certutil (утилита для работы с сертификатами)

2025-05-08
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Осторожность

Certutil не рекомендуется использовать в каком-либо рабочем коде и не предоставляет никаких гарантий поддержки сайта в реальном времени или совместимости приложений. Это инструмент, используемый разработчиками и ИТ-администраторами для просмотра информации о содержимом сертификатов на устройствах.

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.

Если certutil он запущен на центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil команда выполняется в центре, не являющемся центром сертификации, без других параметров, команда по умолчанию выполняет certutil -dump эту команду. Не все версии certutil предоставляют все параметры и опции, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые вашей версией certutil, выполнив команду или certutil -?certutil <parameter> -?.

Подсказка

Чтобы увидеть полную справку по всем глаголам и параметрам certutil, включая те, которые скрыты от аргумента -? , выполните certutil -v -uSAGE. Переключатель uSAGE чувствителен к регистру.

Параметры

-dump

Выгружает информацию о конфигурации или файлы.

certutil [options] [-dump]
certutil [options] [-dump] File

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Выгружает структуру PFX.

certutil [options] [-dumpPFX] File

Параметры:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной синтаксической нотации (ASN.1). Типы файлов включают . CER, . Файлы в формате DER и PKCS #7.

certutil [options] -asn File [type]

[type]: числовой тип декодирования CRYPT_STRING_*

-decodehex

Декодирует файл в шестнадцатеричной кодировке.

certutil [options] -decodehex InFile OutFile [type]

[type]: числовой тип декодирования CRYPT_STRING_*

Параметры:

[-f]

-encodehex

Кодирует файл в шестнадцатеричном формате.

certutil [options] -encodehex InFile OutFile [type]

[type]: числовой тип кодировки CRYPT_STRING_*

Параметры:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Декодирует файл, закодированный в Base64.

certutil [options] -decode InFile OutFile

Параметры:

[-f]

-encode

Кодирует файл в Base64.

certutil [options] -encode InFile OutFile

Параметры:

[-f] [-unicodetext]

-deny

Отклоняет ожидающий запроса.

certutil [options] -deny RequestId

Параметры:

[-config Machine\CAName]

-resubmit

Повторно отправляет ожидающий запроса.

certutil [options] -resubmit RequestId

Параметры:

[-config Machine\CAName]

-setattributes

Задает атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestId AttributeString

Где:

RequestId — это числовой идентификатор запроса для ожидающего запроса.
AttributeString — это пары имени и значения атрибута запроса.

Параметры:

[-config Machine\CAName]

Замечания

Имена и значения должны быть разделены двоеточием, в то время как несколько имен и пар значений должны быть разделены новой строкой. Например: CertificateTemplate:User\nEMail:User@Domain.com где последовательность \n преобразуется в разделитель новой строки.

-setextension

Установите расширение для ожидающего запроса сертификата.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Где:

requestID — это числовой идентификатор запроса для ожидающего запроса.
ExtensionName — это строка ObjectId для расширения.
Флаги задают приоритет расширения. 0 рекомендуется, в то время как 1 для расширения устанавливается значение "Критический", 2 отключается расширение и 3 выполняется и то, и другое.

Параметры:

[-config Machine\CAName]

Замечания

Если последний параметр является числовым, он принимается как Long.
Если последний параметр может быть проанализирован как дата, он берется как дата.
Если последний параметр начинается с \@, остальная часть токена принимается в качестве имени файла с двоичными данными или шестнадцатеричного дампа ASCII-текста.
Если последний параметр является чем-то другим, он принимается как строка.

-revoke

Отзывает сертификат.

certutil [options] -revoke SerialNumber [Reason]

Где:

SerialNumber — это разделенный запятыми список серийных номеров сертификатов, которые необходимо отозвать.
Причина — это числовое или символическое представление причины аннулирования, в том числе:
- 0. CRL_REASON_UNSPECIFIED - Не указано (по умолчанию)
- 1. CRL_REASON_KEY_COMPROMISE - компрометация ключа
- 2. CRL_REASON_CA_COMPROMISE - Компрометация центра сертификации
- 3. CRL_REASON_AFFILIATION_CHANGED - Изменена принадлежность
- 4. CRL_REASON_SUPERSEDED - Заменен
- 5. CRL_REASON_CESSATION_OF_OPERATION - Прекращение работы
- 6. CRL_REASON_CERTIFICATE_HOLD - Удержание сертификата
- 8. CRL_REASON_REMOVE_FROM_CRL - Удалить из CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Привилегия отозвана
- 10:CRL_REASON_AA_COMPROMISE - Компромисс АА
- -1. Отмена отзыва - Неотмененные

Параметры:

[-config Machine\CAName]

-isvalid

Отображает распоряжение текущим сертификатом.

certutil [options] -isvalid SerialNumber | CertHash

Параметры:

[-config Machine\CAName]

-getconfig

Получает строку конфигурации по умолчанию.

certutil [options] -getconfig

Параметры:

[-idispatch] [-config Machine\CAName]

-getconfig2

Получает строку конфигурации по умолчанию через ICertGetConfig.

certutil [options] -getconfig2

Параметры:

[-idispatch]

-getconfig3

Получает конфигурацию через ICertConfig.

certutil [options] -getconfig3

Параметры:

[-idispatch]

-ping

Попытки связаться с интерфейсом запроса служб сертификации Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Где:

CAMachineList — это список имен компьютеров центров сертификации, разделенных запятыми. Для одной машины используйте запятую в конце. Этот параметр также отображает стоимость сайта для каждой машины CA.

Параметры:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Попытки связаться с интерфейсом администратора служб сертификации Active Directory.

certutil [options] -pingadmin

Параметры:

[-config Machine\CAName]

-CAInfo

Отображает информацию о центре сертификации.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Где:

InfoName указывает отображаемое свойство CA на основе следующего синтаксиса аргументов infoname:
- * - Отображает все свойства
- объявления - Продвинутый сервер
- aia [Индекс] - URL-адреса AIA
- cdp [индекс] - URL CDP
- cert [Индекс] - сертификат CA
- certchain [Индекс] - цепочка сертификатов CA
- certcount - количество сертификатов CA
- certcrlchain [Индекс] - Цепочка сертификатов CA с CRL
- certstate [Индекс] - CA cert
- certstatuscode [Индекс] - статус проверки сертификата CA
- certversion [Индекс] - версия сертификата CA
- CRL [Индекс] - Базовый CRL
- crlstate [индекс] - CRL
- crlstatus [индекс] - статус публикации списков отзыва сертификатов
- cross- [Индекс] - Обратный перекрестный сертификат
- cross+ [Индекс] - Перекрестный сертификат
- crossstate- [Индекс] - Обратный перекрестный сертификат
- crossstate+ [Индекс] - Пересылка перекрестного сертификата
- deltacrl [индекс] - дельта CRL
- deltacrlstatus [индекс] - Статус публикации дельта-CRL
- dns - DNS-имя
- dsname - Сокращенное имя Sanitized CA (имя DS)
- error1 ErrorCode - текст сообщения об ошибке
- error2 ErrorCode - текст сообщения об ошибке и код ошибки
- exit [Индекс] - Описание модуля выхода
- exitcount - Количество модулей выхода
- file - Версия файла
- info - Информация о CA
- kra [Индекс] - KRA cert
- kracount - Количество сертификатов KRA
- krastate [Индекс] - KRA cert
- kraused - Количество использованных сертификатов KRA
- localename - имя локали CA
- name - имя CA
- ocsp [индекс] - URL-адреса OCSP
- parent - Родительский центр сертификации
- policy - описание модуля Policy
- product - Версия продукта
- propidmax - Максимальный CA PropId
- роль - Разделение ролей
- sanitizedname - Имя Sanitized CA
- sharedfolder - Общая папка
- subjecttemplateoids - OID шаблонов тем
- шаблоны - Шаблоны
- type - тип CA
- xchg [Индекс] - сертификат биржи CA
- xchgchain [Индекс] - цепочка сертификатов биржи CA
- xchgcount - количество сертификатов биржи CA
- xchgcrlchain [Индекс] - Цепочка сертификатов обмена CA с CRL
index — это необязательное свойство index, начинающееся с нуля.
errorcode — это числовой код ошибки.

Параметры:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Отображает информацию о типе свойства CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Параметры:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Извлекает сертификат для центра сертификации.

certutil [options] -ca.cert OutCACertFile [Index]

Где:

OutCACertFile - это выходной файл.
Индекс — это индекс обновления сертификата ЦС (по умолчанию — самый последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Извлекает цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain OutCACertChainFile [Index]

Где:

OutCACertChainFile - это выходной файл.
Индекс — это индекс обновления сертификата ЦС (по умолчанию — самый последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Получает список отзыва сертификатов (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Где:

Индекс — это индекс CRL или ключевой индекс (по умолчанию CRL для самого последнего ключа).
delta — это разностный CRL (по умолчанию — базовый CRL).

Параметры:

[-f] [-split] [-config Machine\CAName]

-CRL

Публикует новые списки отзыва сертификатов (CRL) или разностные списки отзыва сертификатов.

certutil [options] -CRL [dd:hh | republish] [delta]

Где:

dd:hh — новый срок действия CRL в днях и часах.
republish — повторная публикация самых последних списков отзыва сертификатов.
delta публикует только разностные списки отзыва сертификатов (по умолчанию — базовые и разностные списки отзыва сертификатов).

Параметры:

[-split] [-config Machine\CAName]

-shutdown

Завершает работу служб сертификации Active Directory.

certutil [options] -shutdown

Параметры:

[-config Machine\CAName]

-installCert

Устанавливает сертификат центра сертификации.

certutil [options] -installCert [CACertFile]

Параметры:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Продлевает срок действия сертификата центра сертификации.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Параметры:

[-f] [-silent] [-config Machine\CAName]

Используется -f для игнорирования незавершенного запроса на продление и создания нового запроса.

-schema

Создает дамп схемы для сертификата.

certutil [options] -schema [Ext | Attrib | CRL]

Где:

По умолчанию команда использует таблицу Request and Certificate.
Ext — это таблица расширений.
Attribute — это таблица атрибутов.
CRL — это таблица CRL.

Параметры:

[-split] [-config Machine\CAName]

-view

Выгружает представление сертификата.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Где:

Queue делает дамп определенной очереди запросов.
Журнал содержит дампы выданных или отозванных сертификатов, а также все неудачные запросы.
LogFail сбрасывает дамп неудачных запросов.
Отозванные дампы — это отозванные сертификаты.
Ext выдает дамп таблицы расширений.
Attrib выгружает таблицу атрибутов.
CRL выгружает таблицу CRL.
CSV предоставляет вывод с использованием значений, разделенных запятыми.

Параметры:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Замечания

Чтобы отобразить столбец StatusCode для всех записей, введите -out StatusCode
Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$
Чтобы отобразить RequestId и Disposition для трех запросов, введите: -restrict requestID>=37,requestID<40 -out requestID,disposition
Чтобы отобразить идентификаторы строк, идентификаторы строк и номера списков отзыва сертификатов для всех базовых списков отзыва сертификатов, введите: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Чтобы отобразить базовый CRL номер 3, введите: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Чтобы отобразить всю таблицу списков отзыва сертификатов, введите: CRL
Используйте Date[+|-dd:hh] для ограничения по дате.
Используется now+dd:hh для обозначения даты относительно текущего времени.
Шаблоны содержат расширенные варианты использования ключей (EKU), которые представляют собой идентификаторы объектов (OID), описывающие способ использования сертификата. Сертификаты не всегда содержат общие имена шаблонов или отображаемые имена, но они всегда содержат шаблоны EKU. Вы можете извлечь EKU для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.

-db

Выгружает необработанную базу данных.

certutil [options] -db

Параметры:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Где:

Запрос удаляет невыполненные и ожидающие запросы в зависимости от даты отправки.
Cert удаляет сертификаты с истекшим сроком действия и отозванные сертификаты в зависимости от даты истечения срока действия.
Ext удаляет таблицу расширений.
Attrib удаляет таблицу атрибутов.
Список отзыва сертификатов удаляет таблицу списков отзыва сертификатов.

Параметры:

[-f] [-config Machine\CAName]

Примеры

Чтобы удалить невыполненные и ожидающие запроса, отправленные 22 января 2001 г., введите: 1/22/2001 request
Чтобы удалить все сертификаты, срок действия которых истек до 22 января 2001 г., введите: 1/22/2001 cert
Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37
Чтобы удалить списки отзыва сертификатов, срок действия которых истек 22 января 2001 г., введите: 1/22/2001 crl

Замечание

Date ожидает формат mm/dd/yyyy , а не dd/mm/yyyy, например 1/22/2001 , а не 22/1/2001 22 января 2001 года. Если на сервере не настроены региональные параметры США, использование аргумента Date может привести к неожиданным результатам.

-backup

Резервное копирование служб сертификации Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Где:

BackupDirectory — это каталог для хранения резервных копий данных.
Incremental выполняет только инкрементное резервное копирование (по умолчанию — полное резервное копирование).
KeepLog сохраняет файлы журнала базы данных (по умолчанию файлы журнала обрезаются).

Параметры:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Резервное копирование базы данных служб сертификации Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Где:

BackupDirectory — это каталог для хранения резервных копий файлов базы данных.
Incremental выполняет только инкрементное резервное копирование (по умолчанию — полное резервное копирование).
KeepLog сохраняет файлы журнала базы данных (по умолчанию файлы журнала обрезаются).

Параметры:

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата и закрытого ключа служб сертификации Active Directory.

certutil [options] -backupkey BackupDirectory

Где:

BackupDirectory — это каталог для хранения резервного файла PFX.

Параметры:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Восстанавливает службы сертификации Active Directory.

certutil [options] -restore BackupDirectory

Где:

BackupDirectory — это каталог, содержащий данные, которые необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Восстанавливает базу данных служб сертификации Active Directory.

certutil [options] -restoredb BackupDirectory

Где:

BackupDirectory — это каталог, содержащий файлы базы данных, которые необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат и закрытый ключ служб сертификации Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Где:

BackupDirectory — это каталог, содержащий файл PFX, который необходимо восстановить.
PFXFile — это файл PFX, который необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Где:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.
PFXFile — это файл PFX, который необходимо экспортировать.
Модификаторы — это список, разделенный запятыми, который может включать в себя один или несколько из следующего:
- CryptoAlgorithm= указывает криптографический алгоритм, используемый для шифрования файла PFX, например TripleDES-Sha1 или Aes256-Sha256.
- EncryptCert — шифрует закрытый ключ, связанный с сертификатом, паролем.
- ExportParameters -Exports параметры закрытого ключа в дополнение к сертификату и закрытому ключу.
- ExtendedProperties — включает все расширенные свойства, связанные с сертификатом в выходном файле.
- NoEncryptCert — экспортирует закрытый ключ без его шифрования.
- NoChain — не импортирует цепочку сертификатов.
- NoRoot — не импортирует корневой сертификат.

-importPFX

Импортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Где:

CertificateStoreName — это имя хранилища сертификатов.
PFXFile — это файл PFX, который необходимо импортировать.
Модификаторы — это список, разделенный запятыми, который может включать в себя один или несколько из следующего:
- AT_KEYEXCHANGE - Изменяет спецификацию ключа на обмен ключами.
- AT_SIGNATURE — изменяет ключевую спецификацию на подпись.
- ExportEncrypted — экспортирует закрытый ключ, связанный с сертификатом, с шифрованием паролем.
- FriendlyName= — указывает понятное имя для импортируемого сертификата.
- KeyDescription= — указывает описание закрытого ключа, связанного с импортированным сертификатом.
- KeyFriendlyName= — указывает понятное имя для закрытого ключа, связанного с импортированным сертификатом.
- NoCert — сертификат не импортируется.
- NoChain — не импортирует цепочку сертификатов.
- NoExport — делает закрытый ключ непригодным для экспорта.
- NoProtect — не защищает ключи паролем с помощью пароля.
- NoRoot — не импортирует корневой сертификат.
- Pkcs8 — использует формат PKCS8 для закрытого ключа в файле PFX.
- Protect — защищает ключи с помощью пароля.
- ProtectHigh — указывает, что пароль с высоким уровнем безопасности должен быть связан с закрытым ключом.
- VSM — хранит закрытый ключ, связанный с импортированным сертификатом, в контейнере виртуальной смарт-карты (VSC).

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Замечания

По умолчанию используется персональное хранилище машин.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

Параметры:

[-config Machine\CAName]

-databaselocations

Отображает местоположения базы данных.

certutil [options] -databaselocations

Параметры:

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш над файлом.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Создает дамп хранилища сертификатов.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Где:

CertificateStoreName — это имя хранилища сертификатов. Рассмотрим пример.
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Этот идентификатор может быть:
- Серийный номер
- Сертификат SHA-1
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Открытый ключ
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из этих идентификаторов могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

Рассмотрим пример.

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Замечание

Проблемы с производительностью наблюдаются при использовании параметра -store с учетом этих двух аспектов:

Когда количество сертификатов в магазине превышает 10.
Если указан идентификатор CertId, он используется для сопоставления всех перечисленных типов для каждого сертификата. Например, если указан серийный номер , он также попытается сопоставить все остальные перечисленные типы.

Если вас беспокоят проблемы с производительностью, рекомендуется использовать команды PowerShell, если они будут соответствовать только указанному типу сертификата.

-enumstore

Перечисляет хранилища сертификатов.

certutil [options] -enumstore [\\MachineName]

Где:

MachineName — это имя удаленного компьютера.

Параметры:

[-enterprise] [-user] [-grouppolicy]

-addstore

Добавляет сертификат в магазин. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -addstore CertificateStoreName InFile

Где:

CertificateStoreName — это имя хранилища сертификатов.
InFile — это файл сертификата или CRL, который вы хотите добавить в магазин.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Удаляет сертификат из магазина. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -delstore CertificateStoreName certID

Где:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Проверяет сертификат в магазине. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -verifystore CertificateStoreName [CertId]

Где:

CertificateStoreName — это имя хранилища сертификатов.
CertId — это сертификат или маркер соответствия CRL.

Параметры:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Восстанавливает свойства сертификата связи ключей или обновления или дескриптор безопасности ключа. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Где:

CertificateStoreName — это имя хранилища сертификатов.
CertIdList — это разделенный запятыми список маркеров соответствия сертификатов или списков отзыва сертификатов. Дополнительные сведения см. в описании -store CertId в этой статье.

PropertyInfFile — это INF-файл, содержащий внешние свойства, в том числе:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Выгружает хранилище сертификатов. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Где:

CertificateStoreName — это имя хранилища сертификатов. Рассмотрим пример.
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Это может быть:
- Серийный номер
- Сертификат SHA-1
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Открытый ключ
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

Рассмотрим пример.

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Удаляет сертификат из магазина.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Где:

CertificateStoreName — это имя хранилища сертификатов. Рассмотрим пример.
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId — это сертификат или маркер соответствия CRL. Это может быть:
- Серийный номер
- Сертификат SHA-1
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Открытый ключ
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- Адрес электронной почты
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

Рассмотрим пример.

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Вызывает интерфейс certutil.

certutil [options] -UI File [import]

-TPMInfo

Отображает информацию о модуле доверенной платформы.

certutil [options] -TPMInfo

Параметры:

[-f] [-Silent] [-split]

-attest

Указывает, что файл запроса сертификата должен быть заверен.

certutil [options] -attest RequestFile

Параметры:

[-user] [-Silent] [-split]

-getcert

Выбор сертификата из пользовательского интерфейса выбора.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Параметры:

[-Silent] [-split]

-ds

Отображает различающиеся имена (DN) службы каталогов (DS).

certutil [options] -ds [CommonName]

Параметры:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Удаляет доменные домены DN.

certutil [options] -dsDel [CommonName]

Параметры:

[-user] [-split] [-dc DCName]

-dsPublish

Публикует сертификат или список отзыва сертификатов (CRL) в Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Где:

CertFile — это имя файла сертификата для публикации.
NTAuthCA публикует сертификат в хранилище DS Enterprise.
RootCA публикует сертификат в хранилище DS Trusted Root.
SubCA публикует сертификат CA в объекте DS CA.
CrossCA публикует перекрестный сертификат в объекте DS CA.
KRA публикует сертификат в объекте агента восстановления ключа DS.
Пользователь публикует сертификат в объекте User DS.
Машина публикует сертификат в объекте Machine DS.
CRLfile — это имя файла CRL для публикации.
DSCDPContainer — это контейнер DS CDP CN, обычно это имя компьютера CA.
DSCDPCN — это CN объекта CDP DS на основе очищенного короткого имени CA и ключевого индекса.

Параметры:

[-f] [-user] [-dc DCName]

Используется -f для создания нового объекта DS.

-dsCert

Отображает сертификаты DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Отображает списки отзыва сертификатов DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Отображает дельта-списки отзыва сертификатов DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Отображает атрибуты шаблона DS.

certutil [options] -dsTemplate [Template]

Параметры:

[Silent] [-dc DCName]

-dsAddTemplate

Добавляет шаблоны DS.

certutil [options] -dsAddTemplate TemplateInfFile

Параметры:

[-dc DCName]

-ADTemplate

Отображает шаблоны Active Directory.

certutil [options] -ADTemplate [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Отображает шаблоны политик подачи заявок на сертификаты.

Параметры:

certutil [options] -Template [Template]

Параметры:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -TemplateCAs Template

Параметры:

[-f] [-user] [-dc DCName]

-CATemplates

Отображает шаблоны для центра сертификации.

certutil [options] -CATemplates [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Задает шаблоны сертификатов, которые может выдавать центр сертификации.

certutil [options] -SetCATemplates [+ | -] TemplateList

Где:

Знак + добавляет шаблоны сертификатов в список доступных шаблонов ЦС.
Знак - удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.

-SetCASites

Управление именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Где:

SiteName разрешен только при нацеливании на один центр сертификации.

Параметры:

[-f] [-config Machine\CAName] [-dc DCName]

Замечания

Этот -config параметр предназначен для одного центра сертификации (по умолчанию — все центры сертификации).
Этот -f параметр можно использовать для переопределения ошибок проверки для указанного SiteName или для удаления всех имен сайтов ЦС.

Замечание

Дополнительные сведения о настройке центров сертификации для осведомленности о сайте доменных служб Active Directory (AD DS) см. в статье Осведомленность о сайте AD DS для клиентов AD CS и PKI.

-enrollmentServerURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с центром сертификации.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Где:

AuthenticationType указывает один из следующих методов проверки подлинности клиента при добавлении URL:
- Kerberos — используйте учетные данные Kerberos SSL.
- UserName — используйте именованную учетную запись для учетных данных SSL.
- ClientCertificate — используйте учетные данные SSL сертификата X.509.
- Анонимный — используйте анонимные учетные данные SSL.
delete удаляет указанный URL-адрес, связанный с центром сертификации.
Приоритет по умолчанию равен, 1 если он не указан при добавлении URL.
Модификаторы — это список, разделенный запятыми, который включает в себя один или несколько из следующих элементов:
- AllowRenewalsТолько запросы на продление могут быть отправлены в этот центр сертификации по этому URL.
- AllowKeyBasedRenewal позволяет использовать сертификат, с которым не связана учетная запись в AD. Это относится только к режимам ClientCertificate и AllowRenewalsOnly .

Параметры:

[-config Machine\CAName] [-dc DCName]

-ADCA

Отображает центры сертификации Active Directory.

certutil [options] -ADCA [CAName]

Параметры:

[-f] [-split] [-dc DCName]

-CA

Отображает политику подачи заявок Центры сертификации.

certutil [options] -CA [CAName | TemplateName]

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Отображает политику зачисления.

certutil [options] -Policy

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -PolicyCache [delete]

Где:

Delete удаляет записи кэша сервера политик.
-f удаляет все записи кэша

Параметры:

[-f] [-user] [-policyserver URLorID]

-CredStore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Где:

URL — это целевой URL. Вы также можете использовать * для сопоставления всех записей или https://machine* для сопоставления префикса URL.
add добавляет запись в хранилище учетных данных. Использование этого варианта также требует использования учетных данных SSL.
Delete удаляет записи хранилища учетных данных.
-f перезаписывает одну запись или удаляет несколько записей.

Параметры:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -InstallDefaultTemplates

Параметры:

[-dc DCName]

-URL

Проверяет URL-адреса сертификатов или списков отзыва сертификатов.

certutil [options] -URL InFile | URL

Параметры:

[-f] [-split]

-URLCache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Где:

URL — это кэшированный URL.
Список отзыва сертификатов выполняется только для всех кэшированных URL-адресов списков отзыва сертификатов.
* работает со всеми кэшированными URL.
delete удаляет релевантные URL-адреса из локального кэша текущего пользователя.
-f принудительно извлекает определенный URL и обновляет кэш.

Параметры:

[-f] [-split]

-pulse

Мигает событие автоматической регистрации или задачу NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Где:

TaskName — это задача, которую нужно запустить.
- Преген — это задача прегенерации ключа NGC.
- AIKEnroll — это задача для регистрации сертификата NGC AIK. (По умолчанию используется событие автоматической регистрации.)
SRKThumbprint — это отпечаток корневого ключа хранилища
Модификаторы:
- Преген
- PregenDelay
- АЙКанролл
- Криптополитика
- NgcPregenKey
- DIMSПомер

Параметры:

[-user]

-MachineInfo

Отображает информацию об объекте компьютера Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Отображает информацию о контроллере домена. По умолчанию сертификаты контроллера домена отображаются без проверки.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Модификаторы:
- Проверьте
- УдалитьПлохо
- УдалитьВсе

Параметры:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Подсказка

В Windows Server 2012 добавлена возможность указывать домен доменных служб Active Directory (AD DS) [Domain] и указывать контроллер домена (-dc). Для успешного выполнения команды необходимо использовать учетную запись, которая является членом Domain Admins или Enterprise Admins. Изменения в поведении этой команды следующие:

Если домен не указан и не указан конкретный контроллер домена, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
Если домен не указан, но указан контроллер домена, создается отчет о сертификатах на указанном контроллере домена.
Если домен указан, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
Если домен и контроллер домена указаны, список контроллеров домена создается из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что существует домен с именем CPANDL и контроллером домена с именем CPANDL-DC1. Для получения списка контроллеров домена и их сертификатов из CPANDL-DC1 можно выполнить следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Отображает информацию о корпоративном центре сертификации.

certutil [options] -EntInfo DomainName\MachineName$

Параметры:

[-f] [-user]

-TCAInfo

Отображает информацию о центре сертификации.

certutil [options] -TCAInfo [DomainDN | -]

Параметры:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Отображает информацию о смарт-карте.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Где:

CRYPT_DELETEKEYSET удаляет все ключи на смарт-карте.

Параметры:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Управление корневыми сертификатами смарт-карт.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Параметры:

[-f] [-split] [-p Password]

-key

Список ключей, хранящихся в контейнере ключей.

certutil [options] -key [KeyContainerName | -]

Где:

KeyContainerName — это имя контейнера ключа для проверки. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
Использование - знака относится к использованию контейнера ключей по умолчанию.

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Удаляет именованный контейнер ключей.

certutil [options] -delkey KeyContainerName

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователям необходимо выйти из системы после использования этого параметра, чтобы завершить работу.

certutil [options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Где:

KeyContainerName — это имя контейнера ключа для проверки. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
CACertFile подписывает или шифрует файлы сертификатов.

Параметры:

[-f] [-user] [-Silent] [-config Machine\CAName]

Замечания

Если аргументы не указаны, каждый подписывающий сертификат ЦС проверяется на соответствие его закрытому ключу.
Эта операция может быть выполнена только в отношении локального центра сертификации или локальных ключей.

-verify

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Где:

CertFile — это имя сертификата для проверки.
ApplicationPolicyList — это необязательный список обязательных идентификаторов объектов Application Policy, разделенных запятыми.
IssuancePolicyList — это необязательный список обязательных идентификаторов объектов политики выпуска, разделенных запятыми.
CACertFile — это необязательный сертификат центра сертификации для проверки.
CrossedCACertFile — это необязательный сертификат, прошедший перекрестную сертификацию CertFile.
CRLFile — это CRL-файл , используемый для проверки CACertFile.
IssuedCertFile — это необязательный выданный сертификат, на который распространяется CRLfile.
DeltaCRLFile — это необязательный разностный файл CRL.
Модификаторы:
- Strong - Строгая проверка подписи
- MSRoot — необходимо выполнить привязку к корневому каталогу Майкрософт
- MSTestRoot — необходимо выполнить привязку к тестовому корню Microsoft
- AppRoot — должен быть связан с корневым каталогом приложения Майкрософт
- EV - Применение политики расширенной проверки

Параметры:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Замечания

Использование ApplicationPolicyList ограничивает построение цепочки только цепочками, допустимыми для указанных политик приложений.
Использование IssuancePolicyList ограничивает построение цепочки только цепочками, действительными для указанных политик выпуска.
С помощью CACertFile поля в файле проверяются на соответствие CertFile или CRLfile.
Если CACertFile не указан, создается полная цепочка и проверяется на соответствие CertFile.
Если указаны CACertFile и CrossedCACertFile, поля в обоих файлах проверяются на соответствие CertFile.
С помощью IssuedCertFile поля в файле проверяются на соответствие CRLfile.
С помощью DeltaCRLFile поля в файле проверяются на соответствие CertFile.

-verifyCTL

Проверяет CTL AuthRoot или Disallowed Certificates.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Где:

CTLObject определяет CTL для проверки, в том числе:
- AuthRootWU считывает CAB AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- DisallowedWU считывает файл CAB запрещенных сертификатов и файл хранилища запрещенных сертификатов из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
  - PinRulesWU считывает CAB PinRules из кэша URL-адресов. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- AuthRoot считывает кэшированный реестром CTL AuthRoot. Используйте с -f и недоверенный CertFile для принудительного обновления кэшированных CTL реестра AuthRoot и Disallowed Certificate.
- Disallowed считывает кэшированные в реестре Disallowed Certificates CTL. Используйте с -f и недоверенный CertFile для принудительного обновления кэшированных CTL реестра AuthRoot и Disallowed Certificate.
  - PinRules считывает кэшированный реестр PinRules CTL. Использование -f имеет то же поведение, что и с PinRulesWU.
- CTLFileName указывает путь к файлу CTL или CAB.
CertDir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и объект CTL. Для использования пути к папке http требуется разделитель путей в конце. Если не указать AuthRoot или Disallowed, поиск соответствующих сертификатов выполняется в нескольких расположениях, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. При необходимости используйте -f для загрузки из Центра обновления Windows.
CertFile указывает сертификат(ы) для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть вывода по умолчанию.

Параметры:

[-f] [-user] [-split]

-syncWithWU

Синхронизирует сертификаты с Центром обновления Windows.

certutil [options] -syncWithWU DestinationDir

Где:

DestinationDir — указанный каталог.
f приводит к перезаписи.
Юникод записывает перенаправленный вывод в Юникоде.
GMT отображает время по Гринвичу.
Seconds отображает время с секундами и миллисекундами.
v — это многословная операция.
PIN-код — это PIN-код смарт-карты.
WELL_KNOWN_SID_TYPE — это числовой идентификатор безопасности:
- 22 - Локальная система
- 23 - Местное сообщение
- 24 - Сетевое обслуживание

Замечания

Следующие файлы загружаются с помощью механизма автоматического обновления:

authrootstl.cab содержит списки CTL корневых сертификатов сторонних производителей.
disallowedcertstl.cab содержит списки CTL недоверенных сертификатов.
disallowedcert.sst содержит сериализованное хранилище сертификатов, включая недоверенные сертификаты.
thumbprint.crt содержит корневые сертификаты, не принадлежащие Microsoft.

Например: certutil -syncWithWU \\server1\PKI\CTLs.

Если вы используете несуществующий локальный путь или папку в качестве целевой папки, вы увидите ошибку: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Если вы используете несуществующее или недоступное сетевое расположение в качестве целевой папки, вы увидите сообщение об ошибке: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Если серверу не удается подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, возникает следующая ошибка: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Если ваш сервер не может связаться с серверами автоматического обновления Майкрософт с DNS-именем ctldl.windowsupdate.com, вы получите следующую ошибку: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Если вы не используете -f переключатель и какой-либо из файлов CTL уже существует в каталоге, вы получите сообщение об ошибке "Файл существует": certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Если в доверенных корневых сертификатах произошли изменения, вы увидите: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Параметры:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Создает файл хранилища, который синхронизируется с Центром обновления Windows.

certutil [options] -generateSSTFromWU SSTFile

Где:

SSTFile — это .sst файл, который должен быть сгенерирован и содержит сторонние корневые каталоги, загруженные из Центра обновления Windows.

Параметры:

[-f] [-split]

-generatePinRulesCTL

Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Где:

XMLFile — это входной XML-файл, который нужно проанализировать.
CTLFile — это выходной CTL-файл, который необходимо создать.
SSTFile — это необязательный .sst файл, который должен быть создан, содержащий все сертификаты, используемые для закрепления.
QueryFilesPrefix — это необязательные файлыDomains.csv и Keys.csv , которые должны быть созданы для запроса к базе данных.
- Строка QueryFilesPrefix добавляется к каждому созданному файлу.
- Файл Domains.csv содержит имя правила, строки домена.
- Файл Keys.csv содержит имя правила, ключевые строки отпечатков SHA256.

Параметры:

[-f]

-downloadOcsp

Загружает ответы OCSP и записывает их в каталог.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Где:

CertificateDir — это каталог файлов сертификата, хранилища и PFX.
OcspDir — это каталог для написания ответов OCSP.
ThreadCount — это необязательное максимальное количество потоков для параллельной загрузки. По умолчанию установлено значение 10.
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- DownloadOnce — однократная загрузка и завершение.
- ReadOcsp — читает из OcspDir вместо записи.

-generateHpkpHeader

Создает заголовок HPKP с использованием сертификатов в указанном файле или каталоге.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Где:

CertFileOrDir — это файл или каталог сертификатов, который является источником pin-sha256.
MaxAge — это значение max-age в секундах.
ReportUri — это необязательный report-uri.
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- includeSubDomains - Добавляет includeSubDomains.

-flushCache

Сбрасывает указанные кэши в выбранном процессе, например, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Где:

ProcessId — это числовой идентификатор процесса, который нужно сбросить. Установите значение 0 , чтобы сбросить все процессы, в которых включена опция.
CacheMask — это битовая маска кэшей, которые должны быть сброшены либо числовыми, либо следующими битами:
- 0: ПоказатьТолько
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02:CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Модификаторы — это разделенный запятыми список одного или нескольких из следующих элементов:
- Показать - Показывает сбрасываемые кэши. Certutil должен быть прекращен в явном виде.

-addEccCurve

Добавляет кривую ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Где:

CurveClass - это тип класса ECC Curve:
- ВЕЙЕРШТРАСС (по умолчанию)
- МОНТГОМЕРИ
- TWISTED_EDWARDS
CurveName — это имя кривой ECC.
CurveParameters может быть одним из следующих:
- Имя файла сертификата, содержащее параметры в кодировке ASN.
- Файл, содержащий параметры в кодировке ASN.
CurveOID — это ECC Curve OID и является одним из следующих:
- Имя файла сертификата, содержащее OID в кодировке ASN.
- Явный OID кривой ECC.
CurveType — это точка Schannel ECC NamedCurve (числовая).

Параметры:

[-f]

-deleteEccCurve

Удаляет кривую ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Где:

CurveName — это имя кривой ECC.
CurveOID — это ECC Curve OID.

Параметры:

[-f]

-displayEccCurve

Отображение кривой ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Где:

CurveName — это имя кривой ECC.
CurveOID — это ECC Curve OID.

Параметры:

[-f]

-csplist

Список поставщиков служб шифрования (CSP), установленных на данном компьютере для выполнения криптографических операций.

certutil [options] -csplist [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-csptest

Проверяет операторов связи, установленных на данном компьютере.

certutil [options] -csptest [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Отображает криптографическую конфигурацию CNG на данном аппарате.

certutil [options] -CNGConfig

Параметры:

[-Silent]

-sign

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Где:

InFileList — это разделенный запятыми список файлов сертификатов или списков отзыва сертификатов для изменения и повторной подписи.
SerialNumber — это серийный номер создаваемого сертификата. Срок действия и другие опции отсутствовать не могут.
Список отзыва сертификатов создает пустой список отзыва сертификатов. Срок действия и другие опции отсутствовать не могут.
OutFileList — это разделенный запятыми список измененных файлов сертификатов или выходных файлов CRL. Количество файлов должно совпадать с infilelist.
StartDate+dd:hh — новый срок действия сертификата или файлов CRL, в том числе:
- Опциональная дата плюс
- необязательный срок действия дней и часов Если используется несколько полей, используйте разделитель (+) или (-). Используйте now[+dd:hh] для запуска в текущее время. Используйте now-dd:hh+dd:hh для начала с фиксированным смещением от текущего времени и фиксированным сроком действия. Используйте never без даты истечения срока действия (только для списков отзыва сертификатов).
SerialNumberList — это список серийных номеров, разделенных запятыми, для добавления или удаления.
ObjectIdList — это расширение, разделенное запятыми, список удаляемых файлов.
@ExtensionFile — это INF-файл, содержащий расширения, которые необходимо обновить или удалить. Рассмотрим пример.
```
[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86
```
HashAlgorithm — это имя алгоритма хеширования. Это должен быть только текст, которому # предшествует знак.
AlternateSignatureAlgorithm — это спецификатор алгоритма альтернативной подписи.

Параметры:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Замечания

Использование знака минус (-) удаляет серийные номера и добавочные номера.
Использование знака «плюс» (+) добавляет серийные номера в список отзыва сертификатов.
Список можно использовать для одновременного удаления серийных номеров и идентификаторов объектов из списка отзыва сертификатов.
Использование знака минус перед AlternateSignatureAlgorithm позволяет использовать устаревший формат подписи.
Использование знака плюс позволяет использовать альтернативный формат подписи.
Если вы не укажете AlternateSignatureAlgorithm, будет использоваться формат подписи в сертификате или списке отзыва сертификатов.

-vroot

Создает или удаляет виртуальные корневые веб-серверы и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет виртуальные веб-корни для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Добавляет приложение сервера регистрации и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Где:

addEnrollmentServer требует, чтобы вы использовали метод аутентификации для подключения клиента к серверу регистрации сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
Модификаторы:
- AllowRenewalsOnly разрешает только отправку запросов на продление в центр сертификации через URL.
- AllowKeyBasedRenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применимо при использовании с ClientCertificate и режимом AllowRenewalsOnly .

Параметры:

[-config Machine\CAName]

-deleteEnrollmentServer

Удаляет приложение сервера подачи заявок и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Где:

deleteEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу подачи заявок на сертификаты, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.

Параметры:

[-config Machine\CAName]

-addPolicyServer

При необходимости добавьте приложение сервера политик и пул приложений. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

addPolicyServer требует использования метода аутентификации для подключения клиента к серверу политики сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
KeyBasedRenewal позволяет использовать политики, возвращаемые клиенту, содержащие шаблоны keybasedrenewal. Этот параметр применим только для аутентификации UserName и ClientCertificate .

-deletePolicyServer

При необходимости удаляет приложение сервера политик и пул приложений. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

deletePolicyServer требует использования метода аутентификации для подключения клиента к серверу политики сертификатов, в том числе:
- Kerberos использует учетные данные Kerberos SSL.
- UserName использует именованную учетную запись для учетных данных SSL.
- ClientCertificate использует учетные данные SSL сертификата X.509.
KeyBasedRenewal позволяет использовать сервер политик KeyBasedRenewal.

-Class

Отображает информацию реестра COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Параметры:

[-f]

-7f

Проверяет сертификат на 0x7f длины кодировок.

certutil [options] -7f CertFile

-oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Где:

ObjectId — это идентификатор, который будет отображаться или добавляться к отображаемому имени.
GroupId — это номер GroupID (десятичный), который перечисляются ObjectId.
AlgId — это шестнадцатеричный идентификатор, который ищет objectID.
AlgorithmName — это имя алгоритма, которое ищет objectID.
DisplayName отображает имя для сохранения в DS.
При нажатии на кнопку «Удалить » отображаемое имя удаляется.
LanguageId — это значение идентификатора языка (по умолчанию current: 1033).
Тип — это тип объекта DS для создания, в том числе:
- 1 - Шаблон (по умолчанию)
- 2 - Политика выпуска
- 3 - Политика применения
-f создает объект DS.

Параметры:

[-f]

-error

Отображает текст сообщения, связанный с кодом ошибки.

certutil [options] -error ErrorCode

-getsmtpinfo

Получает информацию по протоколу SMTP.

certutil [options] -getsmtpinfo

-setsmtpinfo

Устанавливает информацию SMTP.

certutil [options] -setsmtpinfo LogonName

Параметры:

[-config Machine\CAName] [-p Password]

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Где:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
value использует новое числовое, строковое или датированное значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Псевдонимы реестра:
- Конфигурация
- Калифорния
- Policy - PolicyModules
- Exit - ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Где:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
Value использует новое числовое значение, строку или дату, значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Где:

ca использует ключ реестра центра сертификации.
restore использует раздел реестра restore центра сертификации.
Policy использует раздел реестра модуля Policy.
При выходе используется первый ключ реестра модуля Exit.
Шаблон использует ключ реестра шаблона (используется -user для пользовательских шаблонов).
Enroll использует раздел реестра Enrollment (использовать -user для контекста пользователя).
Chain использует раздел реестра конфигурации цепи.
PolicyServers использует раздел реестра серверов политики.
ProgId использует ProgID (имя подраздела реестра) политики или модуля выхода.
RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
Value использует новое числовое, строковое или датированное значение реестра или имя файла. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Псевдонимы реестра:
- Конфигурация
- Калифорния
- Policy - PolicyModules
- Exit - ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-importKMS

Импортирует ключи пользователей и сертификаты в базу данных сервера для архивирования ключей.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Где:

UserKeyAndCertFile — это файл данных с закрытыми ключами пользователей и сертификатами, которые должны быть архивированы. Этот файл может быть:
- Файл экспорта сервера управления ключами Exchange (KMS).
- Файл PFX.
CertId — это маркер соответствия сертификата расшифровки файла экспорта KMS. Дополнительные сведения см. в параметре -store в этой статье.
-f импортные сертификаты, не выданные Центром сертификации.

Параметры:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Импортирует файл сертификата в базу данных.

certutil [options] -ImportCert Certfile [ExistingRow]

Где:

ExistingRow импортирует сертификат вместо ожидающего запроса на тот же ключ.
-f импортные сертификаты, не выданные Центром сертификации.

Параметры:

[-f] [-config Machine\CAName]

Замечания

Кроме того, может потребоваться настроить центр сертификации для поддержки иностранных сертификатов с помощью команды certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Извлекает архивный большой двоичный объект для восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Где:

Скрипт создает сценарий для извлечения и восстановления ключей (поведение по умолчанию, если найдено несколько подходящих кандидатов на восстановление или если выходной файл не указан).
retrieve извлекает один или несколько BLOB-объектов восстановления ключа (поведение по умолчанию, если найден ровно один подходящий кандидат на восстановление и если указан выходной файл). При использовании этого параметра усекается любое расширение и добавляется строка, относящаяся к сертификату, и .rec расширение для каждого большого двоичного объекта восстановления ключа. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
recover извлекает и восстанавливает закрытые ключи за один шаг (требуются сертификаты и закрытые ключи агента восстановления ключей). Использование этой опции усекает любое расширение и добавляет расширение .p12 . Каждый файл содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.
SearchToken выбирает ключи и сертификаты для восстановления, в том числе:
- Общее имя сертификата
- Серийный номер сертификата
- Сертификат хеша SHA-1 (отпечаток пальца)
- Идентификатор ключа сертификата SHA-1 hash (идентификатор ключа субъекта)
- Имя запрашивающего (домен\пользователь)
- UPN (user@domain)
RecoveryBlobOutFile выводит файл с цепочкой сертификатов и связанным закрытым ключом, все еще зашифрованным до одного или нескольких сертификатов агента восстановления ключей.
OutputScriptFile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.
OutputFileBaseName выводит имя базы файла.

Параметры:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

При извлечении любое расширение усекается, а для каждого большого двоичного объекта восстановления ключа добавляется строка .rec , относящаяся к сертификату. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
При восстановлении любое расширение усекается, а расширение .p12 добавляется. Содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.

-RecoverKey

Восстанавливает архивированный закрытый ключ.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Объединяет файлы PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Где:

PFXInFileList — это разделенный запятыми список входных файлов PFX.
PFXOutFile — это имя выходного файла PFX.
Модификаторы — это разделенные запятыми списки одного или нескольких из следующих элементов:
- ExtendedProperties включает в себя любые расширенные свойства.
- NoEncryptCert указывает, что сертификаты не шифруются.
- EncryptCert указывает на шифрование сертификатов.

Параметры:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

Пароль, указанный в командной строке, должен быть списком паролей, разделенных запятыми.
Если указано более одного пароля, то для выходного файла используется последний пароль. Если указан только один пароль или если последний пароль — *, пользователю будет предложено ввести пароль выходного файла.

-add-chain

Добавляет цепочку сертификатов.

certutil [options] -add-chain LogId certificate OutFile

Параметры:

[-f]

-add-pre-chain

Добавляет цепочку предварительных сертификатов.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Параметры:

[-f]

-get-sth

Получает подписанную голову дерева.

certutil [options] -get-sth [LogId]

Параметры:

[-f]

-get-sth-consistency

Получает подписанные изменения заголовка дерева.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Параметры:

[-f]

-get-proof-by-hash

Получает доказательство хэша от сервера временных меток.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Параметры:

[-f]

-get-entries

Извлекает записи из журнала событий.

certutil [options] -get-entries LogId FirstIndex LastIndex

Параметры:

[-f]

-get-roots

Извлекает корневые сертификаты из хранилища сертификатов.

certutil [options] -get-roots LogId

Параметры:

[-f]

-get-entry-and-proof

Извлекает запись в журнале событий и ее криптографическое доказательство.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Параметры:

[-f]

-VerifyCT

Сверяет сертификат с журналом прозрачности сертификатов.

certutil [options] -VerifyCT Certificate SCT [precert]

Параметры:

[-f]

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Где:

-? отображает список параметров
-<name_of_parameter> -? отображает содержимое справки для указанного параметра.
-? -v Отображает подробный список параметров и опций.

Опции

В этом разделе определены все параметры, которые вы можете указать в зависимости от команды. Каждый параметр включает информацию о том, какие опции допустимы для использования.

Вариант	Описание
-Администратора	Используйте ICertAdmin2 для свойств ЦС.
-анонимный	Используйте анонимные учетные данные SSL.
-cert CertId	Свидетельство о подписании.
-clientcertificate clientCertId	Используйте учетные данные SSL сертификата X.509. Для пользовательского интерфейса выбора используйте `-clientcertificate`.
-config Machine\CAName	Строка центра сертификации и имени компьютера.
-провайдер CSP	Поставщик: KSP - Поставщик программного обеспечения для хранения ключей Microsoft TPM — поставщик криптографии на платформе Майкрософт NGC - Поставщик хранилища ключей Microsoft Passport SC - Поставщик хранилища ключей смарт-карт Microsoft
-dc DCName	Нацельтесь на определенный контроллер домена.
-предприятие	Используйте локальное хранилище сертификатов реестра предприятия.
-ф	Принудительная перезапись.
-generateSSTFromWU SSTFile	Создайте SST с помощью механизма автоматического обновления.
-GMT	Отображение времени с использованием GMT.
-Групповая политика	Используйте хранилище сертификатов групповой политики.
-idispatch	Используйте IDispatch вместо нативных методов COM.
-кербер	Используйте учетные данные Kerberos SSL.
-местоположение альтернативноехранилище	`(-loc)` Альтернативное местоположение.
-мт	Отображение шаблонов машин.
-нокр	Кодирование текста без символов CR.
-nocrlf	Кодируйте текст без CR-LF символов.
-нулевой знак	Используйте хэш данных в качестве подписи.
-oldpfx	Используйте старое шифрование PFX.
-out columnlist	Список столбцов, разделенных запятыми.
-p пароль	Пароль
-pin-ПИН ПИН	PIN-код смарт-карты.
-policyserver URLorID	URL или идентификатор сервера политик. Для выбора U/I используйте `-policyserver`. Для всех серверов политик используйте `-policyserver *`
-приватный ключ	Отображение данных пароля и закрытого ключа.
-защищать	Защитите ключи паролем.
-protectна SAMnameandSIDlist	Разделенные запятыми имя SAM/список SID.
-restrict restrictionlist	Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константы целого числа, строки или даты. Одному названию столбца может предшествовать знак плюс или минус для обозначения порядка сортировки. Например: `requestID = 47`, `+requestername >= a, requestername`, или `-requestername > DOMAIN, Disposition = 21`.
-обратный	Обратные столбцы журнала и очереди.
-товары второго сорта	Отображайте время с помощью секунд и миллисекунд.
-служба	Используйте хранилище сертификатов службы.
-ид безопасности	Числовой идентификатор безопасности: 22 - Локальная система 23 - Местное сообщение 24 - Сетевое обслуживание
-молчаливый	Используйте `silent` флаг для получения контекста крипты.
-раскалывать	Разделите встроенные элементы ASN.1 и сохраните их в файлы.
-sslpolicy имя_сервера	Политика SSL соответствует ServerName.
-symkeyalg symmetrickeyalgorithm[,длина ключа]	Имя алгоритма симметричного ключа с необязательной длиной ключа. Пример: `AES,128` или `3DES`.
-syncWithWU DestinationDir	Синхронизация с Центром обновления Windows.
-t тайм-аут	Время ожидания получения URL в миллисекундах.
-Юникод	Запись перенаправленного вывода в Юникоде.
-ЮникодТекст	Запишите выходной файл в Unicode.
-urlfetch	Получайте и проверяйте сертификаты AIA и списки отзыва сертификатов CDP.
-пользователь	Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-имя пользователя	Используйте именованную учетную запись для учетных данных SSL. Для пользовательского интерфейса выбора используйте `-username`.
-ут	Отображение пользовательских шаблонов.
-v	Предоставляйте более подробную (подробную) информацию.
-В1	Используйте интерфейсы V1.

Алгоритмы хеширования: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Дополнительные примеры использования этой команды см. в следующих статьях:

Поделиться через

certutil (утилита для работы с сертификатами)

Параметры

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Замечания

-setextension

Замечания

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Замечания

-db

-deleterow

Примеры

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Замечания

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Замечания

-enrollmentServerURL

-ADCA

-CA