certutil

Certutil.exe è un programma da riga di comando installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati e eseguire il backup e il ripristino dei componenti della CA. Il programma verifica anche certificati, coppie di chiavi e catene di certificati.

Se certutil viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione corrente dell'autorità di certificazione. Se certutil viene eseguito in un'autorità non di certificazione senza altri parametri, per impostazione predefinita il comando esegue il certutil -dump comando . Non tutte le versioni di certutil forniscono tutti i parametri e le opzioni descritti in questo documento. È possibile visualizzare le scelte fornite dalla versione di certutil eseguendo certutil -? o certutil <parameter> -?.

Parameters

-dump

Esegue il dump delle informazioni di configurazione o dei file.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Esegue il dump della struttura PFX.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analizza e visualizza il contenuto di un file usando la sintassi ASN.1 (Abstract Syntax Notation). I tipi di file includono . CER, . File formattati DER e PKCS #7.

certutil [options] -asn File [type]

• [type]: tipo di decodifica numerico CRYPT_STRING_*

-decodehex

Decodifica un file con codifica esadecimale.

certutil [options] -decodehex InFile OutFile [type]

• [type]: tipo di decodifica numerico CRYPT_STRING_*

Options:

[-f]

-encodehex

Codifica un file in formato esadecimale.

certutil [options] -encodehex InFile OutFile [type]

• [type]: tipo di codifica numeric CRYPT_STRING_*

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodifica un file con codifica Base64.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codifica un file in Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Nega una richiesta in sospeso.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Invia di nuovo una richiesta in sospeso.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Imposta gli attributi per una richiesta di certificato in sospeso.

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId è l'ID richiesta numerico per la richiesta in sospeso.
• AttributeString è la coppia nome e valore dell'attributo della richiesta.

Options:

[-config Machine\CAName]

Remarks

• I nomi e i valori devono essere separati da due punti, mentre più nomi e coppie di valori devono essere separati da una nuova riga. Ad esempio: CertificateTemplate:User\nEMail:[email protected] dove la \n sequenza viene convertita in un separatore di nuova riga.

-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID è l'ID richiesta numerico per la richiesta in sospeso.
• ExtensionName è la stringa ObjectId per l'estensione.
• Flags imposta la priorità dell'estensione. 0 è consigliato, mentre 1 imposta l'estensione su critica, 2 disabilita l'estensione ed 3 esegue entrambe le operazioni.

Options:

[-config Machine\CAName]

Remarks

• Se l'ultimo parametro è numerico, viene considerato come Long.
• Se l'ultimo parametro può essere analizzato come data, viene preso come Date.
• Se l'ultimo parametro inizia con \@, il resto del token viene preso come nome del file con dati binari o un dump esadecimale di testo ASCII.
• Se l'ultimo parametro è qualcos'altro, viene preso come stringa.

-revoke

Revoca un certificato.

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber è un elenco separato da virgole di numeri di serie di certificati da revocare.
• Il motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:
  • 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)
  • 1. CRL_REASON_KEY_COMPROMISE - Compromesso chiave
  • 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata
  • 4. CRL_REASON_SUPERSEDED - Sostituito
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessazione dell'attività
  • 6. CRL_REASON_CERTIFICATE_HOLD - Blocco del certificato
  • 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovi da CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio revocato
  • 10: CRL_REASON_AA_COMPROMISE - Compromesso AA
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Visualizza l'eliminazione del certificato corrente.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Ottiene la stringa di configurazione predefinita.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ottiene la stringa di configurazione predefinita tramite ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Ottiene la configurazione tramite ICertConfig.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Tenta di contattare l'interfaccia richiesta di Servizi certificati Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola di terminazione. Questa opzione visualizza anche il costo del sito per ogni computer ca.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta di contattare l'interfaccia di amministrazione di Servizi certificati Active Directory.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname seguente:
  • * - Visualizza tutte le proprietà
  • annunci - Advanced Server
  • aia [Indice] - URL AIA
  • cdp [Indice] - URL CDP
  • cert [Indice] - CA cert
  • certchain [Index] - Catena di certificati CA
  • certcount - Conteggio certificati CA
  • certcrlchain [Index] - Catena di certificati CA con CRL
  • certstate [Indice] - Certificato CA
  • certstatuscode [Indice] - Stato di verifica del certificato CA
  • certversion [Index] - Versione del certificato CA
  • CRL [Indice] - CRL di base
  • crlstate [Indice] - CRL
  • crlstatus [Indice] - Stato di pubblicazione CRL
  • cross- [Index] - Certificato incrociato all'indietro
  • cross+ [Index] - Certificato incrociato in avanti
  • crossstate- [Index] - Certificato incrociato all'indietro
  • crossstate+ [Index] - Certificato incrociato in avanti
  • deltacrl [Indice] - Delta CRL
  • deltacrlstatus [Index] - Stato di pubblicazione Delta CRL
  • dns - Nome DNS
  • dsname - Nome breve della CA sanificata (nome DS)
  • error1 ErrorCode - Testo del messaggio di errore
  • error2 ErrorCode - Testo del messaggio di errore e codice di errore
  • exit [Indice] - Descrizione del modulo di uscita
  • exitcount - Conteggio dei moduli di uscita
  • file - Versione del file
  • info - CA info
  • kra [Indice] - KRA cert
  • kracount - Conteggio dei certificati KRA
  • krastate [Indice] - KRA cert
  • kraused - Conteggio utilizzato del certificato KRA
  • localename - Nome locale della CA
  • name - nome della CA
  • ocsp [Indice] - URL OCSP
  • parent - CA padre
  • policy - Descrizione del modulo Policy
  • prodotto - Versione del prodotto
  • propidmax - PropId CA massimo
  • role - Separazione dei ruoli
  • sanitizedname - Nome CA sanificato
  • sharedfolder - Cartella condivisa
  • subjecttemplateoids - OID del modello di soggetto
  • templates - Templates
  • type - tipo di CA
  • xchg [Indice] - Certificato di scambio CA
  • xchgchain [Indice] - Catena di certificati di scambio CA
  • xchgcount - Conteggio certificati di scambio CA
  • xchgcrlchain [Indice] - Catena di certificati di scambio CA con CRL
• index è la proprietà facoltativa Index in base zero.
• errorcode è il codice di errore numerico.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Visualizza le informazioni sul tipo di proprietà della CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera il certificato per l'autorità di certificazione.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile è il file di output.
• Indice è l'indice di rinnovo del certificato CA (il valore predefinito è il più recente).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la catena di certificati per l'autorità di certificazione.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile è il file di output.
• Indice è l'indice di rinnovo del certificato CA (il valore predefinito è il più recente).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ottiene un elenco di revoche di certificati (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index è l'indice CRL o l'indice chiave (il valore predefinito è CRL per la chiave più recente).
• delta è il Delta CRL (il valore predefinito è il CRL di base).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Pubblica nuovi elenchi di revoche di certificati (CRL) o CRL differenziali.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• gg:hh è il nuovo periodo di validità del CRL in giorni e ore.
• ripubblica ripubblica i CRL più recenti.
• delta pubblica solo i Delta CRL (l'impostazione predefinita è Base e Delta CRL).

Options:

[-split] [-config Machine\CAName]

-shutdown

Arresta Servizi certificati Active Directory.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Installa un certificato dell'autorità di certificazione.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Rinnova un certificato dell'autorità di certificazione.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• Usare -f per ignorare una richiesta di rinnovo in sospeso e generare una nuova richiesta.

-schema

Esegue il dump dello schema per il certificato.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• Il comando viene impostato per impostazione predefinita sulla tabella Richiesta e Certificato.
• Ext è il tavolo di estensione.
• Attributo è la tabella degli attributi.
• CRL è la tabella CRL.

Options:

[-split] [-config Machine\CAName]

-view

Esegue il dump della visualizzazione del certificato.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Queue esegue il dump di una coda di richieste specifica.
• Il log esegue il dump dei certificati emessi o revocati, oltre a tutte le richieste non riuscite.
• LogFail esegue il dump delle richieste non riuscite.
• Revocato esegue il dump dei certificati revocati.
• Ext scarica la tabella di estensione.
• Attrib scarica la tabella degli attributi.
• CRL scarica la tabella CRL.
• CSV fornisce l'output utilizzando valori separati da virgole.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• Per visualizzare la colonna StatusCode per tutte le voci, digitare -out StatusCode
• Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$
• Per visualizzare RequestId e Disposition per tre richieste, digitare: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Per visualizzare gli ID di riga, gli ID di riga e i numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Per visualizzare il numero CRL di base 3, digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Per visualizzare l'intera tabella CRL, digitare: CRL
• Usare Date[+|-dd:hh] per le restrizioni relative alla data.
• Utilizzare now+dd:hh per una data relativa all'ora corrente.
• I modelli contengono gli EKU (Extended Key Usages), ovvero identificatori di oggetto (OID) che descrivono come viene usato il certificato. I certificati non includono sempre nomi comuni dei modelli o nomi visualizzati, ma contengono sempre le EKU del modello. È possibile estrarre le EKU per un modello di certificato specifico da Active Directory e quindi limitare le visualizzazioni in base a tale estensione.

-db

Esegue il dump del database non elaborato.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una riga dal database del server.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• La richiesta elimina le richieste non riuscite e in sospeso, in base alla data di invio.
• Il certificato elimina i certificati scaduti e revocati, in base alla data di scadenza.
• Ext elimina la tabella delle estensioni.
• Attrib elimina la tabella degli attributi.
• CRL elimina la tabella CRL.

Options:

[-f] [-config Machine\CAName]

Examples

• Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare: 1/22/2001 request
• Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 cert
• Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare: 37
• Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 crl

-backup

Esegue il backup di Servizi certificati Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory è la directory in cui archiviare i dati di backup.
• Incrementale esegue solo un backup incrementale (l'impostazione predefinita è backup completo).
• KeepLog conserva i file di log del database (l'impostazione predefinita prevede il troncamento dei file di log).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Esegue il backup del database di Servizi certificati Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory è la directory in cui archiviare i file di database di cui è stato eseguito il backup.
• Incrementale esegue solo un backup incrementale (l'impostazione predefinita è backup completo).
• KeepLog conserva i file di log del database (l'impostazione predefinita prevede il troncamento dei file di log).

Options:

[-f] [-config Machine\CAName]

-backupkey

Esegue il backup del certificato di Servizi certificati Active Directory e della chiave privata.

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory è la directory in cui archiviare il file PFX di cui è stato eseguito il backup.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Ripristina Servizi certificati Active Directory.

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory è la directory contenente i dati da ripristinare.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Ripristina il database di Servizi certificati Active Directory.

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory è la directory contenente i file del database da ripristinare.

Options:

[-f] [-config Machine\CAName]

-restorekey

Ripristina il certificato e la chiave privata di Servizi certificati Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory è la directory contenente il file PFX da ripristinare.
• PFXFile è il file PFX da ripristinare.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Esporta i certificati e le chiavi private. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.
• PFXFile è il file PFX da esportare.
• I modificatori sono l'elenco delimitato da virgole, che può includere uno o più degli elementi seguenti:
  • CryptoAlgorithm= specifica l'algoritmo crittografico da utilizzare per crittografare il file PFX, come ad esempio TripleDES-Sha1 o Aes256-Sha256.
  • EncryptCert : crittografa la chiave privata associata al certificato con una password.
  • ExportParameters -Exports i parametri della chiave privata oltre al certificato e alla chiave privata.
  • ExtendedProperties : include tutte le proprietà estese associate al certificato nel file di output.
  • NoEncryptCert - Esporta la chiave privata senza crittografarla.
  • NoChain : non importa la catena di certificati.
  • NoRoot : non importa il certificato radice.

-importPFX

Importa i certificati e le chiavi private. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName è il nome dell'archivio certificati.
• PFXFile è il file PFX da importare.
• I modificatori sono l'elenco delimitato da virgole, che può includere uno o più degli elementi seguenti:
  • AT_KEYEXCHANGE - Modifica la specifica chiave in scambio di chiavi.
  • AT_SIGNATURE - Cambia la specifica chiave in firma.
  • ExportEncrypted - Esporta la chiave privata associata al certificato con crittografia tramite password.
  • FriendlyName= - Specifica un nome descrittivo per il certificato importato.
  • KeyDescription= - Specifica una descrizione per la chiave privata associata al certificato importato.
  • KeyFriendlyName= - Specifica un nome descrittivo per la chiave privata associata al certificato importato.
  • NoCert : non importa il certificato.
  • NoChain : non importa la catena di certificati.
  • NoExport: rende la chiave privata non esportabile.
  • NoProtect - Non protegge le chiavi con password utilizzando una password.
  • NoRoot : non importa il certificato radice.
  • Pkcs8 - Utilizza il formato PKCS8 per la chiave privata nel file PFX.
  • Proteggi : protegge le chiavi utilizzando una password.
  • ProtectHigh : specifica che alla chiave privata deve essere associata una password ad alta sicurezza.
  • VSM : archivia la chiave privata associata al certificato importato nel contenitore Virtual Smart Card (VSC).

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• L'impostazione predefinita è archivio computer personale.

-dynamicfilelist

Visualizza un elenco di file dinamici.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Visualizza i percorsi del database.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Genera e visualizza un hash crittografico su un file.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Esegue il dump dell'archivio certificati.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName è il nome dell'archivio certificati. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Questo ID può essere:

  • Serial number
  • SHA-1 certificate
  • Hash CRL, CTL o chiave pubblica
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Public key
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • E-mail address
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi identificatori possono generare più corrispondenze.

• OutputFile è il file utilizzato per salvare i certificati corrispondenti.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-enumstore

Enumera gli archivi certificati.

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName è il nome del computer remoto.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Aggiunge un certificato all'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName è il nome dell'archivio certificati.
• InFile è il certificato o il file CRL che si desidera aggiungere all'archivio.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificato dall'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica un certificato nell'archivio. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName è il nome dell'archivio certificati.
• CertId è il certificato o il token di corrispondenza CRL.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName è il nome dell'archivio certificati.

• CertIdList è l'elenco delimitato da virgole di token di corrispondenza di certificati o CRL. Per altre informazioni, vedere la -store descrizione di CertId in questo articolo.

• PropertyInfFile è il file INF contenente le proprietà esterne, tra cui:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il -store parametro in questo articolo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName è il nome dell'archivio certificati. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:

  • Serial number
  • SHA-1 certificate
  • Hash della chiave pubblica, CTL o CRL
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Public key
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • E-mail address
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi possono causare più corrispondenze.

• OutputFile è il file utilizzato per salvare i certificati corrispondenti.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Elimina un certificato dall'archivio.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName è il nome dell'archivio certificati. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId è il certificato o il token di corrispondenza CRL. Può trattarsi di:

  • Serial number
  • SHA-1 certificate
  • Hash della chiave pubblica, CTL o CRL
  • Indice del certificato numerico (0, 1 e così via)
  • Indice CRL numerico (.0, .1 e così via)
  • Indice CTL numerico (.. 0, .. 1 e così via)
  • Public key
  • ObjectId firma o estensione
  • Nome comune dell'oggetto certificato
  • E-mail address
  • NOME UPN o DNS
  • Nome contenitore chiave o nome CSP
  • Nome del modello o ObjectId
  • ObjectId criteri applicazione o EKU
  • Nome comune dell'autorità di certificazione CRL.

Molti di questi potrebbero comportare più corrispondenze.

• OutputFile è il file utilizzato per salvare i certificati corrispondenti.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• L'opzione -user accede a un archivio utenti anziché a un archivio computer.
• L'opzione -enterprise accede a un archivio aziendale del computer.
• L'opzione -service accede a un archivio del servizio computer.
• L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Richiama l'interfaccia certutil.

certutil [options] -UI File [import]

-TPMInfo

Visualizza informazioni attendibili sul modulo della piattaforma.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Specifica che il file di richiesta del certificato deve essere attestato.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Seleziona un certificato da un'interfaccia utente di selezione.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Visualizza i nomi distinti del servizio directory (DS).

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina I DS DN.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile è il nome del file del certificato da pubblicare.
• NTAuthCA pubblica il certificato nell'archivio DS Enterprise.
• RootCA pubblica il certificato nell'archivio radice attendibile DS.
• SubCA pubblica il certificato CA nell'oggetto CA DS.
• CrossCA pubblica il certificato incrociato nell'oggetto CA DS.
• KRA pubblica il certificato nell'oggetto DS Key Recovery Agent.
• L'utente pubblica il certificato nell'oggetto User DS.
• Il computer pubblica il certificato nell'oggetto Machine DS.
• CRLfile è il nome del file CRL da pubblicare.
• DSCDPContainer è il CN del contenitore CDP DS, in genere il nome del computer CA.
• DSCDPCN è l'oggetto CDP DS CN basato sul nome breve e sull'indice della chiave della CA disinfettati.

Options:

[-f] [-user] [-dc DCName]

• Utilizzare -f per creare un nuovo oggetto DS.

-dsCert

Visualizza i certificati DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Visualizza CRL DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Visualizza CRL delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Visualizza gli attributi del modello DS.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Aggiunge modelli DS.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Visualizza i modelli di Active Directory.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Visualizza i modelli di criteri di registrazione certificati.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Visualizza le autorità di certificazione (CA) per un modello di certificato.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Visualizza i modelli per l'autorità di certificazione.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Imposta i modelli di certificato che l'autorità di certificazione può emettere.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• Il + segno aggiunge modelli di certificato all'elenco dei modelli disponibili della CA.
• Il - segno rimuove i modelli di certificato dall'elenco dei modelli disponibili della CA.

-SetCASites

Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName è consentito solo quando la destinazione è una singola autorità di certificazione.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• L'opzione -config è destinata a una singola autorità di certificazione (il valore predefinito è tutte le ca).
• L'opzione -f può essere utilizzata per eseguire l'override degli errori di convalida per il SiteName specificato o per eliminare tutti i nomi dei siti CA.

-enrollmentServerURL

Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType specifica uno dei seguenti metodi di autenticazione client durante l'aggiunta di un URL:
  • Kerberos - Utilizzare le credenziali SSL Kerberos.
  • UserName : utilizzare un account denominato per le credenziali SSL.
  • ClientCertificate : utilizzare le credenziali SSL del certificato X.509.
  • Anonimo: utilizza credenziali SSL anonime.
• delete elimina l'URL specificato associato alla CA.
• La priorità predefinita è se 1 non viene specificata quando si aggiunge un URL.
• Modificatori è un elenco separato da virgole, che include uno o più dei seguenti elementi:
  • AllowRenewalsSolo le richieste di rinnovo possono essere inviate a questa CA tramite questo URL.
  • AllowKeyBasedRenewal consente l'utilizzo di un certificato a cui non è associato alcun account in Active Directory. Ciò si applica solo con le modalità ClientCertificate e AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Visualizza le autorità di certificazione di Active Directory.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Visualizza le autorità di certificazione dei criteri di registrazione.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Visualizza i criteri di registrazione.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Visualizza o elimina le voci della cache dei criteri di registrazione.

certutil [options] -PolicyCache [delete]

Where:

• Elimina elimina le voci della cache del server dei criteri.
• -f elimina tutte le voci della cache

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Visualizza, aggiunge o elimina le voci dell'archivio credenziali.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL è l'URL di destinazione. È anche possibile usare * per trovare le corrispondenze con tutte le voci o https://machine* per trovare una corrispondenza con un prefisso URL.
• Add aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.
• Elimina elimina le voci dell'archivio credenziali.
• -f sovrascrive una singola voce o cancella più voci.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installa i modelli di certificato predefiniti.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Verifica gli URL di certificato o CRL.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Visualizza o elimina le voci della cache degli URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL è l'URL memorizzato nella cache.
• Il CRL viene eseguito solo su tutti gli URL CRL memorizzati nella cache.
• * opera su tutti gli URL memorizzati nella cache.
• delete elimina gli URL pertinenti dalla cache locale dell'utente corrente.
• -f forza il recupero di un URL specifico e l'aggiornamento della cache.

Options:

[-f] [-split]

-pulse

Genera un evento di registrazione automatica o un'attività NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName è l'attività da attivare.
  • Pregen è il compito chiave NGC pregen.
  • AIKEnroll è l'attività di registrazione del certificato NGC AIK. L'impostazione predefinita è l'evento di registrazione automatica.
• SRKThumbprint è l'identificazione personale della chiave radice di archiviazione
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Visualizza informazioni sull'oggetto computer di Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati del controller di dominio senza verifica.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-EntInfo

Visualizza informazioni su un'autorità di certificazione dell'organizzazione.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Visualizza informazioni sulla smart card.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET elimina tutti i tasti della smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gestisce i certificati radice della smart card.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Elenca le chiavi archiviate in un contenitore di chiavi.

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
• L'uso del segno si riferisce all'uso - del contenitore di chiavi predefinito.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina il contenitore di chiavi denominato.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina il contenitore Windows Hello rimuovendo tutte le credenziali associate archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.

Gli utenti devono disconnettersi dopo aver usato questa opzione per completarla.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica un set di chiavi pubblico o privato.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName è il nome del contenitore di chiavi per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
• CACertFile firma o crittografa i file di certificato.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla chiave privata.
• Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.

-verify

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile è il nome del certificato da verificare.
• ApplicationPolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di applicazione necessari.
• IssuancePolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di rilascio necessari.
• CACertFile è il certificato CA di emissione facoltativo con cui eseguire la verifica.
• CrossedCACertFile è il certificato opzionale certificato in modo incrociato da CertFile.
• CRLFile è il file CRL utilizzato per verificare il CACertFile.
• IssuedCertFile è il certificato emesso facoltativo coperto dal CRLfile.
• DeltaCRLFile è il file Delta CRL facoltativo.
• Modifiers:
  • Strong - Verifica della firma avanzata
  • MSRoot : deve essere concatenato a una radice Microsoft
  • MSTestRoot: deve essere concatenato a una radice di test Microsoft
  • AppRoot: deve essere concatenato a una radice dell'applicazione Microsoft
  • EV - Applicare i criteri di convalida estesa

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• L'uso di ApplicationPolicyList limita la creazione di catene solo alle catene valide per i criteri dell'applicazione specificati.
• L'utilizzo di IssuancePolicyList limita la creazione di catene solo alle catene valide per i criteri di rilascio specificati.
• L'utilizzo di CACertFile consente di verificare i campi del file rispetto a CertFile o CRLfile.
• Se CACertFile non viene specificato, l'intera catena viene compilata e verificata in base a CertFile.
• Se vengono specificati entrambi CACertFile e CrossedCACertFile , i campi in entrambi i file vengono verificati rispetto a CertFile.
• L'utilizzo di IssuedCertFile consente di verificare i campi del file rispetto a CRLfile.
• L'uso di DeltaCRLFile verifica i campi nel file rispetto a CertFile.

-verifyCTL

Verifica il CTL dei certificati AuthRoot o Non consentiti.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identifica il CTL da verificare, tra cui:

  • AuthRootWU legge il CAB AuthRoot e i certificati corrispondenti dalla cache degli URL. Usa -f invece per scaricare da Windows Update.
  • DisallowedWU legge il CAB dei certificati non consentiti e il file dell'archivio certificati non consentiti dalla cache degli URL. Usa -f invece per scaricare da Windows Update.
    • PinRulesWU legge il CAB di PinRules dalla cache degli URL. Usa -f invece per scaricare da Windows Update.
  • AuthRoot legge il CTL AuthRoot memorizzato nella cache del Registro di sistema. Utilizzare con -f e un CertFile non attendibile per forzare l'aggiornamento dei CTL AuthRoot e dei certificati non consentiti memorizzati nella cache del Registro di sistema.
  • Non consentito legge il CTL dei certificati non consentiti memorizzato nella cache del Registro di sistema. Utilizzare con -f e un CertFile non attendibile per forzare l'aggiornamento dei CTL AuthRoot e dei certificati non consentiti memorizzati nella cache del Registro di sistema.
    • PinRules legge il CTL PinRules memorizzato nella cache del Registro di sistema. L'utilizzo -f ha lo stesso comportamento di PinRulesWU.
  • CTLFileName specifica il percorso del file o del file CTL o CAB.

• CertDir specifica la cartella contenente i certificati corrispondenti alle voci CTL. Per impostazione predefinita, viene utilizzata la stessa cartella o sito Web dell'oggetto CTL. L'uso di un percorso della cartella HTTP richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Disallowed, vengono cercati più percorsi per i certificati corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache URL locale. Usare -f per scaricare da Windows Update, in base alle esigenze.

• CertFile specifica i certificati da verificare. I certificati vengono confrontati con le voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.

Options:

[-f] [-user] [-split]

-syncWithWU

Sincronizza i certificati con Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir è la directory specificata.
• f forza una sovrascrittura.
• Unicode scrive l'output reindirizzato in Unicode.
• gmt visualizza gli orari come GMT.
• Secondi Visualizza i tempi in secondi e millisecondi.
• v è un'operazione dettagliata.
• PIN è il PIN della smart card.
• WELL_KNOWN_SID_TYPE è un SID numerico:
  • 22 - Sistema locale
  • 23 - Servizio locale
  • 24 - Servizio di rete

Remarks

I file seguenti vengono scaricati usando il meccanismo di aggiornamento automatico:

• authrootstl.cab contiene i CTL dei certificati radice non Microsoft.
• disallowedcertstl.cab contiene i CTL dei certificati non attendibili.
• DisallowedCert.sst contiene l'archivio certificati serializzati, inclusi i certificati non attendibili.
• thumbprint.crt contiene i certificati radice non Microsoft.

Ad esempio: certutil -syncWithWU \\server1\PKI\CTLs.

• Se si usa un percorso locale o una cartella inesistente come cartella di destinazione, viene visualizzato l'errore: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Se si usa un percorso di rete inesistente o non disponibile come cartella di destinazione, viene visualizzato l'errore: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Se il server non riesce a connettersi tramite la porta TCP 80 ai server di aggiornamento automatico Microsoft, viene visualizzato l'errore seguente: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Se il server non riesce a raggiungere i server di Aggiornamento automatico Microsoft con il nome ctldl.windowsupdate.comDNS , viene visualizzato l'errore seguente: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Se non si usa l'opzione -f e uno dei file CTL esiste già nella directory, viene visualizzato un errore: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Se si verifica una modifica nei certificati radice attendibili, viene visualizzato quanto riportato di seguito: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un file di archivio sincronizzato con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile è il .sst file da generare che contiene le radici di terze parti scaricate da Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Genera un file CTL (Certificate Trust List) che contiene un elenco di regole di aggiunta.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile è il file XML di input da analizzare.
• CTLFile è il file CTL di output da generare.
• SSTFile è il file facoltativo .sst da creare che contiene tutti i certificati utilizzati per l'aggiunta.
• QueryFilesPrefix sono file diDomains.csv eKeys.csvfacoltativi da creare per la query del database.
  • La stringa QueryFilesPrefix viene anteposta a ogni file creato.
  • Il fileDomains.csvcontiene il nome della regola, le righe del dominio.
  • Il fileKeys.csvcontiene il nome della regola, le righe dell'identificazione personale SHA256 chiave.

Options:

[-f]

-downloadOcsp

Scarica le risposte OCSP e scrive nella directory.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir è la directory di un certificato, di un archivio e di file PFX.
• OcspDir è la directory in cui scrivere le risposte OCSP.
• ThreadCount è il numero massimo facoltativo di thread per il download simultaneo. Il valore predefinito è 10.
• I modificatori sono elenchi separati da virgole di uno o più degli elementi seguenti:
  • DownloadOnce : viene scaricato una volta e chiuso.
  • ReadOcsp : legge da OcspDir anziché scrivere.

-generateHpkpHeader

Genera l'intestazione HPKP usando i certificati in un file o in una directory specificata.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir è il file o la directory dei certificati, che è l'origine di pin-sha256.
• MaxAge è il valore dell'età massima in secondi.
• ReportUri è l'uri di report facoltativo.
• I modificatori sono elenchi separati da virgole di uno o più degli elementi seguenti:
  • includeSubDomains : aggiunge includeSubDomains.

-flushCache

Scarica le cache specificate nel processo selezionato, ad esempio lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId è l'ID numerico di un processo da scaricare. Impostare su 0 per svuotare tutti i processi in cui lo svuotamento è abilitato.

• CacheMask è la maschera di bit delle cache da scaricare, sia numeriche che i seguenti bit:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• I modificatori sono elenchi separati da virgole di uno o più degli elementi seguenti:

  • Mostra : mostra le cache in fase di svuotamento. Certutil deve essere terminato in modo esplicito.

-addEccCurve

Aggiunge una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass è il tipo di classe di curva ECC:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName è il nome della curva ECC.

• I parametri CurveParameters sono uno dei seguenti:

  • Nome file di certificato contenente parametri con codifica ASN.
  • File contenente parametri con codifica ASN.

• CurveOID è l'OID della curva ECC ed è uno dei seguenti:

  • Nome file di certificato contenente un OID con codifica ASN.
  • OID curva ECC esplicito.

• CurveType è il punto Schannel ECC NamedCurve (numerico).

Options:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName è il nome della curva ECC.
• CurveOID è l'OID della curva ECC.

Options:

[-f]

-displayEccCurve

Visualizza la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName è il nome della curva ECC.
• CurveOID è l'OID della curva ECC.

Options:

[-f]

-csplist

Elenca i provider di servizi di crittografia installati in questo computer per le operazioni di crittografia.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Verifica i CSP installati in questo computer.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Visualizza la configurazione crittografica CNG in questo computer.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList è l'elenco delimitato da virgole di file di certificati o CRL da modificare e firmare nuovamente.

• SerialNumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.

• CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.

• OutFileList è l'elenco delimitato da virgole di file di output di certificati o CRL modificati. Il numero di file deve corrispondere a infilelist.

• StartDate+dd:hh è il nuovo periodo di validità per il certificato o i file CRL, tra cui:

  • data facoltativa più
  • giorni e ore facoltativi periodo di validità Se vengono usati più campi, usare un separatore (+) o (-). Usare now[+dd:hh] per iniziare all'ora corrente. Utilizzare now-dd:hh+dd:hh per iniziare in corrispondenza di un offset fisso rispetto all'ora corrente e a un periodo di validità fisso. Usare never per non avere una data di scadenza (solo per i CRL).

• SerialNumberList è l'elenco dei numeri di serie separati da virgole dei file da aggiungere o rimuovere.

• ObjectIdList è l'elenco ObjectId con estensione delimitata da virgole dei file da rimuovere.

• @ExtensionFile è il file INF che contiene le estensioni da aggiornare o rimuovere. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm è il nome dell'algoritmo hash. Deve essere solo il testo preceduto dal # segno.

• AlternateSignatureAlgorithm è l'identificatore dell'algoritmo di firma alternativa.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.
• L'uso del segno più (+) aggiunge numeri di serie a un CRL.
• È possibile utilizzare un elenco per rimuovere contemporaneamente i numeri di serie e gli ObjectId da un CRL.
• L'utilizzo del segno meno prima di AlternateSignatureAlgorithm consente di utilizzare il formato di firma legacy.
• L'uso del segno più consente di usare il formato di firma alternativo.
• Se non si specifica AlternateSignatureAlgorithm, viene usato il formato di firma nel certificato o nel CRL.

-vroot

Crea o elimina le radici virtuali Web e le condivisioni file.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina radici virtuali Web per un proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Aggiunge un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer richiede l'utilizzo di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:

  • Kerberos utilizza le credenziali SSL Kerberos.
  • UserName utilizza l'account denominato per le credenziali SSL.
  • ClientCertificate utilizza le credenziali SSL del certificato X.509.

• Modifiers:

  • AllowRenewalsOnly consente solo l'invio di richieste di rinnovo all'autorità di certificazione tramite l'URL.
  • AllowKeyBasedRenewal consente l'utilizzo di un certificato senza account associato in Active Directory. Ciò si applica quando viene utilizzato con le modalità ClientCertificate e AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer richiede l'utilizzo di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
  • Kerberos utilizza le credenziali SSL Kerberos.
  • UserName utilizza l'account denominato per le credenziali SSL.
  • ClientCertificate utilizza le credenziali SSL del certificato X.509.

Options:

[-config Machine\CAName]

-addPolicyServer

Aggiungere un'applicazione Server criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer richiede l'utilizzo di un metodo di autenticazione per la connessione client al server dei criteri di certificazione, tra cui:
  • Kerberos utilizza le credenziali SSL Kerberos.
  • UserName utilizza l'account denominato per le credenziali SSL.
  • ClientCertificate utilizza le credenziali SSL del certificato X.509.
• KeyBasedRenewal consente l'utilizzo dei criteri restituiti al client contenenti modelli di rinnovo basati su chiavi. Questa opzione si applica solo all'autenticazione UserName e ClientCertificate .

-deletePolicyServer

Elimina un'applicazione server criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer richiede l'utilizzo di un metodo di autenticazione per la connessione client al server dei criteri di certificazione, tra cui:
  • Kerberos utilizza le credenziali SSL Kerberos.
  • UserName utilizza l'account denominato per le credenziali SSL.
  • ClientCertificate utilizza le credenziali SSL del certificato X.509.
• KeyBasedRenewal consente l'utilizzo di un server delle politiche KeyBasedRenewal.

-Class

Visualizza le informazioni del Registro di sistema COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Controlla la presenza di codifiche di lunghezza 0x7f.

certutil [options] -7f CertFile

-oid

Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId è l'ID da visualizzare o da aggiungere al nome visualizzato.
• GroupId è il numero GroupID (decimale) enumerato da ObjectIds.
• AlgId è l'ID esadecimale che objectID cerca.
• AlgorithmName è il nome dell'algoritmo cercato da objectID.
• DisplayName visualizza il nome da memorizzare in DS.
• Elimina elimina il nome visualizzato.
• LanguageId è il valore dell'ID della lingua (il valore predefinito è corrente: 1033).
• Tipo è il tipo di oggetto DS da creare, tra cui:
  • 1 - Modello (impostazione predefinita)
  • 2 - Criteri di rilascio
  • 3 - Criteri dell'applicazione
• -f crea un oggetto DS.

Options:

[-f]

-error

Visualizza il testo del messaggio associato a un codice di errore.

certutil [options] -error ErrorCode

-getsmtpinfo

Ottiene informazioni SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Imposta le informazioni SMTP.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Visualizza un valore del Registro di sistema.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca utilizza la chiave di registro di un'autorità di certificazione.
• restore utilizza la chiave del Registro di sistema restore dell'autorità di certificazione.
• Policy utilizza la chiave del Registro di sistema del modulo Policy.
• exit utilizza la chiave del Registro di sistema del primo modulo di uscita.
• Il modello utilizza la chiave del Registro di sistema del modello (utilizzare -user per i modelli utente).
• Enroll utilizza la chiave del Registro di sistema di registrazione (utilizzare -user per il contesto utente).
• La catena utilizza la chiave del Registro di sistema di configurazione della catena.
• PolicyServers utilizza la chiave del Registro di sistema Policy Servers.
• ProgId utilizza il ProgID (nome della sottochiave del Registro di sistema) del modulo di policy o di uscita.
• RegistryValueName utilizza il nome del valore del Registro di sistema (utilizzato Name* per aggiungere il prefisso alla corrispondenza).
• value utilizza il nuovo valore numerico, stringa o data del Registro di sistema o il nome file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
• Registry aliases:
  • Config
  • CA
  • Criteri - PolicyModules
  • Exit - ExitModules
  • Ripristino - RestoreInProgress
  • Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Crittografia\MSCEP
  • Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - Sistema\CurrentControlSet\Servizi\crypt32
  • NGC - Sistema\CurrentControlSet\Control\Crittografia\NGC
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Politiche\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Imposta un valore del Registro di sistema.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca utilizza la chiave di registro di un'autorità di certificazione.
• restore utilizza la chiave del Registro di sistema restore dell'autorità di certificazione.
• Policy utilizza la chiave del Registro di sistema del modulo Policy.
• exit utilizza la chiave del Registro di sistema del primo modulo di uscita.
• Il modello utilizza la chiave del Registro di sistema del modello (utilizzare -user per i modelli utente).
• Enroll utilizza la chiave del Registro di sistema di registrazione (utilizzare -user per il contesto utente).
• La catena utilizza la chiave del Registro di sistema di configurazione della catena.
• PolicyServers utilizza la chiave del Registro di sistema Policy Servers.
• ProgId utilizza il ProgID (nome della sottochiave del Registro di sistema) del modulo di policy o di uscita.
• RegistryValueName utilizza il nome del valore del Registro di sistema (utilizzato Name* per aggiungere il prefisso alla corrispondenza).
• Il valore utilizza il nuovo valore numerico, stringa o data del Registro di sistema o il nome del file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.

-delreg

Elimina un valore del Registro di sistema.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca utilizza la chiave di registro di un'autorità di certificazione.
• restore utilizza la chiave del Registro di sistema restore dell'autorità di certificazione.
• Policy utilizza la chiave del Registro di sistema del modulo Policy.
• exit utilizza la chiave del Registro di sistema del primo modulo di uscita.
• Il modello utilizza la chiave del Registro di sistema del modello (utilizzare -user per i modelli utente).
• Enroll utilizza la chiave del Registro di sistema di registrazione (utilizzare -user per il contesto utente).
• La catena utilizza la chiave del Registro di sistema di configurazione della catena.
• PolicyServers utilizza la chiave del Registro di sistema Policy Servers.
• ProgId utilizza il ProgID (nome della sottochiave del Registro di sistema) del modulo di policy o di uscita.
• RegistryValueName utilizza il nome del valore del Registro di sistema (utilizzato Name* per aggiungere il prefisso alla corrispondenza).
• Il valore utilizza il nuovo valore numerico, stringa o data del Registro di sistema o il nome del file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Se un valore stringa inizia con + o -e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore stringa.
• Se il valore inizia con \@, il resto del valore è il nome del file contenente la rappresentazione di testo esadecimale di un valore binario.
• Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
• Se vengono specificati entrambi, usare un segno più (+) o un separatore segno meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
• Usare i64 come suffisso per creare un valore REG_QWORD.
• Usare chain\chaincacheresyncfiletime @now per scaricare in modo efficace i CRL memorizzati nella cache.
• Registry aliases:
  • Config
  • CA
  • Criteri - PolicyModules
  • Exit - ExitModules
  • Ripristino - RestoreInProgress
  • Modello - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Registrazione - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Crittografia\MSCEP
  • Catena - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - Sistema\CurrentControlSet\Servizi\crypt32
  • NGC - Sistema\CurrentControlSet\Control\Crittografia\NGC
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Politiche\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile è un file di dati con chiavi private utente e certificati che devono essere archiviati. Questo file può essere:
  • Un file di esportazione del server di gestione delle chiavi di Exchange.An Exchange Key Management Server (KMS) export file.
  • File PFX.
• CertId è un token di corrispondenza del certificato di decrittografia del file di esportazione KMS. Per altre informazioni, vedere il -store parametro in questo articolo.
• -f importa i certificati non rilasciati dall'autorità di certificazione.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un file di certificato nel database.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.
• -f importa i certificati non rilasciati dall'autorità di certificazione.

Options:

[-f] [-config Machine\CAName]

Remarks

Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni eseguendo certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un BLOB di recupero delle chiavi private archiviato, genera uno script di ripristino o recupera le chiavi archiviate.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• Lo script genera uno script per recuperare e recuperare le chiavi (comportamento predefinito se vengono trovati più candidati di ripristino corrispondenti o se il file di output non viene specificato).
• retrieve recupera uno o più BLOB di recupero delle chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se viene specificato il file di output). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato e l'estensione .rec per ogni BLOB di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
• recover recupera e recupera le chiavi private in un unico passaggio (richiede i certificati dell'agente di recupero chiavi e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione .p12 . Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.
• SearchToken seleziona le chiavi e i certificati da recuperare, tra cui:
  • Nome comune certificato
  • Numero di serie del certificato
  • Hash SHA-1 del certificato (identificazione personale)
  • Hash SHA-1 del keyid del certificato (identificatore della chiave del soggetto)
  • Nome richiedente (dominio\utente)
  • UPN (user@domain)
• RecoveryBlobOutFile genera un file con una catena di certificati e una chiave privata associata, ancora crittografato in uno o più certificati dell'agente di recupero chiavi.
• OutputScriptFile genera un file con uno script batch per recuperare e recuperare le chiavi private.
• OutputFileBaseName restituisce un nome di base del file.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• Per il recupero, qualsiasi estensione viene troncata e viene aggiunta una stringa specifica del certificato e le .rec estensioni per ogni BLOB di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
• Per il ripristino, qualsiasi estensione viene troncata e l'estensione .p12 viene aggiunta. Contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.

-RecoverKey

Recupera una chiave privata archiviata.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Unisce i file PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList è un elenco delimitato da virgole di file di input PFX.
• PFXOutFile è il nome del file di output PFX.
• I modificatori sono elenchi separati da virgole di uno o più degli elementi seguenti:
  • ExtendedProperties include tutte le proprietà estese.
  • NoEncryptCert specifica di non crittografare i certificati.
  • EncryptCert specifica di crittografare i certificati.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
• Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente viene richiesta la password del file di output.

-add-chain

Aggiunge una catena di certificati.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Aggiunge una catena di pre-certificati.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Ottiene una testa dell'albero con segno.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Ottiene le modifiche apportate alla testa dell'albero con segno.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Ottiene la prova di un hash da un server timestamp.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Recupera le voci da un registro eventi.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Recupera i certificati radice dall'archivio certificati.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Recupera una voce del registro eventi e la relativa prova crittografica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Verifica un certificato rispetto al log di trasparenza dei certificati.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Visualizza l'elenco dei parametri.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? visualizza l'elenco dei parametri
• -<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.
• -? -v visualizza un elenco dettagliato di parametri e opzioni.

Options

Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.

Algoritmi hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Related links

Per altri esempi di come usare questo comando, vedere gli articoli seguenti:

• Servizi certificati Active Directory
• attività Certutil per la gestione dei certificati
• Configurare radici attendibili e certificati non consentiti in Windows