certutil

Certutil.exe是安裝為憑證服務的一部分的命令列程式。 您可以使用certutil.exe傾印和顯示憑證授權單位單位 (CA) 設定資訊、設定憑證服務、備份和還原 CA 元件,以及驗證憑證、金鑰組和憑證鏈結。

如果在憑證授權單位單位上執行 certutil 而沒有其他參數,則會顯示目前的憑證授權單位單位設定。 如果在非憑證授權單位單位上執行 certutil,命令預設為執行 certutil [-dump] 命令。

重要

舊版 certutil 可能不會提供本檔中所述的所有選項。 您可以執行 certutil -?certutil <parameter> -? ,查看特定版本 certutil 提供的所有選項。

參數

-轉 儲

傾印組態資訊或檔案。

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

使用抽象語法標記法剖析及顯示檔案的內容, (ASN.1) 語法。 檔案類型包括 。Cer。DER 和 PKCS #7 格式的檔案。

certutil [options] -asn file [type]

[type]:數值CRYPT_STRING_* 解碼類型

-decodehex

解碼十六進位編碼的檔案。

certutil [options] -decodehex infile outfile [type]

[type]:數值CRYPT_STRING_* 編碼類型

[-f]

-解碼

解碼 Base64 編碼的檔案。

certutil [options] -decode infile outfile
[-f]

-編碼

將檔案編碼為 Base64。

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-否認

拒絕擱置的要求。

certutil [options] -deny requestID
[-config Machine\CAName]

-提交

重新提交擱置的要求。

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

設定擱置憑證要求的屬性。

certutil [options] -setattributes RequestID attributestring

其中:

  • requestID 是擱置要求的數位要求識別碼。

  • attributestring 是要求屬性名稱和值組。

[-config Machine\CAName]

備註

  • 名稱和值必須以冒號分隔,而多個名稱、值組必須以分行符號分隔。 例如: CertificateTemplate:User\nEMail:User@Domain.com\n 序列轉換成分行符號的位置。

-setextension

設定擱置憑證要求的延伸模組。

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

其中:

  • requestID 是擱置要求的數位要求識別碼。

  • extensionname 是延伸模組的 ObjectId 字串。

  • 旗標會 設定延伸模組的優先順序。 0 建議使用 ,同時 1 將延伸模組設定為重大、 2 停用擴充功能,並 3 同時執行兩者。

[-config Machine\CAName]

備註

  • 如果最後一個參數是數值,則會將其視為 Long

  • 如果最後一個參數可以剖析為日期,則會將其視為 Date

  • 如果最後一個參數以 \@ 開頭,則會使用二進位資料或 ascii 文字十六進位傾印作為其餘權杖的檔案名。

  • 如果最後一個參數是任何其他參數,則會被視為 String。

-撤銷

撤銷憑證。

certutil [options] -revoke serialnumber [reason]

其中:

  • serialnumber 是要撤銷的憑證序號逗號分隔清單。

  • reason 是撤銷原因的數值或符號標記法,包括:

    • 0. CRL_REASON_UNSPECIFIED - 未指定 (預設)

    • 1. CRL_REASON_KEY_COMPROMISE - 金鑰入侵

    • 2. CRL_REASON_CA_COMPROMISE - 憑證授權單位單位入侵

    • 3. CRL_REASON_AFFILIATION_CHANGED - 關聯性已變更

    • 4. CRL_REASON_SUPERSEDED - 已取代

    • 5. CRL_REASON_CESSATION_OF_OPERATION - 停止作業

    • 6. CRL_REASON_CERTIFICATE_HOLD - 憑證保留

    • 8. CRL_REASON_REMOVE_FROM_CRL - 從 CRL 移除

    • -1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

顯示目前憑證的處置。

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

取得預設組態字串。

certutil [options] -getconfig
[-config Machine\CAName]

-坪

嘗試連絡 Active Directory 憑證服務要求介面。

certutil [options] -ping [maxsecondstowait | camachinelist]

其中:

  • camachinelist 是以逗號分隔的 CA 電腦名稱稱清單。 對於單一電腦,請使用終止逗號。 此選項也會顯示每個 CA 電腦的月臺成本。
[-config Machine\CAName]

-cainfo

顯示憑證授權單位單位的相關資訊。

certutil [options] -cainfo [infoname [index | errorcode]]

其中:

  • infoname 會根據下列 infoname 引數語法,指出要顯示的 CA 屬性:

    • 檔案 - 檔案版本

    • product - 產品版本

    • exitcount - 結束模組計數

    • 退出 [index]- 結束模組描述

    • 原則 - 原則模組描述

    • name - CA 名稱

    • sanitizedname - 清理的 CA 名稱

    • dsname - 清理的 CA 簡短名稱 (DS 名稱)

    • sharedfolder - 共用資料夾

    • error1 ErrorCode - 錯誤訊息文字

    • error2 ErrorCode - 錯誤訊息文字和錯誤碼

    • type - CA 類型

    • info - CA 資訊

    • 系 - 父 CA

    • certcount - CA 憑證計數

    • xchgcount - CA 交換憑證計數

    • kracount - KRA 憑證計數

    • kraused - KRA 憑證已使用計數

    • propidmax - CA PropId 上限

    • certstate [index]- CA 憑證

    • certversion [index]- CA 憑證版本

    • certstatuscode [index]- CA 憑證驗證狀態

    • crlstate [index]-Crl

    • krastate [index]- KRA 憑證

    • crossstate+ [index]- 轉寄交叉憑證

    • crossstate- [index]- 回溯交叉憑證

    • 證書 [index]- CA 憑證

    • 憑證鏈 [index]- CA 憑證鏈結

    • certcrlchain [index]- 具有 CRL 的 CA 憑證鏈結

    • xchg [index]- CA 交換憑證

    • xchgchain [index]- CA 交換憑證鏈結

    • xchgcrlchain [index]- CA 交換憑證鏈結與 CRL

    • kra [index]- KRA 憑證

    • cross+ [index]- 轉寄交叉憑證

    • cross- [index]- 回溯交叉憑證

    • Crl [index]- 基底 CRL

    • deltacrl [index]- Delta CRL

    • crlstatus [index]- CRL 發佈狀態

    • deltacrlstatus [index]- Delta CRL 發佈狀態

    • dns - DNS 名稱

    • 角色 - 角色區隔

    • 廣告 - 進階伺服器

    • 範本 - 範本

    • Csp [index]- OCSP URL

    • 友邦 保險 [index]- AIA URL

    • Cdp [index]- CDP URL

    • localename - CA 地區設定名稱

    • subjecttemplateoids - 主體範本 OID

    • * - 顯示所有屬性

  • index 是選擇性的以零起始的屬性索引。

  • errorcode 是數值錯誤碼。

[-f] [-split] [-config Machine\CAName]

-ca.cert

擷取憑證授權單位單位的憑證。

certutil [options] -ca.cert outcacertfile [index]

其中:

  • outcacertfile 是輸出檔案。

  • index 是 CA 憑證更新索引, (預設為最新的) 。

[-f] [-split] [-config Machine\CAName]

-ca.chain

擷取憑證授權單位單位的憑證鏈結。

certutil [options] -ca.chain outcacertchainfile [index]

其中:

  • outcacertchainfile 是輸出檔。

  • index 是 CA 憑證更新索引, (預設為最新的) 。

[-f] [-split] [-config Machine\CAName]

-getcrl

取得 CRL) (憑證撤銷清單。

certutil [options] -getcrl outfile [index] [delta]

其中:

  • index 是 CRL 索引或索引鍵索引 (預設為最近索引鍵的 CRL) 。

  • delta 是差異 CRL (預設值為基底 CRL) 。

[-f] [-split] [-config Machine\CAName]

-Crl

發佈新的憑證撤銷清單, (CRL) 或差異 CRL。

certutil [options] -crl [dd:hh | republish] [delta]

其中:

  • dd:hh 是天數和小時的新 CRL 有效期間。

  • 重新發佈 重新發佈最新的 CRL。

  • 差異 只會發佈差異 CRL (預設值為基底,而差異 CRL) 。

[-split] [-config Machine\CAName]

-關閉

關閉 Active Directory 憑證服務。

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

安裝憑證授權單位單位憑證。

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

更新憑證授權單位單位憑證。

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • 使用 -f 忽略未處理的續約要求,並產生新的要求。
[-f] [-silent] [-config Machine\CAName]

-模式

傾印憑證的架構。

certutil [options] -schema [ext | attrib | cRL]

其中:

  • 命令預設為 [要求] 和 [憑證] 資料表。

  • ext 是擴充資料表。

  • attribute 是屬性資料表。

  • crl 是 CRL 資料表。

[-split] [-config Machine\CAName]

-視圖

傾印憑證檢視。

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

其中:

  • 佇列 會傾印特定的要求佇列。

  • 記錄 會傾印已發行或撤銷的憑證,以及任何失敗的要求。

  • logfail 會傾印失敗的要求。

  • 已撤銷 的傾印撤銷的憑證。

  • ext 會傾印擴充資料表。

  • 屬性 會傾印屬性資料表。

  • crl 會傾印 CRL 資料表。

  • csv 會使用逗號分隔值來提供輸出。

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

備註

  • 若要顯示所有專案的 StatusCode 資料行,請輸入 -out StatusCode

  • 若要顯示最後一個專案的所有資料行,請輸入: -restrict RequestId==$

  • 若要顯示三個要求的 RequestIDDisposition ,請輸入: -restrict requestID>37,requestID<40 -out requestID,disposition

  • 若要顯示所有基底 CRL 的資料列識別碼和資料列識別碼,請輸入:-restrict crlminbase=0 -out crlrowID,crlnumber crl

  • 若要顯示 ,請輸入: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • 若要顯示整個 CRL 資料表,請輸入: CRL

  • 用於 Date[+|-dd:hh] 日期限制。

  • 用於 now+dd:hh 相對於目前時間的日期。

-Db

傾印原始資料庫。

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

從伺服器資料庫刪除資料列。

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

其中:

  • 要求 會根據提交日期刪除失敗和擱置的要求。

  • 憑證 會根據到期日刪除過期和撤銷的憑證。

  • ext 會刪除擴充資料表。

  • 屬性 會刪除屬性資料表。

  • crl 會刪除 CRL 資料表。

[-f] [-config Machine\CAName]

範例

  • 若要刪除 2001 年 1 月 22 日提交的失敗和擱置要求,請輸入: 1/22/2001 request

  • 若要刪除 2001 年 1 月 22 日到期的所有憑證,請輸入: 1/22/2001 cert

  • 若要刪除 RequestID 37 的憑證資料列、屬性和延伸模組,請輸入: 37

  • 若要刪除 2001 年 1 月 22 日到期的 CRL,請輸入: 1/22/2001 crl

-backup

備份 Active Directory 憑證服務。

certutil [options] -backup backupdirectory [incremental] [keeplog]

其中:

  • backupdirectory 是用來儲存備份資料的目錄。

  • incremental 只會執行增量備份, (預設值為完整備份) 。

  • keeplog 會保留資料庫記錄檔, (預設值是截斷記錄檔) 。

[-f] [-config Machine\CAName] [-p Password]

-backupdb

備份 Active Directory 憑證服務資料庫。

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

其中:

  • backupdirectory 是用來儲存備份資料庫檔案的目錄。

  • incremental 只會執行增量備份, (預設值為完整備份) 。

  • keeplog 會保留資料庫記錄檔, (預設值是截斷記錄檔) 。

[-f] [-config Machine\CAName]

-backupkey

備份 Active Directory 憑證服務憑證和私密金鑰。

certutil [options] -backupkey backupdirectory

其中:

  • backupdirectory 是用來儲存已備份 PFX 檔案的目錄。
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

還原 Active Directory 憑證服務。

certutil [options] -restore backupdirectory

其中:

  • backupdirectory 是包含要還原之資料的目錄。
[-f] [-config Machine\CAName] [-p password]

-restoredb

還原 Active Directory 憑證服務資料庫。

certutil [options] -restoredb backupdirectory

其中:

  • backupdirectory 是包含要還原之資料庫檔案的目錄。
[-f] [-config Machine\CAName]

-restorekey

還原 Active Directory 憑證服務憑證和私密金鑰。

certutil [options] -restorekey backupdirectory | pfxfile

其中:

  • backupdirectory 是包含要還原之 PFX 檔案的目錄。
[-f] [-config Machine\CAName] [-p password]

-importpfx

匯入憑證和私密金鑰。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

其中:

  • certificatestorename 是憑證存放區的名稱。

  • 修飾詞 是逗號分隔的清單,可以包含下列一或多個專案:

    1. AT_SIGNATURE - 將 keyspec 變更為簽章

    2. AT_KEYEXCHANGE - 將 keyspec 變更為金鑰交換

    3. NoExport - 使私密金鑰不可匯出

    4. NoCert - 不會匯入憑證

    5. NoChain - 不會匯入憑證鏈結

    6. NoRoot - 不會匯入根憑證

    7. 保護 - 使用密碼保護金鑰

    8. NoProtect - 不會使用密碼保護金鑰

[-f] [-user] [-p password] [-csp provider]

備註

  • 預設為個人電腦存放區。

-dynamicfilelist

顯示動態檔案清單。

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

顯示資料庫位置。

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

產生並顯示檔案上的密碼編譯雜湊。

certutil [options] -hashfile infile [hashalgorithm]

-商店

傾印證書存儲。

certutil [options] -store [certificatestorename [certID [outputfile]]]

其中:

  • certificatestorename 是憑證存放區名稱。 例如:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID 是憑證或 CRL 比對權杖。 這可以是序號、SHA-1 憑證、CRL、CTL 或公開金鑰雜湊、數值憑證索引 (0、1 等) 、數值 CRL 索引 (.0、.1 等等,) 為數值 CTL 索引 (。0, ..1 等等,依此類) 、公開金鑰、簽章或擴充 ObjectId、憑證主體通用名稱、電子郵件地址、UPN 或 DNS 名稱、金鑰容器名稱或 CSP 名稱、範本名稱或 ObjectId、EKU 或應用程式原則 ObjectId 或 CRL 簽發者通用名稱。 其中許多可能會導致多個相符專案。

  • outputfile 是用來儲存相符憑證的檔案。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

選項。

  • 選項 -user 會存取使用者存放區,而不是電腦存放區。

  • 選項 -enterprise 會存取電腦企業存放區。

  • 選項 -service 會存取電腦服務存放區。

  • 選項 -grouppolicy 會存取電腦群組策略存放區。

例如:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

將憑證新增至存放區。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -addstore certificatestorename infile

其中:

  • certificatestorename 是憑證存放區名稱。

  • infile 是您想要新增至存放區的憑證或 CRL 檔案。

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

從存放區中刪除憑證。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -delstore certificatestorename certID

其中:

  • certificatestorename 是憑證存放區名稱。

  • certID 是憑證或 CRL 比對權杖。

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

驗證存放區中的憑證。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -verifystore certificatestorename [certID]

其中:

  • certificatestorename 是憑證存放區名稱。

  • certID 是憑證或 CRL 比對權杖。

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

修復金鑰關聯或更新憑證屬性或金鑰安全性描述元。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

其中:

  • certificatestorename 是憑證存放區名稱。

  • certIDlist 是憑證或 CRL 比對權杖的逗號分隔清單。 如需詳細資訊,請參閱 -store certID 本文中的描述。

  • propertyinffile 是包含外部屬性的 INF 檔案,包括:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

傾印憑證存放區。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

其中:

  • certificatestorename 是憑證存放區名稱。

  • certID 是憑證或 CRL 比對權杖。

  • outputfile 是用來儲存相符憑證的檔案。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

選項。

  • 選項 -user 會存取使用者存放區,而不是電腦存放區。

  • 選項 -enterprise 會存取電腦企業存放區。

  • 選項 -service 會存取電腦服務存放區。

  • 選項 -grouppolicy 會存取電腦群組策略存放區。

例如:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

從存放區中刪除憑證。

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

其中:

  • certificatestorename 是憑證存放區名稱。

  • certID 是憑證或 CRL 比對權杖。

  • outputfile 是用來儲存相符憑證的檔案。

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

選項。

  • 選項 -user 會存取使用者存放區,而不是電腦存放區。

  • 選項 -enterprise 會存取電腦企業存放區。

  • 選項 -service 會存取電腦服務存放區。

  • 選項 -grouppolicy 會存取電腦群組策略存放區。

例如:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

將憑證或憑證撤銷清單發佈至 Active Directory (CRL) 。

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

其中:

  • certfile 是要發佈的憑證檔案名。

  • NTAuthCA 會將憑證發佈至 DS Enterprise 存放區。

  • RootCA 會將憑證發佈至 DS 信任的根存放區。

  • SubCA 會將 CA 憑證發佈至 DS CA 物件。

  • CrossCA 會將跨憑證發佈至 DS CA 物件。

  • KRA 會將憑證發佈至 DS Key Recovery Agent 物件。

  • 使用者 會將憑證發佈至 User DS 物件。

  • 電腦 會將憑證發佈至 Machine DS 物件。

  • CRLfile 是要發佈的 CRL 檔案名。

  • DSCDPContainer 是 DS CDP 容器 CN,通常是 CA 機器名稱。

  • DSCDPCN 是 DS CDP 物件 CN,通常是以清理的 CA 簡短名稱和索引鍵索引為基礎。

  • 使用 -f 來建立新的 DS 物件。

[-f] [-user] [-dc DCName]

-adtemplate

顯示 Active Directory 範本。

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-範本

顯示憑證範本。

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

顯示憑證範本的憑證授權單位單位 (CA) 。

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

顯示憑證授權單位單位的範本。

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

管理網站名稱,包括設定、驗證和刪除憑證授權單位單位網站名稱

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

其中:

  • 只有在以單一憑證授權單位單位為目標時,才允許sitename
[-f] [-config Machine\CAName] [-dc DCName]

備註

  • 此選項 -config 的目標是單一憑證授權單位單位 (預設值是所有 CA) 。

  • 此選項 -f 可用來覆寫指定 之月臺名稱 的驗證錯誤,或刪除所有 CA 網站名稱。

注意

如需設定 AD DS) 網站感知Active Directory 網域服務 (CA 的詳細資訊,請參閱AD CS 和 PKI 用戶端的 AD DS 網站感知

-enrollmentserverURL

顯示、新增或刪除與 CA 相關聯的註冊伺服器 URL。

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

其中:

  • authenticationtype 指定下列其中一種用戶端驗證方法,同時新增 URL:

    1. kerberos - 使用 Kerberos SSL 認證。

    2. username - 使用具名帳戶進行 SSL 認證。

    3. clientcertificate:- 使用 X.509 憑證 SSL 認證。

    4. anonymous - 使用匿名 SSL 認證。

  • delete 會刪除與 CA 相關聯的指定 URL。

  • 如果新增 URL 時未指定,priority預設為 1

  • 修飾詞 是逗號分隔的清單,其中包含下列一或多個專案:

  1. allowrenewalsonly - 只能透過此 URL 提交更新要求至此 CA。

  2. allowkeybasedrenewal - 允許使用在 AD 中沒有相關聯帳戶的憑證。 這僅適用于 clientcertificate 和 allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-adca

顯示 Active Directory 憑證授權單位單位。

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-約

顯示註冊原則憑證授權單位單位。

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-政策

顯示註冊原則。

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

顯示或刪除註冊原則快取專案。

certutil [options] -policycache [delete]

其中:

  • delete 會刪除原則伺服器快取專案。

  • -f 會刪除所有快取專案

[-f] [-user] [-policyserver URLorID]

-credstore

顯示、新增或刪除認證存放區專案。

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

其中:

  • URL 是目標 URL。 您也可以使用 * 來比對所有專案,或 https://machine* 比對 URL 前置詞。

  • 新增 認證存放區專案。 使用此選項也需要使用 SSL 認證。

  • 刪除 會刪除認證存放區專案。

  • -f 會覆寫單一專案或刪除多個專案。

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

安裝預設憑證範本。

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

顯示或刪除 URL 快取專案。

certutil [options] -URLcache [URL | CRL | * [delete]]

其中:

  • URL 是快取的 URL。

  • CRL 只會在所有快取的 CRL URL 上執行。

  • * 會在所有快取的 URL 上運作。

  • 刪除 會從目前使用者的本機快取中刪除相關的 URL。

  • -f 會強制擷取特定 URL 並更新快取。

[-f] [-split]

-脈衝

脈衝自動註冊事件。

certutil [options] -pulse
[-user]

-machineinfo

顯示 Active Directory 電腦物件的相關資訊。

certutil [options] -machineinfo domainname\machinename$

-DCInfo

顯示網域控制站的相關資訊。 預設會顯示沒有驗證的 DC 憑證。

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

提示

指定Active Directory 網域服務 (AD DS) 網域[Domain]以及指定網域控制站 (-dc) 的功能已新增至 Windows Server 2012。 若要成功執行命令,您必須使用屬於 Domain AdminsEnterprise Admins 成員的帳戶。 此命令的行為修改如下所示:

  1. 1.如果未指定網域,且未指定特定網域控制站,此選項會傳回要從預設網域控制站處理的網域控制站清單。
  2. 2.如果未指定網域,但指定網域控制站,則會產生指定網域控制站上的憑證報告。
  3. 3.如果已指定網域,但未指定網域控制站,則會產生網域控制站清單,以及清單中每個網域控制站的憑證報告。
  4. 4.如果已指定網域和網域控制站,則會從目標網域控制站產生網域控制站清單。 也會產生清單中每個網域控制站的憑證報告。

例如,假設有名為 CPANDL 的網域,且網域控制站名為 CPANDL-DC1。 您可以執行下列命令,以擷取來自 CPANDL-DC1 的網域控制站及其憑證清單: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

顯示企業憑證授權單位單位的相關資訊。

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

顯示憑證授權單位單位的相關資訊。

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

顯示智慧卡的相關資訊。

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

其中:

  • CRYPT_DELETEKEYSET 刪除智慧卡上的所有金鑰。
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

管理智慧卡根憑證。

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-DeleteHelloContainer

刪除Windows Hello容器,移除儲存在裝置上的所有相關聯認證,包括任何 WebAuthn 和 FIDO 認證。

使用者必須在使用此選項之後登出,才能完成。

CertUtil [Options] -DeleteHelloContainer

-verifykeys

驗證公用或私密金鑰集。

certutil [options] -verifykeys [keycontainername cacertfile]

其中:

  • keycontainername 是金鑰要驗證的金鑰容器名稱。 此選項預設為電腦金鑰。 若要切換至使用者金鑰,請使用 -user

  • cacertfile 簽署或加密憑證檔案。

[-f] [-user] [-silent] [-config Machine\CAName]

備註

  • 如果未指定任何引數,則會針對其私密金鑰驗證每個簽署 CA 憑證。

  • 此作業只能針對本機 CA 或本機密鑰執行。

-驗證

驗證憑證、憑證撤銷清單 (CRL) 或憑證鏈結。

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

其中:

  • certfile 是要驗證的憑證名稱。

  • applicationpolicylist 是必要應用程式原則 ObjectIds 的選擇性逗號分隔清單。

  • issuancepolicylist 是必要發行原則 ObjectIds 的選擇性逗號分隔清單。

  • cacertfile 是選擇性的發行 CA 憑證,可供驗證。

  • crossedcacertfile 是由 certfile交叉認證的選擇性憑證。

  • CRLfile 是用來驗證 cacertfile的 CRL 檔案。

  • issuedcertfile 是 CRLfile 涵蓋的選擇性發行憑證。

  • deltaCRLfile 是選擇性的差異 CRL 檔案。

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

備註

  • 使用 applicationpolicylist 會將鏈結建置限制為只對指定之應用程式原則有效的鏈結。

  • 使用 issuancepolicylist 會將鏈結建置限制為只對指定發行原則有效的鏈結。

  • 使用 cacertfile 會針對 certfileCRLfile驗證檔案中的欄位。

  • 使用 issuedcertfile 會針對 CRLfile驗證檔案中的欄位。

  • 使用 deltaCRLfile 會根據 certfile驗證檔案中的欄位。

  • 如果未指定 cacertfile ,則會針對 certfile建置並驗證完整鏈結。

  • 如果同時指定 cacertfilecrossedcacertfile ,則會針對 certfile驗證這兩個檔案中的欄位。

-verifyCTL

驗證 AuthRoot 或不允許的憑證 CTL。

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

其中:

  • CTLobject 會識別要驗證的 CTL,包括:

    • AuthRootWU - 從 URL 快取讀取 AuthRoot CAB 和相符的憑證。 請改用 -f 從 Windows Update 下載。

    • 不允許WU - 從 URL 快取讀取不允許的憑證 CAB 和不允許的憑證存放區檔案。 請改用 -f 從 Windows Update 下載。

    • AuthRoot - 讀取登錄快取的 AuthRoot CTL。 使用 和 -f 不受信任的 憑證檔案 ,強制登錄快取的 AuthRoot 和不允許的憑證 CCL 進行更新。

    • 不允許 - 讀取登錄快取的不允許憑證 CTL。 使用 和 -f 不受信任的 憑證檔案 ,強制登錄快取的 AuthRoot 和不允許的憑證 CCL 進行更新。

  • CTLfilename 會指定 CTL 或 CAB 檔案的檔案或 HTTP 路徑。

  • certdir 指定包含符合 CTL 專案之憑證的資料夾。 預設為與 CTLobject相同的資料夾或網站。 使用 HTTP 資料夾路徑需要結尾的路徑分隔符號。 如果您未指定 AuthRoot不允許,則會搜尋多個位置來尋找相符的憑證,包括本機憑證存放區、crypt32.dll資源和本機 URL 快取。 視需要使用 -f 從Windows Update下載。

  • certfile 會指定要驗證的憑證 () 。 憑證會與 CTL 專案相符,並顯示結果。 此選項會隱藏大部分的預設輸出。

[-f] [-user] [-split]

-標誌

重新簽署憑證撤銷清單, (CRL) 或憑證。

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

其中:

  • infilelist 是以逗號分隔的憑證或 CRL 檔案清單,用來修改和重新簽署。

  • serialnumber 是要建立的憑證序號。 有效期間和其他選項無法存在。

  • CRL 會建立空的 CRL。 有效期間和其他選項無法存在。

  • outfilelist 是以逗號分隔的已修改憑證或 CRL 輸出檔案清單。 檔案數目必須符合 infilelist。

  • startdate+dd:hh 是憑證或 CRL 檔案的新有效期間,包括:

    • 選擇性日期加上

    • 選擇性的天數和小時有效期間

    如果同時指定兩者,您必須使用加號 (+) 分隔符號。 使用 now[+dd:hh] 從目前時間開始。 使用 never 僅) CRL 沒有到期日 (。

  • serialnumberlist 是要新增或移除之檔案的逗號分隔序號清單。

  • objectIDlist 是要移除之檔案的逗號分隔副檔名 ObjectId 清單。

  • @extensionfile 是包含要更新或移除之副檔名的 INF 檔案。 例如:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm 是雜湊演算法的名稱。 這必須是前面加上符號的 # 文字。

  • alternatesignaturealgorithm 是替代簽章演算法規範。

[-nullsign] [-f] [-silent] [-cert certID]

備註

  • 使用減號 () 會移除序號和延伸模組。

  • 使用加號 (+) 將序號新增至 CRL。

  • 您可以使用清單同時從 CRL 移除序號和 ObjectID。

  • 使用 alternatesignaturealgorithm 之前的減號可讓您使用舊版簽章格式。 使用加號可讓您使用替代簽章格式。 如果您未指定 alternatesignaturealgorithm,則會使用憑證或 CRL 中的簽章格式。

-vroot

建立或刪除 Web 虛擬根目錄和檔案共用。

certutil [options] -vroot [delete]

-vocsproot

建立或刪除 OCSP Web Proxy 的 Web 虛擬根目錄。

certutil [options] -vocsproot [delete]

-addenrollmentserver

視需要為指定的憑證授權單位單位新增註冊伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

其中:

  • addenrollmentserver 要求您針對憑證註冊伺服器的用戶端連線使用驗證方法,包括:

    • kerberos 使用 Kerberos SSL 認證。

    • 使用者名稱 會使用具名帳戶進行 SSL 認證。

    • clientcertificate 使用 X.509 憑證 SSL 認證。

  • allowrenewalsonly 只允許透過 URL 向憑證授權單位單位提交更新要求。

  • allowkeybasedrenewal 允許在 Active Directory 中使用沒有相關聯帳戶的憑證。 這適用于搭配 clientcertificateallowrenewalsonly 模式使用時。

[-config Machine\CAName]

-deleteenrollmentserver

視需要刪除指定憑證授權單位單位的註冊伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

其中:

  • deleteenrollmentserver 要求您針對憑證註冊伺服器的用戶端連線使用驗證方法,包括:

    • kerberos 使用 Kerberos SSL 認證。

    • 使用者名稱 會使用具名帳戶進行 SSL 認證。

    • clientcertificate 使用 X.509 憑證 SSL 認證。

[-config Machine\CAName]

-addpolicyserver

視需要新增原則伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

其中:

  • addpolicyserver 要求您針對憑證原則伺服器的用戶端連線使用驗證方法,包括:

    • kerberos 使用 Kerberos SSL 認證。

    • 使用者名稱 會使用具名帳戶進行 SSL 認證。

    • clientcertificate 使用 X.509 憑證 SSL 認證。

  • keybasedrenewal 允許使用傳回給用戶端的原則,其中包含 keybasedrenewal 範本。 此選項僅適用于使用者名稱和用戶端憑證驗證。

-deletepolicyserver

視需要刪除原則伺服器應用程式和應用程式集區。 此命令不會移除二進位檔或套件。

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

其中:

  • deletepolicyserver 要求您針對憑證原則伺服器的用戶端連線使用驗證方法,包括:

    • kerberos 使用 Kerberos SSL 認證。

    • 使用者名稱 會使用具名帳戶進行 SSL 認證。

    • clientcertificate 使用 X.509 憑證 SSL 認證。

  • keybasedrenewal 允許使用 KeyBasedRenewal 原則伺服器。

-老

顯示物件識別碼或設定顯示名稱。

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

其中:

  • objectID 會顯示 或 ,以新增顯示名稱。

  • groupID 是 objectID 列舉 (十進位) groupID 編號。

  • algID 是 objectID 查閱的十六進位識別碼。

  • algorithmname 是 objectID 查閱的演算法名稱。

  • displayname 會顯示要儲存在 DS 中的名稱。

  • delete 會刪除顯示名稱。

  • LanguageId 是語言識別項值, (預設為目前:1033) 。

  • 類型 是要建立的 DS 物件類型,包括:

    • 1 - 範本 (預設)

    • 2 - 發行原則

    • 3 - 應用程式原則

  • -f 會建立 DS 物件。

-錯誤

顯示與錯誤碼相關聯的郵件內文。

certutil [options] -error errorcode

-getreg

顯示登錄值。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

其中:

  • ca 會使用憑證授權單位單位的登錄機碼。

  • 還原 會使用憑證授權單位單位的還原登錄機碼。

  • 原則 會使用原則模組的登錄機碼。

  • exit 會使用第一個結束模組的登錄機碼。

  • template 會使用範本登錄機碼, (-user 用於使用者範本) 。

  • enrollment 會使用註冊登錄機碼 (-user 用於使用者內容) 。

  • chain 會使用鏈結組態登錄機碼。

  • policyservers 會使用原則伺服器登錄機碼。

  • progID 會使用原則或結束模組的 ProgID (登錄子機碼名稱) 。

  • registryvaluename 會使用登錄值名稱, (用來 Name* 前置詞比對) 。

  • value 會使用新的數值、字串或日期登錄值或檔案名。 如果數值開頭為 +- ,則會在現有的登錄值中設定或清除新值中指定的位。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

備註

  • 如果字串值以 +- 開頭,而且現有的值是 REG_MULTI_SZ 值,則會在現有登錄值中加入或移除字串。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。

  • 如果值開頭為 \@ ,則值的其餘部分是包含二進位值的十六進位文字標記法的檔案名。 如果它未參考有效的檔案,則會改為剖析為 [Date][+|-][dd:hh] - 選擇性日期加上或減去選擇性天數和小時。 如果同時指定兩者,請使用加號 (+) 或減號 () 分隔符號。 用於 now+dd:hh 相對於目前時間的日期。

  • 使用 chain\chaincacheresyncfiletime \@now 有效地排清快取的 CRL。

-setreg

設定登錄值。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

其中:

  • ca 會使用憑證授權單位單位的登錄機碼。

  • 還原 會使用憑證授權單位單位的還原登錄機碼。

  • 原則 會使用原則模組的登錄機碼。

  • exit 會使用第一個結束模組的登錄機碼。

  • template 會使用範本登錄機碼, (-user 用於使用者範本) 。

  • enrollment 會使用註冊登錄機碼 (-user 用於使用者內容) 。

  • chain 會使用鏈結組態登錄機碼。

  • policyservers 會使用原則伺服器登錄機碼。

  • progID 會使用原則或結束模組的 ProgID (登錄子機碼名稱) 。

  • registryvaluename 會使用登錄值名稱, (用來 Name* 前置詞比對) 。

  • value 會使用新的數值、字串或日期登錄值或檔案名。 如果數值開頭為 +- ,則會在現有的登錄值中設定或清除新值中指定的位。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

備註

  • 如果字串值以 +- 開頭,而且現有的值是 REG_MULTI_SZ 值,則會在現有登錄值中加入或移除字串。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。

  • 如果值開頭為 \@ ,則值的其餘部分是包含二進位值的十六進位文字表示的檔案名。 如果它未參考有效的檔案,則會改為剖析為 [Date][+|-][dd:hh] - 選擇性日期加上或減去選擇性天數和小時。 如果同時指定兩者,請使用加號 (+) 或減號 () 分隔符號。 用於 now+dd:hh 相對於目前時間的日期。

  • 使用 chain\chaincacheresyncfiletime \@now 有效地排清快取的 CRL。

-delreg

刪除登錄值。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

其中:

  • ca 使用憑證授權單位單位的登錄機碼。

  • restore 會使用憑證授權單位單位的還原登錄機碼。

  • 原則 會使用原則模組的登錄機碼。

  • exit 會使用第一個結束模組的登錄機碼。

  • template 會使用範本登錄機碼, -user (用於使用者範本) 。

  • enrollment 會使用註冊登錄機碼 (-user 用於使用者內容) 。

  • chain 會使用鏈結組態登錄機碼。

  • policyservers 使用原則伺服器登錄機碼。

  • progID 會使用原則或結束模組的 ProgID (登錄子機碼名稱) 。

  • registryvaluename 會使用登錄值名稱, (用來 Name* 比對) 。

  • value 會使用新的數值、字串或日期登錄值或檔案名。 如果數值開頭為 +- ,則會在現有的登錄值中設定或清除新值中指定的位。

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

備註

  • 如果字串值以 +- 開頭,而現有的值是 REG_MULTI_SZ 值,則會將字串新增至現有登錄值或從現有的登錄值中移除。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。

  • 如果值開頭為 \@ ,則值的其餘部分是包含二進位值的十六進位文字表示的檔案名。 如果它未參考有效的檔案,則會改為剖析為 [Date][+|-][dd:hh] - 選擇性日期加上或減去選擇性天數和小時。 如果同時指定兩者,請使用加號 (+) 或減號 () 分隔符號。 用於 now+dd:hh 相對於目前時間的日期。

  • 使用 chain\chaincacheresyncfiletime \@now 有效地排清快取的 CRL。

-importKMS

將使用者金鑰和憑證匯入伺服器資料庫中,以進行金鑰封存。

certutil [options] -importKMS userkeyandcertfile [certID]

其中:

  • userkeyandcertfile 是一個資料檔案,其中包含要封存的使用者私密金鑰和憑證。 此檔案可以是:

    • Exchange 金鑰管理伺服器 (KMS) 匯出檔案。

    • PFX 檔案。

  • certID 是 KMS 匯出檔案解密憑證比對權杖。 如需詳細資訊,請參閱 -store 本文中的 參數。

  • -f 匯入憑證授權單位單位未發行的憑證。

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

將憑證檔案匯入資料庫。

certutil [options] -importcert certfile [existingrow]

其中:

  • existingrow 會匯入憑證來取代相同金鑰的擱置要求。

  • -f 匯入憑證授權單位單位未發行的憑證。

[-f] [-config Machine\CAName]

備註

憑證授權單位單位可能也必須設定為支援外部憑證。 若要這樣做,請輸入 import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN

-getkey

擷取封存的私密金鑰復原 Blob、產生復原腳本,或復原封存的金鑰。

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

其中:

  • 如果 找到多個相符的復原候選項目,或未) 指定輸出檔,腳本會產生腳本來擷取和復原金鑰 (預設行為。

  • 取會擷取一或多個金鑰復原 Blob (找到相符的復原候選項目,而且如果指定輸出檔) 。 使用此選項會截斷任何延伸模組,並附加每個金鑰復原 Blob 的憑證特定字串和 .rec 延伸模組。 每個檔案都包含憑證鏈結和相關聯的私密金鑰,仍然加密至一或多個金鑰復原代理程式憑證。

  • 復原 會在一個步驟中擷取和復原私密金鑰, (需要金鑰復原代理程式憑證和私密金鑰) 。 使用此選項會截斷任何延伸模組,並附加 .p12 副檔名。 每個檔案都包含已復原的憑證鏈結和相關聯的私密金鑰,儲存為 PFX 檔案。

  • searchtoken 會選取要復原的金鑰和憑證,包括:

      1. 憑證一般名稱
      1. 憑證序號
      1. 憑證 SHA-1 雜湊 (指紋)
      1. 憑證金鑰識別碼 SHA-1 雜湊 (主體金鑰識別碼)
      1. 要求者名稱 (domain\user)
      1. UPN (user@domain)
  • recoverybloboutfile 會輸出具有憑證鏈結和相關聯私密金鑰的檔案,仍然加密至一或多個金鑰復原代理程式憑證。

  • outputscriptfile 會輸出具有批次腳本的檔案,以擷取和復原私密金鑰。

  • outputfilebasename 會輸出檔案基底名稱。

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

復原封存的私密金鑰。

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

合併 PFX 檔案。

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

其中:

  • PFXinfilelist 是 PFX 輸入檔案的逗號分隔清單。

  • PFXoutfile 是 PFX 輸出檔的名稱。

  • extendedproperties 包含任何擴充屬性。

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

備註

  • 命令列上指定的密碼必須是逗號分隔的密碼清單。

  • 如果指定多個密碼,則會使用最後一個密碼作為輸出檔。 如果只提供一個密碼,或最後一個密碼為 * ,則會提示使用者輸入輸出檔密碼。

-convertEPF

將 PFX 檔案轉換成 EPF 檔案。

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

其中:

  • PFXinfilelist 是 PFX 輸入檔案的逗號分隔清單。

  • PFXoutfile 是 PFX 輸出檔的名稱。

  • EPF 是 EPF 輸出檔的名稱。

  • cast 使用 CAST 64 加密。

  • cast- 使用 CAST 64 加密 (匯出)

  • V3CAcertID 是 V3 CA 憑證比對權杖。 如需詳細資訊,請參閱 -store 本文中的 參數。

  • salt 是 EPF 輸出檔案 salt 字串。

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

備註

  • 命令列上指定的密碼必須是逗號分隔的密碼清單。

  • 如果指定多個密碼,則會使用最後一個密碼作為輸出檔。 如果只提供一個密碼,或最後一個密碼為 * ,則會提示使用者輸入輸出檔密碼。

-?

顯示參數清單。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

其中:

  • -? 顯示參數的完整清單

  • -<name_of_parameter> -? 會顯示指定參數的說明內容。

  • -? -v 會顯示參數和選項的完整清單。

選項。

本節會根據 命令定義您能夠指定的所有選項。 每個參數都包含哪些選項有效以供使用的資訊。

選項。 描述
-nullsign 使用資料的雜湊作為簽章。
-f 強制覆寫。
-enterprise 使用本機電腦企業登錄憑證存放區。
-使用者 使用HKEY_CURRENT_USER金鑰或憑證存放區。
-GroupPolicy 使用群組原則憑證存放區。
-ut 顯示使用者範本。
-mt 顯示電腦範本。
-Unicode 在 Unicode 中寫入重新導向的輸出。
-UnicodeText 在 Unicode 中寫入輸出檔案。
-Gmt 使用 GMT 顯示時間。
-秒 使用秒和毫秒顯示時間。
-silent silent使用 旗標來取得 crypt 內容。
-分裂 分割內嵌 ASN.1 元素,並儲存至檔案。
-v 提供更詳細的 (詳細資訊) 資訊。
-privatekey 顯示密碼和私密金鑰資料。
-pin PIN 智慧卡 PIN。
-urlfetch 擷取並驗證 AIA 憑證和 CDP CRL。
-config Machine\CAName 憑證授權單位單位和電腦名稱稱字串。
-policyserver URLorID 原則伺服器 URL 或識別碼。 針對選取 U/I,請使用 -policyserver 。 針對所有原則伺服器,請使用 -policyserver *
-匿名 使用匿名 SSL 認證。
-Kerberos 使用 Kerberos SSL 認證。
-clientcertificate clientcertID 使用 X.509 憑證 SSL 認證。 針對選取 U/I,請使用 -clientcertificate
-username 使用者名稱 針對 SSL 認證使用具名帳戶。 針對選取 U/I,請使用 -username
-cert cert certID 簽署憑證。
-dc DCName 以特定網域控制站為目標。
-restrict restrictlist 逗號分隔限制清單。 每個限制都包含資料行名稱、關係運算子和常數整數、字串或日期。 一個資料行名稱前面可能會加上加號或減號,以指出排序次序。 例如:requestID = 47+requestername >= a, requestername-requestername > DOMAIN, Disposition = 21
-out 資料行清單 逗號分隔資料行清單。
-p password 密碼
-protectto SAMnameandSIDlist 以逗號分隔的 SAM 名稱/SID 清單。
-csp 提供者 提供者
-t timeout URL 擷取逾時以毫秒為單位。
-symkeyalg symmetrickeyalgorithm[,keylength] 具有選擇性金鑰長度的對稱金鑰演算法名稱。 例如:AES,1283DES

其他參考

如需如何使用此命令的一些更多範例,請參閱