1 — Шаблон (по умолчанию)

    • 2 - Политика выдачи

    • 3 — Политика приложения

  • -f создает объект DS.

-Ошибка

Отображает текст сообщения, связанного с кодом ошибки.

certutil [options] -error errorcode

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Где:

  • ca использует раздел реестра центра сертификации.

  • restore использует раздел реестра для восстановления центра сертификации.

  • политика использует раздел реестра модуля политики.

  • Exit использует раздел реестра первого модуля выхода.

  • template использует раздел реестра шаблона (используется -user для пользовательских шаблонов).

  • регистрация использует раздел реестра регистрации (используйте -user для контекста пользователя).

  • chain использует раздел реестра конфигурации цепочки.

  • policyservers использует раздел реестра Серверов политик.

  • progID использует progID политики или модуля выхода (имя подраздела реестра).

  • registryvaluename использует имя значения реестра (используйте Name* для сопоставления префикса).

  • значение использует новое числовое, строковое или датовое значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Комментарии

  • Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется в существующее значение реестра или удаляется из него. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.

  • Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. Если он не ссылается на допустимый файл, он анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы. Если указаны оба знака, используйте разделитель со знаком "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.

  • Используйте chain\chaincacheresyncfiletime \@now для эффективной очистки кэшированных списков отзыва сертификатов.

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Где:

  • ca использует раздел реестра центра сертификации.

  • restore использует раздел реестра для восстановления центра сертификации.

  • политика использует раздел реестра модуля политики.

  • Exit использует раздел реестра первого модуля выхода.

  • template использует раздел реестра шаблона (используется -user для пользовательских шаблонов).

  • регистрация использует раздел реестра регистрации (используйте -user для контекста пользователя).

  • chain использует раздел реестра конфигурации цепочки.

  • policyservers использует раздел реестра Серверов политик.

  • progID использует progID политики или модуля выхода (имя подраздела реестра).

  • registryvaluename использует имя значения реестра (используйте Name* для сопоставления префикса).

  • значение использует новое числовое, строковое или датовое значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Комментарии

  • Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется в существующее значение реестра или удаляется из него. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.

  • Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. Если он не ссылается на допустимый файл, он анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы. Если указаны оба знака, используйте разделитель со знаком "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.

  • Используйте chain\chaincacheresyncfiletime \@now для эффективной очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Где:

  • ca использует раздел реестра центра сертификации.

  • restore использует раздел реестра для восстановления центра сертификации.

  • политика использует раздел реестра модуля политики.

  • Exit использует раздел реестра первого модуля выхода.

  • template использует раздел реестра шаблона (используется -user для пользовательских шаблонов).

  • регистрация использует раздел реестра регистрации (используйте -user для контекста пользователя).

  • chain использует раздел реестра конфигурации цепочки.

  • policyservers использует раздел реестра Серверов политик.

  • progID использует progID политики или модуля выхода (имя подраздела реестра).

  • registryvaluename использует имя значения реестра (используйте Name* для сопоставления префикса).

  • значение использует новое числовое, строковое или датовое значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Комментарии

  • Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется в существующее значение реестра или удаляется из него. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.

  • Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения. Если он не ссылается на допустимый файл, он анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы. Если указаны оба знака, используйте разделитель со знаком "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.

  • Используйте chain\chaincacheresyncfiletime \@now для эффективной очистки кэшированных списков отзыва сертификатов.

-importKMS

Импортирует ключи и сертификаты пользователей в серверную базу данных для архивации ключей.

certutil [options] -importKMS userkeyandcertfile [certID]

Где:

  • userkeyandcertfile — это файл данных с закрытыми ключами пользователя и сертификатами, которые необходимо архивировать. Этот файл может быть следующим:

    • Файл экспорта сервера управления ключами Exchange (KMS).

    • PFX-файл.

  • certID — это маркер соответствия сертификата расшифровки файла экспорта KMS. Дополнительные сведения см. в параметре -store в этой статье.

  • -f импортирует сертификаты, не выданные центром сертификации.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Импортирует файл сертификата в базу данных.

certutil [options] -importcert certfile [existingrow]

Где:

  • existingrow импортирует сертификат вместо ожидающего запроса на тот же ключ.

  • -f импортирует сертификаты, не выданные центром сертификации.

[-f] [-config Machine\CAName]

Комментарии

Центр сертификации также может потребоваться настроить для поддержки внешних сертификатов. Для этого введите import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-getkey

Извлекает большой двоичный объект восстановления с архивным закрытым ключом, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Где:

  • script создает скрипт для извлечения и восстановления ключей (поведение по умолчанию, если найдено несколько соответствующих кандидатов восстановления или если не указан выходной файл).

  • функция retrieve извлекает один или несколько blob-объектов восстановления ключей (поведение по умолчанию, если найден ровно один соответствующий кандидат восстановления и если указан выходной файл). При использовании этого параметра усекается любое расширение и добавляется строка, относяющаяся к сертификату, и расширение .rec для каждого большого двоичного объекта восстановления ключа. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный для одного или нескольких сертификатов агента восстановления ключей.

  • восстановление извлекает и восстанавливает закрытые ключи за один шаг (требуются сертификаты агента восстановления ключей и закрытые ключи). При использовании этого параметра любое расширение усекается и добавляется расширение .p12. Каждый файл содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.

  • Searchtoken выбирает ключи и сертификаты для восстановления, в том числе:

      1. Общее имя сертификата
      1. Серийный номер сертификата
      1. Хэш сертификата SHA-1 (отпечаток)
      1. Хэш сертификата KeyId SHA-1 (идентификатор ключа субъекта)
      1. Имя инициатора запроса (домен\пользователь)
      1. Имя участника-пользователя (user@domain)

  • Recoverybloboutfile выводит файл с цепочкой сертификатов и связанным закрытым ключом, по-прежнему зашифрованным в одном или нескольких сертификатах агента восстановления ключей.

  • outputscriptfile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.

  • outputfilebasename выводит базовое имя файла.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Восстановление архивного закрытого ключа.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]

[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Объединяет PFX-файлы.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Где:

  • PFXinfilelist — это разделенный запятыми список входных файлов PFX.

  • PFXoutfile — это имя выходного PFX-файла.

  • extendedproperties включает все расширенные свойства.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Комментарии

  • Пароль, указанный в командной строке, должен быть разделен запятыми.

  • Если указано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль — *, пользователю будет предложено ввести пароль выходного файла.

-convertEPF

Преобразует PFX-файл в EPF-файл.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Где:

  • PFXinfilelist — это разделенный запятыми список входных файлов PFX.

  • PFXoutfile — это имя выходного PFX-файла.

  • EPF — это имя выходного файла EPF.

  • при приведение использует шифрование CAST 64.

  • cast- использует шифрование CAST 64 (экспорт)

  • V3CAcertID — это маркер соответствия сертификата ЦС версии 3. Дополнительные сведения см. в параметре -store в этой статье.

  • salt — это строка соли выходного файла EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Комментарии

  • Пароль, указанный в командной строке, должен быть разделен запятыми.

  • Если указано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль — *, пользователю будет предложено ввести пароль выходного файла.

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Где:

  • -? отображает полный список параметров

  • -<name_of_parameter> -? отображает содержимое справки для указанного параметра.

  • -? -v отображает полный список параметров и параметров.

Варианты

В этом разделе определяются все параметры, которые можно указать на основе команды . Каждый параметр содержит сведения о том, какие параметры допустимы для использования.

Параметры Описание
-nullsign Используйте хэш данных в качестве подписи.
-f Принудительная перезапись.
-enterprise Используйте хранилище сертификатов корпоративного реестра локального компьютера.
-Пользователя Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-GroupPolicy Используйте хранилище сертификатов групповой политики.
-Ut Отображение пользовательских шаблонов.
-Mt Отображение шаблонов компьютеров.
-Юникода Запись перенаправленных выходных данных в Юникоде.
-ЮникодТекст Запись выходного файла в Юникоде.
-Gmt Отображение времени с использованием GMT.
-Секунд Отображение времени с использованием секунд и миллисекунд.
-silent Используйте флаг для silent получения контекста шифрования.
-Сплит Разделение внедренных элементов ASN.1 и сохранение в файлы.
-v Предоставьте более подробные (подробные) сведения.
-privatekey Отображение данных пароля и закрытого ключа.
-pin PIN-код ПИН-код смарт-карты.
-urlfetch Получение и проверка сертификатов AIA и списков отзыва сертификатов CDP.
-config Machine\CAName Строка имени центра сертификации и компьютера.
-policyserver URLorID URL-адрес или идентификатор сервера политики. Для выбора U/I используйте .-policyserver Для всех серверов политик используйте -policyserver *
-Анонимные Используйте анонимные учетные данные SSL.
-Kerberos Используйте учетные данные SSL Kerberos.
-clientcertificate clientcertID Используйте учетные данные SSL сертификата X.509. Для выбора U/I используйте .-clientcertificate
-username username username Используйте именованную учетную запись для учетных данных SSL. Для выбора U/I используйте .-username
-cert certID Сертификат подписи.
-dc DCName Нацелим на конкретный контроллер домена.
-restrict restrictionlist Список ограничений, разделенный запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константного целого числа, строки или даты. Перед именем одного столбца может быть знак "плюс" или "минус", указывающий порядок сортировки. Например, requestID = 47, +requestername >= a, requestername или -requestername > DOMAIN, Disposition = 21.
-out columnlist Список столбцов, разделенных запятыми.
-p password Пароль
-protectto SAMnameandSIDlist Разделенный запятыми список имени и идентификатора безопасности SAM.
Поставщик -csp Поставщик
-t время ожидания Время ожидания получения URL-адреса в миллисекундах.
-symkeyalg symmetrickeyalgorithm[,keylength] Имя алгоритма симметричного ключа с необязательной длиной ключа. Например: AES,128 или 3DES.

Дополнительные примеры использования этой команды см. в разделе