共用方式為


certutil(憑證管理工具)

謹慎

Certutil 不建議在任何生產程式代碼中使用,也不會提供即時網站支援或應用程式相容性的任何保證。 這是開發人員和IT系統管理員用來檢視裝置上憑證內容資訊的工具。

Certutil.exe 是安裝為憑證服務的一部分的命令行程式。 您可以使用 certutil.exe 來顯示證書頒發機構單位 (CA) 組態資訊、設定憑證服務,以及備份和還原 CA 元件。 此程式也會驗證憑證、金鑰組和憑證鏈結。

如果在 certutil 沒有其他參數的證書頒發機構單位上執行,則會顯示目前的證書頒發機構單位設定。 如果在 certutil 沒有其他參數的非證書頒發機構單位上執行 ,則命令預設為執行 certutil -dump 命令。 並非所有版本的 certutil 都提供本檔描述的所有參數和選項。 您可以執行 certutil -?certutil <parameter> -?來查看 certutil 版本所提供的選項。

小提示

若要查看所有 certutil 動詞和選項的完整說明,包括自 -? 變數中隱藏的指令動詞和選項,請執行 certutil -v -uSAGE。 參數 uSAGE 會區分大小寫。

參數

-dump

傾印組態資訊或檔案。

certutil [options] [-dump]
certutil [options] [-dump] File

選項:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

傾印 PFX 結構。

certutil [options] [-dumpPFX] File

選項:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

使用抽象語法表示法 (ASN.1) 語法剖析和顯示檔案的內容。 檔案類型包括 。CER, 。DER 和 PKCS #7 格式的檔案。

certutil [options] -asn File [type]
  • [type]:數值CRYPT_STRING_* 譯碼類型

-decodehex

譯碼十六進位編碼的檔案。

certutil [options] -decodehex InFile OutFile [type]
  • [type]:數值CRYPT_STRING_* 譯碼類型

選項:

[-f]

-encodehex

以十六進位編碼檔案。

certutil [options] -encodehex InFile OutFile [type]
  • [type]:數值CRYPT_STRING_* 編碼類型

選項:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

譯碼Base64編碼的檔案。

certutil [options] -decode InFile OutFile

選項:

[-f]

-encode

將檔案編碼為Base64。

certutil [options] -encode InFile OutFile

選項:

[-f] [-unicodetext]

-deny

拒絕擱置的要求。

certutil [options] -deny RequestId

選項:

[-config Machine\CAName]

-resubmit

重新提交擱置的要求。

certutil [options] -resubmit RequestId

選項:

[-config Machine\CAName]

-setattributes

設定擱置憑證要求的屬性。

certutil [options] -setattributes RequestId AttributeString

地點:

  • RequestId 是擱置要求的數位要求標識碼。
  • AttributeString 是要求屬性名稱和值組。

選項:

[-config Machine\CAName]

備註

  • 名稱和值必須以冒號分隔,而多個名稱和值對必須以換行符分隔。 例如: CertificateTemplate:User\nEMail:User@Domain.com\n 序列轉換成換行符的位置。

-setextension

設定擱置憑證要求的延伸模組。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

地點:

  • requestID 是暫止要求的數位要求標識碼。
  • ExtensionName 是擴充功能的 ObjectId 字串。
  • 旗標會 設定延伸模組的優先順序。 0 建議使用 ,雖然 1 將擴充功能設定為重大, 2 但會停用擴充功能,並 3 同時執行這兩項作業。

選項:

[-config Machine\CAName]

備註

  • 如果最後一個參數是數值,則會將其視為 Long
  • 如果最後一個參數可以剖析為日期,則會將其視為 Date
  • 如果最後一個參數以 開頭, \@則令牌的其餘部分將作為包含二進位數據的檔名或 ASCII 文本十六進位轉儲。
  • 如果最後一個參數是任何其他參數,則會將其視為 String。

-revoke

撤銷憑證。

certutil [options] -revoke SerialNumber [Reason]

地點:

  • SerialNumber 是要撤銷的憑證序號逗號分隔清單。
  • Reason 是撤銷原因的數值或符號表示法,包括:
    • 0. CRL_REASON_UNSPECIFIED - 未指定 (預設值)
    • 1. CRL_REASON_KEY_COMPROMISE - 金鑰洩露
    • 2. CRL_REASON_CA_COMPROMISE - 證書頒發機構單位入侵
    • 3. CRL_REASON_AFFILIATION_CHANGED - 聯盟已變更
    • 4. CRL_REASON_SUPERSEDED - 取代
    • 5. CRL_REASON_CESSATION_OF_OPERATION - 停止作業
    • 6. CRL_REASON_CERTIFICATE_HOLD - 憑證保留
    • 8. CRL_REASON_REMOVE_FROM_CRL - 從 CRL 移除
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - 已撤銷許可權
    • 10:CRL_REASON_AA_COMPROMISE - AA 入侵
    • -1. 撤銷 - 取消復原

選項:

[-config Machine\CAName]

-isvalid

顯示目前憑證的處置。

certutil [options] -isvalid SerialNumber | CertHash

選項:

[-config Machine\CAName]

-getconfig

取得預設組態字串。

certutil [options] -getconfig

選項:

[-idispatch] [-config Machine\CAName]

-getconfig2

透過 ICertGetConfig 取得預設組態字串。

certutil [options] -getconfig2

選項:

[-idispatch]

-getconfig3

透過 ICertConfig 取得設定。

certutil [options] -getconfig3

選項:

[-idispatch]

-ping

嘗試連絡 Active Directory 憑證服務要求介面。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

地點:

  • CAMachineList 是以逗號分隔的 CA 計算機名稱清單。 對於單一計算機,請使用終止逗號。 這個選項也會顯示每個 CA 電腦的月臺成本。

選項:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

嘗試連絡 Active Directory 憑證服務系統管理介面。

certutil [options] -pingadmin

選項:

[-config Machine\CAName]

-CAInfo

顯示證書頒發機構單位的相關信息。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

地點:

  • InfoName 會根據下列 infoname 自變數語法,指出要顯示的 CA 屬性:
    • * - 顯示所有屬性
    • 廣告 - 進階伺服器
    • aia [Index] - AIA URL
    • cdp [Index] - CDP URL
    • 憑證 [索引] - CA 憑證
    • certchain [Index] - CA 憑證鏈結
    • certcount - CA 憑證計數
    • certcrlchain [Index] - 具有 CRL 的 CA 憑證鏈結
    • certstate [索引] - CA 憑證
    • certstatuscode [Index] - CA 憑證驗證狀態
    • certversion [Index] - CA 憑證版本
    • CRL [索引] - 基底 CRL
    • crlstate [索引] - CRL
    • crlstatus [Index] - CRL 發佈狀態
    • cross- [Index] - 向後交叉憑證
    • cross+ [Index] - 轉送交叉憑證
    • crossstate- [Index] - 向後交叉憑證
    • crossstate+ [Index] - 轉送交叉憑證
    • deltacrl [索引] - Delta CRL
    • deltacrlstatus [索引] - Delta CRL 發佈狀態
    • dns - DNS 名稱
    • dsname - 清理 CA 簡短名稱 (DS 名稱)
    • error1 ErrorCode - 錯誤訊息文字
    • error2 ErrorCode - 錯誤訊息文字和錯誤碼
    • exit [Index] - 結束模組描述
    • exitcount - 結束模組計數
    • file - 檔案 版本
    • info - CA 資訊
    • kra [索引] - KRA 證書
    • kracount - KRA 憑證計數
    • krastate [索引] - KRA 證書
    • kraused - KRA 憑證已使用計數
    • localename - CA 地區設定名稱
    • name - CA 名稱
    • ocsp [Index] - OCSP URL
    • parent - 父 CA
    • 原則 - 原則模組描述
    • product - 產品版本
    • propidmax - CA PropId 上限
    • role - 角色 分離
    • sanitizedname - Sanitized CA 名稱
    • sharedfolder - 共享資料夾
    • subjecttemplateoids - 主體範本 OIDs
    • 範本 - 範本
    • type - CA 類型
    • xchg [索引] - CA 交換憑證
    • xchgchain [索引] - CA 交換憑證鏈結
    • xchgcount - CA 交換憑證計數
    • xchgcrlchain [索引] - CA 交換憑證鏈結與 CRL
  • index 是選擇性以零起始的屬性索引。
  • errorcode 是數值錯誤碼。

選項:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

顯示 CA 屬性類型資訊。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

選項:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

擷取證書頒發機構單位的憑證。

certutil [options] -ca.cert OutCACertFile [Index]

地點:

  • OutCACertFile 是輸出檔。
  • 索引 是 CA 憑證更新索引(預設為最新的)。

選項:

[-f] [-split] [-config Machine\CAName]

-ca.chain

擷取證書頒發機構單位的憑證鏈結。

certutil [options] -ca.chain OutCACertChainFile [Index]

地點:

  • OutCACertChainFile 是輸出檔案。
  • 索引 是 CA 憑證更新索引(預設為最新的)。

選項:

[-f] [-split] [-config Machine\CAName]

-GetCRL

取得證書吊銷清單 (CRL)。

certutil [options] -GetCRL OutFile [Index] [delta]

地點:

  • Index 是 CRL 索引或索引鍵索引(預設為最新索引鍵的 CRL)。
  • delta 是差異 CRL(預設值為基底 CRL)。

選項:

[-f] [-split] [-config Machine\CAName]

-CRL

發佈新的證書吊銷清單 (CRL) 或差異 CRL。

certutil [options] -CRL [dd:hh | republish] [delta]

地點:

  • dd:hh 是天數和小時的新 CRL 有效期間。
  • 重新發佈 會重新發佈最新的 CRL。
  • delta 只會發佈差異 CRL(預設值為基底和差異 CRL)。

選項:

[-split] [-config Machine\CAName]

-shutdown

關閉 Active Directory 憑證服務。

certutil [options] -shutdown

選項:

[-config Machine\CAName]

-installCert

安裝證書頒發機構單位憑證。

certutil [options] -installCert [CACertFile]

選項:

[-f] [-silent] [-config Machine\CAName]

-renewCert

更新證書頒發機構單位憑證。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

選項:

[-f] [-silent] [-config Machine\CAName]
  • 使用 -f 忽略未完成的續約要求,併產生新的要求。

-schema

傾印憑證的架構。

certutil [options] -schema [Ext | Attrib | CRL]

地點:

  • 命令預設為 [要求] 和 [憑證] 數據表。
  • Ext 是擴充數據表。
  • 屬性 是屬性數據表。
  • CRL 是 CRL 數據表。

選項:

[-split] [-config Machine\CAName]

-view

傾印憑證檢視。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

地點:

  • 佇列 會傾印特定要求佇列。
  • 記錄 會傾印已核發或撤銷的憑證,以及任何失敗的要求。
  • LogFail 會傾印失敗的要求。
  • 撤銷會 傾印撤銷的憑證。
  • Ext 會傾印擴充數據表。
  • Attrib 會傾印屬性數據表。
  • CRL 會傾印 CRL 數據表。
  • csv 會使用逗號分隔值來提供輸出。

選項:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

備註

  • 若要顯示所有專案的 StatusCode 數據行,請輸入 -out StatusCode
  • 若要顯示最後一個專案的所有資料列,請輸入: -restrict RequestId==$
  • 若要顯示三個要求的 RequestId處置 ,請輸入: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • 若要顯示所有基底 CRL 的數據列識別碼和資料列識別碼,請輸入:-restrict crlminbase=0 -out crlrowID,crlnumber crl
  • 若要顯示基底 CRL 數位 3,請輸入: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • 若要顯示整個 CRL 資料表,請輸入: CRL
  • 用於 Date[+|-dd:hh] 日期限制。
  • 用於 now+dd:hh 相對於目前時間的日期。
  • 範本包含擴充密鑰使用方式 (EKU),這些是描述憑證使用方式的物件識別碼 (OIDs)。 憑證不一定會包含範本一般名稱或顯示名稱,但一律包含範本 EKU。 您可以從 Active Directory 擷取特定證書範本的 EKU,然後根據該延伸模組限制檢視。

-db

傾印原始資料庫。

certutil [options] -db

選項:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

從伺服器資料庫刪除數據列。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

地點:

  • 要求 會根據提交日期刪除失敗和擱置的要求。
  • 憑證 會根據到期日刪除過期和撤銷的憑證。
  • Ext 會刪除擴充數據表。
  • Attrib 會刪除屬性數據表。
  • CRL 會刪除 CRL 資料表。

選項:

[-f] [-config Machine\CAName]

範例

  • 若要刪除在 2001 年 1 月 22 日之前提交的失敗和擱置要求,請輸入: 1/22/2001 request
  • 若要刪除 2001 年 1 月 22 日到期的所有憑證,請輸入: 1/22/2001 cert
  • 若要刪除 RequestID 37 的憑證數據列、屬性和延伸模組,請輸入: 37
  • 若要刪除 2001 年 1 月 22 日到期的 CRL,請輸入: 1/22/2001 crl

備註

Date 預期格式 mm/dd/yyyy 不是 dd/mm/yyyy,例如 1/22/2001 ,而不是 22/1/2001 2001 年 1 月 22 日。 如果您的伺服器未設定美國地區設定,則使用 Date 自變數可能會產生非預期的結果。

-backup

備份 Active Directory 憑證服務。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

地點:

  • BackupDirectory 是用來儲存備份數據的目錄。
  • 累加 只會執行增量備份(預設值為完整備份)。
  • KeepLog 會保留資料庫記錄檔(預設值為截斷記錄檔)。

選項:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

備份 Active Directory 憑證服務資料庫。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

地點:

  • BackupDirectory 是用來儲存備份資料庫檔案的目錄。
  • 累加 只會執行增量備份(預設值為完整備份)。
  • KeepLog 會保留資料庫記錄檔(預設值為截斷記錄檔)。

選項:

[-f] [-config Machine\CAName]

-backupkey

備份 Active Directory 憑證服務憑證和私鑰。

certutil [options] -backupkey BackupDirectory

地點:

  • BackupDirectory 是用來儲存備份 PFX 檔案的目錄。

選項:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

還原 Active Directory 憑證服務。

certutil [options] -restore BackupDirectory

地點:

  • BackupDirectory 是包含要還原之數據的目錄。

選項:

[-f] [-config Machine\CAName] [-p password]

-restoredb

還原 Active Directory 憑證服務資料庫。

certutil [options] -restoredb BackupDirectory

地點:

  • BackupDirectory 是包含要還原之資料庫檔案的目錄。

選項:

[-f] [-config Machine\CAName]

-restorekey

還原 Active Directory 憑證服務憑證和私鑰。

certutil [options] -restorekey BackupDirectory | PFXFile

地點:

  • BackupDirectory 是包含要還原之 PFX 檔案的目錄。
  • PFXFile 是要還原的 PFX 檔案。

選項:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

匯出憑證和私鑰。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

地點:

  • CertificateStoreName 是證書存儲的名稱。
  • CertId 是憑證或CRL比對令牌。
  • PFXFile 是要導出的 PFX 檔案。
  • 修飾詞 是逗號分隔清單,可包含下列一或多個內容:
    • CryptoAlgorithm= 指定要用於加密 PFX 檔案的密碼編譯演算法,例如 TripleDES-Sha1Aes256-Sha256
    • EncryptCert - 使用密碼加密與憑證相關聯的私鑰。
    • 除了憑證和私鑰之外,ExportParameters -Exports 私鑰參數。
    • ExtendedProperties - 包含與輸出檔案中憑證相關聯的所有擴充屬性。
    • NoEncryptCert - 匯出私鑰而不加密。
    • NoChain - 不會匯入憑證鏈結。
    • NoRoot - 不會匯入跟證書。

-importPFX

匯入憑證和私鑰。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

地點:

  • CertificateStoreName 是證書存儲的名稱。
  • PFXFile 是要匯入的 PFX 檔案。
  • 修飾詞 是逗號分隔清單,可包含下列一或多個內容:
    • AT_KEYEXCHANGE - 將 keyspec 變更為金鑰交換。
    • AT_SIGNATURE - 將keyspec變更為簽章。
    • ExportEncrypted - 匯出與憑證相關聯的私鑰與密碼加密。
    • FriendlyName= - 指定匯入憑證的易記名稱。
    • KeyDescription= - 指定與匯入憑證相關聯之私鑰的描述。
    • KeyFriendlyName= - 指定與匯入憑證相關聯之私鑰的易記名稱。
    • NoCert - 不會匯入憑證。
    • NoChain - 不會匯入憑證鏈結。
    • NoExport - 使私鑰不可匯出。
    • NoProtect - 密碼不會使用密碼來保護金鑰。
    • NoRoot - 不會匯入跟證書。
    • Pkcs8 - 針對 PFX 檔案中的私鑰使用 PKCS8 格式。
    • 保護 - 使用密碼保護金鑰。
    • ProtectHigh - 指定高安全性密碼必須與私鑰相關聯。
    • VSM - 將與匯入憑證相關聯的私鑰儲存在虛擬智慧卡 (VSC) 容器中。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

備註

  • 默認為個人計算機存放區。

-dynamicfilelist

顯示動態檔案清單。

certutil [options] -dynamicfilelist

選項:

[-config Machine\CAName]

-databaselocations

顯示資料庫位置。

certutil [options] -databaselocations

選項:

[-config Machine\CAName]

-hashfile

透過檔案產生並顯示密碼編譯哈希。

certutil [options] -hashfile InFile [HashAlgorithm]

-store

傾印證書存儲。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

地點:

  • CertificateStoreName 是證書存儲名稱。 例如:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId 是憑證或CRL比對令牌。 這個識別碼可以是:

    • 序號
    • SHA-1 憑證
    • CRL、CTL 或公鑰哈希
    • 數值憑證索引 (0、1 等等)
    • 數值 CRL 索引 (.0、.1 等等)
    • 數值 CTL 索引 (..0, ..1 等等 )
    • 公開金鑰
    • Signature 或 extension ObjectId
    • 憑證主體一般名稱
    • 電子郵件地址
    • UPN 或 DNS 名稱
    • 金鑰容器名稱或 CSP 名稱
    • 範本名稱或 ObjectId
    • EKU 或應用程式原則 ObjectId
    • CRL 簽發者一般名稱。

其中許多標識碼可能會導致多個相符專案。

  • OutputFile 是用來儲存相符憑證的檔案。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • 此選項 -user 會存取使用者存放區,而不是計算機存放區。
  • 此選項 -enterprise 會存取計算機企業存放區。
  • 選項 -service 會存取計算機服務存放區。
  • 選項 -grouppolicy 會存取計算機組策略存放區。

例如:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

備註

使用 -store 參數時,會觀察到效能問題,這兩個層面如下:

  1. 當存放區中的憑證數目超過 10 時。
  2. 指定 CertId 時,它會用來比對每個憑證的所有列出的類型。 例如,如果提供 序號 ,它也會嘗試比對所有其他列出的類型。

如果您擔心效能問題,建議使用PowerShell命令,其中只會符合指定的憑證類型。

-enumstore

列舉證書存儲。

certutil [options] -enumstore [\\MachineName]

地點:

  • MachineName 是遠端電腦名稱。

選項:

[-enterprise] [-user] [-grouppolicy]

-addstore

將憑證新增至存放區。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -addstore CertificateStoreName InFile

地點:

  • CertificateStoreName 是證書存儲名稱。
  • InFile 是您想要新增至存放區的憑證或CRL檔案。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

從存放區刪除憑證。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -delstore CertificateStoreName certID

地點:

  • CertificateStoreName 是證書存儲名稱。
  • CertId 是憑證或CRL比對令牌。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

驗證存放區中的憑證。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -verifystore CertificateStoreName [CertId]

地點:

  • CertificateStoreName 是證書存儲名稱。
  • CertId 是憑證或CRL比對令牌。

選項:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

修復金鑰關聯或更新憑證屬性或金鑰安全性描述元。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

地點:

  • CertificateStoreName 是證書存儲名稱。

  • CertIdList 是憑證或CRL比對令牌的逗號分隔清單。 如需詳細資訊,請參閱 -store 本文中的 CertId 描述。

  • PropertyInfFile 是包含外部屬性的 INF 檔案,包括:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

傾印憑證存放區。 如需詳細資訊,請參閱 -store 本文中的 參數。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

地點:

  • CertificateStoreName 是證書存儲名稱。 例如:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId 是憑證或CRL比對令牌。 這可以是:

    • 序號
    • SHA-1 憑證
    • CRL、CTL 或公鑰哈希
    • 數值憑證索引 (0、1 等等)
    • 數值 CRL 索引 (.0、.1 等等)
    • 數值 CTL 索引 (..0, ..1 等等 )
    • 公開金鑰
    • Signature 或 extension ObjectId
    • 憑證主體一般名稱
    • 電子郵件地址
    • UPN 或 DNS 名稱
    • 金鑰容器名稱或 CSP 名稱
    • 範本名稱或 ObjectId
    • EKU 或應用程式原則 ObjectId
    • CRL 簽發者一般名稱。

其中許多都可能導致多個相符專案。

  • OutputFile 是用來儲存相符憑證的檔案。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • 此選項 -user 會存取使用者存放區,而不是計算機存放區。
  • 此選項 -enterprise 會存取計算機企業存放區。
  • 選項 -service 會存取計算機服務存放區。
  • 選項 -grouppolicy 會存取計算機組策略存放區。

例如:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

從存放區刪除憑證。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

地點:

  • CertificateStoreName 是證書存儲名稱。 例如:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId 是憑證或CRL比對令牌。 這可以是:

    • 序號
    • SHA-1 憑證
    • CRL、CTL 或公鑰哈希
    • 數值憑證索引 (0、1 等等)
    • 數值 CRL 索引 (.0、.1 等等)
    • 數值 CTL 索引 (..0, ..1 等等 )
    • 公開金鑰
    • Signature 或 extension ObjectId
    • 憑證主體一般名稱
    • 電子郵件地址
    • UPN 或 DNS 名稱
    • 金鑰容器名稱或 CSP 名稱
    • 範本名稱或 ObjectId
    • EKU 或應用程式原則 ObjectId
    • CRL 簽發者一般名稱。

其中許多可能會導致多個相符專案。

  • OutputFile 是用來儲存相符憑證的檔案。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • 此選項 -user 會存取使用者存放區,而不是計算機存放區。
  • 此選項 -enterprise 會存取計算機企業存放區。
  • 選項 -service 會存取計算機服務存放區。
  • 選項 -grouppolicy 會存取計算機組策略存放區。

例如:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

叫用 certutil 介面。

certutil [options] -UI File [import]

-TPMInfo

顯示信任的平臺模組資訊。

certutil [options] -TPMInfo

選項:

[-f] [-Silent] [-split]

-attest

指定應該證明憑證要求檔案。

certutil [options] -attest RequestFile

選項:

[-user] [-Silent] [-split]

-getcert

從選取 UI 選取憑證。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

選項:

[-Silent] [-split]

-ds

顯示目錄服務 (DS) 辨別名稱 (DN)。

certutil [options] -ds [CommonName]

選項:

[-f] [-user] [-split] [-dc DCName]

-dsDel

刪除 DS DN。

certutil [options] -dsDel [CommonName]

選項:

[-user] [-split] [-dc DCName]

-dsPublish

將憑證或證書吊銷清單 (CRL) 發佈至 Active Directory。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

地點:

  • CertFile 是要發佈的憑證檔案名稱。
  • NTAuthCA 會將憑證發佈至 DS Enterprise 存放區。
  • RootCA 會將憑證發佈至 DS 受信任的根存放區。
  • SubCA 會將 CA 憑證發佈至 DS CA 物件。
  • CrossCA 會將跨憑證發佈至 DS CA 物件。
  • KRA 會將憑證發佈至 DS Key Recovery Agent 物件。
  • 用戶 會將憑證發佈至User DS物件。
  • 計算機 會將憑證發佈至 Machine DS 物件。
  • CRLfile 是要發佈的CRL檔案名稱。
  • DSCDPContainer 是 DS CDP 容器 CN,通常是 CA 計算機名稱。
  • DSCDPCN 是以清理 CA 簡短名稱和索引鍵索引為基礎的 DS CDP 物件 CN。

選項:

[-f] [-user] [-dc DCName]
  • 用來 -f 建立新的 DS 物件。

-dsCert

顯示 DS 憑證。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

選項:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

顯示 DS CRL。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

選項:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

顯示 DS 差異 CRL。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

選項:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

顯示 DS 樣本屬性。

certutil [options] -dsTemplate [Template]

選項:

[Silent] [-dc DCName]

-dsAddTemplate

新增 DS 範本。

certutil [options] -dsAddTemplate TemplateInfFile

選項:

[-dc DCName]

-ADTemplate

顯示 Active Directory 範本。

certutil [options] -ADTemplate [Template]

選項:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

顯示憑證註冊原則範本。

選項:

certutil [options] -Template [Template]

選項:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

顯示證書範本的證書頒發機構單位 (CA)。

certutil [options] -TemplateCAs Template

選項:

[-f] [-user] [-dc DCName]

-CATemplates

顯示證書頒發機構單位的範本。

certutil [options] -CATemplates [Template]

選項:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

設定證書頒發機構單位可以發出的證書範本。

certutil [options] -SetCATemplates [+ | -] TemplateList

地點:

  • 符號會將 + 證書範本新增至 CA 的可用範本清單。
  • 簽署 - 會從 CA 的可用範本清單中移除證書範本。

-SetCASites

管理網站名稱,包括設定、驗證和刪除證書頒發機構單位網站名稱。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

地點:

  • 只有在以單一證書頒發機構單位為目標時,才允許 SiteName

選項:

[-f] [-config Machine\CAName] [-dc DCName]

備註

  • 此選項 -config 以單一證書頒發機構單位為目標(預設值為所有 CA)。
  • -f選項可用來覆寫指定 SiteName 的驗證錯誤,或刪除所有 CA 網站名稱。

備註

如需設定 Active Directory Domain Services (AD DS) 網站感知 CA 的詳細資訊,請參閱 AD DS Site Awareness for AD CS 和 PKI 用戶端

-enrollmentServerURL

顯示、新增或刪除與 CA 相關聯的註冊伺服器 URL。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

地點:

  • AuthenticationType 會在新增 URL 時指定下列其中一個用戶端驗證方法:
    • Kerberos - 使用 Kerberos SSL 認證。
    • UserName - 針對 SSL 認證使用具名帳戶。
    • ClientCertificate - 使用 X.509 憑證 SSL 認證。
    • 匿名 - 使用匿名 SSL 認證。
  • delete 會刪除與 CA 相關聯的指定 URL。
  • 新增網址時,優先權預設為 1
  • 修飾詞 是逗號分隔清單,其中包含下列一或多個內容:
    • AllowRenewalsOnly 只能透過此 URL 提交至此 CA 的續約要求。
    • AllowKeyBasedRenewal 允許使用 AD 中沒有相關聯帳戶的憑證。 這隻適用於 ClientCertificateAllowRenewalsOnly 模式。

選項:

[-config Machine\CAName] [-dc DCName]

-ADCA

顯示 Active Directory 證書頒發機構單位。

certutil [options] -ADCA [CAName]

選項:

[-f] [-split] [-dc DCName]

-CA

顯示註冊原則證書頒發機構單位。

certutil [options] -CA [CAName | TemplateName]

選項:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

顯示註冊原則。

certutil [options] -Policy

選項:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

顯示或刪除註冊原則快取專案。

certutil [options] -PolicyCache [delete]

地點:

  • delete 會刪除 原則伺服器快取專案。
  • -f 會刪除所有快取專案

選項:

[-f] [-user] [-policyserver URLorID]

-CredStore

顯示、新增或刪除認證存放區專案。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

地點:

  • URL 是目標 URL。 您也可以使用 * 來比對所有專案或 https://machine* 比對 URL 前置詞。
  • 新增認證 存放區專案。 使用此選項也需要使用 SSL 認證。
  • delete 會刪除 認證存放區專案。
  • -f 會覆寫單一專案或刪除多個專案。

選項:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

安裝預設證書範本。

certutil [options] -InstallDefaultTemplates

選項:

[-dc DCName]

-URL

驗證憑證或CRL URL。

certutil [options] -URL InFile | URL

選項:

[-f] [-split]

-URLCache

顯示或刪除 URL 快取專案。

certutil [options] -URLcache [URL | CRL | * [delete]]

地點:

  • URL 是快取的 URL。
  • CRL 只會在所有快取的CRL URL上執行。
  • * 會在所有快取的 URL 上運作。
  • delete 會從目前使用者的本機快取中刪除相關的 URL。
  • -f 會強制擷取特定 URL 並更新快取。

選項:

[-f] [-split]

-pulse

脈衝自動註冊事件或NGC工作。

certutil [options] -pulse [TaskName [SRKThumbprint]]

地點:

  • TaskName 是要觸發的工作。
    • Pregen 是 NGC Key Pregen 工作。
    • AIKEnroll 是 NGC AIK 憑證註冊工作。 (預設為自動註冊事件)。
  • SRKThumbprint 是記憶體根密鑰的指紋
  • 修飾詞
    • Pregen
    • PregenDelay
    • AIKEnroll
    • 加密策略
    • NgcPregenKey
    • DIMSRoam

選項:

[-user]

-MachineInfo

顯示 Active Directory 計算機對象的相關信息。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

顯示域控制器的相關信息。 預設會顯示沒有驗證的DC憑證。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
  • 修飾詞

    • 驗證
    • 刪除錯誤
    • 全部刪除

選項:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

小提示

在 Windows Server 2012 中新增了指定 Active Directory 網域服務 (AD DS) 網域 [網域] 和指定域控制器的能力。 若要成功執行命令,您必須使用屬於 Domain AdminsEnterprise Admins 成員的帳戶。 此指令的行為修改如下:

  • 如果未指定網域,且未指定特定的域控制器,此選項會傳回要從預設域控制器處理的域控制器清單。
  • 如果未指定網域,但已指定域控制器,就會產生指定域控制器上的憑證報告。
  • 如果指定了網域,但未指定域控制器,就會產生域控制器清單,以及清單中每個域控制器的憑證報告。
  • 如果指定網域和域控制器,則會從目標域控制器產生域控制器清單。 也會產生清單中每個域控制器的憑證報告。

例如,假設有名為 CPANDL 的網域與名為 CPANDL-DC1 的域控制器。 您可以執行下列命令,從 CPANDL-DC1 擷取域控制器及其憑證清單: certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

顯示企業證書頒發機構單位的相關信息。

certutil [options] -EntInfo DomainName\MachineName$

選項:

[-f] [-user]

-TCAInfo

顯示證書頒發機構單位的相關信息。

certutil [options] -TCAInfo [DomainDN | -]

選項:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

顯示智慧卡的相關信息。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

地點:

  • CRYPT_DELETEKEYSET 刪除智慧卡上的所有金鑰。

選項:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

管理智慧卡跟證書。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

選項:

[-f] [-split] [-p Password]

-key

列出儲存在金鑰容器中的金鑰。

certutil [options] -key [KeyContainerName | -]

地點:

  • KeyContainerName 是金鑰要驗證的金鑰容器名稱。 這個選項預設為計算機金鑰。 若要切換至使用者金鑰,請使用 -user
  • -使用符號是指使用預設密鑰容器。

選項:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

刪除具名金鑰容器。

certutil [options] -delkey KeyContainerName

選項:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

刪除 Windows Hello 容器,移除儲存在裝置上的所有相關聯認證,包括任何 WebAuthn 和 FIDO 認證。

用戶必須在使用此選項後註銷,才能完成。

certutil [options] -DeleteHelloContainer

-verifykeys

驗證公用或私鑰集。

certutil [options] -verifykeys [KeyContainerName CACertFile]

地點:

  • KeyContainerName 是金鑰要驗證的金鑰容器名稱。 這個選項預設為計算機金鑰。 若要切換至使用者金鑰,請使用 -user
  • CACertFile 會簽署或加密憑證檔案。

選項:

[-f] [-user] [-Silent] [-config Machine\CAName]

備註

  • 如果未指定任何自變數,則會針對其私鑰驗證每個簽署 CA 憑證。
  • 這項作業只能針對本機 CA 或本機金鑰執行。

-verify

驗證憑證、證書吊銷清單 (CRL) 或憑證鏈結。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

地點:

  • CertFile 是要驗證的憑證名稱。
  • ApplicationPolicyList 是必要應用程式原則 ObjectIds 的選擇性逗號分隔清單。
  • IssuancePolicyList 是必要發行原則 ObjectIds 的選擇性逗號分隔清單。
  • CACertFile 是選擇性的發行 CA 憑證,可進行驗證。
  • CrossedCACertFileCertFile 交叉認證的選擇性憑證。
  • CRLFile 是用來驗證 CACertFile 的 CRL 檔案。
  • IssuedCertFile 是 CRLfile 所涵蓋的選擇性發行憑證。
  • DeltaCRLFile 是選擇性的差異 CRL 檔案。
  • 修飾詞
    • 強式 - 強式簽章驗證
    • MSRoot - 必須鏈結至Microsoft根目錄
    • MSTestRoot - 必須鏈結至Microsoft測試根目錄
    • AppRoot - 必須鏈結至Microsoft應用程式根目錄
    • EV - 強制執行擴充驗證原則

選項:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

備註

  • 使用 ApplicationPolicyList 會限制鏈結建置只對指定的應用程式原則有效鏈結。
  • 使用 IssuancePolicyList 會將鏈結建構限制為只針對指定發行原則有效的鏈結。
  • 使用 CACertFile 會針對 CertFileCRLfile 驗證檔案中的欄位。
  • 如果未指定 CACertFile ,則會針對 CertFile 建置並驗證完整鏈結。
  • 如果同時指定 CACertFileCrossedCACertFile ,則會針對 CertFile 驗證這兩個檔案中的字段。
  • 使用 IssuedCertFile 會針對 CRLfile驗證檔案中的字段。
  • 使用 DeltaCRLFile 會針對 CertFile 驗證檔案中的欄位。

-verifyCTL

驗證 AuthRoot 或不允許的憑證 CTL。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

地點:

  • CTLObject 會識別要驗證的 CTL,包括:

    • AuthRootWU 會從 URL 快取讀取 AuthRoot CAB 和相符的憑證。 請 -f 改用 從 Windows Update 下載。
    • 不允許的WU 會從 URL 快取讀取不允許的憑證 CAB 和不允許的證書存儲檔案。 請 -f 改用 從 Windows Update 下載。
      • PinRulesWU 會從 URL 快取讀取 PinRules CAB。 請 -f 改用 從 Windows Update 下載。
    • AuthRoot 會讀取登錄快取的 AuthRoot CTL。 使用和 -f 不受信任的 CertFile 來強制登錄快取的 AuthRoot 和不允許的憑證 CTL 更新。
    • 不允許 讀取登錄快取的不允許憑證 CTL。 使用和 -f 不受信任的 CertFile 來強制登錄快取的 AuthRoot 和不允許的憑證 CTL 更新。
      • PinRules 會讀取登錄快取的 PinRules CTL。 使用 -f 的行為與 PinRulesWU 相同。
    • CTLFileName 會指定 CTL 或 CAB 檔案的檔案或 HTTP 路徑。
  • CertDir 指定包含符合 CTL 專案之憑證的資料夾。 默認為與 CTLobject 相同的資料夾或網站。 使用 HTTP 資料夾路徑需要結尾的路徑分隔符。 如果您未指定 AuthRoot不允許,則會搜尋多個位置來尋找相符的憑證,包括本機證書存儲、crypt32.dll 資源和本機 URL 快取。 使用 -f 視需要從 Windows Update 下載。

  • CertFile 指定要驗證的憑證。 憑證會比對 CTL 專案,並顯示結果。 這個選項會隱藏大部分的預設輸出。

選項:

[-f] [-user] [-split]

-syncWithWU

使用 Windows Update 同步處理憑證。

certutil [options] -syncWithWU DestinationDir

地點:

  • DestinationDir 是指定的目錄。
  • f 會強制覆寫。
  • Unicode 會在 Unicode 中寫入重新導向的輸出。
  • gmt 會將時間顯示為 GMT。
  • seconds 會顯示秒和毫秒的時間。
  • v 是詳細資訊作業。
  • PIN 是智慧卡 PIN。
  • WELL_KNOWN_SID_TYPE 是數值 SID:
    • 22 - 本機系統
    • 23 - 本地服務
    • 24 - 網路服務

備註

使用自動更新機制下載下列檔案:

  • authrootstl.cab 包含非Microsoft跟證書的 CCL。
  • disallowedcertstl.cab 包含不受信任憑證的 CCL。
  • 不允許的cert.sst 包含串行化證書存儲,包括不受信任的憑證。
  • thumbprint.crt 包含非Microsoft跟證書。

例如: certutil -syncWithWU \\server1\PKI\CTLs

  • 如果您使用不存在的本機路徑或資料夾作為目的地資料夾,您會看到錯誤: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 如果您使用不存在或無法使用的網路位置作為目的地資料夾,您會看到錯誤: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • 如果您的伺服器無法透過 TCP 連接埠 80 連線到Microsoft自動更新伺服器,您會收到下列錯誤: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • 如果您的伺服器無法使用 DNS 名稱 ctldl.windowsupdate.com連線到Microsoft自動更新伺服器,您會收到下列錯誤: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • 如果您沒有使用 -f 參數,而且目錄中已有任何 CTL 檔案,您會收到檔案存在錯誤: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • 如果受信任的跟證書有所變更,您會看到: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

選項:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

產生與 Windows Update 同步的存放區檔案。

certutil [options] -generateSSTFromWU SSTFile

地點:

  • SSTFile.sst 要產生的檔案,其中包含從 Windows Update 下載的第三方根目錄。

選項:

[-f] [-split]

-generatePinRulesCTL

產生包含釘選規則清單的憑證信任清單 (CTL) 檔案。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

地點:

  • XMLFile 是要剖析的輸入 XML 檔案。
  • CTLFile 是要產生的輸出 CTL 檔案。
  • SSTFile 是要建立的選擇性 .sst 檔案,其中包含用於釘選的所有憑證。
  • QueryFilesPrefix 是選擇性 Domains.csv 和要針對資料庫查詢建立 的Keys.csv 檔案。
    • QueryFilesPrefix 字串會前面加上每個已建立的檔案。
    • Domains.csv 檔案包含規則名稱、網域數據列。
    • Keys.csv 檔案包含規則名稱、索引鍵 SHA256 指紋數據列。

選項:

[-f]

-downloadOcsp

下載 OCSP 回應並寫入目錄。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

地點:

  • CertificateDir 是憑證、存放區和 PFX 檔案的目錄。
  • OcspDir 是用來寫入 OCSP 回應的目錄。
  • ThreadCount 是並行下載的選擇性線程數目上限。 預設值為 10
  • 修飾詞 是下列其中一或多個逗號分隔清單:
    • DownloadOnce - 下載一次並結束。
    • ReadOcsp - 從 OcspDir 讀取,而不是寫入。

-generateHpkpHeader

使用指定檔案或目錄中的憑證來產生 HPKP 標頭。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

地點:

  • CertFileOrDir 是憑證的檔案或目錄,這是 pin-sha256 的來源。
  • MaxAge 是以秒為單位的 max-age 值。
  • ReportUri 是選擇性的 report-uri。
  • 修飾詞 是下列其中一或多個逗號分隔清單:
    • includeSubDomains - 附加 includeSubDomains。

-flushCache

在選取的行程中排清指定的快取,例如,lsass.exe。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

地點:

  • ProcessId 是要排清之進程的數值標識碼。 設定為 0 以排清已啟用排清的所有進程。

  • CacheMask 是要排清數值或下列位之快取的位掩碼:

    • 0:ShowOnly
    • 0x01:CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02:CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04:CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08:CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10:CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20:CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40:CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
  • 修飾詞 是下列其中一或多個逗號分隔清單:

    • 顯示 - 顯示正在排清的快取。 Certutil 必須明確終止。

-addEccCurve

加入 ECC 曲線。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

地點:

  • CurveClass 是 ECC Curve 類別類型:

    • WEIERSTRASS (預設值)
    • 蒙哥馬利
    • TWISTED_EDWARDS
  • CurveName 是 ECC 曲線名稱。

  • CurveParameters 是下列其中一項:

    • 包含 ASN 編碼參數的憑證檔名。
    • 包含 ASN 編碼參數的檔案。
  • CurveOID 是 ECC Curve OID,且為下列其中一項:

    • 包含 ASN 編碼 OID 的憑證檔名。
    • 明確的 ECC 曲線 OID。
  • CurveType 是 Schannel ECC NamedCurve 點 (numeric)。

選項:

[-f]

-deleteEccCurve

刪除 ECC 曲線。

certutil [options] -deleteEccCurve CurveName | CurveOID

地點:

  • CurveName 是 ECC 曲線名稱。
  • CurveOID 是 ECC 曲線 OID。

選項:

[-f]

-displayEccCurve

顯示 ECC 曲線。

certutil [options] -displayEccCurve [CurveName | CurveOID]

地點:

  • CurveName 是 ECC 曲線名稱。
  • CurveOID 是 ECC 曲線 OID。

選項:

[-f]

-csplist

列出此電腦上安裝的密碼編譯服務提供者(CSP),以進行密碼編譯作業。

certutil [options] -csplist [Algorithm]

選項:

[-user] [-Silent] [-csp Provider]

-csptest

測試此電腦上安裝的 CSP。

certutil [options] -csptest [Algorithm]

選項:

[-user] [-Silent] [-csp Provider]

-CNGConfig

在此電腦上顯示 CNG 密碼編譯組態。

certutil [options] -CNGConfig

選項:

[-Silent]

-sign

重新簽署證書吊銷清單 (CRL) 或憑證。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

地點:

  • InFileList 是以逗號分隔的憑證或CRL檔案清單,用來修改和重新簽署。

  • SerialNumber 是要建立的憑證序號。 無效期間和其他選項無法存在。

  • CRL 會建立空的CRL。 無效期間和其他選項無法存在。

  • OutFileList 是已修改憑證或 CRL 輸出檔案的逗號分隔清單。 檔案數目必須符合 infilelist。

  • StartDate+dd:hh 是憑證或 CRL 檔案的新有效期間,包括:

    • 選擇性日期加上
    • 選擇性的天數和小時有效期間 如果使用多個字段,請使用 (+) 或 (-) 分隔符。 使用 now[+dd:hh] 從目前時間開始。 使用 now-dd:hh+dd:hh 從目前時間和固定有效期間開始的固定位移。 使用 never 沒有到期日 (僅適用於CRL)。
  • SerialNumberList 是要新增或移除之檔案的逗號分隔序號清單。

  • ObjectIdList 是要移除之檔案的逗號分隔擴展名 ObjectId 清單。

  • @ExtensionFile 是包含更新或移除延伸模組的 INF 檔案。 例如:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm 是哈希演算法的名稱。 這必須是前面加上符號的 # 文字。

  • AlternateSignatureAlgorithm 是替代簽章演算法規範。

選項:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

備註

  • 使用減號 (-) 會移除序號和延伸模組。
  • 使用加號 (+) 會將序號新增至 CRL。
  • 您可以使用清單同時從CRL 移除序號和 ObjectId
  • 使用 AlternateSignatureAlgorithm 之前的減號可讓您使用舊版簽章格式。
  • 使用加號可讓您使用替代簽章格式。
  • 如果您未指定 AlternateSignatureAlgorithm,則會使用憑證或 CRL 中的簽章格式。

-vroot

建立或刪除 Web 虛擬根目錄和檔案共用。

certutil [options] -vroot [delete]

-vocsproot

建立或刪除 OCSP Web Proxy 的 Web 虛擬根目錄。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

視需要為指定的證書頒發機構單位新增註冊伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

地點:

  • addEnrollmentServer 會要求您針對憑證註冊伺服器的用戶端連線使用驗證方法,包括:

    • Kerberos 使用 Kerberos SSL 認證。
    • UserName 會針對 SSL 認證使用具名帳戶。
    • ClientCertificate 使用 X.509 憑證 SSL 認證。
  • 修飾詞

    • AllowRenewalsOnly 只允許透過 URL 向證書頒發機構單位提交更新要求。
    • AllowKeyBasedRenewal 允許使用 Active Directory 中沒有相關聯帳戶的憑證。 這適用於搭配 ClientCertificateAllowRenewalsOnly 模式使用時。

選項:

[-config Machine\CAName]

-deleteEnrollmentServer

視需要刪除指定證書頒發機構單位的註冊伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

地點:

  • deleteEnrollmentServer 會要求您針對憑證註冊伺服器的用戶端連線使用驗證方法,包括:
    • Kerberos 使用 Kerberos SSL 認證。
    • UserName 會針對 SSL 認證使用具名帳戶。
    • ClientCertificate 使用 X.509 憑證 SSL 認證。

選項:

[-config Machine\CAName]

-addPolicyServer

視需要新增原則伺服器應用程式和應用程式集區。 此命令不會安裝二進位檔或套件。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

地點:

  • addPolicyServer 會要求您對憑證原則伺服器的用戶端連線使用驗證方法,包括:
    • Kerberos 使用 Kerberos SSL 認證。
    • UserName 會針對 SSL 認證使用具名帳戶。
    • ClientCertificate 使用 X.509 憑證 SSL 認證。
  • KeyBasedRenewal 允許使用傳回給包含keybasedrenewal範本之客戶端的原則。 此選項僅適用於 UserNameClientCertificate 驗證。

-deletePolicyServer

視需要刪除原則伺服器應用程式和應用程式集區。 此命令不會移除二進位檔或套件。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

地點:

  • deletePolicyServer 會要求您針對憑證原則伺服器的用戶端連線使用驗證方法,包括:
    • Kerberos 使用 Kerberos SSL 認證。
    • UserName 會針對 SSL 認證使用具名帳戶。
    • ClientCertificate 使用 X.509 憑證 SSL 認證。
  • KeyBasedRenewal 允許使用 KeyBasedRenewal 原則伺服器。

-Class

顯示 COM 登錄資訊。

certutil [options] -Class [ClassId | ProgId | DllName | *]

選項:

[-f]

-7f

檢查憑證是否有0x7f長度編碼。

certutil [options] -7f CertFile

-oid

顯示物件識別碼或設定顯示名稱。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

地點:

  • ObjectId 是要顯示或新增至顯示名稱的標識碼。
  • GroupId 是 ObjectIds 列舉的 GroupID 數位 (decimal)。
  • AlgId 是 objectID 查閱的十六進位標識碼。
  • AlgorithmName 是 objectID 查閱的演算法名稱。
  • DisplayName 會顯示要儲存在 DS 中的名稱。
  • 刪除 會刪除顯示名稱。
  • LanguageId 是語言標識碼值(預設值為目前:1033)。
  • 類型 是要建立的 DS 物件類型,包括:
    • 1 - 樣本(預設值)
    • 2 - 發行原則
    • 3 - 應用程式原則
  • -f 會建立 DS 物件。

選項:

[-f]

-error

顯示與錯誤碼相關聯的消息正文。

certutil [options] -error ErrorCode

-getsmtpinfo

取得簡單郵件傳輸通訊協定 (SMTP) 資訊。

certutil [options] -getsmtpinfo

-setsmtpinfo

設定 SMTP 資訊。

certutil [options] -setsmtpinfo LogonName

選項:

[-config Machine\CAName] [-p Password]

-getreg

顯示登錄值。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

地點:

  • ca 使用證書頒發機構單位的登錄機碼。
  • restore 會使用證書頒發機構單位的還原登錄機碼。
  • 原則 會使用原則模組的登錄機碼。
  • exit 會使用第一個結束模組的登錄機碼。
  • 範本 會使用範本登錄機碼(用於 -user 用戶範本)。
  • enrollment 會使用註冊登錄機碼(用於 -user 用戶內容)。
  • chain 使用鏈結組態登錄機碼。
  • PolicyServers 使用原則伺服器登錄機碼。
  • ProgId 會使用原則或結束模組的 ProgID(登錄子機碼名稱)。
  • RegistryValueName 會使用登錄值名稱(用於 Name* 前置詞比對)。
  • value 會使用新的數值、字串或日期登錄值或檔名。 如果數值開頭 + 為 或 -,則會在現有的登錄值中設定或清除新值中指定的位。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備註

  • 如果字串值以 或 +開頭-,而現有的值是REG_MULTI_SZ值,則會將字元串新增至現有登錄值或從現有的登錄值中移除。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。
  • 如果值以 開頭 \@,則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
  • 如果它未參考有效的檔案,則會將其剖析為 [Date][+|-][dd:hh] 選擇性日期加上或減去選擇性天數和小時。
  • 如果同時指定兩者,請使用加號 (+) 或減號 (-) 分隔符。 用於 now+dd:hh 相對於目前時間的日期。
  • 使用 i64 作為後綴來建立REG_QWORD值。
  • 用來 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。
  • 登錄別名:
    • 設定
    • CA
    • 原則 - PolicyModules
    • 退出 - ExitModules
    • 還原 - RestoreInProgress
    • 範本 - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 註冊 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - 軟體\Microsoft\Cryptography\MSCEP
    • 鏈 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - 系統\CurrentControlSet\Control\Cryptography\Ngc
    • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • 護照 - Software\Policies\Microsoft\PassportForWork
    • MDM - 軟體\Microsoft\Policies\PassportForWork

-setreg

設定登錄值。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

地點:

  • ca 使用證書頒發機構單位的登錄機碼。
  • restore 會使用證書頒發機構單位的還原登錄機碼。
  • 原則 會使用原則模組的登錄機碼。
  • exit 會使用第一個結束模組的登錄機碼。
  • 範本 會使用範本登錄機碼(用於 -user 用戶範本)。
  • enrollment 會使用註冊登錄機碼(用於 -user 用戶內容)。
  • chain 使用鏈結組態登錄機碼。
  • PolicyServers 使用原則伺服器登錄機碼。
  • ProgId 會使用原則或結束模組的 ProgID(登錄子機碼名稱)。
  • RegistryValueName 會使用登錄值名稱(用於 Name* 前置詞比對)。
  • Value 會使用新的數值、字串或日期登錄值或檔名。 如果數值開頭 + 為 或 -,則會在現有的登錄值中設定或清除新值中指定的位。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備註

  • 如果字串值以 或 +開頭-,而現有的值是REG_MULTI_SZ值,則會將字元串新增至現有登錄值或從現有的登錄值中移除。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。
  • 如果值以 開頭 \@,則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
  • 如果它未參考有效的檔案,則會將其剖析為 [Date][+|-][dd:hh] 選擇性日期加上或減去選擇性天數和小時。
  • 如果同時指定兩者,請使用加號 (+) 或減號 (-) 分隔符。 用於 now+dd:hh 相對於目前時間的日期。
  • 使用 i64 作為後綴來建立REG_QWORD值。
  • 用來 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。

-delreg

刪除登錄值。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

地點:

  • ca 使用證書頒發機構單位的登錄機碼。
  • restore 會使用證書頒發機構單位的還原登錄機碼。
  • 原則 會使用原則模組的登錄機碼。
  • exit 會使用第一個結束模組的登錄機碼。
  • 範本 會使用範本登錄機碼(用於 -user 用戶範本)。
  • enrollment 會使用註冊登錄機碼(用於 -user 用戶內容)。
  • chain 使用鏈結組態登錄機碼。
  • PolicyServers 使用原則伺服器登錄機碼。
  • ProgId 會使用原則或結束模組的 ProgID(登錄子機碼名稱)。
  • RegistryValueName 會使用登錄值名稱(用於 Name* 前置詞比對)。
  • Value 會使用新的數值、字串或日期登錄值或檔名。 如果數值開頭 + 為 或 -,則會在現有的登錄值中設定或清除新值中指定的位。

選項:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

備註

  • 如果字串值以 或 +開頭-,而現有的值是REG_MULTI_SZ值,則會將字元串新增至現有登錄值或從現有的登錄值中移除。 若要強制建立 REG_MULTI_SZ 值,請將 新增 \n 至字串值的結尾。
  • 如果值以 開頭 \@,則值的其餘部分是包含二進位值的十六進位文字表示的檔名。
  • 如果它未參考有效的檔案,則會將其剖析為 [Date][+|-][dd:hh] 選擇性日期加上或減去選擇性天數和小時。
  • 如果同時指定兩者,請使用加號 (+) 或減號 (-) 分隔符。 用於 now+dd:hh 相對於目前時間的日期。
  • 使用 i64 作為後綴來建立REG_QWORD值。
  • 用來 chain\chaincacheresyncfiletime @now 有效地排清快取的CRL。
  • 登錄別名:
    • 設定
    • CA
    • 原則 - PolicyModules
    • 退出 - ExitModules
    • 還原 - RestoreInProgress
    • 範本 - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 註冊 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - 軟體\Microsoft\Cryptography\MSCEP
    • 鏈 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - 系統\CurrentControlSet\Control\Cryptography\Ngc
    • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • 護照 - Software\Policies\Microsoft\PassportForWork
    • MDM - 軟體\Microsoft\Policies\PassportForWork

-importKMS

將使用者金鑰和憑證匯入伺服器資料庫中以進行金鑰封存。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

地點:

  • UserKeyAndCertFile 是一個數據檔,其中包含要封存的使用者私鑰和憑證。 此檔案可以是:
    • Exchange 金鑰管理伺服器 (KMS) 匯出檔案。
    • PFX 檔案。
  • CertId 是 KMS 導出檔案解密憑證比對令牌。 如需詳細資訊,請參閱 -store 本文中的 參數。
  • -f 會匯入證書頒發機構單位未核發的憑證。

選項:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

將憑證檔案匯入資料庫。

certutil [options] -ImportCert Certfile [ExistingRow]

地點:

  • ExistingRow 會匯入憑證,以取代相同密鑰的擱置要求。
  • -f 會匯入證書頒發機構單位未核發的憑證。

選項:

[-f] [-config Machine\CAName]

備註

證書頒發機構單位也可能需要設定為藉由執行 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN來支援外部憑證。

-GetKey

擷取封存的私鑰復原 Blob、產生復原腳本,或復原封存的密鑰。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

地點:

  • 腳本 會產生可擷取和復原密鑰的腳本(如果找到多個相符的復原候選專案,或未指定輸出檔案時的預設行為)。
  • retrieve 會擷取一或多個密鑰復原 Blob(如果找到完全相同的復原候選專案,以及指定輸出檔案時的預設行為)。 使用此選項會截斷任何擴充功能,並附加每個密鑰復原 Blob 的憑證特定字串和 .rec 擴充功能。 每個檔案都包含憑證鏈結和相關聯的私鑰,仍會加密至一或多個密鑰復原代理程序憑證。
  • 復原 會在一個步驟中擷取和復原私鑰(需要金鑰復原代理程序憑證和私鑰)。 使用此選項會截斷任何延伸模組,並附加 .p12 延伸模組。 每個檔案都包含已復原的憑證鏈結和相關聯的私鑰,儲存為 PFX 檔案。
  • SearchToken 會選取要復原的密鑰和憑證,包括:
    • 憑證一般名稱
    • 憑證序號
    • 憑證 SHA-1 哈希 (指紋)
    • 憑證 KeyId SHA-1 哈希 (主體金鑰標識碼)
    • 要求者名稱 (domain\user)
    • UPN (user@domain)
  • RecoveryBlobOutFile 會輸出具有憑證鏈結和相關聯私鑰的檔案,仍會加密至一或多個密鑰復原代理程序憑證。
  • OutputScriptFile 會輸出含有批次腳本的檔案,以擷取和復原私鑰。
  • OutputFileBaseName 會輸出檔案基底名稱。

選項:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

備註

  • 針對 擷取,會截斷任何擴充功能,並針對每個密鑰復原 Blob 附加憑證特定的字串和 .rec 延伸模組。 每個檔案都包含憑證鏈結和相關聯的私鑰,仍會加密至一或多個密鑰復原代理程序憑證。
  • 針對 復原,會截斷任何延伸模組,並 .p12 附加延伸模組。 包含已復原的憑證鏈結和相關聯的私鑰,儲存為 PFX 檔案。

-RecoverKey

復原封存的私鑰。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

選項:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

合併 PFX 檔案。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

地點:

  • PFXInFileList 是以逗號分隔的 PFX 輸入檔清單。
  • PFXOutFile 是 PFX 輸出檔的名稱。
  • 修飾詞 是下列一或多個逗號分隔清單:
    • ExtendedProperties 包含任何擴充屬性。
    • NoEncryptCert 指定不要加密憑證。
    • EncryptCert 會指定加密憑證。

選項:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

備註

  • 命令行上指定的密碼必須是逗號分隔密碼清單。
  • 如果指定了一個以上的密碼,則最後一個密碼會用於輸出檔案。 如果只提供一個密碼,或最後一個密碼為 *,則會提示使用者輸入輸出檔案密碼。

-add-chain

新增憑證鏈結。

certutil [options] -add-chain LogId certificate OutFile

選項:

[-f]

-add-pre-chain

新增憑證前鏈結。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

選項:

[-f]

-get-sth

取得帶正負號的樹狀樹頭。

certutil [options] -get-sth [LogId]

選項:

[-f]

-get-sth-consistency

取得帶正負號的樹狀目錄前端變更。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

選項:

[-f]

-get-proof-by-hash

從時間戳伺服器取得哈希的證明。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

選項:

[-f]

-get-entries

從事件記錄檔擷取專案。

certutil [options] -get-entries LogId FirstIndex LastIndex

選項:

[-f]

-get-roots

從證書存儲擷取跟證書。

certutil [options] -get-roots LogId

選項:

[-f]

-get-entry-and-proof

擷取事件記錄檔專案及其密碼編譯證明。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

選項:

[-f]

-VerifyCT

根據憑證透明度記錄來驗證憑證。

certutil [options] -VerifyCT Certificate SCT [precert]

選項:

[-f]

-?

顯示參數清單。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

地點:

  • -? 顯示參數清單
  • -<name_of_parameter> -? 顯示指定參數的說明內容。
  • -? -v 會顯示參數和選項的詳細資訊清單。

選項

本節會根據 命令定義所有能夠指定的選項。 每個參數都包含哪些選項有效使用的相關信息。

選項 說明
-管理 針對 CA 屬性使用 ICertAdmin2。
-匿名 使用匿名 SSL 認證。
-cert 證書 ID 簽署憑證。
-clientcertificate clientCertId 使用 X.509 憑證 SSL 認證。 針對選取 UI,請使用 -clientcertificate
-config 機器\CAName 證書頒發機構單位和計算機名稱字串。
-csp 提供者 供應商:
KSP - Microsoft 軟體金鑰儲存提供者
TPM - Microsoft平台密碼編譯提供者
NGC - Microsoft Passport 金鑰儲存提供者
SC - Microsoft智慧卡金鑰儲存提供者
-dc DCName 以特定域控制器為目標。
-企業 使用本機計算機企業登錄證書存儲。
-f 強制覆寫。
-generateSSTFromWU SSTFile 使用自動更新機制產生 SST。
-格林威治標準時間 使用 GMT 顯示時間。
-組策略 使用組策略證書存儲。
-i調度 使用 IDispatch,而不是 COM 原生方法。
-Kerberos 使用 Kerberos SSL 認證。
-location alternatestoragelocation (-loc) AlternateStorageLocation。
-mt 顯示計算機範本。
-無 編碼沒有CR字元的文字。
-諾克爾夫 編碼沒有 CR-LF 字元的文字。
-null號 使用數據的哈希做為簽章。
-oldpfx 使用舊的 PFX 加密。
-out 資料行清單 以逗號分隔的數據列清單。
-p 密碼 密碼
-pin PIN 智慧卡 PIN。
-policyserver URL或 ID 原則伺服器 URL 或識別碼。 針對選取 U/I,請使用 -policyserver。 針對所有原則伺服器,請使用 -policyserver *
-私有金鑰 顯示密碼和私鑰數據。
-保護 使用密碼保護金鑰。
-protect更改為 SAMnameandSIDlist 以逗號分隔的 SAM 名稱/SID 清單。
-restrict 限制清單 逗號分隔的限制清單。 每個限制都包含數據行名稱、關係運算元和常數整數、字串或日期。 一個數據行名稱前面可能會加上加號或減號,以指出排序順序。 例如:requestID = 47+requestername >= a, requestername-requestername > DOMAIN, Disposition = 21
-反向 反向記錄和佇列數據行。
-秒 使用秒和毫秒顯示時間。
-服務 使用服務證書存儲。
-sid 數值 SID:
22 - 本機系統
23 - 本地服務
24 - 網路服務
-沉默 silent使用旗標來取得 crypt 內容。
-分裂 分割內嵌的 ASN.1 專案,並儲存至檔案。
-sslpolicy 伺服器名稱 符合 ServerName 的 SSL 原則。
-symkeyalg symmetrickeyalgorithm[,keylength] 選擇性金鑰長度的對稱金鑰演演算法名稱。 例如:AES,1283DES
-syncWithWU 目標目錄 與 Windows Update 同步處理。
-t 逾時 以毫秒為單位的 URL 擷取逾時。
-統一碼 在 Unicode 中寫入重新導向的輸出。
-統一碼文本 在 Unicode 中寫入輸出檔案。
-url獲取 擷取並驗證 AIA 憑證和 CDP CRL。
-使用者 使用HKEY_CURRENT_USER金鑰或證書存儲。
-使用者名 針對 SSL 認證使用具名帳戶。 針對選取 UI,請使用 -username
-ut 顯示用戶範本。
-v 提供更詳細的(詳細資訊)資訊。
-v1 使用 V1 介面。

哈希演算法:MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

如需如何使用此命令的更多範例,請參閱下列文章: