通过

certutil

Caution

Certutil 不建议在任何生产代码中使用,也不提供实时站点支持或应用程序兼容性的任何保证。 它是开发人员和 IT 管理员用来查看设备上的证书内容信息的工具。

Certutil.exe 是作为证书服务的一部分安装的命令行程序。 可以使用 certutil.exe 显示证书颁发机构(CA)配置信息、配置证书服务以及备份和还原 CA 组件。 该计划还会验证证书、密钥对和证书链。

如果在 certutil 没有其他参数的证书颁发机构上运行,则会显示当前的证书颁发机构配置。 如果在 certutil 没有其他参数的非证书颁发机构上运行,则命令默认为运行该 certutil -dump 命令。 并非所有版本的 certutil 都提供本文档介绍的所有参数和选项。 可以通过运行 certutil -?certutil <parameter> -?查看 certutil 版本提供的选项。

Tip

若要查看所有 certutil 谓词和选项的完整帮助,包括从 -? 参数中隐藏的选项,请运行 certutil -v -uSAGE。 开关 uSAGE 区分大小写。

Parameters

-dump

转储配置信息或文件。

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

转储 PFX 结构。

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

使用抽象语法表示法(ASN.1)语法分析和显示文件的内容。 文件类型包括 。CER, .DER 和 PKCS #7 格式化文件。

certutil [options] -asn File [type]
  • [type]:数值CRYPT_STRING_* 解码类型

-decodehex

解码十六进制编码的文件。

certutil [options] -decodehex InFile OutFile [type]
  • [type]:数值CRYPT_STRING_* 解码类型

Options:

[-f]

-encodehex

以十六进制形式对文件进行编码。

certutil [options] -encodehex InFile OutFile [type]
  • [type]:numeric CRYPT_STRING_* 编码类型

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

解码 Base64 编码的文件。

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

将文件编码为 Base64。

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

拒绝挂起的请求。

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

重新提交挂起的请求。

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

设置挂起的证书请求的属性。

certutil [options] -setattributes RequestId AttributeString

Where:

  • RequestId 是挂起请求的数字请求 ID。
  • AttributeString 是请求属性名称和值对。

Options:

[-config Machine\CAName]

Remarks

  • 名称和值必须以冒号分隔,而多个名称和值对必须以换行符分隔。 例如: CertificateTemplate:User\nEMail:User@Domain.com 序列 \n 转换为换行符的位置。

-setextension

为挂起的证书请求设置扩展。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

  • requestID 是挂起请求的数字请求 ID。
  • ExtensionName 是扩展的 ObjectId 字符串。
  • Flags 设置扩展的优先级。 0 建议在将扩展设置为关键时 1 禁用 2 扩展,同时同时禁用扩展,同时 3 同时禁用两者。

Options:

[-config Machine\CAName]

Remarks

  • 如果最后一个参数是数字,则将其视为 Long
  • 如果最后一个参数可以解析为日期,则将其视为 Date
  • 如果最后一个参数以 开头, \@则令牌的其余部分将作为包含二进制数据的文件名或 ASCII 文本十六进制转储。
  • 如果最后一个参数是任何其他参数,则将其视为字符串。

-revoke

吊销证书。

certutil [options] -revoke SerialNumber [Reason]

Where:

  • SerialNumber 是要吊销的证书序列号的逗号分隔列表。
  • 原因 是吊销原因的数字或符号表示形式,包括:
    • 0. CRL_REASON_UNSPECIFIED - 未指定(默认)
    • 1. CRL_REASON_KEY_COMPROMISE - 密钥泄露
    • 2. CRL_REASON_CA_COMPROMISE - 证书颁发机构泄露
    • 3. CRL_REASON_AFFILIATION_CHANGED - 隶属关系已更改
    • 4. CRL_REASON_SUPERSEDED - 被取代
    • 5. CRL_REASON_CESSATION_OF_OPERATION - 停止运营
    • 6. CRL_REASON_CERTIFICATE_HOLD - 证书保留
    • 8. CRL_REASON_REMOVE_FROM_CRL - 从 CRL 中删除
    • 9:CRL_REASON_PRIVILEGE_WITHDRAWN - 特权被撤销
    • 10:CRL_REASON_AA_COMPROMISE - AA 折衷
    • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

显示当前证书的处置。

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

获取默认配置字符串。

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

通过 ICertGetConfig 获取默认配置字符串。

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

通过 ICertConfig 获取配置。

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

尝试联系 Active Directory 证书服务请求接口。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

  • CAMachineList 是一个以逗号分隔的 CA 计算机名称列表。 对于单个计算机,请使用终止逗号。 此选项还显示每个 CA 计算机的站点成本。

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

尝试联系 Active Directory 证书服务管理界面。

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

显示有关证书颁发机构的信息。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

  • InfoName 指示要显示的 CA 属性,基于以下 infoname 参数语法:
    • * - 显示所有属性
    • 广告 - 高级服务器
    • 友邦保险 [索引] - 友邦保险网址
    • cdp [索引] - CDP URL
    • cert [索引] - CA cert
    • certchain [索引] - CA 证书链
    • certcount - CA 证书计数
    • certcrlchain [索引] - 带有 CRL 的 CA 证书链
    • certstate [索引] - CA 证书
    • certstatuscode [索引] - CA 证书验证状态
    • certversion [索引] - CA 证书版本
    • CRL [索引] - 基本 CRL
    • crlstate [索引] - CRL
    • crlstatus [索引] - CRL 发布状态
    • cross- [索引] - 向后交叉证书
    • cross+ [索引] - 正向交叉证书
    • crossstate- [索引] - 向后交叉证书
    • crossstate+ [索引] - 正向交叉证书
    • deltacrl [索引] - Delta CRL
    • deltacrlstatus [索引] - Delta CRL 发布状态
    • dns - DNS 名称
    • dsname - 经过清理的 CA 短名称(DS 名称)
    • error1 ErrorCode - 错误消息文本
    • error2 ErrorCode - 错误消息文本和错误代码
    • exit [Index] - 退出模块说明
    • exitcount - 退出模块计数
    • file - 文件版本
    • info - CA 信息
    • kra [索引] - KRA cert
    • kracount - KRA 证书计数
    • krastate [索引] - KRA 证书
    • kraused - KRA 证书使用计数
    • localename - CA 区域设置名称
    • name - CA 名称
    • ocsp [索引] - OCSP URL
    • parent - 父 CA
    • policy - 策略模块说明
    • 产品 - 产品版本
    • propidmax - 最大 CA PropId
    • role - 角色分离
    • sanitizedname - 经过清理的 CA 名称
    • sharedfolder - 共享文件夹
    • subjecttemplateoids - 主题模板 OID
    • templates - 模板
    • type - CA 类型
    • xchg [索引] - CA 交换证书
    • xchgchain [索引] - CA 交换证书链
    • xchgcount - CA 交换证书计数
    • xchgcrlchain [索引] - 带有 CRL 的 CA 交换证书链
  • index 是可选的从零开始的属性索引。
  • errorcode 是数字错误代码。

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

显示 CA 属性类型信息。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

检索证书颁发机构的证书。

certutil [options] -ca.cert OutCACertFile [Index]

Where:

  • OutCACertFile 是输出文件。
  • 索引 是 CA 证书续订索引(默认为最新)。

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

检索证书颁发机构的证书链。

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

  • OutCACertChainFile 是输出文件。
  • 索引 是 CA 证书续订索引(默认为最新)。

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

获取证书吊销列表(CRL)。

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

  • Index 是 CRL 索引或键索引(最近键默认为 CRL)。
  • delta 是增量 CRL(默认值为基本 CRL)。

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

发布新的证书吊销列表(CRL)或增量 CRL。

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

  • dd:hh 是新的 CRL 有效期,以天和小时为单位。
  • 重新发布 重新发布最新的 CRL。
  • delta 仅发布增量 CRL(默认值为 base 和 delta CRL)。

Options:

[-split] [-config Machine\CAName]

-shutdown

关闭 Active Directory 证书服务。

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

安装证书颁发机构证书。

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

续订证书颁发机构证书。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]
  • 用于 -f 忽略未完成的续订请求并生成新请求。

-schema

转储证书的架构。

certutil [options] -schema [Ext | Attrib | CRL]

Where:

  • 该命令默认为“请求”和“证书”表。
  • Ext 是扩展表。
  • 属性 是属性表。
  • CRL 是 CRL 表。

Options:

[-split] [-config Machine\CAName]

-view

转储证书视图。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

  • 队列 转储特定的请求队列。
  • 日志转 储已颁发或吊销的证书,以及任何失败的请求。
  • LogFail 转储失败的请求。
  • Revoked 转储已吊销的证书。
  • Ext 转储扩展表。
  • Attrib 转储属性表。
  • CRL 转储 CRL 表。
  • csv 使用逗号分隔值提供输出。

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

  • 要显示所有条目的 StatusCode 列,请键入 -out StatusCode
  • 若要显示最后一个条目的所有列,请键入: -restrict RequestId==$
  • 若要显示三个请求的 RequestId处置 ,请键入: -restrict requestID>=37,requestID<40 -out requestID,disposition
  • 要显示所有基本 CRL 的行 ID 行 IDCRL 编号 ,请键入: -restrict crlminbase=0 -out crlrowID,crlnumber crl
  • 若要显示基本 CRL 数字 3,请键入: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
  • 若要显示整个 CRL 表,请键入: CRL
  • 用于 Date[+|-dd:hh] 日期限制。
  • 用于 now+dd:hh 相对于当前时间的日期。
  • 模板包含扩展密钥用法(EKU),它们是描述证书使用方式的对象标识符(OID)。 证书并不总是包括模板公用名或显示名称,但它们始终包含模板 EKU。 可以从 Active Directory 中提取特定证书模板的 EKU,然后基于该扩展限制视图。

-db

转储原始数据库。

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

从服务器数据库中删除行。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

  • 请求根据 提交日期删除失败和挂起的请求。
  • 证书 根据到期日期删除过期和吊销的证书。
  • Ext 删除扩展表。
  • Attrib 删除属性表。
  • CRL 删除 CRL 表。

Options:

[-f] [-config Machine\CAName]

Examples

  • 若要删除在 2001 年 1 月 22 日之前提交的失败和挂起的请求,请键入: 1/22/2001 request
  • 若要删除在 2001 年 1 月 22 日到期的所有证书,请键入: 1/22/2001 cert
  • 若要删除 RequestID 37 的证书行、属性和扩展,请键入: 37
  • 若要删除在 2001 年 1 月 22 日到期的 CRL,请键入: 1/22/2001 crl

Note

例如1/22/200122/1/2001日期需要格式而不是 mm/dd/yyyydd/mm/yyyy,而不是 2001 年 1 月 22 日。 如果服务器未配置美国区域设置,则使用 Date 参数可能会产生意外结果。

-backup

备份 Active Directory 证书服务。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

  • BackupDirectory 是存储备份数据的目录。
  • 增量仅 执行增量备份(默认为完整备份)。
  • KeepLog 保留数据库日志文件(默认是截断日志文件)。

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

备份 Active Directory 证书服务数据库。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

  • BackupDirectory 是存储备份数据库文件的目录。
  • 增量仅 执行增量备份(默认为完整备份)。
  • KeepLog 保留数据库日志文件(默认是截断日志文件)。

Options:

[-f] [-config Machine\CAName]

-backupkey

备份 Active Directory 证书服务证书和私钥。

certutil [options] -backupkey BackupDirectory

Where:

  • BackupDirectory 是用于存储备份的 PFX 文件的目录。

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

还原 Active Directory 证书服务。

certutil [options] -restore BackupDirectory

Where:

  • BackupDirectory 是包含要恢复的数据的目录。

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

还原 Active Directory 证书服务数据库。

certutil [options] -restoredb BackupDirectory

Where:

  • BackupDirectory 是包含要恢复的数据库文件的目录。

Options:

[-f] [-config Machine\CAName]

-restorekey

还原 Active Directory 证书服务证书和私钥。

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

  • BackupDirectory 是包含要还原的 PFX 文件的目录。
  • PFXFile 是要还原的 PFX 文件。

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

导出证书和私钥。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

  • CertificateStoreName 是证书存储的名称。
  • CertId 是证书或 CRL 匹配令牌。
  • PFXFile 是要导出的 PFX 文件。
  • 修饰符 是逗号分隔的列表,可以包含以下一项或多项:
    • CryptoAlgorithm= 指定用于加密 PFX 文件的加密算法,例如 TripleDES-Sha1Aes256-Sha256
    • EncryptCert - 使用密码加密与证书关联的私有密钥。
    • ExportParameters 除了证书和私钥之外,还 -Exports 私钥参数。
    • ExtendedProperties - 在输出文件中包括与证书关联的所有扩展属性。
    • NoEncryptCert - 导出私有密钥而不加密它。
    • NoChain - 不导入证书链。
    • NoRoot - 不导入根证书。

-importPFX

导入证书和私钥。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

  • CertificateStoreName 是证书存储的名称。
  • PFXFile 是要导入的 PFX 文件。
  • 修饰符 是逗号分隔的列表,可以包含以下一项或多项:
    • AT_KEYEXCHANGE - 将 keyspec 更改为 key exchange。
    • AT_SIGNATURE - 将 keyspec 更改为签名。
    • ExportEncrypted - 导出与具有密码加密的证书关联的私有密钥。
    • FriendlyName= - 指定导入证书的友好名称。
    • KeyDescription= - 指定与导入的证书关联的私钥的描述。
    • KeyFriendlyName= - 指定与导入证书关联的私钥的友好名称。
    • NoCert - 不导入证书。
    • NoChain - 不导入证书链。
    • NoExport - 使私钥不可导出。
    • NoProtect - 不使用密码对密钥进行密码保护。
    • NoRoot - 不导入根证书。
    • Pkcs8 - 对 PFX 文件中的私钥使用 PKCS8 格式。
    • 保护 - 使用密码保护密钥。
    • ProtectHigh - 指定必须将高安全性密码与私密钥关联。
    • VSM - 将与导入的证书关联的私有密钥存储在虚拟智能卡 (VSC) 容器中。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

  • 默认为个人计算机存储。

-dynamicfilelist

显示动态文件列表。

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

显示数据库位置。

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

通过文件生成并显示加密哈希。

certutil [options] -hashfile InFile [HashAlgorithm]

-store

转储证书存储。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

  • CertificateStoreName 是证书存储名称。 For example:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId 是证书或 CRL 匹配令牌。 此 ID 可以是:

    • Serial number
    • SHA-1 certificate
    • CRL、CTL 或公钥哈希
    • 数字证书索引(0、1 等)
    • 数值 CRL 索引 (.0、.1 等)
    • 数字 CTL 索引 (..0, ..1 等)
    • Public key
    • 签名或扩展 ObjectId
    • 证书使用者公用名
    • E-mail address
    • UPN 或 DNS 名称
    • 密钥容器名称或 CSP 名称
    • 模板名称或 ObjectId
    • EKU 或应用程序策略 ObjectId
    • CRL 颁发者公用名。

其中许多标识符可能会导致多个匹配。

  • OutputFile 是用于保存匹配证书的文件。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • 此选项 -user 访问用户存储而不是计算机存储。
  • -enterprise 选项访问计算机企业存储。
  • -service 选项访问计算机服务存储。
  • -grouppolicy 选项访问计算机组策略存储。

For example:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Note

使用 -store 参数时观察到性能问题,这两个方面如下:

  1. 当存储中的证书数超过 10 时。
  2. 指定 CertId 后,它用于匹配每个证书列出的所有类型。 例如,如果提供了 序列号 ,它还将尝试匹配列出的所有其他类型。

如果担心性能问题,建议在 PowerShell 命令中仅匹配指定的证书类型。

-enumstore

枚举证书存储。

certutil [options] -enumstore [\\MachineName]

Where:

  • MachineName 是远程计算机名称。

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

将证书添加到存储区。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -addstore CertificateStoreName InFile

Where:

  • CertificateStoreName 是证书存储名称。
  • InFile 是要添加到存储的证书或 CRL 文件。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

从存储中删除证书。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -delstore CertificateStoreName certID

Where:

  • CertificateStoreName 是证书存储名称。
  • CertId 是证书或 CRL 匹配令牌。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

验证存储中的证书。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

  • CertificateStoreName 是证书存储名称。
  • CertId 是证书或 CRL 匹配令牌。

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

修复密钥关联或更新证书属性或密钥安全描述符。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

  • CertificateStoreName 是证书存储名称。

  • CertIdList 是证书或 CRL 匹配令牌的逗号分隔列表。 有关详细信息,请参阅 -store 本文中的 CertId 说明。

  • PropertyInfFile 是包含外部属性的 INF 文件,包括:

    [Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

转储证书存储。 有关详细信息,请参阅 -store 本文中的参数。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

  • CertificateStoreName 是证书存储名称。 For example:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId 是证书或 CRL 匹配令牌。 这可以是:

    • Serial number
    • SHA-1 certificate
    • CRL、CTL 或公钥哈希
    • 数字证书索引(0、1 等)
    • 数值 CRL 索引 (.0、.1 等)
    • 数字 CTL 索引 (..0, ..1 等)
    • Public key
    • 签名或扩展 ObjectId
    • 证书使用者公用名
    • E-mail address
    • UPN 或 DNS 名称
    • 密钥容器名称或 CSP 名称
    • 模板名称或 ObjectId
    • EKU 或应用程序策略 ObjectId
    • CRL 颁发者公用名。

其中许多可能会导致多个匹配。

  • OutputFile 是用于保存匹配证书的文件。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • 此选项 -user 访问用户存储而不是计算机存储。
  • -enterprise 选项访问计算机企业存储。
  • -service 选项访问计算机服务存储。
  • -grouppolicy 选项访问计算机组策略存储。

For example:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

从存储中删除证书。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

  • CertificateStoreName 是证书存储名称。 For example:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)

  • CertId 是证书或 CRL 匹配令牌。 这可以是:

    • Serial number
    • SHA-1 certificate
    • CRL、CTL 或公钥哈希
    • 数字证书索引(0、1 等)
    • 数值 CRL 索引 (.0、.1 等)
    • 数字 CTL 索引 (..0, ..1 等)
    • Public key
    • 签名或扩展 ObjectId
    • 证书使用者公用名
    • E-mail address
    • UPN 或 DNS 名称
    • 密钥容器名称或 CSP 名称
    • 模板名称或 ObjectId
    • EKU 或应用程序策略 ObjectId
    • CRL 颁发者公用名。

其中许多可能会导致多个匹配。

  • OutputFile 是用于保存匹配证书的文件。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • 此选项 -user 访问用户存储而不是计算机存储。
  • -enterprise 选项访问计算机企业存储。
  • -service 选项访问计算机服务存储。
  • -grouppolicy 选项访问计算机组策略存储。

For example:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

调用 certutil 接口。

certutil [options] -UI File [import]

-TPMInfo

显示受信任的平台模块信息。

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

指定应证明证书请求文件。

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

从选择 UI 中选择证书。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

显示目录服务(DS)可分辨名称(DN)。

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

删除 DS DN。

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

将证书或证书吊销列表(CRL)发布到 Active Directory。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

  • CertFile 是要发布的证书文件的名称。
  • NTAuthCA 将证书发布到 DS Enterprise 存储。
  • RootCA 将证书发布到 DS Trusted Root 存储。
  • SubCA 将 CA 证书发布到 DS CA 对象。
  • CrossCA 将交叉证书发布到 DS CA 对象。
  • KRA 将证书发布到 DS Key Recovery Agent 对象。
  • 用户 将证书发布到用户 DS 对象。
  • 计算机 将证书发布到计算机 DS 对象。
  • CRLfile 是要发布的 CRL 文件的名称。
  • DSCDPContainer 是 DS CDP 容器 CN,通常是 CA 机器名称。
  • DSCDPCN 是基于经过清理的 CA 短名称和密钥索引的 DS CDP 对象 CN。

Options:

[-f] [-user] [-dc DCName]
  • 用于 -f 创建新的 DS 对象。

-dsCert

显示 DS 证书。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

显示 DS CRL。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

显示 DS 增量 CRL。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

显示 DS 模板属性。

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

添加 DS 模板。

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

显示 Active Directory 模板。

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

显示证书注册策略模板。

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

显示证书模板的证书颁发机构(CA)。

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

显示证书颁发机构的模板。

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

设置证书颁发机构可以颁发的证书模板。

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

  • + 符号将证书模板添加到 CA 的可用模板列表中。
  • - 签名从 CA 的可用模板列表中删除证书模板。

-SetCASites

管理站点名称,包括设置、验证和删除证书颁发机构站点名称。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

  • 仅当面向单个证书颁发机构时,才允许使用 SiteName

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

  • -config 选项面向单个证书颁发机构(默认值为所有 CA)。
  • -f 选项可用于替代指定 SiteName 的验证错误或删除所有 CA 站点名称。

Note

有关为 Active Directory 域服务(AD DS)站点感知配置 CA 的详细信息,请参阅 AD CS 和 PKI 客户端的 AD DS 站点感知

-enrollmentServerURL

显示、添加或删除与 CA 关联的注册服务器 URL。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

  • AuthenticationType 在添加 URL 时指定以下客户端身份验证方法之一:
    • Kerberos - 使用 Kerberos SSL 凭据。
    • 用户名 - 将命名帐户用于 SSL 凭据。
    • ClientCertificate - 使用 X.509 证书 SSL 凭据。
    • 匿名 - 使用匿名 SSL 凭据。
  • delete 删除与 CA 关联的指定 URL。
  • 如果添加 URL 时未指定,则优先默认为。1
  • 修饰符是一个 逗号分隔的列表,其中包括以下一项或多项:
    • AllowRenewalsOnly 只能通过此 URL 向此 CA 提交续订请求。
    • AllowKeyBasedRenewal 允许使用 AD 中没有关联帐户的证书。 这仅适用于 ClientCertificateAllowRenewalsOnly 模式。

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

显示 Active Directory 证书颁发机构。

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

显示注册策略证书颁发机构。

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

显示注册策略。

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

显示或删除注册策略缓存条目。

certutil [options] -PolicyCache [delete]

Where:

  • delete 删除策略服务器缓存条目。
  • -f 删除所有缓存条目

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

显示、添加或删除凭据存储项。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

  • URL 是目标 URL。 还可以用于 * 匹配所有条目或 https://machine* 匹配 URL 前缀。
  • 添加 添加凭据存储条目。 使用此选项还需要使用 SSL 凭据。
  • delete 删除凭据存储条目。
  • -f 覆盖单个条目或删除多个条目。

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

安装默认证书模板。

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

验证证书或 CRL URL。

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

显示或删除 URL 缓存条目。

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

  • URL 是缓存的 URL。
  • CRL 仅在所有缓存的 CRL URL 上运行。
  • * 对所有缓存的 URL 执行作。
  • delete 从当前用户的本地缓存中删除相关 URL。
  • -f 强制获取特定 URL 并更新缓存。

Options:

[-f] [-split]

-pulse

脉冲自动注册事件或 NGC 任务。

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

  • TaskName 是要触发的任务。
    • Pregen 是NGC Key的预生成任务。
    • AIKEnroll 是 NGC AIK 证书注册任务。 (默认为自动注册事件)。
  • SRKThumbprint 是存储根密钥的指纹
  • Modifiers:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

Options:

[-user]

-MachineInfo

显示有关 Active Directory 计算机对象的信息。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

显示有关域控制器的信息。 默认值显示未验证的 DC 证书。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

  • Modifiers:

    • Verify
    • DeleteBad
    • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tip

Windows Server 2012 中添加了指定 Active Directory 域服务 (AD DS) 域 [Domain] 和指定域控制器 (-dc) 的功能。 若要成功运行该命令,必须使用属于 域管理员企业管理员成员的帐户。 此命令的行为修改如下所示:

  • 如果未指定域且未指定特定域控制器,则此选项返回要从默认域控制器进行处理的域控制器列表。
  • 如果未指定域,但指定了域控制器,则会生成指定域控制器上的证书报告。
  • 如果指定了域,但未指定域控制器,则会生成域控制器列表以及列表中每个域控制器的证书报告。
  • 如果指定了域和域控制器,则会从目标域控制器生成域控制器列表。 还会生成列表中每个域控制器的证书报告。

例如,假设有一个名为 CPANDL 的域,其域控制器名为 CPANDL-DC1。 可以运行以下命令,从 CPANDL-DC1 检索域控制器及其证书的列表: certutil -dc cpandl-dc1 -DCInfo cpandl

-EntInfo

显示有关企业证书颁发机构的信息。

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

显示有关证书颁发机构的信息。

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

显示有关智能卡的信息。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

  • CRYPT_DELETEKEYSET 删除智能卡上的所有密钥。

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

管理智能卡根证书。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

列出密钥容器中存储的密钥。

certutil [options] -key [KeyContainerName | -]

Where:

  • KeyContainerName 是要验证的密钥的密钥容器名称。 此选项默认为计算机密钥。 若要切换到用户密钥,请使用 -user
  • 使用 - 符号是指使用默认密钥容器。

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

删除命名的密钥容器。

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

删除 Windows Hello 容器,删除设备上存储的所有关联凭据,包括任何 WebAuthn 和 FIDO 凭据。

用户使用此选项完成后需要注销。

certutil [options] -DeleteHelloContainer

-verifykeys

验证公钥或私钥集。

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

  • KeyContainerName 是要验证的密钥的密钥容器名称。 此选项默认为计算机密钥。 若要切换到用户密钥,请使用 -user
  • CACertFile 对证书文件进行签名或加密。

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

  • 如果未指定任何参数,则会根据其私钥验证每个签名 CA 证书。
  • 此作只能针对本地 CA 或本地密钥执行。

-verify

验证证书、证书吊销列表(CRL)或证书链。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

  • CertFile 是要验证的证书的名称。
  • ApplicationPolicyList 是所需应用程序策略 ObjectId 的可选逗号分隔列表。
  • IssuancePolicyList 是所需颁发策略 ObjectId 的可选逗号分隔列表。
  • CACertFile 是要验证的可选颁发 CA 证书。
  • CrossedCACertFile 是由 CertFile 交叉认证的可选证书。
  • CRLFile 是用于验证 CACertFile 的 CRL 文件。
  • IssuedCertFile 是 CRLfile 涵盖的可选颁发证书。
  • DeltaCRLFile 是可选的增量 CRL 文件。
  • Modifiers:
    • 强 - 强签名验证
    • MSRoot - 必须链接到Microsoft根
    • MSTestRoot - 必须链接到Microsoft测试根
    • AppRoot - 必须链接到Microsoft应用程序根
    • EV - 强制实施扩展验证策略

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

  • 使用 ApplicationPolicyList 将链构建限制为仅对指定应用程序策略有效的链。
  • 使用 IssuancePolicyList 将链构建限制为仅对指定发行策略有效的链。
  • 使用 CACertFile 根据 CertFileCRLfile 验证文件中的字段。
  • 如果未指定 CACertFile ,则会根据 CertFile 生成和验证完整链。
  • 如果同时指定了 CACertFileCrossedCACertFile ,则将根据 CertFile 验证两个文件中的字段。
  • 使用 IssuedCertFile 根据 CRLfile 验证文件中的字段。
  • 使用 DeltaCRLFile 根据 CertFile 验证文件中的字段。

-verifyCTL

验证 AuthRoot 或不允许的证书 CTL。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

  • CTLObject 标识要验证的 CTL,包括:

    • AuthRootWU 从 URL 缓存中读取 AuthRoot CAB 和匹配的证书。 用于 -f 改为从 Windows 更新下载。
    • DisallowedWU 从 URL 缓存中读取不允许的证书 CAB 和不允许的证书存储文件。 用于 -f 改为从 Windows 更新下载。
      • PinRulesWU 从 URL 缓存中读取 PinRules CAB。 用于 -f 改为从 Windows 更新下载。
    • AuthRoot 读取注册表缓存的 AuthRoot CTL。 使用 -f 和 不受信任的 CertFile 强制更新注册表缓存的 AuthRoot 和不允许的证书 CTL。
    • 不允许 读取注册表缓存的不允许证书 CTL。 使用 -f 和 不受信任的 CertFile 强制更新注册表缓存的 AuthRoot 和不允许的证书 CTL。
      • PinRules 读取注册表缓存的 PinRules CTL。 使用 -f 的行为与 PinRulesWU 相同。
    • CTLFileName 指定 CTL 或 CAB 文件的文件或 http 路径。

  • CertDir 指定包含与 CTL 条目匹配的证书的文件夹。 默认为与 CTL对象相同的文件夹或网站。 使用 http 文件夹路径需要在末尾使用路径分隔符。 如果未指定 AuthRootDisallowed,则会在多个位置搜索匹配的证书,包括本地证书存储、crypt32.dll 资源和本地 URL 缓存。 用于 -f 根据需要从 Windows 更新下载。

  • CertFile 指定要验证的证书 () 。 证书与 CTL 条目匹配,显示结果。 此选项禁止大多数默认输出。

Options:

[-f] [-user] [-split]

-syncWithWU

将证书与 Windows 更新同步。

certutil [options] -syncWithWU DestinationDir

Where:

  • DestinationDir 是指定的目录。
  • f 强制覆盖。
  • Unicode 用 Unicode 写入重定向的输出。
  • gmt 将时间显示为 GMT。
  • 以秒和毫秒显示时间。
  • v 是一个冗长的作。
  • PIN 是智能卡 PIN。
  • WELL_KNOWN_SID_TYPE 是一个数字 SID:
    • 22 - 本地系统
    • 23 - 本地服务
    • 24 - 网络服务

Remarks

使用以下自动更新机制下载以下文件:

  • authrootstl.cab 包含非Microsoft根证书的 CTL。
  • disallowedcertstl.cab 包含不受信任的证书的 CTL。
  • disallowedcert.sst 包含序列化证书存储,包括不受信任的证书。
  • thumbprint.crt 包含非 Microsoft 根证书。

例如,certutil -syncWithWU \\server1\PKI\CTLs

  • 如果使用不存在的本地路径或文件夹作为目标文件夹,则会看到错误: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • 如果使用不存在或不可用的网络位置作为目标文件夹,则会看到错误: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • 如果服务器无法通过 TCP 端口 80 连接到Microsoft自动更新服务器,则会收到以下错误: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • 如果服务器无法使用 DNS 名称 ctldl.windowsupdate.com访问Microsoft自动更新服务器,则会收到以下错误: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • 如果不使用该 -f 开关,并且目录中已存在任何 CTL 文件,则会收到文件存在错误: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • 如果受信任的根证书发生了更改,则会看到: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

生成与 Windows 更新同步的存储文件。

certutil [options] -generateSSTFromWU SSTFile

Where:

  • SSTFile 是要生成的文件 .sst ,其中包含从 Windows 更新下载的第三方根。

Options:

[-f] [-split]

-generatePinRulesCTL

生成包含固定规则列表的证书信任列表 (CTL) 文件。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

  • XMLFile 是要解析的输入 XML 文件。
  • CTLFile 是要生成的输出 CTL 文件。
  • SSTFile 是要创建的可选 .sst 文件,其中包含用于固定的所有证书。
  • QueryFilesPrefix 是可选的 Domains.csvKeys.csv 要为数据库查询创建的文件。
    • QueryFilesPrefix 字符串位于每个创建的文件前面。
    • Domains.csv 文件包含规则名称、域行。
    • Keys.csv 文件包含规则名称、键 SHA256 指纹行。

Options:

[-f]

-downloadOcsp

下载 OCSP 响应并写入目录。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

  • CertificateDir 是证书、存储和 PFX 文件的目录。
  • OcspDir 是写入 OCSP 响应的目录。
  • ThreadCount 是并发下载的可选最大线程数。 默认值为 10
  • 修饰符 是以下一项或多项的逗号分隔列表:
    • DownloadOnce - 下载一次并退出。
    • ReadOcsp - 从 OcspDir 读取而不是写入。

-generateHpkpHeader

使用指定文件或目录中的证书生成 HPKP 标头。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

  • CertFileOrDir 是证书的文件或目录,它是 pin-sha256 的源。
  • MaxAge 是以秒为单位的 max-age 值。
  • ReportUri 是可选的 report-uri。
  • 修饰符 是以下一项或多项的逗号分隔列表:
    • includeSubDomains - 附加 includeSubDomains。

-flushCache

刷新所选进程中的指定缓存,例如 lsass.exe。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

  • ProcessId 是要刷新的进程的数字 ID。 设置为 0 可刷新启用刷新的所有进程。

  • CacheMask 是要刷新的缓存的位掩码,可以是数字位还是以下位:

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

  • 修饰符 是以下一项或多项的逗号分隔列表:

    • 显示 - 显示正在刷新的缓存。 必须显式终止 Certutil。

-addEccCurve

添加 ECC 曲线。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

  • CurveClass 是 ECC 曲线类类型:

    • WEIERSTRASS (Default)
    • MONTGOMERY
    • TWISTED_EDWARDS

  • CurveName 是 ECC 曲线名称。

  • CurveParameters 是以下选项之一:

    • 包含 ASN 编码参数的证书文件名。
    • 包含 ASN 编码参数的文件。

  • CurveOID 是 ECC 曲线 OID,是以下之一:

    • 包含 ASN 编码的 OID 的证书文件名。
    • 显式 ECC 曲线 OID。

  • CurveType 是 Schannel ECC NamedCurve 点 (数字) 。

Options:

[-f]

-deleteEccCurve

删除 ECC 曲线。

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

  • CurveName 是 ECC 曲线名称。
  • CurveOID 是 ECC 曲线 OID。

Options:

[-f]

-displayEccCurve

显示 ECC 曲线。

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

  • CurveName 是 ECC 曲线名称。
  • CurveOID 是 ECC 曲线 OID。

Options:

[-f]

-csplist

列出此计算机上安装的用于加密作的加密服务提供商(CSP)。

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

测试此计算机上安装的 CSP。

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

在此计算机上显示 CNG 加密配置。

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

重新对证书吊销列表(CRL)或证书进行签名。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

  • InFileList 是要修改和重新签名的证书或 CRL 文件的逗号分隔列表。

  • SerialNumber 是要创建的证书的序列号。 有效期和其他选项不存在。

  • CRL 创建一个空的 CRL。 有效期和其他选项不存在。

  • OutFileList 是已修改的证书或 CRL 输出文件的逗号分隔列表。 文件数必须与文件列表匹配。

  • StartDate+dd:hh 是证书或 CRL 文件的新有效期,包括:

    • 可选日期加
    • 可选天数和小时有效期(如果使用多个字段),请使用 (+) 或 (-) 分隔符。 用于 now[+dd:hh] 从当前时间开始。 用于 now-dd:hh+dd:hh 从当前时间和固定有效期的固定偏移量开始。 用于 never 没有到期日期(仅适用于 CRL)。

  • SerialNumberList 是要添加或删除的文件的逗号分隔序列号列表。

  • ObjectIdList 是要删除的文件的逗号分隔扩展名 ObjectId 列表。

  • @ExtensionFile 是包含要更新或删除的扩展名的 INF 文件。 For example:

    [Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

  • HashAlgorithm 是哈希算法的名称。 这必须是符号前面的文本 #

  • AlternateSignatureAlgorithm 是备用签名算法说明符。

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

  • 使用减号 (-) 可删除序列号和扩展。
  • 使用加号 (+) 将序列号添加到 CRL。
  • 您可以使用列表同时从 CRL 中删除序列号和 ObjectId。
  • AlternateSignatureAlgorithm 之前使用减号允许您使用旧签名格式。
  • 使用加号,可以使用备用签名格式。
  • 如果未指定 AlternateSignatureAlgorithm,则使用证书或 CRL 中的签名格式。

-vroot

创建或删除 Web 虚拟根和文件共享。

certutil [options] -vroot [delete]

-vocsproot

为 OCSP Web 代理创建或删除 Web 虚拟根。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

根据需要为指定的证书颁发机构添加注册服务器应用程序和应用程序池。 此命令不会安装二进制文件或包。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

  • addEnrollmentServer 要求您使用身份验证方法进行客户端连接到证书注册服务器,包括:

    • Kerberos 使用 Kerberos SSL 凭据。
    • UserName 将命名帐户用于 SSL 凭据。
    • ClientCertificate 使用 X.509 证书 SSL 凭据。

  • Modifiers:

    • AllowRenewalsOnly 仅允许通过 URL 向证书颁发机构提交续订请求。
    • AllowKeyBasedRenewal 允许在 Active Directory 中使用没有关联帐户的证书。 这适用于与 ClientCertificateAllowRenewalsOnly 模式一起使用时。

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

如有必要,删除指定的证书颁发机构的注册服务器应用程序和应用程序池。 此命令不会安装二进制文件或包。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

  • deleteEnrollmentServer 要求您使用身份验证方法进行与证书注册服务器的客户端连接,包括:
    • Kerberos 使用 Kerberos SSL 凭据。
    • UserName 将命名帐户用于 SSL 凭据。
    • ClientCertificate 使用 X.509 证书 SSL 凭据。

Options:

[-config Machine\CAName]

-addPolicyServer

如有必要,请添加策略服务器应用程序和应用程序池。 此命令不会安装二进制文件或包。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

  • addPolicyServer 要求您使用一种身份验证方法来连接客户端到证书策略服务器,包括:
    • Kerberos 使用 Kerberos SSL 凭据。
    • UserName 将命名帐户用于 SSL 凭据。
    • ClientCertificate 使用 X.509 证书 SSL 凭据。
  • KeyBasedRenewal 允许使用返回给客户端的策略,其中包含 keybasedrenewal 模板。 此选项仅适用于 UserNameClientCertificate 身份验证。

-deletePolicyServer

如有必要,请删除策略服务器应用程序和应用程序池。 此命令不会删除二进制文件或包。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

  • deletePolicyServer 要求您使用身份验证方法进行客户端与证书策略服务器的连接,包括:
    • Kerberos 使用 Kerberos SSL 凭据。
    • UserName 将命名帐户用于 SSL 凭据。
    • ClientCertificate 使用 X.509 证书 SSL 凭据。
  • KeyBasedRenewal 允许使用 KeyBasedRenewal 策略服务器。

-Class

显示 COM 注册表信息。

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

检查证书是否0x7f长度编码。

certutil [options] -7f CertFile

-oid

显示对象标识符或设置显示名称。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

  • ObjectId 是要显示或添加到显示名称的 ID。
  • GroupId 是 ObjectId 枚举的 GroupID 编号(十进制)。
  • AlgId 是 objectID 查找的十六进制 ID。
  • AlgorithmName 是 objectID 查找的算法名称。
  • DisplayName 显示 要存储在 DS 中的名称。
  • 删除删除 显示名称。
  • LanguageId 是语言 ID 值(默认为当前:1033)。
  • 类型 是要创建的 DS 对象的类型,包括:
    • 1 - 模板(默认值)
    • 2 - 颁发策略
    • 3 - 应用程序策略
  • -f 创建 DS 对象。

Options:

[-f]

-error

显示与错误代码关联的消息文本。

certutil [options] -error ErrorCode

-getsmtpinfo

获取简单邮件传输协议 (SMTP) 信息。

certutil [options] -getsmtpinfo

-setsmtpinfo

设置 SMTP 信息。

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

显示注册表值。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

  • ca 使用证书颁发机构的注册表项。
  • restore 使用证书颁发机构的 restore 注册表项。
  • 策略 使用策略模块的注册表项。
  • exit 使用第一个 exit 模块的注册表项。
  • 模板 使用模板注册表项(用于 -user 用户模板)。
  • Enroll 使用注册注册表项(用于 -user 用户上下文)。
  • chain 使用链配置注册表项。
  • PolicyServers 使用策略服务器注册表项。
  • ProgId 使用策略或退出模块的 ProgID (注册表子项名称) 。
  • RegistryValueName 使用注册表值名称(用于 Name* 前缀匹配)。
  • value 使用新的数字、字符串或日期注册表值或文件名。 如果数值以 + 或新 -值开头,则会在现有注册表值中设置或清除新值中指定的位。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

  • 如果字符串值以 + 或 / -; 开头,并且现有值是一个 REG_MULTI_SZ 值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建 REG_MULTI_SZ 值,请 \n 添加到字符串值的末尾。
  • 如果值以 \@开头,则值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。
  • 如果未引用有效的文件,则会将其分析为 [Date][+|-][dd:hh] 可选日期加上或减去可选天数和小时数。
  • 如果同时指定了两者,请使用加号 (+) 或减号 (-) 分隔符。 用于 now+dd:hh 相对于当前时间的日期。
  • 用作 i64 后缀来创建REG_QWORD值。
  • 用于 chain\chaincacheresyncfiletime @now 有效刷新缓存的 CRL。
  • Registry aliases:
    • Config
    • CA
    • 策略 - PolicyModules
    • 退出 - ExitModules
    • 还原 - RestoreInProgress
    • 模板 - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 注册 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - 软件\Microsoft\Cryptography\MSCEP
    • 链 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - 系统\CurrentControlSet\Control\Cryptography\Ngc
    • 自动更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • 护照 - Software\Policies\Microsoft\PassportForWork
    • MDM - 软件\Microsoft\Policies\PassportForWork

-setreg

设置注册表值。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

  • ca 使用证书颁发机构的注册表项。
  • restore 使用证书颁发机构的 restore 注册表项。
  • 策略 使用策略模块的注册表项。
  • exit 使用第一个 exit 模块的注册表项。
  • 模板 使用模板注册表项(用于 -user 用户模板)。
  • Enroll 使用注册注册表项(用于 -user 用户上下文)。
  • chain 使用链配置注册表项。
  • PolicyServers 使用策略服务器注册表项。
  • ProgId 使用策略或退出模块的 ProgID (注册表子项名称) 。
  • RegistryValueName 使用注册表值名称(用于 Name* 前缀匹配)。
  • 值使用 新的数字、字符串或日期注册表值或文件名。 如果数值以 + 或新 -值开头,则会在现有注册表值中设置或清除新值中指定的位。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

  • 如果字符串值以 + 或 / -; 开头,并且现有值是一个 REG_MULTI_SZ 值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建 REG_MULTI_SZ 值,请 \n 添加到字符串值的末尾。
  • 如果值以 \@开头,则值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。
  • 如果未引用有效的文件,则会将其分析为 [Date][+|-][dd:hh] 可选日期加上或减去可选天数和小时数。
  • 如果同时指定了两者,请使用加号 (+) 或减号 (-) 分隔符。 用于 now+dd:hh 相对于当前时间的日期。
  • 用作 i64 后缀来创建REG_QWORD值。
  • 用于 chain\chaincacheresyncfiletime @now 有效刷新缓存的 CRL。

-delreg

删除注册表值。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

  • ca 使用证书颁发机构的注册表项。
  • restore 使用证书颁发机构的 restore 注册表项。
  • 策略 使用策略模块的注册表项。
  • exit 使用第一个 exit 模块的注册表项。
  • 模板 使用模板注册表项(用于 -user 用户模板)。
  • Enroll 使用注册注册表项(用于 -user 用户上下文)。
  • chain 使用链配置注册表项。
  • PolicyServers 使用策略服务器注册表项。
  • ProgId 使用策略或退出模块的 ProgID (注册表子项名称) 。
  • RegistryValueName 使用注册表值名称(用于 Name* 前缀匹配)。
  • Value 使用新的数字、字符串或日期注册表值或文件名。 如果数值以 + 或新 -值开头,则会在现有注册表值中设置或清除新值中指定的位。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

  • 如果字符串值以 + 或 / -; 开头,并且现有值是一个 REG_MULTI_SZ 值,则字符串将添加到现有注册表值或从现有注册表值中删除。 若要强制创建 REG_MULTI_SZ 值,请 \n 添加到字符串值的末尾。
  • 如果值以 \@开头,则值的其余部分是包含二进制值的十六进制文本表示形式的文件的名称。
  • 如果未引用有效的文件,则会将其分析为 [Date][+|-][dd:hh] 可选日期加上或减去可选天数和小时数。
  • 如果同时指定了两者,请使用加号 (+) 或减号 (-) 分隔符。 用于 now+dd:hh 相对于当前时间的日期。
  • 用作 i64 后缀来创建REG_QWORD值。
  • 用于 chain\chaincacheresyncfiletime @now 有效刷新缓存的 CRL。
  • Registry aliases:
    • Config
    • CA
    • 策略 - PolicyModules
    • 退出 - ExitModules
    • 还原 - RestoreInProgress
    • 模板 - Software\Microsoft\Cryptography\CertificateTemplateCache
    • 注册 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP - 软件\Microsoft\Cryptography\MSCEP
    • 链 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32 - System\CurrentControlSet\Services\crypt32
    • NGC - 系统\CurrentControlSet\Control\Cryptography\Ngc
    • 自动更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • 护照 - Software\Policies\Microsoft\PassportForWork
    • MDM - 软件\Microsoft\Policies\PassportForWork

-importKMS

将用户密钥和证书导入服务器数据库中进行密钥存档。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

  • UserKeyAndCertFile 是一个数据文件,其中包含要存档的用户私钥和证书。 此文件可以是:
    • Exchange 密钥管理服务器 (KMS) 导出文件。
    • PFX 文件。
  • CertId 是 KMS 导出文件解密证书匹配令牌。 有关详细信息,请参阅 -store 本文中的参数。
  • -f 导入证书颁发机构未颁发的证书。

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

将证书文件导入数据库。

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

  • ExistingRow 导入证书,以代替对同一密钥的挂起请求。
  • -f 导入证书颁发机构未颁发的证书。

Options:

[-f] [-config Machine\CAName]

Remarks

证书颁发机构可能还需要配置为通过运行 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN支持外国证书。

-GetKey

检索存档的私钥恢复 Blob、生成恢复脚本或恢复存档的密钥。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

  • script 生成一个脚本来检索和恢复密钥(如果找到多个匹配的恢复候选者,或者未指定输出文件,则为默认行为)。
  • retrieve 检索一个或多个密钥恢复 blob(如果恰好找到一个匹配的恢复候选者,并且指定了输出文件,则默认行为)。 使用此选项截断任何扩展,并为每个密钥恢复 Blob 追加特定于证书的 .rec 字符串和扩展。 每个文件都包含证书链和关联的私钥,仍然加密为一个或多个密钥恢复代理证书。
  • recover 一步检索和恢复私钥(需要密钥恢复代理证书和私钥)。 使用此选项截断任何扩展并追加 .p12 扩展。 每个文件都包含恢复的证书链和关联的私钥,存储为 PFX 文件。
  • SearchToken 选择要恢复的密钥和证书,包括:
    • 证书公用名
    • 证书序列号
    • 证书 SHA-1 哈希(指纹)
    • 证书 KeyId SHA-1 哈希(使用者密钥标识符)
    • 请求者名称(域\用户)
    • UPN (user@domain)
  • RecoveryBlobOutFile 输出一个文件,其中包含证书链和关联的私钥,仍加密为一个或多个密钥恢复代理证书。
  • OutputScriptFile 输出一个带有批处理脚本的文件,用于检索和恢复私有密钥。
  • OutputFileBaseName 输出文件基名称。

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

  • 对于 检索,将截断任何扩展,并为每个密钥恢复 blob 追加特定于证书的字符串和 .rec 扩展。 每个文件都包含证书链和关联的私钥,仍然加密为一个或多个密钥恢复代理证书。
  • 对于 recover,任何扩展名都将被截断并附加扩展名 .p12 。 包含已恢复的证书链和关联的私钥,存储为 PFX 文件。

-RecoverKey

恢复存档的私钥。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

合并 PFX 文件。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

  • PFXInFileList 是 PFX 输入文件的逗号分隔列表。
  • PFXOutFile 是 PFX 输出文件的名称。
  • 修饰符 是以下一项或多项的逗号分隔列表:
    • ExtendedProperties 包括任何扩展属性。
    • NoEncryptCert 指定不加密证书。
    • EncryptCert 指定加密证书。

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

  • 命令行中指定的密码必须是逗号分隔的密码列表。
  • 如果指定了多个密码,则最后一个密码用于输出文件。 如果只提供一个密码,或者最后一个密码是 *,系统会提示用户输入输出文件密码。

-add-chain

添加证书链。

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

添加预证书链。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

获取带符号的树头。

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

获取已签名的树头更改。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

从时间戳服务器获取哈希证明。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

从事件日志中检索条目。

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

从证书存储中检索根证书。

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

检索事件日志条目及其加密证明。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

根据证书透明度日志验证证书。

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

显示参数列表。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

  • -? 显示参数列表
  • -<name_of_parameter> -? 显示指定参数的帮助内容。
  • -? -v 显示参数和选项的详细列表。

选项

本部分根据命令定义能够指定的所有选项。 每个参数都包含有关哪些选项有效使用的信息。

Option Description
-admin 将 ICertAdmin2 用于 CA 属性。
-anonymous 使用匿名 SSL 凭据。
-cert CertId Signing certificate.
-clientcertificate clientCertId 使用 X.509 证书 SSL 凭据。 对于选择 UI,请使用 -clientcertificate
-config Machine\CAName 证书颁发机构和计算机名称字符串。
-csp provider Provider:
KSP - Microsoft 软件密钥存储提供商
TPM - Microsoft 平台加密提供程序
NGC - Microsoft Passport 密钥存储提供商
SC - Microsoft 智能卡密钥存储提供商
-dc DCName 面向特定的域控制器。
-enterprise 使用本地计算机企业注册表证书存储。
-f Force overwrite.
-generateSSTFromWU SSTFile 使用自动更新机制生成 SST。
-gmt 使用 GMT 显示时间。
-GroupPolicy 使用组策略证书存储。
-idispatch 使用 IDispatch 而不是 COM 本机方法。
-kerberos 使用 Kerberos SSL 凭据。
-location alternatestoragelocation (-loc) AlternateStorageLocation。
-mt 显示计算机模板。
-nocr 对不带 CR 字符的文本进行编码。
-nocrlf 在没有 CR-LF 字符的情况下对文本进行编码。
-nullsign 使用数据的哈希作为签名。
-oldpfx 使用旧的 PFX 加密。
-out columnlist 逗号分隔列列表。
-p password Password
-pin PIN 智能卡 PIN。
-policyserver URLorID 策略服务器 URL 或 ID。 对于选择 U/I,请使用 -policyserver。 对于所有策略服务器,请使用 -policyserver *
-privatekey 显示密码和私钥数据。
-protect 使用密码保护密钥。
-protectto SAMnameandSIDlist 逗号分隔的 SAM 名称/SID 列表。
-restrict restrictionlist 逗号分隔的限制列表。 每个限制都包含列名、关系运算符和常量整数、字符串或日期。 一个列名称可能前面有一个加号或减号来指示排序顺序。 例如:requestID = 47+requestername >= a, requestername-requestername > DOMAIN, Disposition = 21
-reverse 反向日志和队列列。
-seconds 使用秒和毫秒显示时间。
-service 使用服务证书存储。
-sid Numeric SID:
22 - 本地系统
23 - 本地服务
24 - 网络服务
-silent 使用 silent 标志获取加密上下文。
-split 拆分嵌入的 ASN.1 元素,并保存到文件。
-sslpolicy servername 与 ServerName 匹配的 SSL 策略。
-symkeyalg symmetrickeyalgorithm[,keylength] 具有可选密钥长度的对称密钥算法的名称。 例如:AES,1283DES
-syncWithWU DestinationDir 与 Windows 更新同步。
-t timeout URL 提取超时(以毫秒为单位)。
-Unicode 在 Unicode 中编写重定向输出。
-UnicodeText 在 Unicode 中写入输出文件。
-urlfetch 检索并验证 AIA 证书和 CDP CRL。
-user 使用HKEY_CURRENT_USER密钥或证书存储。
-username username 将命名帐户用于 SSL 凭据。 对于选择 UI,请使用 -username
-ut 显示用户模板。
-v 提供更详细的(详细)信息。
-v1 使用 V1 接口。

哈希算法:MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

有关如何使用此命令的更多示例,请参阅以下文章: