certutil

2025-07-14
Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil не рекомендуется использовать в каком-либо рабочем коде и не предоставляет никаких гарантий поддержки сайта в реальном времени или совместимости приложений. Это инструмент, используемый разработчиками и ИТ-администраторами для просмотра информации о содержимом сертификатов на устройствах.

Certutil.exe — это программа командной строки, установленная в составе служб сертификатов. Вы можете использовать certutil.exe для отображения сведений о конфигурации центра сертификации, настройки служб сертификатов и резервного копирования и восстановления компонентов ЦС. Программа также проверяет сертификаты, пары ключей и цепочки сертификатов.

Если certutil он запущен на центре сертификации без других параметров, он отображает текущую конфигурацию центра сертификации. Если certutil команда выполняется в центре, не являющемся центром сертификации, без других параметров, команда по умолчанию выполняет certutil -dump эту команду. Не все версии certutil предоставляют все параметры и опции, описанные в этом документе. Вы можете просмотреть варианты, предоставляемые вашей версией certutil, выполнив команду или certutil -?certutil <parameter> -?.

Tip

Чтобы увидеть полную справку по всем глаголам и параметрам certutil, включая те, которые скрыты от аргумента -? , выполните certutil -v -uSAGE. Переключатель uSAGE чувствителен к регистру.

Parameters

-dump

Выгружает информацию о конфигурации или файлы.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Выгружает структуру PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Анализирует и отображает содержимое файла с помощью синтаксиса абстрактной синтаксической нотации (ASN.1). Типы файлов включают . CER, . Файлы в формате DER и PKCS #7.

certutil [options] -asn File [type]

[type]: числовой тип декодирования CRYPT_STRING_*

-decodehex

Декодирует файл в шестнадцатеричной кодировке.

certutil [options] -decodehex InFile OutFile [type]

[type]: числовой тип декодирования CRYPT_STRING_*

Options:

[-f]

-encodehex

Кодирует файл в шестнадцатеричном формате.

certutil [options] -encodehex InFile OutFile [type]

[type]: числовой тип кодировки CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Декодирует файл, закодированный в Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Кодирует файл в Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Отклоняет ожидающий запроса.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Повторно отправляет ожидающий запроса.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Задает атрибуты для ожидающего запроса сертификата.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId is the numeric Request ID for the pending request.
AttributeString is the request attribute name and value pairs.

Options:

[-config Machine\CAName]

Remarks

Имена и значения должны быть разделены двоеточием, в то время как несколько имен и пар значений должны быть разделены новой строкой. Например: CertificateTemplate:User\nEMail:User@Domain.com где последовательность \n преобразуется в разделитель новой строки.

-setextension

Установите расширение для ожидающего запроса сертификата.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID is the numeric Request ID for the pending request.
ExtensionName is the ObjectId string for the extension.
Flags sets the priority of the extension. 0 рекомендуется, в то время как 1 для расширения устанавливается значение "Критический", 2 отключается расширение и 3 выполняется и то, и другое.

Options:

[-config Machine\CAName]

Remarks

If the last parameter is numeric, it's taken as a Long.
If the last parameter can be parsed as a date, it's taken as a Date.
Если последний параметр начинается с \@, остальная часть токена принимается в качестве имени файла с двоичными данными или шестнадцатеричного дампа ASCII-текста.
Если последний параметр является чем-то другим, он принимается как строка.

-revoke

Отзывает сертификат.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber is a comma-separated list of certificate serial numbers to revoke.
Reason is the numeric or symbolic representation of the revocation reason, including:
- 0. CRL_REASON_UNSPECIFIED - Unspecified (default)
- 1. CRL_REASON_KEY_COMPROMISE - Key compromise
- 2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise
- 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed
- 4. CRL_REASON_SUPERSEDED - Superseded
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation
- 6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold
- 8. CRL_REASON_REMOVE_FROM_CRL - Remove from CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege withdrawn
- 10: CRL_REASON_AA_COMPROMISE - AA compromise
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Отображает распоряжение текущим сертификатом.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Получает строку конфигурации по умолчанию.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Получает строку конфигурации по умолчанию через ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Получает конфигурацию через ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Попытки связаться с интерфейсом запроса служб сертификации Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList is a comma-separated list of CA machine names. Для одной машины используйте запятую в конце. Этот параметр также отображает стоимость сайта для каждой машины CA.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Попытки связаться с интерфейсом администратора служб сертификации Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Отображает информацию о центре сертификации.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName indicates the CA property to display, based on the following infoname argument syntax:
- * - Отображает все свойства
- ads - Advanced Server
- aia [Index] - AIA URLs
- cdp [Index] - CDP URLs
- cert [Index] - CA cert
- certchain [Index] - CA cert chain
- certcount - CA cert count
- certcrlchain [Index] - CA cert chain with CRLs
- certstate [Index] - CA cert
- certstatuscode [Index] - CA cert verify status
- certversion [Index] - CA cert version
- CRL [Index] - Base CRL
- crlstate [Index] - CRL
- crlstatus [Index] - CRL Publish Status
- cross- [Index] - Backward cross cert
- cross+ [Index] - Forward cross cert
- crossstate- [Index] - Backward cross cert
- crossstate+ [Index] - Forward cross cert
- deltacrl [Index] - Delta CRL
- deltacrlstatus [Index] - Delta CRL Publish Status
- dns - DNS Name
- dsname - Sanitized CA short name (DS name)
- error1 ErrorCode - Error message text
- error2 ErrorCode - Error message text and error code
- exit [Index] - Exit module description
- exitcount - Exit module count
- file - File version
- info - CA info
- kra [Index] - KRA cert
- kracount - KRA cert count
- krastate [Index] - KRA cert
- kraused - KRA cert used count
- localename - CA locale name
- name - CA name
- ocsp [Index] - OCSP URLs
- parent - Parent CA
- policy - Policy module description
- product - Product version
- propidmax - Maximum CA PropId
- role - Role Separation
- sanitizedname - Sanitized CA name
- sharedfolder - Shared folder
- subjecttemplateoids - Subject Template OIDs
- templates - Templates
- type - CA type
- xchg [Index] - CA exchange cert
- xchgchain [Index] - CA exchange cert chain
- xchgcount - CA exchange cert count
- xchgcrlchain [Index] - CA exchange cert chain with CRLs
index is the optional zero-based property index.
errorcode is the numeric error code.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Отображает информацию о типе свойства CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Извлекает сертификат для центра сертификации.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile is the output file.
Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Извлекает цепочку сертификатов для центра сертификации.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile is the output file.
Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Получает список отзыва сертификатов (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Index is the CRL index or key index (defaults to CRL for most recent key).
delta is the delta CRL (default is base CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Публикует новые списки отзыва сертификатов (CRL) или разностные списки отзыва сертификатов.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh is the new CRL validity period in days and hours.
republish republishes the most recent CRLs.
delta publishes the delta CRLs only (default is base and delta CRLs).

Options:

[-split] [-config Machine\CAName]

-shutdown

Завершает работу служб сертификации Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Устанавливает сертификат центра сертификации.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Продлевает срок действия сертификата центра сертификации.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Используется -f для игнорирования незавершенного запроса на продление и создания нового запроса.

-schema

Создает дамп схемы для сертификата.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

По умолчанию команда использует таблицу Request and Certificate.
Ext is the extension table.
Attribute is the attribute table.
CRL is the CRL table.

Options:

[-split] [-config Machine\CAName]

-view

Выгружает представление сертификата.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Queue dumps a specific request queue.
Log dumps the issued or revoked certificates, plus any failed requests.
LogFail dumps the failed requests.
Revoked dumps the revoked certificates.
Ext dumps the extension table.
Attrib dumps the attribute table.
CRL dumps the CRL table.
csv provides the output using comma-separated values.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

To display the StatusCode column for all entries, type -out StatusCode
Чтобы отобразить все столбцы для последней записи, введите: -restrict RequestId==$
To display the RequestId and Disposition for three requests, type: -restrict requestID>=37,requestID<40 -out requestID,disposition
To display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Чтобы отобразить базовый CRL номер 3, введите: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Чтобы отобразить всю таблицу списков отзыва сертификатов, введите: CRL
Используйте Date[+|-dd:hh] для ограничения по дате.
Используется now+dd:hh для обозначения даты относительно текущего времени.
Шаблоны содержат расширенные варианты использования ключей (EKU), которые представляют собой идентификаторы объектов (OID), описывающие способ использования сертификата. Сертификаты не всегда содержат общие имена шаблонов или отображаемые имена, но они всегда содержат шаблоны EKU. Вы можете извлечь EKU для определенного шаблона сертификата из Active Directory, а затем ограничить представления на основе этого расширения.

-db

Выгружает необработанную базу данных.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Удаляет строку из базы данных сервера.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

Request deletes the failed and pending requests, based on submission date.
Cert deletes the expired and revoked certificates, based on expiration date.
Ext deletes the extension table.
Attrib deletes the attribute table.
CRL deletes the CRL table.

Options:

[-f] [-config Machine\CAName]

Examples

Чтобы удалить невыполненные и ожидающие запроса, отправленные 22 января 2001 г., введите: 1/22/2001 request
Чтобы удалить все сертификаты, срок действия которых истек до 22 января 2001 г., введите: 1/22/2001 cert
Чтобы удалить строку сертификата, атрибуты и расширения для RequestID 37, введите: 37
Чтобы удалить списки отзыва сертификатов, срок действия которых истек 22 января 2001 г., введите: 1/22/2001 crl

Note

Date expects the format mm/dd/yyyy rather than dd/mm/yyyy, for example 1/22/2001 rather than 22/1/2001 for January 22, 2001. If your server isn't configured with US regional settings, using the Date argument might produce unexpected results.

-backup

Резервное копирование служб сертификации Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory is the directory to store the backed up data.
Incremental performs an incremental backup only (default is full backup).
KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Резервное копирование базы данных служб сертификации Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory is the directory to store the backed up database files.
Incremental performs an incremental backup only (default is full backup).
KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName]

-backupkey

Резервное копирование сертификата и закрытого ключа служб сертификации Active Directory.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory is the directory to store the backed up PFX file.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Восстанавливает службы сертификации Active Directory.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory is the directory containing the data to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Восстанавливает базу данных служб сертификации Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory is the directory containing the database files to be restored.

Options:

[-f] [-config Machine\CAName]

-restorekey

Восстанавливает сертификат и закрытый ключ служб сертификации Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory is the directory containing PFX file to be restored.
PFXFile is the PFX file to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Экспортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName is the name of the certificate store.
CertId is the certificate or CRL match token.
PFXFile is the PFX file to be exported.
Modifiers are the comma-separated list, which can include one or more of the following:
- CryptoAlgorithm= specifies the cryptographic algorithm to use for encrypting the PFX file, such as TripleDES-Sha1 or Aes256-Sha256.
- EncryptCert - Encrypts the private key associated with the certificate with a password.
- ExportParameters -Exports the private key parameters in addition to the certificate and private key.
- ExtendedProperties - Includes all extended properties associated with the certificate in the output file.
- NoEncryptCert - Exports the private key without encrypting it.
- NoChain - Doesn't import the certificate chain.
- NoRoot - Doesn't import the root certificate.

-importPFX

Импортирует сертификаты и закрытые ключи. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName is the name of the certificate store.
PFXFile is the PFX file to be imported.
Modifiers are the comma-separated list, which can include one or more of the following:
- AT_KEYEXCHANGE - Changes the keyspec to key exchange.
- AT_SIGNATURE - Changes the keyspec to signature.
- ExportEncrypted - Exports the private key associated with the certificate with password encryption.
- FriendlyName= - Specifies a friendly name for the imported certificate.
- KeyDescription= - Specifies a description for the private key associated with the imported certificate.
- KeyFriendlyName= - Specifies a friendly name for the private key associated with the imported certificate.
- NoCert - Doesn't import the certificate.
- NoChain - Doesn't import the certificate chain.
- NoExport - Makes the private key non-exportable.
- NoProtect - Doesn't password protect keys by using a password.
- NoRoot - Doesn't import the root certificate.
- Pkcs8 - Uses PKCS8 format for the private key in the PFX file.
- Protect - Protects keys by using a password.
- ProtectHigh - Specifies that a high-security password must be associated with the private key.
- VSM - Stores the private key associated with the imported certificate in the Virtual Smart Card (VSC) container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

По умолчанию используется персональное хранилище машин.

-dynamicfilelist

Отображает динамический список файлов.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Отображает местоположения базы данных.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Создает и отображает криптографический хэш над файлом.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Создает дамп хранилища сертификатов.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName is the certificate store name. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId is the certificate or CRL match token. Этот идентификатор может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из этих идентификаторов могут привести к нескольким совпадениям.

OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Проблемы с производительностью наблюдаются при использовании параметра -store с учетом этих двух аспектов:

Когда количество сертификатов в магазине превышает 10.
When a CertId is specified, it's used to match all the listed types for every certificate. For example, if a serial number is provided, it will also attempt to match all other listed types.

Если вас беспокоят проблемы с производительностью, рекомендуется использовать команды PowerShell, если они будут соответствовать только указанному типу сертификата.

-enumstore

Перечисляет хранилища сертификатов.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName is the remote machine name.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Добавляет сертификат в магазин. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName is the certificate store name.
InFile is the certificate or CRL file you want to add to the store.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Удаляет сертификат из магазина. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName is the certificate store name.
CertId is the certificate or CRL match token.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Проверяет сертификат в магазине. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName is the certificate store name.
CertId is the certificate or CRL match token.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Восстанавливает свойства сертификата связи ключей или обновления или дескриптор безопасности ключа. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName is the certificate store name.
CertIdList is the comma-separated list of certificate or CRL match tokens. Дополнительные сведения см. в описании -store CertId в этой статье.

PropertyInfFile is the INF file containing external properties, including:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Выгружает хранилище сертификатов. Дополнительные сведения см. в параметре -store в этой статье.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName is the certificate store name. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId is the certificate or CRL match token. Это может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Удаляет сертификат из магазина.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName is the certificate store name. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId is the certificate or CRL match token. Это может быть:
- Serial number
- SHA-1 certificate
- CRL, CTL или хэш с открытым ключом
- Индекс числового сертификата (0, 1 и т. д.)
- Числовой индекс CRL (.0, .1 и т. д.)
- Числовой индекс CTL (.. 0, .. 1, и так далее)
- Public key
- Подпись или расширение ObjectId
- Общее имя предмета сертификата
- E-mail address
- Имя участника-пользователя или DNS-имя
- Имя контейнера ключей или имя CSP
- Имя шаблона или ObjectId
- EKU или политики приложений ObjectId
- Общее имя эмитента CRL.

Многие из них могут привести к нескольким совпадениям.

OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

Этот -user параметр позволяет получить доступ к пользовательскому хранилищу, а не к компьютерному хранилищу.
Этот -enterprise параметр позволяет получить доступ к корпоративному хранилищу компьютеров.
Этот -service параметр позволяет получить доступ к хранилищу оборудования для обслуживания.
Этот -grouppolicy параметр обеспечивает доступ к хранилищу групповых политик компьютера.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

Вызывает интерфейс certutil.

certutil [options] -UI File [import]

-TPMInfo

Отображает информацию о модуле доверенной платформы.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Указывает, что файл запроса сертификата должен быть заверен.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Выбор сертификата из пользовательского интерфейса выбора.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Отображает различающиеся имена (DN) службы каталогов (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Удаляет доменные домены DN.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Публикует сертификат или список отзыва сертификатов (CRL) в Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile is the name of the certificate file to publish.
NTAuthCA publishes the certificate to the DS Enterprise store.
RootCA publishes the certificate to the DS Trusted Root store.
SubCA publishes the CA certificate to the DS CA object.
CrossCA publishes the cross-certificate to the DS CA object.
KRA publishes the certificate to the DS Key Recovery Agent object.
User publishes the certificate to the User DS object.
Machine publishes the certificate to the Machine DS object.
CRLfile is the name of the CRL file to publish.
DSCDPContainer is the DS CDP container CN, usually the CA machine name.
DSCDPCN is the DS CDP object CN based on the sanitized CA short name and key index.

Options:

[-f] [-user] [-dc DCName]

Используется -f для создания нового объекта DS.

-dsCert

Отображает сертификаты DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Отображает списки отзыва сертификатов DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Отображает дельта-списки отзыва сертификатов DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Отображает атрибуты шаблона DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Добавляет шаблоны DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Отображает шаблоны Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Отображает шаблоны политик подачи заявок на сертификаты.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Отображает центры сертификации (ЦС) для шаблона сертификата.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Отображает шаблоны для центра сертификации.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Задает шаблоны сертификатов, которые может выдавать центр сертификации.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

Знак + добавляет шаблоны сертификатов в список доступных шаблонов ЦС.
Знак - удаляет шаблоны сертификатов из списка доступных шаблонов ЦС.

-SetCASites

Управление именами сайтов, включая настройку, проверку и удаление имен сайтов центра сертификации.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

SiteName is allowed only when targeting a single Certificate Authority.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

Этот -config параметр предназначен для одного центра сертификации (по умолчанию — все центры сертификации).
The -f option can be used to override validation errors for the specified SiteName or to delete all CA site names.

Note

Дополнительные сведения о настройке центров сертификации для осведомленности о сайте доменных служб Active Directory (AD DS) см. в статье Осведомленность о сайте AD DS для клиентов AD CS и PKI.

-enrollmentServerURL

Отображает, добавляет или удаляет URL-адреса сервера регистрации, связанные с центром сертификации.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType specifies one of the following client authentication methods while adding a URL:
- Kerberos - Use Kerberos SSL credentials.
- UserName - Use a named account for SSL credentials.
- ClientCertificate - Use X.509 Certificate SSL credentials.
- Anonymous - Use anonymous SSL credentials.
delete deletes the specified URL associated with the CA.
Priority defaults to 1 if not specified when adding a URL.
Modifiers is a comma-separated list, which includes one or more of the following:
- AllowRenewalsOnly only renewal requests can be submitted to this CA via this URL.
- AllowKeyBasedRenewal allows use of a certificate that has no associated account in the AD. This applies only with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Отображает центры сертификации Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Отображает политику подачи заявок Центры сертификации.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Отображает политику зачисления.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Отображает или удаляет записи кэша политики регистрации.

certutil [options] -PolicyCache [delete]

Where:

delete deletes the policy server cache entries.
-f deletes all cache entries

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Отображает, добавляет или удаляет записи хранилища учетных данных.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL is the target URL. Вы также можете использовать * для сопоставления всех записей или https://machine* для сопоставления префикса URL.
add adds a credential store entry. Использование этого варианта также требует использования учетных данных SSL.
delete deletes credential store entries.
-f overwrites a single entry or deletes multiple entries.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Устанавливает шаблоны сертификатов по умолчанию.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Проверяет URL-адреса сертификатов или списков отзыва сертификатов.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Отображает или удаляет записи кэша URL-адресов.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

URL is the cached URL.
CRL runs on all cached CRL URLs only.
* работает со всеми кэшированными URL.
delete deletes relevant URLs from the current user's local cache.
-f forces fetching a specific URL and updating the cache.

Options:

[-f] [-split]

-pulse

Мигает событие автоматической регистрации или задачу NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName is the task to trigger.
- Pregen is the NGC Key pregen task.
- AIKEnroll is the NGC AIK certificate enrollment task. (По умолчанию используется событие автоматической регистрации.)
SRKThumbprint is the thumbprint of the Storage Root Key
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Отображает информацию об объекте компьютера Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Отображает информацию о контроллере домена. По умолчанию сертификаты контроллера домена отображаются без проверки.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. Изменения в поведении этой команды следующие:

Если домен не указан и не указан конкретный контроллер домена, этот параметр возвращает список контроллеров домена для обработки с контроллера домена по умолчанию.
Если домен не указан, но указан контроллер домена, создается отчет о сертификатах на указанном контроллере домена.
Если домен указан, но контроллер домена не указан, создается список контроллеров домена вместе с отчетами о сертификатах для каждого контроллера домена в списке.
Если домен и контроллер домена указаны, список контроллеров домена создается из целевого контроллера домена. Также создается отчет о сертификатах для каждого контроллера домена в списке.

Например, предположим, что существует домен с именем CPANDL и контроллером домена с именем CPANDL-DC1. Для получения списка контроллеров домена и их сертификатов из CPANDL-DC1 можно выполнить следующую команду: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Отображает информацию о корпоративном центре сертификации.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Отображает информацию о центре сертификации.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Отображает информацию о смарт-карте.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET deletes all keys on the smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Управление корневыми сертификатами смарт-карт.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Список ключей, хранящихся в контейнере ключей.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName is the key container name for the key to verify. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
Использование - знака относится к использованию контейнера ключей по умолчанию.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Удаляет именованный контейнер ключей.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Удаляет контейнер Windows Hello, удаляя все связанные учетные данные, хранящиеся на устройстве, включая все учетные данные WebAuthn и FIDO.

Пользователям необходимо выйти из системы после использования этого параметра, чтобы завершить работу.

certutil [options] -DeleteHelloContainer

-verifykeys

Проверяет набор открытых или закрытых ключей.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName is the key container name for the key to verify. По умолчанию для этого параметра используются компьютерные ключи. Чтобы переключиться на ключи пользователей, используйте -user.
CACertFile signs or encrypts certificate files.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Если аргументы не указаны, каждый подписывающий сертификат ЦС проверяется на соответствие его закрытому ключу.
Эта операция может быть выполнена только в отношении локального центра сертификации или локальных ключей.

-verify

Проверяет сертификат, список отзыва сертификатов (CRL) или цепочку сертификатов.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile is the name of the certificate to verify.
ApplicationPolicyList is the optional comma-separated list of required Application Policy ObjectIds.
IssuancePolicyList is the optional comma-separated list of required Issuance Policy ObjectIds.
CACertFile is the optional issuing CA certificate to verify against.
CrossedCACertFile is the optional certificate cross-certified by CertFile.
CRLFile is the CRL file used to verify the CACertFile.
IssuedCertFile is the optional issued certificate covered by the CRLfile.
DeltaCRLFile is the optional delta CRL file.
Modifiers:
- Strong - Строгая проверка подписи
- MSRoot — необходимо выполнить привязку к корневому каталогу Майкрософт
- MSTestRoot — необходимо выполнить привязку к тестовому корню Microsoft
- AppRoot — должен быть связан с корневым каталогом приложения Майкрософт
- EV - Применение политики расширенной проверки

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

Using ApplicationPolicyList restricts chain building to only chains valid for the specified Application Policies.
Using IssuancePolicyList restricts chain building to only chains valid for the specified Issuance Policies.
Using CACertFile verifies the fields in the file against CertFile or CRLfile.
If CACertFile isn't specified, the full chain is built and verified against CertFile.
If CACertFile and CrossedCACertFile are both specified, the fields in both files are verified against CertFile.
Using IssuedCertFile verifies the fields in the file against CRLfile.
Using DeltaCRLFile verifies the fields in the file against CertFile.

-verifyCTL

Проверяет CTL AuthRoot или Disallowed Certificates.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject identifies the CTL to verify, including:
- AuthRootWU reads the AuthRoot CAB and matching certificates from the URL cache. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- DisallowedWU reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. Вместо этого используйте -f для загрузки из Центра обновления Windows.
  - PinRulesWU reads the PinRules CAB from the URL cache. Вместо этого используйте -f для загрузки из Центра обновления Windows.
- AuthRoot reads the registry-cached AuthRoot CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
- Disallowed reads the registry-cached Disallowed Certificates CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
  - PinRules reads the registry cached PinRules CTL. Using -f has the same behavior as with PinRulesWU.
- CTLFileName specifies the file or http path to the CTL or CAB file.
CertDir specifies the folder containing certificates matching the CTL entries. Defaults to the same folder or website as the CTLobject. Для использования пути к папке http требуется разделитель путей в конце. If you don't specify AuthRoot or Disallowed, multiple locations are searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. При необходимости используйте -f для загрузки из Центра обновления Windows.
CertFile specifies the certificate(s) to verify. Сертификаты сопоставляются с записями CTL, отображая результаты. Этот параметр подавляет большую часть вывода по умолчанию.

Options:

[-f] [-user] [-split]

-syncWithWU

Синхронизирует сертификаты с Центром обновления Windows.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir is the specified directory.
f forces an overwrite.
Unicode writes redirected output in Unicode.
gmt displays times as GMT.
seconds displays times with seconds and milliseconds.
v is a verbose operation.
PIN is the Smart Card PIN.
WELL_KNOWN_SID_TYPE is a numeric SID:
- 22 - Локальная система
- 23 - Местное сообщение
- 24 - Сетевое обслуживание

Remarks

Следующие файлы загружаются с помощью механизма автоматического обновления:

authrootstl.cab contains the CTLs of non-Microsoft root certificates.
disallowedcertstl.cab contains the CTLs of untrusted certificates.
disallowedcert.sst contains the serialized certificate store, including the untrusted certificates.
thumbprint.crt contains the non-Microsoft root certificates.

Например: certutil -syncWithWU \\server1\PKI\CTLs.

Если вы используете несуществующий локальный путь или папку в качестве целевой папки, вы увидите ошибку: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Если вы используете несуществующее или недоступное сетевое расположение в качестве целевой папки, вы увидите сообщение об ошибке: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Если серверу не удается подключиться через TCP-порт 80 к серверам автоматического обновления Майкрософт, возникает следующая ошибка: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Если ваш сервер не может связаться с серверами автоматического обновления Майкрософт с DNS-именем ctldl.windowsupdate.com, вы получите следующую ошибку: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Если вы не используете -f переключатель и какой-либо из файлов CTL уже существует в каталоге, вы получите сообщение об ошибке "Файл существует": certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Если в доверенных корневых сертификатах произошли изменения, вы увидите: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Создает файл хранилища, который синхронизируется с Центром обновления Windows.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile is the .sst file to be generated that contains the Third Party Roots downloaded from Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Создает файл списка доверия сертификатов (CTL), содержащий список правил закрепления.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile is the input XML file to be parsed.
CTLFile is the output CTL file to be generated.
SSTFile is the optional .sst file to be created that contains all of the certificates used for pinning.
QueryFilesPrefix are optional Domains.csv and Keys.csv files to be created for database query.
- The QueryFilesPrefix string is prepended to each created file.
- The Domains.csv file contains rule name, domain rows.
- The Keys.csv file contains rule name, key SHA256 thumbprint rows.

Options:

[-f]

-downloadOcsp

Загружает ответы OCSP и записывает их в каталог.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir is the directory of a certificate, store and PFX files.
OcspDir is the directory to write OCSP responses.
ThreadCount is the optional maximum number of threads for concurrent downloading. Default is 10.
Modifiers are comma separated list of one or more of the following:
- DownloadOnce - Downloads once and exits.
- ReadOcsp - Reads from OcspDir instead of writing.

-generateHpkpHeader

Создает заголовок HPKP с использованием сертификатов в указанном файле или каталоге.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir is the file or directory of certificates, which is the source of pin-sha256.
MaxAge is the max-age value in seconds.
ReportUri is the optional report-uri.
Modifiers are comma separated list of one or more of the following:
- includeSubDomains - Appends the includeSubDomains.

-flushCache

Сбрасывает указанные кэши в выбранном процессе, например, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId is the numeric ID of a process to flush. Set to 0 to flush all processes where flush is enabled.
CacheMask is the bit mask of caches to be flushed either numeric or the following bits:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Modifiers are comma separated list of one or more of the following:
- Show - Shows the caches being flushed. Certutil должен быть прекращен в явном виде.

-addEccCurve

Добавляет кривую ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass is the ECC Curve Class type:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName is the ECC Curve name.
CurveParameters are one of the following:
- Имя файла сертификата, содержащее параметры в кодировке ASN.
- Файл, содержащий параметры в кодировке ASN.
CurveOID is the ECC Curve OID and is one of the following:
- Имя файла сертификата, содержащее OID в кодировке ASN.
- Явный OID кривой ECC.
CurveType is the Schannel ECC NamedCurve point (numeric).

Options:

[-f]

-deleteEccCurve

Удаляет кривую ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName is the ECC Curve name.
CurveOID is the ECC Curve OID.

Options:

[-f]

-displayEccCurve

Отображение кривой ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName is the ECC Curve name.
CurveOID is the ECC Curve OID.

Options:

[-f]

-csplist

Список поставщиков служб шифрования (CSP), установленных на данном компьютере для выполнения криптографических операций.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Проверяет операторов связи, установленных на данном компьютере.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Отображает криптографическую конфигурацию CNG на данном аппарате.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Повторно подписывает список отзыва сертификатов (CRL) или сертификат.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList is the comma-separated list of certificate or CRL files to modify and re-sign.
SerialNumber is the serial number of the certificate to create. Срок действия и другие опции отсутствовать не могут.
CRL creates an empty CRL. Срок действия и другие опции отсутствовать не могут.
OutFileList is the comma-separated list of modified certificate or CRL output files. Количество файлов должно совпадать с infilelist.
StartDate+dd:hh is the new validity period for the certificate or CRL files, including:
- Опциональная дата плюс
- необязательный срок действия дней и часов Если используется несколько полей, используйте разделитель (+) или (-). Используйте now[+dd:hh] для запуска в текущее время. Используйте now-dd:hh+dd:hh для начала с фиксированным смещением от текущего времени и фиксированным сроком действия. Используйте never без даты истечения срока действия (только для списков отзыва сертификатов).
SerialNumberList is the comma-separated serial number list of the files to add or remove.
ObjectIdList is the comma-separated extension ObjectId list of the files to remove.

@ExtensionFile is the INF file that contains the extensions to update or remove. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm is the name of the hash algorithm. Это должен быть только текст, которому # предшествует знак.
AlternateSignatureAlgorithm is the alternate signature algorithm specifier.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

Использование знака минус (-) удаляет серийные номера и добавочные номера.
Использование знака «плюс» (+) добавляет серийные номера в список отзыва сертификатов.
You can use a list to remove both serial numbers and ObjectIds from a CRL at the same time.
Using the minus sign before AlternateSignatureAlgorithm allows you to use the legacy signature format.
Использование знака плюс позволяет использовать альтернативный формат подписи.
If you don't specify AlternateSignatureAlgorithm, the signature format in the certificate or CRL is used.

-vroot

Создает или удаляет виртуальные корневые веб-серверы и общие папки.

certutil [options] -vroot [delete]

-vocsproot

Создает или удаляет виртуальные веб-корни для веб-прокси OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Добавляет приложение сервера регистрации и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
- Kerberos uses Kerberos SSL credentials.
- UserName uses named account for SSL credentials.
- ClientCertificate uses X.509 Certificate SSL credentials.
Modifiers:
- AllowRenewalsOnly allows only renewal request submissions to the Certificate Authority through the URL.
- AllowKeyBasedRenewal allows use of a certificate with no associated account in Active Directory. This applies when used with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Удаляет приложение сервера подачи заявок и пул приложений, если это необходимо для указанного центра сертификации. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
- Kerberos uses Kerberos SSL credentials.
- UserName uses named account for SSL credentials.
- ClientCertificate uses X.509 Certificate SSL credentials.

Options:

[-config Machine\CAName]

-addPolicyServer

При необходимости добавьте приложение сервера политик и пул приложений. Эта команда не устанавливает двоичные файлы или пакеты.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
- Kerberos uses Kerberos SSL credentials.
- UserName uses named account for SSL credentials.
- ClientCertificate uses X.509 Certificate SSL credentials.
KeyBasedRenewal allows use of policies returned to the client containing keybasedrenewal templates. This option applies only for UserName and ClientCertificate authentication.

-deletePolicyServer

При необходимости удаляет приложение сервера политик и пул приложений. Эта команда не удаляет двоичные файлы или пакеты.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
- Kerberos uses Kerberos SSL credentials.
- UserName uses named account for SSL credentials.
- ClientCertificate uses X.509 Certificate SSL credentials.
KeyBasedRenewal allows use of a KeyBasedRenewal policy server.

-Class

Отображает информацию реестра COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Проверяет сертификат на 0x7f длины кодировок.

certutil [options] -7f CertFile

-oid

Отображает идентификатор объекта или задает отображаемое имя.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId is the ID to be displayed or to add to the display name.
GroupId is the GroupID number (decimal) that ObjectIds enumerate.
AlgId is the hexadecimal ID that objectID looks up.
AlgorithmName is the algorithm name that objectID looks up.
DisplayName displays the name to store in DS.
Delete deletes the display name.
LanguageId is the language ID value (defaults to current: 1033).
Type is the type of DS object to create, including:
- 1 - Шаблон (по умолчанию)
- 2 - Политика выпуска
- 3 - Политика применения
-f создает объект DS.

Options:

[-f]

-error

Отображает текст сообщения, связанный с кодом ошибки.

certutil [options] -error ErrorCode

-getsmtpinfo

Получает информацию по протоколу SMTP.

certutil [options] -getsmtpinfo

-setsmtpinfo

Устанавливает информацию SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Отображает значение реестра.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca uses a Certificate Authority's registry key.
restore uses Certificate Authority's restore registry key.
policy uses the policy module's registry key.
exit uses the first exit module's registry key.
template uses the template registry key (use -user for user templates).
enroll uses the enrollment registry key (use -user for user context).
chain uses the chain configuration registry key.
PolicyServers uses the Policy Servers registry key.
ProgId uses the policy or exit module's ProgID (registry subkey name).
RegistryValueName uses the registry value name (use Name* to prefix match).
value uses the new numeric, string, or date registry value or filename. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Registry aliases:
- Config
- CA
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-setreg

Задает значение реестра.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca uses a Certificate Authority's registry key.
restore uses Certificate Authority's restore registry key.
policy uses the policy module's registry key.
exit uses the first exit module's registry key.
template uses the template registry key (use -user for user templates).
enroll uses the enrollment registry key (use -user for user context).
chain uses the chain configuration registry key.
PolicyServers uses the Policy Servers registry key.
ProgId uses the policy or exit module's ProgID (registry subkey name).
RegistryValueName uses the registry value name (use Name* to prefix match).
Value uses the new numeric, string, or date registry value or filename. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.

-delreg

Удаляет значение реестра.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca uses a Certificate Authority's registry key.
restore uses Certificate Authority's restore registry key.
policy uses the policy module's registry key.
exit uses the first exit module's registry key.
template uses the template registry key (use -user for user templates).
enroll uses the enrollment registry key (use -user for user context).
chain uses the chain configuration registry key.
PolicyServers uses the Policy Servers registry key.
ProgId uses the policy or exit module's ProgID (registry subkey name).
RegistryValueName uses the registry value name (use Name* to prefix match).
Value uses the new numeric, string or date registry value or filename. Если числовое значение начинается с + или -, биты, указанные в новом значении, устанавливаются или удаляются в существующем значении реестра.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Если строковое значение начинается с + или -, а существующее значение является значением REG_MULTI_SZ , строка добавляется к существующему значению реестра или удаляется из него. Чтобы принудительно REG_MULTI_SZ создать значение, добавьте \n его в конец строкового значения.
Если значение начинается с \@, то оставшаяся часть значения является именем файла, содержащего шестнадцатеричное текстовое представление двоичного значения.
Если он не ссылается на действительный файл, он вместо этого анализируется как [Date][+|-][dd:hh] необязательная дата плюс или минус необязательные дни и часы.
Если указаны оба варианта, используйте разделитель со знаком плюс (+) или знаком минус (-). Используется now+dd:hh для обозначения даты относительно текущего времени.
Используется i64 в качестве суффикса для создания значения REG_QWORD.
Используется chain\chaincacheresyncfiletime @now для эффективной очистки кэшированных списков отзыва сертификатов.
Registry aliases:
- Config
- CA
- Политика — PolicyModules
- Exit — ExitModules
- Восстановление - RestoreInProgress
- Шаблон - Software\Microsoft\Cryptography\CertificateTemplateCache
- Регистрация - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Программное обеспечение\Microsoft\Криптография\MSCEP
- Цепочка - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers — Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 — System\CurrentControlSet\Services\crypt32
- NGC — System\CurrentControlSet\Control\Cryptography\Ngc
- Автообновление - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Программное обеспечение\Policies\Microsoft\PassportForWork
- MDM - Программное обеспечение\Microsoft\Policies\PassportForWork

-importKMS

Импортирует ключи пользователей и сертификаты в базу данных сервера для архивирования ключей.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile is a data file with user private keys and certificates that are to be archived. Этот файл может быть:
- Файл экспорта сервера управления ключами Exchange (KMS).
- Файл PFX.
CertId is a KMS export file decryption certificate match token. Дополнительные сведения см. в параметре -store в этой статье.
-f импортные сертификаты, не выданные Центром сертификации.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Импортирует файл сертификата в базу данных.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow imports the certificate in place of a pending request for the same key.
-f импортные сертификаты, не выданные Центром сертификации.

Options:

[-f] [-config Machine\CAName]

Remarks

Кроме того, может потребоваться настроить центр сертификации для поддержки иностранных сертификатов с помощью команды certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Извлекает архивный большой двоичный объект для восстановления закрытого ключа, создает скрипт восстановления или восстанавливает архивные ключи.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file isn't specified).
retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). При использовании этого параметра усекается любое расширение и добавляется строка, относящаяся к сертификату, и .rec расширение для каждого большого двоичного объекта восстановления ключа. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). Использование этой опции усекает любое расширение и добавляет расширение .p12 . Каждый файл содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.
SearchToken selects the keys and certificates to be recovered, including:
- Общее имя сертификата
- Серийный номер сертификата
- Сертификат хеша SHA-1 (отпечаток пальца)
- Идентификатор ключа сертификата SHA-1 hash (идентификатор ключа субъекта)
- Имя запрашивающего (домен\пользователь)
- UPN (user@domain)
RecoveryBlobOutFile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.
OutputScriptFile outputs a file with a batch script to retrieve and recover private keys.
OutputFileBaseName outputs a file base name.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

For retrieve, any extension is truncated and a certificate-specific string and the .rec extensions are appended for each key recovery blob. Каждый файл содержит цепочку сертификатов и связанный с ней закрытый ключ, зашифрованный до одного или нескольких сертификатов агента восстановления ключей.
For recover, any extension is truncated and the .p12 extension is appended. Содержит восстановленные цепочки сертификатов и связанные с ними закрытые ключи, хранящиеся в виде файла PFX.

-RecoverKey

Восстанавливает архивированный закрытый ключ.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Объединяет файлы PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList is a comma-separated list of PFX input files.
PFXOutFile is the name of the PFX output file.
Modifiers are comma separated lists of one or more of the following:
- ExtendedProperties includes any extended properties.
- NoEncryptCert specifies to not encrypt the certificates.
- EncryptCert specifies to encrypt the certificates.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Пароль, указанный в командной строке, должен быть списком паролей, разделенных запятыми.
Если указано более одного пароля, то для выходного файла используется последний пароль. Если указан только один пароль или если последний пароль — *, пользователю будет предложено ввести пароль выходного файла.

-add-chain

Добавляет цепочку сертификатов.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Добавляет цепочку предварительных сертификатов.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Получает подписанную голову дерева.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Получает подписанные изменения заголовка дерева.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Получает доказательство хэша от сервера временных меток.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Извлекает записи из журнала событий.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Извлекает корневые сертификаты из хранилища сертификатов.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Извлекает запись в журнале событий и ее криптографическое доказательство.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Сверяет сертификат с журналом прозрачности сертификатов.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Отображает список параметров.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? отображает список параметров
-<name_of_parameter> -? отображает содержимое справки для указанного параметра.
-? -v Отображает подробный список параметров и опций.

Options

В этом разделе определены все параметры, которые вы можете указать в зависимости от команды. Каждый параметр включает информацию о том, какие опции допустимы для использования.

Option	Description
-admin	Используйте ICertAdmin2 для свойств ЦС.
-anonymous	Используйте анонимные учетные данные SSL.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	Используйте учетные данные SSL сертификата X.509. Для пользовательского интерфейса выбора используйте `-clientcertificate`.
-config Machine\CAName	Строка центра сертификации и имени компьютера.
-csp provider	Provider: KSP - Microsoft Software Key Storage Provider TPM - Microsoft Platform Crypto Provider NGC - Microsoft Passport Key Storage Provider SC - Microsoft Smart Card Key Storage Provider
-dc DCName	Нацельтесь на определенный контроллер домена.
-enterprise	Используйте локальное хранилище сертификатов реестра предприятия.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Создайте SST с помощью механизма автоматического обновления.
-gmt	Отображение времени с использованием GMT.
-GroupPolicy	Используйте хранилище сертификатов групповой политики.
-idispatch	Используйте IDispatch вместо нативных методов COM.
-kerberos	Используйте учетные данные Kerberos SSL.
-location alternatestoragelocation	`(-loc)` Альтернативное местоположение.
-mt	Отображение шаблонов машин.
-nocr	Кодирование текста без символов CR.
-nocrlf	Кодируйте текст без CR-LF символов.
-nullsign	Используйте хэш данных в качестве подписи.
-oldpfx	Используйте старое шифрование PFX.
-out columnlist	Список столбцов, разделенных запятыми.
-p password	Password
-pin PIN	PIN-код смарт-карты.
-policyserver URLorID	URL или идентификатор сервера политик. Для выбора U/I используйте `-policyserver`. Для всех серверов политик используйте `-policyserver *`
-privatekey	Отображение данных пароля и закрытого ключа.
-protect	Защитите ключи паролем.
-protectto SAMnameandSIDlist	Разделенные запятыми имя SAM/список SID.
-restrict restrictionlist	Список ограничений, разделенных запятыми. Каждое ограничение состоит из имени столбца, реляционного оператора и константы целого числа, строки или даты. Одному названию столбца может предшествовать знак плюс или минус для обозначения порядка сортировки. Например: `requestID = 47`, `+requestername >= a, requestername`, или `-requestername > DOMAIN, Disposition = 21`.
-reverse	Обратные столбцы журнала и очереди.
-seconds	Отображайте время с помощью секунд и миллисекунд.
-service	Используйте хранилище сертификатов службы.
-sid	Numeric SID: 22 - Local System 23 - Local Service 24 - Network Service
-silent	Используйте `silent` флаг для получения контекста крипты.
-split	Разделите встроенные элементы ASN.1 и сохраните их в файлы.
-sslpolicy servername	Политика SSL соответствует ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Имя алгоритма симметричного ключа с необязательной длиной ключа. Пример: `AES,128` или `3DES`.
-syncWithWU DestinationDir	Синхронизация с Центром обновления Windows.
-t timeout	Время ожидания получения URL в миллисекундах.
-Unicode	Запись перенаправленного вывода в Юникоде.
-UnicodeText	Запишите выходной файл в Unicode.
-urlfetch	Получайте и проверяйте сертификаты AIA и списки отзыва сертификатов CDP.
-user	Используйте ключи HKEY_CURRENT_USER или хранилище сертификатов.
-username username	Используйте именованную учетную запись для учетных данных SSL. Для пользовательского интерфейса выбора используйте `-username`.
-ut	Отображение пользовательских шаблонов.
-v	Предоставляйте более подробную (подробную) информацию.
-v1	Используйте интерфейсы V1.

Алгоритмы хеширования: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Дополнительные примеры использования этой команды см. в следующих статьях:

Поделиться через

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA