Table of contents
TOC
Collapse the table of content
Expand the table of content

certutil

Corey Plett|Última actualización: 05/12/2016
|
1 Colaborador

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Certutil.exe es un programa de línea de comandos que se instala como parte de los servicios de certificados. Certutil.exe volcar y mostrar información de configuración de entidad emisora de certificados (CA), configurar servicios de certificados, puedes usar una copia de seguridad y restaurar componentes de CA y comprobar certificados, pares de claves y cadenas de certificados. Cuando certutil se ejecuta en una entidad de certificación sin parámetros adicionales, se muestra la configuración actual de la entidad de certificación. Cuando cerutil se ejecuta en una entidad, el comando predeterminados ejecutando el certutil -volcado de memoria verbo.

Advertencia

Las versiones anteriores de certutil no pueden proporcionar todas las opciones que se describen en este documento. Puedes ver todas las opciones que proporciona una versión específica de certutil ejecutando los comandos se muestra en la anotaciones sintaxis sección.

Menú

Las secciones principales en este documento son:

  • verbos
  • Anotaciones de sintaxis
  • Opciones
  • Ejemplos de certutil adicionales ## verbos La siguiente tabla describe los verbos que pueden usarse con el comando certutil. |verbos|Descripción| |-----|--------| |-volcado de memoria|Información de configuración de volcado de memoria o archivos| |-asn|Analizar el archivo ASN.1| |-decodehex- decodehex|Descodificar el archivo de formato hexadecimal| |-descodificar|Descodificar un archivo codificado en Base64| |-codificar|Codificar un archivo a Base64| |-denegar|Denegar una solicitud de certificado pendiente| |-volver a enviar|Volver a enviar una solicitud de certificado pendiente| |-setattributes|Establecer los atributos de una solicitud de certificado pendiente| |-setextension|Establecer una extensión de una solicitud de certificado pendiente| |-revocar|Revocar un certificado| |-isvalid|Mostrar la disposición del certificado actual| |-getconfig|Obtener la cadena de configuración predeterminado| |-ping|Intenta ponerse en contacto con la interfaz de solicitud de servicios de certificados de active directory| |-pingadmin|Intenta ponerse en contacto con la interfaz de administración de servicios de certificados de active directory| |-CAInfo|Mostrar información acerca de la entidad de certificación| |-ca.cert|Recuperar el certificado de la entidad de certificación| |-ca.chain|Recupera la cadena de certificados para la entidad de certificación| |-GetCRL|Obtener una lista de revocación de certificados (CRL)| |-CRL|Publicar nuevas listas de revocación de certificados (CRL) [o solo CRL]| |-apagado|Active directory de apagado servicios de certificados| |-installCert|Instalar un certificado de entidad de certificación| |-renewCert|Renovar un certificado de entidad de certificación| |-esquema|Vuelca el esquema para el certificado| |-vista|La vista de certificado de volcado| |-db|La base de datos sin procesar de volcado| |-deleterow|Eliminar una fila de la base de datos del servidor| |-copia de seguridad|Copia de seguridad de servicios de certificados de active directory| |-backupDB|Copia de seguridad de la base de datos de servicios de certificados de active directory| |-backupKey|Copia de seguridad de la clave privada y certificados de servicios de certificados de active directory| |-restaurar|Restaurar los servicios de certificados de active directory| |-restoreDB|Restaurar la base de datos de servicios de certificados de active directory| |-restoreKey|Restaurar la clave privada y certificados de servicios de certificados de active directory| |-importPFX|Importar el certificado y la clave privada| |-dynamicfilelist|Mostrar una lista dinámica de archivos| |-databaselocations|Mostrar ubicaciones de la base de datos| |-hashfile|Generar y mostrar un hash criptográfico en un archivo| |-la tienda|Vuelca el almacén de certificados| |-addstore|Agregar un certificado a la tienda| |-delstore|Eliminar un certificado de la tienda| |-verifystore|Comprobar un certificado en la tienda| |-repairstore|Reparar una asociación de la clave o actualizar las propiedades de certificado o el descriptor de seguridad de claves| |-viewstore|Vuelca el almacén de certificados| |-viewdelstore|Eliminar un certificado de la tienda| |-dsPublish|Publicar un certificado o la lista de revocación de certificados (CRL) en active directory| |-ADTemplate|Plantillas de presentación de anuncios| |: Plantilla|Plantillas de certificado de la pantalla| |-TemplateCAs|Mostrar las entidades de certificación (CA) de una plantilla de certificado| |-Catemplates|Mostrar plantillas de entidad emisora de certificados| |-SetCASites|Administrar los nombres de sitio de entidades de certificación| |-enrollmentServerURL|Mostrar, agregar o eliminar direcciones URL de servidor de inscripción asociadas con una entidad de certificación| |-ADCA|Mostrar anuncios CA| |-CA|Mostrar entidades emisoras de certificados de directiva de inscripción| |-Policy|Mostrar la directiva de inscripción| |-PolicyCache|Mostrar o eliminar entradas de la caché de la directiva de inscripción| |-CredStore|Mostrar, agregar o eliminar entradas de almacén de credenciales| |-InstallDefaultTemplates|Instalar las plantillas de certificado predeterminadas| |-URLCache|Mostrar o eliminar entradas de caché de la dirección URL| |-impulso|Eventos de inscripción automática de pulso| |-MachineInfo|Mostrar información sobre el objeto de equipo de active directory| |-DCInfo|Mostrar información sobre el controlador de dominio| |-EntInfo|Mostrar información acerca de una CA de empresa| |-TCAInfo|Mostrar información acerca de la entidad de certificación| |-SCInfo|Mostrar información acerca de la tarjeta inteligente| |-SCRoots|Administrar certificados raíz de tarjeta inteligente| |-verifykeys|Comprobar un conjunto de clave público o privado| |-comprobar|Comprobar un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados| |-verifyCTL|Comprobar AuthRoot o no permitido CTL de certificados| |-inicio de sesión|Volver a firmar una lista de revocación de certificados (CRL) o un certificado| |-raíz virtual|Crear o eliminar raíces virtuales de web y recursos compartidos de archivos| |-vocsproot|Crear o eliminar raíces virtuales de web de un servidor proxy web de OCSP| |-addEnrollmentServer|Agregar una aplicación de servidor de inscripción| |-deleteEnrollmentServer|Eliminar una aplicación de servidor de inscripción| |-addPolicyServer|Agregar una aplicación de servidor de directivas| |-deletePolicyServer|Eliminar una aplicación de servidor de directivas| |-oid|Mostrar el identificador de objeto o establecer un nombre para mostrar| |-error|Mostrar el texto del mensaje asociado con un código de error| |-getreg|Mostrar un valor del registro| |-setreg|Establecer un valor del registro| |-delreg|Eliminar un valor del registro| |-importKMS|Importar certificados y claves de usuario en la base de datos de clave archivado| |-importCert|Importar un archivo de certificado a la base de datos| |-GetKey|Recuperar un blob de recuperación de claves privadas archivado| |-recoverKey|Recuperar una clave privada archivada| |-MergePFX|Combinar archivos PFX| |-convertEPF|Convertir un archivo PFX en un archivo EPF| |-?|Muestra la lista de verbos| |- -?|Muestra ayuda para el verbo especificado.| |-? -v|Muestra una lista completa de verbos y| Vuelve a menú ## Anotaciones de sintaxis
  • Para obtener la sintaxis básica de línea de comandos, ejecuta certutil -?
  • ¿Para obtener la sintaxis sobre el uso de certutil con un verbo específico, ejecutar certutil-?
  • Para enviar toda la sintaxis de certutil en un archivo de texto, ejecuta los siguientes comandos:
    • certutil -v -? > certutilhelp.txt
    • notepad certutilhelp.txt La siguiente tabla describe la notación utilizada para indicar la sintaxis de línea de comandos. |Notación|Descripción| |------|--------| |Mensaje de texto sin corchetes o llaves|Elementos que debes escribir como se muestra| ||Para el que debe proporcionar un valor de marcador de posición| |[Texto entre corchetes]|Elementos opcionales| |{Texto entre llaves}|Conjunto de elementos requeridos; elige una| |Barra vertical (& #124;)|Separador para elementos mutuamente exclusivos; elige una| |Puntos suspensivos)|Elementos que se pueden repetir| Vuelve a menú ## -volcado de memoria Certutil [Options] [-volcado] certutil [Options] [-volcado] información de configuración de volcado de memoria de archivo o archivos [-f] [-silenciosa] [-dividir] [-p contraseña] [-tiempo de espera de t] volver a menú ## -asn Asn - certutil [Options] [type] ASN.1 analizar el tipo de archivo del archivo: numérico CRYPT_STRING_ * descodificación escriba volver al menú ## -decodehex Decodehex - certutil [Options] [type] de salida de este argumento de tipo: tipo de codificación numérico CRYPT_STRING_ * [-f] volver a menú ## -descodificar Certutil [opciones-] descodificar el archivo codificado en Base64 de descodificación de salida de este argumento [-f] volver a menú ## -codificar Certutil [opciones-] codificar archivo este argumento archivo externo codificar en Base64 [-f] [-UnicodeText] volver a menú ## -denegar Certutil [opciones-] Denegar ID Denegar solicitud pendiente [-config Machine\CAName] volver a menú ## -volver a enviar Certutil [opciones-] volver a enviar ID volver a enviar solicitud pendiente [-config Machine\CAName] volver a menú ## -setattributes Certutil [Options] - setattributes ID cadenaAtributo establecer los atributos de solicitud pendiente pares de nombre y el valor del atributo ID - numérico Id. de solicitud de pendientes solicitud cadenaAtributo - solicitud
  • Los nombres y valores son dos puntos separados.
  • Nombre de varios pares de valores son nueva línea separado.
  • Ejemplo: "CertificateTemplate:User\nEMail: User@Domain.com"
  • Cada secuencia "\n" se convierte en un separador de nueva línea. [-config Machine\CAName] Vuelve a menú ## -setextension Certutil [Options] - setextension ID NombreExtensión indicadores {largo | fecha | Cadena | Se recomienda el 0 @InFile} conjunto extensión de solicitud cadena Id - ID numérico de solicitud de una solicitud pendiente NombreExtensión - Id. de objeto de las marcas de extensión - pendiente. 1 hace que la extensión crítica, 2, se deshabilita, 3 hace ambas cosas. Si el último parámetro es numérico, se considera una larga. Si se puede analizar como una fecha, se considera una fecha. Si se inicia con "@", el resto del token es el nombre de archivo que contiene datos binarios o un volcado hexadecimal de texto ascii. Cualquier otra cosa se ha extraído como una cadena. [-config Machine\CAName] Vuelve a [menú](certutil.md#BKMK_menu) ## <a name="BKMK_revoke">-revocar Certutil [opciones-] revocar el número de serie revocar de certificado de número de serie [motivo]: lista de números de serie del certificado para revocar motivo separada por comas: motivo de revocación numérico o simbólicos
  • 0: CRL_REASON_UNSPECifIED: no se especifica (predeterminado)
  • 1: CRL_REASON_KEY_compROMISE: clave de compromiso
  • 2: CRL_REASON_CA_compROMISE: compromiso de CA
  • 3: CRL_REASON_AFFILIatION_changeD: afiliación modificada
  • 4: CRL_REASON_SUPERSEDED: reemplazados
  • 5: CRL_REASON_CESSatION_OF_OPERatION: cese de la operación
  • 6: CRL_REASON_CERTifICatE_HOLD: suspensión de certificados
  • 8: CRL_REASON_remove_FROM_CRL: quitar de CRL
  • -1: no rechazar: no rechazar [-config Machine\CAName] volver a menú ## -isvalid Isvalid - certutil [Options] número de serie | La disposición del certificado actual CertHash pantalla [-config Machine\CAName] volver a menú ## -getconfig Cadena de configuración predeterminada de Get certutil [Options] - getconfig [-config Machine\CAName] volver a menú ## -ping Certutil [opciones-] ping [MaxSecondsToWait | Interfaz de solicitud de servicios de certificados de active directory de CAMachinelist] ping CAMachinelist - lista de nombres de equipo de CA separados por comas
  • Para un solo equipo, usa una coma terminación
  • Muestra el coste de sitio para cada equipo de la entidad de certificación [-config Machine\CAName] volver a menú ## -CAInfo Certutil [Options] - CAInfo [NombreInfo [índice | Código de error]] Mostrar CA información nombreDeInfo - indica la propiedad de la CA para mostrar (consulta más adelante). Usa "*" para todas las propiedades. Índice de código de error numérico - index de propiedad opcional de base cero ErrorCode - [-f] [-dividir] [-config Machine\CAName] sintaxis del argumento NombreInfo:
  • archivo: versión del archivo
  • producto: versión del producto
  • exitcount: salir del recuento de módulo
  • Salir [Index]: descripción del módulo de salir
  • Directiva: descripción del módulo de directiva
  • nombre: nombre de entidad emisora
  • sanitizedname: nombre de entidad emisora de certificados limpio
  • DSNAME: nombre corto de CA limpio (nombre DS)
  • CarpetaCompartida: carpeta compartida
  • Código de error error1: texto del mensaje de Error
  • Código de error Error2: texto del mensaje de Error y el código de error
  • tipo: el tipo de CA
  • información: información de entidad emisora de certificados
  • principal: CA principal
  • certcount: recuento de certificados de entidad emisora de certificados
  • xchgcount: recuento de certificados de entidad de certificación exchange
  • kracount: recuento de certificados de TROPAS
  • kraused: certificado TROPAS usa recuento
  • propidmax: identificadores de propiedad de CA máximo
  • Certstate [índice]: certificado de entidad emisora
  • Certversion [índice]: versión del certificado de entidad emisora
  • Certstatuscode [índice]: certificado de CA comprobar estado
  • Crlstate [índice]: CRL
  • Krastate [índice]: certificado TROPAS
  • Crossstate + [Index]: directa entre el certificado
  • crossstate-[Index]: hacia atrás entre un certificado
  • [índice] De certificados: certificado de entidad emisora
  • Certchain [índice]: cadena de certificados de entidad emisora de certificados
  • Certcrlchain [índice]: cadena de certificados de entidad emisora de certificados con CRL
  • Xchg [índice]: certificado de CA exchange
  • Xchgchain [índice]: cadena de certificados de entidad de certificación exchange
  • Xchgcrlchain [índice]: cadena de certificados de entidad de certificación exchange con CRL
  • Tropas [Index]: certificado TROPAS
  • Entre + [Index]: directa entre el certificado
  • cruzar: [indizar]: hacia atrás entre un certificado
  • CRL [Index]: CRL de Base
  • Deltacrl [índice]: diferencia CRL
  • Crlstatus [índice]: estado de la publicación CRL
  • Deltacrlstatus [índice]: delta del estado de la publicación CRL
  • DNS: nombre DNS
  • rol: separación de roles
  • anuncios: Advanced Server
  • plantillas: plantillas
  • OCSP [Index]: direcciones URL de OCSP
  • AIA [Index]: AIA las direcciones URL
  • CDP [Index]: cdP las direcciones URL
  • localename: nombre de la configuración regional de entidad emisora
  • subjecttemplateoids: asunto plantilla OID volver a menú ## -ca.cert Certutil [Options] -ca.cert OutCACertFile [índice] recuperar el certificado de CA OutCACertFile: índice del archivo de salida: índice de renovación de certificado de entidad emisora de certificados (valor predeterminado es más reciente) [-f] [-dividir] [-config Machine\CAName] volver a menú ## -ca.chain Certutil [opciones-] ca.chain OutCACertChainFile [índice] recuperar la cadena de certificados de la CA OutCACertChainFile: índice del archivo de salida: índice de renovación de certificado de entidad emisora de certificados (valor predeterminado es más reciente) [-f] [-dividir] [-config Machine\CAName] volver a menú ## -GetCRL Certutil [Options] - GetCRL archivo externo [índice] [delta] obtener el índice de CRL: delta de índice (de forma predeterminada CRL para clave más reciente) de índice o clave CRL: delta CRL (valor predeterminado es CRL de base) [-f] [-dividir] [-config Machine\CAName] volver a menú ## -CRL Certutil [Options] - CRL [hh | publicar] [delta] publicar nuevos CRL [o diferencias CRL solo] hh - nuevo período de validez CRL en días y horas a publicar - volver a publicar más reciente CRL CRL - delta solo (valor predeterminado es CRL de base y delta) [-dividir] [-config Machine\CAName] volver a menú ## -apagado Certutil [opciones-] apagado apagado active directory certificado servicios [-config Machine\CAName] volver a menú ## -installCert Certificado de entidad de certificación instalar - installCert [ArchivoCertCA] certutil [Options] [-f] [-silenciosa] [-config Machine\CAName] volver a menú ## -renewCert renewCert - certutil [Options] [ReuseKeys] [Machine\ParentCAName] renovar la entidad de certificación certificado usa -f para omitir una solicitud de renovación pendientes y generar una nueva solicitud. [-f]. [-silenciosa] [-config Machine\CAName] Vuelve a menú ## -esquema Certutil [opciones-] esquema [Ext | attrib | CRL] Dump certificado esquema predeterminado es solicitar y certificados tabla Ext: attrib de tabla de extensión: tabla de atributo CRL: tabla CRL [-dividir] [-config Machine\CAName] volver a menú ## -vista Certutil [opciones] - vista [cola | Registro | LogFail | Revoca | Ext | attrib | CRL] [csv] Dump certificado ver cola: cola de solicitudes de registro: emitido o revocar los certificados, además de solicitudes LogFail error: no se pudo realizar solicitudes revocado: revoca los certificados Ext: extensión tabla attrib: tabla atributo CRL: CRL tabla csv: la columna StatusCode para todas las entradas de salida como coma valores separados para mostrar:-out StatusCode para mostrar todas las columnas de la última entrada:-restringir "ID == $" para mostrar ID y eliminación de solicitudes de tres :-restringir "ID > = 37, ID < 40"-out "ID disposición" para mostrar identificadores de fila y CRL números para todas las CRL de Base:-restringir "CRLMinBase = 0"-out "CRLRowId CRLNumber" CRL a mostrar 3 de número CRL de Base: - v-restringir "CRLMinBase = 0, CRLNumber = 3"-out "CRLRawCRL" CRL para mostrar la tabla CRL completa: CRL usa "fecha [+ |-hh]" para uso "ahora + hh" para una fecha con relación a la hora actual de restricciones de fecha [-silenciosa] [-dividir] [-config Machine\CAName] [-restringir la lista de restricciones] [-out listaDeColumnas] volver a Menú ## -db Base de datos sin procesar de volcado de memoria de certutil [Options] - db [-config Machine\CAName] [-restringir la lista de restricciones] [-out listaDeColumnas] volver a menú ## -deleterow Certutil [Options] - deleterow RowId | fecha [solicitar | Certificado | Ext | attrib | Fila de base de datos CRL] Eliminar servidor petición: no se pudo y (fecha de envío) de solicitudes pendientes certificado: expirado y revoca los certificados (fecha de expiración) Ext: attrib de tabla de extensión: tabla de atributo CRL: tabla CRL (fecha de expiración) para eliminar no pudo y solicitudes pendientes enviados por el 22 de enero de 2001: 22/1/2001 solicitar para eliminar todos los certificados caducan 22 de enero de 2001: 22/1/2001 certificado para eliminar la fila de certificado, atributos y extensiones para ID 37:37 para eliminar las CRL que expirado el 22 de enero de 2001: 22/1/2001 CRL [-f] [-config Machine\CAName] volver a menú ## -copia de seguridad Certutil [opciones-] directorio activa copia de seguridad de copia de seguridad de DirectorioCopiaSeguridad [Incremental] [GuardarRegistro] directorioDeCopiaDeSeguridad de servicios de certificados: directorio para almacenar una copia de seguridad de datos Incremental: realizar copia de seguridad solo incremental (el valor predeterminado es de copia de seguridad completa) GuardarRegistro: conservar los archivos de registro de base de datos (el valor predeterminado es truncar archivos de registro) [-f] [-config Machine\CAName] [-p contraseña] volver a menú ## -backupDB Certutil [Options] backupDB - copia de seguridad de DirectorioCopiaSeguridad [Incremental] [GuardarRegistro] active directory certificado servicios de base de datos directorioDeCopiaDeSeguridad: directorio para almacenar copias de seguridad de los archivos de base de datos Incremental: realizar copia de seguridad solo incremental (el valor predeterminado es de copia de seguridad completa) GuardarRegistro: conservar los archivos de registro de base de datos (el valor predeterminado es truncar archivos de registro) [-f] [-config Machine\CAName] volver a menú ## -backupKey Certutil [Options] - backupKey certificados de servicios de certificados de active directory directorioDeCopiaDeSeguridad copia de seguridad y la clave privada directorioDeCopiaDeSeguridad: directorio para almacenar copias el archivo PFX [-f] [-config Machine\CAName] [-p contraseña] [-tiempo de espera de t] volver a menú ## -restaurar Certutil [opciones-] restaurar directorioDeCopiaDeSeguridad restaurar active directory directorioDeCopiaDeSeguridad de servicios de certificados: directorio que contiene datos restaurarse [-f] [-config Machine\CAName] [-p contraseña] volver a menú ## -restoreDB directorioDeCopiaDeSeguridad certutil [Options] - restoreDB directorioDeCopiaDeSeguridad restaurar active directory servicios de certificados de la base de datos: directorio que contiene los archivos de base de datos que se restauren [-f] [-config Machine\CAName] volver a menú ## -restoreKey Certutil [Options] - restoreKey directorioDeCopiaDeSeguridad | Restaurar archivoPFX certificados de servicios de certificados de active directory y la clave privada directorioDeCopiaDeSeguridad: directorio que contiene el archivo PFX que se va restaura archivoPFX: archivo PFX que se restaurarán [-f] [-config Machine\CAName] [-p contraseña] volver a menú ## -importPFX Certutil [Options] - importPFX [NombreAlmacenamientoCertificados] ArchivoPFX [modificadores] importar certificado y la clave privada NombreAlmacenamientoCertificados: nombre del almacén de certificados. Consulta -almacenar. ArchivoPFX: Archivo PFX se importan modificadores: lista de uno o varios de los siguientes valores separados por comas:
  • at_SIGNatURE: cambiar el KeySpec a firma
  • at_KEYEXchange: cambiar el KeySpec para el intercambio de claves
  • NoExport: Asegúrate de no se puede exportar la clave privada
  • NoCert: Importar el certificado
  • NoChain: No importar la cadena de certificados
  • NoRoot: Importar el certificado raíz
  • Proteger: Proteger claves con contraseña
  • NoProtect: No contraseña proteger las claves de valores predeterminados para el almacén personal del equipo. [-f]. [-usuario] [-p contraseña] [-csp proveedor] Vuelve a menú ## -dynamicfilelist Lista de archivos dinámicos de pantalla de - dynamicfilelist certutil [Options] [-config Machine\CAName] volver a menú ## -databaselocations Ubicaciones de base de datos certutil [Options] - databaselocations pantalla [-config Machine\CAName] volver a menú ## -hashfile Certutil [Options] - hashfile este argumento [HashAlgorithm] generar y mostrar el hash criptográfico sobre un archivo volver a menú ## -la tienda Certutil [opciones]-[NombreAlmacenamientoCertificados [archivo [ArchivoSalida]]] volcado certificado de la tienda NombreAlmacenamientoCertificados: nombre del almacén de certificados. Ejemplos:
  • "Mi," "CA" (predeterminado), "Raíz",
  • "ldap: / / / CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿un? objectClass = certificationAuthority" (ver los certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (modificar de certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = MachineName, CN = cdP, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿certificateRevocationlist? ¿base? objectClass = cRLDistributionPoint" (vista CRL)
  • "ldap: / / / CN = NTAuthCertificates, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (certificados de CA de empresa)
  • LDAP: (certificados de objeto de equipo de AD)
  • -ldap de usuario: (certificados de objeto de usuario de AD) archivo: certificado o CRL token de coincidencia. Esto puede ser un número de serie, un certificado SHA-1, CRL, CTL o hash de clave pública, un índice de certificado numérico (0, 1 y así sucesivamente), un índice CRL numérico (. 0,.1 y así sucesivamente), un índice CTL numérico (.. 0, .. 1 y así sucesivamente), una clave pública, firma o la extensión de Id. de objeto, un firmante del certificado nombre común, una dirección de correo electrónico, UPN o el nombre DNS, un nombre de contenedor de claves o nombre CSP, un nombre de plantilla o Id. de objeto, un EKU o Id. de objeto de directivas de aplicación o un emisor CRL nombre común. Muchas de ellas pueden generar varias coincidencias. OutputFile: archivo para guardar la coincidencia de uso de certificados: usuario acceda a un almacén de usuario en lugar de un almacén de máquina. Usar - enterprise para acceder a una tienda de empresa de máquina. Usar - servicio para acceder a un almacén de servicio del equipo. Usar - grouppolicy para acceder a un almacén de directivas de grupo de máquina. Ejemplos:
  • -enterprise NTAuth
  • -37 raíz de la empresa
  • -usuario Mi 26e0aaaf000000000004
  • CA.11 [-f] [-enterprise] [-usuario] [-GroupPolicy] [-silenciosa] [-dividir] [-dc nombreDeDC] volver a menú ## -addstore Este argumento NombreAlmacenamientoCertificados certutil [Options] - addstore agregar certificado al almacén NombreAlmacenamientoCertificados: nombre del almacén de certificados. Consulta -almacenar. Este argumento: Archivo de certificado o CRL a agregar al almacén. [-f]. [-enterprise] [-usuario] [-GroupPolicy] [-dc nombreDeDC] Vuelve a menú ## -delstore Certutil [Options] - delstore CertificateStorename CertId eliminar el certificado de la tienda NombreAlmacenamientoCertificados: nombre del almacén de certificados. Consulta -almacenar. Archivo: Token de coincidencia CRL o certificado. Consulta -almacenar. [-enterprise] [-usuario] [-GroupPolicy] [-dc nombreDeDC] Vuelve a menú ## -verifystore Certutil [Options] - verifystore NombreAlmacenamientoCertificados [archivo] comprobar el certificado en la tienda NombreAlmacenamientoCertificados: nombre del almacén de certificados. Consulta -almacenar. Archivo: Token de coincidencia CRL o certificado. Consulta -almacenar. [-enterprise] [-usuario] [-GroupPolicy] [-silenciosa] [-dividir] [-dc nombreDeDC] [-tiempo de espera de t] Vuelve a menú ## -repairstore Certutil [Options] - repairstore CertIdlist NombreAlmacenamientoCertificados [PropertyInfFile | SDDLSecurityDescriptor] reparar la asociación de la clave o actualizar certificado propiedades o clave de descriptor de seguridad NombreAlmacenamientoCertificados: nombre del almacén de certificados. Consulta -almacenar. CertIdlist: lista de los tokens de coincidencia de certificado o CRL separados por comas. Consulta -almacenar descripción del archivo. PropertyInfFile - archivo INF que contiene las propiedades externas: [Properties] 19 = Empty ; add archived property, OR: 19 = ; remove archived property 11 = "{text}Friendly Name" ; add friendly name property 127 = "{hex}" ; add custom hexadecimal property _continue_ = "00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f" _continue_ = "10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f" 2 = "{text}" ; add Key Provider Information property _continue_ = "Container=Container Name&" _continue_ = "Provider=Microsoft Strong Cryptographic Provider&" _continue_ = "Providertype=1&" _continue_ = "Flags=0&" _continue_ = "KeySpec=2" 9 = "{text}" ; add Enhanced Key Usage property _continue_ = "1.3.6.1.5.5.7.3.2," _continue_ = "1.3.6.1.5.5.7.3.1," [-f]. [-enterprise] [-usuario] [-GroupPolicy] [-silenciosa] [-dividir] [-csp proveedor] Vuelve a menú ## -viewstore Almacén de certificados de volcado de memoria certutil [Options] - viewdelstore [NombreAlmacenamientoCertificados [archivo [ArchivoSalida]]] NombreAlmacenamientoCertificados: nombre del almacén de certificados. Ejemplos:
  • "Mi," "CA" (predeterminado), "Raíz",
  • "ldap: / / / CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿un? objectClass = certificationAuthority" (ver los certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (modificar de certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = MachineName, CN = cdP, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿certificateRevocationlist? ¿base? objectClass = cRLDistributionPoint" (vista CRL)
  • "ldap: / / / CN = NTAuthCertificates, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (certificados de CA de empresa)
  • LDAP: (certificados de objeto de equipo de AD)
  • -ldap de usuario: (certificados de objeto de usuario de AD) archivo: certificado o CRL token de coincidencia. Esto puede ser un número de serie, un certificado SHA-1, CRL, CTL o hash de clave pública, un índice de certificado numérico (0, 1 y así sucesivamente), un índice CRL numérico (. 0,.1 y así sucesivamente), un índice CTL numérico (.. 0, .. 1 y así sucesivamente), una clave pública, firma o la extensión de Id. de objeto, un firmante del certificado nombre común, una dirección de correo electrónico, UPN o el nombre DNS, un nombre de contenedor de claves o nombre CSP, un nombre de plantilla o Id. de objeto, un EKU o Id. de objeto de directivas de aplicación o un emisor CRL nombre común. Muchas de ellas pueden generar varias coincidencias. OutputFile: archivo para guardar la coincidencia de uso de certificados: usuario acceda a un almacén de usuario en lugar de un almacén de máquina. Usar - enterprise para acceder a una tienda de empresa de máquina. Usar - servicio para acceder a un almacén de servicio del equipo. Usar - grouppolicy para acceder a un almacén de directivas de grupo de máquina. Ejemplos:
  • -enterprise NTAuth
  • -37 raíz de la empresa
  • -usuario Mi 26e0aaaf000000000004
  • CA.11 [-f] [-enterprise] [-usuario] [-GroupPolicy] [-dc nombreDeDC] volver a menú ## -viewdelstore [NombreAlmacenamientoCertificados [archivo [ArchivoSalida]]] [Options] de certutil - viewdelstore Eliminar certificado del almacén NombreAlmacenamientoCertificados: nombre del almacén de certificados. Ejemplos:
  • "Mi," "CA" (predeterminado), "Raíz",
  • "ldap: / / / CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿un? objectClass = certificationAuthority" (ver los certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = entidades de certificación, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (modificar de certificados raíz)
  • "ldap: / / / CN = nombreDeCA, CN = MachineName, CN = cdP, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿certificateRevocationlist? ¿base? objectClass = cRLDistributionPoint" (vista CRL)
  • "ldap: / / / CN = NTAuthCertificates, CN = Servicios de clave pública, CN = Services, CN = Configuración, DC = cpandl, DC = com? ¿cACertificate? ¿base? objectClass = certificationAuthority" (certificados de CA de empresa)
  • LDAP: (certificados de objeto de equipo de AD)
  • -ldap de usuario: (certificados de objeto de usuario de AD) archivo: certificado o CRL token de coincidencia. Esto puede ser un número de serie, un certificado SHA-1, CRL, CTL o hash de clave pública, un índice de certificado numérico (0, 1 y así sucesivamente), un índice CRL numérico (. 0,.1 y así sucesivamente), un índice CTL numérico (.. 0, .. 1 y así sucesivamente), una clave pública, firma o la extensión de Id. de objeto, un firmante del certificado nombre común, una dirección de correo electrónico, UPN o el nombre DNS, un nombre de contenedor de claves o nombre CSP, un nombre de plantilla o Id. de objeto, un EKU o Id. de objeto de directivas de aplicación o un emisor CRL nombre común. Muchas de ellas pueden generar varias coincidencias. OutputFile: archivo para guardar la coincidencia de uso de certificados: usuario acceda a un almacén de usuario en lugar de un almacén de máquina. Usar - enterprise para acceder a una tienda de empresa de máquina. Usar - servicio para acceder a un almacén de servicio del equipo. Usar - grouppolicy para acceder a un almacén de directivas de grupo de máquina. Ejemplos:
  • -enterprise NTAuth
  • -37 raíz de la empresa
  • -usuario Mi 26e0aaaf000000000004
  • CA.11 [-f] [-enterprise] [-usuario] [-GroupPolicy] [-dc nombreDeDC] volver a menú ## -dsPublish Certutil [Options] - dsPublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | TROPAS | Usuario | -DsPublish ArchivoCRL [contenedorDSCDP [DScdPCN]] Publicar certificado de equipo] certutil [Options] o CRL en active directory archivoDeCertificado: archivo de certificado para publicar NTAuthCA: Publicar certificado a la empresa DS almacenar RootCA: Publicar certificado al almacén de raíces de confianza de DS SubCA: un certificado de CA publicar al objeto de DS CA CrossCA: publicar entre un certificado al objeto de DS CA TROPAS: Publicar certificado al objeto de agente de recuperación de clave DS usuario: un certificado de publicación al objeto de DS usuario máquina : Publicar certificado en el objeto de DS máquina ArchivoCRL: archivo CRL para publicar contenedorDSCDP: DS cdP container CN, normalmente el nombre de equipo de CA DScdPCN: cdP DS objeto CN, por lo general en función del nombre corto de CA limpio y el índice de clave usa -f para crear el objeto de DS. [-f]. [-usuario] [-dc nombreDeDC] Vuelve a menú ## -ADTemplate Certutil [Options] - ADTemplate [plantilla] Mostrar anuncios plantillas [-f] [-usuario] [-Cortar] [-mt] [-dc nombreDeDC] ## : Plantilla Certutil [opciones]: plantillas de directiva de inscripción de visualización de plantilla [plantilla] [-f] [-usuario] [-silenciosa] [-PolicyServer URLOrId] [-anónima] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p contraseña] volver a menú ## -TemplateCAs Certutil [Options] TemplateCAs - plantilla muestre entidades emisoras de certificados de plantilla [-f] [-usuario] [-dc nombreDeDC] volver a menú ## -Catemplates Certutil [Options] Catemplates - plantillas para CA [plantilla] [-f] [-usuario] [-Cortar] [-mt] [-config Machine\CAName] [-dc nombreDeDC] volver a menú ## -SetCASites Certutil [Options] - SetCASites [conjunto] [nombre del sitio] certutil [Options] SetCASites - comprobar eliminar de [nombre del sitio] certutil [Options] SetCASites - conjunto, comprobar o eliminar nombres de entidad emisora de certificados de sitio
  • Usar la opción - config como destino una única CA (todas las entidades emisoras de forma predeterminada)
  • Nombre de sitio se permite solo cuando el destino de una única CA
  • Usar -f para reemplazar los errores de validación para especificado nombre de sitio
  • Usar -f para eliminar todos los nombres de sitio de la entidad de certificación [-f] [-config Machine\CAName] [-dc nombreDeDC] [!NOTE] Para obtener más información sobre cómo configurar la CA para el reconocimiento de sitios de servicios de dominio de active directory (AD DS), consulta reconocimiento de sitios de AD DS para que los clientes de AD CS y PKI. Vuelve a menú ## -enrollmentServerURL Dirección URL de certutil [Options] - enrollmentServerURL [URL Authenticationtype [prioridad] [modificadores]] [Options] de certutil - enrollmentServerURL eliminar presentación, agregar o eliminar direcciones URL de servidor de inscripción asociadas con una Authenticationtype CA: especificar uno de los siguientes métodos de autenticación de cliente al agregar una dirección URL
  • Kerberos: Las credenciales de usar Kerberos SSL
  • Nombre de usuario: Uso denominada cuenta para las credenciales SSL
  • ClientCertificate: Credenciales de usar X.509 certificado SSL
  • Anónima: Eliminación credenciales SSL anónimas de uso: elimina la URL especificada asociada con la prioridad de entidad emisora de certificados: el valor predeterminado es "1" Si no se especifica al agregar una dirección URL los modificadores - coma lista separada de una o varias de las siguientes acciones:
  • AllowrenewalsOnly: Solo las solicitudes de renovación pueden enviarse a esta CA a través de esta dirección URL
  • AllowKeyBasedrenewal: Permite el uso de un certificado que no tiene asociado una cuenta en el anuncio. Esto se aplica solo con el modo ClientCertificate y AllowrenewalsOnly [-config Machine\CAName] [-dc nombreDeDC] volver a menú ## -ADCA Certutil [Options] ADCA - CA de mostrar anuncios [nombreDeCA] [-f] [-dividir] [-dc nombreDeDC] volver a menú ## -CA Certutil [Options] -CA [nombreDeCA | CA de directiva de inscripción de pantalla TemplateName] [-f] [-usuario] [-silenciosa] [-dividir] [-PolicyServer URLOrId] [-anónima] [-Kerberos] [-ClientCertificate ClientCertId] [-el nombre de usuario de nombre de usuario] [-p contraseña] volver a menú ## -Policy Mostrar la directiva de inscripción [-f] [-usuario] [-silenciosa] [-dividir] [-PolicyServer URLOrId] [-anónima] [-Kerberos] [-ClientCertificate ClientCertId] [-el nombre de usuario de nombre de usuario] [-p contraseña] volver a menú ## -PolicyCache Certutil [Options] - PolicyCache [eliminar] Mostrar o eliminar eliminar entradas de caché de la directiva de inscripción: eliminar entradas de la caché de servidor de directivas-f: usar -f para eliminar todas las entradas de la memoria caché [-f] [-usuario] [-PolicyServer URLOrId] volver a menú ## -CredStore Dirección URL de certutil [Options] - CredStore [URL] certutil [Options] CredStore - agregar certutil [Options] CredStore - URL eliminar presentación, agregar o eliminar la dirección URL de entradas de almacén de credenciales: dirección URL de destino. Usa * para que coincida con todas las entradas. Usar https://machine* para que coincida con un prefijo de URL. agregar: agrega una entrada del almacén de credenciales. También deben especificarse credenciales SSL. eliminar: eliminar entradas de almacén de credenciales-f: usar -f para sobrescribir una entrada o para eliminar varias entradas. [-f]. [-usuario] [-silenciosa] [-Anónima] [-Kerberos] [-ClientCertificate ClientCertId] [-El nombre de usuario de nombre de usuario] [-p contraseña] Vuelve a menú ## -InstallDefaultTemplates Certutil [Options] InstallDefaultTemplates - predeterminado de la instalación de certificados plantillas [-dc nombreDeDC] volver a menú ## -URLCache Certutil [Options] - URLCache [URL | CRL | * [eliminar]] Mostrar o eliminación de dirección URL entradas dirección URL en caché: almacenado en caché CRL de dirección URL: operará solo almacenado en caché todas las direcciones URL de CRL : operará eliminar todo almacenado en caché de las direcciones URL: eliminar URL relevantes de la memoria caché local usa -f del usuario actual para forzar la obtención de una dirección URL específica y la actualización de la memoria caché. [-f]. [-dividir] Vuelve a menú ## -impulso Certutil [opciones-] parpadee eventos de la inscripción automática impulso [-usuario] volver a menú ## -MachineInfo Información de objeto de equipo de active directory de certutil [Options] MachineInfo - Nombredominio\nombreequipo$ pantalla volver a menú ## -DCInfo Certutil [Options] - DCInfo [dominio] [comprobar | deleteBad | deleteAll] Mostrar información de controlador de dominio predeterminado es mostrar los certificados de controlador de dominio sin necesidad de comprobación [-f] [-usuario] [-urlfetch] [-dc nombreDeDC] [-tiempo de espera de t] [!TIP] La capacidad para especificar un dominio de active directory (AD DS) los servicios de dominio **[dominio]* y para especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar el comando correctamente, debes usar una cuenta que es un miembro de administradores de dominio o administradores. Los cambios de comportamiento de este comando son los siguientes:
  1. Si no se especifica un dominio y no se especifica un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
  2. Si no se especifica un dominio, pero se especifica un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
  3. Si se especifica un dominio, pero no se especifica un controlador de dominio, se genera una lista de controladores de dominio junto con los informes sobre los certificados para cada controlador de dominio en la lista.
  4. Si se especifican el dominio y el controlador de dominio, se genera una lista de controladores de dominio del controlador de dominio de destino. También se genera un informe de los certificados para cada controlador de dominio en la lista. Por ejemplo, supongamos que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL DC1. Se pudieran ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados que desde CPANDL DC1: certutil -dc cpandl dc1 - dcinfo cpandl volver a menú ## -EntInfo Certutil [Options] EntInfo - Nombredominio\nombreequipo$ [-f] [-usuario] volver a menú ## -TCAInfo Certutil [Options] - TCAInfo [DomainDN |-] Mostrar información de CA [-f] [-enterprise] [-usuario] [-urlfetch] [-dc nombreDeDC] [-tiempo de espera de t] volver a menú ## -SCInfo Certutil [Options] - SCInfo información de tarjetas inteligentes de pantalla [nombreDeLector [CRYPT_deleteKEYSET]] CRYPT_deleteKEYSET: eliminar todas las claves en la tarjeta inteligente [-silenciosa] [-dividir] [-urlfetch] [-tiempo de espera de t] volver a menú ## -SCRoots Actualización de SCRoots - certutil [Options] [+] [InputRootFile] [nombreDeLector] certutil [Options] - SCRoots guardar @OutputRootFile [nombreDeLector] certutil [Options] SCRoots - vista [InputRootFile | Certificados raíz de la tarjeta inteligente de nombreDeLector] certutil [Options] SCRoots - eliminar [nombreDeLector] administrar [-f] [-dividir] [-p contraseña] volver a menú ## -verifykeys Verifykeys - certutil [Options] [KeyContainerName CACertFile] comprobar la clave pública o privada establece nombreContenedorClaves: nombre del contenedor de la clave para comprobar. Valores predeterminados para las claves de equipo. Usar - usuario para las claves de usuario. ArchivoCertificadoCA: archivo de certificado de firma o cifrado si sin argumentos se especifican, cada certificado de CA de firma se constata con su clave privada. Esta operación solo puede realizarse con una entidad de certificación local o claves locales. [-f]. [-usuario] [-silenciosa] [-config Machine\CAName] Vuelve a menú ## -comprobar Certutil [opciones] - Comprobar CertFile [ListaDirectivasAplicación |-[ListaDirectivasEmisión]] certutil [opciones] - Comprobar certutil CertFile [CACertFile [ArchivoCertifEntreCA]] [opciones] - Comprobar certutil CRLFile CACertFile [] [opciones] - Comprobar CRLFile CACertFile [ArchivoCRLDELta] comprobar el certificado, CRL o encadenar CertFile: certificado para comprobar ListaDirectivasAplicación: coma opcional lista separada de necesario aplicación directiva outfile ListaDirectivasEmisión: coma opcional lista separada de necesario emisión directiva outfile archivoCertificadoCA: opcional certificado de CA emisora para comprobar con CACertFile : certificado opcionales certificados cruzados por CertFile CRLFile: CRL para comprobar: certificado emitido opcional cubierto por ArchivoCRL CrossedCACertFile: delta opcional CRL si se especifica ListaDirectivasAplicación, crear la cadena está restringido a las cadenas de valor válidas para las directivas de aplicación especificada. Si se especifica ListaDirectivasEmisión, crear la cadena está restringido a las cadenas de valor válidas para las directivas de emisión especificado. Si se especifica archivoCertificadoCA, campos de archivoCertificadoCA se comprueban con CertFile o ArchivoCRL. Si no se especifica CACertFile, CertFile se usa para generar y comprobar una cadena completa. Si se especifican archivoCertificadoCA y CACertFile, campos de CACertFile se comprueban con CertFile. Si no se especifica, se comprueban los campos de entera. Si se especifica CrossedCACertFile, se comprueban los campos de CrossedCACertFile entera. [-f]. [-enterprise] [-usuario] [-silenciosa] [-dividir] [-urlfetch] [-tiempo de espera de t] Vuelve a menú ## -verifyCTL Comprobar la certutil [Options] - verifyCTL CTLObject certdir ' [.] [archivoDeCertificado] AuthRoot o no permitido certificados CTL CTLObject: identifica la CTL para comprobar:
  5. AuthRootWU: leer AuthRoot CAB y certificados que coinciden de la memoria caché de la dirección URL. Usa -f para descargar desde Windows Update en su lugar.
  6. DisallowedWU: no permitido CAB de certificados de leer y no permite el archivo de almacén de certificados de la memoria caché de la dirección URL. Usa -f para descargar desde Windows Update en su lugar.
  7. AuthRoot: registro de lectura almacena en caché AuthRoot CTL. Se usa con -f y un archivoDeCertificado que no es de confianza ya para forzar a actualizar el registro en caché AuthRoot y las listas de certificado no permitido.
  8. No permitido: registro de lectura almacena en caché no permitido CTL de certificados. -f tiene el mismo comportamiento como AuthRoot.
  9. CTLFileName: archivo o http: ruta de acceso a CTL o certdir '. CAB: carpeta que contiene los certificados CTL entradas coincidentes. Http: ruta de carpeta debe acabar con un separador de la ruta de acceso. Si no se especifica una carpeta con AuthRoot o no permitido, se buscarán varias ubicaciones coincidente certificados: almacenes de certificados locales, crypt32.dll recursos y la memoria caché local de dirección URL. Usa -f para descargar desde Windows Update cuando sea necesario. De lo contrario predeterminado de la misma carpeta o sitio Web como el CTLObject. CertFile: archivo que contiene los certificados para comprobar. Certificados se comparará con entradas de CTL y coincide con los resultados que se muestran. Suprime la mayoría de los resultados de forma predeterminada. [-f]. [-usuario] [-dividir] Vuelve a menú ## -inicio de sesión Certutil [opciones-] firmar InFilelist | Número de serie | CRL OutFilelist [startdate + hh] [+ SerialNumber | - SerialNumber | - ObjectIdlist | @ExtensionFile] certutil [opciones-] firmar InFilelist | Número de serie | CRL OutFilelist [#HashAlgorithm] [+ AlternateSignatureAlgorithm | - AlternateSignatureAlgorithm] CRL volver a iniciar sesión o un certificado InFilelist: lista separada por comas de archivos de certificado o CRL modificar y volver a firmar el número de serie: número de serie del certificado para crear. Período de validez y otras opciones no deben estar presentes. CRL: crear una lista vacía CRL. Período de validez y otras opciones no deben estar presentes. OutFilelist: lista de los archivos de salida de certificado o CRL modificados separados por comas. El número de archivos debe coincidir con InFilelist. StartDate + hh: nuevo período de validez: fecha opcional plus; días opcionales y el período de validez de horas. Si se especifican, usa un separador de signo más (+). Usa "ahora [+ hh]" al principio de la hora actual. Usar "nunca" para no que ninguna fecha de caducidad (por solo CRL). SerialNumber: separados por comas lista de número de serie para agregar o quitar ObjectIdlist: lista de Id. de objeto de extensión separados por comas para quitar @ExtensionFile: archivo INF que contenga extensiones para actualizar o quitar: [Extensions] 2.5.29.31 = ; remove CRL Distribution Points extension 2.5.29.15 = "{hex}" ; Update Key Usage extension _continue_="03 02 01 86" HashAlgorithm: Nombre del algoritmo hash precedido por un signo de # AlternateSignatureAlgorithm: especificador de algoritmo de firma alternativo un signo menos hace números de serie y extensiones que quieres quitar. Un signo más hace que los números de serie en agregarse a una CRL. Al quitar elementos de una CRL, puede contener la lista de números de serie y outfile. Un signo menos antes AlternateSignatureAlgorithm hace que el formato de firma heredados para usarse. Un signo más antes AlternateSignatureAlgorithm hace que el formato de firma alternature para usarse. Si no se especifica AlternateSignatureAlgorithm se usa el formato de firma en el certificado o CRL. [-nullsign] [-f]. [-silenciosa] [-Archivo de certificado] Vuelve a menú ## -raíz virtual Certutil [Options] [eliminar] - raíz virtual crear o eliminar raíces virtuales de web y recursos compartidos de archivos que se vuelve a menú ## -vocsproot Certutil [Options] - vocsproot [eliminar] crear o eliminar raíces virtuales de web de proxy web OCSP volver a menú ## -addEnrollmentServer Certutil [Options] - addEnrollmentServer Kerberos | Nombre de usuario | ClientCertificate [AllowrenewalsOnly] [AllowKeyBasedrenewal] agregar un servidor de inscripción aplicación Agregar una aplicación de servidor de inscripción y un grupo de aplicaciones si es necesario, para la CA especificada. Este comando no instala archivos binarios o paquetes. Uno de los siguientes métodos de autenticación con el que el cliente se conecta a un servidor de inscripción de certificados.
  10. Kerberos: Las credenciales de usar Kerberos SSL
  11. Nombre de usuario: Uso denominada cuenta para las credenciales SSL
  12. ClientCertificate: Credenciales de usar X.509 certificado SSL
  13. AllowrenewalsOnly: Solo las solicitudes de renovación pueden enviarse a esta CA a través de esta dirección URL
  14. AllowKeyBasedrenewal - permite el uso de un certificado que no tiene asociado una cuenta en el anuncio. Esto se aplica solo con el modo ClientCertificate y AllowrenewalsOnly. [-config Machine\CAName] Vuelve a menú ## -deleteEnrollmentServer Certutil [Options] - deleteEnrollmentServer Kerberos | Nombre de usuario | ClientCertificate eliminar una eliminación de la aplicación de servidor de inscripción de una aplicación de servidor de inscripción y un grupo de aplicaciones si es necesario, para la CA especificada. Este comando no quita los archivos binarios o paquetes. Uno de los siguientes métodos de autenticación con el que el cliente se conecta a un servidor de inscripción de certificados.
  15. Kerberos: Las credenciales de usar Kerberos SSL
  16. Nombre de usuario: Uso denominada cuenta para las credenciales SSL
  17. ClientCertificate: Credenciales de usar X.509 certificado SSL [-config Machine\CAName] volver a menú ## -addPolicyServer Certutil [Options] - addPolicyServer Kerberos | Nombre de usuario | ClientCertificate [KeyBasedrenewal] agregar un servidor de directivas de aplicación Agregar una aplicación de servidor de directivas y grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios o paquetes. Uno de los siguientes métodos de autenticación con el que el cliente se conecta a un servidor de directivas de certificados:
  18. Kerberos: Las credenciales de usar Kerberos SSL
  19. Nombre de usuario: Uso denominada cuenta para las credenciales SSL
  20. ClientCertificate: Credenciales de usar X.509 certificado SSL
  21. KeyBasedrenewal: Solo las directivas que contienen KeyBasedrenewal plantillas se devuelven al cliente. Esta marca se aplica solo para la autenticación de nombre de usuario y ClientCertificate. Vuelve a menú ## -deletePolicyServer Certutil [Options] - deletePolicyServer Kerberos | Nombre de usuario | ClientCertificate [KeyBasedrenewal] eliminar una eliminación de la aplicación de servidor de directivas de una aplicación de servidor de directivas y grupo de aplicaciones si es necesario. Este comando no quita los archivos binarios o paquetes. Uno de los siguientes métodos de autenticación con el que el cliente se conecta a un servidor de directivas de certificados:
  22. Kerberos: Las credenciales de usar Kerberos SSL
  23. Nombre de usuario: Uso denominada cuenta para las credenciales SSL
  24. ClientCertificate: Credenciales de usar X.509 certificado SSL
  25. KeyBasedrenewal: El servidor de directivas KeyBasedrenewal volver a menú ## -oid Id. de objeto de certutil [Options] - oid [DisplayName | eliminar [LanguageId [type]]] certutil [Options] [Options] de certutil - oid ID - oid AlgId | Id. de objeto mostrar algoritmo [Id] o establecer el nombre Mostrar
  26. Id. de objeto - Id. de objeto para mostrar o para agregar el nombre para mostrar
  27. ID - número ID decimal para outfile enumerar
  28. AlgId - AlgId hexadecimal para el Id. de objeto buscar
  29. Algoritmo - nombre del algoritmo para el Id. de objeto buscar
  30. DisplayName: nombre para mostrar para almacenar en DS
  31. eliminar: eliminar el nombre para mostrar
  32. LanguageId - Id de idioma (valor predeterminado es actual: 1033)
  33. tipo: el tipo de objeto de DS para crear: 1 para la plantilla (predeterminado), 2 para la directiva de emisión, 3 de la directiva de aplicación
  34. Usa -f para crear el objeto de DS. [-f]. Vuelve a menú ## -error Certutil [opciones] - error texto del mensaje de código de error de pantalla del código de error volver a menú ## -getreg -getreg certutil [Options] [{ca | Restaurar | directiva | salir | plantilla | inscribir | cadena | PolicyServers}\[ID\]] ca [nombreValorRegistro] valor del registro para mostrar: restauración de la clave del registro de la CA de uso: directivas de clave de registro de restauración de la CA de uso: usar salir de clave de registro del módulo de directiva: uso salir de plantilla de clave de registro del módulo: clave del registro de plantilla de uso (usa - usuario plantillas de usuario) inscribir: clave del registro de inscripción de uso (usa - usuario para el contexto de usuario) cadena: clave del registro de configuración de cadena usa PolicyServers: clave del registro de usar servidores de directivas ID : Usar la directiva o salir nombreValorRegistro del módulo ID (nombre de subclave del registro): nombre del valor del registro (uso "Nombre *" prefijo coincidencia) valor: nueva numérico, fecha o una cadena de valor del registro o nombre de archivo. Si un valor numérico comienza con "+" o "-", los bits especificados en el nuevo valor se establece o se borra en el valor del registro existente. Si un valor de cadena comienza con "+" o "-" y el valor existente es un valor reg_MULTI_SZ, la cadena se agrega o quita del valor del registro existente. Para forzar la creación de un valor reg_MULTI_SZ, agrega un "\n" al final del valor de cadena. Si el valor comienza con "@", el resto del valor es el nombre del archivo que contiene la representación hexadecimal del texto de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [fecha] [+ |-] [hh -] una fecha opcional más o menos opcionales días y horas. Si se especifican dos, usa un signo más (+) o signo menos (-) separador. Usa "ahora + hh" para una fecha con relación a la hora actual. Usa "chain\ChainCacheResyncFiletime @now" eficazmente vacíe CRL almacenado en caché. [-f]. [-usuario] [-GroupPolicy] [-config Machine\CAName] Vuelve a menú ## -setreg -setreg certutil [Options] [{ca | Restaurar | directiva | salir | plantilla | inscribir | cadena | PolicyServers}\[ID\]] nombreValorRegistro establece el valor del Registro valor ca: restauración de la clave del registro de la CA de uso: directivas de clave de registro de restauración de la CA de uso: usar salir de clave de registro del módulo de directiva: uso salir de plantilla de clave de registro del módulo: clave del registro de plantilla de uso (usa - usuario plantillas de usuario) inscribir: clave del registro de inscripción de uso (usa - usuario para el contexto de usuario) cadena: clave del registro de configuración de cadena usa PolicyServers: clave del registro de usar servidores de directivas ID : Usar la directiva o salir nombreValorRegistro del módulo ID (nombre de subclave del registro): nombre del valor del registro (uso "Nombre *" prefijo coincidencia) valor: nueva numérico, fecha o una cadena de valor del registro o nombre de archivo. Si un valor numérico comienza con "+" o "-", los bits especificados en el nuevo valor se establece o se borra en el valor del registro existente. Si un valor de cadena comienza con "+" o "-" y el valor existente es un valor reg_MULTI_SZ, la cadena se agrega o quita del valor del registro existente. Para forzar la creación de un valor reg_MULTI_SZ, agrega un "\n" al final del valor de cadena. Si el valor comienza con "@", el resto del valor es el nombre del archivo que contiene la representación hexadecimal del texto de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [fecha] [+ |-] [hh -] una fecha opcional más o menos opcionales días y horas. Si se especifican dos, usa un signo más (+) o signo menos (-) separador. Usa "ahora + hh" para una fecha con relación a la hora actual. Usa "chain\ChainCacheResyncFiletime @now" eficazmente vacíe CRL almacenado en caché. [-f]. [-usuario] [-GroupPolicy] [-config Machine\CAName] Vuelve a menú ## -delreg -delreg certutil [Options] [{ca | Restaurar | directiva | salir | plantilla | inscribir | cadena | PolicyServers}\[ID\]] [nombreValorRegistro] eliminar del Registro valor ca: restauración de la clave del registro de la CA de uso: directivas de clave de registro de restauración de la CA de uso: usar salir de clave de registro del módulo de directiva: uso salir de plantilla de clave de registro del módulo: clave del registro de plantilla de uso (usa - usuario plantillas de usuario) inscribir: clave del registro de inscripción de uso (usa - usuario para el contexto de usuario) cadena: clave del registro de configuración de cadena usa PolicyServers: clave del registro de usar servidores de directivas ID : Usar la directiva o salir nombreValorRegistro del módulo ID (nombre de subclave del registro): nombre del valor del registro (uso "Nombre *" prefijo coincidencia) valor: nueva numérico, fecha o una cadena de valor del registro o nombre de archivo. Si un valor numérico comienza con "+" o "-", los bits especificados en el nuevo valor se establece o se borra en el valor del registro existente. Si un valor de cadena comienza con "+" o "-" y el valor existente es un valor reg_MULTI_SZ, la cadena se agrega o quita del valor del registro existente. Para forzar la creación de un valor reg_MULTI_SZ, agrega un "\n" al final del valor de cadena. Si el valor comienza con "@", el resto del valor es el nombre del archivo que contiene la representación hexadecimal del texto de un valor binario. Si no hace referencia a un archivo válido, se analiza en su lugar como [fecha] [+ |-] [hh -] una fecha opcional más o menos opcionales días y horas. Si se especifican dos, usa un signo más (+) o signo menos (-) separador. Usa "ahora + hh" para una fecha con relación a la hora actual. Usa "chain\ChainCacheResyncFiletime @now" eficazmente vacíe CRL almacenado en caché. [-f]. [-usuario] [-GroupPolicy] [-config Machine\CAName] Vuelve a menú ## -importKMS Certutil [Options] - importKMS UserKeyAndCertFile [archivo] importar certificados y claves de usuario en la base de datos de clave archivado UserKeyAndCertFile - privada del usuario de datos archivos que contiene las claves y certificados para archivará server. Esto puede ser cualquiera de las siguientes acciones:
  35. Archivo de exportación de servidor de administración de claves (KMS) de Exchange
  36. El archivo PFX archivo: KMS exportar el token de coincidencia de certificado de descifrado de archivo. Consulta -almacenar. Usar -f para importar certificados emitidos no por la CA. [-f]. [-silenciosa] [-dividir] [-config Machine\CAName] [-p contraseña] [-symkeyalg SymmetricKeyAlgorithm [, KeyLength]] Vuelve a menú ## -importCert Certutil [Options] - importCert Certfile [ExistingRow] importar un archivo de certificado a la base de datos usa ExistingRow para importar el certificado en lugar de una solicitud pendiente de la misma clave. Usar -f para importar certificados emitidos no por la CA. La CA necesite también puede configurar para admitir la importación de certificados externa: certutil - setreg ca\KRAFlags + KRAF_ENABLEforEIGN [-f] [-config Machine\CAName] volver a menú ## -GetKey Certutil [Options] - GetKey certutil TokenBúsqueda [ArchivoSalidaBlobRecuperación] [Options] [Options] - GetKey testigoDeBúsqueda recuperar a - GetKey testigoDeBúsqueda script certutil OutputScriptFile | recuperar el blob de recuperación de claves privadas archivada OutputFileBaseName recuperar, generar un script de recuperación o recuperar claves archivadas script: generar un script para recuperar y recuperar las claves (comportamiento predeterminado si se encuentran varios candidatos recuperación coincidentes, o si el archivo de salida no está especificado). recuperar: recuperar uno o más Blobs de recuperación de clave (valor predeterminado comportamiento si se encuentra exactamente un candidato recuperación coincidentes, y si se especifica el archivo de salida) recuperar: recuperar y recuperar las claves privadas en un solo paso (requiere certificados de agente de recuperación de clave y las claves privadas) testigoDeBúsqueda: se usa para seleccionar las claves y certificados de recuperación. Puede ser cualquiera de las siguientes acciones:
  37. Nombre común del certificado
  38. Número de serie del certificado
  39. Hash del certificado SHA-1 (huella digital)
  40. Certificado de clave SHA-1 hash (identificador de clave del firmante)
  41. Nombre del solicitante (DOMINIO\nombre de usuario)
  42. UPN (user@domain) archivoDeSalidaDeBlobDeRecuperación: archivo de salida que contiene una cadena de certificados y una clave privada asociada, todavía cifrada a uno o más certificados de agente de recuperación de clave. OutputScriptFile: archivo de salida que contiene un script por lotes para recuperar y recuperar las claves privadas. OutputFileBaseName: nombre de base salida archivo. Para recuperar, se trunca cualquier extensión y se anexan una cadena específica de certificado y la extensión .rec para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, todavía cifrada a uno o más certificados de agente de recuperación de clave. Para recuperar cualquier extensión se trunca y se anexa la extensión. p12. Contiene las cadenas de certificado recuperado y asocia las claves privadas, almacenadas como un archivo PFX. [-f]. [-UnicodeText] [-silenciosa] [-config Machine\CAName] [-p contraseña] [-ProtectTo SAMNameAndSIDlist] [-csp proveedor] Vuelve a menú ## -recoverKey Certutil [Options] - recoverKey ArchivoEntradaBlobRecuperación [ArchivoSalidaPFX [ÍndiceDestinatario]] recuperar la clave privada archivada [-f] [-usuario] [-silenciosa] [-dividir] [-p contraseña] [-ProtectTo SAMNameAndSIDlist] [-csp proveedor] [-tiempo de espera de t] volver a menú ## -MergePFX Certutil [Options] MergePFX - PFXInFilelist PFXInFilelist PFXOutFile [extendedProperties]: lista de archivos de entrada PFX de separados por comas: PFX extendedProperties del archivo de salida: incluir propiedades extendidas la contraseña especificada en la línea de comandos es una lista de contraseña separados por comas. Si se especifica más de una contraseña, la última contraseña se usa para el archivo de salida. Si solo se proporciona una contraseña o si es la última contraseña "", se pedirá al usuario la contraseña del archivo de salida. [-f]. [-usuario] [-dividir] [-p contraseña] [-ProtectTo SAMNameAndSIDlist] [-csp proveedor] Vuelve a menú ## -convertEPF Certutil [Options] - convertEPF ListaArchivoEntradaPFX ArchivoSalidaEPF [convierte | convierte-] [V3CACertId] [, Salt] convertir archivos PFX en archivo EPF PFXInFilelist: lista de entrada de archivo PFX EPF separada por comas: conversión de tipos de archivo de salida EPF: conversión de cifrado usa CONVIERTE 64-: 64 de conversión de TIPOS de uso de cifrado (exportar) V3CACertId: token coincide con el certificado de CA V3. Consulta -almacenar descripción del archivo. Sal: Cadena salt de archivo de salida EPF la contraseña especificada en la línea de comandos es una lista separada por comas de contraseñas. Si se especifica más de una contraseña, la última contraseña se usa para el archivo de salida. Si solo se proporciona una contraseña o si es la última contraseña "", se pedirá al usuario la contraseña del archivo de salida. [-f]. [-silenciosa] [-dividir] [-dc nombreDeDC] [-p contraseña] [-csp proveedor] Vuelve a menú ## Opciones En esta sección se define las opciones que puedes especificar con el comando. |Opciones|Descripción| |------|--------| |-nullsign|Hash de uso de datos como firma| |-f|Forzar la sobrescritura| |-enterprise|Usar el almacén de certificados de equipo local empresarial del registro| |-usuario|Usar claves HKEY_CURrenT_USER o el almacén de certificados| |-GroupPolicy|Almacén de certificados de directiva de grupo de uso| |-Cortar|Plantillas de usuario de la pantalla| |-mt|Mostrar plantillas de equipo| |-Unicode|Escribir el resultado redirigida en Unicode| |-UnicodeText|Escribir el archivo de salida en Unicode| |-gmt|Mostrar horas como GMT| |-segundos|Mostrar horas con segundos y milisegundos| |-silencioso|Usa el indicador silent para adquirir contexto criptográfico| |-dividir|Dividir elementos ASN.1 incrustados y guardar los archivos| |-v|Operación detallada| |-privatekey|Mostrar datos de la clave privados y la contraseña| |-Anclar PIN|PIN de tarjeta inteligente| |-urlfetch|Recuperar y comprobar certificados AIA y cdP CRL| |-config Machine\CAName|Cadena de nombre de equipo y la entidad de certificación| |-PolicyServer URLOrId|Dirección URL del servidor de directivas o Id. Para la selección U /, utilizo - PolicyServer. Para todos los servidores de directivas, usa - PolicyServer *| |-Anónimo|Usar credenciales anónimas de SSL| |-Kerberos|Usar credenciales Kerberos SSL| |-ClientCertificate ClientCertId|Usa credenciales X.509 certificado SSL. Para la selección U / I, usa - clientCertificate.| |Nombre de usuario - el nombre de usuario|Utilice con el nombre de cuenta para las credenciales SSL. Para la selección U /, utilizo - el nombre de usuario.| |: Archivo de certificado|Certificado de firma| |-dc nombreDeDC|Un controlador de dominio específicas del destino| |-restringir la lista de restricciones|Lista de restricciones de separados por comas. Cada restricción consta de un nombre de columna, un operador relacional y constante entero, cadena o fecha. Un nombre de columna puede estar precedido por un signo más o menos el inicio de sesión para indicar el criterio de ordenación. Ejemplos:

    "ID = 47"

    "+ RequesterName > =, RequesterName < b"

    "-RequesterName > DOMINIO, disposición = 21"| |-out listaDeColumnas|Columna lista separada por comas| |-p contraseña|Contraseña| |-ProtectTo SAMNameAndSIDlist|Lista de SID/nombre de SAM separada por comas| |-csp proveedor|Proveedor| |Tiempo de espera -t.|Tiempo de espera de dirección URL de una captura en milisegundos| |-symkeyalg SymmetricKeyAlgorithm [, KeyLength]|Nombre del algoritmo de clave simétrica con longitud de clave opcional ejemplo: AES de 128 o 3DES| Vuelve a menú ## Ejemplos de certutil adicionales Para ver algunos ejemplos de cómo usar este comando, consulta
  43. Ejemplos de certutil para administrar los servicios de certificados de active directory (AD CS) desde la línea de comandos
  44. Tareas de certutil para administración de certificados
  45. Exportación de solicitud binarios mediante el tutorial de la herramienta de línea de comandos certutil.exe
  46. Renovación de certificado de CA de raíz
  47. certutil volver a menú
© 2017 Microsoft