certutil

Внимание

Certutil не рекомендуется использовать в рабочем коде и не предоставляет никаких гарантий поддержки динамических сайтов или совместимости приложений. Это средство, используемое разработчиками и ИТ-администраторами для просмотра сведений о содержимом сертификата на устройствах.

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.

Если certutil выполняется в центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil выполняется в центре сертификации без других параметров, команда по умолчанию выполняет certutil -dump команду. Не все версии certutil предоставляют все параметры и параметры, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые версией certutil, выполнив certutil -? или certutil <parameter> -?.

Совет

Чтобы просмотреть полную справку для всех команд и параметров certutil, включая те, которые скрыты от аргумента -? , выполните команду certutil -v -uSAGE. Параметр uSAGE учитывает регистр.

Параметры

-Дампа

Дампает сведения о конфигурации или файлы.

certutil [options] [-dump]
certutil [options] [-dump] File

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Дамп структуры PFX.

certutil [options] [-dumpPFX] File

Параметры:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-Asn

Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной нотации синтаксиса (ASN.1). К типам файлов относятся. CER. Отформатированные файлы DER и PKCS #7.

certutil [options] -asn File [type]

• [type]: тип декодирования числовых CRYPT_STRING_*

-decodehex

Декодирует шестнадцатеричный файл в кодировке.

certutil [options] -decodehex InFile OutFile [type]

• [type]: тип декодирования числовых CRYPT_STRING_*

Параметры:

[-f]

-encodehex

Кодирует файл в шестнадцатеричном формате.

certutil [options] -encodehex InFile OutFile [type]

• [type]: числовой тип кодирования CRYPT_STRING_*

Параметры:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-Декодирования

Декодирует файл в кодировке Base64.

certutil [options] -decode InFile OutFile

Параметры:

[-f]

-Кодирования

Кодирует файл в Base64.

certutil [options] -encode InFile OutFile

Параметры:

[-f] [-unicodetext]

-Отрицать

Запрещает ожидающий запрос.

certutil [options] -deny RequestId

Параметры:

[-config Machine\CAName]

-Повторно отправить

Повторно отправляет ожидающий запрос.

certutil [options] -resubmit RequestId

Параметры:

[-config Machine\CAName]

-setattributes

Задает атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestId AttributeString

Где:

• RequestId — это числовой идентификатор запроса для ожидающего запроса.
• AttributeString — это пары атрибутов запроса и значения.

Параметры:

[-config Machine\CAName]

Замечания

• Имена и значения должны быть разделены двоеточием, а несколько имен и пар значений должны быть разделены новой линией. Например, CertificateTemplate:User\nEMail:User@Domain.com где \n последовательность преобразуется в новый разделитель линий.

-setextension

Задайте расширение для ожидающего запроса сертификата.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Где:

• requestID — это числовой идентификатор запроса для ожидающего запроса.
• ExtensionName — это строка ObjectId для расширения.
• Флаги задают приоритет расширения. 0 рекомендуется, хотя 1 расширение имеет критическое значение, отключает расширение и делает и то, 2 и 3 другое.

Параметры:

[-config Machine\CAName]

Замечания

• Если последний параметр является числовым, он принимается как long.
• Если последний параметр можно проанализировать как дату, она принимается в качестве даты.
• Если последний параметр начинается с \@, остальная часть маркера принимается в качестве имени файла с двоичными данными или хэкс-дампа ascii-text.
• Если последний параметр является любым другим, он принимается как строка.

-Отменить

Отменяет сертификат.

certutil [options] -revoke SerialNumber [Reason]

Где:

• SerialNumber — это разделенный запятыми список серийных номеров сертификатов для отзыва.
• Причина — числовое или символическое представление причины отзыва, в том числе:
  • 0. CRL_REASON_UNSPECIFIED — не указано (по умолчанию)
  • 1. CRL_REASON_KEY_COMPROMISE — компромисс ключа
  • 2. CRL_REASON_CA_COMPROMISE — компрометация центра сертификации
  • 3. CRL_REASON_AFFILIATION_CHANGED — изменена принадлежность
  • 4. CRL_REASON_SUPERSEDED — заменено
  • 5. CRL_REASON_CESSATION_OF_OPERATION — прекращение работы
  • 6. CRL_REASON_CERTIFICATE_HOLD — удержание сертификата
  • 8. CRL_REASON_REMOVE_FROM_CRL . Удаление из списка отзыва сертификатов
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN — отмена привилегий
  • 10: CRL_REASON_AA_COMPROMISE - компромисс AA
  • -1. Отмена отзыва - Unrevokes

Параметры:

[-config Machine\CAName]

-Isvalid

Отображает ликвидацию текущего сертификата.

certutil [options] -isvalid SerialNumber | CertHash

Параметры:

[-config Machine\CAName]

-getconfig

Возвращает строку конфигурации по умолчанию.

certutil [options] -getconfig

Параметры:

[-idispatch] [-config Machine\CAName]

-getconfig2

Возвращает строку конфигурации по умолчанию через ICertGetConfig.

certutil [options] -getconfig2

Параметры:

[-idispatch] 

-getconfig3

Получает конфигурацию с помощью ICertConfig.

certutil [options] -getconfig3

Параметры:

[-idispatch] 

-Настольный

Пытается связаться с интерфейсом запроса служб сертификатов Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Где:

• CAMachineList — это разделенный запятыми список имен компьютеров ЦС. Для одного компьютера используйте завершающееся запятое. Этот параметр также отображает стоимость сайта для каждого компьютера ЦС.

Параметры:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Пытается связаться с интерфейсом служб сертификатов Active Directory Администратор.

certutil [options] -pingadmin

Параметры:

[-config Machine\CAName]

-CAInfo

Отображает сведения о центре сертификации.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Где:

• InfoName указывает свойство ЦС для отображения на основе следующего синтаксиса аргумента infoname:
  • * — отображает все свойства
  • реклама — расширенный сервер
  • aia [Index] — URL-адреса AIA
  • cdp [индекс] — URL-адреса CDP
  • сертификат [индекс] — сертификат ЦС
  • certchain [Index] — цепочка сертификатов ЦС
  • certcount — число сертификатов ЦС
  • certcrlchain [Index] — цепочка сертификатов ЦС с crLs
  • certstate [Index] — сертификат ЦС
  • certstatuscode [Index] — проверка состояния сертификата ЦС
  • certversion [Index] — версия сертификата ЦС
  • CRL [индекс] — базовый список отзыва сертификатов
  • crlstate [Index] — CRL
  • crlstatus [index] — состояние публикации CRL
  • cross- [Index] — обратный перекрестный сертификат
  • cross+ [Index] — перекрестный сертификат
  • crossstate- [Индекс] — обратный кросс-сертификат
  • crossstate+ [Index] — перекрестный сертификат
  • deltacrl [Index] — Delta CRL
  • deltacrlstatus [Index] — состояние публикации delta CRL
  • dns — DNS-имя
  • dsname — санизированное короткое имя ЦС (имя DS)
  • error1 ErrorCode — текст сообщения об ошибке
  • error2 ErrorCode — текст сообщения об ошибке и код ошибки
  • exit [Index] — описание модуля выхода
  • exitcount — количество модулей выхода
  • file — версия файла
  • info - CA info
  • kra [Index] - KRA cert
  • kracount — число сертификатов KRA
  • krastate [Index] - KRA cert
  • kraused — количество использованных сертификатов KRA
  • localename — имя языкового стандарта ЦС
  • name — ca name
  • ocsp [Index] — URL-адреса OCSP
  • Parent — Родительский ЦС
  • Политика — описание модуля политики
  • продукт — версия продукта
  • propidmax — максимальный ЦС PropId
  • role — разделение ролей
  • sanitizedname — sanitized CA name
  • sharedfolder — общая папка
  • subjecttemplateoids — OID шаблона темы
  • шаблоны — шаблоны
  • type — тип ЦС
  • xchg [Index] — сертификат ЦС exchange
  • xchgchain [Index] — цепочка сертификатов ЦС exchange
  • xchgcount — количество сертификатов ЦС exchange
  • xchgcrlchain [Index] — цепочка сертификатов ЦС exchange с crLs
• индекс является необязательным индексом свойств на основе нуля.
• код ошибки — это числовой код ошибки.

Параметры:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Отображает сведения о типе свойства ЦС.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Параметры:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Извлекает сертификат для центра сертификации.

certutil [options] -ca.cert OutCACertFile [Index]

Где:

• OutCACertFile — выходной файл.
• Индекс — это индекс продления сертификата ЦС (по умолчанию — последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Извлекает цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain OutCACertChainFile [Index]

Где:

• OutCACertChainFile — выходной файл.
• Индекс — это индекс продления сертификата ЦС (по умолчанию — последний).

Параметры:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Возвращает список отзыва сертификатов (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Где:

• Индекс — это индекс CRL или ключевой индекс (по умолчанию — CRL для последнего ключа).
• delta — это разностная CRL (по умолчанию используется базовый список отзыва сертификатов).

Параметры:

[-f] [-split] [-config Machine\CAName]

-CRL

Публикует новые списки отзыва сертификатов (CRLs) или разностные списки отзыва сертификатов.

certutil [options] -CRL [dd:hh | republish] [delta]

Где:

• dd:hh — это новый период срока действия CRL в днях и часах.
• Переиздание повторной публикации последних списков отзыва сертификатов.
• Delta публикует только разностные crLs (по умолчанию — базовые и разностные crLS).

Параметры:

[-split] [-config Machine\CAName]

-Завершения работы

Завершает работу служб сертификатов Active Directory.

certutil [options] -shutdown

Параметры:

[-config Machine\CAName]

-installCert

Устанавливает сертификат центра сертификации.

certutil [options] -installCert [CACertFile]

Параметры:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Обновляет сертификат центра сертификации.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Параметры:

[-f] [-silent] [-config Machine\CAName]

• Используется -f для пропуска незадающегося запроса на продление и создания нового запроса.

-Схемы

Дамп схемы для сертификата.

certutil [options] -schema [Ext | Attrib | CRL]

Где:

• Команда по умолчанию используется в таблице "Запрос" и "Сертификат".
• Ext — это таблица расширений.
• Атрибут — это таблица атрибутов.
• CRL — это таблица CRL .

Параметры:

[-split] [-config Machine\CAName]

-Вид

Дамп представления сертификата.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Где:

• Очередь дампает определенную очередь запросов.
• Журнал сбрасывает выданные или отозванные сертификаты, а также все неудачные запросы.
• LogFail дампает неудачные запросы.
• Отозванный дамп отозванных сертификатов.
• Ext дампает таблицу расширений.
• Attrib дамп таблицы атрибутов.
• CRL дамп таблицы CRL .
• CSV предоставляет выходные данные с помощью разделенных запятыми значений.

Параметры:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Замечания

• Чтобы отобразить столбец StatusCode для всех записей, введите -out StatusCode
• Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$
• Чтобы отобразить requestId и Disposition для трех запросов, введите следующее:-restrict requestID>=37,requestID<40 -out requestID,disposition
• Чтобы отобразить идентификаторы строк и номера списка отзыва сертификатов для всех базовых идентификаторов, введите следующее:-restrict crlminbase=0 -out crlrowID,crlnumber crl
• Чтобы отобразить базовый номер CRL 3, введите следующее: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Чтобы отобразить всю таблицу CRL, введите следующее: CRL
• Используется Date[+|-dd:hh] для ограничений даты.
• Используется now+dd:hh для даты относительно текущего времени.
• Шаблоны содержат расширенные значения использования ключей (EKUs), которые являются идентификаторами объектов (OID), описывающими использование сертификата. Сертификаты не всегда включают общие имена шаблонов или отображаемые имена, но они всегда содержат EKUs шаблона. Вы можете извлечь EKUs для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.

-Db

Дамп необработанной базы данных.

certutil [options] -db

Параметры:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Где:

• Запрос удаляет неудачные и ожидающие запросы на основе даты отправки.
• Сертификат удаляет просроченные и отозванные сертификаты на основе даты окончания срока действия.
• Ext удаляет таблицу расширений.
• Attrib удаляет таблицу атрибутов.
• CRL удаляет таблицу CRL .

Параметры:

[-f] [-config Machine\CAName]

Примеры

• Чтобы удалить неудачные и ожидающие запросы, отправленные 22 января 2001 г., введите: 1/22/2001 request
• Чтобы удалить все сертификаты, истекшие 22 января 2001 г., введите следующее: 1/22/2001 cert
• Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37
• Чтобы удалить списки отзыва, истекшие 22 января 2001 г., введите следующее: 1/22/2001 crl

Примечание.

Дата ожидает форматmm/dd/yyyy, а dd/mm/yyyy1/22/2001 не 22/1/2001 22 января 2001 года. Если сервер не настроен с региональными параметрами США, использование аргумента Date может привести к непредвиденным результатам.

-backup

Резервное копирование служб сертификатов Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Где:

• BackupDirectory — это каталог для хранения резервных копий данных.
• Добавочное резервное копирование выполняет только добавочное резервное копирование (по умолчанию — полная резервная копия).
• KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).

Параметры:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-Backupdb

Резервное копирование базы данных служб сертификатов Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Где:

• BackupDirectory — это каталог для хранения резервных копий файлов базы данных.
• Добавочное резервное копирование выполняет только добавочное резервное копирование (по умолчанию — полная резервная копия).
• KeepLog сохраняет файлы журнала базы данных (по умолчанию — усечение файлов журнала).

Параметры:

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата служб сертификатов Active Directory и закрытого ключа.

certutil [options] -backupkey BackupDirectory

Где:

• BackupDirectory — это каталог для хранения резервного копирования PFX-файла.

Параметры:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Восстанавливает службы сертификатов Active Directory.

certutil [options] -restore BackupDirectory

Где:

• BackupDirectory — это каталог, содержащий данные для восстановления.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-восстановлено

Восстанавливает базу данных служб сертификатов Active Directory.

certutil [options] -restoredb BackupDirectory

Где:

• BackupDirectory — это каталог, содержащий файлы базы данных, которые необходимо восстановить.

Параметры:

[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат служб сертификатов Active Directory и закрытый ключ.

certutil [options] -restorekey BackupDirectory | PFXFile

Где:

• BackupDirectory — это каталог, содержащий PFX-файл для восстановления.
• PFXFile — это PFX-файл для восстановления.

Параметры:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см -store . в этой статье.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId — это сертификат или маркер сопоставления CRL.
• PFXFile — это PFX-файл для экспорта.
• Модификаторы — это разделенный запятыми список, который может включать один или несколько следующих элементов:
  • CryptoAlgorithm= указывает криптографический алгоритм, используемый для шифрования PFX-файла, например TripleDES-Sha1 или Aes256-Sha256.
  • EncryptCert — шифрует закрытый ключ, связанный с сертификатом с паролем.
  • ExportParameters -Экспорт параметров закрытого ключа в дополнение к сертификату и закрытому ключу.
  • ExtendedProperties — включает все расширенные свойства, связанные с сертификатом в выходном файле.
  • NoEncryptCert — экспортирует закрытый ключ без шифрования.
  • NoChain — не импортирует цепочку сертификатов.
  • NoRoot — не импортирует корневой сертификат.

-importPFX

Импортирует сертификаты и закрытые ключи. Дополнительные сведения см -store . в этой статье.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• PFXFile — это PFX-файл , импортируемый.
• Модификаторы — это разделенный запятыми список, который может включать один или несколько следующих элементов:
  • AT_KEYEXCHANGE . Изменяет ключpec на обмен ключами.
  • AT_SIGNATURE — изменяет ключиpec на сигнатуру.
  • ExportEncrypted — экспортирует закрытый ключ, связанный с сертификатом с шифрованием паролей.
  • FriendlyName= — указывает понятное имя импортированного сертификата.
  • KeyDescription= — указывает описание закрытого ключа, связанного с импортированным сертификатом.
  • KeyFriendlyName= — указывает понятное имя закрытого ключа, связанного с импортированным сертификатом.
  • NoCert — не импортирует сертификат.
  • NoChain — не импортирует цепочку сертификатов.
  • NoExport — делает закрытый ключ не экспортируемым.
  • NoProtect — не защищает ключи паролем с помощью пароля.
  • NoRoot — не импортирует корневой сертификат.
  • Pkcs8 — использует формат PKCS8 для закрытого ключа в PFX-файле.
  • Защита — защищает ключи с помощью пароля.
  • ProtectHigh — указывает, что пароль с высоким уровнем безопасности должен быть связан с закрытым ключом.
  • VSM — сохраняет закрытый ключ, связанный с импортированным сертификатом в контейнере Виртуальной смарт-карты (VSC).

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Замечания

• По умолчанию используется личное хранилище компьютеров.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

Параметры:

[-config Machine\CAName]

-databaselocations

Отображает расположения базы данных.

certutil [options] -databaselocations

Параметры:

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш над файлом.

certutil [options] -hashfile InFile [HashAlgorithm]

-Магазин

Дамп хранилища сертификатов.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId — это сертификат или маркер сопоставления CRL. Этот идентификатор может быть следующим:

  • Серийный номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL.

Многие из этих идентификаторов могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к хранилищу машинного предприятия.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Рассмотрим пример.

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

Примечание.

Проблемы с производительностью наблюдаются при использовании параметра с учетом -store этих двух аспектов:

1. Если число сертификатов в хранилище превышает 10.
2. При указании CertId он используется для сопоставления всех перечисленных типов для каждого сертификата. Например, если указан серийный номер , он также попытается сопоставить все остальные перечисленные типы.

Если вы обеспокоены проблемами с производительностью, рекомендуется использовать команды PowerShell, в которых он будет соответствовать только указанному типу сертификата.

-enumstore

Перечисляет хранилища сертификатов.

certutil [options] -enumstore [\\MachineName]

Где:

• MachineName — это имя удаленного компьютера.

Параметры:

[-enterprise] [-user] [-grouppolicy]

-addstore

Добавляет сертификат в хранилище. Дополнительные сведения см -store . в этой статье.

certutil [options] -addstore CertificateStoreName InFile

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• InFile — это сертификат или файл CRL, который вы хотите добавить в хранилище.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Удаляет сертификат из хранилища. Дополнительные сведения см -store . в этой статье.

certutil [options] -delstore CertificateStoreName certID

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId — это сертификат или маркер сопоставления CRL.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Проверяет сертификат в хранилище. Дополнительные сведения см -store . в этой статье.

certutil [options] -verifystore CertificateStoreName [CertId]

Где:

• CertificateStoreName — это имя хранилища сертификатов.
• CertId — это сертификат или маркер сопоставления CRL.

Параметры:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Восстанавливает свойства сертификата связи ключей или обновляет свойства сертификата или дескриптор безопасности ключа. Дополнительные сведения см -store . в этой статье.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Где:

• CertificateStoreName — это имя хранилища сертификатов.

• CertIdList — это разделенный запятыми список маркеров соответствия сертификата или CRL. Дополнительные сведения см. в описании -store CertId в этой статье.

• PropertyInfFile — это INF-файл, содержащий внешние свойства, включая:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Дамп хранилища сертификатов. Дополнительные сведения см -store . в этой статье.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId — это сертификат или маркер сопоставления CRL. Это может быть следующее:

  • Серийный номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL.

Многие из них могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к хранилищу машинного предприятия.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Например:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Удаляет сертификат из хранилища.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Где:

• CertificateStoreName — это имя хранилища сертификатов. Например:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId — это сертификат или маркер сопоставления CRL. Это может быть следующее:

  • Серийный номер
  • Сертификат SHA-1
  • Хэш CRL, CTL или открытого ключа
  • Числовый индекс сертификата (0, 1 и т. д.)
  • Числовый индекс CRL (.0, .1 и т. д.)
  • Числовый индекс CTL (.). 0, .. 1, и т. д.
  • Открытый ключ
  • Сигнатура или расширение ObjectId
  • Общее имя субъекта сертификата
  • Адрес электронной почты
  • Имя участника-пользователя или DNS
  • Имя контейнера ключей или имя CSP
  • Имя шаблона или ObjectId
  • EKU или ObjectId политик приложений
  • Общее имя издателя CRL. Многие из них могут привести к нескольким совпадениям.

• OutputFile — это файл, используемый для сохранения соответствующих сертификатов.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• Параметр -user обращается к хранилищу пользователей вместо хранилища компьютеров.
• Параметр -enterprise обращается к хранилищу машинного предприятия.
• Параметр -service обращается к хранилищу служб компьютеров.
• Параметр -grouppolicy обращается к хранилищу групповой политики компьютера.

Например:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-Пользовательского интерфейса

Вызывает интерфейс certutil.

certutil [options] -UI File [import]

-TPMInfo

Отображает сведения о доверенном модуле платформы.

certutil [options] -TPMInfo

Параметры:

[-f] [-Silent] [-split]

-Подтвердить

Указывает, что файл запроса сертификата должен быть подтвержден.

certutil [options] -attest RequestFile

Параметры:

[-user] [-Silent] [-split]

-getcert

Выбирает сертификат из пользовательского интерфейса выбора.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Параметры:

[-Silent] [-split]

-ds

Отображает различающиеся имена служб каталогов (DS).

certutil [options] -ds [CommonName]

Параметры:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Удаляет доменные сети.

certutil [options] -dsDel [CommonName]

Параметры:

[-user] [-split] [-dc DCName]

-dsPublish

Публикует список отзыва сертификатов или сертификатов в Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Где:

• CertFile — это имя файла сертификата для публикации.
• NTAuthCA публикует сертификат в хранилище DS Enterprise.
• RootCA публикует сертификат в доверенном корневом хранилище DS.
• SubCA публикует сертификат ЦС в объект ЦС DS.
• CrossCA публикует кросс-сертификат в объектЕ ЦС DS.
• KRA публикует сертификат в объект агента восстановления ключей DS.
• Пользователь публикует сертификат в объекте User DS.
• Компьютер публикует сертификат в объекте Machine DS.
• CRLfile — это имя файла CRL для публикации.
• DSCDPContainer — это cn контейнера DS CDP, обычно имя компьютера ЦС.
• DSCDPCN — это cn объекта DS CDP на основе сокращенного имени ЦС и индекса ключа.

Параметры:

[-f] [-user] [-dc DCName]

• Используется -f для создания нового объекта DS.

-dsCert

Отображает сертификаты DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Отображает списки отзыва сертификатов доменных служб.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Отображает разностные url-адреса DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Параметры:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Отображает атрибуты шаблона DS.

certutil [options] -dsTemplate [Template]

Параметры:

[Silent] [-dc DCName]

-dsAddTemplate

Добавляет шаблоны DS.

certutil [options] -dsAddTemplate TemplateInfFile

Параметры:

[-dc DCName]

-ADTemplate

Отображает шаблоны Active Directory.

certutil [options] -ADTemplate [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Шаблон

Отображает шаблоны политик регистрации сертификатов.

Параметры:

certutil [options] -Template [Template]

Параметры:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -TemplateCAs Template

Параметры:

[-f] [-user] [-dc DCName]

-CATemplates

Отображает шаблоны центра сертификации.

certutil [options] -CATemplates [Template]

Параметры:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Задает шаблоны сертификатов, которые может выдавать центр сертификации.

certutil [options] -SetCATemplates [+ | -] TemplateList

Где:

• Знак + добавляет шаблоны сертификатов в список доступных шаблонов ЦС.
• Знак - удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.

-SetCASites

Управляет именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Где:

• Имя_сайта разрешено только в том случае, если он предназначен для одного центра сертификации.

Параметры:

[-f] [-config Machine\CAName] [-dc DCName]

Замечания

• Параметр -config предназначен для одного центра сертификации (по умолчанию — все ЦС).
• Этот -f параметр можно использовать для переопределения ошибок проверки для указанного имени сайта или удаления всех имен сайтов ЦС.

Примечание.

Дополнительные сведения о настройке центров сертификации для домен Active Directory служб (AD DS) см. в статье AD DS Site Awareness for AD CS и PKI client.

-enrollmentServerURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с ЦС.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Где:

• AuthenticationType указывает один из следующих методов проверки подлинности клиента при добавлении URL-адреса:
  • Kerberos — используйте учетные данные SSL Kerberos .
  • UserName — используйте именованную учетную запись для учетных данных SSL.
  • ClientCertificate — используйте учетные данные SSL сертификата X.509.
  • Анонимный — используйте анонимные учетные данные SSL.
• удаляет указанный URL-адрес, связанный с ЦС.
• Приоритет по умолчанию, 1 если он не указан при добавлении URL-адреса.
• Модификаторы — это разделенный запятыми список, который включает одно или несколько следующих элементов:
  • РазрешитьRenewalsOnly только запросы на продление можно отправить в этот ЦС с помощью этого URL-адреса.
  • AllowKeyBasedRenewal позволяет использовать сертификат, не имеющий связанной учетной записи в AD. Это относится только к режиму ClientCertificate и AllowRenewalsOnly .

Параметры:

[-config Machine\CAName] [-dc DCName]

-ADCA

Отображает центры сертификации Active Directory.

certutil [options] -ADCA [CAName]

Параметры:

[-f] [-split] [-dc DCName]

CA

Отображает центры сертификации политики регистрации.

certutil [options] -CA [CAName | TemplateName]

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Политики

Отображает политику регистрации.

certutil [options] -Policy

Параметры:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -PolicyCache [delete]

Где:

• удаляет записи кэша сервера политики.
• -f удаляет все записи кэша

Параметры:

[-f] [-user] [-policyserver URLorID]

-CredStore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Где:

• URL-адрес является целевым URL-адресом . Можно также использовать * для сопоставления всех записей или https://machine* сопоставления префикса URL-адреса.
• добавляет запись хранилища учетных данных. Для использования этого параметра также требуется использование учетных данных SSL.
• удаление записей хранилища учетных данных.
• -f перезаписывает одну запись или удаляет несколько записей.

Параметры:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -InstallDefaultTemplates

Параметры:

[-dc DCName]

-URL

Проверяет url-адреса сертификатов или списков отзыва сертификатов.

certutil [options] -URL InFile | URL

Параметры:

[-f] [-split]

-URLCache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Где:

• URL-адрес — это кэшированный URL-адрес .
• CRL выполняется только во всех кэшированных URL-адресах CRL .
• * работает со всеми кэшируемыми URL-адресами.
• удаление соответствующих URL-адресов из локального кэша текущего пользователя.
• -f принудительно извлекает определенный URL-адрес и обновляет кэш.

Параметры:

[-f] [-split]

-Импульса

Импульсы события автоматической регистрации или задачи NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Где:

• TaskName — это задача для активации.
  • Предген — это задача предгена ключа NGC.
  • AIKEnroll — это задача регистрации сертификатов NGC AIK. (По умолчанию используется событие автоматической регистрации).
• SRKThumbprint — отпечаток корневого ключа служба хранилища
• Модификаторы:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Параметры:

[-user]

-MachineInfo

Отображает сведения об объекте компьютера Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Отображает сведения о контроллере домена. По умолчанию отображаются сертификаты контроллера домена без проверки.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Модификаторы:

  • Проверка
  • DeleteBad
  • DeleteAll

Параметры:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Совет

Возможность указывать домен домен Active Directory служб (AD DS) [домен] и указывать контроллер домена (dc) добавлена в Windows Server 2012. Чтобы успешно выполнить команду, необходимо использовать учетную запись, которая является членом доменных Администратор или корпоративных Администратор. Изменения поведения этой команды приведены следующим образом:

• Если домен не указан и определенный контроллер домена не указан, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
• Если домен не указан, но указан контроллер домена, создается отчет о сертификатах на указанном контроллере домена.
• Если домен указан, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
• Если указан домен и контроллер домена, создается список контроллеров домена из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что существует домен cPANDL с контроллером домена CPANDL-DC1. Чтобы получить список контроллеров домена и их сертификаты из CPANDL-DC1, выполните следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

Отображает сведения о корпоративном центре сертификации.

certutil [options] -EntInfo DomainName\MachineName$

Параметры:

[-f] [-user]

-TCAInfo

Отображает сведения об центре сертификации.

certutil [options] -TCAInfo [DomainDN | -]

Параметры:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Отображает сведения о смарт-карта.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Где:

• CRYPT_DELETEKEYSET удаляет все ключи на смарт-карта.

Параметры:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Управляет смарт-карта корневых сертификатов.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Параметры:

[-f] [-split] [-p Password]

-Ключ

Выводит список ключей, хранящихся в контейнере ключей.

certutil [options] -key [KeyContainerName | -]

Где:

• KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте -user.
• - Использование знака относится к использованию контейнера ключей по умолчанию.

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Удаляет именованный контейнер ключей.

certutil [options] -delkey KeyContainerName

Параметры:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователи должны выйти после использования этого параметра, чтобы он был завершен.

certutil [options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Где:

• KeyContainerName — это имя контейнера ключа для проверки ключа. Этот параметр по умолчанию использует ключи компьютера. Чтобы переключиться на ключи пользователя, используйте -user.
• CACertFile подписывает или шифрует файлы сертификатов.

Параметры:

[-f] [-user] [-Silent] [-config Machine\CAName]

Замечания

• Если аргументы не заданы, каждый сертификат ЦС подписи проверяется с помощью закрытого ключа.
• Эта операция может выполняться только для локального ЦС или локальных ключей.

-Проверяем подлинность

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Где:

• CertFile — это имя сертификата для проверки.
• ApplicationPolicyList — это необязательный список обязательных объектов политики приложений с разделительными запятыми.
• IssuancePolicyList — это необязательный список разделенных запятыми обязательных объектов политики выдачи.
• CACertFile — это необязательный сертификат ЦС для проверки.
• CrossedCACertFile — это необязательный перекрестный сертификат, сертифицированный CertFile.
• CRLFile — это файл CRL, используемый для проверки CACertFile.
• IssuedCertFile — это необязательный выданный сертификат, охватываемый CRLfile.
• DeltaCRLFile — это необязательный разностный CRL-файл.
• Модификаторы:
  • Строгой — строгой проверки подписи
  • MSRoot — должна быть цепочка с корнем Майкрософт
  • MSTestRoot — должен быть цепочкой в корневом каталоге тестирования Майкрософт
  • AppRoot — должна быть цепочка с корнем приложения Майкрософт
  • EV — применение расширенной политики проверки

Параметры:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Замечания

• Использование ApplicationPolicyList ограничивает создание цепочки только для цепочки, допустимой для указанных политик приложений.
• Использование IssuancePolicyList ограничивает сборку цепочки только цепочками, допустимыми для указанных политик выдачи.
• Использование CACertFile проверяет поля в файле по CertFile или CRLfile.
• Если CACertFile не указан, полная цепочка создается и проверяется в отношении CertFile.
• Если указаны caCertFile и CrossedCACertFile , поля в обоих файлах проверяются на основе CertFile.
• Использование IssuedCertFile проверяет поля в файле по CRLfile.
• Использование DeltaCRLFile проверяет поля в файле по CertFile.

-verifyCTL

Проверяет CTL сертификатов AuthRoot или Запрещено.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Где:

• CTLObject определяет CTL для проверки, включая:

  • AuthRootWU считывает CAB-файл AuthRoot и соответствующие сертификаты из кэша URL-адресов. Вместо этого используется -f для скачивания из Обновл. Windows.
  • DisallowedWU считывает CAB-файл запрещенного хранилища сертификатов из кэша URL-адресов. Вместо этого используется -f для скачивания из Обновл. Windows.
    • PinRulesWU считывает CAB-файл PinRules из кэша URL-адресов. Вместо этого используется -f для скачивания из Обновл. Windows.
  • AuthRoot считывает кэшированный реестр authRoot CTL. -f Используйте и ненадежный CertFile, чтобы принудительно кэшировать кэшированные сертификаты AuthRoot и запретить обновления сертификатов.
  • Запрещено считывает кэшированные реестром сертификаты CTL. -f Используйте и ненадежный CertFile, чтобы принудительно кэшировать кэшированные сертификаты AuthRoot и запретить обновления сертификатов.
    • PinRules считывает кэшированный CTL реестра PinRules. Использование -f имеет то же поведение, что и в PinRulesWU.
  • CTLFileName указывает файл или http-путь к CTL или CAB-файлу.

• CertDir указывает папку, содержащую сертификаты, соответствующие записям CTL. По умолчанию используется та же папка или веб-сайт, что и CTLobject. Для использования пути к папке http требуется разделитель путей в конце. Если вы не указываете AuthRoot или Disallowed, то в нескольких расположениях выполняется поиск соответствующих сертификатов, включая локальные хранилища сертификатов, crypt32.dll ресурсы и локальный кэш URL-адресов. Используйте -f для скачивания из Обновл. Windows по мере необходимости.

• CertFile указывает сертификаты для проверки. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть выходных данных по умолчанию.

Параметры:

[-f] [-user] [-split]

-syncWithWU

Синхронизирует сертификаты с Обновл. Windows.

certutil [options] -syncWithWU DestinationDir

Где:

• DestinationDir — это указанный каталог.
• f принудительно перезаписывает.
• Юникод записывает перенаправленные выходные данные в Юникоде.
• gmt отображает время в формате GMT.
• в секундах отображается время с секундами и миллисекундами.
• V — это подробная операция.
• ПИН-код — это ПИН-код смарт-карты.
• WELL_KNOWN_SID_TYPE является числовым идентификатором безопасности:
  • 22 — локальная система
  • 23 — локальная служба
  • 24 — сетевая служба

Замечания

С помощью механизма автоматического обновления загружаются следующие файлы.

• authrootstl.cab содержит списки ctls корневых сертификатов, отличных от Майкрософт.
• disallowedcertstl.cab содержит списки сертификатов, ненадежных.
• disallowedcert.sst содержит сериализованное хранилище сертификатов, включая ненадежные сертификаты.
• Thumbprint.crt содержит корневые сертификаты, отличные от Майкрософт.

Например, certutil -syncWithWU \\server1\PKI\CTLs.

• Если в качестве целевой папки используется несуществующий локальный путь или папка, появится сообщение об ошибке: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Если в качестве целевой папки используется несуществующее или недоступное сетевое расположение, появится сообщение об ошибке: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Если сервер не может подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, вы получите следующую ошибку: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Если сервер не может связаться с серверами автоматического обновления Майкрософт с DNS-именем ctldl.windowsupdate.com, вы получите следующую ошибку: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Если вы не используете переключатель -f , и какие-либо файлы CTL уже существуют в каталоге, вы получите сообщение об ошибке: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Если в доверенных корневых сертификатах есть изменение, вы увидите: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Параметры:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Создает файл хранилища, синхронизированный с Обновл. Windows.

certutil [options] -generateSSTFromWU SSTFile

Где:

• SSTFile — это .sst файл, который содержит сторонние корни, скачанные из Обновл. Windows.

Параметры:

[-f] [-split]

-generatePinRulesCTL

Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Где:

• XMLFile — это входной XML-файл для анализа.
• CTLFile — это выходной файл CTL для создания.
• SSTFile — это необязательный SST-файл , который содержит все сертификаты, используемые для закрепления.
• QueryFilesPrefix являются необязательными Domains.csv и Keys.csv файлами, которые будут созданы для запроса базы данных.
  • Строка QueryFilesPrefix добавляется к каждому созданному файлу.
  • Файл Domains.csv содержит имя правила, строки домена.
  • Файл Keys.csv содержит имя правила, строки отпечатка клавиш SHA256.

Параметры:

[-f]

-downloadOcsp

Загружает ответы OCSP и записывает их в каталог.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Где:

• CertificateDir — это каталог сертификата, хранилища и PFX-файлов.
• OcspDir — это каталог для записи ответов OCSP.
• ThreadCount — это необязательное максимальное количество потоков для параллельного скачивания. Значение по умолчанию — 10.
• Модификаторы разделены запятыми одного или нескольких из следующих:
  • DownloadOnce — скачивает один раз и завершает работу.
  • ReadOcsp — чтение из OcspDir вместо записи.

-generateHpkpHeader

Создает заголовок HPKP с помощью сертификатов в указанном файле или каталоге.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Где:

• CertFileOrDir — это файл или каталог сертификатов, который является источником pin-sha256.
• MaxAge — это максимальное значение возраста в секундах.
• ReportUri — это необязательный uri отчета.
• Модификаторы разделены запятыми одного или нескольких из следующих:
  • includeSubDomains — добавляет includeSubDomains.

-flushCache

Очищает указанные кэши в выбранном процессе, например lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Где:

• ProcessId — это числовой идентификатор процесса для очистки. Установите значение 0 , чтобы очистить все процессы, в которых включена очистка.

• CacheMask — это битовая маска кэшей для очистки числовых или следующих битов:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Модификаторы разделены запятыми одного или нескольких из следующих:

  • Показать — отображает кэши, которые сбрасываются. Certutil должен быть явно завершен.

-addEccCurve

Добавляет кривую ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Где:

• CurveClass — это тип класса кривой ECC:

  • WEIERSTRASS (по умолчанию)
  • МОНТГОМЕРИ
  • TWISTED_EDWARDS

• CurveName — это имя кривой ECC.

• КривыеParameters являются одним из следующих:

  • Имя файла сертификата, содержащее параметры в кодировке ASN.
  • Файл, содержащий в кодировке ASN параметры.

• CurveOID является OID кривой ECC и является одним из следующих:

  • Имя файла сертификата, содержащее идентификатор OID в кодировке ASN.
  • Явный OID кривой ECC.

• CurveType — это точка Schannel ECC NamedCurve (числовой).

Параметры:

[-f]

-deleteEccCurve

Удаляет кривую ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Где:

• CurveName — это имя кривой ECC.
• CurveOID — это OID кривой ECC.

Параметры:

[-f]

-displayEccCurve

Отображает кривую ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Где:

• CurveName — это имя кривой ECC.
• CurveOID — это OID кривой ECC.

Параметры:

[-f]

-csplist

Выводит список поставщиков криптографических служб (CSPS), установленных на этом компьютере для криптографических операций.

certutil [options] -csplist [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-csptest

Проверяет поставщики служб, установленные на этом компьютере.

certutil [options] -csptest [Algorithm]

Параметры:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Отображает на этом компьютере криптографическую конфигурацию CNG.

certutil [options] -CNGConfig

Параметры:

[-Silent]

-Знак

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Где:

• InFileList — это разделенный запятыми список файлов сертификата или списка отзыва сертификатов для изменения и повторного входа.

• SerialNumber — это серийный номер создаваемого сертификата. Срок действия и другие параметры не могут присутствовать.

• CRL создает пустой список отзыва сертификатов. Срок действия и другие параметры не могут присутствовать.

• OutFileList — это разделенный запятыми список измененных файлов сертификатов или выходных файлов CRL. Количество файлов должно соответствовать списку infilelist.

• StartDate+dd:hh — это новый срок действия для файлов сертификата или CRL, в том числе:

  • необязательная дата плюс
  • Необязательный период действия дней и часов, если используются несколько полей, используйте разделитель (+) или (-). Используется now[+dd:hh] для запуска в текущее время. Используется now-dd:hh+dd:hh для запуска с фиксированного смещения с текущего времени и фиксированного срока действия. Используется never для отсутствия даты окончания срока действия (только для списков crls).

• SerialNumberList — это список серийных номеров, разделенных запятыми, для добавления или удаления файлов.

• ObjectIdList — это список объектов, разделенных запятыми, objectId файлов, которые нужно удалить.

• @ExtensionFile — это INF-файл, содержащий расширения для обновления или удаления. Например:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm — это имя хэш-алгоритма. Это должен быть только текст, предшествующий знаку # .

• AlternateSignatureAlgorithm — это описатель альтернативного алгоритма подписи.

Параметры:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Замечания

• При использовании знака минус (-) удаляются серийные номера и расширения.
• Использование знака плюса (+) добавляет серийные номера в список отзыва сертификатов.
• Список можно использовать для одновременного удаления серийных номеров и objectIds из списка отзыва сертификатов .
• Использование знака минуса перед АльтернативнымSignatureAlgorithm позволяет использовать устаревший формат подписи.
• Использование знака "плюс" позволяет использовать альтернативный формат подписи.
• Если вы не указываете AlternateSignatureAlgorithm, используется формат подписи в сертификате или списке отзыва сертификатов.

-vroot

Создает или удаляет корневую веб-виртуальную виртуальную папку и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет корневую веб-виртуальную сеть для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Добавляет приложение сервера регистрации и пул приложений при необходимости для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Где:

• addEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, включая:

  • Kerberos использует учетные данные SSL Kerberos .
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.

• Модификаторы:

  • AllowRenewalsOnly разрешает только отправку запросов на продление в Центр сертификации по URL-адресу.
  • AllowKeyBasedRenewal позволяет использовать сертификат без связанной учетной записи в Active Directory. Это применяется при использовании с режимом ClientCertificate и AllowRenewalsOnly .

Параметры:

[-config Machine\CAName]

-deleteEnrollmentServer

При необходимости удаляет приложение сервера регистрации и пул приложений для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Где:

• DeleteEnrollmentServer требует использования метода проверки подлинности для подключения клиента к серверу регистрации сертификатов, в том числе:
  • Kerberos использует учетные данные SSL Kerberos .
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.

Параметры:

[-config Machine\CAName]

-addPolicyServer

При необходимости добавьте приложение и пул приложений сервера политик. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

• AddPolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, в том числе:
  • Kerberos использует учетные данные SSL Kerberos .
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.
• KeyBasedRenewal позволяет использовать политики, возвращаемые клиенту, содержащим шаблоны keybasedrenewal . Этот параметр применяется только для проверки подлинности UserName и ClientCertificate .

-deletePolicyServer

При необходимости удаляет приложение и пул приложений сервера политик. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Где:

• DeletePolicyServer требует использования метода проверки подлинности для подключения клиента к серверу политики сертификатов, в том числе:
  • Kerberos использует учетные данные SSL Kerberos .
  • UserName использует именованную учетную запись для учетных данных SSL.
  • ClientCertificate использует учетные данные SSL сертификата X.509.
• KeyBasedRenewal позволяет использовать сервер политики KeyBasedRenewal.

-Class

Отображает сведения о реестре COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Параметры:

[-f]

-7f

Проверяет сертификат для кодирования 0x7f длины.

certutil [options] -7f CertFile

-Oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Где:

• ObjectId — это идентификатор, отображаемый или добавляемый в отображаемое имя.
• GroupId — это число GroupID (десятичное значение), перечисление ObjectIds.
• AlgId — это шестнадцатеричный идентификатор, который ищет объектный идентификатор.
• Имя алгоритма — это имя алгоритма, которое выполняет поиск objectID.
• DisplayName отображает имя для хранения в DS.
• Удаляет отображаемое имя.
• LanguageId — это значение идентификатора языка (по умолчанию — 1033).
• Тип объекта DS для создания, в том числе:
  • 1 — Шаблон (по умолчанию)
  • 2 — Политика выдачи
  • 3 — Политика приложений
• -f создает объект DS.

Параметры:

[-f]

-Ошибка

Отображает текст сообщения, связанный с кодом ошибки.

certutil [options] -error ErrorCode

-getsmtpinfo

Получает сведения об простом протоколе передачи почты (SMTP).

certutil [options] -getsmtpinfo

-setsmtpinfo

Задает сведения SMTP.

certutil [options] -setsmtpinfo LogonName

Параметры:

[-config Machine\CAName] [-p Password]

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Где:

• Ca использует раздел реестра центра сертификации.
• восстановление использует раздел реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• Exit использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используется -user для пользовательских шаблонов).
• регистрация использует раздел реестра регистрации (используется -user для контекста пользователя).
• в цепочке используется раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра "Серверы политик".
• ProgId использует политику или модуль выхода ProgID (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
• значение использует новое числовое, строковое или датовое значение реестра или имя файла. Если числовое значение начинается или +-биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не ссылается на допустимый файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.
• Используйте i64 суффикс для создания значения REG_QWORD.
• Используется chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.
• Псевдонимы реестра:
  • Config
  • Целостности и доступности
  • Политика — PolicyModules
  • Exit — ExitModules
  • Восстановление — RestoreInProgresss
  • Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
  • Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
  • Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Software\Microsoft\Policies\PassportForWork

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Где:

• Ca использует раздел реестра центра сертификации.
• восстановление использует раздел реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• Exit использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используется -user для пользовательских шаблонов).
• регистрация использует раздел реестра регистрации (используется -user для контекста пользователя).
• в цепочке используется раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра "Серверы политик".
• ProgId использует политику или модуль выхода ProgID (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
• Значение использует новое числовое, строковое или имя реестра дат или имя файла. Если числовое значение начинается или +-биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не ссылается на допустимый файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.
• Используйте i64 суффикс для создания значения REG_QWORD.
• Используется chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Где:

• Ca использует раздел реестра центра сертификации.
• восстановление использует раздел реестра центра сертификации.
• политика использует раздел реестра модуля политики.
• Exit использует раздел реестра первого модуля выхода.
• шаблон использует раздел реестра шаблонов (используется -user для пользовательских шаблонов).
• регистрация использует раздел реестра регистрации (используется -user для контекста пользователя).
• в цепочке используется раздел реестра конфигурации цепочки.
• PolicyServers использует раздел реестра "Серверы политик".
• ProgId использует политику или модуль выхода ProgID (имя подраздела реестра).
• RegistryValueName использует имя значения реестра (используется Name* для сопоставления префикса).
• Значение использует новое числовое, строковое или имя реестра дат или имя файла. Если числовое значение начинается или +-биты, указанные в новом значении, задаются или очищаются в существующем значении реестра.

Параметры:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Замечания

• Если строковое значение начинается с + или -, а существующее значение является REG_MULTI_SZ значением, строка добавляется или удаляется из существующего значения реестра. Чтобы принудительно создать REG_MULTI_SZ значение, добавьте \n в конец строкового значения.
• Если значение начинается с \@, остальная часть значения — это имя файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
• Если он не ссылается на допустимый файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
• Если оба значения указаны, используйте разделитель "плюс" (+) или "минус" (-). Используется now+dd:hh для даты относительно текущего времени.
• Используйте i64 суффикс для создания значения REG_QWORD.
• Используется chain\chaincacheresyncfiletime @now для эффективного очистки кэшированных списков отзыва сертификатов.
• Псевдонимы реестра:
  • Config
  • Целостности и доступности
  • Политика — PolicyModules
  • Exit — ExitModules
  • Восстановление — RestoreInProgresss
  • Шаблон : Software\Microsoft\Cryptography\CertificateTemplateCache
  • Регистрация : Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP — Программное обеспечение\Microsoft\Cryptography\MSCEP
  • Цепочка — Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 — System\CurrentControlSet\Services\crypt32
  • NGC — System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate — Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport — Software\Policies\Microsoft\PassportForWork
  • MDM — Software\Microsoft\Policies\PassportForWork

-importKMS

Импортирует ключи и сертификаты пользователей в базу данных сервера для архивации ключей.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Где:

• UserKeyAndCertFile — это файл данных с закрытыми ключами пользователя и сертификатами, которые необходимо архивировать. Этот файл может быть следующим:
  • Файл экспорта сервера управления ключами Exchange (KMS).
  • PFX-файл.
• CertId — это маркер сопоставления сертификата расшифровки сертификата экспорта KMS. Дополнительные сведения см -store . в этой статье.
• -f импортирует сертификаты, не выданные центром сертификации.

Параметры:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Импортирует файл сертификата в базу данных.

certutil [options] -ImportCert Certfile [ExistingRow]

Где:

• Существующийrow импортирует сертификат вместо ожидающего запроса на тот же ключ.
• -f импортирует сертификаты, не выданные центром сертификации.

Параметры:

[-f] [-config Machine\CAName]

Замечания

Центр сертификации также может быть настроен для поддержки внешних сертификатов, выполнив команду certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Извлекает архивированный BLOB-объект восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Где:

• скрипт создает скрипт для извлечения и восстановления ключей (поведение по умолчанию, если найдено несколько подходящих кандидатов восстановления или если выходной файл не указан).
• извлекает один или несколько больших двоичных объектов восстановления ключей (поведение по умолчанию, если найден именно один соответствующий кандидат восстановления, и если указан выходной файл). При использовании этого параметра выполняется усечение любого расширения и добавляется строка для конкретного сертификата и .rec расширение для каждого большого двоичного объекта восстановления ключей. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей.
• восстановление извлекает и восстанавливает закрытые ключи на одном шаге (требуется сертификат агента восстановления ключей и закрытые ключи). При использовании этого параметра выполняется усечение любого расширения и добавление .p12 расширения. Каждый файл содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.
• SearchToken выбирает ключи и сертификаты для восстановления, в том числе:
  • Общее имя сертификата
  • Серийный номер сертификата
  • Хэш SHA-1 сертификата (отпечаток)
  • Хэш keyId KEYId SHA-1 (идентификатор ключа субъекта)
  • Имя запрашивающего пользователя (домен\пользователь)
  • Имя участника-участника (user@domain)
• RecoveryBlobOutFile выводит файл с цепочкой сертификатов и связанным закрытым ключом, который по-прежнему зашифрован на один или несколько сертификатов агента восстановления ключей.
• OutputScriptFile выводит файл с пакетным скриптом для извлечения и восстановления закрытых ключей.
• OutputFileBaseName выводит базовое имя файла.

Параметры:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

• Для получения любое расширение усечено, а строка, связанная с сертификатом, и .rec расширения добавляются для каждого большого двоичного объекта восстановления ключа. Каждый файл содержит цепочку сертификатов и связанный закрытый ключ, по-прежнему зашифрованный на один или несколько сертификатов агента восстановления ключей.
• Для восстановления любое расширение усечено и .p12 добавляется расширение. Содержит восстановленные цепочки сертификатов и связанные закрытые ключи, хранящиеся в виде PFX-файла.

-RecoverKey

Восстанавливает архивированный закрытый ключ.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Параметры:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Объединяет PFX-файлы.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Где:

• PFXInFileList — это разделенный запятыми список входных файлов PFX.
• PFXOutFile — это имя выходного файла PFX.
• Модификаторы — это разделенные запятыми списки одного или нескольких следующих элементов:
  • ExtendedProperties включает любые расширенные свойства.
  • NoEncryptCert указывает, чтобы не шифровать сертификаты.
  • EncryptCert указывает, чтобы зашифровать сертификаты.

Параметры:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Замечания

• Пароль, указанный в командной строке, должен быть списком паролей, разделенным запятыми.
• Если задано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль указан *, пользователю будет предложено ввести пароль выходного файла.

-convertEPF

Преобразует PFX-файл в файл EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Где:

• PFXInFileList — это разделенный запятыми список входных файлов PFX.
• EPFOutFile — это имя выходного файла PFX.
• EPF — это имя выходного файла EPF .
• cast использует шифрование CAST 64.
• cast- использует шифрование CAST 64 (экспорт).
• V3CACertId — это маркер соответствия сертификата ЦС версии 3. Дополнительные сведения см -store . в этой статье.
• Соль — это строка соли выходного файла EPF.

Параметры:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Замечания

• Пароль, указанный в командной строке, должен быть списком паролей, разделенным запятыми.
• Если задано несколько паролей, последний пароль используется для выходного файла. Если указан только один пароль или если последний пароль указан *, пользователю будет предложено ввести пароль выходного файла.

-add-chain

Добавляет цепочку сертификатов.

certutil [options] -add-chain LogId certificate OutFile

Параметры:

[-f]

-add-pre-chain

Добавляет цепочку предварительного сертификата.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Параметры:

[-f]

-get-sth

Получает подписанную голову дерева.

certutil [options] -get-sth [LogId]

Параметры:

[-f]

-get-sth-consistency

Возвращает изменения головки дерева подписи.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Параметры:

[-f]

-get-proof-by-hash

Получает подтверждение хэша с сервера метки времени.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Параметры:

[-f]

-get-entries

Извлекает записи из журнала событий.

certutil [options] -get-entries LogId FirstIndex LastIndex

Параметры:

[-f]

-get-root

Извлекает корневые сертификаты из хранилища сертификатов.

certutil [options] -get-roots LogId

Параметры:

[-f]

-get-entry-and-proof

Извлекает запись журнала событий и его криптографическое подтверждение.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Параметры:

[-f]

-VerifyCT

Проверяет сертификат в журнале прозрачности сертификата.

certutil [options] -VerifyCT Certificate SCT [precert]

Параметры:

[-f]

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Где:

• -? отображает список параметров
• -<name_of_parameter> -? отображает содержимое справки для указанного параметра.
• -? -v отображает подробный список параметров и параметров.

Параметры

В этом разделе определяются все параметры, которые можно указать на основе команды. Каждый параметр содержит сведения о том, какие параметры допустимы для использования.

Вариант	Описание
-Администратора	Используйте ICert Администратор 2 для свойств ЦС.
-Анонимные	Используйте анонимные учетные данные SSL.
-cert CertId	Сертификат подписывания.
-clientcertificate clientCertId	Используйте учетные данные SSL сертификата X.509. Для пользовательского интерфейса выбора используйте -clientcertificate.
-config Machine\CAName	Строка имени центра сертификации и компьютера.
Поставщик -csp	Поставщик: KSP — поставщик служба хранилища ключей программного обеспечения Майкрософт TPM — поставщик шифрования платформы Майкрософт NGC — поставщик служба хранилища ключа Microsoft Passport SC — поставщик служба хранилища ключей смарт-карт Майкрософт
-dc DCName	Назначение определенного контроллера домена.
-enterprise	Используйте хранилище сертификатов локального компьютера корпоративного реестра.
f-	Принудительное перезаписи.
-generateSSTFromWU SSTFile	Генерирует SST с помощью механизма автоматического обновления.
-Gmt	Время отображения с помощью GMT.
-GroupPolicy	Используйте хранилище сертификатов групповой политики.
-Idispatch	Используйте IDispatch вместо собственных методов COM.
-Kerberos	Используйте учетные данные SSL Kerberos.
-location alternatestoragelocation	(-loc)Альтернативный служба хранилища Location.
-Mt	Отображение шаблонов компьютеров.
-nocr	Кодирование текста без символов CR.
-nocrlf	Кодирование текста без символов CR-LF.
-nullsign	Используйте хэш данных в качестве подписи.
-oldpfx	Используйте старое шифрование PFX.
-out columnlist	Список столбцов, разделенных запятыми.
-p password	Пароль
-pin PIN-код	Смарт-карта ПИН-код.
-policyserver URLorID	URL-адрес или идентификатор сервера политик. Для выбора U/I используйте -policyserver. Для всех серверов политик используйте -policyserver *
-privatekey	Отображение данных пароля и закрытого ключа.
-Защитить	Защита ключей паролем.
-protectto SAMnameandSIDlist	Разделенный запятыми список имен SAM или SID.
-ограничить список ограничений	Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константного целого числа, строки или даты. Имя одного столбца может предшествовать знаку "плюс" или "минус", чтобы указать порядок сортировки. Например, requestID = 47, +requestername >= a, requesternameили -requestername > DOMAIN, Disposition = 21.
-Обратный	Столбцы обратного журнала и очереди.
-Секунд	Отображение времени с использованием секунд и миллисекунд.
-Службы	Используйте хранилище сертификатов службы.
-Sid	Числовые идентификаторы БЕЗОПАСНОСТИ: 22 — локальная система 23 — локальная служба 24 — сетевая служба
-silent	silent Используйте флаг для получения контекста шифрования.
-Сплит	Разделение внедренных элементов ASN.1 и сохранение в файлы.
-sslpolicy servername	SSL Policy matching ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Имя алгоритма симметричного ключа с необязательной длиной ключа. Пример: AES,128 или 3DES.
-syncWithWU DestinationDir	Синхронизация с Центром обновления Windows.
Время ожидания -t	Время ожидания получения URL-адреса в миллисекундах.
-Юникода	Запись перенаправленных выходных данных в Юникоде.
-ЮникодТекст	Запись выходного файла в Юникоде.
-urlfetch	Получение и проверка сертификатов AIA и cdP CRLs.
-Пользователя	Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-username username	Используйте именованную учетную запись для учетных данных SSL. Для пользовательского интерфейса выбора используйте -username.
-Ut	Отображение пользовательских шаблонов.
-v	Укажите более подробные (подробные) сведения.
-v1	Используйте интерфейсы версии 1.

Хэш-алгоритмы: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Дополнительные ссылки

Дополнительные примеры использования этой команды см. в следующих статьях:

• Службы сертификатов Active Directory (AD CS)
• Задачи Certutil для управления сертификатами
• Настройка доверенных корней и запрещенных сертификатов в Windows