certutil

Certutil.exe is een opdrachtregelprogramma dat is geïnstalleerd als onderdeel van Certificate Services. U kunt certutil.exe gebruiken om configuratiegegevens van certificeringsinstantie (CA) weer te geven, Certificate Services te configureren en een back-up te maken van CA-onderdelen en deze te herstellen. Het programma controleert ook certificaten, sleutelparen en certificaatketens.

Als certutil deze wordt uitgevoerd op een certificeringsinstantie zonder andere parameters, wordt de huidige configuratie van de certificeringsinstantie weergegeven. Als certutil de opdracht wordt uitgevoerd op een niet-certificeringsinstantie zonder andere parameters, wordt de certutil -dump opdracht standaard uitgevoerd. Niet alle versies van certutil bieden alle parameters en opties die in dit document worden beschreven. U kunt de keuzes zien die uw versie van certutil biedt door uit te voeren certutil -? of certutil <parameter> -?.

Parameters

-dump

Dumpt de configuratiegegevens of bestanden.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Dumpt de PFX-structuur.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Parseert en geeft de inhoud van een bestand weer met behulp van de asn.1-syntaxis (Abstract SyntaxIs notation). Bestandstypen zijn onder andere. CER, . OPGEMAAKTe DER- en PKCS #7-bestanden.

certutil [options] -asn File [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

-decodehex

Codeert een hexadecimale gecodeerd bestand.

certutil [options] -decodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* decoderingstype

Options:

[-f]

-encodehex

Codeert een bestand in hexadecimaal.

certutil [options] -encodehex InFile OutFile [type]

• [type]: numeriek CRYPT_STRING_* coderingstype

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Codeert een met Base64 gecodeerd bestand.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

Codeert een bestand naar Base64.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

Weigert een aanvraag die in behandeling is.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

Verzendt een aanvraag die in behandeling is opnieuw.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

Hiermee stelt u kenmerken in voor een certificaataanvraag die in behandeling is.

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId is de numerieke aanvraag-id voor de aanvraag die in behandeling is.
• AttributeString is de naam en waardeparen van het aanvraagkenmerk.

Options:

[-config Machine\CAName]

Remarks

• Namen en waarden moeten worden gescheiden door dubbele punten, terwijl meerdere namen en waardeparen moeten worden gescheiden door nieuwe regels. Bijvoorbeeld: CertificateTemplate:User\nEMail:User@Domain.com waarbij de \n reeks wordt geconverteerd naar een scheidingsteken voor nieuwe regels.

-setextension

Stel een extensie in voor een certificaataanvraag die in behandeling is.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID is de numerieke aanvraag-id voor de aanvraag die in behandeling is.
• ExtensionName is de ObjectId-tekenreeks voor de extensie.
• Vlaggen stelt de prioriteit van de extensie in. 0 wordt aanbevolen, terwijl 1 de extensie wordt ingesteld op kritiek, 2 wordt de extensie uitgeschakeld en 3 beide.

Options:

[-config Machine\CAName]

Remarks

• Als de laatste parameter numeriek is, wordt deze genomen als een Long.
• Als de laatste parameter kan worden geparseerd als een datum, wordt deze als een datum genomen.
• Als de laatste parameter begint met \@, wordt de rest van het token gebruikt als de bestandsnaam met binaire gegevens of een ASCII-text hex dump.
• Als de laatste parameter iets anders is, wordt deze gebruikt als een tekenreeks.

-revoke

Hiermee wordt een certificaat ingetrokken.

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber is een door komma's gescheiden lijst van seriële nummers van certificaten die u moet intrekken.
• Reden is de numerieke of symbolische weergave van de reden van intrekking, waaronder:
  • 0. CRL_REASON_UNSPECIFIED - Niet gespecificeerd (standaard)
  • 1. CRL_REASON_KEY_COMPROMISE - Belangrijk compromis
  • 2. CRL_REASON_CA_COMPROMISE - Inbreuk op de certificeringsinstantie
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliatie gewijzigd
  • 4. CRL_REASON_SUPERSEDED - Vervangen
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Stopzetting van de bedrijfsvoering
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificaat houder
  • 8. CRL_REASON_REMOVE_FROM_CRL - Verwijderen uit CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege ingetrokken
  • 10: CRL_REASON_AA_COMPROMISE - AA-compromis
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

Geeft de verwijdering van het huidige certificaat weer.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

Hiermee haalt u de standaardconfiguratietekenreeks op.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

Hiermee haalt u de standaardconfiguratiereeks op via ICertGetConfig.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

Hiermee wordt de configuratie via ICertConfig ophaalt.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Er wordt geprobeerd contact op te maken met de active Directory Certificate Services-aanvraaginterface.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList is een door komma's gescheiden lijst van CA-machinenamen. Gebruik voor één machine een afsluitkomma. Met deze optie worden ook de sitekosten voor elke CA-machine weergegeven.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Er wordt geprobeerd contact op te maken met de beheerinterface van Active Directory Certificate Services.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName geeft de CA-eigenschap aan die moet worden weergegeven, op basis van de volgende syntaxis van het infoname-argument:
  • * - Geeft alle eigenschappen weer
  • advertenties - Advanced Server
  • aia [Index] - AIA-URL's
  • cdp [Index] - CDP-URL's
  • cert [Index] - CA cert
  • certchain [Index] - CA cert keten
  • certcount - Aantal CA-certificaten
  • certcrlchain [Index] - CA-certificaatketen met CRL's
  • certstate [Index] - CA cert
  • certstatuscode [Index] - Status van CA-certificaat verifiëren
  • certversion [Index] - CA cert versie
  • CRL [Index] - Basis-CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL Publish Status
  • kruis- [Index] - Achterwaarts kruiscertificaat
  • cross+ [Index] - Doorsturen kruis cert
  • crossstate- [Index] - Achterwaarts kruis cert
  • crossstate+ [Index] - Doorsturen cross cert
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Delta CRL Publicatiestatus
  • dns - DNS-naam
  • dsname - Gesanitiseerde CA korte naam (DS-naam)
  • error1 ErrorCode - Tekst van het foutbericht
  • error2 ErrorCode - Tekst van het foutbericht en foutcode
  • exit [Index] - Beschrijving van de afsluitmodule
  • exitcount - Aantal afsluitmodules
  • bestand - Bestandsversie
  • info - CA info
  • kra [Index] - KRA cert
  • kracount - Aantal KRA-certificaten
  • krastate [Index] - KRA cert
  • kraused - KRA cert used count
  • localename - CA locale naam
  • naam - CA-naam
  • ocsp [Index] - OCSP-URL's
  • bovenliggende - bovenliggende CA
  • beleid - Beschrijving van de beleidsmodule
  • product - Productversie
  • propidmax - Maximale CA PropId
  • rol - Scheiding van rollen
  • sanitizedname - Gesanitiseerde CA-naam
  • sharedfolder - Gedeelde map
  • subjecttemplateoids - Onderwerp Template OID's
  • sjablonen - Sjablonen
  • type - CA-type
  • xchg [Index] - CA exchange cert
  • xchgchain [Index] - CA exchange cert chain
  • xchgcount - Aantal CA-uitwisselingscertificaten
  • xchgcrlchain [Index] - CA exchange cert chain met CRL's
• Index is de optionele op nul gebaseerde eigenschappenindex.
• Foutcode is de numerieke foutcode.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Geeft informatie over het type CA-eigenschap weer.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Haalt het certificaat voor de certificeringsinstantie op.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile is het uitvoerbestand.
• Index is de index voor het vernieuwen van CA-certificaten (standaard ingesteld op meest recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Haalt de certificaatketen voor de certificeringsinstantie op.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile is het uitvoerbestand.
• Index is de index voor het vernieuwen van CA-certificaten (standaard ingesteld op meest recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Hiermee haalt u een certificaatintrekkingslijst (CRL) op.

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index is de CRL-index of sleutelindex (standaard ingesteld op CRL voor de meest recente sleutel).
• delta is de delta-CRL (standaard is basis-CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

Publiceert nieuwe certificaatintrekkingslijsten (CRL's) of delta-CRL's.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh is de nieuwe CRL-geldigheidsperiode in dagen en uren.
• republish publiceert de meest recente CRL's.
• delta publiceert alleen de delta-CRL's (de standaardinstelling is basis- en delta-CRL's).

Options:

[-split] [-config Machine\CAName]

-shutdown

Hiermee sluit u de Active Directory Certificate Services af.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

Hiermee wordt een certificeringsinstantiecertificaat geïnstalleerd.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Een certificeringsinstantiecertificaat wordt vernieuwd.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• Gebruik -f dit om een openstaande verlengingsaanvraag te negeren en om een nieuwe aanvraag te genereren.

-schema

Dumpt het schema voor het certificaat.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• De opdracht wordt standaard ingesteld op de tabel Aanvraag en Certificaat.
• Ext is de aanschuiftafel.
• Attribuut is de attributentabel.
• CRL is de CRL-tabel.

Options:

[-split] [-config Machine\CAName]

-view

Dumpt de certificaatweergave.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Wachtrij dumpt een specifieke aanvraagwachtrij.
• Log dumpt de uitgegeven of ingetrokken certificaten, plus eventuele mislukte aanvragen.
• LogFail dumpt de mislukte aanvragen.
• Ingetrokken dumpt de ingetrokken certificaten.
• Ext dumpt de aanschuiftafel.
• Attrib dumpt de attribuuttabel.
• CRL dumpt de CRL-tabel.
• CSV levert de uitvoer met behulp van door komma's gescheiden waarden.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• Als u de kolom StatusCode voor alle vermeldingen wilt weergeven, typt u -out StatusCode
• Als u alle kolommen voor het laatste item wilt weergeven, typt u: -restrict RequestId==$
• Typ het volgende om de RequestId en Disposition voor drie aanvragen weer te geven: -restrict requestID>=37,requestID<40 -out requestID,disposition
• Typ het volgende om rij-ID's, rij-ID's en CRL-nummers voor alle basis-CRL's weer te geven: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• Als u basis-CRL nummer 3 wilt weergeven, typt u: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• Als u de hele CRL-tabel wilt weergeven, typt u: CRL
• Gebruiken Date[+|-dd:hh] voor datumbeperkingen.
• Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Sjablonen bevatten uitgebreide sleutelgebruiken (EKU's), die object-id's (OID's) zijn die beschrijven hoe het certificaat wordt gebruikt. Certificaten bevatten niet altijd algemene sjabloonnamen of weergavenamen, maar bevatten altijd de sjabloon-EKU's. U kunt de EKU's voor een specifieke certificaatsjabloon uit Active Directory extraheren en vervolgens weergaven beperken op basis van die extensie.

-db

Dumpt de onbewerkte database.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Hiermee verwijdert u een rij uit de serverdatabase.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• Aanvraag verwijdert de mislukte en in behandeling zijnde aanvragen op basis van de indieningsdatum.
• Cert verwijdert de verlopen en ingetrokken certificaten op basis van de vervaldatum.
• Ext verwijdert de uitbreidingstabel.
• Attrib verwijdert de attributentabel.
• CRL verwijdert de CRL-tabel.

Options:

[-f] [-config Machine\CAName]

Examples

• Als u mislukte en wachtende aanvragen wilt verwijderen die zijn ingediend op 22 januari 2001, typt u: 1/22/2001 request
• Als u alle certificaten wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 cert
• Als u de certificaatrij, kenmerken en extensies voor RequestID 37 wilt verwijderen, typt u: 37
• Als u CRL's wilt verwijderen die zijn verlopen op 22 januari 2001, typt u: 1/22/2001 crl

-backup

Hiermee wordt een back-up gemaakt van Active Directory Certificate Services.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is de map waarin de back-up van de gegevens wordt opgeslagen.
• Incrementeel voert alleen een incrementele back-up uit (standaard is volledige back-up).
• KeepLog bewaart de logbestanden van de database (standaard is het afkappen van logbestanden).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Hiermee wordt een back-up gemaakt van de Active Directory Certificate Services-database.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is de map waarin de back-up van de databasebestanden wordt opgeslagen.
• Incrementeel voert alleen een incrementele back-up uit (standaard is volledige back-up).
• KeepLog bewaart de logbestanden van de database (standaard is het afkappen van logbestanden).

Options:

[-f] [-config Machine\CAName]

-backupkey

Hiermee wordt een back-up gemaakt van het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory is de map om het geback-upte PFX-bestand op te slaan.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Hiermee herstelt u de Active Directory Certificate Services.

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory is de map met de gegevens die moeten worden hersteld.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Hiermee herstelt u de Active Directory Certificate Services-database.

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory is de map met de databasebestanden die moeten worden hersteld.

Options:

[-f] [-config Machine\CAName]

-restorekey

Hiermee herstelt u het Active Directory Certificate Services-certificaat en de persoonlijke sleutel.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory is de map met het PFX-bestand dat moet worden hersteld.
• PFXFile is het PFX-bestand dat moet worden hersteld.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exporteert de certificaten en persoonlijke sleutels. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId is het certificaat of CRL-overeenkomsttoken.
• PFXFile is het PFX-bestand dat moet worden geëxporteerd.
• Modifiers zijn de door komma's gescheiden lijst, die een of meer van de volgende elementen kan bevatten:
  • CryptoAlgorithm= specificeert het cryptografische algoritme dat moet worden gebruikt voor het versleutelen van het PFX-bestand, zoals TripleDES-Sha1 of Aes256-Sha256.
  • EncryptCert - Versleutelt de persoonlijke sleutel die aan het certificaat is gekoppeld met een wachtwoord.
  • ExportParameters -Exports de parameters van de persoonlijke sleutel naast het certificaat en de persoonlijke sleutel.
  • ExtendedProperties : bevat alle uitgebreide eigenschappen die zijn gekoppeld aan het certificaat in het uitvoerbestand.
  • NoEncryptCert - Exporteert de persoonlijke sleutel zonder deze te versleutelen.
  • NoChain - Importeert de certificaatketen niet.
  • NoRoot - Importeert het rootcertificaat niet.

-importPFX

Hiermee importeert u de certificaten en persoonlijke sleutels. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName is de naam van het certificaatarchief.
• PFXFile is het PFX-bestand dat moet worden geïmporteerd.
• Modifiers zijn de door komma's gescheiden lijst, die een of meer van de volgende elementen kan bevatten:
  • AT_KEYEXCHANGE - Wijzigt de sleutelspecificatie in sleuteluitwisseling.
  • AT_SIGNATURE - Wijzigt de keyspec in handtekening.
  • ExportEncrypted - Exporteert de persoonlijke sleutel die is gekoppeld aan het certificaat met wachtwoordversleuteling.
  • FriendlyName= - Geeft een beschrijvende naam op voor het geïmporteerde certificaat.
  • KeyDescription= - Geeft een beschrijving op voor de persoonlijke sleutel die is gekoppeld aan het geïmporteerde certificaat.
  • KeyFriendlyName= - Geeft een beschrijvende naam op voor de persoonlijke sleutel die is gekoppeld aan het geïmporteerde certificaat.
  • NoCert - Importeert het certificaat niet.
  • NoChain - Importeert de certificaatketen niet.
  • NoExport : hiermee maakt u de persoonlijke sleutel niet-exporteerbaar.
  • NoProtect - Beveiligt sleutels niet met een wachtwoord door een wachtwoord te gebruiken.
  • NoRoot - Importeert het rootcertificaat niet.
  • Pkcs8 - Gebruikt PKCS8-formaat voor de privésleutel in het PFX-bestand.
  • Beveiligen - Beschermt sleutels met behulp van een wachtwoord.
  • ProtectHigh : hiermee geeft u aan dat een wachtwoord met hoge beveiliging moet worden gekoppeld aan de persoonlijke sleutel.
  • VSM : slaat de persoonlijke sleutel op die is gekoppeld aan het geïmporteerde certificaat in de Virtual Smart Card (VSC)-container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• Standaard ingesteld op persoonlijke computeropslag.

-dynamicfilelist

Geeft een lijst met dynamische bestanden weer.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

Geeft databaselocaties weer.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

Hiermee wordt een cryptografische hash over een bestand gegenereerd en weergegeven.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Dumpt het certificaatarchief.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is de naam van het certificaatarchief. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is het certificaat of CRL-overeenkomsttoken. Deze id kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze id's kunnen meerdere overeenkomsten tot gevolg hebben.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-enumstore

Inventariseert de certificaatarchieven.

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName is de naam van de externe machine.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

Hiermee voegt u een certificaat toe aan het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName is de naam van het certificaatarchief.
• InFile is het certificaat of CRL-bestand dat u aan het archief wilt toevoegen.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Hiermee verwijdert u een certificaat uit het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId is het certificaat of CRL-overeenkomsttoken.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Controleert een certificaat in het archief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName is de naam van het certificaatarchief.
• CertId is het certificaat of CRL-overeenkomsttoken.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Hiermee herstelt u een sleutelkoppeling of werkt u certificaateigenschappen of de sleutelbeveiligingsdescriptor bij. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName is de naam van het certificaatarchief.

• CertIdList is de door komma's gescheiden lijst van certificaat- of CRL-overeenkomsttokens. Zie de beschrijving van de -store CertId in dit artikel voor meer informatie.

• PropertyInfFile is het INF-bestand dat externe eigenschappen bevat, waaronder:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Dumpt het certificaatarchief. Zie de -store parameter in dit artikel voor meer informatie.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is de naam van het certificaatarchief. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is het certificaat of CRL-overeenkomsttoken. Dit kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen resulteren in meerdere overeenkomsten.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

Hiermee verwijdert u een certificaat uit het archief.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is de naam van het certificaatarchief. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is het certificaat of CRL-overeenkomsttoken. Dit kan een:

  • Serial number
  • SHA-1 certificate
  • Hash van CRL, CTL of openbare sleutel
  • Numerieke certificaatindex (0, 1, enzovoort)
  • Numerieke CRL-index (.0, .1, enzovoort)
  • Numerieke CTL-index (.. 0, .. 1, enzovoort)
  • Public key
  • ObjectId voor handtekening of extensie
  • Algemene naam certificaatonderwerp
  • E-mail address
  • UPN- of DNS-naam
  • Sleutelcontainernaam of CSP-naam
  • Sjabloonnaam of ObjectId
  • ObjectId van EKU of toepassingsbeleid
  • Algemene naam van CRL-verlener.

Veel van deze kunnen leiden tot meerdere overeenkomsten.

• OutputFile is het bestand dat wordt gebruikt om de overeenkomende certificaten op te slaan.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• De -user optie opent een gebruikersarchief in plaats van een computerarchief.
• De -enterprise optie opent een bedrijfsarchief van een computer.
• De -service optie opent een machineservicearchief.
• De -grouppolicy optie opent een archief voor groepsbeleid voor computers.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

Roept de certutil-interface aan.

certutil [options] -UI File [import]

-TPMInfo

Geeft informatie over vertrouwde platformmodules weer.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

Hiermee geeft u op dat het certificaataanvraagbestand moet worden getest.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

Selecteert een certificaat in een selectiegebruikersinterface.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

Hiermee worden DS-DS-DN's (DS)-namen (DS) weergegeven.

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Hiermee verwijdert u DS DN's.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

Hiermee publiceert u een certificaat of certificaatintrekkingslijst (CRL) naar Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile is de naam van het certificaatbestand dat u wilt publiceren.
• NTAuthCA publiceert het certificaat in de DS Enterprise Store.
• RootCA publiceert het certificaat naar het DS Trusted Root-archief.
• SubCA publiceert het CA-certificaat voor het DS CA-object.
• CrossCA publiceert het kruiscertificaat voor het DS CA-object.
• KRA publiceert het certificaat voor het DS Key Recovery Agent-object.
• De gebruiker publiceert het certificaat voor het object Gebruiker DS.
• Machine publiceert het certificaat voor het Machine DS-object.
• CRL-bestand is de naam van het CRL-bestand dat moet worden gepubliceerd.
• DSCDPContainer is de DS CDP-container-CN, meestal de CA-machinenaam.
• DSCDPCN is het DS CDP-object CN dat is gebaseerd op de opgeschoonde korte CA-naam en sleutelindex.

Options:

[-f] [-user] [-dc DCName]

• Hiermee -f maakt u een nieuw DS-object.

-dsCert

Geeft DS-certificaten weer.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Geeft DS CRL's weer.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Geeft DS Delta CRL's weer.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Geeft DS-sjabloonkenmerken weer.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

Hiermee voegt u DS-sjablonen toe.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Geeft Active Directory-sjablonen weer.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Geeft de certificaatinschrijvingsbeleidssjablonen weer.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Geeft de certificeringsinstanties (CA's) weer voor een certificaatsjabloon.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

Hiermee worden sjablonen voor de certificeringsinstantie weergegeven.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Hiermee stelt u de certificaatsjablonen in die de certificeringsinstantie kan uitgeven.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• Met + het teken worden certificaatsjablonen toegevoegd aan de lijst met beschikbare sjablonen van de CA.
• Het - teken verwijdert certificaatsjablonen uit de lijst met beschikbare sjablonen van de CA.

-SetCASites

Beheert sitenamen, waaronder instelling, verificatie en het verwijderen van sitenamen van certificeringsinstanties.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName is alleen toegestaan wanneer u zich richt op één certificeringsinstantie.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• De -config optie is gericht op één certificeringsinstantie (standaard zijn alle CA's).
• De -f optie kan worden gebruikt om validatiefouten voor de opgegeven sitenaam te overschrijven of om alle CA-sitenamen te verwijderen.

-enrollmentServerURL

Hiermee worden URL's van inschrijvingsservers weergegeven, toegevoegd of verwijderd die zijn gekoppeld aan een CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType geeft een van de volgende clientverificatiemethoden op bij het toevoegen van een URL:
  • Kerberos - Gebruik Kerberos SSL-referenties.
  • Gebruikersnaam : gebruik een account op naam voor SSL-gegevens.
  • ClientCertificate - Gebruik SSL-referenties van X.509 Certificate.
  • Anoniem : gebruik anonieme SSL-gegevens.
• delete verwijdert de opgegeven URL die aan de CA is gekoppeld.
• Prioriteit is standaard ingesteld op 1 indien niet opgegeven bij het toevoegen van een URL.
• Modifiers is een door komma's gescheiden lijst, die een of meer van de volgende elementen bevat:
  • Alleen verlengingsaanvragen kunnen via deze URL bij deze certificeringsinstantie worden ingediend.
  • Met AllowKeyBasedRenewal kunt u gebruik maken van een certificaat waarvoor geen gekoppeld account in de AD is gekoppeld. Dit is alleen van toepassing met de modi ClientCertificate en AllowRenewalsOnly .

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Geeft de Active Directory-certificeringsinstanties weer.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

Geeft de certificeringsinstanties voor inschrijvingsbeleid weer.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Geeft het inschrijvingsbeleid weer.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Hiermee worden cachevermeldingen voor het inschrijvingsbeleid weergegeven of verwijderd.

certutil [options] -PolicyCache [delete]

Where:

• Met Delete verwijdert u de cache-items van de beleidsserver.
• -f verwijdert alle cache-items

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

Hiermee worden vermeldingen in het referentiearchief weergegeven, toegevoegd of verwijderd.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL is de doel-URL. U kunt ook gebruiken * om alle vermeldingen te vinden of https://machine* om een URL-voorvoegsel te vinden.
• Add voegt een vermelding in de referentiewinkel toe. Voor het gebruik van deze optie is ook het gebruik van SSL-referenties vereist.
• Verwijderen verwijdert vermeldingen in de referentiewinkel.
• -f overschrijft een enkele invoer of verwijdert meerdere invoer.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Hiermee worden de standaardcertificaatsjablonen geïnstalleerd.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

Controleert certificaat- of CRL-URL's.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

Hiermee worden url-cachevermeldingen weergegeven of verwijderd.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL is de URL in het cachegeheugen.
• CRL wordt alleen uitgevoerd op alle CRL-URL's in de cache.
• * werkt op alle URL's in de cache.
• delete verwijdert relevante URL's uit de lokale cache van de huidige gebruiker.
• -f dwingt een specifieke URL op te halen en de cache bij te werken.

Options:

[-f] [-split]

-pulse

Pulseert een gebeurtenis voor automatische inschrijving of NGC-taak.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName is de taak die moet worden geactiveerd.
  • Pregen is de NGC Key pregen taak.
  • AIKEnroll is de inschrijvingstaak voor het NGC AIK-certificaat. (Standaard ingesteld op de gebeurtenis voor automatisch inschrijven).
• SRKThumbprint is de vingerafdruk van de Storage Root Key
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Geeft informatie weer over het Active Directory-machineobject.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Geeft informatie weer over de domeincontroller. De standaardinstelling geeft DC-certificaten weer zonder verificatie.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-EntInfo

Geeft informatie weer over een certificeringsinstantie voor ondernemingen.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

Geeft informatie weer over de certificeringsinstantie.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Geeft informatie weer over de smartcard.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET verwijdert alle sleutels op de smartcard.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Beheert basiscertificaten voor smartcards.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

Geeft een lijst weer van de sleutels die zijn opgeslagen in een sleutelcontainer.

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName is de naam van de sleutelcontainer voor de sleutel die moet worden geverifieerd. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• Het gebruik van het - teken verwijst naar het gebruik van de standaardsleutelcontainer.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Hiermee verwijdert u de benoemde sleutelcontainer.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Hiermee verwijdert u de Windows Hello-container, waarbij alle bijbehorende referenties worden verwijderd die zijn opgeslagen op het apparaat, inclusief webauthn- en FIDO-referenties.

Gebruikers moeten zich afmelden nadat ze deze optie hebben gebruikt om deze te voltooien.

certutil [options] -DeleteHelloContainer

-verifykeys

Hiermee wordt een openbare of persoonlijke sleutelset geverifieerd.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName is de naam van de sleutelcontainer voor de sleutel die moet worden geverifieerd. Deze optie wordt standaard ingesteld op computersleutels. Als u wilt overschakelen naar gebruikerssleutels, gebruikt u -user.
• CACertFile ondertekent of versleutelt certificaatbestanden.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• Als er geen argumenten zijn opgegeven, wordt elk handtekening-CA-certificaat geverifieerd op basis van de persoonlijke sleutel.
• Deze bewerking kan alleen worden uitgevoerd op basis van een lokale CA of lokale sleutels.

-verify

Controleert een certificaat, certificaatintrekkingslijst (CRL) of certificaatketen.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile is de naam van het certificaat dat moet worden geverifieerd.
• ApplicationPolicyList is de optionele door komma's gescheiden lijst met vereiste Application Policy ObjectIds.
• IssuancePolicyList is de optionele door komma's gescheiden lijst met vereiste Issuance Policy ObjectIds.
• CACertFile is het optionele CA-certificaat dat u kunt verifiëren.
• CrossedCACertFile is het optionele certificaat dat door CertFile is gecertificeerd.
• CRLFile is het CRL-bestand dat wordt gebruikt om het CACertFile te verifiëren.
• IssuedCertFile is het optioneel uitgegeven certificaat dat wordt gedekt door het CRLfile.
• DeltaCRLFile is het optionele delta-CRL-bestand.
• Modifiers:
  • Sterk - Sterke handtekeningverificatie
  • MSRoot - Moet worden gekoppeld aan een Microsoft-hoofdmap
  • MSTestRoot - Moet worden gekoppeld aan een Microsoft-testhoofdmap
  • AppRoot : moet worden gekoppeld aan de hoofdmap van een Microsoft-toepassing
  • EV - Uitgebreide validatiebeleid afdwingen

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• Als u ApplicationPolicyList gebruikt, wordt het bouwen van ketens beperkt tot alleen ketens die geldig zijn voor het opgegeven toepassingsbeleid.
• Als u IssuancePolicyList gebruikt, wordt het bouwen van ketens beperkt tot alleen ketens die geldig zijn voor het opgegeven uitgiftebeleid.
• Met CACertFile worden de velden in het bestand geverifieerd aan de hand van CertFile of CRLfile.
• Als CACertFile niet is opgegeven, wordt de volledige keten gebouwd en geverifieerd aan de hand van CertFile.
• Als CACertFile en CrossedCACertFile beide zijn opgegeven, worden de velden in beide bestanden geverifieerd aan de hand van CertFile.
• Met IssuedCertFile worden de velden in het bestand geverifieerd aan de hand van CRLfile.
• Met DeltaCRLFile worden de velden in het bestand geverifieerd aan de hand van CertFile.

-verifyCTL

Controleert of de CTL voor verificatieroot of niet-toegestane certificaten is toegestaan.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identificeert de CTL die moet worden geverifieerd, waaronder:

  • AuthRootWU leest de AuthRoot CAB en overeenkomende certificaten uit de URL-cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
  • DisallowedWU leest de CAB voor niet-toegestane certificaten en het bestand voor het niet-toegestane certificaatarchief uit de URL-cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
    • PinRulesWU leest de PinRules CAB uit de URL-cache. Gebruik -f in plaats daarvan om te downloaden van Windows Update.
  • AuthRoot leest de AuthRoot CTL in het register. Gebruik met -f en een niet-vertrouwd CertFile om de in het register opgeslagen AuthRoot - en niet-toegestane certificaat-CTL's te forceren om te worden bijgewerkt.
  • Afgestaan leest de CTL voor niet-toegestane certificaten in het register. Gebruik met -f en een niet-vertrouwd CertFile om de in het register opgeslagen AuthRoot - en niet-toegestane certificaat-CTL's te forceren om te worden bijgewerkt.
    • PinRules leest het register in de cache van PinRules CTL. Het gebruik -f gedraagt zich hetzelfde als bij PinRulesWU.
  • CTLFileName geeft het bestand of http-pad naar het CTL- of CAB-bestand op.

• CertDir geeft de map op met certificaten die overeenkomen met de CTL-vermeldingen. Hiermee wordt standaard dezelfde map of website gebruikt als het CTLobject. Voor het gebruik van een HTTP-mappad is een padscheidingsteken aan het einde vereist. Als u AuthRoot of Afgestaan niet opgeeft, wordt er op meerdere locaties gezocht naar overeenkomende certificaten, waaronder lokale certificaatarchieven, crypt32.dll resources en de lokale URL-cache. Gebruik -f deze optie om, indien nodig, te downloaden van Windows Update.

• CertFile specificeert de certificaten die moeten worden gecontroleerd. Certificaten worden vergeleken met CTL-vermeldingen, waarbij de resultaten worden weergegeven. Met deze optie wordt de meeste standaarduitvoer onderdrukt.

Options:

[-f] [-user] [-split]

-syncWithWU

Hiermee worden certificaten gesynchroniseerd met Windows Update.

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir is de opgegeven map.
• f dwingt een overschrijven af.
• Unicode schrijft omgeleide uitvoer in Unicode.
• gmt geeft tijden weer als GMT.
• Seconden geeft tijden weer met seconden en milliseconden.
• V is een uitgebreide bewerking.
• De pincode is de pincode van de smartcard.
• WELL_KNOWN_SID_TYPE is een numerieke SID:
  • 22 - Lokaal systeem
  • 23 - Lokale service
  • 24 - Netwerkservice

Remarks

De volgende bestanden worden gedownload met behulp van het mechanisme voor automatische updates:

• authrootstl.cab bevat de CTL's van niet-Microsoft basiscertificaten.
• disallowedcertstl.cab bevat de CTL's van niet-vertrouwde certificaten.
• disallowedcert.sst bevat het geserialiseerde certificaatarchief, inclusief de niet-vertrouwde certificaten.
• thumbprint.crt bevat de niet-Microsoft basiscertificaten.

Bijvoorbeeld: certutil -syncWithWU \\server1\PKI\CTLs.

• Als u een niet-bestaand lokaal pad of een niet-bestaande map als doelmap gebruikt, wordt de volgende fout weergegeven: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• Als u een niet-bestaande of niet-beschikbare netwerklocatie als doelmap gebruikt, ziet u de volgende fout: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• Als uw server geen verbinding kan maken via TCP-poort 80 met Microsoft Automatic Update-servers, krijgt u de volgende fout: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• Als uw server de Microsoft Automatic Update-servers met de DNS-naam ctldl.windowsupdate.comniet kan bereiken, ontvangt u de volgende fout: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• Als u de -f schakeloptie niet gebruikt en een van de CTL-bestanden al in de map bestaat, treedt er een fout op bij het bestand: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• Als er een wijziging is in de vertrouwde basiscertificaten, ziet u: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Hiermee wordt een archiefbestand gegenereerd dat is gesynchroniseerd met Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile is het .sst bestand dat moet worden gegenereerd en dat de rootsgroepen van derden bevat die zijn gedownload van Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

Hiermee wordt een CTL-bestand (Certificate Trust List) gegenereerd dat een lijst met regels voor vastmaken bevat.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile is het XML-invoerbestand dat moet worden geparseerd.
• CTLFile is het CTL-uitvoerbestand dat moet worden gegenereerd.
• SSTFile is het optionele .sst bestand dat moet worden gemaakt en dat alle certificaten bevat die worden gebruikt voor het vastzetten.
• QueryFilesPrefix zijn optionele Domains.csv en Keys.csv bestanden die moeten worden gemaakt voor databasequery's.
  • De tekenreeks QueryFilesPrefix wordt voorafgegaan aan elk gemaakt bestand.
  • Het Domains.csv bestand bevat regelnamen en domeinrijen.
  • Het Keys.csv bestand bevat regelnaam, sleutel SHA256 vingerafdrukrijen.

Options:

[-f]

-downloadOcsp

Hiermee worden de OCSP-antwoorden gedownload en naar de map geschreven.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir is de directory van een certificaat, opslag en PFX-bestanden.
• OcspDir is de directory om OCSP-antwoorden te schrijven.
• ThreadCount is het optionele maximum aantal threads voor gelijktijdig downloaden. De standaardwaarde is 10.
• Modifiers zijn door komma's gescheiden lijsten van een of meer van de volgende:
  • DownloadOnce - Downloadt één keer en wordt afgesloten.
  • ReadOcsp - Leest van OcspDir in plaats van te schrijven.

-generateHpkpHeader

Hiermee genereert u de HPKP-header met behulp van certificaten in een opgegeven bestand of map.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir is het bestand of de map met certificaten, de bron van pin-sha256.
• MaxAge is de maximale leeftijdswaarde in seconden.
• ReportUri is de optionele report-uri.
• Modifiers zijn door komma's gescheiden lijsten van een of meer van de volgende:
  • includeSubDomains - Voegt de includeSubDomains toe.

-flushCache

Hiermee worden de opgegeven caches in het geselecteerde proces leeggemaakt, zoals lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId is de numerieke ID van een proces dat moet worden doorgespoeld. Stel in op 0 om alle processen te spoelen waarvoor spoelen is ingeschakeld.

• CacheMask is het bitmasker van caches die moeten worden geleegd, hetzij numeriek of de volgende bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers zijn door komma's gescheiden lijsten van een of meer van de volgende:

  • Tonen - Toont de caches die worden geleegd. Certutil moet expliciet worden beëindigd.

-addEccCurve

Hiermee voegt u een ECC-curve toe.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass is het type ECC Curve Class:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is de naam van de ECC-curve.

• CurveParameters zijn een van de volgende:

  • Een certificaatbestand met ASN-gecodeerde parameters.
  • Een bestand met ASN-gecodeerde parameters.

• CurveOID is de ECC Curve OID en is een van de volgende:

  • Een certificaatbestand met een ASN-gecodeerde OID.
  • Een expliciete ECC-curve-OID.

• CurveType is het Schannel ECC NamedCurve-punt (numeriek).

Options:

[-f]

-deleteEccCurve

Hiermee verwijdert u de ECC-curve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName is de naam van de ECC-curve.
• CurveOID is de ECC Curve OID.

Options:

[-f]

-displayEccCurve

Geeft de ECC-curve weer.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName is de naam van de ECC-curve.
• CurveOID is de ECC Curve OID.

Options:

[-f]

-csplist

Geeft een lijst weer van de cryptografische serviceproviders (CSP's) die op deze computer zijn geïnstalleerd voor cryptografische bewerkingen.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

Test de CSP's die op deze computer zijn geïnstalleerd.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Geeft cryptografische CNG-configuratie weer op deze computer.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

Ondertekent een certificaatintrekkingslijst (CRL) of certificaat opnieuw.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList is de door komma's gescheiden lijst met certificaat- of CRL-bestanden die moeten worden gewijzigd en opnieuw moeten worden ondertekend.

• SerialNumber is het serienummer van het certificaat dat u wilt maken. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• CRL maakt een lege CRL. De geldigheidsperiode en andere opties kunnen niet aanwezig zijn.

• OutFileList is de door komma's gescheiden lijst met gewijzigde certificaat- of CRL-uitvoerbestanden. Het aantal bestanden moet overeenkomen met de inbestandslijst.

• StartDate+dd:hh is de nieuwe geldigheidsperiode voor de certificaat- of CRL-bestanden, waaronder:

  • optionele datum plus
  • optionele dagen en uren geldigheidsperiode Als er meerdere velden worden gebruikt, gebruikt u een (+) of (-) scheidingsteken. Gebruik now[+dd:hh] dit om te beginnen op het huidige tijdstip. Gebruik now-dd:hh+dd:hh dit om te beginnen bij een vaste verschuiving van de huidige tijd en een vaste geldigheidsperiode. Gebruik never dit om geen vervaldatum te hebben (alleen voor CRL's).

• SerialNumberList is de door komma's gescheiden lijst met serienummers van de bestanden die u wilt toevoegen of verwijderen.

• ObjectIdList is de door komma's gescheiden extensie ObjectId-lijst van de bestanden die u wilt verwijderen.

• @ExtensionFile is het INF-bestand dat de extensies bevat die moeten worden bijgewerkt of verwijderd. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is de naam van het hash-algoritme. Dit mag alleen de tekst zijn die wordt voorafgegaan door het # teken.

• AlternateSignatureAlgorithm is de specificatie van het algoritme voor alternatieve handtekeningen.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• Als u het minteken (-) gebruikt, worden serienummers en extensies verwijderd.
• Met het plusteken (+) worden serienummers aan een CRL toegevoegd.
• U kunt een lijst gebruiken om zowel serienummers als ObjectIds tegelijkertijd uit een CRL te verwijderen.
• Als u het minteken vóór AlternateSignatureAlgorithm gebruikt, kunt u de verouderde handtekeningindeling gebruiken.
• Met het plusteken kunt u de alternatieve handtekeningindeling gebruiken.
• Als u AlternateSignatureAlgorithm niet opgeeft, wordt de handtekeningindeling in het certificaat of de CRL gebruikt.

-vroot

Hiermee maakt of verwijdert u virtuele webmappen en bestandsshares.

certutil [options] -vroot [delete]

-vocsproot

Hiermee maakt of verwijdert u virtuele webmappen voor een OCSP-webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Voegt indien nodig een inschrijvingsservertoepassing en toepassingsgroep toe voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatinschrijvingsserver, waaronder:

  • Kerberos maakt gebruik van SSL-inloggegevens van Kerberos.
  • Gebruikersnaam gebruikt een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-inloggegevens van X.509 Certificate.

• Modifiers:

  • Met AllowRenewalsOnly kunnen alleen verlengingsaanvragen via de URL worden ingediend bij de certificeringsinstantie.
  • Met AllowKeyBasedRenewal kunt u gebruik maken van een certificaat zonder gekoppeld account in Active Directory. Dit is van toepassing bij gebruik in de modus ClientCertificate en AllowRenewalsOnly .

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

Hiermee verwijdert u een inschrijvingsservertoepassing en toepassingsgroep indien nodig voor de opgegeven certificeringsinstantie. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer vereist dat u een verificatiemethode gebruikt voor de clientverbinding met de certificaatinschrijvingsserver, waaronder:
  • Kerberos maakt gebruik van SSL-inloggegevens van Kerberos.
  • Gebruikersnaam gebruikt een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-inloggegevens van X.509 Certificate.

Options:

[-config Machine\CAName]

-addPolicyServer

Voeg indien nodig een beleidsservertoepassing en toepassingsgroep toe. Met deze opdracht worden geen binaire bestanden of pakketten geïnstalleerd.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• Voor addPolicyServer moet u een verificatiemethode gebruiken voor de clientverbinding met de certificaatbeleidsserver, waaronder:
  • Kerberos maakt gebruik van SSL-inloggegevens van Kerberos.
  • Gebruikersnaam gebruikt een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-inloggegevens van X.509 Certificate.
• KeyBasedRenewal maakt het gebruik mogelijk van beleid dat naar de client wordt geretourneerd en dat sjablonen voor keybasedrenewal bevat. Deze optie is alleen van toepassing op verificatie van gebruikersnamen en clientcertificaten .

-deletePolicyServer

Hiermee verwijdert u een beleidsservertoepassing en toepassingsgroep, indien nodig. Met deze opdracht worden binaire bestanden of pakketten niet verwijderd.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• Voor deletePolicyServer moet u een verificatiemethode gebruiken voor de clientverbinding met de certificaatbeleidsserver, waaronder:
  • Kerberos maakt gebruik van SSL-inloggegevens van Kerberos.
  • Gebruikersnaam gebruikt een benoemd account voor SSL-referenties.
  • ClientCertificate maakt gebruik van SSL-inloggegevens van X.509 Certificate.
• KeyBasedRenewal maakt het gebruik van een KeyBasedRenewal-beleidsserver mogelijk.

-Class

Geeft COM-registergegevens weer.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

Controleert het certificaat op 0x7f lengtecoderingen.

certutil [options] -7f CertFile

-oid

Geeft de object-id weer of stelt een weergavenaam in.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId is de ID die moet worden weergegeven of die moet worden toegevoegd aan de weergavenaam.
• GroupId is het GroupID-nummer (decimaal) dat door ObjectIds wordt opgesomd.
• AlgId is de hexadecimale ID die objectID opzoekt.
• AlgorithmName is de algoritmenaam die objectID opzoekt.
• DisplayName geeft de naam weer die u in DS wilt opslaan.
• Met Delete wordt de weergavenaam verwijderd.
• LanguageId is de waarde van de taal-ID (standaard op huidig: 1033).
• Type is het type DS-object dat u wilt maken, waaronder:
  • 1 - Sjabloon (standaard)
  • 2 - Uitgiftebeleid
  • 3 - Toepassingsbeleid
• -f maakt een DS-object.

Options:

[-f]

-error

Geeft de berichttekst weer die is gekoppeld aan een foutcode.

certutil [options] -error ErrorCode

-getsmtpinfo

Hiermee haalt u SMTP-gegevens (Simple Mail Transfer Protocol) op.

certutil [options] -getsmtpinfo

-setsmtpinfo

Hiermee stelt u SMTP-gegevens in.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

Geeft een registerwaarde weer.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca gebruikt de registersleutel van een certificeringsinstantie.
• voor herstel wordt gebruikgemaakt van de registersleutel voor herstel van de certificeringsinstantie.
• Beleid maakt gebruik van de registersleutel van de beleidsmodule.
• Afsluiten maakt gebruik van de registersleutel van de eerste afsluitmodule.
• Sjabloon gebruikt de registersleutel van de sjabloon (gebruik voor -user gebruikerssjablonen).
• Inschrijven maakt gebruik van de registersleutel voor inschrijving (gebruiken -user voor gebruikerscontext).
• Chain maakt gebruik van de registersleutel voor ketenconfiguratie.
• PolicyServers maakt gebruik van de registersleutel van Policy Servers.
• ProgId gebruikt de ProgID (naam van de registersubsleutel) van de beleids- of afsluitmodule.
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* om het voorvoegsel te matchen).
• Waarde maakt gebruik van de nieuwe registerwaarde of bestandsnaam voor numerieke gegevens, tekenreeksen of datums. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.
• Registry aliases:
  • Config
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptografie\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Hiermee stelt u een registerwaarde in.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca gebruikt de registersleutel van een certificeringsinstantie.
• voor herstel wordt gebruikgemaakt van de registersleutel voor herstel van de certificeringsinstantie.
• Beleid maakt gebruik van de registersleutel van de beleidsmodule.
• Afsluiten maakt gebruik van de registersleutel van de eerste afsluitmodule.
• Sjabloon gebruikt de registersleutel van de sjabloon (gebruik voor -user gebruikerssjablonen).
• Inschrijven maakt gebruik van de registersleutel voor inschrijving (gebruiken -user voor gebruikerscontext).
• Chain maakt gebruik van de registersleutel voor ketenconfiguratie.
• PolicyServers maakt gebruik van de registersleutel van Policy Servers.
• ProgId gebruikt de ProgID (naam van de registersubsleutel) van de beleids- of afsluitmodule.
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* om het voorvoegsel te matchen).
• Waarde maakt gebruik van de nieuwe registerwaarde of bestandsnaam voor numerieke gegevens, tekenreeksen of datums. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.

-delreg

Hiermee verwijdert u een registerwaarde.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca gebruikt de registersleutel van een certificeringsinstantie.
• voor herstel wordt gebruikgemaakt van de registersleutel voor herstel van de certificeringsinstantie.
• Beleid maakt gebruik van de registersleutel van de beleidsmodule.
• Afsluiten maakt gebruik van de registersleutel van de eerste afsluitmodule.
• Sjabloon gebruikt de registersleutel van de sjabloon (gebruik voor -user gebruikerssjablonen).
• Inschrijven maakt gebruik van de registersleutel voor inschrijving (gebruiken -user voor gebruikerscontext).
• Chain maakt gebruik van de registersleutel voor ketenconfiguratie.
• PolicyServers maakt gebruik van de registersleutel van Policy Servers.
• ProgId gebruikt de ProgID (naam van de registersubsleutel) van de beleids- of afsluitmodule.
• RegistryValueName gebruikt de naam van de registerwaarde (gebruik Name* om het voorvoegsel te matchen).
• Waarde maakt gebruik van de nieuwe registerwaarde of bestandsnaam voor numerieke gegevens, tekenreeksen of datums. Als een numerieke waarde begint met + of -, worden de bits die zijn opgegeven in de nieuwe waarde ingesteld of gewist in de bestaande registerwaarde.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• Als een tekenreekswaarde begint met + of -en de bestaande waarde een REG_MULTI_SZ waarde is, wordt de tekenreeks toegevoegd aan of verwijderd uit de bestaande registerwaarde. Als u het maken van een REG_MULTI_SZ waarde wilt afdwingen, voegt u dit toe \n aan het einde van de tekenreekswaarde.
• Als de waarde begint met \@, is de rest van de waarde de naam van het bestand met de hexadecimale tekstweergave van een binaire waarde.
• Als het niet verwijst naar een geldig bestand, wordt het in plaats daarvan geparseerd als [Date][+|-][dd:hh] een optionele datum plus of min optionele dagen en uren.
• Als beide zijn opgegeven, gebruikt u een plusteken (+) of minteken (-). Gebruiken now+dd:hh voor een datum ten opzichte van de huidige tijd.
• Gebruik i64 dit als achtervoegsel om een REG_QWORD waarde te maken.
• Gebruik chain\chaincacheresyncfiletime @now dit om CRL's in cache effectief leeg te maken.
• Registry aliases:
  • Config
  • CA
  • Beleid - PolicyModules
  • Afsluiten - ExitModules
  • Herstellen - RestoreInProgress
  • Sjabloon - Software\Microsoft\Cryptography\CertificateTemplateCache
  • Inschrijven - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - Software\Microsoft\Cryptografie\MSCEP
  • Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - System\CurrentControlSet\Services\crypt32
  • NGC - System\CurrentControlSet\Control\Cryptography\Ngc
  • AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - Software\Microsoft\Policies\PassportForWork

-importKMS

Hiermee importeert u gebruikerssleutels en certificaten in de serverdatabase voor sleutelarchivering.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile is een gegevensbestand met persoonlijke sleutels en certificaten van gebruikers die moeten worden gearchiveerd. Dit bestand kan het volgende zijn:
  • Een KMS-exportbestand (Exchange Key Management Server).
  • Een PFX-bestand.
• CertId is een matchtoken voor het ontsleutelingscertificaat van het KMS-exportbestand. Zie de -store parameter in dit artikel voor meer informatie.
• -f importeert certificaten die niet zijn uitgegeven door de certificeringsinstantie.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Hiermee importeert u een certificaatbestand in de database.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow importeert het certificaat in plaats van een aanvraag in behandeling voor dezelfde sleutel.
• -f importeert certificaten die niet zijn uitgegeven door de certificeringsinstantie.

Options:

[-f] [-config Machine\CAName]

Remarks

De certificeringsinstantie moet mogelijk ook worden geconfigureerd om externe certificaten te ondersteunen door uit te voeren certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Hiermee haalt u een gearchiveerde blob voor herstel van persoonlijke sleutels op, genereert u een herstelscript of herstelt u gearchiveerde sleutels.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• Script genereert een script voor het ophalen en herstellen van sleutels (standaardgedrag als er meerdere overeenkomende herstelkandidaten worden gevonden of als het uitvoerbestand niet is opgegeven).
• retrieve haalt een of meer Key Recovery Blobs op (standaardgedrag als er precies één overeenkomende herstelkandidaat wordt gevonden en als het uitvoerbestand is opgegeven). Met deze optie wordt elke extensie afgekapt en wordt de certificaatspecifieke tekenreeks en de .rec extensie toegevoegd voor elke sleutelherstelblob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• Herstel haalt en herstelt privésleutels in één stap (vereist Key Recovery Agent-certificaten en privésleutels). Met deze optie kapt u alle extensies af en voegt u de .p12 extensie toe. Elk bestand bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als EEN PFX-bestand.
• SearchToken selecteert de sleutels en certificaten die moeten worden hersteld, waaronder:
  • Algemene naam van certificaat
  • Serienummer van certificaat
  • Sha-1-hash van certificaat (vingerafdruk)
  • Sha-1-hash van certificaatsleutel (onderwerpsleutel-id)
  • Naam van aanvrager (domein\gebruiker)
  • UPN (user@domain)
• RecoveryBlobOutFile voert een bestand uit met een certificaatketen en een bijbehorende persoonlijke sleutel, die nog steeds zijn versleuteld naar een of meer Key Recovery Agent-certificaten.
• OutputScriptFile voert een bestand uit met een batchscript om privésleutels op te halen en te herstellen.
• OutputFileBaseName voert een bestandsbasisnaam uit.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• Voor het ophalen wordt elke extensie afgekapt en wordt een certificaatspecifieke tekenreeks en de .rec extensies toegevoegd voor elke sleutelherstelblob. Elk bestand bevat een certificaatketen en een bijbehorende persoonlijke sleutel, nog steeds versleuteld met een of meer sleutelherstelagentcertificaten.
• Voor herstel wordt elke extensie afgekapt en wordt de .p12 extensie toegevoegd. Bevat de herstelde certificaatketens en de bijbehorende persoonlijke sleutels, opgeslagen als een PFX-bestand.

-RecoverKey

Herstelt een gearchiveerde persoonlijke sleutel.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Hiermee worden PFX-bestanden samengevoegd.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList is een door komma's gescheiden lijst van PFX-invoerbestanden.
• PFXOutFile is de naam van het PFX-uitvoerbestand.
• Modifiers zijn door komma's gescheiden lijsten van een of meer van de volgende:
  • ExtendedProperties omvat alle uitgebreide eigenschappen.
  • NoEncryptCert geeft aan dat de certificaten niet mogen worden versleuteld.
  • EncryptCert geeft aan dat de certificaten moeten worden versleuteld.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• Het wachtwoord dat op de opdrachtregel is opgegeven, moet een door komma's gescheiden wachtwoordlijst zijn.
• Als er meer dan één wachtwoord is opgegeven, wordt het laatste wachtwoord gebruikt voor het uitvoerbestand. Als er slechts één wachtwoord is opgegeven of als het laatste wachtwoord is *, wordt de gebruiker gevraagd om het wachtwoord van het uitvoerbestand.

-add-chain

Hiermee voegt u een certificaatketen toe.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

Hiermee voegt u een keten vooraf certificaat toe.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

Hiermee haalt u een ondertekende boomstructuurkop op.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

Hiermee worden wijzigingen in de hoofdstructuur aangebracht.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

Hiermee wordt bewijs van een hash opgehaald van een tijdstempelserver.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

Hiermee worden vermeldingen opgehaald uit een gebeurtenislogboek.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

Haalt de basiscertificaten op uit het certificaatarchief.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

Haalt een gebeurtenislogboekvermelding en het bijbehorende cryptografische bewijs op.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

Controleert een certificaat op basis van het certificaattransparantielogboek.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

Geeft de lijst met parameters weer.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? geeft de lijst met parameters weer
• -<name_of_parameter> -? geeft help-inhoud weer voor de opgegeven parameter.
• -? -v geeft een uitgebreide lijst met parameters en opties weer.

Options

In deze sectie worden alle opties gedefinieerd die u kunt opgeven, op basis van de opdracht. Elke parameter bevat informatie over welke opties geldig zijn voor gebruik.

Hash-algoritmen: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Related links

Zie de volgende artikelen voor meer voorbeelden van het gebruik van deze opdracht:

• Active Directory Certificate Services (AD CS)
• Certutil-taken voor het beheren van certificaten
• Vertrouwde basiscertificaten en niet-toegestane certificaten configureren in Windows