certutil
Certutil.exe是作为证书服务的一部分安装的命令行程序。 可以使用certutil.exe转储和显示证书颁发机构 (CA) 配置信息、配置证书服务、备份和还原 CA 组件,以及验证证书、密钥对和证书链。
如果在证书颁发机构上运行 certutil 且没有其他参数,则会显示当前的证书颁发机构配置。 如果 certutil 在非证书颁发机构上运行,则命令默认为运行该 certutil [-dump] 命令。
重要
早期版本的 certutil 可能无法提供本文档中所述的所有选项。 可以通过运行 certutil -? 或 certutil <parameter> -?查看特定版本的 certutil 提供的所有选项。
parameters
-dump
转储配置信息或文件。
certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]
-asn
使用抽象语法表示法分析并显示文件的内容, (ASN.1) 语法。 文件类型包括 。CER。DER 和 PKCS #7 格式化文件。
certutil [options] -asn file [type]
[type]:数值CRYPT_STRING_* 解码类型
-decodehex
解码十六进制编码的文件。
certutil [options] -decodehex infile outfile [type]
[type]:numeric CRYPT_STRING_* 编码类型
[-f]
-decode
解码 Base64 编码的文件。
certutil [options] -decode infile outfile
[-f]
-encode
将文件编码为 Base64。
certutil [options] -encode infile outfile
[-f] [-unicodetext]
-deny
拒绝挂起的请求。
certutil [options] -deny requestID
[-config Machine\CAName]
-resubmit
重新提交挂起的请求。
certutil [options] -resubmit requestId
[-config Machine\CAName]
-setattributes
设置挂起的证书请求的属性。
certutil [options] -setattributes RequestID attributestring
其中:
requestID 是挂起请求的数值请求 ID。
attributestring 是请求属性名称和值对。
[-config Machine\CAName]
注解
- 名称和值必须冒号分隔,而多个名称,值对必须换行分隔。 例如:
CertificateTemplate:User\nEMail:User@Domain.com序列\n转换为换行符的位置。
-setextension
为挂起的证书请求设置扩展。
certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}
其中:
requestID 是挂起请求的数值请求 ID。
extensionname 是扩展的 ObjectId 字符串。
标志 设置扩展的优先级。
0建议在将扩展设置为关键时1禁用2该扩展,并3同时执行这两项操作。
[-config Machine\CAName]
注解
如果最后一个参数为数值,则将其视为 Long。
如果最后一个参数可以分析为日期,则它被视为 Date。
如果最后一个参数以
\@开头,则其余的令牌将用作包含二进制数据的文件名或 ascii 文本十六进制转储。如果最后一个参数是任何其他参数,则它被视为字符串。
-revoke
撤销证书。
certutil [options] -revoke serialnumber [reason]
其中:
serialnumber 是要撤销的证书序列号的逗号分隔列表。
reason 是吊销原因的数字或符号表示形式,包括:
0. CRL_REASON_UNSPECIFIED - 未指定的默认 (默认)
1. CRL_REASON_KEY_COMPROMISE - 密钥泄露
2. CRL_REASON_CA_COMPROMISE - 证书颁发机构泄露
3. CRL_REASON_AFFILIATION_CHANGED - 关联已更改
4. CRL_REASON_SUPERSEDED - 取代
5. CRL_REASON_CESSATION_OF_OPERATION - 停止操作
6. CRL_REASON_CERTIFICATE_HOLD - 证书保留
8. CRL_REASON_REMOVE_FROM_CRL - 从 CRL 中删除
-1. Unrevoke - Unrevoke
[-config Machine\CAName]
-isvalid
显示当前证书的处置。
certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]
-getconfig
获取默认配置字符串。
certutil [options] -getconfig
[-config Machine\CAName]
-ping
尝试联系 Active Directory 证书服务请求接口。
certutil [options] -ping [maxsecondstowait | camachinelist]
其中:
- camachinelist 是 CA 计算机名称的逗号分隔列表。 对于单个计算机,请使用终止逗号。 此选项还显示每个 CA 计算机的站点成本。
[-config Machine\CAName]
-cainfo
显示有关证书颁发机构的信息。
certutil [options] -cainfo [infoname [index | errorcode]]
其中:
infoname 根据以下 infoname 参数语法指示要显示的 CA 属性:
文件 - 文件版本
product - 产品 版本
exitcount - Exit module count
退出
[index]- 退出模块说明策略 - 策略 模块说明
name - CA 名称
sanitizedname - Sanitized CA 名称
dsname - Sanitized CA short name (DS name)
sharedfolder - 共享文件夹
error1 ErrorCode - 错误消息文本
error2 ErrorCode - 错误消息文本和错误代码
type - CA 类型
info - CA 信息
父 级 - 父 CA
certcount - CA 证书计数
xchgcount - CA exchange 证书计数
kracount - KRA 证书计数
kraused - KRA 证书已用计数
propidmax - 最大 CA PropId
certstate
[index]- CA 证书certversion
[index]- CA 证书版本certstatuscode
[index]- CA 证书验证状态crlstate
[index]- CRLkrastate
[index]- KRA 证书crossstate+
[index]- 转发交叉证书crossstate-
[index]- 向后交叉证书证书
[index]- CA 证书证书链
[index]- CA 证书链certcrlchain
[index]- 包含 CRL 的 CA 证书链xchg
[index]- CA 交换证书xchgchain
[index]- CA 交换证书链xchgcrlchain
[index]- CA 交换证书链与 CRLkra
[index]- KRA 证书cross+
[index]- 转发交叉证书cross-
[index]- 向后交叉证书CRL
[index]- 基本 CRLdeltacrl
[index]- Delta CRLcrlstatus
[index]- CRL 发布状态deltacrlstatus
[index]- 增量 CRL 发布状态dns - DNS 名称
role - 角色 分离
广告 - 高级服务器
模板 - 模板
Csp
[index]- OCSP URL友邦 保险
[index]- AIA URLCdp
[index]- CDP URLlocalename - CA 区域设置名称
subjecttemplateoids - 主题模板 OID
* - 显示所有属性
索引 是可选的从零开始的属性索引。
errorcode 是数值错误代码。
[-f] [-split] [-config Machine\CAName]
-ca.cert
检索证书颁发机构的证书。
certutil [options] -ca.cert outcacertfile [index]
其中:
outcacertfile 是输出文件。
索引 是 CA 证书续订索引, (默认为最新的) 。
[-f] [-split] [-config Machine\CAName]
-ca.chain
检索证书颁发机构的证书链。
certutil [options] -ca.chain outcacertchainfile [index]
其中:
outcacertchainfile 是输出文件。
索引 是 CA 证书续订索引, (默认为最新的) 。
[-f] [-split] [-config Machine\CAName]
-getcrl
获取 CRL) (证书吊销列表。
certutil [options] -getcrl outfile [index] [delta]
其中:
index 是 CRL 索引或键索引, (最近键) 默认为 CRL。
delta 是增量 CRL (默认值为基 CRL) 。
[-f] [-split] [-config Machine\CAName]
-crl
发布新的证书吊销列表 (CRL) 或增量 CRL。
certutil [options] -crl [dd:hh | republish] [delta]
其中:
dd:hh 是新的 CRL 有效期(以天和小时为单位)。
重新发布 最新 CRL。
增量 仅发布增量 CRL, (默认值为基数,增量 CRL) 。
[-split] [-config Machine\CAName]
-shutdown
关闭 Active Directory 证书服务。
certutil [options] -shutdown
[-config Machine\CAName]
-installcert
安装证书颁发机构证书。
certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]
-renewcert
续订证书颁发机构证书。
certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
- 用于
-f忽略未完成的续订请求并生成新请求。
[-f] [-silent] [-config Machine\CAName]
-schema
转储证书的架构。
certutil [options] -schema [ext | attrib | cRL]
其中:
该命令默认为“请求”和“证书”表。
ext 是扩展表。
属性 是属性表。
crl 是 CRL 表。
[-split] [-config Machine\CAName]
-view
转储证书视图。
certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]
其中:
队列 会转储特定的请求队列。
日志 会转储已颁发或吊销的证书,以及任何失败的请求。
logfail 转储失败的请求。
已吊销 的转储已吊销的证书。
ext 转储扩展表。
属性 转储属性表。
crl 转储 CRL 表。
csv 使用逗号分隔的值提供输出。
[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
注解
若要显示所有条目的 StatusCode 列,请键入
-out StatusCode若要显示最后一个条目的所有列,请键入:
-restrict RequestId==$若要显示三个请求的 RequestID 和 处置 ,请键入:
-restrict requestID>37,requestID<40 -out requestID,disposition若要显示所有基 CRL 的行 ID 和 CRL 编号 ,请键入:
-restrict crlminbase=0 -out crlrowID,crlnumber crl若要显示,请键入:
-v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl若要显示整个 CRL 表,请键入:
CRL用于
Date[+|-dd:hh]日期限制。用于
now+dd:hh相对于当前时间的日期。
-db
转储原始数据库。
certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]
-deleterow
从服务器数据库中删除行。
certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]
其中:
请求 根据提交日期删除失败和挂起的请求。
证书 根据到期日期删除已过期和吊销的证书。
ext 删除扩展表。
属性 将删除属性表。
crl 删除 CRL 表。
[-f] [-config Machine\CAName]
示例
若要删除在 2001 年 1 月 22 日之前提交的失败和挂起请求,请键入:
1/22/2001 request若要删除到 2001 年 1 月 22 日到期的所有证书,请键入:
1/22/2001 cert若要删除 RequestID 37 的证书行、属性和扩展,请键入:
37若要删除 2001 年 1 月 22 日到期的 CRL,请键入:
1/22/2001 crl
-backup
备份 Active Directory 证书服务。
certutil [options] -backup backupdirectory [incremental] [keeplog]
其中:
backupdirectory 是用于存储备份数据的目录。
增量 仅执行增量备份, (默认值为完整备份) 。
keeplog 保留数据库日志文件 (默认值为截断日志文件) 。
[-f] [-config Machine\CAName] [-p Password]
-backupdb
备份 Active Directory 证书服务数据库。
certutil [options] -backupdb backupdirectory [incremental] [keeplog]
其中:
backupdirectory 是用于存储备份的数据库文件的目录。
增量 仅执行增量备份, (默认值为完整备份) 。
keeplog 保留数据库日志文件 (默认值为截断日志文件) 。
[-f] [-config Machine\CAName]
-backupkey
备份 Active Directory 证书服务证书和私钥。
certutil [options] -backupkey backupdirectory
其中:
- backupdirectory 是用于存储备份的 PFX 文件的目录。
[-f] [-config Machine\CAName] [-p password] [-t timeout]
-restore
还原 Active Directory 证书服务。
certutil [options] -restore backupdirectory
其中:
- backupdirectory 是包含要还原的数据的目录。
[-f] [-config Machine\CAName] [-p password]
-restoredb
还原 Active Directory 证书服务数据库。
certutil [options] -restoredb backupdirectory
其中:
- backupdirectory 是包含要还原的数据库文件的目录。
[-f] [-config Machine\CAName]
-restorekey
还原 Active Directory 证书服务证书和私钥。
certutil [options] -restorekey backupdirectory | pfxfile
其中:
- backupdirectory 是包含要还原的 PFX 文件的目录。
[-f] [-config Machine\CAName] [-p password]
-importpfx
导入证书和私钥。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]
其中:
certificatestorename 是证书存储区的名称。
修饰符 是逗号分隔的列表,可以包含以下一个或多个列表:
AT_SIGNATURE - 将 keyspec 更改为签名
AT_KEYEXCHANGE - 将 keyspec 更改为密钥交换
NoExport - 使私钥不可导出
NoCert - 不导入证书
NoChain - 不导入证书链
NoRoot - 不导入根证书
保护 - 使用密码保护密钥
NoProtect - 不使用密码保护密钥
[-f] [-user] [-p password] [-csp provider]
注解
- 默认为个人计算机存储。
-dynamicfilelist
显示动态文件列表。
certutil [options] -dynamicfilelist
[-config Machine\CAName]
-databaselocations
显示数据库位置。
certutil [options] -databaselocations
[-config Machine\CAName]
-hashfile
通过文件生成并显示加密哈希。
certutil [options] -hashfile infile [hashalgorithm]
-store
转储证书存储。
certutil [options] -store [certificatestorename [certID [outputfile]]]
其中:
certificatestorename 是证书存储名称。 例如:
My, CA (default), Root,ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)ldap: (AD computer object certificates)-user ldap: (AD user object certificates)
certID 是证书或 CRL 匹配令牌。 这可以是序列号、SHA-1 证书、CRL、CTL 或公钥哈希、数字证书索引 (0、1 等) 、数字 CRL 索引 (.0、.1 等,) 为数字 CTL 索引 (。0, ..1 等,例如) 、公钥、签名或扩展 ObjectId、证书使用者公用名、电子邮件地址、UPN 或 DNS 名称、密钥容器名称或 CSP 名称、模板名称或 ObjectId、EKU 或应用程序策略 ObjectId 或 CRL 颁发者公用名。 其中许多可能会导致多个匹配。
outputfile 是用于保存匹配证书的文件。
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]
选项
该
-user选项访问用户存储而不是计算机存储。该
-enterprise选项访问计算机企业存储。该
-service选项访问计算机服务存储。该
-grouppolicy选项访问计算机组策略存储。
例如:
-enterprise NTAuth-enterprise Root 37-user My 26e0aaaf000000000004CA .11
-addstore
向存储区添加证书。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -addstore certificatestorename infile
其中:
certificatestorename 是证书存储名称。
infile 是要添加到存储的证书或 CRL 文件。
[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]
-delstore
从存储区中删除证书。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -delstore certificatestorename certID
其中:
certificatestorename 是证书存储名称。
certID 是证书或 CRL 匹配令牌。
[-enterprise] [-user] [-grouppolicy] [-dc DCName]
-verifystore
验证存储区中的证书。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -verifystore certificatestorename [certID]
其中:
certificatestorename 是证书存储名称。
certID 是证书或 CRL 匹配令牌。
[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]
-repairstore
修复密钥关联或更新证书属性或密钥安全描述符。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]
其中:
certificatestorename 是证书存储名称。
certIDlist 是证书或 CRL 匹配令牌的逗号分隔列表。 有关详细信息,请参阅
-store certID本文中的说明。propertyinffile 是包含外部属性的 INF 文件,包括:
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = {text}Friendly Name ; Add friendly name property 127 = {hex} ; Add custom hexadecimal property _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 2 = {text} ; Add Key Provider Information property _continue_ = Container=Container Name& _continue_ = Provider=Microsoft Strong Cryptographic Provider& _continue_ = ProviderType=1& _continue_ = Flags=0& _continue_ = KeySpec=2 9 = {text} ; Add Enhanced Key Usage property _continue_ = 1.3.6.1.5.5.7.3.2, _continue_ = 1.3.6.1.5.5.7.3.1,
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]
-viewstore
转储证书存储。 有关详细信息,请参阅 -store 本文中的参数。
certutil [options] -viewstore [certificatestorename [certID [outputfile]]]
其中:
certificatestorename 是证书存储名称。
certID 是证书或 CRL 匹配令牌。
outputfile 是用于保存匹配证书的文件。
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]
选项
该
-user选项访问用户存储而不是计算机存储。该
-enterprise选项访问计算机企业存储。该
-service选项访问计算机服务存储。该
-grouppolicy选项访问计算机组策略存储。
例如:
-enterprise NTAuth-enterprise Root 37-user My 26e0aaaf000000000004CA .11
-viewdelstore
从存储区中删除证书。
certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]
其中:
certificatestorename 是证书存储名称。
certID 是证书或 CRL 匹配令牌。
outputfile 是用于保存匹配证书的文件。
[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]
选项
此选项
-user访问用户存储而不是计算机存储。此选项
-enterprise访问计算机企业存储。此选项
-service访问计算机服务存储。该
-grouppolicy选项访问计算机组策略存储。
例如:
-enterprise NTAuth-enterprise Root 37-user My 26e0aaaf000000000004CA .11
-dspublish
将证书或证书吊销列表 (CRL) 发布到 Active Directory。
certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]
其中:
证书文件 是要发布的证书文件的名称。
NTAuthCA 将证书发布到 DS Enterprise存储。
RootCA 将证书发布到 DS 受信任的根存储。
SubCA 将 CA 证书发布到 DS CA 对象。
CrossCA 将跨证书发布到 DS CA 对象。
KRA 将证书发布到 DS 密钥恢复代理对象。
用户 将证书发布到 User DS 对象。
计算机 将证书发布到 Machine DS 对象。
CRLfile 是要发布的 CRL 文件的名称。
DSCDPContainer 是 DS CDP 容器 CN,通常是 CA 计算机名称。
DSCDPCN 是 DS CDP 对象 CN,通常基于清理的 CA 短名称和密钥索引。
用于
-f创建新的 DS 对象。
[-f] [-user] [-dc DCName]
-adtemplate
显示 Active Directory 模板。
certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]
-template
显示证书模板。
certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-templatecas
显示证书模板的证书颁发机构 (CA) 。
certutil [options] -templatecas template
[-f] [-user] [-dc DCName]
-catemplates
显示证书颁发机构的模板。
certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]
-setcasites
管理站点名称,包括设置、验证和删除证书颁发机构站点名称
certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete
其中:
- 仅当面向单个证书颁发机构时,才允许 sitename。
[-f] [-config Machine\CAName] [-dc DCName]
注解
此选项
-config面向单个证书颁发机构 (默认值为所有 CA) 。此选项
-f可用于替代指定 站点名称 的验证错误或删除所有 CA 站点名。
注意
有关为 Active Directory 域服务 (AD DS) 站点感知配置 CA 的详细信息,请参阅 AD DS 站点感知 AD CS 和 PKI 客户端。
-enrollmentserverURL
显示、添加或删除与 CA 关联的注册服务器 URL。
certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete
其中:
authenticationtype 指定以下客户端身份验证方法之一,同时添加 URL:
kerberos - 使用 Kerberos SSL 凭据。
用户名 - 对 SSL 凭据使用命名帐户。
clientcertificate: - 使用 X.509 证书 SSL 凭据。
匿名 - 使用匿名 SSL 凭据。
删除 与 CA 关联的指定 URL。
在 添加 URL 时,优先级默认为
1未指定。修饰符 是逗号分隔的列表,其中包括一个或多个以下内容:
allowrenewalsonly - 只能通过此 URL 提交到此 CA 的续订请求。
allowkeybasedrenewal - 允许使用 AD 中没有关联帐户的证书。 这仅适用于 clientcertificate 和 allowrenewalsonly Mode
[-config Machine\CAName] [-dc DCName]
-adca
显示 Active Directory 证书颁发机构。
certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]
-ca
显示注册策略证书颁发机构。
certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-policy
显示注册策略。
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-policycache
显示或删除注册策略缓存条目。
certutil [options] -policycache [delete]
其中:
删除 策略服务器缓存条目。
-f 删除所有缓存条目
[-f] [-user] [-policyserver URLorID]
-credstore
显示、添加或删除凭据存储条目。
certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete
其中:
URL 是目标 URL。 还可以用于
*匹配所有条目或https://machine*匹配 URL 前缀。添加 凭据存储项。 使用此选项还需要使用 SSL 凭据。
删除 凭据存储项。
-f 覆盖单个条目或删除多个条目。
[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]
-installdefaulttemplates
安装默认证书模板。
certutil [options] -installdefaulttemplates
[-dc DCName]
-URLcache
显示或删除 URL 缓存条目。
certutil [options] -URLcache [URL | CRL | * [delete]]
其中:
URL 是缓存的 URL。
CRL 仅在所有缓存的 CRL URL 上运行。
* 对所有缓存的 URL 进行操作。
从 当前用户的本地缓存中删除相关 URL。
-f 强制提取特定 URL 并更新缓存。
[-f] [-split]
-pulse
脉冲自动注册事件。
certutil [options] -pulse
[-user]
-machineinfo
显示有关 Active Directory 计算机对象的信息。
certutil [options] -machineinfo domainname\machinename$
-DCInfo
显示有关域控制器的信息。 默认显示未验证的 DC 证书。
certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]
提示
指定Active Directory 域服务 (AD DS) 域 [Domain] 以及指定域控制器 (-dc) 的功能已添加到Windows Server 2012中。 若要成功运行此命令,必须使用属于域管理员或Enterprise管理员成员的帐户。 此命令的行为修改如下所示:
- 1.如果未指定域且未指定特定域控制器,则此选项返回要从默认域控制器处理的域控制器列表。
- 2.如果未指定域,但指定了域控制器,则会生成指定域控制器上的证书报告。
- 3.如果指定了域,但未指定域控制器,则会生成域控制器列表以及列表中每个域控制器的证书报告。
- 4.如果指定了域和域控制器,则会从目标域控制器生成域控制器列表。 还会生成列表中每个域控制器的证书报告。
例如,假设有一个名为 CPANDL 的域,其中包含名为 CPANDL-DC1 的域控制器。 可以运行以下命令,从 CPANDL-DC1 检索域控制器及其证书的列表: certutil -dc cpandl-dc1 -DCInfo cpandl
-entinfo
显示有关企业证书颁发机构的信息。
certutil [options] -entinfo domainname\machinename$
[-f] [-user]
-tcainfo
显示有关证书颁发机构的信息。
certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]
-scinfo
显示有关智能卡的信息。
certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]
其中:
- CRYPT_DELETEKEYSET 删除智能卡上的所有密钥。
[-silent] [-split] [-urlfetch] [-t timeout]
-scroots
管理智能卡根证书。
certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]
-verifykeys
验证公钥或私钥集。
certutil [options] -verifykeys [keycontainername cacertfile]
其中:
keycontainername 是密钥要验证的密钥容器名称。 此选项默认为计算机密钥。 若要切换到用户密钥,请使用
-user。cacertfile 对证书文件进行签名或加密。
[-f] [-user] [-silent] [-config Machine\CAName]
注解
如果未指定任何参数,则针对其私钥验证每个签名 CA 证书。
此操作只能针对本地 CA 或本地密钥执行。
-verify
验证证书、证书吊销列表 (CRL) 或证书链。
certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]
其中:
证书文件 是要验证的证书的名称。
applicationpolicylist 是必需应用程序策略 ObjectIds 的可选逗号分隔列表。
issuancepolicylist 是必需颁发策略 ObjectIds 的可选逗号分隔列表。
cacertfile 是可选的颁发 CA 证书,用于验证该证书。
crossedcacertfile 是证书 文件交叉认证的可选证书。
CRLfile 是用于验证 cacertfile 的 CRL 文件。
issuedcertfile 是 CRLfile 涵盖的可选颁发的证书。
deltaCRLfile 是可选的增量 CRL 文件。
[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]
注解
使用 applicationpolicylist 将链生成限制为仅对指定的应用程序策略有效的链。
使用 颁发策略将 链生成限制为仅对指定颁发策略有效的链。
使用 cacertfile 针对 certfile 或 CRLfile 验证文件中的字段。
使用 issuedcertfile 验证文件中针对 CRLfile 的字段。
使用 deltaCRLfile 会针对 证书文件验证文件中的字段。
如果未指定 cacertfile ,则会根据 证书文件生成并验证整个链。
如果同时指定 cacertfile 和 crossedcacertfile ,则针对 证书文件验证这两个文件中的字段。
-verifyCTL
验证 AuthRoot 或不允许的证书 CTL。
certutil [options] -verifyCTL CTLobject [certdir] [certfile]
其中:
CTLobject 标识要验证的 CTL,包括:
AuthRootWU - 从 URL 缓存中读取 AuthRoot CAB 和匹配的证书。 改用
-f从Windows 更新下载。不允许的WU - 从 URL 缓存读取不允许的证书 CAB 和不允许的证书存储文件。 改用
-f从Windows 更新下载。AuthRoot - 读取注册表缓存的 AuthRoot CTL。 与不受信任的证书文件一起使用
-f,以强制注册表缓存的身份验证根和不允许的证书 CCL 进行更新。不允许 - 读取注册表缓存的不允许证书 CTL。 与不受信任的证书文件一起使用
-f,以强制注册表缓存的身份验证根和不允许的证书 CCL 进行更新。
CTLfilename 指定 CTL 或 CAB 文件的文件或 http 路径。
certdir 指定包含与 CTL 条目匹配的证书的文件夹。 默认为 与 CTLobject 相同的文件夹或网站。 使用 http 文件夹路径需要在末尾使用路径分隔符。 如果未指定 AuthRoot 或 不允许,则会搜索多个位置来查找匹配的证书,包括本地证书存储、crypt32.dll资源和本地 URL 缓存。 用于
-f根据需要从Windows 更新下载。证书文件 指定要验证的证书 () 。 证书与 CTL 条目匹配,显示结果。 此选项禁止大多数默认输出。
[-f] [-user] [-split]
-sign
(CRL) 或证书重新签名证书吊销列表。
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]
其中:
infilelist 是证书或 CRL 文件的逗号分隔列表,用于修改和重新签名。
serialnumber 是要创建的证书的序列号。 有效期和其他选项不能存在。
CRL 创建空 CRL。 有效期和其他选项不能存在。
outfilelist 是修改的证书或 CRL 输出文件的逗号分隔列表。 文件数必须与文件列表匹配。
startdate+dd:hh 是证书或 CRL 文件的新有效期,包括:
可选日期加上
可选天数和小时有效期
如果同时指定了两者,则必须使用加号 (+) 分隔符。 用于
now[+dd:hh]从当前时间开始。 用于never仅) CRL 没有过期日期 (。serialnumberlist 是要添加或删除的文件的逗号分隔序列号列表。
objectIDlist 是要删除的文件的逗号分隔扩展 ObjectId 列表。
@extensionfile 是包含要更新或删除的扩展名的 INF 文件。 例如:
[Extensions] 2.5.29.31 = ; Remove CRL Distribution Points extension 2.5.29.15 = {hex} ; Update Key Usage extension _continue_=03 02 01 86hashalgorithm 是哈希算法的名称。 这只能是符号前面
#的文本。alternatesignaturealgorithm 是备用签名算法说明符。
[-nullsign] [-f] [-silent] [-cert certID]
注解
使用减号 () 删除序列号和扩展。
使用加号 (+) 向 CRL 添加序列号。
可以使用列表同时从 CRL 中删除序列号和 ObjectID。
使用 alternatesignaturealgorithm 之前的减号,可以使用旧签名格式。 使用加号,可以使用备用签名格式。 如果未指定 alternatesignaturealgorithm,则使用证书或 CRL 中的签名格式。
-vroot
创建或删除 Web 虚拟根和文件共享。
certutil [options] -vroot [delete]
-vocsproot
为 OCSP Web 代理创建或删除 Web 虚拟根。
certutil [options] -vocsproot [delete]
-addenrollmentserver
根据需要,为指定的证书颁发机构添加注册服务器应用程序和应用程序池。 此命令不安装二进制文件或包。
certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]
其中:
addenrollmentserver 要求对客户端连接到证书注册服务器使用身份验证方法,包括:
kerberos 使用 Kerberos SSL 凭据。
用户名 使用命名帐户作为 SSL 凭据。
clientcertificate 使用 X.509 证书 SSL 凭据。
allowrenewalsonly 仅允许通过 URL 向证书颁发机构提交续订请求。
allowkeybasedrenewal 允许在 Active Directory 中使用没有关联帐户的证书。 这适用于与 clientcertificate 和 allowrenewalsonly 模式一起使用。
[-config Machine\CAName]
-deleteenrollmentserver
如有必要,为指定的证书颁发机构删除注册服务器应用程序和应用程序池。 此命令不安装二进制文件或包。
certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate
其中:
deleteenrollmentserver 要求对客户端连接到证书注册服务器使用身份验证方法,包括:
kerberos 使用 Kerberos SSL 凭据。
用户名 使用命名帐户作为 SSL 凭据。
clientcertificate 使用 X.509 证书 SSL 凭据。
[-config Machine\CAName]
-addpolicyserver
如有必要,请添加策略服务器应用程序和应用程序池。 此命令不安装二进制文件或包。
certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]
其中:
addpolicyserver 要求对客户端连接到证书策略服务器使用身份验证方法,包括:
kerberos 使用 Kerberos SSL 凭据。
用户名 使用命名帐户作为 SSL 凭据。
clientcertificate 使用 X.509 证书 SSL 凭据。
keybasedrenewal 允许使用返回给包含 keybasedrenewal 模板的客户端的策略。 此选项仅适用于 用户名 和 客户端证书 身份验证。
-deletepolicyserver
如有必要,删除策略服务器应用程序和应用程序池。 此命令不会删除二进制文件或包。
certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]
其中:
deletepolicyserver 要求对客户端连接到证书策略服务器使用身份验证方法,包括:
kerberos 使用 Kerberos SSL 凭据。
用户名 使用命名帐户作为 SSL 凭据。
clientcertificate 使用 X.509 证书 SSL 凭据。
keybasedrenewal 允许使用 KeyBasedRenewal 策略服务器。
-oid
显示对象标识符或设置显示名称。
certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]
其中:
objectID 显示或添加显示名称。
groupID 是 objectID 枚举的 groupID 数字 (十进制) 。
algID 是 objectID 查找的十六进制 ID。
algorithmname 是 objectID 查找的算法名称。
displayname 显示要存储在 DS 中的名称。
删除 删除显示名称。
LanguageId 是语言 ID 值, (默认为当前:1033) 。
类型 是要创建的 DS 对象的类型,包括:
1- 模板 (默认)2- 颁发策略3- 应用程序策略
-f创建 DS 对象。
-error
显示与错误代码关联的消息文本。
certutil [options] -error errorcode
-getreg
显示注册表值。
certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]
其中:
ca 使用证书颁发机构的注册表项。
还原 使用证书颁发机构的还原注册表项。
策略 使用策略模块的注册表项。
exit 使用第一个退出模块的注册表项。
模板 使用模板注册表项, (用于
-user用户模板) 。enrollment 使用注册注册表项 (
-user用于用户上下文) 。chain 使用链配置注册表项。
policyservers 使用策略服务器注册表项。
progID 使用策略或退出模块的 ProgID (注册表子项名称) 。
registryvaluename 使用注册表值名称 (用于
Name*前缀匹配) 。值 使用新的数字、字符串或日期注册表值或文件名。 如果数值以
+或开头-,则新值中指定的位在现有注册表值中设置或清除。
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
注解
如果字符串值以
+或开头-,并且现有值为REG_MULTI_SZ值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建REG_MULTI_SZ值,请\n添加到字符串值的末尾。如果值开头
\@,则值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。 如果未引用有效的文件,则会将其解析为[Date][+|-][dd:hh]- 可选日期加上或减去可选天数和小时数。 如果同时指定两者,请使用加号 (+) 或减号 (-) 分隔符。 用于now+dd:hh相对于当前时间的日期。用于
chain\chaincacheresyncfiletime \@now有效刷新缓存的 CRL。
-setreg
设置注册表值。
certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value
其中:
ca 使用证书颁发机构的注册表项。
还原 使用证书颁发机构的还原注册表项。
策略 使用策略模块的注册表项。
exit 使用第一个退出模块的注册表项。
模板 使用模板注册表项, (用于
-user用户模板) 。enrollment 使用注册注册表项 (
-user用于用户上下文) 。chain 使用链配置注册表项。
policyservers 使用策略服务器注册表项。
progID 使用策略或退出模块的 ProgID (注册表子项名称) 。
registryvaluename 使用注册表值名称 (用于
Name*前缀匹配) 。值 使用新的数字、字符串或日期注册表值或文件名。 如果数值以
+或开头-,则新值中指定的位在现有注册表值中设置或清除。
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
注解
如果字符串值以
+或开头-,并且现有值为REG_MULTI_SZ值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建REG_MULTI_SZ值,请\n添加到字符串值的末尾。如果值开头
\@,则值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。 如果未引用有效的文件,则会将其解析为[Date][+|-][dd:hh]- 可选日期加上或减去可选天数和小时数。 如果同时指定两者,请使用加号 (+) 或减号 () 分隔符。 用于now+dd:hh相对于当前时间的日期。用于
chain\chaincacheresyncfiletime \@now有效刷新缓存的 CRL。
-delreg
删除注册表值。
certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]
其中:
ca 使用证书颁发机构的注册表项。
还原 使用证书颁发机构的还原注册表项。
策略 使用策略模块的注册表项。
exit 使用第一个退出模块的注册表项。
模板 使用模板注册表项, (用于
-user用户模板) 。注册 使用注册注册表项, (用于
-user用户上下文) 。chain 使用链配置注册表项。
policyservers 使用策略服务器注册表项。
progID 使用策略或退出模块的 ProgID (注册表子项名称) 。
registryvaluename 使用注册表值名称 (用于
Name*前缀匹配) 。value 使用新的数值、字符串或日期注册表值或文件名。 如果数值以
+或开头-,新值中指定的位将在现有注册表值中设置或清除。
[-f] [-user] [-grouppolicy] [-config Machine\CAName]
注解
如果字符串值以
+值开头,-并且现有值是一个REG_MULTI_SZ值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建REG_MULTI_SZ值,请添加到\n字符串值的末尾。如果值以开头
\@,则该值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。 如果未引用有效文件,则会将其解析为[Date][+|-][dd:hh]可选日期加或减去可选天数和小时数。 如果同时指定两者,请使用加号 (+) 或减号 () 分隔符。 用于now+dd:hh相对于当前时间的日期。用于
chain\chaincacheresyncfiletime \@now有效刷新缓存的 CRL。
-importKMS
将用户密钥和证书导入服务器数据库中进行密钥存档。
certutil [options] -importKMS userkeyandcertfile [certID]
其中:
userkeyandcertfile 是一个数据文件,其中包含要存档的用户私钥和证书。 此文件可以是:
Exchange密钥管理服务器 (KMS) 导出文件。
PFX 文件。
certID 是KMS导出文件解密证书匹配令牌。 有关详细信息,请参阅
-store本文中的参数。-f导入证书颁发机构未颁发的证书。
[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]
-importcert
将证书文件导入数据库。
certutil [options] -importcert certfile [existingrow]
其中:
existingrow 导入证书来代替对同一密钥的挂起请求。
-f导入证书颁发机构未颁发的证书。
[-f] [-config Machine\CAName]
注解
可能需要将证书颁发机构配置为支持外国证书。 为此,请键入 import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN。
-getkey
检索存档的私钥恢复 Blob、生成恢复脚本或恢复存档的密钥。
certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename
其中:
如果找到多个匹配的恢复候选项,或者未) 指定输出文件,则脚本将生成用于检索和恢复密钥的脚本 (默认行为。
如果找到一个匹配的恢复候选项,并且指定输出文件) ,则检索检索一个或多个密钥恢复 Blob (默认行为。 使用此选项会截断任何扩展,并为每个密钥恢复 Blob 追加特定于证书的字符串和 .rec 扩展。 每个文件都包含证书链和关联的私钥,仍加密为一个或多个密钥恢复代理证书。
在 一个步骤中恢复检索和恢复私钥 (需要密钥恢复代理证书和私钥) 。 使用此选项会截断任何扩展并追加 .p12 扩展。 每个文件都包含恢复的证书链和关联的私钥,存储为 PFX 文件。
searchtoken 选择要恢复的密钥和证书,包括:
-
- 证书公用名
-
- 证书序列号
-
- 证书 SHA-1 哈希 (指纹)
-
- 证书 KeyId SHA-1 哈希 (使用者密钥标识符)
-
- 请求者名称 (域\用户)
-
- UPN (user@domain)
-
recoverybloboutfile 输出具有证书链和关联的私钥的文件,仍会加密到一个或多个密钥恢复代理证书。
outputscriptfile 输出包含批处理脚本的文件,用于检索和恢复私钥。
outputfilebasename 输出文件基名称。
[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]
-recoverkey
恢复存档的私钥。
certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]
-mergePFX
合并 PFX 文件。
certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]
其中:
PFXinfilelist 是 PFX 输入文件的逗号分隔列表。
PFXoutfile 是 PFX 输出文件的名称。
extendedproperties 包括任何扩展属性。
[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]
注解
命令行中指定的密码必须是逗号分隔的密码列表。
如果指定了多个密码,则最后一个密码用于输出文件。 如果只提供一个密码,或者最后一个密码是
*,系统会提示用户输入输出文件密码。
-convertEPF
将 PFX 文件转换为 EPF 文件。
certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]
其中:
PFXinfilelist 是 PFX 输入文件的逗号分隔列表。
PFXoutfile 是 PFX 输出文件的名称。
EPF 是 EPF 输出文件的名称。
强制转换 使用 CAST 64 加密。
cast- 使用 CAST 64 加密 (导出)
V3CAcertID 是 V3 CA 证书匹配令牌。 有关详细信息,请参阅
-store本文中的参数。salt 是 EPF 输出文件 salt 字符串。
[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]
注解
命令行中指定的密码必须是逗号分隔的密码列表。
如果指定了多个密码,则最后一个密码用于输出文件。 如果只提供一个密码,或者最后一个密码是
*,系统会提示用户输入输出文件密码。
-?
显示参数列表。
certutil -?
certutil <name_of_parameter> -?
certutil -? -v
其中:
-? 显示参数的完整列表
-
<name_of_parameter>-? 显示指定参数的帮助内容。-? -v 显示参数和选项的完整列表。
选项
本部分根据命令定义能够指定的所有选项。 每个参数都包含有关哪些选项有效使用的信息。
| 选项 | 说明 |
|---|---|
| -nullsign | 使用数据的哈希作为签名。 |
| -f | 强制覆盖。 |
| -enterprise | 使用本地计算机企业注册表证书存储。 |
| -user | 使用HKEY_CURRENT_USER密钥或证书存储。 |
| -GroupPolicy | 使用组策略证书存储。 |
| -ut | 显示用户模板。 |
| -mt | 显示计算机模板。 |
| -Unicode | 在 Unicode 中编写重定向输出。 |
| -UnicodeText | 在 Unicode 中写入输出文件。 |
| -gmt | 使用 GMT 显示时间。 |
| -seconds | 使用秒和毫秒显示时间。 |
| -silent | 使用 silent 标志获取 crypt 上下文。 |
| -split | 拆分嵌入的 ASN.1 元素,并将其保存到文件。 |
| -v | 提供更详细的 (详细) 信息。 |
| -privatekey | 显示密码和私钥数据。 |
| -pin PIN | 智能卡 PIN。 |
| -urlfetch | 检索并验证 AIA 证书和 CDP CRL。 |
| -config Machine\CAName | 证书颁发机构和计算机名称字符串。 |
| -policyserver URLorID | 策略服务器 URL 或 ID。 对于选择 U/I,请使用 -policyserver。 对于所有策略服务器,请使用 -policyserver * |
| -anonymous | 使用匿名 SSL 凭据。 |
| -kerberos | 使用 Kerberos SSL 凭据。 |
| -clientcertificate clientcertID | 使用 X.509 证书 SSL 凭据。 对于选择 U/I,请使用 -clientcertificate。 |
| -username 用户名 | 将命名帐户用于 SSL 凭据。 对于选择 U/I,请使用 -username。 |
| -cert cert certID | 签名证书。 |
| -dc DCName | 面向特定的域控制器。 |
| -restrict restrictionlist | 逗号分隔的限制列表。 每个限制都包含列名、关系运算符和常量整数、字符串或日期。 一个列名称可能前面有一个加号或减号来指示排序顺序。 例如,requestID = 47、+requestername >= a, requestername 或 -requestername > DOMAIN, Disposition = 21 |
| -out 列列表 | 逗号分隔列列表。 |
| -p 密码 | 密码 |
| -protectto SAMnameandSIDlist | 逗号分隔的 SAM 名称/SID 列表。 |
| -csp 提供程序 | 提供程序 |
| -t 超时 | URL 提取超时(以毫秒为单位)。 |
| -symkeyalg symmetrickeyalgorithm[,keylength] | 具有可选密钥长度的对称密钥算法的名称。 例如:AES,128 或 3DES |
其他参考
有关如何使用此命令的更多示例,请参阅