Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

certreq_1

Corey Plett|Laatst bijgewerkt: 6-12-2016
|
1 Inzender

Van toepassing op: Windows Server 2016, Windows Server 2012 R2, WindowsServer 2012

Certreq kan worden gebruikt voor het aanvragen van certificaten van een certificeringsinstantie (CA) voor het ophalen van een reactie op een eerdere aanvraag van een Certificeringsinstantie, een nieuwe aanvraag maken van een INF-bestand om te accepteren en installeren van een antwoord op een aanvraag om een aanvraag voor cross-certificering of gekwalificeerde ondergeschiktheid samen te stellen van een bestaand CA-certificaat of de aanvraag en een aanvraag voor cross-certificering of gekwalificeerde ondergeschiktheid ondertekenen.

Waarschuwing

Eerdere versies van certreq bieden mogelijk niet alle van de opties die in dit document worden beschreven. Hier ziet u de opties die een specifieke versie van certreq bevat met de opdrachten uit te voeren in de sectie syntaxis notaties weergegeven.

Inhoud

De belangrijkste secties in dit artikel zijn als volgt:

  1. woorden
  2. Syntaxis van de tekst
  3. Opties
  4. indelingen
  5. Als u meer certreq voorbeelden
    ## woorden
    Er beschrijft na de tabel de bewerkingen die kunnen worden gebruikt met de opdracht certreq
    |Switch|Beschrijving|
    |-----|--------|
    |-Verzenden|Verzendt een verzoek met een CA. Zie voor meer informatie Certreq-verzend.|
    |-ophalen aanvraag-id|Hiermee haalt u een antwoord op een eerdere aanvraag van een Certificeringsinstantie. Zie voor meer informatie Certreq-ophalen.|
    |-Nieuwe|maakt een nieuwe aanvraag van een INF-bestand. Zie voor meer informatie Certreq-nieuwe.|
    |-Accepteren|Accepteert en een antwoord op een certificaataanvraag wordt geïnstalleerd. Zie voor meer informatie Certreq-accepteren.|
    |-Beleid|Hiermee stelt u het beleid voor een aanvraag. Zie voor meer informatie Certreq-beleid.|
    |-Ondertekenen|Een aanvraag voor cross-certificering of gekwalificeerde ondergeschiktheid ondertekent. Zie voor meer informatie Certreq-teken.|
    |-Inschrijven|Ingeschreven voor of een certificaat wordt verlengd. Zie voor meer informatie Certreq-inschrijven.|
    |-?|Geeft een lijst van certreq syntaxis, opties en beschrijvingen.|
    | -?|Geeft help weer voor de opgegeven term.|
    |-v -?|Geeft een uitgebreide lijst van de certreq syntaxis, opties, en beschrijvingen.|
    Ga terug naar inhoud
    ## Syntaxis van de tekst
  6. voor de syntaxis van deze basisgegevens opdrachtregel uitvoeren certreq -?
  7. voor de syntaxis over het gebruik van certutil met een specifieke opdracht, voert u certreq-?
  8. Voor het verzenden van alle de certutil-syntaxis in een tekstbestand, voer de volgende opdrachten:
    • certreq -v -? > certreqhelp.txt
    • notepad certreqhelp.txt
      De volgende tabel beschrijft de notatie die wordt gebruikt om aan te geven opdrachtregelsyntaxis.
      |Notatie|Beschrijving|
      |------|--------|
      |Tekst zonder haken of accolades|U opgeven moet als volgt items|
      ||Tijdelijke aanduiding voor die u moet een waarde opgeven|
      |[Tekst tussen vierkante haken]|Optionele items|
      |{Tekst tussen accolades}|Verzameling vereiste items; Kies een|
      |verticaal balk (& #124;)|Scheidingsteken voor items sluiten elkaar wederzijds uit. Kies een|
      |Drie puntjes)|Items die kunnen worden herhaald|
      Ga terug naar inhoud
      ## Certreq-verzenden
      Dit is de standaardparameter certreq.exe als er geen optie expliciet is opgegeven op de opdrachtregelprompt, probeert certreq.exe een certificaataanvraag met een CA verzenden.
      CertReq [-Submit] [Options] [RequestFileIn [CertFileOut [CertChainFileOut [FullResponseFileOut]]]]
      Wanneer u de optie verzenden, moet u een bestand verzoek opgeven. Als deze parameter wordt weggelaten, wordt er een algemene bestand openen venster weergegeven waarin u het juiste certificaataanvraagbestand kunt selecteren.
      U kunt deze voorbeelden als een beginpunt voor het bouwen van de certificaataanvraag verzenden:
      Een eenvoudige certificaataanvraag gebruiken om in te dienen in het voorbeeld hieronder:
      certreq submit certRequest.req certnew.cer certnew.pfx
      Als u wilt een certificaat aanvragen door te geven van het kenmerk san, Zie de stapsgewijze instructies in de Microsoft Knowledge Base-artikel 931351 alternatieve naam voor een onderwerp toevoegen aan een beveiligd LDAP certificaat in de sectie 'Over het gebruik van het hulpprogramma Certreq.exe om te maken en verzenden van een aanvraag met een san'.
      Ga terug naar inhoud
      ## Certreq-ophalen
      certreq -retrieve [Options] RequestId [CertFileOut [CertChainFileOut [FullResponseFileOut]]]
  9. Als u t don Geef de CAComputernaam of CANaam in de-configuratie CAcomputerName\CANamea in het dialoogvenster weergegeven, maar een lijst met alle certificeringsinstanties die beschikbaar zijn.
  10. Als u - configuratie - in plaats van - configuratie CAcomputerName\CAName gebruiken, wordt de werking verwerkt met behulp van de standaardcertificeringsinstantie.
  11. U kunt certreq-ophalen aanvraag-id het certificaat ophalen nadat de Certificeringsinstantie is uitgegeven. De aanvraag-idPKC kan een komma of hex met 0 x voor- en het kan zijn een aantal van de serie certificaat met geen voorvoegsel 0 x. U kunt dit ook gebruiken voor het ophalen van een certificaat dat ooit is uitgegeven door de CA, waaronder ingetrokken of verlopen certificaten, ongeacht of de certificaataanvraag ooit met de status in behandeling is.
  12. Als u een aanvraag naar de CSP verzendt, de beleidsmodule van de Certificeringsinstantie de aanvraag in een zwevend staat en terug mogelijk laat de aanvraag-id aan de Certreq over bellerlocatie om weer te geven. Uiteindelijk zal de CA-beheerder het certificaat verleent of dat de aanvraag wordt geweigerd.
    De onderstaande opdracht haalt de certificaat-id 20 en maakt het certificaatbestand (.cer):
    certreq -retrieve 20 MyCertificate.cer
    Ga terug naar inhoud
    ## Certreq-nieuwe
    certreq -new [Options] [PolicyFileIn [RequestFileOut]]
    Omdat het INF-bestand zijn toegestaan voor een uitgebreide set parameters en de opties worden opgegeven, is het moeilijk om te definiëren van een standaardsjabloon die beheerders voor alle doeleinden gebruiken moeten. Deze sectie beschrijft daarom de opties waarmee u een INF-bestand die zijn afgestemd op uw specifieke behoeften te maken. De volgende sleutel woorden worden gebruikt om te beschrijven van de structuur van het INF-bestand.
  13. Een sectie is een gebied in het INF-bestand dat zich bezighoudt met een logische groep toetsen. Een sectie wordt altijd weergegeven in het INF-bestand haakjes.
  14. Een sleutel is de parameter die aan de linkerkant van het aanmeldscherm gelijk is.
  15. Een waarde is de parameter die zich rechts van het aanmeldscherm gelijk.
    bijvoorbeeld eruit een minimale INF-bestand vergelijkbaar met het volgende:
    [NewRequest] ; at least one value must be set in this section Subject = "CN=W2K8-BO-DC.contoso2.com"
    Hier volgen enkele van de mogelijke secties die kunnen worden toegevoegd aan het INF-bestand:
    [Nieuwe aanvraag]
    Deze sectie is verplicht voor een INF-bestand die als een sjabloon voor een nieuwe aanvraag fungeert. Deze sectie vereist ten minste één sleutel met een waarde.
    |Toets|Definitie|Waarde|Voorbeeld|
    |----|-------|-----|------|
    |Onderwerp|Meerdere toepassingen zijn afhankelijk van de certificaathouder informatie in een certificaat. Zo is het aanbevolen dat een waarde voor deze sleutel worden opgegeven. Als het onderwerp hier niet is ingesteld, is het aanbevolen dat een onderwerpnaam opgenomen als onderdeel van de uitbreiding alternatieve naam voor onderwerp worden.|Relatieve DN-naam tekenreekswaarden|Onderwerp = "CN=computer1.contoso.com" onderwerp = "CN Jan de Vries, CN = = Users, DC = Contoso, DC = com"|
    |Exporteerbaar|Als dit kenmerk is ingesteld op TRUE, kan de persoonlijke sleutel met het certificaat worden uitgevoerd. Ter verzekering ervan een hoog beveiligingsniveau, mag persoonlijke sleutels geen exporteerbaar; in sommige gevallen kan het worden vereist om de persoonlijke sleutel exporteerbaar als meerdere computers of gebruikers dezelfde persoonlijke sleutel moeten delen wordt uitgevoerd.|de waarde True, false|ExportableEncrypted = TRUE. CNG-sleutels kunnen onderscheid maken tussen deze en exporteerbaar platte tekst. Kunnen niet worden CAPI1 sleutels.|
    |ExportableEncrypted|Hiermee geeft u op of de persoonlijke sleutel moet worden ingesteld om te worden geëxporteerd.|de waarde True, false|Exporteren = true Tip: niet alle openbare toets grootten en algoritmen geschikt is voor alle hash-algoritmen. Tamehe opgegeven DAT CSP moet ook ondersteuning voor het opgegeven hash-algoritme. De lijst van ondersteunde hash-algoritmen wilt bekijken, kunt u de opdracht uitvoeren certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo|
    |HashAlgorithm|Hash-algoritme moet worden gebruikt voor deze aanvraag.|Sha256, sha384, sha512, sha1, md5, md4, md2|HashAlgorithm = sha1. Voor een overzicht van ondersteunde hash-algoritmen gebruikt: certutil - oid 1 & #124; findstr pwszCNGAIgid & #124; findstr /v CryptOIDInfo|
    |KeyAlgorithm|De algoritme die wordt gebruikt door de serviceprovider voor een openbaar / persoonlijk sleutelpaar genereren.|RSA, DH, DSA, EcdH_P256, EcdH_P521, EcdSA_P256, EcdSA_P384, EcdSA_P521|KeyAlgorithm = RSA|
    |KeyContainer|Het wordt niet aanbevolen om in te stellen van deze parameter naar nieuwe aanvragen waar nieuwe sleutelmateriaal is gegenereerd. De sleutelcontainer wordt automatisch gegenereerd en beheerd door het systeem. Voor aanvragen waarbij de bestaande sleutelmateriaal moet worden gebruikt, kan deze waarde worden ingesteld op de naam-sleutelcontainer van de bestaande sleutel. Gebruik de opdracht certutil-toets om de lijst met beschikbare sleutelcontainers voor de context van de computer weer te geven. Gebruik de opdracht certutil belangrijke voor de huidige gebruiker s context.|Willekeurige reekswaarde Tip: moet u dubbele aanhalingstekens rond inf-toets waarde die is leeg of speciale tekens om te voorkomen dat mogelijke INF parseren problemen.|KeyContainer = {C347BD28-7F69-4090-AA16-BC58CF4D749C}|
    |Sleutellengte|Bepaalt de lengte van de openbare en persoonlijke sleutel. Lengte van de sleutel heeft een invloed op het beveiligingsniveau van het certificaat. Gewoonlijk biedt een hoger beveiligingsniveau; groter sleutellengte Sommige toepassingen hebben echter beperkingen met betrekking tot de lengte van de sleutel.|Geldige sleutellengte die wordt ondersteund door de cryptografische serviceprovider.|Sleutellengte = 2048|
    |KeySpec|Bepaalt of de sleutel kan worden gebruikt voor handtekeningen voor Exchange (codering) of beide.|at_NONE, is, at_KEYEXchange|KeySpec = at_KEYEXchange|
    |KeyUsage|Definieert wat sleutel van het certificaat moet worden gebruikt.|CERT_DIGITAL_SIGNatURE_KEY_USAGE - 80 (128) Tip: de waarde zijn hexadecimale (decimaal) voor elke definition bits. De syntaxis van de oudere kan ook worden gebruikt: één hexadecimale waarde met meerdere bits is ingesteld, in plaats van de symbolische weergave. Bijvoorbeeld, KeyUsage = 0xa0.

    CERT_NON_REPUDIatION_KEY_USAGE - 40 (64)

    CERT_KEY_ENcipherMENT_KEY_USAGE - 20 (32)

    CERT_DatA_ENcipherMENT_KEY_USAGE - 10 (16)

    CERT_KEY_AGREEMENT_KEY_USAGE - 8

    CERT_KEY_CERT_SIGN_KEY_USAGE - 4

    CERT_offline_CRL_SIGN_KEY_USAGE - 2

    CERT_CRL_SIGN_KEY_USAGE - 2

    CERT_ENcipher_ONLY_KEY_USAGE - 1

    CERT_DEcipher_ONLY_KEY_USAGE - 8000 (32768)|KeyUsage = 'CERT_DIGITAL_SIGNatURE_KEY_USAGE & #124; CERT_KEY_ENcipherMENT_KEY_USAGE' Tip: meerdere waarden gebruik een sluis (& #124;) symbool voor. Zorg dat u dubbele aanhalingstekens gebruikt als u meerdere waarden voor het INF-bestand parseren problemen voorkomen.||KeyUsageProperty|Haalt een waarde die aangeeft van het specifieke doel waarvoor een persoonlijke sleutel kan worden gebruikt.|NCRYPT_ALLOW_DECRYPT_FLAG - 1

    NCRYPT_ALLOW_SIGNING_FLAG - 2

    NCRYPT_ALLOW_KEY_AGREEMENT_FLAG - 4

    NCRYPT_ALLOW_ALL_USAGES - ffffff (16777215)|KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG & #124; NCRYPT_ALLOW_SIGNING_FLAG"|
    |MachineKeySet|Deze sleutel is BELANGRIJK Als u wilt certificaten die eigendom zijn van de computer en niet een gebruiker maken. Het sleutelmateriaal die wordt gegenereerd, wordt bijgehouden in de beveiligingscontext van de beveiligings-principal (gebruiker of computer account) die de aanvraag is gemaakt. Wanneer een beheerder een aanvraag voor namens een computer maakt, moet het toets materiaal in de computer s beveiligingscontext en niet de beheerder s beveiligingscontext worden gemaakt. Anders de computer kan geen toegang tot de persoonlijke sleutel omdat er nog aan het in de administrator s beveiligingscontext zou zijn.|de waarde True, false|MachineKeySet = true Tip: de standaardinstelling is false.|
    |NotBefore|Hiermee geeft u een datum of datum en tijd voor de aanvraag kan niet worden uitgegeven. Niet voor kan worden gebruikt bij Validityperiod en ValidityperiodUnits.|datum of datum en tijd|Niet voor = ' 2012/24/7 10:31:00 ' Tip: niet voor en niet na zijn voor Requesttype = certificaat only.date pogingen om te worden landinstellingen gevoelige parseren. Met behulp van maand namen wordt duidelijk en werkt in elk land.|
    |NotAfter|Hiermee geeft u een datum of datum en tijd waarna de aanvraag kan niet worden uitgegeven. Niet na kan niet worden gebruikt met Validityperiod of ValidityperiodUnits.|datum of datum en tijd|Niet na = ' 23-9 of 2014 10:31:00 ' Tip: niet voor en niet na zijn voor Requesttype = certificaat only.date pogingen om te worden landinstellingen gevoelige parseren. Met behulp van maand namen wordt duidelijk en werkt in elk land.|
    |PrivateKeyArchive|De instelling PrivateKeyArchive werkt alleen als de bijbehorende Requesttype is ingesteld op 'CMC' omdat alleen de certificaat beheer-berichten via de indeling van verzoek CMS (CMC) voor het overbrengen van de aanvrager s persoonlijke sleutel veilig naar de CSP voor de sleutel archiveren is toegestaan.|de waarde True, false|PrivateKeyArchive = True|
    |EncryptionAlgorithm|Het versleutelingsalgoritme te gebruiken.|Mogelijke opties zijn afhankelijk van de besturingssysteemversie en de geïnstalleerde cryptografische providers. Voer de opdracht de lijst van beschikbare algoritmen wilt bekijken,certutil -oid 2 | findstr pwszCNGAlgidhet opgegeven symmetrische versleutelingsalgoritme en de lengte moet ook ondersteuning voor de opgegeven CSP gebruikt.|EncryptionAlgorithm = 3des|
    |EncryptionLength|Lengte van het versleutelingsalgoritme te gebruiken.|De lengte toegestaan door de opgegeven EncryptionAlgorithm.|EncryptionLength = 128|
    |ProviderName|De providernaam van de is de weergavenaam op van de CSP...|Als u de naam van de provider van de CSP die u gebruikt niet weet, voert u certutil csplist vanaf een opdrachtregel. De opdracht wordt de namen van alle CSP's die beschikbaar op het lokale systeem zijn weergeven|ProviderName = "Microsoft RSA SChannel cryptografische Provider"|
    |Providertype|Het providertype wordt gebruikt voor het specifieke providers op basis van specifieke algoritme mogelijkheid zoals "Volledige RSA" selecteren.|Als u het providertype van de CSP die u gebruikt niet weet, voert u certutil csplist vanaf een opdrachtprompt. De opdracht wordt het providertype van alle CSP's die beschikbaar op het lokale systeem zijn weergegeven.|Providertype = 1|
    |renewalCert|Als u een certificaat vernieuwen dat bestaat op het systeem waar de aanvraag is gegenereerd wilt, moet u de certificaat-hash als de waarde voor deze sleutel.|De certificaathash van een certificaat dat is beschikbaar op de computer waarop de certificaataanvraag is gemaakt. Als u de certificaat-hash niet weet, gebruikt u de certificaten mmc Snap In en kijk naar het certificaat dat moet worden vernieuwd. De eigenschappen voor certificaat openen en het kenmerk "Vingerafdruk" van het certificaat te bekijken. Verlenging van het certificaat moet een PKCS #7 of een CMC Aanvraagindeling.|renewalCert = 4EDF274BD2919C6E9EC6A522F0F3B153E9B1582D|
    |RequesterName Opmerking: hierdoor het verzoek om te schrijven namens verzoek van een andere gebruiker. Het verzoek ook moet zijn aangemeld met een certificaat-inschrijving voor Agent of de Certificeringsinstantie weigert de aanvraag. Gebruik de - cert-optie voor het opgeven van het inschrijvingsagentcertificaat.|Naam van de aanvrager kan worden opgegeven voor certificaataanvragen als de Requesttype is ingesteld op PKCS #7 of CMC. Als de Requesttype is ingesteld op PKCS #10, wordt deze sleutel genegeerd. De Requestername kan alleen worden ingesteld als onderdeel van de aanvraag. U kunt de Requestername in een aanvraag in behandeling niet bewerken.|Domein-/ gebruikersnamen|Requestername = "Contoso\BSmith"|
    |RequestType|Bepaalt de standaard die wordt gebruikt om te genereren en verzenden van de certificaataanvraag.|PKCS10 - 1

    PKCS7 - 2

    CMC - 3

    Certificaat - 4 Tip: deze optie geeft aan een niet-geautoriseerd of zelf-uitgegeven certificaat. Het wordt er geen gegenereerd een verzoek, maar in plaats van een nieuw certificaat en installeert u het certificaat. Het is de standaardinstelling zelf zich hebt aangemeld. Geef een ondertekenen certificaat met behulp van de optie certificaat om aan te maken van een zelf-uitgegeven certificaat dat is niet zelf zich hebt aangemeld.|RequestType CMC =|
    |SecurityDescriptor Tip: dit geldt alleen voor machine context niet-smartcard toetsen.|De beveiligingsinformatie die is gekoppeld aan beveiligbare objecten bevatten. Voor meest beveiligbare objecten, kunt u de security descriptor van een object in de functieaanroep die door het object worden gemaakt.|Tekenreeksen op basis van beveiliging beschrijving definition taal.|SecurityDescriptor = "D:P(A;; GA;; SY) (A; GA;; BA")|
    |AlternateSignatureAlgorithm|Hiermee geeft u en wordt een Booleaanse waarde die aangeeft of de handtekening algoritme object-id (OID) voor een PKCS #10 aanvraag of het certificaat handtekening discrete of gecombineerde opgehaald.|de waarde True, false|AlternateSignatureAlgorithm = waar Tip: voor een uw RSA false geeft aan een v1.5 Pkcs1. Waar geeft aan dat een handtekening versie 2.1.|
    |Achtergrond|Deze optie kan standaard de CSP-toegang tot de interactieve gebruiker desktop- en aanvraag informatie zoals een PINCODE voor smartcard van de gebruiker. Als deze sleutel is ingesteld op TRUE, wordt de CSP mag geen interactie hebben met het bureaublad en een gebruikersinterface worden weergegeven aan de gebruiker worden geblokkeerd.|de waarde True, false|Achtergrond = true|
    |S/MIME|Als hierdoor is ingesteld op TRUE, wordt er een uitbreidingsmodule die u met de object-id-waarde 1.2.840.113549.1.9.15 toegevoegd aan het verzoek. Het nummer van de object-id's, hangt af van de op de versie van besturingssysteem is geïnstalleerd en de CSP mogelijkheden, die verwijzen naar symmetrische versleutelingsalgoritmen die kunnen worden gebruikt door toepassingen zoals Outlook Secure Multipurpose Internet Mail Extensions (S/MIME).|de waarde True, false|S/MIME = true|
    |UseExistingKeySet|Deze parameter wordt gebruikt om op te geven dat een bestaand sleutelpaar moet worden gebruikt in het een certificaataanvraag maken. Als deze sleutel is ingesteld op TRUE, moet u ook een waarde voor de renewalCert-toets of de naam van de KeyContainer. U moet de sleutel exporteerbaar niet instellen omdat u de eigenschappen van een bestaande sleutel niet wijzigen. In dit geval wordt geen sleutelmateriaal gegenereerd wanneer de certificaataanvraag is gebouwd.|de waarde True, false|UseExistingKeySet = true|
    |KeyProtection|Hiermee geeft u een waarde die aangeeft hoe een persoonlijke sleutel wordt beschermd vóór gebruik.|XCN_NCRYPT_UI_NO_PROTCTION_FLAG - 0

    XCN_NCRYPT_UI_PROTECT_KEY_FLAG - 1

    XCN_NCRYPT_UI_forCE_HIGH_PROTECTION_FLAG - 2|KeyProtection = NCRYPT_UI_forCE_HIGH_PROTECTION_FLAG|
    |SuppressDefaults|Hiermee geeft u een Booleaanse waarde die aangeeft of de standaardextensies en -kenmerken worden opgenomen in de aanvraag. De standaardinstellingen worden vertegenwoordigd door de object-id (OID's).|de waarde True, false|SuppressDefaults = true|
    |FriendlyName|Een beschrijvende naam voor het nieuwe certificaat.|Sms-bericht|FriendlyName = "Server1"|
    |ValidityperiodUnits Opmerking: deze wordt alleen gebruikt wanneer het verzoek Typ = certificaat.|Bevat een nummer van rechten die met Validityperiod worden gebruikt.|Numerieke waarde|ValidityperiodUnits = 3|
    |ValidityPeriod Opmerking: deze wordt alleen gebruikt wanneer het verzoek Typ = certificaat.|VValidityperiod moet een Amerikaans Engels meervoudige periode.|Jaren, maanden, weken, dagen, uren, minuten, seconden|ValidityPeriod = jaar|
    Ga terug naar inhoud
    [Extensions]
    Deze sectie is optioneel.
    |Extensie OID|Definitie|Waarde|Voorbeeld|
    |---------|-------|-----|------|
    |2.5.29.17|||2.5.29.17 = "{tekst}"|
    |continue\|||continue\ = "UPN=User@Domain.com &"|
    |continue\|||continue\ = "EMail=User@Domain.com &"|
    |continue\|||continue\ = "DNS=host.domain.com &"|
    |continue\|||continue\ = ' directoryName = CN = naam, DC = domein, DC = com & '|
    |continue\|||continue\ = "URL = http://host.domain.com/default.html &"|
    |continue\|||continue\ = ' IP-adres 10.0.0.1 = & '|
    |continue\|||continue\ = ' registeredId = 1.2.3.4.5 & '|
    |continue\|||continue\ = "1.2.3.4.6.1={utf8}String &"|
    |continue\|||continue\ = "1.2.3.4.6.2={octet}AAECAwQFBgc= &"|
    |continue\|||continue\ = "1.2.3.4.6.2={octet}{hex}00 01 02 03 04 05 06 07 &"|
    |continue\|||continue\ = "1.2.3.4.6.3={asn}BAgAAQIDBAUGBw== &"|
    |continue\|||continue\ = "1.2.3.4.6.3={hex}04 08 00 01 02 03 04 05 06 07"|
    |2.5.29.37|||2.5.29.37="{Text}"|
    |continue\|||continue\ = "1.3.6.1.5.5.7.|
    |continue\|||continue\ = "1.3.6.1.5.5.7.3.1"|
    |2.5.29.19|||"{tekst} ca 0pathlength = 3 ="|
    |Kritieke|||Kritieke 2.5.29.19 =|
    |KeySpec|||at_NONE - 0

    is - 2

    at_KEYEXchange - 1|
    |RequestType|||PKCS10 - 1

    PKCS7 - 2

    CMC - 3

    Certificaat - 4|
    |KeyUsage|||CERT_DIGITAL_SIGNatURE_KEY_USAGE - 80 (128)

    CERT_NON_REPUDIatION_KEY_USAGE - 40 (64)

    CERT_KEY_ENcipherMENT_KEY_USAGE - 20 (32)

    CERT_DatA_ENcipherMENT_KEY_USAGE - 10 (16)

    CERT_KEY_AGREEMENT_KEY_USAGE - 8

    CERT_KEY_CERT_SIGN_KEY_USAGE - 4

    CERT_offline_CRL_SIGN_KEY_USAGE - 2

    CERT_CRL_SIGN_KEY_USAGE - 2

    CERT_ENcipher_ONLY_KEY_USAGE - 1

    CERT_DEcipher_ONLY_KEY_USAGE - 8000 (32768)|
    |KeyUsageProperty|||NCRYPT_ALLOW_DECRYPT_FLAG - 1

    NCRYPT_ALLOW_SIGNING_FLAG - 2

    NCRYPT_ALLOW_KEY_AGREEMENT_FLAG - 4

    NCRYPT_ALLOW_ALL_USAGES - ffffff (16777215)|
    |KeyProtection|||NCRYPT_UI_NO_PROTECTION_FLAG - 0

    NCRYPT_UI_PROTECT_KEY_FLAG - 1

    NCRYPT_UI_forCE_HIGH_PROTECTION_FLAG - 2|
    |SubjectNameFlags|sjabloon||CT_FLAG_SUBJECT_REQUIRE_COMMON_NAME - 40000000 (1073741824)

    CT_FLAG_SUBJECT_REQUIRE_dirECTORY_path - 80000000 (2147483648)

    CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN - 10000000 (268435456)

    CT_FLAG_SUBJECT_REQUIRE_EMAIL - 20000000 (536870912)

    CT_FLAG_OLD_CERT_SUPPLIES_SUBJECT_AND_ALT_NAME - 8

    CT_FLAG_SUBJECT_ALT_REQUIRE_dirECTORY_GUID - 1000000 (16777216)

    CT_FLAG_SUBJECT_ALT_REQUIRE_DNS - 8000000 (134217728)

    CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS - 400000 (4194304)

    CT_FLAG_SUBJECT_ALT_REQUIRE_EMAIL - 4000000 (67108864)

    CT_FLAG_SUBJECT_ALT_REQUIRE_SPN - 800000 (8388608)

    CT_FLAG_SUBJECT_ALT_REQUIRE_UPN - 2000000 (33554432)|
    |X500NameFlags|||CERT_NAME_STR_NONE - 0

    CERT_OID_NAME_STR - 2

    CERT_X500_NAME_STR - 3

    CERT_NAME_STR_SEMICOLON_FLAG - 40000000 (1073741824)

    CERT_NAME_STR_NO_PLUS_FLAG - 20000000 (536870912)

    CERT_NAME_STR_NO_QUOTING_FLAG - 10000000 (268435456)

    CERT_NAME_STR_CRLF_FLAG - 8000000 (134217728)

    CERT_NAME_STR_COMMA_FLAG - 4000000 (67108864)

    CERT_NAME_STR_REverSE_FLAG - 2000000 (33554432)

    CERT_NAME_STR_forWArd_FLAG - 1000000 (16777216)

    CERT_NAME_STR_DISABLE_IE4_UTF8_FLAG - 10000 (65536)

    CERT_NAME_STR_ENABLE_T61_UNICODE_FLAG - 20000 (131072)

    CERT_NAME_STR_ENABLE_UTF8_UNICODE_FLAG - 40000 (262144 PAST)

    CERT_NAME_STR_forCE_UTF8_dir_STR_FLAG - 80000 (524288)

    CERT_NAME_STR_DISABLE_UTF8_dir_STR_FLAG - 100000 (1048576)

    CERT_NAME_STR_ENABLE_PUNYCODE_FLAG - 200000 (2097152)|
    Ga terug naar inhoud
    [!NOTE]
    SubjectNameFlags kan het INF-bestand op te geven welke extensie onderwerp en de SubjectAltName velden worden automatisch ingevuld door certreq op basis van de huidige gebruiker of het huidige computereigenschappen: DNS-naam, UPN, enzovoort. Met behulp van de letterlijke sjabloon betekent dat de sjabloon naam markeringen in plaats daarvan worden gebruikt. Hiermee wordt een enkele INF-bestand moet worden gebruikt in meerdere context voor het genereren van aanvragen met context-specifieke onderwerp.

X500NameFlags geeft de vlaggen moeten rechtstreeks aan CertStrToName API worden doorgegeven als de waarde van de sleutels onderwerp INF-bestand wordt geconverteerd naar een ASN.1 gecodeerd DN-naam.
Een certificaat aanvragen gebaseerd met certreq-nieuwe gebruiker de stap in het voorbeeld hieronder:

Waarschuwing

De inhoud voor dit onderwerp is gebaseerd op de standaardinstellingen voor Windows Server 2008 AD CS; bijvoorbeeld, als de sleutellengte op 2048 Microsoft Sleutelarchiefprovider selecteren als de CSP en het gebruik van Secure Hash-algoritme SHA1 (1). Deze opties om de vereisten van het beleid van uw bedrijf s beveiliging beoordelen.
Maak een kopie van het bestand (.inf) en sla het onderstaande voorbeeld toe in Kladblok en opslaan als RequestConfig.inf:

[NewRequest]   
Subject = "CN=<FQDN of computer you are creating the certificate>"   
Exportable = TRUE   
KeyLength = 2048   
KeySpec = 1   
KeyUsage = 0xf0   
MachineKeySet = TRUE   
[Requestattributes]  
CertificateTemplate= WebServer   
[Extensions]   
OID = 1.3.6.1.5.5.7.3.1   
OID = 1.3.6.1.5.5.7.3.2  

Typ de opdracht hieronder op de computer waarvoor u een certificaat hebt aangevraagd:

CertReq  New RequestConfig.inf CertRequest.req  

Het volgende voorbeeld bevat de syntaxis van de sectie [Strings] voor OID's en andere moeilijk te interpreteren gegevens implementeren. De nieuwe {tekst} syntaxisvoorbeeld voor EKU-extensie, die een door komma's gescheiden lijst met OID's gebruikt:

[version]  
Signature="$Windows NT$  
[Strings]  
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"  
szOID_PKIX_KP_SERver_AUTH = "1.3.6.1.5.5.7.3.1"  
szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"  
[NewRequest]  
Subject = "CN=TestSelfSignedCert"  
Requesttype = Cert  
[Extensions]  
%szOID_ENHANCED_KEY_USAGE%="{text}%szOID_PKIX_KP_SERver_AUTH%,"  
_continue_ = "%szOID_PKIX_KP_CLIENT_AUTH%"  

Ga terug naar inhoud

Certreq-accepteren

CertReq -accept [Options] [CertChainFileIn | FullResponseFileIn | CertFileIn]  

De parameter accepteren de eerder gegenereerd persoonlijke sleutel met het uitgegeven certificaat koppelingen en Hiermee verwijdert u de aanvraag van het systeem waar het certificaat is aangevraagd (als er een overeenkomende verzoek).
U kunt dit voorbeeld gebruiken voor het accepteren van handmatig een certificaat:

certreq -accept certnew.cer  
Waarschuwing

De - woord accepteren, wordt het - gebruiker en computer geven aan of het certificaat worden geïnstalleerd in de gebruiker of machine context moet worden geïnstalleerd. Als er s een uitstaande aanvraag in een context die overeenkomt met de openbare sleutel wordt geïnstalleerd, zijn geen opties nodig. Als er geen openstaande aanvraag, moet klikt u vervolgens een van deze worden opgegeven.
Ga terug naar inhoud

Certreq-beleid

certreq -policy [-attrib attributestring] [-binary] [-cert CertID] [RequestFileIn [PolicyFileIn [RequestFileOut [PKCS10FileOut]]]]  
  • Het configuratiebestand dat de beperkingen die zijn toegepast op een CA-certificaat definieert wanneer gekwalificeerde ondergeschiktheid is gedefinieerd heet Policy.inf...
  • U vindt een voorbeeld van het bestand Policy.inf in de aanhangsel A van plan en implementatie van meerdere-certificering en gekwalificeerde ondergeschiktheid wit papier.
  • Als u de certreq typt-beleid zonder een aanvullende parameter wordt er een venster dialoogvenster geopend zodat u kunt de aangevraagd veld (vereist, cmc, txt, der, cer of crt). Zodra u het aangevraagde bestand selecteert en klik op de knop openen, wordt een ander dialoogvenster geopend om het INF-bestand selecteren.
    In dit voorbeeld kunt u een cross certificaataanvraag maken:
    certreq -policy Certsrv.req Policy.inf newcertsrv.req
    Ga terug naar inhoud
    ## Certreq-aanmeldingen
    certreq -sign [Options] [RequestFileIn [RequestFileOut]]
  • Als u de certreq typt-aanmelden zonder een aanvullende parameter wordt er een venster dialoogvenster geopend, zodat u het gewenste bestand (vereist, cmc, txt, der, cer of crt) kunt selecteren.
  • De aanvraag voor gekwalificeerde ondergeschiktheid ondertekening mogelijk ondernemingsbeheerder referenties nodig. Dit is een aanbevolen procedure voor het verlenen van handtekeningcertificaten voor gekwalificeerde ondergeschiktheid.
  • Het certificaat dat wordt gebruikt voor het ondertekenen van de aanvraag voor gekwalificeerde ondergeschiktheid wordt gemaakt met de gekwalificeerde ondergeschiktheid-sjabloon. Ondernemingsadministrators moeten de aanvraag ondertekenen of aan de gebruiker machtigingen verlenen voor de personen die het certificaat ondertekent.
  • Wanneer u de CMC-aanvraag zich aanmeldt, moet u mogelijk zijn dat meerdere personen die deze aanvraag, afhankelijk van het niveau assurance die is gekoppeld aan de gekwalificeerde ondergeschiktheid ondertekenen.
  • Als de bovenliggende Certificeringsinstantie van de gekwalificeerde onderliggende Certificeringsinstantie u installeert offline is, moet u het CSP-certificaat voor de gekwalificeerde onderliggende Certificeringsinstantie van het offline bovenliggende. Als de bovenliggende Certificeringsinstantie online is, geeft u het CA-certificaat voor de gekwalificeerde onderliggende CA tijdens de Wizard installatie van Certificate Services.
    De volgorde van de onderstaande opdrachten wordt beschreven hoe een nieuwe certificaataanvraag maken, te ondertekenen en te verzenden:
    certreq -new policyfile.inf MyRequest.req certreq -sign MyRequest.req MyRequest_Sign.req certreq -submit MyRequest_Sign.req MyRequest_cert.cer
    Ga terug naar inhoud
    ## Certreq-inschrijven
    Om in te schrijven naar een certificaat
    certreq enroll [Options] TemplateName
    Een bestaand certificaat vernieuwen
    certreq enroll cert CertId [Options] renew [ReuseKeys]
    U kunt alleen certificaten die geldige tijd zijn verlengen. Verlopen certificaten kunnen niet worden vernieuwd en moeten worden vervangen door een nieuw certificaat.
    Hier een voorbeeld van een certificaat met behulp van het serienummer te vernieuwen:
    certreq enroll -machine cert "61 2d 3c fe 00 00 00 00 00 05" renew
    Hier een voorbeeld van het registreren van een certificaatsjabloon abonneedatabase aangeroepen door het sterretje () gebruiken de beleidsserver via U/I: selecteren
    certreq -enroll machine policyserver * "WebServer"
    Ga terug naar inhoud
    ## Opties
    |Opties|Beschrijving|
    |------|--------|
    |-alle|ervoor zorgen dat ICertRequest om te bepalen versleuteling type.|
    |-%{attrib/ |Hiermee geeft u de naam en waarde tekenreeks-paren, gescheiden door een dubbele punt.

    Afzonderlijke tekenreeks voor naam en waarde-paren met \n (bijvoorbeeld Name1:Value1\nName2:Value2).|
    |-binaire|indelingen uitvoer bestanden als binaire in plaats van base64-gecodeerd.|
    |-PolicyServer *
    |"ldap: "

    De URI of unieke ID voor een computer met de webservice Certificaatinschrijving invoegen.

    Om aan te geven dat u gebruiken van een verzoek-bestand wilt door te bladeren, gebruikt u een minteken (-) teken voor .|
    |-config |De werking verwerkt met behulp van de Certificeringsinstantie in de configuratiereeks, die CAhostname\CAName. Geef de inschrijvingsserver URI voor https-verbinding. Opslaan voor de lokale machine CA, gebruikt u een minteken (-) ondertekenen.|
    |-Anonieme|Gebruik anonieme referenties voor de webservice Certificaatinschrijving.|
    |Kerberos-|Gebruik van Kerberos (domein)-referenties voor de webservice Certificaatinschrijving.|
    |-ClientCertificate |U kunt vervangen de met een certificaatvingerafdruk, CN, EKU, sjabloon, e-mailadres, UPN en de naam van de nieuwe waarde syntaxis =.|
    |-Gebruikersnaam |Met de webservice Certificaatinschrijving gebruikt. U kunt ook met de naam van de SAM of domein\gebruiker. Deze optie is voor gebruik met de optie -p.|
    |-p |Met de webservice Certificaatinschrijving gebruikt. vervangen door met het wachtwoord van de feitelijke gebruiker. Deze optie is voor gebruik met de optie - UserName.|
    |-gebruiker|Hiermee configureert u de - gebruikerscontext voor een nieuwe certificaataanvraag of geeft u de context voor een de certificaatacceptatie van een. Dit is de standaard-context als er niets is opgegeven in het INF-bestand of de sjabloon.|
    |-machine|Hiermee geeft u de context voor of een nieuwe certificaataanvraag configureert een de certificaatacceptatie van een voor de context van de computer. Het moet consistent zijn met de sleutel MachineKeyset INF-bestand en de context van de sjabloon zijn naar nieuwe aanvragen. Als deze optie niet opgegeven is en een context die niet is ingesteld met de sjabloon, wordt standaard de gebruikerscontext.|
    |crl-|Certificaatintrekkingslijsten (CRL's) in de uitvoer naar de met base64 gecodeerde PKCS #7 bestand opgegeven door CertKetenBestandUit of naar de met base64 gecodeerde bestand opgegeven door AanvraagbestandUit bevat.|
    |rpc-|Hiermee geeft u actieve map certificaatservices (AD CS) een RPC gesprek (RPC) server-verbinding gebruiken in plaats van Distributed COM.|
    |-AdminforceMachine|Via de sleutel Service of de imitatie dien de aanvraag uit de context van de lokale systeemaccount. Vereist dat de aanroepen van deze optie gebruiker lid is van de lokale groep Administrators.|
    |-renewOnBehalfOf|Vernieuwen van een namens de certificaathouder vermeld in het handtekeningcertificaat indienen. Hiermee wordt CR_IN_ROBO ingesteld om te bellen ICertRequest::verzenden|
    |-f|ervoor zorgen dat bestaande bestanden worden overschreven. Dit omzeilt ook cachebewerkingen sjablonen en beleid.|
    |-q|Gebruik stille modus; alle interactieve prompts onderdrukken.|
    |Unicode-|Schrijft Unicode-uitvoer als standaard uitvoer is omgeleid of sluizen naar een andere opdracht, waarmee wanneer dat vanuit Windows PowerShell-scripts).|
    |-UnicodeText|Unicode-uitvoer verzendt bij het schrijven van tekst met base64 gecodeerde gegevensblobs naar bestanden.|
    Ga terug naar inhoud
    ## indelingen
    |indelingen|Beschrijving|
    |------|--------|
    |AanvraagbestandIn|De naam van de met base64 gecodeerde of binaire invoerbestand: PKCS #10 certificaataanvraag, CMS certificaataanvraag, aanvraag voor certificaatvernieuwing PKCS #7, x.509-certificaat moet kruiscertificering of KeyGen tag indeling certificaataanvraag wordt verzocht.|
    |AanvraagbestandUit|Naam van het uitvoerbestand Base64-codering|
    |CertBestandUit|Met base64 gecodeerde X-509 bestandsnaam.|
    |PKCS10FileOut|voor gebruik met de Certreq-beleid woord alleen. Base64-gecodeerd PKCS10 naam van het uitvoerbestand.|
    |CertKetenBestandUit|Met base64 gecodeerde PKCS #7 bestandsnaam.|
    |FullResponseFileOut|Bestandsnaam van het volledige antwoord Base64-gecodeerd.|
    |BeleidsbestandIn|voor gebruik met de Certreq-beleid woord alleen. INF-bestand met een tekstweergave van de uitbreidingen die worden gebruikt om een aanvraag te kwalificeren.|
    ## Als u meer certreq voorbeelden
    De volgende artikelen bevatten voorbeelden van certreq gebruik:
  • Het aanvragen van een certificaat met een aangepaste alternatieve onderwerpnaam
  • Test Lab Guide: Een PKI-hiërarchie met twee lagen implementeren in AD CS
  • Aanhangsel 3: Certreq.exe syntaxis
  • Het handmatig maken van een webserver SSL-certificaat
  • Een AMT-Inrichtingscertificaat met behulp van een Windows Server 2008-Certificeringsinstantie aanvraagt
  • Certificaatinschrijving voor System Center Operations Manager-Agent
  • Stapsgewijze handleiding voor AD CS: implementatie van PKI-hiërarchie met twee lagen
  • LDAP via SSL inschakelen met een derde certificeringsinstantie (CA)
    Ga terug naar inhoud
© 2017 Microsoft