Aracılığıyla paylaş

certutil

Dikkat

Certutil herhangi bir üretim kodunda kullanılması önerilmez ve canlı site desteği veya uygulama uyumluluk garantisi sağlamaz. Geliştiriciler ve BT yöneticileri tarafından cihazlardaki sertifika içerik bilgilerini görüntülemek için kullanılan bir araçtır.

Certutil.exe, Sertifika Hizmetleri'nin bir parçası olarak yüklenen bir komut satırı programıdır. Sertifika yetkilisi (CA) yapılandırma bilgilerini görüntülemek, Sertifika Hizmetleri'ni yapılandırmak ve CA bileşenlerini yedeklemek ve geri yüklemek için certutil.exe kullanabilirsiniz. Program ayrıca sertifikaları, anahtar çiftlerini ve sertifika zincirlerini de doğrular.

Başka parametreler olmadan bir sertifika yetkilisinde çalıştırılırsa certutil geçerli sertifika yetkilisi yapılandırmasını görüntüler. Diğer parametreler olmadan sertifika olmayan bir yetkilide çalıştırılırsa certutil , komut varsayılan olarak komutu çalıştırır certutil -dump . certutil'in tüm sürümleri bu belgede açıklanan tüm parametreleri ve seçenekleri sağlamaz. certutil sürümünüzün sağladığı seçenekleri veya certutil -?komutunu çalıştırarak certutil <parameter> -? görebilirsiniz.

İpucu

Bağımsız değişkenden gizlenenler de dahil olmak üzere tüm certutil fiilleri ve seçenekleriyle ilgili -? tam yardımı görmek için komutunu çalıştırın certutil -v -uSAGE. Anahtar uSAGE büyük/küçük harfe duyarlıdır.

Parametreler

-dump

Yapılandırma bilgilerini veya dosyaları döküm eder.

certutil [options] [-dump]
certutil [options] [-dump] File

Seçenekler:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX yapısının dökümünü alır.

certutil [options] [-dumpPFX] File

Seçenekler:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Soyut Söz Dizimi Gösterimi (ASN.1) söz dizimini kullanarak dosyanın içeriğini ayrıştırıp görüntüler. Dosya türleri şunlardır: . CER, . DER ve PKCS #7 biçimlendirilmiş dosyalar.

certutil [options] -asn File [type]
  • [type]: sayısal CRYPT_STRING_* kod çözme türü

-decodehex

Onaltılık olarak kodlanmış bir dosyanın kodunu çözer.

certutil [options] -decodehex InFile OutFile [type]
  • [type]: sayısal CRYPT_STRING_* kod çözme türü

Seçenekler:

[-f]

-encodehex

Bir dosyayı onaltılık olarak kodlar.

certutil [options] -encodehex InFile OutFile [type]
  • [type]: sayısal CRYPT_STRING_* kodlama türü

Seçenekler:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 ile kodlanmış bir dosyanın kodunu çözer.

certutil [options] -decode InFile OutFile

Seçenekler:

[-f]

-encode

Bir dosyayı Base64'e kodlar.

certutil [options] -encode InFile OutFile

Seçenekler:

[-f] [-unicodetext]

-deny

Bekleyen bir isteği reddeder.

certutil [options] -deny RequestId

Seçenekler:

[-config Machine\CAName]

-resubmit

Bekleyen bir isteği yeniden gönderin.

certutil [options] -resubmit RequestId

Seçenekler:

[-config Machine\CAName]

-setattributes

Bekleyen sertifika isteğinin özniteliklerini ayarlar.

certutil [options] -setattributes RequestId AttributeString

Nerede:

  • RequestId , bekleyen isteğin sayısal İstek Kimliğidir.
  • AttributeString , istek özniteliği adı ve değer çiftleridir.

Seçenekler:

[-config Machine\CAName]

Açıklamalar

  • Adlar ve değerler iki nokta üst üste ile ayrılmalıdır, birden çok ad ve değer çifti ise yeni satırla ayrılmalıdır. Örneğin: CertificateTemplate:User\nEMail:User@Domain.com sıranın \n yeni satır ayırıcısına dönüştürüldüğü yer.

-setextension

Bekleyen sertifika isteği için bir uzantı ayarlayın.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Nerede:

  • requestID , bekleyen isteğin sayısal İstek Kimliğidir.
  • ExtensionName , uzantının ObjectId dizesidir.
  • Bayraklar uzantının önceliğini ayarlar. 0 önerilir, ancak 1 uzantıyı kritik olarak ayarlar, 2 uzantıyı devre dışı bırakır ve 3 her ikisini de yapar.

Seçenekler:

[-config Machine\CAName]

Açıklamalar

  • Son parametre sayısalsa , Uzun olarak alınır.
  • Son parametre tarih olarak ayrıştırılabilirse Tarih olarak alınır.
  • Son parametre ile \@başlıyorsa, belirtecin geri kalanı ikili veri veya ASCII metin onaltılık dökümü ile dosya adı olarak alınır.
  • Son parametre başka bir şeyse Dize olarak alınır.

-revoke

Sertifikayı iptal eder.

certutil [options] -revoke SerialNumber [Reason]

Nerede:

  • SerialNumber , iptal edilecek sertifika seri numaralarının virgülle ayrılmış bir listesidir.
  • Neden , iptal nedeninin sayısal veya sembolik gösterimidir, örneğin:
    • 0. CRL_REASON_UNSPECIFIED - Belirtilmemiş (varsayılan)
    • 1. CRL_REASON_KEY_COMPROMISE - Anahtar güvenliğini aşma
    • 2. CRL_REASON_CA_COMPROMISE - Sertifika Yetkilisi güvenliğinin aşılmasına neden olur
    • 3. CRL_REASON_AFFILIATION_CHANGED - İlişki değiştirildi
    • 4. CRL_REASON_SUPERSEDED - Değiştirilen
    • 5. CRL_REASON_CESSATION_OF_OPERATION - İşlemin durdurulması
    • 6. CRL_REASON_CERTIFICATE_HOLD - Sertifika tutma
    • 8. CRL_REASON_REMOVE_FROM_CRL - CRL'den kaldırma
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Ayrıcalık geri alındı
    • 10: CRL_REASON_AA_COMPROMISE - AA güvenliğini aşma
    • -1. Oy kaldırma - Oyları Kaldır

Seçenekler:

[-config Machine\CAName]

-isvalid

Geçerli sertifikanın konumunu görüntüler.

certutil [options] -isvalid SerialNumber | CertHash

Seçenekler:

[-config Machine\CAName]

-getconfig

Varsayılan yapılandırma dizesini alır.

certutil [options] -getconfig

Seçenekler:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig aracılığıyla varsayılan yapılandırma dizesini alır.

certutil [options] -getconfig2

Seçenekler:

[-idispatch]

-getconfig3

ICertConfig aracılığıyla yapılandırmayı alır.

certutil [options] -getconfig3

Seçenekler:

[-idispatch]

-ping

Active Directory Sertifika Hizmetleri İstek arabirimiyle iletişim kurmaya çalışır.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Nerede:

  • CAMachineList , CA makine adlarının virgülle ayrılmış bir listesidir. Tek bir makine için sonlandırıcı virgül kullanın. Bu seçenek, her CA makinesi için site maliyetini de görüntüler.

Seçenekler:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory Sertifika Hizmetleri Yönetici arabirimine başvurmaya çalışır.

certutil [options] -pingadmin

Seçenekler:

[-config Machine\CAName]

-CAInfo

Sertifika yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Nerede:

  • InfoName , aşağıdaki infoname bağımsız değişkeni söz dizimine bağlı olarak görüntülenecek CA özelliğini gösterir:
    • * - Tüm özellikleri görüntüler
    • ads - Gelişmiş Sunucu
    • aia [Index] - AIA URL'leri
    • cdp [Index] - CDP URL'leri
    • cert [Index] - CA sertifikası
    • certchain [Index] - CA sertifika zinciri
    • certcount - CA sertifika sayısı
    • certcrlchain [Index] - CRL'ler ile CA sertifika zinciri
    • certstate [Index] - CA sertifikası
    • certstatuscode [Index] - CA sertifikası doğrulama durumu
    • certversion [Index] - CA sertifika sürümü
    • CRL [Dizin] - Temel CRL
    • crlstate [Dizin] - CRL
    • crlstatus [Index] - CRL Yayımlama Durumu
    • cross- [Index] - Geriye dönük çapraz sertifika
    • cross+ [Index] - Çapraz sertifikayı iletme
    • crossstate- [Index] - Geriye dönük çapraz sertifika
    • crossstate+ [Index] - Çapraz sertifikayı iletme
    • deltacrl [Dizin] - Delta CRL
    • deltacrlstatus [Index] - Delta CRL Yayımlama Durumu
    • dns - DNS Adı
    • dsname - Temizlenmiş CA kısa adı (DS adı)
    • error1 ErrorCode - Hata iletisi metni
    • error2 ErrorCode - Hata iletisi metni ve hata kodu
    • exit [Index] - Çıkış modülü açıklaması
    • exitcount - Çıkış modülü sayısı
    • file - Dosya sürümü
    • info - CA bilgileri
    • kra [Index] - KRA sertifikası
    • kracount - KRA sertifika sayısı
    • krastate [Index] - KRA sertifikası
    • kraused - KRA sertifikası kullanılan sayısı
    • localename - CA yerel ayar adı
    • name - CA adı
    • ocsp [Index] - OCSP URL'leri
    • parent - Üst CA
    • policy - İlke modülü açıklaması
    • product - Ürün sürümü
    • propidmax - Maksimum CA PropId
    • role - Rol Ayrımı
    • sanitizedname - Temizlenmiş CA adı
    • sharedfolder - Paylaşılan klasör
    • subjecttemplateoids - Konu Şablonu OID'leri
    • şablonlar - Şablonlar
    • type - CA türü
    • xchg [Index] - CA exchange sertifikası
    • xchgchain [Index] - CA exchange sertifika zinciri
    • xchgcount - CA exchange sertifika sayısı
    • xchgcrlchain [Index] - CRL'ler ile CA exchange sertifika zinciri
  • dizin , isteğe bağlı sıfır tabanlı özellik dizinidir.
  • errorcode , sayısal hata kodudur.

Seçenekler:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA Özellik Türü bilgilerini görüntüler.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Seçenekler:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Sertifika yetkilisinin sertifikasını alır.

certutil [options] -ca.cert OutCACertFile [Index]

Nerede:

  • OutCACertFile çıktı dosyasıdır.
  • Dizin , CA sertifika yenileme dizinidir (varsayılan olarak en son değeri kullanır).

Seçenekler:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Sertifika yetkilisi için sertifika zincirini alır.

certutil [options] -ca.chain OutCACertChainFile [Index]

Nerede:

  • OutCACertChainFile çıkış dosyasıdır.
  • Dizin , CA sertifika yenileme dizinidir (varsayılan olarak en son değeri kullanır).

Seçenekler:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Bir sertifika iptal listesi (CRL) alır.

certutil [options] -GetCRL OutFile [Index] [delta]

Nerede:

  • Dizin , CRL dizini veya anahtar dizinidir (en son anahtar için varsayılan olarak CRL'dir).
  • delta , delta CRL'dir (varsayılan değer temel CRL'dir).

Seçenekler:

[-f] [-split] [-config Machine\CAName]

-CRL

Yeni sertifika iptal listeleri (CRL' ler) veya delta CRL'ler yayımlar.

certutil [options] -CRL [dd:hh | republish] [delta]

Nerede:

  • dd:hh , gün ve saat cinsinden yeni CRL geçerlilik süresidir.
  • en son CRL'leri yeniden yayımlar.
  • delta yalnızca delta CRL'lerini yayımlar (varsayılan değer temel ve delta CRL'leridir).

Seçenekler:

[-split] [-config Machine\CAName]

-shutdown

Active Directory Sertifika Hizmetleri'ni kapatır.

certutil [options] -shutdown

Seçenekler:

[-config Machine\CAName]

-installCert

Bir sertifika yetkilisi sertifikası yükler.

certutil [options] -installCert [CACertFile]

Seçenekler:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Sertifika yetkilisi sertifikasını yeniler.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Seçenekler:

[-f] [-silent] [-config Machine\CAName]
  • Bekleyen yenileme isteğini yoksaymak ve yeni bir istek oluşturmak için kullanın -f .

-schema

Sertifikanın şemasını döküm eder.

certutil [options] -schema [Ext | Attrib | CRL]

Nerede:

  • Komut varsayılan olarak İstek ve Sertifika tablosunu kullanır.
  • Ext , uzantı tablosudur.
  • Öznitelik , öznitelik tablosudur.
  • CRL , CRL tablosudur.

Seçenekler:

[-split] [-config Machine\CAName]

-view

Sertifika görünümünün dökümünü alır.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Nerede:

  • Kuyruk belirli bir istek kuyruğuna döküm atar.
  • Günlük , verilen veya iptal edilen sertifikaların yanı sıra başarısız isteklerin dökümünü alır.
  • LogFail başarısız isteklerin dökümünü alır.
  • İptal edilen , iptal edilen sertifikaların dökümünü alır.
  • Ext , uzantı tablosunun dökümünü alır.
  • Attrib , öznitelik tablosunun dökümünü alır.
  • CRL , CRL tablosunun dökümünü alır.
  • csv , virgülle ayrılmış değerleri kullanarak çıkışı sağlar.

Seçenekler:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Açıklamalar

  • Tüm girişlerin StatusCode sütununu görüntülemek için -out StatusCode
  • Son girdinin tüm sütunlarını görüntülemek için şunu yazın: -restrict RequestId==$
  • Üç isteğin RequestId ve Disposition değerlerini görüntülemek için şunu yazın: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • Tüm Temel CRL'ler için Satır Kimlikleri Satır Kimliklerini ve CRL numaralarını görüntülemek için şunu yazın: -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • 3 numaralı Temel CRL'yi görüntülemek için şunu yazın: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • CRL tablosunun tamamını görüntülemek için şunu yazın: CRL
  • Tarih kısıtlamaları için kullanın Date[+|-dd:hh] .
  • Geçerli saate göre bir tarih için kullanın now+dd:hh .
  • Şablonlar, sertifikanın nasıl kullanıldığını açıklayan nesne tanımlayıcıları (OID) olan Genişletilmiş Anahtar Kullanımları (EKU) içerir. Sertifikalar her zaman şablon ortak adlarını veya görünen adları içermez, ancak her zaman şablon EKU'larını içerir. Active Directory'den belirli bir sertifika şablonu için EKU'ları ayıklayabilir ve ardından bu uzantıya göre görünümleri kısıtlayabilirsiniz.

-db

Ham veritabanının dökümünü alır.

certutil [options] -db

Seçenekler:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Sunucu veritabanından bir satırı siler.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Nerede:

  • İstek , gönderme tarihine göre başarısız ve bekleyen istekleri siler.
  • Sertifika , süresi dolan ve iptal edilen sertifikaları son kullanma tarihine göre siler.
  • Ext uzantı tablosunu siler.
  • Attrib öznitelik tablosunu siler.
  • CRL , CRL tablosunu siler.

Seçenekler:

[-f] [-config Machine\CAName]

Örnekler

  • 22 Ocak 2001'e kadar gönderilen başarısız ve bekleyen istekleri silmek için şunu yazın: 1/22/2001 request
  • 22 Ocak 2001'e kadar süresi dolan tüm sertifikaları silmek için şunu yazın: 1/22/2001 cert
  • RequestID 37'nin sertifika satırını, özniteliklerini ve uzantılarını silmek için şunu yazın: 37
  • 22 Ocak 2001'de süresi dolan CRL'leri silmek için şunu yazın: 1/22/2001 crl

Uyarı

Tarih, biçimini 22 Ocak 2001 yerine mm/dd/yyyy yerine bekler dd/mm/yyyy1/22/200122/1/2001. Sunucunuz ABD bölgesel ayarlarıyla yapılandırılmamışsa Tarih bağımsız değişkeninin kullanılması beklenmeyen sonuçlara neden olabilir.

-backup

Active Directory Sertifika Hizmetleri'ni yedekler.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Nerede:

  • BackupDirectory , yedeklenen verilerin depolandığı dizindir.
  • Artımlı yalnızca artımlı yedekleme gerçekleştirir (varsayılan, tam yedeklemedir).
  • KeepLog , veritabanı günlük dosyalarını korur (varsayılan olarak günlük dosyalarının kesilmesidir).

Seçenekler:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory Sertifika Hizmetleri veritabanını yedekler.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Nerede:

  • BackupDirectory , yedeklenen veritabanı dosyalarının depolandığı dizindir.
  • Artımlı yalnızca artımlı yedekleme gerçekleştirir (varsayılan, tam yedeklemedir).
  • KeepLog , veritabanı günlük dosyalarını korur (varsayılan olarak günlük dosyalarının kesilmesidir).

Seçenekler:

[-f] [-config Machine\CAName]

-backupkey

Active Directory Sertifika Hizmetleri sertifikasını ve özel anahtarı yedekler.

certutil [options] -backupkey BackupDirectory

Nerede:

  • BackupDirectory , yedeklenen PFX dosyasının depolandığı dizindir.

Seçenekler:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory Sertifika Hizmetleri'ni geri yükler.

certutil [options] -restore BackupDirectory

Nerede:

  • BackupDirectory , geri yüklenecek verileri içeren dizindir.

Seçenekler:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory Sertifika Hizmetleri veritabanını geri yükler.

certutil [options] -restoredb BackupDirectory

Nerede:

  • BackupDirectory , geri yüklenecek veritabanı dosyalarını içeren dizindir.

Seçenekler:

[-f] [-config Machine\CAName]

-restorekey

Active Directory Sertifika Hizmetleri sertifikasını ve özel anahtarı geri yükler.

certutil [options] -restorekey BackupDirectory | PFXFile

Nerede:

  • BackupDirectory , geri yüklenecek PFX dosyasını içeren dizindir.
  • PFXFile , geri yüklenecek PFX dosyasıdır.

Seçenekler:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Sertifikaları ve özel anahtarları dışarı aktarır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Nerede:

  • CertificateStoreName , sertifika deposunun adıdır.
  • CertId , sertifika veya CRL eşleşme belirtecidir.
  • PFXFile , dışarı aktarılacak PFX dosyasıdır.
  • Değiştiriciler virgülle ayrılmış listedir ve aşağıdakilerden birini veya daha fazlasını içerebilir:
    • CryptoAlgorithm= veya TripleDES-Sha1gibi Aes256-Sha256 PFX dosyasını şifrelemek için kullanılacak şifreleme algoritmasını belirtir.
    • EncryptCert - Sertifikayla ilişkili özel anahtarı parolayla şifreler.
    • ExportParameters , sertifikaya ve özel anahtara ek olarak özel anahtar parametrelerini -Exports.
    • ExtendedProperties - Çıkış dosyasındaki sertifikayla ilişkili tüm genişletilmiş özellikleri içerir.
    • NoEncryptCert - Özel anahtarı şifrelemeden dışarı aktarır.
    • NoChain - Sertifika zincirini içeri aktarmaz.
    • NoRoot - Kök sertifikayı içeri aktarmaz.

-importPFX

Sertifikaları ve özel anahtarları içeri aktarır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Nerede:

  • CertificateStoreName , sertifika deposunun adıdır.
  • PFXFile , içeri aktarılacak PFX dosyasıdır.
  • Değiştiriciler virgülle ayrılmış listedir ve aşağıdakilerden birini veya daha fazlasını içerebilir:
    • AT_KEYEXCHANGE - Anahtar türünü anahtar değişimi olarak değiştirir.
    • AT_SIGNATURE - Anahtar türünü imza olarak değiştirir.
    • ExportEncrypted - Parola şifrelemesi ile sertifikayla ilişkili özel anahtarı dışarı aktarır.
    • FriendlyName= - İçeri aktarılan sertifika için kolay bir ad belirtir.
    • KeyDescription= - İçeri aktarılan sertifikayla ilişkili özel anahtar için bir açıklama belirtir.
    • KeyFriendlyName= - İçeri aktarılan sertifikayla ilişkili özel anahtar için kolay bir ad belirtir.
    • NoCert - Sertifikayı içeri aktarmaz.
    • NoChain - Sertifika zincirini içeri aktarmaz.
    • NoExport - Özel anahtarı dışarı aktarılamaz hale getirir.
    • NoProtect - Parola kullanarak anahtarları korumaz.
    • NoRoot - Kök sertifikayı içeri aktarmaz.
    • Pkcs8 - PFX dosyasındaki özel anahtar için PKCS8 biçimini kullanır.
    • Koru - Parola kullanarak anahtarları korur.
    • ProtectHigh - Yüksek güvenlikli bir parolanın özel anahtarla ilişkilendirilmesi gerektiğini belirtir.
    • VSM - İçeri aktarılan sertifikayla ilişkili özel anahtarı Sanal Akıllı Kart (VSC) kapsayıcısında depolar.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Açıklamalar

  • Varsayılan olarak kişisel makine deposuna yöneliktir.

-dynamicfilelist

Dinamik bir dosya listesi görüntüler.

certutil [options] -dynamicfilelist

Seçenekler:

[-config Machine\CAName]

-databaselocations

Veritabanı konumlarını görüntüler.

certutil [options] -databaselocations

Seçenekler:

[-config Machine\CAName]

-hashfile

Bir dosya üzerinde şifreleme karması oluşturur ve görüntüler.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Sertifika deposunun dökümünü alır.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Nerede:

  • CertificateStoreName , sertifika deposu adıdır. Örneğin:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId , sertifika veya CRL eşleşme belirtecidir. Bu kimlik şu olabilir:

    • Seri numarası
    • SHA-1 sertifikası
    • CRL, CTL veya ortak anahtar karması
    • Sayısal sertifika dizini (0, 1 vb.)
    • Sayısal CRL dizini (.0, .1 vb.)
    • Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
    • Ortak anahtar
    • signature veya extension ObjectId
    • Sertifika konusu Ortak Adı
    • E-posta adresi
    • UPN veya DNS adı
    • Anahtar kapsayıcı adı veya CSP adı
    • Şablon adı veya ObjectId
    • EKU veya Uygulama İlkeleri ObjectId
    • CRL veren Ortak Adı.

Bu tanımlayıcıların çoğu birden çok eşleşmeye neden olabilir.

  • OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
  • seçeneği -enterprise bir makine kurumsal deposuna erişir.
  • seçeneği -service bir makine hizmeti deposuna erişir.
  • seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

Örneğin:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Uyarı

Parametresi kullanılırken -store şu iki açıdan performans sorunları gözlemlenir:

  1. Depodaki sertifika sayısı 10'u aştığında.
  2. Bir CertId belirtildiğinde, her sertifika için listelenen tüm türleri eşleştirmek için kullanılır. Örneğin, bir seri numarası sağlanırsa, listelenen diğer tüm türleri eşleştirmeyi de dener.

Performans sorunlarıyla ilgileniyorsanız, yalnızca belirtilen sertifika türüyle eşleşeceği PowerShell komutları önerilir.

-enumstore

Sertifika depolarını numaralandırır.

certutil [options] -enumstore [\\MachineName]

Nerede:

  • MachineName uzak makine adıdır.

Seçenekler:

[-enterprise] [-user] [-grouppolicy]

-addstore

Depoya bir sertifika ekler. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -addstore CertificateStoreName InFile

Nerede:

  • CertificateStoreName , sertifika deposu adıdır.
  • InFile , depoya eklemek istediğiniz sertifika veya CRL dosyasıdır.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Bir sertifikayı depodan siler. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -delstore CertificateStoreName certID

Nerede:

  • CertificateStoreName , sertifika deposu adıdır.
  • CertId , sertifika veya CRL eşleşme belirtecidir.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Depodaki bir sertifikayı doğrular. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -verifystore CertificateStoreName [CertId]

Nerede:

  • CertificateStoreName , sertifika deposu adıdır.
  • CertId , sertifika veya CRL eşleşme belirtecidir.

Seçenekler:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Bir anahtar ilişkilendirmesini veya güncelleştirme sertifikası özelliklerini ya da anahtar güvenlik tanımlayıcısını onarın. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Nerede:

  • CertificateStoreName , sertifika deposu adıdır.

  • CertIdList , sertifika veya CRL eşleşme belirteçlerinin virgülle ayrılmış listesidir. Daha fazla bilgi için bu makaledeki -store CertId açıklamasına bakın.

  • PropertyInfFile , aşağıdakiler dahil olmak üzere dış özellikleri içeren INF dosyasıdır:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Sertifika deposunun dökümünü alır. Daha fazla bilgi için bu makaledeki parametresine -store bakın.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Nerede:

  • CertificateStoreName , sertifika deposu adıdır. Örneğin:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId , sertifika veya CRL eşleşme belirtecidir. Bu bir olabilir:

    • Seri numarası
    • SHA-1 sertifikası
    • CRL, CTL veya ortak anahtar karması
    • Sayısal sertifika dizini (0, 1 vb.)
    • Sayısal CRL dizini (.0, .1 vb.)
    • Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
    • Ortak anahtar
    • signature veya extension ObjectId
    • Sertifika konusu Ortak Adı
    • E-posta adresi
    • UPN veya DNS adı
    • Anahtar kapsayıcı adı veya CSP adı
    • Şablon adı veya ObjectId
    • EKU veya Uygulama İlkeleri ObjectId
    • CRL veren Ortak Adı.

Bunların çoğu birden çok eşleşmeye neden olabilir.

  • OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
  • seçeneği -enterprise bir makine kurumsal deposuna erişir.
  • seçeneği -service bir makine hizmeti deposuna erişir.
  • seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

Örneğin:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Bir sertifikayı depodan siler.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Nerede:

  • CertificateStoreName , sertifika deposu adıdır. Örneğin:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId , sertifika veya CRL eşleşme belirtecidir. Bu bir olabilir:

    • Seri numarası
    • SHA-1 sertifikası
    • CRL, CTL veya ortak anahtar karması
    • Sayısal sertifika dizini (0, 1 vb.)
    • Sayısal CRL dizini (.0, .1 vb.)
    • Sayısal CTL dizini (.. 0, .. 1 ve benzeri)
    • Ortak anahtar
    • signature veya extension ObjectId
    • Sertifika konusu Ortak Adı
    • E-posta adresi
    • UPN veya DNS adı
    • Anahtar kapsayıcı adı veya CSP adı
    • Şablon adı veya ObjectId
    • EKU veya Uygulama İlkeleri ObjectId
    • CRL veren Ortak Adı.

Bunların çoğu birden çok eşleşmeye neden olabilir.

  • OutputFile , eşleşen sertifikaları kaydetmek için kullanılan dosyadır.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • seçeneği -user , makine deposu yerine bir kullanıcı deposuna erişir.
  • seçeneği -enterprise bir makine kurumsal deposuna erişir.
  • seçeneği -service bir makine hizmeti deposuna erişir.
  • seçeneği -grouppolicy bir makine grubu ilke deposuna erişir.

Örneğin:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

certutil arabirimini çağırır.

certutil [options] -UI File [import]

-TPMInfo

Güvenilen Platform Modülü Bilgilerini görüntüler.

certutil [options] -TPMInfo

Seçenekler:

[-f] [-Silent] [-split]

-attest

Sertifika isteği dosyasının doğrulanması gerektiğini belirtir.

certutil [options] -attest RequestFile

Seçenekler:

[-user] [-Silent] [-split]

-getcert

Seçim kullanıcı arabiriminden bir sertifika seçer.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Seçenekler:

[-Silent] [-split]

-ds

Dizin hizmeti (DS) ayırt edici adlarını (DN) görüntüler.

certutil [options] -ds [CommonName]

Seçenekler:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN'lerini siler.

certutil [options] -dsDel [CommonName]

Seçenekler:

[-user] [-split] [-dc DCName]

-dsPublish

Active Directory'de bir sertifika veya sertifika iptal listesi (CRL) yayımlar.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Nerede:

  • CertFile , yayımlayacak sertifika dosyasının adıdır.
  • NTAuthCA sertifikayı DS Enterprise deposunda yayımlar.
  • RootCA , sertifikayı DS Güvenilen Kök deposunda yayımlar.
  • SubCA , CA sertifikasını DS CA nesnesine yayımlar.
  • CrossCA , çapraz sertifikayı DS CA nesnesine yayımlar.
  • KRA , sertifikayı DS Anahtar Kurtarma Aracısı nesnesine yayımlar.
  • Kullanıcı , sertifikayı Kullanıcı DS nesnesine yayımlar.
  • Makine sertifikayı Machine DS nesnesine yayımlar.
  • CRLfile , yayımlanması gereken CRL dosyasının adıdır.
  • DSCDPContainer , genellikle CA makine adı olan DS CDP kapsayıcısı CN'dir.
  • DSCDPCN , temizlenmiş CA kısa adını ve anahtar dizinini temel alan DS CDP nesnesi CN'dir.

Seçenekler:

[-f] [-user] [-dc DCName]
  • Yeni bir DS nesnesi oluşturmak için kullanın -f .

-dsCert

DS sertifikalarını görüntüler.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Seçenekler:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL'lerini görüntüler.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Seçenekler:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS delta CRL'lerini görüntüler.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Seçenekler:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS şablon özniteliklerini görüntüler.

certutil [options] -dsTemplate [Template]

Seçenekler:

[Silent] [-dc DCName]

-dsAddTemplate

DS şablonları ekler.

certutil [options] -dsAddTemplate TemplateInfFile

Seçenekler:

[-dc DCName]

-ADTemplate

Active Directory şablonlarını görüntüler.

certutil [options] -ADTemplate [Template]

Seçenekler:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Sertifika kayıt ilkesi şablonlarını görüntüler.

Seçenekler:

certutil [options] -Template [Template]

Seçenekler:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Sertifika şablonu için sertifika yetkililerini (CA) görüntüler.

certutil [options] -TemplateCAs Template

Seçenekler:

[-f] [-user] [-dc DCName]

-CATemplates

Sertifika Yetkilisi için şablonları görüntüler.

certutil [options] -CATemplates [Template]

Seçenekler:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Sertifika Yetkilisinin düzenleyebileceği sertifika şablonlarını ayarlar.

certutil [options] -SetCATemplates [+ | -] TemplateList

Nerede:

  • İşaret sertifika + şablonlarını CA'nın kullanılabilir şablon listesine ekler.
  • bu işaret sertifika - şablonlarını CA'nın kullanılabilir şablon listesinden kaldırır.

-SetCASites

Sertifika Yetkilisi site adlarını ayarlama, doğrulama ve silme dahil olmak üzere site adlarını yönetir.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Nerede:

  • SiteName'e yalnızca tek bir Sertifika Yetkilisi hedeflendiğinde izin verilir.

Seçenekler:

[-f] [-config Machine\CAName] [-dc DCName]

Açıklamalar

  • seçeneği -config tek bir Sertifika Yetkilisi'ni hedefler (varsayılan olarak tüm CA'lardır).
  • Bu -f seçenek, belirtilen SiteName için doğrulama hatalarını geçersiz kılmak veya tüm CA site adlarını silmek için kullanılabilir.

Uyarı

Active Directory Etki Alanı Hizmetleri (AD DS) site tanıma için CA'ları yapılandırma hakkında daha fazla bilgi için bkz. AD CS ve PKI istemcileri için AD DS Site Tanıma.

-enrollmentServerURL

CA ile ilişkili kayıt sunucusu URL'lerini görüntüler, ekler veya siler.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Nerede:

  • AuthenticationType , URL eklerken aşağıdaki istemci kimlik doğrulama yöntemlerinden birini belirtir:
    • Kerberos - Kerberos SSL kimlik bilgilerini kullanın.
    • UserName - SSL kimlik bilgileri için adlandırılmış bir hesap kullanın.
    • ClientCertificate - X.509 Sertifikası SSL kimlik bilgilerini kullanın.
    • Anonim - Anonim SSL kimlik bilgilerini kullanın.
  • delete , CA ile ilişkili belirtilen URL'yi siler.
  • Url eklenirken öncelik belirtilmezse varsayılan olarak 1 belirlenir.
  • Değiştiriciler , aşağıdakilerden birini veya daha fazlasını içeren virgülle ayrılmış bir listedir:
    • AllowRenewalsBu CA'ya yalnızca yenileme istekleri bu URL aracılığıyla gönderilebilir.
    • AllowKeyBasedRenewal , AD'de ilişkili hesabı olmayan bir sertifikanın kullanılmasına izin verir. Bu yalnızca ClientCertificate ve AllowRenewalsOnly modunda geçerlidir.

Seçenekler:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory Sertifika Yetkilileri'ni görüntüler.

certutil [options] -ADCA [CAName]

Seçenekler:

[-f] [-split] [-dc DCName]

-CA

Kayıt ilkesi Sertifika Yetkilileri'ni görüntüler.

certutil [options] -CA [CAName | TemplateName]

Seçenekler:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Kayıt ilkesini görüntüler.

certutil [options] -Policy

Seçenekler:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Kayıt ilkesi önbellek girdilerini görüntüler veya siler.

certutil [options] -PolicyCache [delete]

Nerede:

  • delete , ilke sunucusu önbellek girdilerini siler.
  • -f tüm önbellek girdilerini siler

Seçenekler:

[-f] [-user] [-policyserver URLorID]

-CredStore

Kimlik Bilgisi Deposu girdilerini görüntüler, ekler veya siler.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Nerede:

  • URL , hedef URL'dir. Ayrıca, tüm girdileri eşleştirmek veya * bir URL ön eki eşleştirmek için de kullanabilirsinizhttps://machine*.
  • add bir kimlik bilgisi deposu girdisi ekler. Bu seçeneği kullanmak için SSL kimlik bilgilerinin de kullanılması gerekir.
  • delete , kimlik bilgisi deposu girdilerini siler.
  • -f tek bir girişin üzerine yazar veya birden çok girdiyi siler.

Seçenekler:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Varsayılan sertifika şablonlarını yükler.

certutil [options] -InstallDefaultTemplates

Seçenekler:

[-dc DCName]

-URL

Sertifika veya CRL URL'lerini doğrular.

certutil [options] -URL InFile | URL

Seçenekler:

[-f] [-split]

-URLCache

URL önbellek girdilerini görüntüler veya siler.

certutil [options] -URLcache [URL | CRL | * [delete]]

Nerede:

  • URL , önbelleğe alınan URL'dir.
  • CRL yalnızca önbelleğe alınmış tüm CRL URL'lerinde çalışır.
  • * önbelleğe alınmış tüm URL'lerde çalışır.
  • silme geçerli kullanıcının yerel önbelleğinden ilgili URL'leri siler.
  • -f , belirli bir URL'yi getirmeye ve önbelleği güncelleştirmeye zorlar.

Seçenekler:

[-f] [-split]

-pulse

Otomatik kayıt olayını veya NGC görevini darbeler.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Nerede:

  • GörevAdı tetikleme görevidir.
    • Pregen , NGC Anahtar pregen görevidir.
    • AIKEnroll , NGC AIK sertifika kayıt görevidir. (Varsayılan olarak otomatik kayıt olayını kullanır).
  • SRKThumbprint , Depolama Kök Anahtarının parmak izidir
  • Değiştiriciler:
    • Pregen (Öngen)
    • PregenDelay (PregenGecikme)
    • AIKEnroll (İngilizce)
    • Kripto Politikası
    • NgcPregenKey (NgcPregen)
    • DIMSRoam

Seçenekler:

[-user]

-MachineInfo

Active Directory makine nesnesi hakkındaki bilgileri görüntüler.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Etki alanı denetleyicisi hakkındaki bilgileri görüntüler. Varsayılan ayar dc sertifikalarını doğrulama olmadan görüntüler.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

  • Değiştiriciler:

    • Doğrulama
    • SilBad
    • SilTüm

Seçenekler:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

İpucu

Windows Server 2012'de Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı [Etki Alanı] ve etki alanı denetleyicisi (-dc) belirtme özelliği eklenmiştir. Komutu başarıyla çalıştırmak için Domain Admins veya Enterprise Admins üyesi olan bir hesap kullanmanız gerekir. Bu komutun davranış değişiklikleri aşağıdaki gibidir:

  • Bir etki alanı belirtilmezse ve belirli bir etki alanı denetleyicisi belirtilmezse, bu seçenek varsayılan etki alanı denetleyicisinden işlenmek üzere bir etki alanı denetleyicileri listesi döndürür.
  • Bir etki alanı belirtilmezse, ancak bir etki alanı denetleyicisi belirtilirse, belirtilen etki alanı denetleyicisindeki sertifikaların bir raporu oluşturulur.
  • Bir etki alanı belirtilirse, ancak bir etki alanı denetleyicisi belirtilmezse, listedeki her etki alanı denetleyicisi için sertifikalar üzerinde raporlar ile birlikte bir etki alanı denetleyicileri listesi oluşturulur.
  • Etki alanı ve etki alanı denetleyicisi belirtilirse, hedeflenen etki alanı denetleyicisinden etki alanı denetleyicilerinin listesi oluşturulur. Listedeki her etki alanı denetleyicisi için sertifikaların bir raporu da oluşturulur.

Örneğin CPANDL-DC1 adlı etki alanı denetleyicisine sahip CPANDL adlı bir etki alanı olduğunu varsayalım. CPANDL-DC1'den etki alanı denetleyicilerinin ve sertifikalarının listesini almak için aşağıdaki komutu çalıştırabilirsiniz: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Kurumsal Sertifika Yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -EntInfo DomainName\MachineName$

Seçenekler:

[-f] [-user]

-TCAInfo

Sertifika Yetkilisi hakkındaki bilgileri görüntüler.

certutil [options] -TCAInfo [DomainDN | -]

Seçenekler:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Akıllı kart hakkındaki bilgileri görüntüler.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Nerede:

  • CRYPT_DELETEKEYSET akıllı kart üzerindeki tüm tuşları siler.

Seçenekler:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Akıllı kart kök sertifikalarını yönetir.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Seçenekler:

[-f] [-split] [-p Password]

-key

Anahtar kapsayıcısında depolanan anahtarları listeler.

certutil [options] -key [KeyContainerName | -]

Nerede:

  • KeyContainerName , anahtarın doğrulanması için anahtar kapsayıcı adıdır. Bu seçenek varsayılan olarak makine anahtarlarıdır. Kullanıcı anahtarlarına geçmek için kullanın -user.
  • İşareti - kullanmak, varsayılan anahtar kapsayıcısını kullanmayı ifade eder.

Seçenekler:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Adlandırılmış anahtar kapsayıcısını siler.

certutil [options] -delkey KeyContainerName

Seçenekler:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Tüm WebAuthn ve FIDO kimlik bilgileri dahil olmak üzere cihazda depolanan tüm ilişkili kimlik bilgilerini kaldırarak Windows Hello kapsayıcısını siler.

Kullanıcıların tamamlanması için bu seçeneği kullandıktan sonra oturumu kapatmaları gerekir.

certutil [options] -DeleteHelloContainer

-verifykeys

Ortak veya özel anahtar kümesini doğrular.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Nerede:

  • KeyContainerName , anahtarın doğrulanması için anahtar kapsayıcı adıdır. Bu seçenek varsayılan olarak makine anahtarlarıdır. Kullanıcı anahtarlarına geçmek için kullanın -user.
  • CACertFile sertifika dosyalarını imzalar veya şifreler.

Seçenekler:

[-f] [-user] [-Silent] [-config Machine\CAName]

Açıklamalar

  • Hiçbir bağımsız değişken belirtilmezse, her imzalama CA sertifikası kendi özel anahtarıyla doğrulanır.
  • Bu işlem yalnızca yerel ca veya yerel anahtarlara karşı gerçekleştirilebilir.

-verify

Sertifikayı, sertifika iptal listesini (CRL) veya sertifika zincirini doğrular.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Nerede:

  • CertFile , doğrulanması gereken sertifikanın adıdır.
  • ApplicationPolicyList , gerekli Uygulama İlkesi ObjectId'lerinin isteğe bağlı virgülle ayrılmış listesidir.
  • IssuancePolicyList , gerekli Verme İlkesi Nesne Kimliklerinin isteğe bağlı virgülle ayrılmış listesidir.
  • CACertFile , doğrulanması gereken isteğe bağlı veren CA sertifikasıdır.
  • CrossedCACertFile , CertFile tarafından çapraz sertifikalı isteğe bağlı sertifikadır.
  • CRLFile , CACertFile'ı doğrulamak için kullanılan CRL dosyasıdır.
  • IssuedCertFile , CRLfile kapsamında verilen isteğe bağlı sertifikadır.
  • DeltaCRLFile , isteğe bağlı delta CRL dosyasıdır.
  • Değiştiriciler:
    • Güçlü - Güçlü imza doğrulaması
    • MSRoot - Microsoft köküne zincirlemeli
    • MSTestRoot - Microsoft test köküne zincirlemeli
    • AppRoot - Microsoft uygulama köküne zincirlemeli
    • EV - Genişletilmiş Doğrulama İlkesini Zorunlu Kılma

Seçenekler:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Açıklamalar

  • ApplicationPolicyList'in kullanılması, zincir oluşturma işlemini yalnızca belirtilen Uygulama İlkeleri için geçerli zincirlerle kısıtlar.
  • IssuancePolicyList kullanılması, zincir oluşturma işlemini yalnızca belirtilen Verme İlkeleri için geçerli zincirlerle kısıtlar.
  • CACertFile kullanıldığında, dosyadaki alanlar CertFile veya CRLfile ile doğrulanır.
  • CACertFile belirtilmezse, tam zincir CertFile ile oluşturulur ve doğrulanır.
  • CACertFile ve CrossedCACertFile her ikisi de belirtilirse, her iki dosyadaki alanlar CertFile ile doğrulanır.
  • IssuedCertFile kullanıldığında, dosyadaki alanlar CRLfile'a karşı doğrulanır.
  • DeltaCRLFile kullanıldığında dosyadaki alanlar CertFile ile doğrulanır.

-verifyCTL

AuthRoot veya İzin Verilmeyen Sertifikalar CTL'sini doğrular.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Nerede:

  • CTLObject , aşağıdakiler dahil olmak üzere doğrulanması gereken CTL'yi tanımlar:

    • AuthRootWU , URL önbelleğinden AuthRoot CAB ve eşleşen sertifikaları okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
    • İzin VerilmeyenWU , İzin Verilmeyen Sertifikalar CAB ve izin verilmeyen sertifika deposu dosyasını URL önbelleğinden okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
      • PinRulesWU , PINRules CAB'yi URL önbelleğinden okur. Bunun yerine Windows Update'ten indirmek için kullanın -f .
    • AuthRoot , kayıt defteri önbelleğe alınmış AuthRoot CTL'yi okur. Kayıt defteri önbelleğe alınmış -f ve İzin Verilmeyen Sertifika CTL'lerini güncelleştirmeye zorlamak için ve ile güvenilmeyen bir CertFile kullanın.
    • İzin verilmeyen , kayıt defteri önbelleğe alınmış İzin Verilmeyen Sertifikalar CTL'sini okur. Kayıt defteri önbelleğe alınmış -f ve İzin Verilmeyen Sertifika CTL'lerini güncelleştirmeye zorlamak için ve ile güvenilmeyen bir CertFile kullanın.
      • PinRules , önbelleğe alınan kayıt defteri PinRules CTL'yi okur. kullanımı -f, PinRulesWU ile aynı davranışa sahiptir.
    • CTLFileName , CTL veya CAB dosyasının dosyasını veya http yolunu belirtir.

  • CertDir , CTL girdileriyle eşleşen sertifikaları içeren klasörü belirtir. Varsayılan olarak CTLobject ile aynı klasörü veya web sitesini kullanır. Http klasörü yolu kullanmak için sonunda bir yol ayırıcısı gerekir. AuthRoot veya İzin Verilmeyen belirtmezseniz, yerel sertifika depoları, crypt32.dll kaynakları ve yerel URL önbelleği gibi eşleşen sertifikalar için birden çok konum aranır. Gerektiğinde Windows Update'ten indirmek için kullanın -f .

  • CertFile , doğrulanması gereken sertifikaları belirtir. Sertifikalar CTL girdileriyle eşleştirilir ve sonuçlar görüntülenir. Bu seçenek varsayılan çıkışın çoğunu gizler.

Seçenekler:

[-f] [-user] [-split]

-syncWithWU

Sertifikaları Windows Update ile eşitler.

certutil [options] -syncWithWU DestinationDir

Nerede:

  • DestinationDir belirtilen dizindir.
  • f üzerine yazmaya zorlar.
  • Unicode , yeniden yönlendirilen çıkışı Unicode olarak yazar.
  • gmt , saatleri GMT olarak görüntüler.
  • saniye , saniye ve milisaniye cinsinden zamanları görüntüler.
  • v ayrıntılı bir işlemdir.
  • PIN , Akıllı Kart PIN'idir.
  • WELL_KNOWN_SID_TYPE sayısal bir SID'dir:
    • 22 - Yerel Sistem
    • 23 - Yerel Hizmet
    • 24 - Ağ Hizmeti

Açıklamalar

Aşağıdaki dosyalar otomatik güncelleştirme mekanizması kullanılarak indirilir:

  • authrootstl.cab , Microsoft dışı kök sertifikaların CTL'lerini içerir.
  • disallowedcertstl.cab güvenilmeyen sertifikaların CTL'lerini içerir.
  • disallowedcert.sst , güvenilmeyen sertifikalar da dahil olmak üzere serileştirilmiş sertifika depoyu içerir.
  • thumbprint.crt , Microsoft dışı kök sertifikaları içerir.

Örneğin, certutil -syncWithWU \\server1\PKI\CTLs.

  • Hedef klasör olarak var olmayan bir yerel yol veya klasör kullanıyorsanız şu hatayı görürsünüz: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Hedef klasör olarak var olmayan veya kullanılamayan bir ağ konumu kullanıyorsanız şu hatayı görürsünüz: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Sunucunuz 80 numaralı TCP bağlantı noktası üzerinden Microsoft Otomatik Güncelleştirme sunucularına bağlanamıyorsa aşağıdaki hatayı alırsınız: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Sunucunuz DNS adıyla ctldl.windowsupdate.comMicrosoft Otomatik Güncelleştirme sunucularına ulaşamıyorsa aşağıdaki hatayı alırsınız: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Anahtarını kullanmazsanız -f ve CTL dosyalarından herhangi biri dizinde zaten varsa, bir dosya var hatası alırsınız: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • Güvenilen kök sertifikalarda bir değişiklik varsa şunları görürsünüz: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Seçenekler:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update ile eşitlenmiş bir depolama dosyası oluşturur.

certutil [options] -generateSSTFromWU SSTFile

Nerede:

  • SSTFile , Windows Update'ten .sst indirilen Üçüncü Taraf Köklerini içeren oluşturulacak dosyadır.

Seçenekler:

[-f] [-split]

-generatePinRulesCTL

Sabitleme kurallarının listesini içeren bir Sertifika Güven Listesi (CTL) dosyası oluşturur.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Nerede:

  • XMLFile , ayrıştırılacak giriş XML dosyasıdır.
  • CTLFile , oluşturulacak çıkış CTL dosyasıdır.
  • SSTFile , sabitleme için kullanılan tüm sertifikaları içeren, oluşturulacak isteğe bağlı .sst dosyadır.
  • QueryFilesPrefix , veritabanı sorgusu için oluşturulacak isteğe bağlı Domains.csv ve Keys.csv dosyalarıdır.
    • QueryFilesPrefix dizesi, oluşturulan her dosyaya eklenir.
    • Domains.csv dosyası kural adı, etki alanı satırları içerir.
    • Keys.csv dosyası kural adı, anahtar SHA256 parmak izi satırları içerir.

Seçenekler:

[-f]

-downloadOcsp

OCSP yanıtlarını ve yazma işlemlerini dizine indirir.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Nerede:

  • CertificateDir bir sertifika, depolama ve PFX dosyalarının dizinidir.
  • OcspDir , OCSP yanıtları yazacak dizindir.
  • ThreadCount , eşzamanlı indirme için isteğe bağlı en fazla iş parçacığı sayısıdır. Varsayılan değer 10'dur.
  • Değiştiriciler , aşağıdakilerden birinin veya daha fazlasının virgülle ayrılmış listesidir:
    • DownloadOnce - Bir kez indirir ve çıkar.
    • ReadOcsp - Yazmak yerine OcspDir'den okur.

-generateHpkpHeader

Belirtilen dosya veya dizindeki sertifikaları kullanarak HPKP üst bilgisini oluşturur.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Nerede:

  • CertFileOrDir , pin-sha256'nın kaynağı olan sertifikaların dosyası veya dizinidir.
  • MaxAge , saniye olarak maksimum yaş değeridir.
  • ReportUri isteğe bağlı report-uri'dir.
  • Değiştiriciler , aşağıdakilerden birinin veya daha fazlasının virgülle ayrılmış listesidir:
    • includeSubDomains - includeSubDomains ekler.

-flushCache

Seçilen işlemde belirtilen önbellekleri temizler, örneğin, lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Nerede:

  • ProcessId , temizlenen bir işlemin sayısal kimliğidir. Temizlemenin etkinleştirildiği tüm işlemleri temizlemek için 0 olarak ayarlayın.

  • CacheMask , sayısal veya aşağıdaki bitlerden temizlenecek önbelleklerin bit maskesidir:

    • 0: Yalnızca Göster
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

  • Değiştiriciler , aşağıdakilerden birinin veya daha fazlasının virgülle ayrılmış listesidir:

    • Göster - Boşaltılan önbellekleri gösterir. Certutil açıkça sonlandırılmalıdır.

-addEccCurve

ECC Eğrisi ekler.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Nerede:

  • CurveClass , ECC Eğri Sınıfı türüdür:

    • WEIERSTRASS (Varsayılan)
    • MONTGOMERY
    • TWISTED_EDWARDS

  • CurveName , ECC Eğrisi adıdır.

  • CurveParameters aşağıdakilerden biridir:

    • ASN ile kodlanmış parametreleri içeren bir sertifika dosya adı.
    • ASN kodlanmış parametreleri içeren bir dosya.

  • CurveOID , ECC Eğrisi OID'dir ve aşağıdakilerden biridir:

    • ASN ile kodlanmış OID içeren bir sertifika dosya adı.
    • Açık bir ECC Eğrisi OID.

  • CurveType , Schannel ECC NamedCurve noktasıdır (sayısal).

Seçenekler:

[-f]

-deleteEccCurve

ECC Eğrisini siler.

certutil [options] -deleteEccCurve CurveName | CurveOID

Nerede:

  • CurveName , ECC Eğrisi adıdır.
  • CurveOID , ECC Eğrisi OID'dir.

Seçenekler:

[-f]

-displayEccCurve

ECC Eğrisini görüntüler.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Nerede:

  • CurveName , ECC Eğrisi adıdır.
  • CurveOID , ECC Eğrisi OID'dir.

Seçenekler:

[-f]

-csplist

Şifreleme işlemleri için bu makinede yüklü şifreleme hizmeti sağlayıcılarını (CSP' ler) listeler.

certutil [options] -csplist [Algorithm]

Seçenekler:

[-user] [-Silent] [-csp Provider]

-csptest

Bu makinede yüklü CSP'leri test edin.

certutil [options] -csptest [Algorithm]

Seçenekler:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Bu makinede CNG şifreleme yapılandırmasını görüntüler.

certutil [options] -CNGConfig

Seçenekler:

[-Silent]

-sign

Sertifika iptal listesini (CRL) veya sertifikayı yeniden imzalar.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Nerede:

  • InFileList , değiştirilecek ve yeniden imzalanacak sertifika veya CRL dosyalarının virgülle ayrılmış listesidir.

  • SerialNumber , oluşturulacak sertifikanın seri numarasıdır. Geçerlilik süresi ve diğer seçenekler mevcut olamaz.

  • CRL boş bir CRL oluşturur. Geçerlilik süresi ve diğer seçenekler mevcut olamaz.

  • OutFileList , değiştirilen sertifika veya CRL çıkış dosyalarının virgülle ayrılmış listesidir. Dosya sayısı, infilelist ile eşleşmelidir.

  • StartDate+dd:hh , sertifika veya CRL dosyaları için aşağıdakiler dahil olmak üzere yeni geçerlilik süresidir:

    • isteğe bağlı tarih artı
    • isteğe bağlı gün ve saat geçerlilik süresi Birden çok alan kullanılıyorsa, (+) veya (-) ayırıcısı kullanın. Geçerli saatte başlamak için kullanın now[+dd:hh] . Geçerli zamandan ve sabit geçerlilik süresinden sabit bir uzaklıkta başlamak için kullanın now-dd:hh+dd:hh . Son kullanma tarihi olmaması için kullanın never (yalnızca CRL'ler için).

  • SerialNumberList , eklenecek veya kaldırılacak dosyaların virgülle ayrılmış seri numarası listesidir.

  • ObjectIdList , kaldırılacak dosyaların virgülle ayrılmış ObjectId uzantısıdır.

  • @ExtensionFile , güncelleştirilecek veya kaldırılacak uzantıları içeren INF dosyasıdır. Örneğin:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • HashAlgorithm , karma algoritmanın adıdır. Bu yalnızca işaretin önündeki # metin olmalıdır.

  • AlternateSignatureAlgorithm , alternatif imza algoritması tanımlayıcısıdır.

Seçenekler:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Açıklamalar

  • Eksi işareti (-) kullanıldığında seri numaraları ve uzantılar kaldırılır.
  • Artı işareti (+) kullanıldığında CRL'ye seri numaraları eklenir.
  • CrL'den aynı anda hem seri numaralarını hem de ObjectId'leri kaldırmak için bir liste kullanabilirsiniz.
  • AlternateSignatureAlgorithm'ten önce eksi işaretini kullanmak, eski imza biçimini kullanmanıza olanak tanır.
  • Artı işaretini kullanmak alternatif imza biçimini kullanmanıza olanak tanır.
  • AlternateSignatureAlgorithm belirtmezseniz, sertifikadaki veya CRL'deki imza biçimi kullanılır.

-vroot

Web sanal köklerini ve dosya paylaşımlarını oluşturur veya siler.

certutil [options] -vroot [delete]

-vocsproot

OCSP web proxy'si için web sanal köklerini oluşturur veya siler.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Belirtilen Sertifika Yetkilisi için gerekirse bir Kayıt Sunucusu uygulaması ve uygulama havuzu ekler. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Nerede:

  • addEnrollmentServer , Sertifika Kayıt Sunucusu'na istemci bağlantısı için aşağıdakiler de dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:

    • Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
    • UserName , SSL kimlik bilgileri için adlandırılmış hesap kullanır.
    • ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.

  • Değiştiriciler:

    • AllowRenewalsOnly , URL aracılığıyla sertifika yetkilisine yalnızca yenileme isteği gönderimlerine izin verir.
    • AllowKeyBasedRenewal , Active Directory'de ilişkili hesabı olmayan bir sertifikanın kullanılmasına izin verir. Bu, ClientCertificate ve AllowRenewalsOnly moduyla kullanıldığında geçerlidir.

Seçenekler:

[-config Machine\CAName]

-deleteEnrollmentServer

Belirtilen Sertifika Yetkilisi için gerekirse bir Kayıt Sunucusu uygulamasını ve uygulama havuzunu siler. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Nerede:

  • deleteEnrollmentServer , Sertifika Kayıt Sunucusu'na istemci bağlantısı için aşağıdakiler de dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
    • Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
    • UserName , SSL kimlik bilgileri için adlandırılmış hesap kullanır.
    • ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.

Seçenekler:

[-config Machine\CAName]

-addPolicyServer

Gerekirse bir İlke Sunucusu uygulaması ve uygulama havuzu ekleyin. Bu komut ikili dosyaları veya paketleri yüklemez.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Nerede:

  • addPolicyServer , Sertifika İlkesi Sunucusu'na istemci bağlantısı için aşağıdakiler de dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
    • Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
    • UserName , SSL kimlik bilgileri için adlandırılmış hesap kullanır.
    • ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.
  • KeyBasedRenewal , keybasedrenewal şablonları içeren istemciye döndürülen ilkelerin kullanılmasına izin verir. Bu seçenek yalnızca UserName ve ClientCertificate kimlik doğrulaması için geçerlidir.

-deletePolicyServer

Gerekirse bir İlke Sunucusu uygulamasını ve uygulama havuzunu siler. Bu komut ikili dosyaları veya paketleri kaldırmaz.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Nerede:

  • deletePolicyServer , Sertifika İlkesi Sunucusu'na istemci bağlantısı için aşağıdakiler de dahil olmak üzere bir kimlik doğrulama yöntemi kullanmanızı gerektirir:
    • Kerberos , Kerberos SSL kimlik bilgilerini kullanır.
    • UserName , SSL kimlik bilgileri için adlandırılmış hesap kullanır.
    • ClientCertificate , X.509 Sertifikası SSL kimlik bilgilerini kullanır.
  • KeyBasedRenewal , KeyBasedRenewal ilke sunucusunun kullanılmasına izin verir.

-Class

COM kayıt defteri bilgilerini görüntüler.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Seçenekler:

[-f]

-7f

0x7f uzunluk kodlamaları için sertifikayı denetler.

certutil [options] -7f CertFile

-oid

Nesne tanımlayıcısını görüntüler veya bir görünen ad ayarlar.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Nerede:

  • ObjectId , görüntülenecek veya görünen ada eklenecek kimliktir.
  • GroupId , ObjectId'lerin numaralandırmış olduğu GroupID sayısıdır (ondalık).
  • AlgId, objectID'nin aradığı onaltılık kimliktir.
  • AlgorithmName , objectID'nin baktığı algoritma adıdır.
  • DisplayName , DS'de depolanmaya yönelik adı görüntüler.
  • Sil seçeneği görünen adı siler.
  • LanguageId , dil kimliği değeridir (varsayılan olarak geçerli: 1033).
  • Tür , aşağıdakiler dahil olmak üzere oluşturulacak DS nesnesinin türüdür:
    • 1 - Şablon (varsayılan)
    • 2 - Verme İlkesi
    • 3 - Uygulama İlkesi
  • -f bir DS nesnesi oluşturur.

Seçenekler:

[-f]

-error

Hata koduyla ilişkili ileti metnini görüntüler.

certutil [options] -error ErrorCode

-getsmtpinfo

Basit Posta Aktarım Protokolü (SMTP) bilgilerini alır.

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP bilgilerini ayarlar.

certutil [options] -setsmtpinfo LogonName

Seçenekler:

[-config Machine\CAName] [-p Password]

-getreg

Kayıt defteri değerini görüntüler.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Nerede:

  • ca , sertifika yetkilisinin kayıt defteri anahtarını kullanır.
  • geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
  • ilke , ilke modülünün kayıt defteri anahtarını kullanır.
  • exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
  • şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
  • kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
  • chain , zincir yapılandırma kayıt defteri anahtarını kullanır.
  • PolicyServers , İlke Sunucuları kayıt defteri anahtarını kullanır.
  • ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtarı adı) kullanır.
  • RegistryValueName , kayıt defteri değer adını kullanır (eşleşmeye ön ek eklemek için kullanın Name* ).
  • değeri yeni sayısal, dize veya tarih kayıt defteri değerini veya dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Açıklamalar

  • Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
  • Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
  • Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
  • Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
  • REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
  • Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .
  • Kayıt defteri diğer adları:
    • Yapılandırma
    • CA
    • İlke - İlkeModülleri
    • Çıkış - ExitModules
    • Geri Yükleme - RestoreInProgress
    • Şablon - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Kayıt - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Yazılım \ Microsoft \ Şifreleme \ MSCEP
    • Zincir - Yazılım\Microsoft\Şifreleme\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Yazılım\İlkeler\Microsoft\Şifreleme\İlkeSunucuları)
    • Crypt32 - Sistem\CurrentControlSet\Hizmetler\crypt32
    • NGC - Sistem\CurrentControlSet\Control\Cryptography\Ngc
    • Otomatik Güncelleştirme - Yazılım\Microsoft\SystemCertificates\AuthRoot\Otomatik Güncelleştirme
    • Passport - Yazılım\İlkeler\Microsoft\PassportForWork
    • MDM - Yazılım\Microsoft\Politikalar\PassportForWork

-setreg

Bir kayıt defteri değeri ayarlar.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Nerede:

  • ca , sertifika yetkilisinin kayıt defteri anahtarını kullanır.
  • geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
  • ilke , ilke modülünün kayıt defteri anahtarını kullanır.
  • exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
  • şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
  • kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
  • chain , zincir yapılandırma kayıt defteri anahtarını kullanır.
  • PolicyServers , İlke Sunucuları kayıt defteri anahtarını kullanır.
  • ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtarı adı) kullanır.
  • RegistryValueName , kayıt defteri değer adını kullanır (eşleşmeye ön ek eklemek için kullanın Name* ).
  • Değer , yeni sayısal, dize veya tarih kayıt defteri değerini veya dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Açıklamalar

  • Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
  • Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
  • Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
  • Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
  • REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
  • Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .

-delreg

Kayıt defteri değerini siler.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Nerede:

  • ca , sertifika yetkilisinin kayıt defteri anahtarını kullanır.
  • geri yükleme , Sertifika Yetkilisi'nin geri yükleme kayıt defteri anahtarını kullanır.
  • ilke , ilke modülünün kayıt defteri anahtarını kullanır.
  • exit , ilk çıkış modülünün kayıt defteri anahtarını kullanır.
  • şablon , şablon kayıt defteri anahtarını kullanır (kullanıcı şablonları için kullanın -user ).
  • kayıt kayıt defteri anahtarını kullanır (kullanıcı bağlamı için kullanın -user ).
  • chain , zincir yapılandırma kayıt defteri anahtarını kullanır.
  • PolicyServers , İlke Sunucuları kayıt defteri anahtarını kullanır.
  • ProgId , ilke veya çıkış modülünün ProgID'sini (kayıt defteri alt anahtarı adı) kullanır.
  • RegistryValueName , kayıt defteri değer adını kullanır (eşleşmeye ön ek eklemek için kullanın Name* ).
  • Değer , yeni sayısal, dize veya tarih kayıt defteri değerini veya dosya adını kullanır. Sayısal bir değer veya +ile - başlıyorsa, yeni değerde belirtilen bitler mevcut kayıt defteri değerinde ayarlanır veya temizlenir.

Seçenekler:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Açıklamalar

  • Bir dize değeri veya +ile - başlıyorsa ve var olan değer bir REG_MULTI_SZ değerse, dize var olan kayıt defteri değerine eklenir veya bu değerden kaldırılır. Değer REG_MULTI_SZ oluşturmaya zorlamak için dize değerinin sonuna ekleyin \n .
  • Değer ile \@başlıyorsa, değerin geri kalanı ikili değerin onaltılık metin gösterimini içeren dosyanın adıdır.
  • Geçerli bir dosyaya başvurmazsa, bunun yerine isteğe bağlı tarih artı veya eksi isteğe bağlı gün ve saat olarak [Date][+|-][dd:hh] ayrıştırılır.
  • Her ikisi de belirtilirse, artı işareti (+) veya eksi işareti (-) ayırıcısı kullanın. Geçerli saate göre bir tarih için kullanın now+dd:hh .
  • REG_QWORD değeri oluşturmak için sonek olarak kullanın i64 .
  • Önbelleğe alınan CRL'leri etkili bir şekilde temizlemek için kullanın chain\chaincacheresyncfiletime @now .
  • Kayıt defteri diğer adları:
    • Yapılandırma
    • CA
    • İlke - İlkeModülleri
    • Çıkış - ExitModules
    • Geri Yükleme - RestoreInProgress
    • Şablon - Software\Microsoft\Cryptography\CertificateTemplateCache
    • Kayıt - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - Yazılım \ Microsoft \ Şifreleme \ MSCEP
    • Zincir - Yazılım\Microsoft\Şifreleme\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Yazılım\İlkeler\Microsoft\Şifreleme\İlkeSunucuları)
    • Crypt32 - Sistem\CurrentControlSet\Hizmetler\crypt32
    • NGC - Sistem\CurrentControlSet\Control\Cryptography\Ngc
    • Otomatik Güncelleştirme - Yazılım\Microsoft\SystemCertificates\AuthRoot\Otomatik Güncelleştirme
    • Passport - Yazılım\İlkeler\Microsoft\PassportForWork
    • MDM - Yazılım\Microsoft\Politikalar\PassportForWork

-importKMS

Kullanıcı anahtarlarını ve sertifikalarını anahtar arşivleme için sunucu veritabanına aktarır.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Nerede:

  • UserKeyAndCertFile , arşivlenecek kullanıcı özel anahtarları ve sertifikaları olan bir veri dosyasıdır. Bu dosya şu olabilir:
    • Exchange Anahtar Yönetimi Sunucusu (KMS) dışarı aktarma dosyası.
    • PFX dosyası.
  • CertId bir KMS dışarı aktarma dosyası şifre çözme sertifikası eşleştirme belirtecidir. Daha fazla bilgi için bu makaledeki parametresine -store bakın.
  • -f Sertifika Yetkilisi tarafından verilmemiş sertifikaları içeri aktarır.

Seçenekler:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Bir sertifika dosyasını veritabanına aktarır.

certutil [options] -ImportCert Certfile [ExistingRow]

Nerede:

  • ExistingRow , aynı anahtar için bekleyen bir istek yerine sertifikayı içeri aktarır.
  • -f Sertifika Yetkilisi tarafından verilmemiş sertifikaları içeri aktarır.

Seçenekler:

[-f] [-config Machine\CAName]

Açıklamalar

Sertifika Yetkilisi'nin de komutunu çalıştırarak certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNyabancı sertifikaları destekleyecek şekilde yapılandırılması gerekebilir.

-GetKey

Arşivlenmiş bir özel anahtar kurtarma blobu alır, bir kurtarma betiği oluşturur veya arşivlenmiş anahtarları kurtarır.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Nerede:

  • betik anahtarları almak ve kurtarmak için bir betik oluşturur (birden çok eşleşen kurtarma adayı bulunursa veya çıkış dosyası belirtilmezse varsayılan davranış).
  • alma işlemi bir veya daha fazla Anahtar Kurtarma Blobu alır (tam olarak bir eşleşen kurtarma adayı bulunursa ve çıkış dosyası belirtilirse varsayılan davranış). Bu seçeneğin kullanılması tüm uzantıları kesir ve sertifikaya özgü dizeyi ve her anahtar kurtarma blobu için uzantıyı .rec ekler. Her dosya bir sertifika zinciri ve ilişkili bir özel anahtar içerir ve yine de bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasıyla şifrelenir.
  • recover , bir adımda özel anahtarları alır ve kurtarır (Anahtar Kurtarma Aracısı sertifikaları ve özel anahtarlar gerektirir). Bu seçenek kullanıldığında tüm uzantılar kesilir ve uzantı eklenir .p12 . Her dosya kurtarılan sertifika zincirlerini ve pfx dosyası olarak depolanan ilişkili özel anahtarları içerir.
  • SearchToken kurtarılacak anahtarları ve sertifikaları seçer, örneğin:
    • Sertifika Ortak Adı
    • Sertifika Seri Numarası
    • Sertifika SHA-1 karması (parmak izi)
    • Sertifika Anahtar Kimliği SHA-1 karması (Konu Anahtarı Tanımlayıcısı)
    • İstek Sahibi Adı (etki alanı\kullanıcı)
    • UPN (user@domain)
  • RecoveryBlobOutFile , bir sertifika zincirine ve ilişkili özel anahtara sahip bir dosyanın çıkışını oluşturur ve yine de bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasına şifrelenir.
  • OutputScriptFile , özel anahtarları almak ve kurtarmak için toplu iş betiği içeren bir dosya çıkışı oluşturur.
  • OutputFileBaseName bir dosya temel adı oluşturur.

Seçenekler:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Açıklamalar

  • Almak için tüm uzantılar kesilir ve sertifikaya .rec özgü bir dize ile her anahtar kurtarma blobu için uzantılar eklenir. Her dosya bir sertifika zinciri ve ilişkili bir özel anahtar içerir ve yine de bir veya daha fazla Anahtar Kurtarma Aracısı sertifikasıyla şifrelenir.
  • Kurtarma için tüm uzantılar kesilir ve .p12 uzantı eklenir. Kurtarılan sertifika zincirlerini ve pfx dosyası olarak depolanan ilişkili özel anahtarları içerir.

-RecoverKey

Arşivlenmiş bir özel anahtarı kurtarır.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Seçenekler:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX dosyalarını birleştirir.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Nerede:

  • PFXInFileList , PFX giriş dosyalarının virgülle ayrılmış bir listesidir.
  • PFXOutFile , PFX çıkış dosyasının adıdır.
  • Değiştiriciler , aşağıdakilerden birinin veya daha fazlasının virgülle ayrılmış listeleridir:
    • ExtendedProperties tüm genişletilmiş özellikleri içerir.
    • NoEncryptCert sertifikaların şifrelenmemesi için belirtir.
    • EncryptCert , sertifikaların şifrelenmesi için belirtir.

Seçenekler:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Açıklamalar

  • Komut satırında belirtilen parola virgülle ayrılmış bir parola listesi olmalıdır.
  • Birden fazla parola belirtilirse, çıkış dosyası için son parola kullanılır. Yalnızca bir parola sağlanmışsa veya son parola *ise, kullanıcıdan çıkış dosyası parolası istenir.

-add-chain

Bir sertifika zinciri ekler.

certutil [options] -add-chain LogId certificate OutFile

Seçenekler:

[-f]

-add-pre-chain

Bir sertifika öncesi zinciri ekler.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Seçenekler:

[-f]

-get-sth

İmzalı bir ağaç başı alır.

certutil [options] -get-sth [LogId]

Seçenekler:

[-f]

-get-sth-consistency

İmzalı ağaç başı değişikliklerini alır.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Seçenekler:

[-f]

-get-proof-by-hash

Zaman damgası sunucusundan karma kanıtı alır.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Seçenekler:

[-f]

-get-entries

Bir olay günlüğünden girdileri alır.

certutil [options] -get-entries LogId FirstIndex LastIndex

Seçenekler:

[-f]

-get-roots

Sertifika deposundan kök sertifikaları alır.

certutil [options] -get-roots LogId

Seçenekler:

[-f]

-get-entry-and-proof

Bir olay günlüğü girdisini ve şifreleme kanıtını alır.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Seçenekler:

[-f]

-VerifyCT

Sertifika Saydamlığı günlüğünde bir sertifikayı doğrular.

certutil [options] -VerifyCT Certificate SCT [precert]

Seçenekler:

[-f]

-?

Parametre listesini görüntüler.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Nerede:

  • -? parametre listesini görüntüler
  • -<name_of_parameter> -? belirtilen parametre için yardım içeriğini görüntüler.
  • -? -v parametrelerin ve seçeneklerin ayrıntılı bir listesini görüntüler.

Seçenekler

Bu bölüm, komutuna göre belirtebileceğin tüm seçenekleri tanımlar. Her parametre, hangi seçeneklerin kullanım için geçerli olduğu hakkında bilgi içerir.

Seçenek Açıklama
-Admin CA özellikleri için ICertAdmin2 kullanın.
-Anonim Anonim SSL kimlik bilgilerini kullanın.
-cert Sertifika Kimliği İmzalama sertifikası.
-clientcertificate clientCertId X.509 Sertifikası SSL kimlik bilgilerini kullanın. Seçim kullanıcı arabirimi için kullanın -clientcertificate.
-config Makinesi\CAName Sertifika Yetkilisi ve bilgisayar adı dizesi.
-csp sağlayıcısı Sağlayıcı:
KSP - Microsoft Yazılım Anahtarı Depolama Sağlayıcısı
TPM - Microsoft Platform Şifreleme Sağlayıcısı
NGC - Microsoft Passport Anahtar Depolama Sağlayıcısı
SC - Microsoft Akıllı Kart Anahtar Depolama Sağlayıcısı
-dc DCName Belirli bir Etki Alanı Denetleyicisini hedefle.
-kuruluş Yerel makine kurumsal kayıt defteri sertifika depounu kullanın.
-f Üzerine yazmaya zorla.
-generateSSTFromWU SSTFile Otomatik güncelleştirme mekanizmasını kullanarak SST oluşturun.
-Gmt GMT kullanarak görüntüleme süreleri.
-Grup İlkesi Grup ilkesi sertifika depoyu kullanın.
-idispatch COM yerel yöntemleri yerine IDispatch kullanın.
-kerberos Kerberos SSL kimlik bilgilerini kullanın.
-location alternatestoragelocation (-loc) AlternateStorageLocation.
-Mt Makine şablonlarını görüntüleme.
-nocr Metni CR karakterleri olmadan kodlama.
-nocrlf Metni CR-LF karakter olmadan kodlama.
-null işareti Verilerin karması imza olarak kullanılır.
-oldpfx Eski PFX şifrelemesi kullanın.
-out sütun listesi Virgülle ayrılmış sütun listesi.
-p parolası Şifre
-pin PIN'i Akıllı kart PIN'i.
-policyserver URLorID İlke Sunucusu URL'si veya Kimliği. Seçim U/I için kullanın -policyserver. Tüm İlke Sunucuları için -policyserver *
-özel anahtar Parola ve özel anahtar verilerini görüntüleme.
-korumak Anahtarları parolayla koruyun.
-protectSAMnameandSIDlist'e Virgülle ayrılmış SAM adı/SID listesi.
-kısıtlama listesini kısıtla Virgülle ayrılmış Kısıtlama Listesi. Her kısıtlama bir sütun adından, ilişkisel işleç ve sabit bir tamsayıdan, dizeden veya tarihten oluşur. Sıralama düzenini belirtmek için bir sütun adının önünde artı veya eksi işareti olabilir. Örneğin: requestID = 47, +requestername >= a, requesternameveya -requestername > DOMAIN, Disposition = 21.
-ters Ters Günlük ve Kuyruk sütunları.
-Saniye Saniye ve milisaniye kullanarak zamanları görüntüleme.
-hizmet Hizmet sertifika deposunu kullanın.
-sıd Sayısal SID:
22 - Yerel Sistem
23 - Yerel Hizmet
24 - Ağ Hizmeti
-sessiz Şifreleme bağlamını almak için bayrağını silent kullanın.
-yarmak Eklenmiş ASN.1 öğelerini bölün ve dosyalara kaydedin.
-sslpolicy sunucu adı ServerName ile eşleşen SSL İlkesi.
-symkeyalg symmetrickeyalgorithm[,keylength] İsteğe bağlı anahtar uzunluğuna sahip Simetrik Anahtar Algoritmasının adı. Örneğin: AES,128 veya 3DES.
-syncWithWU Hedef Dizini Windows Update ile eşitleyin.
-t zaman aşımı MILIsaniye cinsinden URL getirme zaman aşımı.
-Unicode (Tek Kod) Yeniden yönlendirilen çıkışı Unicode olarak yazın.
-Unicode Metin Çıkış dosyasını Unicode olarak yazın.
-urlfetch AIA Sertifikalarını ve CDP CRL'lerini alın ve doğrulayın.
-kullanıcı HKEY_CURRENT_USER anahtarlarını veya sertifika depolarını kullanın.
-username kullanıcı adı SSL kimlik bilgileri için adlandırılmış hesap kullanın. Seçim kullanıcı arabirimi için kullanın -username.
-Ut Kullanıcı şablonlarını görüntüleme.
-v Daha ayrıntılı (ayrıntılı) bilgi sağlayın.
-v1 V1 arabirimlerini kullanın.

Karma algoritmalar: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Bu komutu kullanma hakkında daha fazla örnek için aşağıdaki makalelere bakın: