certutil

Şunlara uygulanır: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

Caution

Certutil herhangi bir üretim kodunda kullanılması önerilmez ve canlı site desteği veya uygulama uyumluluk garantisi sağlamaz. Geliştiriciler ve BT yöneticileri tarafından cihazlardaki sertifika içerik bilgilerini görüntülemek için kullanılan bir araçtır.

Certutil.exe, Sertifika Hizmetleri'nin bir parçası olarak yüklenen bir komut satırı programıdır. Sertifika yetkilisi (CA) yapılandırma bilgilerini görüntülemek, Sertifika Hizmetleri'ni yapılandırmak ve CA bileşenlerini yedeklemek ve geri yüklemek için certutil.exe kullanabilirsiniz. Program ayrıca sertifikaları, anahtar çiftlerini ve sertifika zincirlerini de doğrular.

Başka parametreler olmadan bir sertifika yetkilisinde çalıştırılırsa certutil geçerli sertifika yetkilisi yapılandırmasını görüntüler. Diğer parametreler olmadan sertifika olmayan bir yetkilide çalıştırılırsa certutil , komut varsayılan olarak komutu çalıştırır certutil -dump . certutil'in tüm sürümleri bu belgede açıklanan tüm parametreleri ve seçenekleri sağlamaz. certutil sürümünüzün sağladığı seçenekleri veya certutil -?komutunu çalıştırarak certutil <parameter> -? görebilirsiniz.

Tip

Bağımsız değişkenden gizlenenler de dahil olmak üzere tüm certutil fiilleri ve seçenekleriyle ilgili -? tam yardımı görmek için komutunu çalıştırın certutil -v -uSAGE. Anahtar uSAGE büyük/küçük harfe duyarlıdır.

Parameters

-dump

Yapılandırma bilgilerini veya dosyaları döküm eder.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX yapısının dökümünü alır.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Soyut Söz Dizimi Gösterimi (ASN.1) söz dizimini kullanarak dosyanın içeriğini ayrıştırıp görüntüler. Dosya türleri şunlardır: . CER, . DER ve PKCS #7 biçimlendirilmiş dosyalar.

certutil [options] -asn File [type]

[type]: sayısal CRYPT_STRING_* kod çözme türü

-decodehex

Onaltılık olarak kodlanmış bir dosyanın kodunu çözer.

certutil [options] -decodehex InFile OutFile [type]

[type]: sayısal CRYPT_STRING_* kod çözme türü

Options:

[-f]

-encodehex

Bir dosyayı onaltılık olarak kodlar.

certutil [options] -encodehex InFile OutFile [type]

[type]: sayısal CRYPT_STRING_* kodlama türü

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 ile kodlanmış bir dosyanın kodunu çözer.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Bir dosyayı Base64'e kodlar.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Bekleyen bir isteği reddeder.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Bekleyen bir isteği yeniden gönderin.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Bekleyen sertifika isteğinin özniteliklerini ayarlar.

certutil [options] -setattributes RequestId AttributeString

Where:

RequestId , bekleyen isteğin sayısal İstek Kimliğidir.
AttributeString , istek öznitelik adı ve değer çiftleridir.

Options:

[-config Machine\CAName]

Remarks

Adlar ve değerler iki nokta üst üste ile ayrılmalıdır, birden çok ad ve değer çifti ise yeni satırla ayrılmalıdır. Örneğin: CertificateTemplate:User\nEMail:User@Domain.com sıranın \n yeni satır ayırıcısına dönüştürüldüğü yer.

-setextension

Bekleyen sertifika isteği için bir uzantı ayarlayın.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

requestID , bekleyen istek için sayısal İstek Kimliğidir.
ExtensionName , uzantının ObjectId dizesidir.
Bayraklar , uzantının önceliğini ayarlar. 0 önerilir, ancak 1 uzantıyı kritik olarak ayarlar, 2 uzantıyı devre dışı bırakır ve 3 her ikisini de yapar.

Options:

[-config Machine\CAName]

Remarks

Son parametre sayısal ise, Uzun olarak alınır.
Son parametre tarih olarak ayrıştırılabiliyorsa, Tarih olarak alınır.
Son parametre ile \@başlıyorsa, belirtecin geri kalanı ikili veri veya ASCII metin onaltılık dökümü ile dosya adı olarak alınır.
Son parametre başka bir şeyse Dize olarak alınır.

-revoke

Sertifikayı iptal eder.

certutil [options] -revoke SerialNumber [Reason]

Where:

SerialNumber , iptal edilecek sertifika seri numaralarının virgülle ayrılmış bir listesidir.
Sebep , aşağıdakiler dahil olmak üzere, iptal sebebinin sayısal veya sembolik temsilidir:
- 0. CRL_REASON_UNSPECIFIED - Belirtilmemiş (varsayılan)
- 1. CRL_REASON_KEY_COMPROMISE - Anahtar uzlaşması
- 2. CRL_REASON_CA_COMPROMISE - Sertifika Yetkilisi uzlaşması
- 3. CRL_REASON_AFFILIATION_CHANGED - Üyelik değiştirildi
- 4. CRL_REASON_SUPERSEDED - Yerine Geçti
- 5. CRL_REASON_CESSATION_OF_OPERATION - Operasyonun durdurulması
- 6. CRL_REASON_CERTIFICATE_HOLD - Sertifika sahibi
- 8. CRL_REASON_REMOVE_FROM_CRL - CRL'den Kaldır
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Ayrıcalık geri alındı
- 10: CRL_REASON_AA_COMPROMISE - AA uzlaşması
- -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Geçerli sertifikanın konumunu görüntüler.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Varsayılan yapılandırma dizesini alır.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig aracılığıyla varsayılan yapılandırma dizesini alır.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

ICertConfig aracılığıyla yapılandırmayı alır.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Active Directory Sertifika Hizmetleri İstek arabirimiyle iletişim kurmaya çalışır.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

CAMachineList , CA makine adlarının virgülle ayrılmış bir listesidir. Tek bir makine için sonlandırıcı virgül kullanın. Bu seçenek, her CA makinesi için site maliyetini de görüntüler.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory Sertifika Hizmetleri Yönetici arabirimine başvurmaya çalışır.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Sertifika yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

InfoName, aşağıdaki infoname bağımsız değişken sözdizimine bağlı olarak görüntülenecek CA özelliğini belirtir:
- * - Tüm özellikleri görüntüler
- ads - Gelişmiş Sunucu
- aia [Dizin] - AIA URL'leri
- cdp [Dizin] - CDP URL'leri
- cert [Dizin] - CA sertifikası
- certchain [Dizin] - CA sertifika zinciri
- certcount - CA sertifika sayısı
- certcrlchain [Dizin] - CRL'lerle CA sertifika zinciri
- certstate [Dizin] - CA sertifikası
- certstatuscode [Dizin] - CA sertifika doğrulama durumu
- certversion [Dizin] - CA sertifika sürümü
- CRL [Dizin] - Temel CRL
- crlstate [Dizin] - CRL
- crlstatus [Dizin] - CRL Yayımlama Durumu
- cross- [Index] - Geriye doğru çapraz sertifika
- cross+ [Dizin] - İleri çapraz sertifika
- crossstate- [Dizin] - Geriye doğru çapraz sertifika
- crossstate+ [Dizin] - İleri çapraz sertifika
- deltacrl [Dizin] - Delta CRL
- deltacrlstatus [Dizin] - Delta CRL Yayımlama Durumu
- dns - DNS Adı
- dsname - Temizlenmiş CA kısa adı (DS adı)
- error1 ErrorCode - Hata mesajı metni
- error2 ErrorCode - Hata mesajı metni ve hata kodu
- exit [Index] - Çıkış modülü açıklaması
- exitcount - Çıkış modülü sayısı
- file - Dosya sürümü
- info - CA bilgisi
- kra [Dizin] - KRA cert
- kracount - KRA sertifika sayısı
- krastate [Dizin] - KRA sertifikası
- kraused - KRA sertifikası kullanılan sayısı
- localename - CA yerel adı
- name - CA adı
- ocsp [Dizin] - OCSP URL'leri
- parent - Üst CA
- policy - Politika modülü açıklaması
- product - Ürün versiyonu
- propidmax - Maksimum CA PropId
- role - Rol Ayrımı
- sanitizedname - Temizlenmiş CA adı
- sharedfolder - Paylaşılan klasör
- subjecttemplateoids - Konu Şablonu OID'leri
- şablonlar - Şablonlar
- type - CA türü
- xchg [Dizin] - CA değişim sertifikası
- xchgchain [Dizin] - CA değişim sertifika zinciri
- xchgcount - CA değişim sertifikası sayısı
- xchgcrlchain [Index] - CRL'lerle CA değişim sertifika zinciri
Dizin , isteğe bağlı sıfır tabanlı özellik dizinidir.
ErrorCode , sayısal hata kodudur.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA Özellik Türü bilgilerini görüntüler.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Sertifika yetkilisinin sertifikasını alır.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

OutCACertFile çıktı dosyasıdır.
Dizin , CA sertifikası yenileme dizinidir (varsayılan olarak en yeni dizinidir).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Sertifika yetkilisi için sertifika zincirini alır.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

OutCACertChainFile çıktı dosyasıdır.
Dizin , CA sertifikası yenileme dizinidir (varsayılan olarak en yeni dizinidir).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Bir sertifika iptal listesi (CRL) alır.

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

Dizin , CRL dizini veya anahtar dizinidir (en son anahtar için varsayılan olarak CRL'dir).
delta , delta CRL'dir (varsayılan temel CRL'dir).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Yeni sertifika iptal listeleri (CRL' ler) veya delta CRL'ler yayımlar.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

dd:hh , gün ve saat cinsinden yeni CRL geçerlilik süresidir.
republish , en son CRL'leri yeniden yayımlar.
delta yalnızca delta CRL'leri yayımlar (varsayılan değer temel ve delta CRL'lerdir).

Options:

[-split] [-config Machine\CAName]

-shutdown

Active Directory Sertifika Hizmetleri'ni kapatır.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Bir sertifika yetkilisi sertifikası yükler.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Sertifika yetkilisi sertifikasını yeniler.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

Bekleyen yenileme isteğini yoksaymak ve yeni bir istek oluşturmak için kullanın -f .

-schema

Sertifikanın şemasını döküm eder.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

Komut varsayılan olarak İstek ve Sertifika tablosunu kullanır.
Ext , uzantı tablosudur.
Öznitelik , öznitelik tablosudur.
CRL , CRL tablosudur.

Options:

[-split] [-config Machine\CAName]

-view

Sertifika görünümünün dökümünü alır.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

Kuyruk belirli bir istek kuyruğunun dökümünü alır.
Günlük , verilen veya iptal edilen sertifikaların yanı sıra başarısız olan isteklerin dökümünü alır.
LogFail başarısız isteklerin dökümünü alır.
İptal edilenler, iptal edilen sertifikaların dökümünü alır.
Ext , uzantı tablosunun dökümünü alır.
Attrib öznitelik tablosunun dökümünü alır.
CRL , CRL tablosunun dökümünü alır.
CSV , virgülle ayrılmış değerler kullanarak çıktıyı sağlar.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

Tüm girişler için StatusCode sütununu görüntülemek için şunu yazın -out StatusCode
Son girdinin tüm sütunlarını görüntülemek için şunu yazın: -restrict RequestId==$
Üç istek için RequestId ve Disposition'ı görüntülemek için şunu yazın: -restrict requestID>=37,requestID<40 -out requestID,disposition
Tüm Temel CRL'lerin Satır Kimliklerini, Satır Kimliklerini ve CRL numaralarını görüntülemek için şunu yazın: -restrict crlminbase=0 -out crlrowID,crlnumber crl
3 numaralı Temel CRL'yi görüntülemek için şunu yazın: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
CRL tablosunun tamamını görüntülemek için şunu yazın: CRL
Tarih kısıtlamaları için kullanın Date[+|-dd:hh] .
Geçerli saate göre bir tarih için kullanın now+dd:hh .
Şablonlar, sertifikanın nasıl kullanıldığını açıklayan nesne tanımlayıcıları (OID) olan Genişletilmiş Anahtar Kullanımları (EKU) içerir. Sertifikalar her zaman şablon ortak adlarını veya görünen adları içermez, ancak her zaman şablon EKU'larını içerir. Active Directory'den belirli bir sertifika şablonu için EKU'ları ayıklayabilir ve ardından bu uzantıya göre görünümleri kısıtlayabilirsiniz.

-db

Ham veritabanının dökümünü alır.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Sunucu veritabanından bir satırı siler.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

İstek , gönderim tarihine bağlı olarak başarısız ve bekleyen istekleri siler.
Cert , süresi dolan ve iptal edilen sertifikaları sona erme tarihine göre siler.
Ext , uzantı tablosunu siler.
Attrib öznitelik tablosunu siler.
CRL , CRL tablosunu siler.

Options:

[-f] [-config Machine\CAName]

Examples

22 Ocak 2001'e kadar gönderilen başarısız ve bekleyen istekleri silmek için şunu yazın: 1/22/2001 request
22 Ocak 2001'e kadar süresi dolan tüm sertifikaları silmek için şunu yazın: 1/22/2001 cert
RequestID 37'nin sertifika satırını, özniteliklerini ve uzantılarını silmek için şunu yazın: 37
22 Ocak 2001'de süresi dolan CRL'leri silmek için şunu yazın: 1/22/2001 crl

Note

Örneğin, 1/22/200122/1/2001 22 Ocak 2001 yerine tarih mm/dd/yyyydd/mm/yyyybiçimini bekler. Sunucunuz ABD bölgesel ayarlarıyla yapılandırılmamışsa, Tarih bağımsız değişkenini kullanmak beklenmeyen sonuçlar doğurabilir.

-backup

Active Directory Sertifika Hizmetleri'ni yedekler.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory , yedeklenen verilerin depolanacağı dizindir.
Artımlı yalnızca artımlı yedekleme gerçekleştirir (varsayılan tam yedeklemedir).
KeepLog , veritabanı günlük dosyalarını korur (varsayılan olarak günlük dosyalarını kesmektir).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory Sertifika Hizmetleri veritabanını yedekler.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

BackupDirectory , yedeklenen veritabanı dosyalarının depolanacağı dizindir.
Artımlı yalnızca artımlı yedekleme gerçekleştirir (varsayılan tam yedeklemedir).
KeepLog , veritabanı günlük dosyalarını korur (varsayılan olarak günlük dosyalarını kesmektir).

Options:

[-f] [-config Machine\CAName]

-backupkey

Active Directory Sertifika Hizmetleri sertifikasını ve özel anahtarı yedekler.

certutil [options] -backupkey BackupDirectory

Where:

BackupDirectory , yedeklenen PFX dosyasının saklanacağı dizindir.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory Sertifika Hizmetleri'ni geri yükler.

certutil [options] -restore BackupDirectory

Where:

BackupDirectory , geri yüklenecek verileri içeren dizindir.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory Sertifika Hizmetleri veritabanını geri yükler.

certutil [options] -restoredb BackupDirectory

Where:

BackupDirectory , geri yüklenecek veritabanı dosyalarını içeren dizindir.

Options:

[-f] [-config Machine\CAName]

-restorekey

Active Directory Sertifika Hizmetleri sertifikasını ve özel anahtarı geri yükler.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

BackupDirectory , geri yüklenecek PFX dosyasını içeren dizindir.
PFXFile , geri yüklenecek PFX dosyasıdır.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Sertifikaları ve özel anahtarları dışarı aktarır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

CertificateStoreName , sertifika deposunun adıdır.
CertId , sertifika veya CRL eşleşme belirtecidir.
PFXFile , dışa aktarılacak PFX dosyasıdır.
Değiştiriciler , aşağıdakilerden birini veya daha fazlasını içerebilen virgülle ayrılmış listedir:
- CryptoAlgorithm= PFX dosyasını şifrelemek için kullanılacak şifreleme algoritmasını belirtir, örneğin TripleDES-Sha1 veya Aes256-Sha256.
- EncryptCert - Sertifikayla ilişkili özel anahtarı bir parola ile şifreler.
- ExportParameters , sertifika ve özel anahtara ek olarak özel anahtar parametrelerini -Exports.
- ExtendedProperties - Çıktı dosyasındaki sertifikayla ilişkili tüm genişletilmiş özellikleri içerir.
- NoEncryptCert - Özel anahtarı şifrelemeden dışarı aktarır.
- NoChain - Sertifika zincirini içe aktarmaz.
- NoRoot - Kök sertifikayı içeri aktarmaz.

-importPFX

Sertifikaları ve özel anahtarları içeri aktarır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

CertificateStoreName , sertifika deposunun adıdır.
PFXFile , içe aktarılacak PFX dosyasıdır.
Değiştiriciler , aşağıdakilerden birini veya daha fazlasını içerebilen virgülle ayrılmış listedir:
- AT_KEYEXCHANGE - Keyspec'i anahtar değişimi olarak değiştirir.
- AT_SIGNATURE - Anahtar belirtimini imza olarak değiştirir.
- ExportEncrypted - Sertifikayla ilişkili özel anahtarı parola şifrelemesi ile dışa aktarır.
- FriendlyName= - İçeri aktarılan sertifika için kolay bir ad belirtir.
- KeyDescription= - İçeri aktarılan sertifikayla ilişkilendirilmiş özel anahtar için bir açıklama belirtir.
- KeyFriendlyName= - İçeri aktarılan sertifikayla ilişkilendirilmiş özel anahtar için kolay bir ad belirtir.
- NoCert - Sertifikayı içeri aktarmaz.
- NoChain - Sertifika zincirini içe aktarmaz.
- NoExport - Özel anahtarı dışa aktarılamaz hale getirir.
- NoProtect - Parola kullanarak anahtarları parola ile korumaz.
- NoRoot - Kök sertifikayı içeri aktarmaz.
- Pkcs8 - PFX dosyasındaki özel anahtar için PKCS8 biçimini kullanır.
- Koru - Parola kullanarak anahtarları korur.
- ProtectHigh - Yüksek güvenlikli bir parolanın özel anahtarla ilişkilendirilmesi gerektiğini belirtir.
- VSM - İçeri aktarılan sertifikayla ilişkili özel anahtarı Sanal Akıllı Kart (VSC) kapsayıcısında depolar.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

Varsayılan olarak kişisel makine deposuna yöneliktir.

-dynamicfilelist

Dinamik bir dosya listesi görüntüler.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Veritabanı konumlarını görüntüler.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Bir dosya üzerinde şifreleme karması oluşturur ve görüntüler.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Sertifika deposunun dökümünü alır.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName , sertifika deposunun adıdır. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId , sertifika veya CRL eşleşme belirtecidir. Bu kimlik şu olabilir:
- Serial number
- SHA-1 certificate
- CRL, CTL veya ortak anahtar karması
- Sayısal sertifika dizini (0, 1 vb.)
- Sayısal CRL dizini (.0, .1 vb.)
- Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
- Public key
- signature veya extension ObjectId
- Sertifika konusu Ortak Adı
- E-mail address
- UPN veya DNS adı
- Anahtar kapsayıcı adı veya CSP adı
- Şablon adı veya ObjectId
- EKU veya Uygulama İlkeleri ObjectId
- CRL veren Ortak Adı.

Bu tanımlayıcıların çoğu birden çok eşleşmeye neden olabilir.

OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
seçeneği -enterprise bir makine kurumsal deposuna erişir.
seçeneği -service bir makine hizmeti deposuna erişir.
seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Note

Parametresi kullanılırken -store şu iki açıdan performans sorunları gözlemlenir:

Depodaki sertifika sayısı 10'u aştığında.
Bir CertId belirtildiğinde, her sertifika için listelenen tüm türlerle eşleşmek için kullanılır. Örneğin, bir seri numarası sağlanırsa, listelenen diğer tüm türlerle de eşleşmeye çalışır.

Performans sorunlarıyla ilgileniyorsanız, yalnızca belirtilen sertifika türüyle eşleşeceği PowerShell komutları önerilir.

-enumstore

Sertifika depolarını numaralandırır.

certutil [options] -enumstore [\\MachineName]

Where:

MachineName , uzak makine adıdır.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Depoya bir sertifika ekler. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -addstore CertificateStoreName InFile

Where:

CertificateStoreName , sertifika deposunun adıdır.
InFile , mağazaya eklemek istediğiniz sertifika veya CRL dosyasıdır.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Bir sertifikayı depodan siler. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -delstore CertificateStoreName certID

Where:

CertificateStoreName , sertifika deposunun adıdır.
CertId , sertifika veya CRL eşleşme belirtecidir.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Depodaki bir sertifikayı doğrular. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

CertificateStoreName , sertifika deposunun adıdır.
CertId , sertifika veya CRL eşleşme belirtecidir.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Bir anahtar ilişkilendirmesini veya güncelleştirme sertifikası özelliklerini ya da anahtar güvenlik tanımlayıcısını onarın. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

CertificateStoreName , sertifika deposunun adıdır.
CertIdList , sertifika veya CRL eşleşme belirteçlerinin virgülle ayrılmış listesidir. Daha fazla bilgi için bu makaledeki -store CertId açıklamasına bakın.

PropertyInfFile , aşağıdakiler de dahil olmak üzere harici özellikleri içeren INF dosyasıdır:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Sertifika deposunun dökümünü alır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName , sertifika deposunun adıdır. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId , sertifika veya CRL eşleşme belirtecidir. Bu bir olabilir:
- Serial number
- SHA-1 certificate
- CRL, CTL veya ortak anahtar karması
- Sayısal sertifika dizini (0, 1 vb.)
- Sayısal CRL dizini (.0, .1 vb.)
- Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
- Public key
- signature veya extension ObjectId
- Sertifika konusu Ortak Adı
- E-mail address
- UPN veya DNS adı
- Anahtar kapsayıcı adı veya CSP adı
- Şablon adı veya ObjectId
- EKU veya Uygulama İlkeleri ObjectId
- CRL veren Ortak Adı.

Bunların çoğu birden çok eşleşmeye neden olabilir.

OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
seçeneği -enterprise bir makine kurumsal deposuna erişir.
seçeneği -service bir makine hizmeti deposuna erişir.
seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Bir sertifikayı depodan siler.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

CertificateStoreName , sertifika deposunun adıdır. For example:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId , sertifika veya CRL eşleşme belirtecidir. Bu bir olabilir:
- Serial number
- SHA-1 certificate
- CRL, CTL veya ortak anahtar karması
- Sayısal sertifika dizini (0, 1 vb.)
- Sayısal CRL dizini (.0, .1 vb.)
- Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
- Public key
- signature veya extension ObjectId
- Sertifika konusu Ortak Adı
- E-mail address
- UPN veya DNS adı
- Anahtar kapsayıcı adı veya CSP adı
- Şablon adı veya ObjectId
- EKU veya Uygulama İlkeleri ObjectId
- CRL veren Ortak Adı.

Bunların çoğu birden çok eşleşmeye neden olabilir.

OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
seçeneği -enterprise bir makine kurumsal deposuna erişir.
seçeneği -service bir makine hizmeti deposuna erişir.
seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

For example:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-UI

certutil arabirimini çağırır.

certutil [options] -UI File [import]

-TPMInfo

Güvenilen Platform Modülü Bilgilerini görüntüler.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Sertifika isteği dosyasının doğrulanması gerektiğini belirtir.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Seçim kullanıcı arabiriminden bir sertifika seçer.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Dizin hizmeti (DS) ayırt edici adlarını (DN) görüntüler.

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN'lerini siler.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Active Directory'de bir sertifika veya sertifika iptal listesi (CRL) yayımlar.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

CertFile , yayımlanacak sertifika dosyasının adıdır.
NTAuthCA , sertifikayı DS Enterprise mağazasında yayımlar.
RootCA , sertifikayı DS Güvenilen Kök deposunda yayımlar.
SubCA , CA sertifikasını DS CA nesnesine yayımlar.
CrossCA , çapraz sertifikayı DS CA nesnesine yayımlar.
KRA , sertifikayı DS Key Recovery Agent nesnesine yayımlar.
Kullanıcı , sertifikayı User DS nesnesinde yayınlar.
Makine , sertifikayı Machine DS nesnesine yayımlar.
CRLfile , yayımlanacak CRL dosyasının adıdır.
DSCDPContainer , genellikle CA makine adı olan DS CDP kapsayıcısı CN'dir.
DSCDPCN , temizlenmiş CA kısa adını ve anahtar dizinini temel alan DS CDP nesne CN'sidir.

Options:

[-f] [-user] [-dc DCName]

Yeni bir DS nesnesi oluşturmak için kullanın -f .

-dsCert

DS sertifikalarını görüntüler.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL'lerini görüntüler.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS delta CRL'lerini görüntüler.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS şablon özniteliklerini görüntüler.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

DS şablonları ekler.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Active Directory şablonlarını görüntüler.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Sertifika kayıt ilkesi şablonlarını görüntüler.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Sertifika şablonu için sertifika yetkililerini (CA) görüntüler.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Sertifika Yetkilisi için şablonları görüntüler.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Sertifika Yetkilisinin düzenleyebileceği sertifika şablonlarını ayarlar.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

İşaret sertifika + şablonlarını CA'nın kullanılabilir şablon listesine ekler.
bu işaret sertifika - şablonlarını CA'nın kullanılabilir şablon listesinden kaldırır.

-SetCASites

Sertifika Yetkilisi site adlarını ayarlama, doğrulama ve silme dahil olmak üzere site adlarını yönetir.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

SiteName'e yalnızca tek bir Sertifika Yetkilisi hedeflenirken izin verilir.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

seçeneği -config tek bir Sertifika Yetkilisi'ni hedefler (varsayılan olarak tüm CA'lardır).
Bu -f seçenek, belirtilen SiteAdı için doğrulama hatalarını geçersiz kılmak veya tüm CA site adlarını silmek için kullanılabilir.

Note

Active Directory Etki Alanı Hizmetleri (AD DS) site tanıma için CA'ları yapılandırma hakkında daha fazla bilgi için bkz. AD CS ve PKI istemcileri için AD DS Site Tanıma.

-enrollmentServerURL

CA ile ilişkili kayıt sunucusu URL'lerini görüntüler, ekler veya siler.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

AuthenticationType , URL eklerken aşağıdaki istemci kimlik doğrulama yöntemlerinden birini belirtir:
- Kerberos - Kerberos SSL kimlik bilgilerini kullanın.
- UserName - SSL kimlik bilgileri için adlandırılmış bir hesap kullanın.
- ClientCertificate - X.509 Sertifikası SSL kimlik bilgilerini kullanın.
- Anonim - Anonim SSL kimlik bilgilerini kullanın.
delete CA ile ilişkilendirilmiş belirtilen URL'yi siler.
Öncelik , bir URL eklenirken belirtilmezse varsayılan olarak ayarlanır 1 .
Değiştiriciler , aşağıdakilerden birini veya daha fazlasını içeren virgülle ayrılmış bir listedir:
- Bu URL aracılığıyla bu CA'ya yalnızca AllowRenewals: Yalnızca yenileme istekleri gönderilebilir.
- AllowKeyBasedRenewal , AD'de ilişkili hesabı olmayan bir sertifikanın kullanılmasına izin verir. Bu yalnızca ClientCertificate ve AllowRenewalsOnly modu için geçerlidir.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory Sertifika Yetkilileri'ni görüntüler.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Kayıt ilkesi Sertifika Yetkilileri'ni görüntüler.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Kayıt ilkesini görüntüler.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Kayıt ilkesi önbellek girdilerini görüntüler veya siler.

certutil [options] -PolicyCache [delete]

Where:

Sil İlke sunucusu önbellek girdilerini siler.
-f tüm önbellek girişlerini siler

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Kimlik Bilgisi Deposu girdilerini görüntüler, ekler veya siler.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

URL , hedef URL'dir. Ayrıca, tüm girdileri eşleştirmek veya * bir URL ön eki eşleştirmek için de kullanabilirsinizhttps://machine*.
Ekle bir kimlik bilgisi deposu girdisi ekler. Bu seçeneği kullanmak için SSL kimlik bilgilerinin de kullanılması gerekir.
Sil seçeneği, kimlik bilgisi deposu girişlerini siler.
-f tek bir girdinin üzerine yazar veya birden çok girdiyi siler.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Varsayılan sertifika şablonlarını yükler.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Sertifika veya CRL URL'lerini doğrular.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

URL önbellek girdilerini görüntüler veya siler.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

URL , önbelleğe alınan URL'dir.
CRL yalnızca önbelleğe alınmış tüm CRL URL'lerinde çalışır.
* önbelleğe alınmış tüm URL'lerde çalışır.
delete seçeneği, ilgili URL'leri geçerli kullanıcının yerel önbelleğinden siler.
-f belirli bir URL'yi getirmeyi ve önbelleği güncellemeyi zorlar.

Options:

[-f] [-split]

-pulse

Otomatik kayıt olayını veya NGC görevini darbeler.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

TaskName , tetiklenecek görevdir.
- Pregen , NGC Key pregen görevidir.
- AIKEnroll , NGC AIK sertifika kayıt görevidir. (Varsayılan olarak otomatik kayıt olayını kullanır).
SRKThumbprint , Depolama Kök Anahtarının parmak izidir
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Options:

[-user]

-MachineInfo

Active Directory makine nesnesi hakkındaki bilgileri görüntüler.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Etki alanı denetleyicisi hakkındaki bilgileri görüntüler. Varsayılan ayar dc sertifikalarını doğrulama olmadan görüntüler.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verify
- DeleteBad
- DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı [Etki Alanı] ve bir etki alanı denetleyicisi (-dc) belirtme özelliği Windows Server 2012'de eklenmiştir. Komutu başarıyla çalıştırmak için, Domain Admins veya Enterprise Admins üyesi olan bir hesap kullanmanız gerekir. Bu komutun davranış değişiklikleri aşağıdaki gibidir:

Bir etki alanı belirtilmezse ve belirli bir etki alanı denetleyicisi belirtilmezse, bu seçenek varsayılan etki alanı denetleyicisinden işlenmek üzere bir etki alanı denetleyicileri listesi döndürür.
Bir etki alanı belirtilmezse, ancak bir etki alanı denetleyicisi belirtilirse, belirtilen etki alanı denetleyicisindeki sertifikaların bir raporu oluşturulur.
Bir etki alanı belirtilirse, ancak bir etki alanı denetleyicisi belirtilmezse, listedeki her etki alanı denetleyicisi için sertifikalar üzerinde raporlar ile birlikte bir etki alanı denetleyicileri listesi oluşturulur.
Etki alanı ve etki alanı denetleyicisi belirtilirse, hedeflenen etki alanı denetleyicisinden etki alanı denetleyicilerinin listesi oluşturulur. Listedeki her etki alanı denetleyicisi için sertifikaların bir raporu da oluşturulur.

Örneğin CPANDL-DC1 adlı etki alanı denetleyicisine sahip CPANDL adlı bir etki alanı olduğunu varsayalım. CPANDL-DC1'den etki alanı denetleyicilerinin ve sertifikalarının listesini almak için aşağıdaki komutu çalıştırabilirsiniz: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Kurumsal Sertifika Yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Sertifika Yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Akıllı kart hakkındaki bilgileri görüntüler.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

CRYPT_DELETEKEYSET akıllı karttaki tüm anahtarları siler.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Akıllı kart kök sertifikalarını yönetir.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Anahtar kapsayıcısında depolanan anahtarları listeler.

certutil [options] -key [KeyContainerName | -]

Where:

KeyContainerName , anahtarın doğrulanması için anahtar kapsayıcı adıdır. Bu seçenek varsayılan olarak makine anahtarlarıdır. Kullanıcı anahtarlarına geçmek için kullanın -user.
İşareti - kullanmak, varsayılan anahtar kapsayıcısını kullanmayı ifade eder.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Adlandırılmış anahtar kapsayıcısını siler.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Tüm WebAuthn ve FIDO kimlik bilgileri dahil olmak üzere cihazda depolanan tüm ilişkili kimlik bilgilerini kaldırarak Windows Hello kapsayıcısını siler.

Kullanıcıların tamamlanması için bu seçeneği kullandıktan sonra oturumu kapatmaları gerekir.

certutil [options] -DeleteHelloContainer

-verifykeys

Ortak veya özel anahtar kümesini doğrular.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

KeyContainerName , anahtarın doğrulanması için anahtar kapsayıcı adıdır. Bu seçenek varsayılan olarak makine anahtarlarıdır. Kullanıcı anahtarlarına geçmek için kullanın -user.
CACertFile , sertifika dosyalarını imzalar veya şifreler.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

Hiçbir bağımsız değişken belirtilmezse, her imzalama CA sertifikası kendi özel anahtarıyla doğrulanır.
Bu işlem yalnızca yerel ca veya yerel anahtarlara karşı gerçekleştirilebilir.

-verify

Sertifikayı, sertifika iptal listesini (CRL) veya sertifika zincirini doğrular.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

CertFile , doğrulanacak sertifikanın adıdır.
ApplicationPolicyList , gerekli Uygulama İlkesi ObjectId'lerinin isteğe bağlı virgülle ayrılmış listesidir.
IssuancePolicyList , gerekli Verme İlkesi ObjectId'lerinin isteğe bağlı virgülle ayrılmış listesidir.
CACertFile , doğrulamak için isteğe bağlı veren CA sertifikasıdır.
CrossedCACertFile , CertFile tarafından çapraz sertifikalandırılmış isteğe bağlı sertifikadır.
CRLFile , CACertFile'ı doğrulamak için kullanılan CRL dosyasıdır.
IssuedCertFile , CRLfile tarafından kapsanan isteğe bağlı olarak verilen sertifikadır.
DeltaCRLFile , isteğe bağlı delta CRL dosyasıdır.
Modifiers:
- Güçlü - Güçlü imza doğrulaması
- MSRoot - Microsoft köküne zincirlemeli
- MSTestRoot - Microsoft test köküne zincirlemeli
- AppRoot - Microsoft uygulama köküne zincirlemeli
- EV - Genişletilmiş Doğrulama İlkesini Zorunlu Kılma

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

ApplicationPolicyList'in kullanılması, zincir oluşturmayı yalnızca belirtilen Uygulama İlkeleri için geçerli olan zincirlerle kısıtlar.
IssuancePolicyList'in kullanılması, zincir oluşturmayı yalnızca belirtilen Verme İlkeleri için geçerli olan zincirlerle kısıtlar.
CACertFile'ı kullanmak, dosyadaki alanları CertFile veya CRLfile ile karşılaştırarak doğrular.
CACertFile belirtilmezse, tam zincir oluşturulur ve CertFile'a göre doğrulanır.
CACertFile ve CrossedCACertFile'ın her ikisi de belirtilirse, her iki dosyadaki alanlar CertFile'a göre doğrulanır.
IssuedCertFile'ın kullanılması, dosyadaki alanları CRLfile ile karşılaştırarak doğrular.
DeltaCRLFile'ı kullanmak, dosyadaki alanları CertFile'a göre doğrular.

-verifyCTL

AuthRoot veya İzin Verilmeyen Sertifikalar CTL'sini doğrular.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

CTLObject , aşağıdakiler dahil olmak üzere doğrulanacak CTL'yi tanımlar:
- AuthRootWU , URL önbelleğinden AuthRoot CAB'yi ve eşleşen sertifikaları okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
- DisallowedWU , URL önbelleğinden İzin Verilmeyen Sertifikalar CAB ve izin verilmeyen sertifika deposu dosyasını okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
  - PinRulesWU , URL önbelleğinden PinRules CAB'yi okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
- AuthRoot , kayıt defteri önbelleğe alınmış AuthRoot CTL'yi okur. Kayıt defterini önbelleğe alınmış AuthRoot ve İzin Verilmeyen Sertifika CTL'lerini güncelleştirmeye zorlamak için güvenilmeyen bir CertFile ile -f birlikte kullanın.
- İzin verilmeyen kayıt defteri önbelleğe alınmış İzin verilmeyen Sertifikalar CTL'sini okur. Kayıt defterini önbelleğe alınmış AuthRoot ve İzin Verilmeyen Sertifika CTL'lerini güncelleştirmeye zorlamak için güvenilmeyen bir CertFile ile -f birlikte kullanın.
  - PinRules , önbelleğe alınmış PinRules CTL'sini okur. Kullanma -f , PinRulesWU ile aynı davranışa sahiptir.
- CTLFileName, CTL veya CAB dosyasının dosya veya http yolunu belirtir.
CertDir , CTL girişleriyle eşleşen sertifikaları içeren klasörü belirtir. Varsayılan olarak CTLobject ile aynı klasörü veya web sitesini kullanır. Http klasörü yolu kullanmak için sonunda bir yol ayırıcısı gerekir. AuthRoot veya Disallowed'ı belirtmezseniz, yerel sertifika depoları, crypt32.dll kaynakları ve yerel URL önbelleği dahil olmak üzere eşleşen sertifikalar için birden çok konum aranır. Gerektiğinde Windows Update'ten indirmek için kullanın -f .
CertFile , doğrulanacak sertifikaları belirtir. Sertifikalar CTL girdileriyle eşleştirilir ve sonuçlar görüntülenir. Bu seçenek varsayılan çıkışın çoğunu gizler.

Options:

[-f] [-user] [-split]

-syncWithWU

Sertifikaları Windows Update ile eşitler.

certutil [options] -syncWithWU DestinationDir

Where:

DestinationDir belirtilen dizindir.
f üzerine yazmayı zorlar.
Unicode , yeniden yönlendirilmiş çıktıyı Unicode'da yazar.
GMT, saatleri GMT olarak gösterir.
Saniye , saatleri saniye ve milisaniye cinsinden görüntüler.
V ayrıntılı bir işlemdir.
PIN , Akıllı Kart PIN'idir.
WELL_KNOWN_SID_TYPE sayısal bir SID'dir:
- 22 - Yerel Sistem
- 23 - Yerel Hizmet
- 24 - Ağ Hizmeti

Remarks

Aşağıdaki dosyalar otomatik güncelleştirme mekanizması kullanılarak indirilir:

authrootstl.cab , Microsoft dışı kök sertifikaların CTL'lerini içerir.
disallowedcertstl.cab , güvenilmeyen sertifikaların CTL'lerini içerir.
DisallowedCert.sst , güvenilmeyen sertifikalar da dahil olmak üzere seri hale getirilmiş sertifika deposunu içerir.
thumbprint.crt , Microsoft dışı kök sertifikaları içerir.

Örneğin, certutil -syncWithWU \\server1\PKI\CTLs.

Hedef klasör olarak var olmayan bir yerel yol veya klasör kullanıyorsanız şu hatayı görürsünüz: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Hedef klasör olarak var olmayan veya kullanılamayan bir ağ konumu kullanıyorsanız şu hatayı görürsünüz: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Sunucunuz 80 numaralı TCP bağlantı noktası üzerinden Microsoft Otomatik Güncelleştirme sunucularına bağlanamıyorsa aşağıdaki hatayı alırsınız: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Sunucunuz DNS adıyla ctldl.windowsupdate.comMicrosoft Otomatik Güncelleştirme sunucularına ulaşamıyorsa aşağıdaki hatayı alırsınız: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Anahtarını kullanmazsanız -f ve CTL dosyalarından herhangi biri dizinde zaten varsa, bir dosya var hatası alırsınız: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Güvenilen kök sertifikalarda bir değişiklik varsa şunları görürsünüz: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update ile eşitlenmiş bir depolama dosyası oluşturur.

certutil [options] -generateSSTFromWU SSTFile

Where:

SSTFile , Windows Update'ten .sst indirilen Üçüncü Taraf Köklerini içeren oluşturulacak dosyadır.

Options:

[-f] [-split]

-generatePinRulesCTL

Sabitleme kurallarının listesini içeren bir Sertifika Güven Listesi (CTL) dosyası oluşturur.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

XMLFile , ayrıştırılacak giriş XML dosyasıdır.
CTLFile , oluşturulacak çıktı CTL dosyasıdır.
SSTFile , sabitleme için kullanılan tüm sertifikaları içeren oluşturulacak isteğe bağlı .sst dosyadır.
QueryFilesPrefix , veritabanı sorgusu için oluşturulacak isteğe bağlı Domains.csv ve Keys.csv dosyalarıdır.
- QueryFilesPrefix dizesi, oluşturulan her dosyanın başına eklenir.
- Domains.csv dosyası, kural adını, etki alanı satırlarını içerir.
- Keys.csv dosyası kural adını, anahtar SHA256 parmak izi satırlarını içerir.

Options:

[-f]

-downloadOcsp

OCSP yanıtlarını ve yazma işlemlerini dizine indirir.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

CertificateDir , bir sertifika, mağaza ve PFX dosyalarının dizinidir.
OcspDir , OCSP yanıtlarının yazılacağı dizindir.
ThreadCount , eşzamanlı indirme için isteğe bağlı en fazla iş parçacığı sayısıdır. Varsayılan değer 10'dur.
Değiştiriciler , aşağıdakilerden bir veya daha fazlasının virgülle ayrılmış listesidir:
- DownloadOnce - Bir kez indirir ve çıkar.
- ReadOcsp - Yazmak yerine OcspDir'den okur.

-generateHpkpHeader

Belirtilen dosya veya dizindeki sertifikaları kullanarak HPKP üst bilgisini oluşturur.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

CertFileOrDir , pin-sha256'nın kaynağı olan sertifika dosyası veya dizinidir.
MaxAge , saniye cinsinden max-age değeridir.
ReportUri isteğe bağlı report-uri'dir.
Değiştiriciler , aşağıdakilerden bir veya daha fazlasının virgülle ayrılmış listesidir:
- includeSubDomains - includeSubDomains'i ekler.

-flushCache

Seçilen işlemde belirtilen önbellekleri temizler, örneğin, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

ProcessId , temizlenecek bir işlemin sayısal kimliğidir. Temizlemenin etkinleştirildiği tüm işlemleri temizlemek için 0'a ayarlayın.
CacheMask , sayısal veya aşağıdaki bitlerle temizlenecek önbelleklerin bit maskesidir:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
Değiştiriciler , aşağıdakilerden bir veya daha fazlasının virgülle ayrılmış listesidir:
- Göster - Temizlenen önbellekleri gösterir. Certutil açıkça sonlandırılmalıdır.

-addEccCurve

ECC Eğrisi ekler.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

CurveClass , ECC Eğrisi Sınıfı türüdür:
- WEIERSTRASS (Default)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName , ECC Eğrisi adıdır.
CurveParameters aşağıdakilerden biridir:
- ASN ile kodlanmış parametreleri içeren bir sertifika dosya adı.
- ASN kodlanmış parametreleri içeren bir dosya.
CurveOID , ECC Eğrisi OID'sidir ve aşağıdakilerden biridir:
- ASN ile kodlanmış OID içeren bir sertifika dosya adı.
- Açık bir ECC Eğrisi OID.
CurveType , Schannel ECC NamedCurve noktasıdır (sayısal).

Options:

[-f]

-deleteEccCurve

ECC Eğrisini siler.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

CurveName , ECC Eğrisi adıdır.
CurveOID , ECC Eğrisi OID'sidir.

Options:

[-f]

-displayEccCurve

ECC Eğrisini görüntüler.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

CurveName , ECC Eğrisi adıdır.
CurveOID , ECC Eğrisi OID'sidir.

Options:

[-f]

-csplist

Şifreleme işlemleri için bu makinede yüklü şifreleme hizmeti sağlayıcılarını (CSP' ler) listeler.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Bu makinede yüklü CSP'leri test edin.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Bu makinede CNG şifreleme yapılandırmasını görüntüler.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Sertifika iptal listesini (CRL) veya sertifikayı yeniden imzalar.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

InFileList , değiştirilecek ve yeniden imzalanacak sertifika veya CRL dosyalarının virgülle ayrılmış listesidir.
SerialNumber , oluşturulacak sertifikanın seri numarasıdır. Geçerlilik süresi ve diğer seçenekler mevcut olamaz.
CRL boş bir CRL oluşturur. Geçerlilik süresi ve diğer seçenekler mevcut olamaz.
OutFileList , değiştirilen sertifika veya CRL çıktı dosyalarının virgülle ayrılmış listesidir. Dosya sayısı, infilelist ile eşleşmelidir.
StartDate+dd:hh , aşağıdakiler dahil olmak üzere sertifika veya CRL dosyaları için yeni geçerlilik süresidir:
- isteğe bağlı tarih artı
- isteğe bağlı gün ve saat geçerlilik süresi Birden çok alan kullanılıyorsa, (+) veya (-) ayırıcısı kullanın. Geçerli saatte başlamak için kullanın now[+dd:hh] . Geçerli zamandan ve sabit geçerlilik süresinden sabit bir uzaklıkta başlamak için kullanın now-dd:hh+dd:hh . Son kullanma tarihi olmaması için kullanın never (yalnızca CRL'ler için).
SerialNumberList , eklenecek veya kaldırılacak dosyaların virgülle ayrılmış seri numarası listesidir.
ObjectIdList , kaldırılacak dosyaların virgülle ayrılmış uzantısı ObjectId listesidir.

@ExtensionFile , güncellenecek veya kaldırılacak uzantıları içeren INF dosyasıdır. For example:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm , hash algoritmasının adıdır. Bu yalnızca işaretin önündeki # metin olmalıdır.
AlternateSignatureAlgorithm , alternatif imza algoritması belirticisidir.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

Eksi işareti (-) kullanıldığında seri numaraları ve uzantılar kaldırılır.
Artı işareti (+) kullanıldığında CRL'ye seri numaraları eklenir.
Bir CRL'den aynı anda hem seri numaralarını hem de ObjectId'leri kaldırmak için bir liste kullanabilirsiniz.
AlternateSignatureAlgorithm'den önce eksi işaretini kullanmak, eski imza biçimini kullanmanıza olanak tanır.
Artı işaretini kullanmak alternatif imza biçimini kullanmanıza olanak tanır.
AlternateSignatureAlgorithm belirtmezseniz, sertifikadaki veya CRL'deki imza biçimi kullanılır.

-vroot

Web sanal köklerini ve dosya paylaşımlarını oluşturur veya siler.

certutil [options] -vroot [delete]

-vocsproot

OCSP web proxy'si için web sanal köklerini oluşturur veya siler.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Belirtilen Sertifika Yetkilisi için gerekirse bir Kayıt Sunucusu uygulaması ve uygulama havuzu ekler. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

addEnrollmentServer , Sertifika Kayıt Sunucusu'na istemci bağlantısı için aşağıdakiler dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
- Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
- UserName , SSL kimlik bilgileri için adlandırılmış hesabı kullanır.
- ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.
Modifiers:
- AllowRenewalsOnly , URL aracılığıyla Sertifika Yetkilisine yalnızca yenileme isteği gönderimlerine izin verir.
- AllowKeyBasedRenewal , Active Directory'de ilişkilendirilmiş bir hesabı olmayan bir sertifikanın kullanılmasına izin verir. Bu, ClientCertificate ve AllowRenewalsOnly moduyla kullanıldığında geçerlidir.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Belirtilen Sertifika Yetkilisi için gerekirse bir Kayıt Sunucusu uygulamasını ve uygulama havuzunu siler. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

deleteEnrollmentServer , Sertifika Kayıt Sunucusu'na istemci bağlantısı için aşağıdakiler dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
- Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
- UserName , SSL kimlik bilgileri için adlandırılmış hesabı kullanır.
- ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.

Options:

[-config Machine\CAName]

-addPolicyServer

Gerekirse bir İlke Sunucusu uygulaması ve uygulama havuzu ekleyin. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

addPolicyServer , Sertifika İlkesi Sunucusu'na istemci bağlantısı için aşağıdakiler dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
- Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
- UserName , SSL kimlik bilgileri için adlandırılmış hesabı kullanır.
- ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.
KeyBasedRenewal , keybasedrenewal şablonlarını içeren istemciye döndürülen ilkelerin kullanılmasına izin verir. Bu seçenek yalnızca UserName ve ClientCertificate kimlik doğrulaması için geçerlidir.

-deletePolicyServer

Gerekirse bir İlke Sunucusu uygulamasını ve uygulama havuzunu siler. Bu komut ikili dosyaları veya paketleri kaldırmaz.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

deletePolicyServer , Sertifika İlkesi Sunucusu'na istemci bağlantısı için aşağıdakiler dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
- Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
- UserName , SSL kimlik bilgileri için adlandırılmış hesabı kullanır.
- ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.
KeyBasedRenewal bir KeyBasedRenewal ilke sunucusunun kullanılmasına izin verir.

-Class

COM kayıt defteri bilgilerini görüntüler.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

0x7f uzunluk kodlamaları için sertifikayı denetler.

certutil [options] -7f CertFile

-oid

Nesne tanımlayıcısını görüntüler veya bir görünen ad ayarlar.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

ObjectId , görüntülenecek veya görünen ada eklenecek kimliktir.
GroupId, ObjectIds'in numaralandırdığı GroupID numarasıdır (ondalık).
AlgId, objectID'nin aradığı onaltılık kimliktir.
AlgorithmName , objectID'nin aradığı algoritma adıdır.
DisplayName , DS'de saklanacak adı görüntüler.
Sil seçeneği, görünen adı siler.
LanguageId , dil kimliği değeridir (varsayılan olarak current: 1033).
Tür , aşağıdakiler dahil olmak üzere oluşturulacak DS nesnesinin türüdür:
- 1 - Şablon (varsayılan)
- 2 - Verme İlkesi
- 3 - Uygulama İlkesi
-f bir DS nesnesi oluşturur.

Options:

[-f]

-error

Hata koduyla ilişkili ileti metnini görüntüler.

certutil [options] -error ErrorCode

-getsmtpinfo

Basit Posta Aktarım Protokolü (SMTP) bilgilerini alır.

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP bilgilerini ayarlar.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Kayıt defteri değerini görüntüler.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

ca bir Sertifika Yetkilisi'nin kayıt defteri anahtarını kullanır.
geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
İlke , ilke modülünün kayıt defteri anahtarını kullanır.
exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
Şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
Kaydetme , kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
Chain , Chain Configuration kayıt defteri anahtarını kullanır.
PolicyServers , Policy Servers kayıt defteri anahtarını kullanır.
ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtar adı) kullanır.
RegistryValueName , kayıt defteri değeri adını kullanır (eşleşme öneki için kullanın Name* ).
Değer , yeni sayısal, dize veya tarih kayıt defteri değerini ya da dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .
Registry aliases:
- Config
- CA
- İlke - İlkeModülleri
- Çıkış - ExitModules
- Geri Yükleme - RestoreInProgress
- Şablon - Software\Microsoft\Cryptography\CertificateTemplateCache
- Kayıt - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Yazılım \ Microsoft \ Şifreleme \ MSCEP
- Zincir - Yazılım\Microsoft\Şifreleme\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Yazılım\İlkeler\Microsoft\Şifreleme\İlkeSunucuları)
- Crypt32 - Sistem\CurrentControlSet\Hizmetler\crypt32
- NGC - Sistem\CurrentControlSet\Control\Cryptography\Ngc
- Otomatik Güncelleştirme - Yazılım\Microsoft\SystemCertificates\AuthRoot\Otomatik Güncelleştirme
- Passport - Yazılım\İlkeler\Microsoft\PassportForWork
- MDM - Yazılım\Microsoft\Politikalar\PassportForWork

-setreg

Bir kayıt defteri değeri ayarlar.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

ca bir Sertifika Yetkilisi'nin kayıt defteri anahtarını kullanır.
geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
İlke , ilke modülünün kayıt defteri anahtarını kullanır.
exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
Şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
Kaydetme , kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
Chain , Chain Configuration kayıt defteri anahtarını kullanır.
PolicyServers , Policy Servers kayıt defteri anahtarını kullanır.
ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtar adı) kullanır.
RegistryValueName , kayıt defteri değeri adını kullanır (eşleşme öneki için kullanın Name* ).
Değer , yeni sayısal, dize veya tarih kayıt defteri değerini ya da dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .

-delreg

Kayıt defteri değerini siler.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

ca bir Sertifika Yetkilisi'nin kayıt defteri anahtarını kullanır.
geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
İlke , ilke modülünün kayıt defteri anahtarını kullanır.
exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
Şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
Kaydetme , kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
Chain , Chain Configuration kayıt defteri anahtarını kullanır.
PolicyServers , Policy Servers kayıt defteri anahtarını kullanır.
ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtar adı) kullanır.
RegistryValueName , kayıt defteri değeri adını kullanır (eşleşme öneki için kullanın Name* ).
Değer , yeni sayısal, dize veya tarih kayıt defteri değerini ya da dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .
Registry aliases:
- Config
- CA
- İlke - İlkeModülleri
- Çıkış - ExitModules
- Geri Yükleme - RestoreInProgress
- Şablon - Software\Microsoft\Cryptography\CertificateTemplateCache
- Kayıt - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Yazılım \ Microsoft \ Şifreleme \ MSCEP
- Zincir - Yazılım\Microsoft\Şifreleme\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Yazılım\İlkeler\Microsoft\Şifreleme\İlkeSunucuları)
- Crypt32 - Sistem\CurrentControlSet\Hizmetler\crypt32
- NGC - Sistem\CurrentControlSet\Control\Cryptography\Ngc
- Otomatik Güncelleştirme - Yazılım\Microsoft\SystemCertificates\AuthRoot\Otomatik Güncelleştirme
- Passport - Yazılım\İlkeler\Microsoft\PassportForWork
- MDM - Yazılım\Microsoft\Politikalar\PassportForWork

-importKMS

Kullanıcı anahtarlarını ve sertifikalarını anahtar arşivleme için sunucu veritabanına aktarır.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

UserKeyAndCertFile , arşivlenecek kullanıcı özel anahtarlarına ve sertifikalarına sahip bir veri dosyasıdır. Bu dosya şu olabilir:
- Exchange Anahtar Yönetimi Sunucusu (KMS) dışarı aktarma dosyası.
- PFX dosyası.
CertId , bir KMS dışarı aktarma dosyası şifre çözme sertifikası eşleşme belirtecidir. Daha fazla bilgi için bu makaledeki parametresine -store bakın.
-f Sertifika Yetkilisi tarafından verilmemiş sertifikaları içeri aktarır.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Bir sertifika dosyasını veritabanına aktarır.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

ExistingRow , aynı anahtar için bekleyen bir isteğin yerine sertifikayı içeri aktarır.
-f Sertifika Yetkilisi tarafından verilmemiş sertifikaları içeri aktarır.

Options:

[-f] [-config Machine\CAName]

Remarks

Sertifika Yetkilisi'nin de komutunu çalıştırarak certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNyabancı sertifikaları destekleyecek şekilde yapılandırılması gerekebilir.

-GetKey

Arşivlenmiş bir özel anahtar kurtarma blobu alır, bir kurtarma betiği oluşturur veya arşivlenmiş anahtarları kurtarır.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

Betik , anahtarları almak ve kurtarmak için bir betik oluşturur (birden çok eşleşen kurtarma adayı bulunursa veya çıkış dosyası belirtilmemişse varsayılan davranış).
retrieve bir veya daha fazla Anahtar Kurtarma Blobu alır (tam olarak eşleşen bir kurtarma adayı bulunursa ve çıkış dosyası belirtilirse varsayılan davranış). Bu seçeneğin kullanılması tüm uzantıları kesir ve sertifikaya özgü dizeyi ve her anahtar kurtarma blobu için uzantıyı .rec ekler. Her dosya bir sertifika zinciri ve ilişkili bir özel anahtar içerir ve yine de bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasıyla şifrelenir.
recover özel anahtarları tek adımda alır ve kurtarır (Anahtar Kurtarma Aracısı sertifikaları ve özel anahtarlar gerektirir). Bu seçenek kullanıldığında tüm uzantılar kesilir ve uzantı eklenir .p12 . Her dosya kurtarılan sertifika zincirlerini ve pfx dosyası olarak depolanan ilişkili özel anahtarları içerir.
SearchToken , aşağıdakiler de dahil olmak üzere kurtarılacak anahtarları ve sertifikaları seçer:
- Sertifika Ortak Adı
- Sertifika Seri Numarası
- Sertifika SHA-1 karması (parmak izi)
- Sertifika Anahtar Kimliği SHA-1 karması (Konu Anahtarı Tanımlayıcısı)
- İstek Sahibi Adı (etki alanı\kullanıcı)
- UPN (user@domain)
RecoveryBlobOutFile , bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasıyla şifrelenmiş olan bir sertifika zincirine ve ilişkili bir özel anahtara sahip bir dosya çıkarır.
OutputScriptFile , özel anahtarları almak ve kurtarmak için toplu komut dosyası içeren bir dosya çıkarır.
OutputFileBaseName bir dosya tabanı adı verir.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Alma için, herhangi bir uzantı kesilir ve sertifikaya özgü bir dize ve uzantılar .rec her anahtar kurtarma blobu için eklenir. Her dosya bir sertifika zinciri ve ilişkili bir özel anahtar içerir ve yine de bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasıyla şifrelenir.
Kurtarma için, herhangi bir uzantı kesilir ve .p12 uzantı eklenir. Kurtarılan sertifika zincirlerini ve pfx dosyası olarak depolanan ilişkili özel anahtarları içerir.

-RecoverKey

Arşivlenmiş bir özel anahtarı kurtarır.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX dosyalarını birleştirir.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

PFXInFileList , PFX giriş dosyalarının virgülle ayrılmış bir listesidir.
PFXOutFile , PFX çıktı dosyasının adıdır.
Değiştiriciler , aşağıdakilerden bir veya daha fazlasının virgülle ayrılmış listeleridir:
- ExtendedProperties , tüm genişletilmiş özellikleri içerir.
- NoEncryptCert sertifikaların şifrelenmemesini belirtir.
- EncryptCert , sertifikaların şifreleneceğini belirtir.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

Komut satırında belirtilen parola virgülle ayrılmış bir parola listesi olmalıdır.
Birden fazla parola belirtilirse, çıkış dosyası için son parola kullanılır. Yalnızca bir parola sağlanmışsa veya son parola *ise, kullanıcıdan çıkış dosyası parolası istenir.

-add-chain

Bir sertifika zinciri ekler.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Bir sertifika öncesi zinciri ekler.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

İmzalı bir ağaç başı alır.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

İmzalı ağaç başı değişikliklerini alır.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Zaman damgası sunucusundan karma kanıtı alır.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Bir olay günlüğünden girdileri alır.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Sertifika deposundan kök sertifikaları alır.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Bir olay günlüğü girdisini ve şifreleme kanıtını alır.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Sertifika Saydamlığı günlüğünde bir sertifikayı doğrular.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Parametre listesini görüntüler.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

-? parametre listesini görüntüler
-<name_of_parameter> -? belirtilen parametre için yardım içeriğini görüntüler.
-? -v parametrelerin ve seçeneklerin ayrıntılı bir listesini görüntüler.

Options

Bu bölüm, komutuna göre belirtebileceğin tüm seçenekleri tanımlar. Her parametre, hangi seçeneklerin kullanım için geçerli olduğu hakkında bilgi içerir.

Option	Description
-admin	CA özellikleri için ICertAdmin2 kullanın.
-anonymous	Anonim SSL kimlik bilgilerini kullanın.
-cert CertId	Signing certificate.
-clientcertificate clientCertId	X.509 Sertifikası SSL kimlik bilgilerini kullanın. Seçim kullanıcı arabirimi için kullanın `-clientcertificate`.
-config Machine\CAName	Sertifika Yetkilisi ve bilgisayar adı dizesi.
-csp provider	Provider: KSP - Microsoft Yazılım Anahtar Depolama Sağlayıcısı TPM - Microsoft Platform Şifreleme Sağlayıcısı NGC - Microsoft Passport Anahtar Depolama Sağlayıcısı SC - Microsoft Akıllı Kart Anahtar Depolama Sağlayıcısı
-dc DCName	Belirli bir Etki Alanı Denetleyicisini hedefle.
-enterprise	Yerel makine kurumsal kayıt defteri sertifika depounu kullanın.
-f	Force overwrite.
-generateSSTFromWU SSTFile	Otomatik güncelleştirme mekanizmasını kullanarak SST oluşturun.
-gmt	GMT kullanarak görüntüleme süreleri.
-GroupPolicy	Grup ilkesi sertifika depoyu kullanın.
-idispatch	COM yerel yöntemleri yerine IDispatch kullanın.
-kerberos	Kerberos SSL kimlik bilgilerini kullanın.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-mt	Makine şablonlarını görüntüleme.
-nocr	Metni CR karakterleri olmadan kodlama.
-nocrlf	Metni CR-LF karakter olmadan kodlama.
-nullsign	Verilerin karması imza olarak kullanılır.
-oldpfx	Eski PFX şifrelemesi kullanın.
-out columnlist	Virgülle ayrılmış sütun listesi.
-p password	Password
-pin PIN	Akıllı kart PIN'i.
-policyserver URLorID	İlke Sunucusu URL'si veya Kimliği. Seçim U/I için kullanın `-policyserver`. Tüm İlke Sunucuları için `-policyserver *`
-privatekey	Parola ve özel anahtar verilerini görüntüleme.
-protect	Anahtarları parolayla koruyun.
-protectto SAMnameandSIDlist	Virgülle ayrılmış SAM adı/SID listesi.
-restrict restrictionlist	Virgülle ayrılmış Kısıtlama Listesi. Her kısıtlama bir sütun adından, ilişkisel işleç ve sabit bir tamsayıdan, dizeden veya tarihten oluşur. Sıralama düzenini belirtmek için bir sütun adının önünde artı veya eksi işareti olabilir. Örneğin: `requestID = 47`, `+requestername >= a, requestername`veya `-requestername > DOMAIN, Disposition = 21`.
-reverse	Ters Günlük ve Kuyruk sütunları.
-seconds	Saniye ve milisaniye kullanarak zamanları görüntüleme.
-service	Hizmet sertifika deposunu kullanın.
-sid	Numeric SID: 22 - Yerel Sistem 23 - Yerel Servis 24 - Ağ Hizmeti
-silent	Şifreleme bağlamını almak için bayrağını `silent` kullanın.
-split	Eklenmiş ASN.1 öğelerini bölün ve dosyalara kaydedin.
-sslpolicy servername	ServerName ile eşleşen SSL İlkesi.
-symkeyalg symmetrickeyalgorithm[,keylength]	İsteğe bağlı anahtar uzunluğuna sahip Simetrik Anahtar Algoritmasının adı. Örneğin: `AES,128` veya `3DES`.
-syncWithWU DestinationDir	Windows Update ile eşitleyin.
-t timeout	MILIsaniye cinsinden URL getirme zaman aşımı.
-Unicode	Yeniden yönlendirilen çıkışı Unicode olarak yazın.
-UnicodeText	Çıkış dosyasını Unicode olarak yazın.
-urlfetch	AIA Sertifikalarını ve CDP CRL'lerini alın ve doğrulayın.
-user	HKEY_CURRENT_USER anahtarlarını veya sertifika depolarını kullanın.
-username username	SSL kimlik bilgileri için adlandırılmış hesap kullanın. Seçim kullanıcı arabirimi için kullanın `-username`.
-ut	Kullanıcı şablonlarını görüntüleme.
-v	Daha ayrıntılı (ayrıntılı) bilgi sağlayın.
-v1	V1 arabirimlerini kullanın.

Karma algoritmalar: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Bu komutu kullanma hakkında daha fazla örnek için aşağıdaki makalelere bakın:

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-08-16

Aracılığıyla paylaş

certutil

Parameters

-dump

-dumpPFX

-asn

-decodehex

-encodehex

-decode

-encode

-deny

-resubmit

-setattributes

Remarks

-setextension

Remarks

-revoke

-isvalid

-getconfig

-getconfig2

-getconfig3

-ping

-pingadmin

-CAInfo

-CAPropInfo

-ca.cert

-ca.chain

-GetCRL

-CRL

-shutdown

-installCert

-renewCert

-schema

-view

Remarks

-db

-deleterow

Examples

-backup

-backupDB

-backupkey

-restore

-restoredb

-restorekey

-exportPFX

-importPFX

Remarks

-dynamicfilelist

-databaselocations

-hashfile

-store

-enumstore

-addstore

-delstore

-verifystore

-repairstore

-viewstore

-viewdelstore

-UI

-TPMInfo

-attest

-getcert

-ds

-dsDel

-dsPublish

-dsCert

-dsCRL

-dsDeltaCRL

-dsTemplate

-dsAddTemplate

-ADTemplate

-Template

-TemplateCAs

-CATemplates

-SetCATemplates

-SetCASites

Remarks

-enrollmentServerURL

-ADCA

-CA