当 certutil 命令由 CA 运行而没有附加参数时,它会显示当前 CA 配置。在未分配的 CA 上运行 certutil 命令时,要运行的默认命令是 certutil -ump。
CertUtil.exe 允许攻击者下载恶意代码并绕过防病毒软件
nslookup Windows 命令中的子命令(第 2 部分)
Certutil.exe 是作为证书服务的一部分安装的命令行程序。您可以使用 Certutil.exe 导出和显示 CA 配置信息、证书服务配置、备份和还原 CA 组件、验证证书、密钥对和证书链。
当certutil命令由 CA 运行而没有附加参数时,它会显示当前 CA 配置。在未分配的 CA 上运行certutil命令时,要运行的默认命令是certutil -ump。
警告
以前版本的certutil命令可能无法提供本文档中描述的所有选项。您可以通过运行“语法表示法”部分中显示的命令来查看特定版本的certutil命令提供的所有选项。
Windows 中的 certutil 命令
动词带有 certutil 命令
语法字符
-倾倒
-asn
-decodehex
-解码
-编码
-否定
-重新提交
-设置属性
-setextension
-撤销
-已验证
-getconfig
-平
-CAInfo
-ca.cert
-ca.chain
-GetCRL
-CRL
-关掉
-installCert
-更新证书
-模式
-看法
-D b
-删除行
-备份
-备份数据库
-备份密钥
-恢复
-restoreDB
-restoreKey
-importPFX
-动态文件列表
-数据库位置
-哈希文件
-店铺
-addstore
-delstore
-验证商店
-修理店
-viewstore
-viewdelstore
-dsPublish
-AD模板
-模板
-模板CA
-CA模板
-SetCASites
-enrollmentServerURL
-ADCA
-CA
-政策
-策略缓存
-信用商店
-InstallDefaultTemplates
-URL缓存
-脉冲
-机器信息
-DC信息
-EntInfo
-TCA信息
-SCInfo
-SCRoots
-验证密钥
-核实
-verifyCTL
-标志
-vroot
-vocsproot
-addEnrollmentServer
-deleteEnrollmentServer
-addPolicyServer
-deletePolicyServer
-oid
-错误
-getreg
-setreg
-delreg
-导入KMS
-ImportCert
-GetKey
-RecoverKey
-合并PFX
-转换EPF
选项
动词带有 certutil 命令
下表描述了可与 certutil 命令一起使用的动词。
-dump文件或配置信息
-asn 解析文件 ASN.1
-decodehex文件解析解密十六进制文件
-decode解密 Base64 编码文件
-encode将文件加密成 Base64
-deny拒绝挂起的证书请求
-resubmit重新发送挂起的证书请求
-setattributes设置待处理证书请求的属性
-setextension设置待处理证书请求的扩展名
-revoke撤销证书
-isvalid证书撤销 显示当前证书的布局
-getconfig获取默认配置字符串
-ping尝试联系 Active Directory 证书服务请求
-pingadmin界面 尝试联系 Active Directory 证书服务管理员
-CAInfo界面 显示有关
-ca.cert Tru 认证机构的信息 y 将证书导出到
-ca。 chain certificate authority 检索证书颁发机构的证书链
-GetCRL获取证书吊销列表 (CRL)
-CRL导出新的证书吊销列表 (CRL) [或仅 CRL delta]
-shutdown关闭 Active Directory 证书服务
-installCertCA 证书安装
-renewCert CA
-schema证书扩展
-view证书的架构输出 导出模式 view
-db证书 导出原始数据库
-deleterow从备份服务器数据库中删除一行 备份 Active Directory 证书服务
-backupDB备份 Active Directory 证书服务database
-backupKey备份 Active Directory 证书服务的证书和私钥
-restore恢复 Active Directory 证书服务
-restoreDB恢复 Active Directory 证书服务数据库
-restoreKey恢复 Active Directory 证书服务的证书和私钥
-importPFX导入证书和私钥
-dynamicfilelist显示动态文件列表
-databaselocations显示数据库位置
-hashfile在
-store文件上创建并显示密码哈希导出
-addstore证书存储 将证书添加到存储库
- delstore从存储库中删除证书
-verifystore验证存储库中的证书
-repairstore修复密钥链接或更新证书或重要安全描述符
-viewstore导出
-viewdelstore证书存储 从
-dsPublish存档中删除证书 将证书或证书吊销列表 (CRL) 导出到 Active Directory
-ADTemplate显示 AD
-Template模板显示 -TemplateCAs 的模板 显示
-CATemplates
证书的证书安全证书 (CA) template 显示 CA 的模板
-SetCASites管理 CA 的站点名称
-enrollmentServerURL显示、添加或删除与 CA 关联的注册服务器 URL
-ADCA显示 AD CA
-CA显示注册策略 CA
-Policy显示注册策略
-PolicyCache显示或删除注册策略缓存条目
-CredStore显示、添加或删除条目 Credential Store
-InstallDefaultTemplates设置设置默认证书模板
-URLCache显示或删除缓存条目 URL
-pulse为自动注册事件生成脉冲
-MachineInfo显示有关 Active Directory 机器对象的信息
- DCInfo显示域控制器信息
-EntInfo显示企业 CA信息
-TCAInfo显示 CA 信息
-SCInfo Show 显示智能卡信息
-SCRoots管理智能卡的根证书
-verifykeys验证公钥或私钥
-verify set 验证证书、证书吊销列表 (CRL) 或证书字符串
-verifyCTL验证演示 AuthRoot 或证书不允许 CTL -sign
注册证书吊销列表 (CRL) 或
-vroot certificate 在 Web 上创建或删除虚拟根目录和文件共享
-vocsproot在 Web 上为 Web 代理 OCSP 创建或删除虚拟根目录
-addEnrollmentServer添加注册服务器
-deleteEnrollmentServer application 删除注册应用程序服务器
-addPolicyServer添加 Policy Server 应用程序
-deletePolicyServer删除应用程序 Policy
-oid server 显示对象标识符或命名
-error display 显示与错误代码相关联的文本消息
-get error code reg 显示
-setreg注册表值 设置注册值
-delreg删除注册表值
-ImportKMS将用户密钥和证书输入服务器数据库以存储密钥
-ImportCert将证书文件输入基础数据
-GetKey访问 blob 以恢复存储的私钥
-RecoverKey恢复存储的私钥 -MergePFX 合并 PFX 文件
-ConvertEPF将 PFX 文件转换为 EPF 文件
-?显示动词列表
- -? 显示指定动词的帮助
-? -v显示完整的动词列表
语法字符
对于基本的命令行语法,运行:
certutil -?
对于使用带有特定动词的certutil命令的语法,请运行:
certutil -?
要将所有certutil命令语法发送到文本文件,请运行以下命令:
certutil -v -? > certutilhelp.txt
notepad certutilhelp.txt
下表描述了用于指示命令行语法的符号。
没有大括号或方括号的文本: 您必须输入的项目,如图所示
大括号内的文本: 您必须为其提供值的占位符
[方括号内的文本]: 可选项目
{括号内的文本}:选择必填字段之一
竖线 ( |) : 互斥项目的分隔符(选择其中一项)
省略号 (...) : 项目可以重复
-倾倒
CertUtil [Options] [-dump] CertUtil [Options] [-dump] File
文件输出或配置信息:
[-f] [-silent] [-split] [-p Password] [-t Timeout]
-asn
CertUtil [Options] -asn File [type]
ASN 文件解析.1
type: numeric CRYPT_STRING_* decoding type
-decodehex
CertUtil [Options] -decodehex InFile OutFile [type] type: numeric CRYPT_STRING_* encoding type [-f]
-解码
CertUtil [Options] -decode InFile OutFile
解码 Base64 编码文件:
[-f]
-编码
CertUtil [Options] -encode InFile OutFile
将文件加密为 Base64:
[-f] [-UnicodeText]
-否定
CertUtil [Options] -deny RequestId
拒绝请求待处理:
[-config MachineCAName]
-重新提交
CertUtil [Options] -resubmit RequestId
重发请求待处理:
[-config MachineCAName]
-设置属性
CertUtil [Options] -setattributes RequestId AttributeString
设置待处理请求的属性。
RequestId - 待处理请求的请求 ID 数
AttributeString - 请求属性名称和值对
名称和值用冒号分隔。
多个名称和值对由单独的行分隔。
例如:“CertificateTemplate: UsernEMail: User@Domain.com”
每个“n”字符串都被转换为一个新的行分隔符。
[-config MachineCAName]
-setextension
CertUtil [Options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}
为待处理的请求设置扩展。
RequestId - 待处理请求的请求 ID 数
ExtensionName - 扩展的 ObjectId 字符串
Flags - 0 是推荐的数字,1 是重要的扩展,2 禁用它,3 完成这两项任务。
如果最后一个参数是数字,则称为 Long。
如果可以解析为日期,则称为日期。
如果它以“ @ ”开头,则标记的其余部分是包含二进制数据或 ascii-text 十六进制输出的文件名。
其他任何东西都称为字符串。
[-config MachineCAName]
-撤销
CertUtil [Options] -revoke SerialNumber [Reason]
吊销证书。
SerialNumber:以逗号分隔的证书序列号列表,用于吊销。
原因:以数字或符号表示的退出原因。
0:CRL_REASON_UNSPECIFIED:未知(默认)
1:CRL_REASON_KEY_COMPROMISE:密钥妥协
2:CRL_REASON_CA_COMPROMISE:CA 妥协
3:CRL_REASON_AFFILIATION_CHANGED:链接已更改
4:CRL_REASON_SUPERSEDED:替换
5:CRL_REASON_CESSATION_OF_OPERATION:停止工作
6:CRL_REASON_CERTIFICATE_HOLD:持有证书
8:CRL_REASON_REMOVE_FROM_CRL:从CRL中删除
-1:取消撤销:不撤销
[-config MachineCAName]
-已验证
CertUtil [Options] -isvalid SerialNumber | CertHash
显示当前证书布局。
[-config MachineCAName]
-getconfig
CertUtil [Options] -getconfig
获取默认配置字符串。
[-config MachineCAName]
-平
CertUtil [Options] -ping [MaxSecondsToWait | CAMachineList]
尝试联系 Active Directory 证书服务请求接口
CAMachineList - 以逗号分隔的 CA 名称列表
如果只有一台机器,请使用逗号结束。
显示每台 CA 机器的网站成本。
[-config MachineCAName]
-CAInfo
CertUtil [Options] -CAInfo [InfoName [Index | ErrorCode]]
显示 CA 信息。
InfoName - 指示要显示的 CA 属性(见下文)。对所有属性使用“ * ”。
索引- 不基于选项的属性索引。
ErrorCode - 错误代码的数量
[-f] [-split] [-config MachineCAName]
参数参数 InfoName:
文件:文件版本
产品:产品版本
exitcount:退出模块计数任务
exit [Index]:退出模块说明
策略:策略模块的描述
名称:CA 名称
sanitizedname:CA 的缩写名称
dsname:CA 的缩写名称(DS 名称)
sharedfolder:共享文件夹
Error1 错误代码:文本错误消息
error2 ErrorCode:错误代码和错误信息文本
类型:CA型
信息:CA信息
父级:原始 CA
certcount:CA证书编号
xchgcount:CA 交换次数
kracount:KRA 证书数量
kraused:使用的 KRA 证书数量
propidmax:CA PropId 最大值
certstate [索引]:CA 证书
certversion [索引]:CA 证书版本
certstatuscode [Index]:CA证书验证状态
crlstate [索引]:CRL
krastate [索引]:KRA 证书
crossstate + [索引]:交叉证书
crossstate- [索引]:反向交叉证书
cert [索引]:CA证书
certchain [Index]:CA证书链
certcrlchain [索引]:带有 CRL 的字符串 CA 证书
xchg [索引]:CA交换证书
xchgchain [Index]:CA 交换证书链
xchgcrlchain [Index]:证书链与 CRL 交换 CA
kra [索引]:KRA 证书
cross + [索引]:交叉证书
cross- [索引]:反向交叉证书
CRL [索引]:基本 CRL
deltacrl [索引]:CRL 增量
crlstatus [索引]:CRL 导出状态
deltacrlstatus [Index]:导出 CRL delta 的状态
dns:DNS 名称
角色:角色分离
广告:高级服务器
模板:模板
ocsp [索引]:OCSP URL
aia [索引]:AIA URL
cdp [索引]:CDP URL
localename:本地 CA 名称
subjecttemplateoids:OID 模板主题
-ca.cert
CertUtil [Options] -ca.cert OutCACertFile [Index]
检索 CA 证书。
OutCACertFile:输出文件。
索引: CA 证书更新索引(默认为最新)。
[-f] [-split] [-config MachineCAName]
-ca.chain
CertUtil [Options] -ca.chain OutCACertChainFile [Index]
检索 CA 证书链。
OutCACertChainFile:输出文件。
索引: CA 证书更新索引(默认为最新)。
[-f] [-split] [-config MachineCAName]
-GetCRL
CertUtil [Options] -GetCRL OutFile [Index] [delta]
获取 CRL。
索引: CRL 索引或主索引(默认为最新键的 CRL)。
delta: CRL delta(默认为基本 CRL)。
[-f] [-split] [-config MachineCAName]
-CRL
CertUtil [Options] -CRL [dd:hh | republish] [delta]
导出新的 CRL [或仅 CRL 增量]。
dd: hh - 按日期和时间划分的 CRL 的新有效期。
重新发布-重新发布最新的 CRL。
delta - 仅 CRL delta(默认为基本 CRL 和 delta)。
[-split] [-config MachineCAName]
-关掉
CertUtil [Options] -shutdown
关闭 Active Directory 证书服务。
[-config MachineCAName]
-installCert
CertUtil [Options] -installCert [CACertFile]
安装证书颁发机构 (CA) 证书。
[-f] [-silent] [-config MachineCAName]
-更新证书
CertUtil [Options] -renewCert [ReuseKeys] [MachineParentCAName]
更新 CA 证书。
使用-f跳过挂起的续订请求并创建一个新请求。
[-f] [-silent] [-config MachineCAName]
-模式
CertUtil [Options] -schema [Ext | Attrib | CRL]
导出证书架构。默认为请求和证书表。
分机:扩展表。
Attrib:属性表。
CRL: CRL 表。
[-split] [-config MachineCAName]
-看法
CertUtil [Options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]
导出证书视图
队列:请求的队列
日志:颁发或撤销的证书,加上不成功的请求
LogFail:请求失败
已吊销:证书已吊销
分机:扩展表
Attrib:属性表
CRL: CRL 表
csv:以逗号分隔的值输出
显示所有项目的 StatusCode 列:
-out StatusCode
显示最后一个条目的所有列:
-restrict "RequestId==$"
显示三个请求的RequestId和Disposition :
-restrict "RequestId>=37,RequestId<40" -out "RequestId,Disposition"
要显示所有基本 CRL 的行 ID和CRL 编号:
-restrict "CRLMinBase=0" -out "CRLRowId,CRLNumber" CRL
要显示基本 CRL 编号 3:
-v -restrict "CRLMinBase=0,CRLNumber=3" -out "CRLRawCRL" CRL
要显示整个 CRL 表:
使用“日期 [+ | -dd: hh]”作为日期限制。
使用“now + dd:hh”表示与当前时间相关的一天。
[-silent] [-split] [-config MachineCAName] [-restrict RestrictionList] [-out ColumnList]
-D b
CertUtil [Options] -db
渲染原始数据库。
[-config MachineCAName] [-restrict RestrictionList] [-out ColumnList]
-删除行
CertUtil [Options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]
删除服务器数据库行。
请求:请求失败且待处理(提交日期)
Cert:证书已过期并被撤销(过期日期)
分机:扩展表
Attrib:属性表
CRL:CRL表(到期日期)
要删除 2001 年 1 月 22 日之前提交的不成功和待处理的请求:
1/22/2001 Request
要删除在 2001 年 1 月 22 日之前到期的所有证书:
1/22/2001 Cert
要删除 RequestId 37 的证书行、属性和扩展名:
37
要删除 2001 年 1 月 22 日到期的 CRL:
1/22/2001 CRL
[-f] [-config MachineCAName]
-备份
CertUtil [Options] -backup BackupDirectory [Incremental] [KeepLog]
备份 Active Directory 证书服务。
BackupDirectory:存储备份数据的文件夹
Incremental:只执行增量备份(默认为全量备份)
KeepLog:保留数据库日志文件(默认情况下,剪切日志文件)
[-f] [-config MachineCAName] [-p Password]
-备份数据库
CertUtil [Options] -backupDB BackupDirectory [Incremental] [KeepLog]
备份 Active Directory 证书服务数据库。
BackupDirectory:存储备份数据库文件的文件夹
Incremental:只执行增量备份(默认为全量备份)
KeepLog:保留数据库日志文件(默认情况下,剪切日志文件
[-f] [-config MachineCAName]
-备份密钥
CertUtil [Options] -backupKey BackupDirectory
备份 Active Directory 证书服务的证书和私钥。
BackupDirectory:用于存储备份的 PFX 文件的目录。
[-f] [-config MachineCAName] [-p Password] [-t Timeout]
-恢复
CertUtil [Options] -restore BackupDirectory
还原 Active Directory 证书服务。
BackupDirectory:包含恢复数据的目录
[-f] [-config MachineCAName] [-p Password]
-restoreDB
CertUtil [Options] -restoreDB BackupDirectory
还原 Active Directory 证书服务数据库。
BackupDirectory:包含恢复的数据库文件的目录。
[-f] [-config MachineCAName]
-restoreKey
CertUtil [Options] -restoreKey BackupDirectory | PFXFile
还原 Active Directory 证书服务的证书和私钥。
BackupDirectory:包含 PFX 文件的目录被还原
PFXFile:文件 PFX 已恢复
[-f] [-config MachineCAName] [-p Password]
-importPFX
CertUtil [Options] -importPFX [CertificateStoreName] PFXFile [Modifiers]
输入证书和私钥。
CertificateStoreName:证书存储名称。见-商店。
PFXFile:要导入的 PFX 文件
修饰符:以下一项或多项的逗号分隔列表:
AT_SIGNATURE:将 KeySpec 更改为 Signature
AT_KEYEXCHANGE:将 KeySpec 更改为密钥交换
NoExport:设置私钥 tahfnh 无法导出
NoCert:不输入证书
NoChain:不进入证书链
NoRoot:不输入原始证书
保护:使用密码保护密钥
NoProtect:不使用密码保护密钥
默认值存储在个人计算机上。
[-f] [-user] [-p Password] [-csp Provider]
-动态文件列表
CertUtil [Options] -dynamicfilelist
显示动态文件列表。
[-config MachineCAName]
-数据库位置
CertUtil [Options] -databaselocations
显示数据库位置。
[-config MachineCAName]
-哈希文件
CertUtil [Options] -hashfile InFile [HashAlgorithm]
在文件上创建并显示哈希散列。
-店铺
CertUtil [Options] -store [CertificateStoreName [CertId [OutputFile]]]
证书存储转储。
CertificateStoreName:证书存储名称。例如:
“我的”、“CA”(默认)、“根”、
"ldap: /// CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?one?objectClass = certificateAuthority"(见原始证书)
"ldap: /// CN = CAName, CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base? objectClass = certificateAuthority"(更改证书来源)
"ldap: /// CN = CAName, CN = MachineName, CN = CDP, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?certificateRevocationList?base?objectClass = cRLDistributionPoint”(见CRL)
"ldap: /// CN = NTAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base?objectClass = certificateAuthority"(商业CA证书)
ldap:(AD计算机对象证书)
-user ldap:(AD 用户对象证书)
CertId: Token 符合 CRL 或证书。这可以是序列号、SHA-1 证书、CRL、CTL 或哈希公钥、证书数字索引(0、1 等)、CRL 数字索引(.0、1 等)、索引号CTL(.0、.1 等)、公钥、签名或扩展 ObjectId、证书主题的常用名称、电子邮件地址、UPN 或 DNS 名称、密钥容器名称或 CSP 名称、模板名称或 ObjectId、EKU 或 ObjectId申请政策,或发行 CRL 的公司名称。在某些情况下,会有不止一场比赛。
OutputFile:相应地保存证书的文件
使用-user访问用户档案而不是机器档案。
使用-enterprise访问企业存储。
使用-service访问机器服务存储库。
使用-grouppolicy访问机器组策略存储库。
例如:
-企业 NTAuth
-企业根 37
-user 我的 26e0aaaf000000000004
加州 .11
[-f] [-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-dc DCName]
-addstore
CertUtil [Options] -addstore CertificateStoreName InFile
将证书添加到存储库。
CertificateStoreName:证书存储名称。见-商店。
InFile:要添加到存储库的证书或 CRL 文件。
[-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]
-delstore
CertUtil [Options] -delstore CertificateStoreName CertId
从存档中删除证书。
CertificateStoreName:证书存储名称。见-商店。
CertId: Token 符合 CRL 或证书。请参阅-store。
[-enterprise] [-user] [-GroupPolicy] [-dc DCName]
-验证商店
CertUtil [Options] -verifystore CertificateStoreName [CertId]
验证存档中的证书。
CertificateStoreName:证书存储名称。见-商店。
CertId: Token 符合 CRL 或证书。请参阅-store。
[-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-dc DCName] [-t Timeout]
-修理店
CertUtil [Options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]
修复关键链接或更新重要的证书属性或安全描述符。
CertificateStoreName:证书存储名称。见-商店。
CertIdList:按照CRL或证书的token列表,以逗号分隔。请参阅 -store CertId 说明。
PropertyInfFile: INF 文件包含外部属性:
[Properties] 19 = Empty ; Add archived property, OR: 19 = ; Remove archived property 11 = "{text}Friendly Name" ; Add friendly name property 127 = "{hex}" ; Add custom hexadecimal property _continue_ = "00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f" _continue_ = "10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f" 2 = "{text}" ; Add Key Provider Information property _continue_ = "Container=Container Name&" _continue_ = "Provider=Microsoft Strong Cryptographic Provider&" _continue_ = "ProviderType=1&" _continue_ = "Flags=0&" _continue_ = "KeySpec=2" 9 = "{text}" ; Add Enhanced Key Usage property _continue_ = "1.3.6.1.5.5.7.3.2," _continue_ = "1.3.6.1.5.5.7.3.1,"
[-f] [-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-csp Provider]
-viewstore
CertUtil [Options] -viewstore [CertificateStoreName [CertId [OutputFile]]]
证书存储转储。
CertificateStoreName:证书存储名称。例如:
“我的”、“CA”(默认)、“根”、
"ldap: /// CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?one?objectClass = certificateAuthority"(见原始证书)
"ldap: /// CN = CAName, CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base? objectClass = certificateAuthority"(更改证书来源)
"ldap: /// CN = CAName, CN = MachineName, CN = CDP, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?certificateRevocationList?base?objectClass = cRLDistributionPoint”(见CRL)
"ldap: /// CN = NTAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base?objectClass = certificateAuthority"(商业CA证书)
ldap:(AD机器对象证书)
-user ldap:(AD 用户对象证书)
CertId: Token 符合 CRL 或证书。这可以是序列号、SHA-1 证书、CRL、CTL 或哈希公钥、证书数字索引(0、1 等)、CRL 数字索引(.0、1 等)、索引号CTL(.0、.1 等)、公钥、签名或扩展 ObjectId、证书主题的常用名称、电子邮件地址、UPN 或 DNS 名称、密钥容器名称或 CSP 名称、模板名称或 ObjectId、EKU 或 ObjectId申请政策,或发行 CRL 的公司名称。在某些情况下,会有不止一场比赛。
OutputFile:相应地保存证书的文件
使用-user访问用户档案而不是机器档案。
使用-enterprise访问企业存储。
使用-service访问机器服务存储库。
使用-grouppolicy访问机器组策略存储库。
例如:
-企业 NTAuth
-企业根 37
-user 我的 26e0aaaf000000000004
加州 .11
[-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]
-viewdelstore
CertUtil [Options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]
从存档中删除证书。
CertificateStoreName:证书存储名称。例如:
“我的”、“CA”(默认)、“根”、
"ldap: /// CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?one?objectClass = certificateAuthority"(见原始证书)
"ldap: /// CN = CAName, CN = Certification Authorities, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base? objectClass = certificateAuthority"(更改证书来源)
"ldap: /// CN = CAName, CN = MachineName, CN = CDP, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?certificateRevocationList?base?objectClass = cRLDistributionPoint”(见CRL)
"ldap: /// CN = NTAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com?cACertificate?base?objectClass = certificateAuthority"(商业CA证书)
ldap:(AD机器对象证书)
-user ldap:(AD 用户对象证书)
CertId: Token 符合 CRL 或证书。这可以是序列号、SHA-1 证书、CRL、CTL 或哈希公钥、证书数字索引(0、1 等)、CRL 数字索引(.0、1 等)、索引号CTL(.0、.1 等)、公钥、签名或扩展 ObjectId、证书主题的常用名称、电子邮件地址、UPN 或 DNS 名称、密钥容器名称或 CSP 名称、模板名称或 ObjectId、EKU 或 ObjectId申请政策,或发行 CRL 的公司名称。在某些情况下,会有不止一场比赛。
OutputFile:相应地保存证书的文件
使用-user访问用户档案而不是机器档案。
使用-enterprise访问企业存储。
使用-service访问机器服务存储库。
使用-grouppolicy访问机器组策略存储库。
例如:
-企业 NTAuth
-企业根 37
-user 我的 26e0aaaf000000000004
加州 .11
[-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]
-dsPublish
CertUtil [Options] -dsPublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine] CertUtil [Options] -dsPublish CRLFile [DSCDPContainer [DSCDPCN]]
将证书或 CRL 导出到 Active Directory。
CertFile:要发布的证书文件
NTAuthCA:将证书导出到 DS Enterprise 存储库
RootCA:将证书导出到 DS 受信任的根存储库
SubCA:将 CA 证书导出到 DS CA 对象
CrossCA:发布 DS CA 对象的交叉证书
KRA: DS 密钥恢复代理的导出证书
用户:将证书导出到用户 DS 对象
机器:将证书导出到机器 DS 对象
CRLFile:导出的 CRL 文件
DSCDPContainer: DS DS CDP CN,通常是CA主机名
DSCDPCN: DS CDP CN对象,通常基于CA的简洁名称和key index
使用-f创建 DS 对象。
[-f] [-user] [-dc DCName]
-AD模板
CertUtil [Options] -ADTemplate [Template]
显示广告模板。
[-f] [-user] [-ut] [-mt] [-dc DCName]
-模板
CertUtil [Options] -Template [Template]
显示注册策略模板。
[-f] [-user] [-silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-模板CA
CertUtil [Options] -TemplateCAs Template
显示模板的 CA。
[-f] [-user] [-dc DCName]
-CA模板
CertUtil [Options] -CATemplates [Template]
CA 的显示模板。
[-f] [-user] [-ut] [-mt] [-config MachineCAName] [-dc DCName]
-SetCASites
CertUtil [Options] -SetCASites [set] [SiteName] CertUtil [Options] -SetCASites verify [SiteName] CertUtil [Options] -SetCASites delete
设置、验证或删除 CA 站点名称:
使用-config选项以单个 CA 为目标(默认为所有 CA)。
仅当针对单个 CA 时才允许使用 SiteName。
使用-f覆盖指定SiteName的身份验证错误。
使用-f删除所有 CA 站点名称。
[-f] [-config MachineCAName] [-dc DCName]
-enrollmentServerURL
CertUtil [Options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]] CertUtil [Options] -enrollmentServerURL URL delete
显示、添加或删除与 CA 关联的注册服务器 URL。
AuthenticationType:指定添加 URL 后的客户端身份验证方法之一:
Kerberos:使用 Kerberos SSL 登录信息
用户名:使用命名帐户获取 SSL 登录信息
ClientCertificate:使用 X.509 证书 SSL 登录信息
匿名:使用匿名 SSL 凭证
delete:删除指定的与 CA 关联的 URL。
优先级:如果在添加 URL 时未指定,则默认为“1”。
修饰符:以下一项或多项的逗号分隔列表:
AllowRenewalsOnly:只能通过此 URL 向此 CA 发送续订请求。
AllowKeyBasedRenewal:允许在 AD 中使用没有关联帐户的证书。这仅适用于 ClientCertificate 和 AllowRenewalsOnly。
[-config MachineCAName] [-dc DCName]
-ADCA
CertUtil [Options] -ADCA [CAName]
AD CA 的显示。
[-f] [-split] [-dc DCName]
-CA
CertUtil [Options] -CA [CAName | TemplateName]
显示 CA 注册策略。
[-f] [-user] [-silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-政策
显示注册政策。
[-f] [-user] [-silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-策略缓存
CertUtil [Options] -PolicyCache [delete]
显示或删除注册策略缓存条目。
delete:删除缓存策略服务器条目
-f:使用 -f 删除所有缓存条目
[-f] [-user] [-PolicyServer URLOrId]
-信用商店
CertUtil [Options] -CredStore [URL] CertUtil [Options] -CredStore URL add CertUtil [Options] -CredStore URL delete
显示、删除或添加凭据存储条目。
网址:目标网址。使用 * 匹配所有条目。使用 https://machine * 来匹配 URL 前缀。
add:添加凭据存储条目。还必须指定 SSL 登录信息。
delete:删除凭据存储条目。
-f:使用 -f 覆盖条目或删除多个条目。
[-f] [-user] [-silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]
-InstallDefaultTemplates
CertUtil [Options] -InstallDefaultTemplates
安装默认证书模板。
[-dc DCName]
-URL缓存
CertUtil [Options] -URLCache [URL | CRL | * [delete]]
显示或删除 URL 缓存条目。
URL:URL 被缓存。
CRL:仅适用于所有缓存 CRL URL。
*:适用于所有 URL。
delete:从当前用户的本地缓存中删除相关的URL
使用 -f 强制特定 URL 加载和更新缓存。
[-f] [-split]
-脉冲
CertUtil [Options] -pulse
创建自动事件注册脉冲。
[-user]
-机器信息
CertUtil [Options] -MachineInfo DomainNameMachineName$
显示 Active Directory 计算机对象信息。
-DC信息
CertUtil [Options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
显示域控制器信息。
默认是显示 DC 证书而不进行验证。
[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
提示:
识别 Active Directory 域服务 (AD DS)域 [Domain]并指定域控制器 ( -dc ) 的功能已添加到 Windows Server 2012。要成功运行该命令,您必须使用管理员帐户域成员或企业行政人员。该命令的行为变化如下:
> 1. 如果未指定特定域和域控制器,此选项将从默认域控制器返回要处理的域控制器列表。
> 2. 如果没有指定域,但指定了域控制器,则会生成指定域控制器上的证书报告。
> 3. 如果指定了域名,但未指定域控制器,则会创建域控制器列表以及列表中每个域控制器的证书报告。
> 4. 如果指定了域名和域控制器,则会从目标域控制器创建域控制器列表。还会生成列表中每个域控制器的证书报告。
例如,假设有一个名为 CPANDL 的域,其域控制器为 CPANDL-DC1。您可以运行以下命令从 CPANDL-DC1 检索域控制器及其证书的列表:
certutil -dc cpandl-dc1 -dcinfo cpandl
-EntInfo
CertUtil [Options] -EntInfo DomainNameMachineName$ [-f] [-user]
-TCA信息
CertUtil [Options] -TCAInfo [DomainDN | -]
显示 CA 信息。
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]
-SCInfo
CertUtil [Options] -SCInfo [ReaderName [CRYPT_DELETEKEYSET]]
显示智能卡信息。
CRYPT_DELETEKEYSET:删除智能卡上的所有密钥。
[-silent] [-split] [-urlfetch] [-t Timeout]
-SCRoots
CertUtil [Options] -SCRoots update [+][InputRootFile] [ReaderName] CertUtil [Options] -SCRoots save @OutputRootFile [ReaderName] CertUtil [Options] -SCRoots view [InputRootFile | ReaderName] CertUtil [Options] -SCRoots delete [ReaderName]
管理原始智能卡证书。
[-f] [-split] [-p Password]
-验证密钥
CertUtil [Options] -verifykeys [KeyContainerName CACertFile]
验证公钥/私钥。
KeyContainerName:用于验证的名称密钥容器。默认值为设备密钥。使用 -user 作为用户密钥。
CACertFile:签名或加密的证书文件。
如果没有指定参数,每个签名的 CA 证书将根据其私钥进行验证。
只能对 CA 或本地密钥执行此操作。
[-f] [-user] [-silent] [-config MachineCAName]
-核实
CertUtil [Options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] CertUtil [Options] -verify CertFile [CACertFile [CrossedCACertFile]] CertUtil [Options] -verify CRLFile CACertFile [IssuedCertFile] CertUtil [Options] -verify CRLFile CACertFile [DeltaCRLFile]
验证证书、CRL 或字符串。
CertFile:用于验证的证书。
ApplicationPolicyList:由可选逗号分隔的强制性应用程序策略 ObjectId 列表。
IssuancePolicyList: Issuance Policy ObjectIds 列表,需要用逗号分隔。
CACertFile:用于验证的可选 CA 证书颁发。
CrossedCACertFile:可选证书由 CertFile 交叉认证。
CRLFile:要验证的 CRL。
IssuedCertFile:CRLFile包含一个可选的颁发证书。
DeltaCRLFile: CRL 增量可选。
如果指定了 ApplicationPolicyList,则字符串构造仅限于指定应用程序策略的有效字符串。
如果指定了 IssuancePolicyList,则字符串构造仅限于指定发行策略的有效字符串。
如果指定了 CACertFile,则 CACertFile 中的字段根据 CertFile 或 CRLFile 进行验证。
如果未指定 CACertFile,则 CertFile 用于构建和验证完整链。
如果同时指定了 CACertFile 和 CrossedCACertFile,则 CACertFile 和 CrossedCACertFile 中的字段根据 CertFile 进行校验。
如果指定 IssuedCertFile,则 IssuedCertFile 中的字段根据 CRLFile 进行验证。
如果指定了 DeltaCRLFile,则 DeltaCRLFile 中的字段根据 CRLFile 进行验证。
[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t Timeout]
-verifyCTL
CertUtil [Options] -verifyCTL CTLObject [CertDir] [CertFile]
验证 AuthRoot 或不允许的证书 CTL 证书。
CTLObject : 定义 CTL 进行测试:
AuthRootWU:从 URL 缓存中读取 AuthRoot CAB 和相应的证书。请改用 -f 从 Windows 更新下载。
DisallowedWU : 从 URL 缓存中读取不允许的证书 CAB 和证书存储文件。请改用 -f 从 Windows 更新下载。
AuthRoot:读取 AuthRoot CTL 缓存条目。与 -f 和不受信任的 CertFile 一起使用以强制 AuthRoot 和不允许的证书 CTL 注册表更新。
Disallowed:读取注册表缓存的 Disallowed Certificates CTL。-f 具有与 AuthRoot 相同的行为。
CTLFileName : 文件或路径 http: 到 CTL 或 CAB。
CertDir:包含证书的目录与 CTL 条目匹配。Http 目录路径必须以路径分隔符结尾。如果目录未使用 AuthRoot 指定或不允许,则会在多个位置搜索相应的证书
0 评论