Freigeben über


certutil

Achtung

Certutil in einem Produktionscode wird nicht empfohlen, und es bietet keine Garantien für Live-Site-Support oder App-Kompatibilitäten. Es ist ein Tool, das von Entwicklern und IT-Administratoren verwendet wird, um Zertifikatinhaltsinformationen auf Geräten anzuzeigen.

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikatdienste installiert wird. Sie können certutil.exe verwenden, um Konfigurationsinformationen zur Zertifizierungsstelle anzuzeigen, Zertifikatdienste zu konfigurieren sowie Zertifizierungsstellenkomponenten zu sichern und wiederherzustellen. Das Programm überprüft darüber hinaus Zertifikate, Schlüsselpaare und Zertifikatketten.

Wenn certutil ohne zusätzliche Parameter für eine Zertifizierungsstelle ausgeführt wird, zeigt es die aktuelle Konfiguration der Zertifizierungsstelle an. Wenn certutil ohne weitere Parameter mit etwas anderem als einer Zertifizierungsstelle ausgeführt wird, wird standardmäßig der Befehl certutil -dump ausgeführt. Nicht alle Versionen von certutil stellen alle Parameter und Optionen bereit, die in diesem Dokument beschrieben werden. Sie können die von Ihrer Version von certutil bereitgestellten Optionen anzeigen, indem Sie certutil -? oder certutil <parameter> -? ausführen.

Tipp

Um die vollständige Hilfe für alle Certutil-Verben und -Optionen anzuzeigen, einschließlich derer, die mit dem -?-Argument ausgeblendet sind, führen Sie certutil -v -uSAGE aus. Beim Schalter uSAGE muss die Groß-/Kleinschreibung beachtet werden.

Parameter

-dump

Sichert Konfigurationsinformationen oder -dateien.

certutil [options] [-dump]
certutil [options] [-dump] File

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Sichert die PFX-Struktur.

certutil [options] [-dumpPFX] File

Optionen:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analysiert den Inhalt einer Datei mithilfe der ASN.1-Syntax (Abstract Syntax Notation) und zeigt ihn an. Zu den Dateitypen gehören . CER. Der- und PKCS #7-formatierte Dateien.

certutil [options] -asn File [type]
  • [type]: numerischer CRYPT_STRING_*-Decodierungstyp

-decodehex

Decodiert eine hexadezimal codierte Datei.

certutil [options] -decodehex InFile OutFile [type]
  • [type]: numerischer CRYPT_STRING_*-Decodierungstyp

Optionen:

[-f]

-encodehex

Codiert eine Datei im Hexadezimalformat.

certutil [options] -encodehex InFile OutFile [type]
  • [type]: numerischer CRYPT_STRING_*-Codierungstyp

Optionen:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodiert eine Base64-codierte Datei.

certutil [options] -decode InFile OutFile

Optionen:

[-f]

-encode

Codiert eine Datei in Base64.

certutil [options] -encode InFile OutFile

Optionen:

[-f] [-unicodetext]

-deny

Lehnt eine ausstehende Anforderung ab.

certutil [options] -deny RequestId

Optionen:

[-config Machine\CAName]

-resubmit

Sendet eine ausstehende Anforderung erneut.

certutil [options] -resubmit RequestId

Optionen:

[-config Machine\CAName]

-setattributes

Legt Attribute für eine ausstehende Zertifikatanforderung fest.

certutil [options] -setattributes RequestId AttributeString

Hierbei gilt:

  • RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.
  • AttributeString enthält die Name-Wert-Paare der Anforderung.

Optionen:

[-config Machine\CAName]

Hinweise

  • Namen und Werte müssen durch einen Doppelpunkt und die verschiedenen Name-Wert-Paare müssen durch einen Zeilenumbruch voneinander getrennt werden. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com, wobei die \n-Sequenz in ein Zeilenumbruchtrennzeichen konvertiert wird.

-setextension

Festlegen einer Erweiterung für eine ausstehende Zertifikatanforderung.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Hierbei gilt:

  • requestID ist die numerische Anforderungs-ID für die ausstehende Anforderung.
  • ExtensionName ist die ObjectId-Zeichenfolge für die Erweiterung.
  • Flags legt die Priorität der Erweiterung fest. 0 wird empfohlen. 1 legt die Erweiterung auf „kritisch“ fest, 2 deaktiviert die Erweiterung und 3 führt beides aus.

Optionen:

[-config Machine\CAName]

Hinweise

  • Wenn der letzte Parameter numerisch ist, wird er als Long verwendet.
  • Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Date verwendet.
  • Wenn der letzte Parameter mit \@ beginnt, wird der Rest des Tokens als Dateiname mit Binärdaten oder als ASCII-Text-Hexabbild verwendet.
  • Wenn der letzte Parameter abweicht, wird er als Zeichenfolge verwendet.

-revoke

Sperrt ein Zertifikat.

certutil [options] -revoke SerialNumber [Reason]

Hierbei gilt:

  • SerialNumber ist eine durch Trennzeichen getrennte Liste der zu sperrenden Zertifikatsseriennummern.
  • Reason ist die numerische oder symbolische Darstellung des Grunds für die Sperrung, einschließlich:
    • 0. CRL_REASON_UNSPECIFIED – Nicht angegeben (Standard)
    • 1. CRL_REASON_KEY_COMPROMISE – Gefährdung des Schlüssels
    • 2. CRL_REASON_CA_COMPROMISE – Gefährdung der Zertifizierungsstelle
    • 3. CRL_REASON_AFFILIATION_CHANGED – Geänderte Zuordnung
    • 4. CRL_REASON_SUPERSEDED – Abgelöst
    • 5. CRL_REASON_CESSATION_OF_OPERATION – Einstellung des Vorgangs
    • 6. CRL_REASON_CERTIFICATE_HOLD – Pausiertes Zertifikat
    • 8. CRL_REASON_REMOVE_FROM_CRL – aus Zertifikatssperrliste entfernen
    • 9: CRL_REASON_PRIVILEGE_WITHDRAWN – Berechtigung zurückgezogen
    • 10: CRL_REASON_AA_COMPROMISE – AA-Kompromiss
    • -1. Widerrufen rückgängig machen - Hebt die Sperrung auf

Optionen:

[-config Machine\CAName]

-isvalid

Zeigt die Anordnung des aktuellen Zertifikats an.

certutil [options] -isvalid SerialNumber | CertHash

Optionen:

[-config Machine\CAName]

-getconfig

Ruft die Standardkonfigurationszeichenfolge ab.

certutil [options] -getconfig

Optionen:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ruft die Standardkonfigurationszeichenfolge über ICertGetConfig ab.

certutil [options] -getconfig2

Optionen:

[-idispatch] 

-getconfig3

Ruft die Konfiguration über ICertConfig ab.

certutil [options] -getconfig3

Optionen:

[-idispatch] 

-ping

Versucht, die Anforderungsschnittstelle der Active Directory-Zertifikatdienste zu kontaktieren.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Hierbei gilt:

  • CAMachineList ist eine durch Trennzeichen getrennte Liste von Computernamen der Zertifizierungsstellen. Verwenden Sie für einen einzelnen Computer ein schließendes Komma. Diese Option zeigt auch die Standortkosten für jeden Computer einer Zertifizierungsstelle an.

Optionen:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Versucht, die Administratorschnittstelle der Active Directory-Zertifikatdienste zu kontaktieren.

certutil [options] -pingadmin

Optionen:

[-config Machine\CAName]

-CAInfo

Zeigt Informationen zur Zertifizierungsstelle an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Hierbei gilt:

  • InfoName gibt die anzuzeigende Zertifizierungsstelleneigenschaft basierend auf der folgenden infoname-Argumentsyntax an:
    • * – Zeigt alle Eigenschaften an
    • ads – Advanced Server
    • aia [Index] – AIA-URLs
    • cdp [Index] – CDP-URLs
    • cert [Index] – Zertifizierungsstellenzertifikat
    • certchain [Index] – Zertifizierungsstellen-Zertifikatkette
    • certcount – Anzahl der Zertifizierungsstellen für das Zertifikat
    • certcrlchain [Index] – Zertifizierungsstellen-Zertifikatkette mit Sperrlisten
    • certstate [Index] – Zertifizierungsstellenzertifikat
    • certstatuscode [Index] – Überprüfungsstatus des Zertifizierungsstellenzertifikats
    • certversion [Index] – Zertifizierungsstellen-Zertifikatversion
    • CRL [Index] – Basissperrliste
    • crlstate [Index] – Zertifikatssperrliste
    • crlstatus [Index] – Veröffentlichungsstatus der Zertifikatssperrliste
    • cross- [Index] – Kreuzzertifikat zurückleiten
    • cross+ [Index] – Kreuzzertifikat weiterleiten
    • crossstate- [Index] – Kreuzzertifikat zurückleiten
    • crossstate+ [Index] – Kreuzzertifikat weiterleiten
    • deltacrl [Index] – Deltasperrliste
    • deltacrlstatus – Veröffentlichungsstatus der Deltasperrliste
    • dns – Sperrlistenname
    • dsname – Bereinigter Kurzname der Zertifizierungsstelle (DS-Name)
    • error1 ErrorCode – Fehlermeldungstext
    • error2 ErrorCode – Fehlermeldungstext und Fehlercode
    • exit [Index] – Beschreibung des Exit-Moduls
    • exitcount – Anzahl des Exit-Moduls
    • file – Dateiversion
    • info – Zertifizierungsstelleninformation
    • kra [Index] – KRA-Zertifikat
    • kracount – KRA-Zertifikatanzahl
    • krastate [Index] – KRA-Zertifikat
    • kraused – Verwendete KRA-Zertifikatanzahl
    • localename – Gebietsschemaname der Zertifizierungsstelle
    • name – Zertifizierungsstellenname
    • ocsp [Index] – OCSP-URLs
    • parent – Übergeordnete Zertifizierungsstelle
    • policy – Richtlinie der Modulbeschreibung
    • product – Produktversion
    • propidmax – Maximale PropId der Zertifizierungsstelle
    • role – Rollentrennung
    • sanitizedname – Bereinigter Zertifizierungsstellenname
    • sharedfolder – Freigegebener Ordner
    • subjecttemplateoids – Antragstellervorlagen-OIDs
    • templates – Vorlagen
    • type – Zertifizierungsstellentyp
    • xchg [Index] – Austauschzertifikat der Zertifizierungsstelle
    • xchgchain [Index] – Austauschzertifikatkette der Zertifizierungsstelle
    • xchgcount – Anzahl der Zertifizierungsstellen für den Zertifikataustausch
    • xchgcrlchain [Index] – Austauschzertifikatkette der Zertifizierungsstelle mit Zertifikatssperrlisten
  • index ist der optionale nullbasierte Eigenschaftenindex.
  • errorcode ist der numerische Fehlercode.

Optionen:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Zeigt Informationen zum Eigenschaftstyp der Zertifizierungsstelle an.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Optionen:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Ruft das Zertifikat für die Zertifizierungsstelle ab.

certutil [options] -ca.cert OutCACertFile [Index]

Hierbei gilt:

  • OutCACertFile ist die Ausgabedatei.
  • Index ist der Verlängerungsindex für das Zertifizierungsstellenzertifikat (standardmäßig der neueste).

Optionen:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Ruft die Zertifikatkette für die Zertifizierungsstelle ab.

certutil [options] -ca.chain OutCACertChainFile [Index]

Hierbei gilt:

  • OutCACertChainFile ist die Ausgabedatei.
  • Index ist der Verlängerungsindex für das Zertifizierungsstellenzertifikat (standardmäßig der neueste).

Optionen:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Abrufen einer Zertifikatsperrliste (Sperrliste).

certutil [options] -GetCRL OutFile [Index] [delta]

Hierbei gilt:

  • Index ist der Sperrlistenindex oder Schlüsselindex (standardmäßig Zertifikatssperrliste für den aktuellsten Schlüssel).
  • delta ist die Delta-Sperrliste (Standard ist Basis-Sperrliste).

Optionen:

[-f] [-split] [-config Machine\CAName]

-CRL

Veröffentlicht neue Zertifikatssperrlisten (CRLs) oder Deltasperrlisten.

certutil [options] -CRL [dd:hh | republish] [delta]

Hierbei gilt:

  • dd:hh ist der neue Gültigkeitszeitraum der Sperrliste in Tagen und Stunden.
  • republish veröffentlicht die neuesten Sperrlisten erneut.
  • delta veröffentlicht nur die Delta-Sperrlisten (Standard sind Basis- und Delta-Sperrlisten).

Optionen:

[-split] [-config Machine\CAName]

-shutdown

Herunterfahren der Active Directory-Zertifikatdienste.

certutil [options] -shutdown

Optionen:

[-config Machine\CAName]

-installCert

Installieren eines Zertifizierungsstellenzertifikats.

certutil [options] -installCert [CACertFile]

Optionen:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Verlängern eines Zertifizierungsstellenzertifikats.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Optionen:

[-f] [-silent] [-config Machine\CAName]
  • Verwenden von -f, um eine ausstehende Verlängerungsanforderung zu ignorieren und eine neue Anforderung zu generieren.

-schema

Sichern des Schemas für das Zertifikat.

certutil [options] -schema [Ext | Attrib | CRL]

Hierbei gilt:

  • Der Befehl ist standardmäßig in der Tabelle „Anforderung“ und „Zertifikat“ festgelegt.
  • Ext ist die Erweiterungstabelle.
  • Attribute ist die Attributtabelle.
  • CRL ist die Zertifikatssperrlistentabelle.

Optionen:

[-split] [-config Machine\CAName]

-view

Sichern der Zertifikatansicht.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Hierbei gilt:

  • Queue sichert eine bestimmte Anforderungswarteschlange.
  • Log sichert die ausgestellten oder gesperrten Zertifikate sowie alle fehlerhaften Anforderungen.
  • LogFail sichert die fehlerhaften Anforderungen.
  • Revoked sichert die gesperrten Zertifikate.
  • Ext sichert die Erweiterungstabelle.
  • Attrib sichert die Attributtabelle.
  • CRL sichert die Zertifikatssperrlistentabelle.
  • csv stellt die Ausgabe mit durch Kommata getrennten Werten bereit.

Optionen:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Hinweise

  • Geben Sie Folgendes ein, um die StatusCode-Spalte für alle Einträge anzuzeigen: -out StatusCode
  • Geben Sie Folgendes ein, um alle Spalten für den letzten Eintrag anzuzeigen: -restrict RequestId==$
  • Geben Sie Folgendes ein, um die RequestId und Disposition für drei Anforderungen anzuzeigen: -restrict requestID>=37,requestID<40 -out requestID,disposition.
  • Geben Sie Folgendes ein, um Zeilen-IDs und Zertifikatssperrlistennummern für alle Basissperrlisten anzuzeigen: -restrict crlminbase=0 -out crlrowID,crlnumber crl.
  • Geben Sie Folgendes ein, um die Basissperrliste 3 anzuzeigen: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl.
  • Geben Sie zum Anzeigen der gesamten Sperrlistentabelle Folgendes ein: CRL
  • Verwenden von Date[+|-dd:hh] für Datumseinschränkungen.
  • Verwenden von now+dd:hh für ein Datum relativ zur aktuellen Zeit.
  • Vorlagen enthalten erweiterte Schlüsselverwendungen (Extended Key Usages, EKUs). Dabei handelt es sich um Objektbezeichner (OIDs), die beschreiben, wie das Zertifikat verwendet wird. Zertifikate enthalten nicht immer allgemeine Vorlagennamen oder Anzeigenamen, aber sie enthalten immer die Vorlagen-EKUs. Sie können die EKUs für eine bestimmte Zertifikatvorlage aus Active Directory extrahieren und dann Ansichten basierend auf dieser Erweiterung einschränken.

-db

Sichern der unformatierten Datenbank.

certutil [options] -db

Optionen:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Löschen einer Zeile aus der Serverdatenbank.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Hierbei gilt:

  • Request löscht die fehlerhaften und ausstehenden Anforderungen basierend auf dem Übermittlungsdatum.
  • Cert löscht die abgelaufenen und widerrufenen Zertifikate basierend auf dem Ablaufdatum.
  • Ext löscht die Erweiterungstabelle.
  • Attrib löscht die Attributtabelle.
  • CRL löscht die Zertifikatssperrlistentabelle.

Optionen:

[-f] [-config Machine\CAName]

Beispiele

  • Geben Sie Folgendes ein, um fehlerhafte und ausstehende Anforderungen zu löschen, die vor dem 22. Januar 2001 übermittelt wurden: 1/22/2001 request
  • Geben Sie Folgendes ein, um alle Zertifikate zu löschen, die vor dem 22. Januar 2001 abgelaufen sind: 1/22/2001 cert
  • Geben Sie Folgendes ein, um die Zertifikatzeile, Attribute und Erweiterungen für RequestID 37 zu löschen: 37
  • Geben Sie Folgendes ein, um Sperrlisten zu löschen, die vor dem 22. Januar 2001 abgelaufen sind: 1/22/2001 crl

Hinweis

Date erwartet als Format mm/dd/yyyy und nicht dd/mm/yyyy, also z. B. 1/22/2001 anstelle von 22/1/2001 für den 22. Januar 2001. Wenn Ihr Server nicht mit Einstellungen einer US-Region konfiguriert ist, kann die Verwendung des Date-Arguments zu unerwarteten Ergebnissen führen.

-backup

Sichern der Active Directory-Zertifikatdienste.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Daten.
  • Incremental führt nur eine inkrementelle Sicherung aus (Standard ist vollständige Sicherung).
  • KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien gekürzt).

Optionen:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Sichern der Active Directory-Zertifikatdienste-Datenbank.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis zum Speichern der gesicherten Datenbankdateien.
  • Incremental führt nur eine inkrementelle Sicherung aus (Standard ist vollständige Sicherung).
  • KeepLog behält die Datenbankprotokolldateien bei (standardmäßig werden Protokolldateien gekürzt).

Optionen:

[-f] [-config Machine\CAName]

-backupkey

Sichern des Zertifikats und des privaten Schlüssels der Active Directory-Zertifikatdienste.

certutil [options] -backupkey BackupDirectory

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis zum Speichern der gesicherten PFX-Datei.

Optionen:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Wiederherstellen der Active Directory-Zertifikatdienste.

certutil [options] -restore BackupDirectory

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis, das die wiederherzustellenden Daten enthält.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Wiederherstellen der Datenbank der Active Directory-Zertifikatdienste.

certutil [options] -restoredb BackupDirectory

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis, das die wiederherzustellenden Datenbankdateien enthält.

Optionen:

[-f] [-config Machine\CAName]

-restorekey

Wiederherstellen des Zertifikats und des privaten Schlüssels der Active Directory-Zertifikatdienste.

certutil [options] -restorekey BackupDirectory | PFXFile

Hierbei gilt:

  • BackupDirectory ist das Verzeichnis, das die wiederherzustellende PFX-Datei enthält.
  • PFXFile ist die PFX-Datei, die wiederhergestellt werden soll.

Optionen:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Exportiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten.
  • PFXFile ist die zu exportierende PFX-Datei.
  • Modifiers ist eine durch Trennzeichen getrennte Liste, die eines oder mehrere der folgenden Elemente enthalten kann:
    • CryptoAlgorithm= gibt den Kryptografiealgorithmus an, der zum Verschlüsseln der PFX-Datei verwendet werden soll, z. B. TripleDES-Sha1 oder Aes256-Sha256.
    • EncryptCert verschlüsselt den privaten Schlüssel, der dem Zertifikat zugeordnet ist, mit einem Kennwort.
    • ExportParameters exportiert zusätzlich zum Zertifikat und dem privaten Schlüssel auch die Parameter des privaten Schlüssels.
    • ExtendedProperties schließt alle erweiterten Eigenschaften in die Ausgabedatei ein, die dem Zertifikat zugeordnet sind.
    • NoEncryptCert exportiert den privaten Schlüssel, ohne ihn zu verschlüsseln.
    • NoChain importiert die Zertifikatkette nicht.
    • NoRoot importiert das Stammzertifikat nicht.

-importPFX

Importiert die Zertifikate und privaten Schlüssel. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.
  • PFXFile ist die zu importierende PFX-Datei.
  • Modifiers ist eine durch Trennzeichen getrennte Liste, die eines oder mehrere der folgenden Elemente enthalten kann:
    • AT_KEYEXCHANGE ändert den KeySpec-Wert in Schlüsselaustausch.
    • AT_SIGNATURE ändert den KeySpec-Wert in Signatur.
    • ExportEncrypted exportiert den privaten Schlüssel, der dem Zertifikat zugeordnet ist, mit Kennwortverschlüsselung.
    • FriendlyName= gibt einen Anzeigenamen für das importierte Zertifikat an.
    • KeyDescription= gibt eine Beschreibung für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
    • KeyFriendlyName= gibt einen Anzeigenamen für den privaten Schlüssel an, der dem importierten Zertifikat zugeordnet ist.
    • NoCert importiert das Zertifikat nicht.
    • NoChain importiert die Zertifikatkette nicht.
    • NoExport legt den privaten Schlüssel als nicht exportierbar fest.
    • NoProtect schützt Schlüssel nicht mithilfe eines Kennworts.
    • NoRoot importiert das Stammzertifikat nicht.
    • Pkcs8 verwendet das PKCS8-Format für den privaten Schlüssel in der PFX-Datei.
    • Protect schützt Schlüssel mithilfe eines Kennworts.
    • ProtectHigh gibt an, dass dem privaten Schlüssel ein Kennwort mit hoher Sicherheit zugeordnet werden muss.
    • VSM speichert den privaten Schlüssel, der dem importierten Zertifikat zugeordnet ist, im VSC-Container (Virtual Smart Card).

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Hinweise

  • Standardmäßig wird „persönlicher Computerspeicher“ verwendet.

-dynamicfilelist

Anzeigen einer dynamische Dateiliste.

certutil [options] -dynamicfilelist

Optionen:

[-config Machine\CAName]

-databaselocations

Anzeigen eines Datenbankspeicherorts.

certutil [options] -databaselocations

Optionen:

[-config Machine\CAName]

-hashfile

Generieren und Anzeigen eines kryptografischen Hash über eine Datei.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Sichern des Zertifikatspeichers.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten. Diese ID kann Folgendes sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL, CTL oder Hash des öffentlichen Schlüssels
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (..0, ..1 usw.)
    • Öffentlicher Schlüssel
    • Objekt-ID der Signatur oder Erweiterung
    • Allgemeiner Name des Zertifikatantragstellers
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU oder Anwendungsrichtlinien
    • Allgemeiner Name des CRL-Ausstellers.

Viele dieser Bezeichner können mehrere Übereinstimmungen liefern.

  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]
  • Die -user-Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die -enterprise-Option greift auf einen Enterprise-Speicher für Computer zu.
  • Die -service-Option greift auf einen Computerdienstspeicher zu.
  • Die -grouppolicy-Option greift auf einen Computergruppen-Richtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

Hinweis

Leistungsprobleme werden bei Verwendung des Parameters -store beobachtet, wenn diese beiden Aspekte zutreffen:

  1. Wenn die Anzahl der Zertifikate im Speicher 10 überschreitet.
  2. Wenn eine CertId angegeben wird, wird sie verwendet, um alle aufgelisteten Typen für jedes Zertifikat abzugleichen. Wenn beispielsweise eine Seriennummer angegeben wird, wird auch versucht, alle anderen aufgelisteten Typen abzugleichen.

Wenn Sie sich Sorgen bezüglich Leistungsproblemen machen, werden PowerShell-Befehle empfohlen, bei denen nur mit dem angegebenen Zertifikatstyp abgeglichen wird.

-enumstore

Listet die Zertifikatspeicher auf.

certutil [options] -enumstore [\\MachineName]

Hierbei gilt:

  • MachineName ist der Name des Remotecomputers.

Optionen:

[-enterprise] [-user] [-grouppolicy]

-addstore

Fügt dem Speicher ein Zertifikat hinzu. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -addstore CertificateStoreName InFile

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.
  • InFile ist die Zertifikat- oder Sperrlistendatei, die Sie im Speicher hinzufügen möchten.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Löscht ein Zertifikat aus dem Speicher. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -delstore CertificateStoreName certID

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Überprüfen eines Zertifikats im Speicher. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -verifystore CertificateStoreName [CertId]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten.

Optionen:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Reparieren einer Schlüsselzuordnung oder Aktualisieren der Zertifikateigenschaften oder des Schlüsselsicherheitsdeskriptors. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers.

  • CertIdList ist die durch Trennzeichen getrennte Liste der Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten. Weitere Informationen finden Sie in der -store CertId-Beschreibung in diesem Artikel.

  • PropertyInfFile ist die INF-Datei, die externe Eigenschaften enthält, einschließlich:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Sichern des Zertifikatspeichers. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten. Dies kann Folgendes sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL, CTL oder Hash des öffentlichen Schlüssels
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (..0, ..1 usw.)
    • Öffentlicher Schlüssel
    • Objekt-ID der Signatur oder Erweiterung
    • Allgemeiner Name des Zertifikatantragstellers
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU oder Anwendungsrichtlinien
    • Allgemeiner Name des CRL-Ausstellers.

Für viele dieser Elemente kann es zu mehreren Übereinstimmungen kommen.

  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Die -user-Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die -enterprise-Option greift auf einen Enterprise-Speicher für Computer zu.
  • Die -service-Option greift auf einen Computerdienstspeicher zu.
  • Die -grouppolicy-Option greift auf einen Computergruppen-Richtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-viewdelstore

Löscht ein Zertifikat aus dem Speicher.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Hierbei gilt:

  • CertificateStoreName ist der Name des Zertifikatspeichers. Beispiel:

    • My, CA (default), Root,
    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
    • ldap: (AD computer object certificates)
    • -user ldap: (AD user object certificates)
  • CertId ist das Übereinstimmungstoken für Zertifikate oder Zertifikatssperrlisten. Dies kann Folgendes sein:

    • Seriennummer
    • SHA-1-Zertifikat
    • CRL, CTL oder Hash des öffentlichen Schlüssels
    • Numerischer Zertifikatindex (0, 1 usw.)
    • Numerischer CRL-Index (.0, .1 usw.)
    • Numerischer CTL-Index (..0, ..1 usw.)
    • Öffentlicher Schlüssel
    • Objekt-ID der Signatur oder Erweiterung
    • Allgemeiner Name des Zertifikatantragstellers
    • E-Mail-Adresse
    • UPN- oder DNS-Name
    • Schlüsselcontainername oder CSP-Name
    • Vorlagenname oder ObjectId
    • Objekt-ID für EKU oder Anwendungsrichtlinien
    • Allgemeiner Name des CRL-Ausstellers. Für viele dieser Elemente kann es zu mehreren Übereinstimmungen kommen.
  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]
  • Die -user-Option greift auf einen Benutzerspeicher anstelle eines Computerspeichers zu.
  • Die -enterprise-Option greift auf einen Enterprise-Speicher für Computer zu.
  • Die -service-Option greift auf einen Computerdienstspeicher zu.
  • Die -grouppolicy-Option greift auf einen Computergruppen-Richtlinienspeicher zu.

Beispiel:

  • -enterprise NTAuth
  • -enterprise Root 37
  • -user My 26e0aaaf000000000004
  • CA .11

-UI

Ruft die Benutzeroberfläche von certutil auf.

certutil [options] -UI File [import]

-TPMInfo

Zeigt Informationen zum TPM (Trusted Platform Module) an.

certutil [options] -TPMInfo

Optionen:

[-f] [-Silent] [-split]

-attest

Gibt an, dass die Zertifikatanforderungsdatei bestätigt werden muss.

certutil [options] -attest RequestFile

Optionen:

[-user] [-Silent] [-split]

-getcert

Wählt ein Zertifikat auf einer Auswahlbenutzeroberfläche aus.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Optionen:

[-Silent] [-split]

-ds

Zeigt DNs (Distinguished Names) des Verzeichnisdiensts (Directory Service, DS) an.

certutil [options] -ds [CommonName]

Optionen:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Löscht DNs des Verzeichnisdiensts (DS).

certutil [options] -dsDel [CommonName]

Optionen:

[-user] [-split] [-dc DCName]

-dsPublish

Veröffentlichen eines Zertifikats oder einer Zertifikatsperrliste (Sperrliste) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Hierbei gilt:

  • CertFile ist der Name der zu veröffentlichenden Zertifikatsdatei.
  • NTAuthCA veröffentlicht das Zertifikat im DS Enterprise-Speicher.
  • RootCA veröffentlicht das Zertifikat im DS Trusted Root-Speicher.
  • SubCA veröffentlicht das Zertifizierungsstellenzertifikat im DS-Zertifizierungsstellenobjekt.
  • CrossCA veröffentlicht das Kreuzzertifikat im DS-Zertifizierungsstellenobjekt.
  • KRA veröffentlicht das Zertifikat im DS Key Recovery Agent-Objekt.
  • User veröffentlicht das Zertifikat im User DS-Objekt.
  • Machine veröffentlicht das Zertifikat im Machine DS-Objekt.
  • CRLfile ist der Name der zu veröffentlichenden Sperrlistendatei.
  • DSCDPContainer ist der DS CDP-Container-CN, normalerweise der Name des Zertifizierungsstellencomputers.
  • DSCDPCN ist der allgemeine Name (CN) des CDP-Objekts (Verteilungspunkt für die Zertifikatssperrliste) des Verzeichnisdiensts (DS), der in der Regel auf dem bereinigten Kurznamen der Zertifizierungsstelle und dem Schlüsselindex basiert.

Optionen:

[-f] [-user] [-dc DCName]
  • Verwenden Sie -f, um ein neues DS-Objekt zu erstellen.

-dsCert

Zeigt DS-Zertifikate an.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Zeigt DS-CRLs an.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Zeigt DS-Deltasperrlisten an.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Optionen:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Zeigt DS-Vorlagenattribute an.

certutil [options] -dsTemplate [Template]

Optionen:

[Silent] [-dc DCName]

-dsAddTemplate

Fügt DS-Vorlagen hinzu.

certutil [options] -dsAddTemplate TemplateInfFile

Optionen:

[-dc DCName]

-ADTemplate

Anzeigen der Active Directory-Vorlagen.

certutil [options] -ADTemplate [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

Zeigt die Vorlagen für die Zertifikatregistrierungsrichtlinie an.

Optionen:

certutil [options] -Template [Template]

Optionen:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Anzeigen der Zertifizierungsstellen für eine Zertifikatvorlage.

certutil [options] -TemplateCAs Template

Optionen:

[-f] [-user] [-dc DCName]

-CATemplates

Anzeigen der Vorlagen für die Zertifizierungsstelle.

certutil [options] -CATemplates [Template]

Optionen:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Legt die Zertifikatvorlagen fest, die von der Zertifizierungsstelle ausgegeben werden können.

certutil [options] -SetCATemplates [+ | -] TemplateList

Hierbei gilt:

  • Das Zeichen + fügt der Liste der verfügbaren Vorlagen der Zertifizierungsstelle Zertifikatvorlagen hinzu.
  • Das Zeichen - entfernt Zertifikatvorlagen aus der Liste der verfügbaren Vorlagen der Zertifizierungsstelle.

-SetCASites

Verwaltet Websitenamen, einschließlich Festlegen, Überprüfen und Löschen von Websitenamen der Zertifizierungsstelle.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Hierbei gilt:

  • SiteName ist nur zulässig, wenn eine einzelne Zertifizierungsstelle als Ziel verwendet wird.

Optionen:

[-f] [-config Machine\CAName] [-dc DCName]

Hinweise

  • Die -config-Option bezieht sich auf eine einzelne Zertifizierungsstelle (Standard sind alle Zertifizierungsstellen).
  • Die -f-Option kann verwendet werden, um Validierungsfehler für den angegebenen SiteName zu überschreiben oder alle SiteNames der Zertifizierungsstelle zu löschen.

Hinweis

Weitere Informationen zum Konfigurieren von Zertifizierungsstellen für Active Directory Domain Services(AD DS)-Standortinformationen finden Sie unter AD DS-Standortinformationen für AD CS- und PKI-Clients.

-enrollmentServerURL

Anzeigen, Hinzufügen oder Löschen einer Anmeldungsserver-URL, die einer Zertifizierungsstelle zugeordnet ist.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Hierbei gilt:

  • AuthenticationType gibt beim Hinzufügen einer URL eine der folgenden Clientauthentifizierungsmethoden an:
    • Kerberos – Verwenden der Kerberos-SSL-Anmeldeinformationen.
    • UserName – Verwenden des benannten Kontos für SSL-Anmeldeinformationen.
    • ClientCertificate – Verwenden der SSL-Anmeldeinformationen für X.509-Zertifikate.
    • Anonymous – Verwenden der anonymen SSL-Anmeldeinformationen.
  • delete löscht die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.
  • Priority ist standardmäßig auf 1 festgelegt, wenn beim Hinzufügen einer URL nichts angegeben wird.
  • Modifiers ist eine durch Trennzeichen getrennte Liste, die mindestens eines der folgenden Elemente enthält:
    • AllowRenewalsOnly erlaubt über diese URL nur die Übermittlung von Verlängerungsanforderungen an diese Zertifizierungsstelle.
    • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats, das über kein zugeordnetes Konto in AD verfügt. Dies gilt nur für die Modi ClientCertificate und AllowRenewalsOnly.

Optionen:

[-config Machine\CAName] [-dc DCName]

-ADCA

Zeigt die Active Directory-Zertifizierungsstellen an.

certutil [options] -ADCA [CAName]

Optionen:

[-f] [-split] [-dc DCName]

-CA

Zeigt die Zertifizierungsstellen für Registrierungsrichtlinien an.

certutil [options] -CA [CAName | TemplateName]

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Anzeigen der Registrierungsrichtlinie.

certutil [options] -Policy

Optionen:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Anzeigen oder Löschen der Cacheeinträge der Registrierungsrichtlinie.

certutil [options] -PolicyCache [delete]

Hierbei gilt:

  • delete löscht die Cacheeinträge des Richtlinienservers.
  • -f löscht alle Cacheeinträge

Optionen:

[-f] [-user] [-policyserver URLorID]

-CredStore

Anzeigen, Hinzufügen oder Löschen der Einträge des Anmeldeinformationenspeichers.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Hierbei gilt:

  • URL ist die Ziel-URL. Sie können auch * verwenden, um alle Einträge abzugleichen oder um https://machine* mit einem URL-Präfix abzugleichen.
  • add fügt einen Speichereintrag der Anmeldeinformationen hinzu. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmeldeinformationen.
  • delete löscht Speichereinträge der Anmeldeinformationen.
  • -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.

Optionen:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installiert die Standardzertifikatvorlagen.

certutil [options] -InstallDefaultTemplates

Optionen:

[-dc DCName]

-URL

Überprüft Zertifikat- oder CRL-URLs.

certutil [options] -URL InFile | URL

Optionen:

[-f] [-split]

-URLCache

Anzeigen oder Löschen der URL-Cacheeinträge.

certutil [options] -URLcache [URL | CRL | * [delete]]

Hierbei gilt:

  • URL ist die zwischengespeicherte URL.
  • CRL wird nur für alle zwischengespeicherten Zertifikatsperrlisten-URLs ausgeführt.
  • * wird für alle zwischengespeicherten URLs verwendet.
  • delete löscht relevante URLs aus dem lokalen Cache des aktuellen Benutzers.
  • -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.

Optionen:

[-f] [-split]

-pulse

Pulsiert ein automatisches Registrierungsereignis oder eine NGC-Aufgabe.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Hierbei gilt:

  • TaskName ist die Aufgabe, die ausgelöst werden soll.
    • Pregen ist die vor der Generierung des NGC-Schlüssels auszuführende Aufgabe.
    • AIKEnroll ist die Zertifikatregistrierungsaufgabe für den NGC-AIK. (Die Standardeinstellung ist das Ereignis für die automatische Registrierung.)
  • SRKThumbprint ist der Fingerabdruck des Speicherstammschlüssels.
  • Modifizierer:
    • Pregen
    • PregenDelay
    • AIKEnroll
    • CryptoPolicy
    • NgcPregenKey
    • DIMSRoam

Optionen:

[-user]

-MachineInfo

Anzeigen der Informationen zum Active Directory-Computerobjekt.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Anzeigen der Informationen zum Domänencontroller. Standardmäßig werden DC-Zertifikate ohne Überprüfung angezeigt.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]
  • Modifizierer:

    • Überprüfung
    • DeleteBad
    • DeleteAll

Optionen:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Tipp

Die Möglichkeit, eine Active Directory Domain Services(AD DS)-Domäne [Domain] und einen Domänencontroller (-dc) anzugeben, wurde in Windows Server 2012 hinzugefügt. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied von Domänenadministratoren oder Unternehmensadministratoren ist. Die Verhaltensänderungen dieses Befehls sind wie folgt:

  • Wenn keine Domäne und kein bestimmter Domänencontroller angegeben ist, gibt diese Option eine Liste der Domänencontroller zurück, die vom Standarddomänencontroller aus verarbeitet werden sollen.
  • Wenn keine Domäne, aber ein Domänencontroller angegeben ist, wird ein Bericht der Zertifikate auf dem angegebenen Domänencontroller generiert.
  • Wenn eine Domäne, aber kein Domänencontroller angegeben ist, wird eine Liste von Domänencontrollern zusammen mit Berichten zu den Zertifikaten für jeden Domänencontroller in der Liste generiert.
  • Wenn die Domäne und der Domänencontroller angegeben sind, wird eine Liste der Domänencontroller vom Zieldomänencontroller generiert. Außerdem wird ein Bericht der Zertifikate für jeden Domänencontroller in der Liste generiert.

Angenommen, es gibt eine Domäne namens CPANDL mit einem Domänencontroller namens CPANDL-DC1. Sie können den folgenden Befehl ausführen, um eine Liste der Domänencontroller und ihrer Zertifikate aus CPANDL-DC1 abzurufen: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Anzeigen von Informationen zu einer Unternehmenszertifizierungsstelle.

certutil [options] -EntInfo DomainName\MachineName$

Optionen:

[-f] [-user]

-TCAInfo

Anzeigen von Informationen zur Zertifizierungsstelle an.

certutil [options] -TCAInfo [DomainDN | -]

Optionen:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Anzeigen von Informationen zur Smartcard.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Hierbei gilt:

  • CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.

Optionen:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Verwalten von Smartcard-Stammzertifikaten.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Optionen:

[-f] [-split] [-p Password]

-key

Listet die Schlüssel auf, die in einem Schlüsselcontainer gespeichert sind.

certutil [options] -key [KeyContainerName | -]

Hierbei gilt:

  • KeyContainerName ist der Name des Schlüsselcontainers für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzerschlüsseln zu wechseln, verwenden Sie -user.
  • Das Zeichen - gibt die Verwendung des Standardschlüsselcontainers an.

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Löscht den angegebenen Schlüsselcontainer.

certutil [options] -delkey KeyContainerName

Optionen:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Löschen des Windows Hello-Containers und Entfernen aller zugehöriger Anmeldeinformationen, die auf dem Gerät gespeichert sind, einschließlich aller WebAuthn- und FIDO-Anmeldeinformationen.

Die Benutzer*innen müssen sich nach der Verwendung dieser Option abmelden, damit der Vorgang abgeschlossen werden kann.

certutil [options] -DeleteHelloContainer

-verifykeys

Überprüfen eines öffentlichen oder privaten Schlüsselsatzes.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Hierbei gilt:

  • KeyContainerName ist der Name des Schlüsselcontainers für den zu überprüfenden Schlüssel. Diese Option ist standardmäßig auf Computerschlüssel festgelegt. Um zu Benutzerschlüsseln zu wechseln, verwenden Sie -user.
  • CACertFile signiert oder verschlüsselt Zertifikatsdateien.

Optionen:

[-f] [-user] [-Silent] [-config Machine\CAName]

Hinweise

  • Wenn keine Argumente angegeben werden, wird jedes signierende Zertifizierungsstellenzertifikat anhand seines privaten Schlüssels überprüft.
  • Dieser Vorgang kann nur für eine lokale Zertifizierungsstelle oder lokale Schlüssel ausgeführt werden.

-verify

Überprüfen einer Zertifikat-, Zertifikatsperrlisten(CRL)- oder Zertifikatkette.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Hierbei gilt:

  • CertFile ist der Name des zu überprüfenden Zertifikats.
  • ApplicationPolicyList ist die optionale durch Trennzeichen getrennte Liste der Objekt-IDs der erforderlichen Anwendungsrichtlinien.
  • IssuancePolicyList ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Objekt-IDs der Ausstellungsrichtlinie.
  • CACertFile ist das optionale Zertifikat der ausstellenden Zertifizierungsstelle, das für die Überprüfung verwendet werden soll.
  • CrossedCACertFile ist das optionale Zertifikat, das mit CertFile kreuzzertifiziert ist.
  • CRLFile ist die Zertifikatssperrlistendatei, die zum Überprüfen der CACertFile verwendet wird.
  • IssuedCertFile ist das optionale ausgestellte Zertifikat, das von der CRLfile abgedeckt wird.
  • DeltaCRLFile ist die optionale Deltasperrlistendatei.
  • Modifizierer:
    • Strong: strenge Überprüfung der Signatur
    • MSRoot: Kette mit einem Microsoft-Stamm erforderlich
    • MSTestRoot: Kette mit einem Microsoft-Teststamm erforderlich
    • AppRoot: Kette mit einem Microsoft-Anwendungsstamm erforderlich
    • EV: erzwingt die erweiterte Gültigkeitsprüfungsrichtlinie

Optionen:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Hinweise

  • Die Verwendung von ApplicationPolicyList schränkt das Erstellen von Ketten auf solche ein, die für die angegebenen Anwendungsrichtlinien gültig sind.
  • Die Verwendung von IssuancePolicyList schränkt das Erstellen von Ketten auf solche ein, die für die angegebenen Ausstellungsrichtlinien gültig sind.
  • Bei Verwendung von CACertFile werden die Felder in der Datei anhand von CertFile oder CRLfile überprüft.
  • Wenn CACertFile nicht angegeben ist, wird die vollständige Kette erstellt und anhand von CertFile überprüft.
  • Wenn CACertFile und CrossedCACertFile angegeben sind, werden die Felder in beiden Dateien mit CertFile überprüft.
  • Bei Verwendung von IssuedCertFile werden die Felder in der Datei anhand von CRLfile überprüft.
  • Bei Verwendung von DeltaCRLFile werden die Felder in der Datei anhand von CertFile überprüft.

-verifyCTL

Überprüfen der CTL für AuthRoot oder unzulässige Zertifikate.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Hierbei gilt:

  • CTLObject identifiziert die zu überprüfende CTL, einschließlich:

    • AuthRootWU liest das AuthRoot-CAB und übereinstimmende Zertifikate aus dem URL-Cache. Stattdessen verwenden Sie -f zum Herunterladen von Windows Update.
    • DisallowedWU liest die CAB-Datei für unzulässige Zertifikate und die Datei mit dem nicht zulässigen Zertifikatspeicher aus dem URL-Cache. Stattdessen verwenden Sie -f zum Herunterladen von Windows Update.
      • PinRulesWU liest die PinRules-CAB aus dem URL-Cache. Stattdessen verwenden Sie -f zum Herunterladen von Windows Update.
    • AuthRoot liest die in der Registrierung zwischengespeicherte AuthRoot-CTL. Mit -f und einer nicht vertrauenswürdigen CertFile wird erzwungen, dass der in der Registrierung zwischengespeicherte AuthRoot und die unzulässigen Zertifikat-CTLs aktualisiert werden.
    • Disallowed liest die in der Registrierung zwischengespeicherte unzulässige Zertifikats-CTL. Mit -f und einer nicht vertrauenswürdigen CertFile wird erzwungen, dass der in der Registrierung zwischengespeicherte AuthRoot und die unzulässigen Zertifikat-CTLs aktualisiert werden.
      • PinRules liest die in der Registrierung zwischengespeicherte PinRules-CTL. Die Verwendung von -f führt zum selben Verhalten wie PinRulesWU.
    • CTLFileName gibt die Datei oder den HTTP-Pfad zur CTL- oder CAB-Datei an.
  • CertDir gibt den Ordner an, der Zertifikate enthält, die den CTL-Einträgen entsprechen. Standardmäßig wird derselbe Ordner oder dieselbe Website wie das CTL-Objekt verwendet. Die Verwendung eines HTTP-Ordnerpfads erfordert ein Pfadtrennzeichen am Ende. Wenn AuthRoot oder Disallowed nicht angegeben wurden, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten durchsucht, einschließlich lokaler Zertifikatspeicher, crypt32.dll-Ressourcen und lokaler URL-Caches. Stattdessen können Sie -f zum Herunterladen von Windows Update verwenden.

  • CertFile gibt die zu überprüfenden Zertifikate an. Zertifikate werden mit CTL-Einträgen abgeglichen und die Ergebnisse werden angezeigt. Diese Option unterdrückt den Großteil der Standardausgabe.

Optionen:

[-f] [-user] [-split]

-syncWithWU

Synchronisiert Zertifikate mit Windows Update.

certutil [options] -syncWithWU DestinationDir

Hierbei gilt:

  • DestinationDir ist das angegebene Verzeichnis.
  • f erzwingt eine Überschreibung.
  • Unicode schreibt die umgeleitete Ausgabe in Unicode.
  • gmt zeigt Uhrzeiten in GMT an.
  • seconds zeigt Uhrzeiten mit Sekunden und Millisekunden an.
  • v ist ein ausführlicher Vorgang.
  • PIN ist die Smartcard-PIN.
  • WELL_KNOWN_SID_TYPE ist eine numerische SID:
    • 22: Lokales System
    • 23: Lokaler Dienst
    • 24: Netzwerkdienst

Hinweise

Die folgenden Dateien werden bei Verwendung des automatischen Aktualisierungsmechanismus heruntergeladen:

  • Die Datei authrootstl.cab enthält die CTLs von Stammzertifikaten, die nicht von Microsoft stammen.
  • Die Datei disallowedcertstl.cab enthält die CTLs von nicht vertrauenswürdigen Zertifikaten.
  • Die Datei disallowedcert.sst enthält einen serialisierten Zertifikatspeicher (einschließlich der nicht vertrauenswürdigen Zertifikate).
  • Die Datei thumbprint.crt enthält die nicht von Microsoft stammenden Stammzertifikate.

Beispiel: certutil -syncWithWU \\server1\PKI\CTLs.

  • Wenn Sie einen nicht vorhandenen lokalen Pfad oder Ordner als Zielordner angeben, wird folgender Fehler angezeigt: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Wenn Sie eine nicht vorhandene oder nicht verfügbare Netzwerkadresse als Zielordner angeben, wird folgender Fehler angezeigt: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Wenn Ihr Server keine Verbindung über TCP-Port 80 mit den Microsoft-Servern für automatische Updates herstellen kann, wird der folgende Fehler angezeigt: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Wenn Ihr Server die Microsoft-Server für automatische Updates mit dem DNS-Namen ctldl.windowsupdate.com nicht erreichen kann, wird der folgende Fehler angezeigt: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Wenn Sie den Schalter -f nicht verwenden und eine der CTL-Dateien bereits im Verzeichnis vorhanden ist, wird ein Fehler vom Typ „Datei vorhanden“ angezeigt: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

  • Wenn eine Änderung in den vertrauenswürdigen Stammzertifikaten vorliegt, wird Folgendes angezeigt: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Optionen:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Generiert eine Speicherdatei, die mit Windows Update synchronisiert wird.

certutil [options] -generateSSTFromWU SSTFile

Hierbei gilt:

  • SSTFile ist die zu generierende .sst-Datei, die die von Windows Update heruntergeladenen Stämme von Drittanbietern enthält.

Optionen:

[-f] [-split]

-generatePinRulesCTL

Generiert eine CTL-Datei (Certificate Trust List, Zertifikatvertrauensliste), die eine Liste der Pin-Regeln enthält.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Hierbei gilt:

  • XMLFile ist die zu analysierende XML-Eingabedatei.
  • CTLFile ist die zu generierende CTL-Ausgabedatei.
  • SSTFile ist die optionale SST-Datei, die erstellt werden soll und alle Zertifikate enthält, die zum Anheften von Zertifikaten verwendet werden.
  • QueryFilesPrefix sind die optionalen Dateien Domains.csv und Keys.csv, die für Datenbankabfragen erstellt werden sollen.
    • Die QueryFilesPrefix-Zeichenfolge wird jeder erstellten Datei vorangestellt.
    • Die Datei Domains.csv enthält Zeilen mit Regelname und Domäne.
    • Die Datei Keys.csv enthält Zeilen mit Regelname und Fingerabdruck des SHA-256-Schlüssels.

Optionen:

[-f]

-downloadOcsp

Lädt die OCSP-Antworten herunter und schreibt sie in das Verzeichnis.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Hierbei gilt:

  • CertificateDir ist das Verzeichnis einer Zertifikat-, Speicher- und PFX-Datei.
  • OcspDir ist das Verzeichnis zum Schreiben von OCSP-Antworten.
  • ThreadCount ist die optionale maximale Anzahl von Threads für gleichzeitige Downloads. Der Standardwert ist 10.
  • Modifiers ist eine durch Trennzeichen getrennte Liste mindestens einer der folgenden Optionen:
    • DownloadOnce führt einen Download durch und wird dann beendet.
    • ReadOcsp liest aus OcspDir anstatt zu schreiben.

-generateHpkpHeader

Generiert den HPKP-Header mithilfe von Zertifikaten in einer angegebenen Datei oder einem angegebenen Verzeichnis.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Hierbei gilt:

  • CertFileOrDir ist die Datei oder das Verzeichnis von Zertifikaten, die bzw. das die Quelle des SHA-256-Schlüssels für das Anheften ist.
  • MaxAge ist der Wert für das maximale Alter in Sekunden.
  • ReportUri ist der optionale Berichts-URI.
  • Modifiers ist eine durch Trennzeichen getrennte Liste mindestens einer der folgenden Optionen:
    • includeSubDomains fügt die includeSubDomains an.

-flushCache

Leert die angegebenen Caches im ausgewählten Prozess (z. B. „lsass.exe“).

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Hierbei gilt:

  • ProcessId ist die numerische ID eines Prozesses, der geleert werden soll. Bei einer Festlegung auf 0 werden alle Prozesse geleert, bei denen die Leerung aktiviert ist.

  • CacheMask ist die Bitmaske von Caches, die geleert werden sollen. Die Angabe erfolgt entweder numerisch oder mit den folgenden Bits:

    • 0: ShowOnly
    • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
    • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
    • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
    • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
    • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
    • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
    • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
  • Modifiers ist eine durch Trennzeichen getrennte Liste mindestens einer der folgenden Optionen:

    • Show zeigt die Caches an, die geleert werden. Certutil muss explizit beendet werden.

-addEccCurve

Fügt eine ECC-Kurve hinzu.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Hierbei gilt:

  • CurveClass ist der Typ der ECC-Kurvenklasse:

    • WEIERSTRASS (Standard)
    • MONTGOMERY
    • TWISTED_EDWARDS
  • CurveName ist der Name der ECC-Kurve.

  • CurveParameters sind eines der folgenden:

    • Ein Zertifikatsdateiname, der ASN-codierte Parameter enthält.
    • Eine Datei mit ASN-codierten Parametern.
  • CurveOID ist die OID der ECC-Kurve und hat einen der folgenden Werte:

    • Ein Zertifikatsdateiname, der eine ASN-codierte OID enthält.
    • Eine explizite OID einer ECC-Kurve.
  • CurveType ist der SChannel-Punkt einer benannten ECC-Kurve (numerisch).

Optionen:

[-f]

-deleteEccCurve

Löscht die ECC-Kurve.

certutil [options] -deleteEccCurve CurveName | CurveOID

Hierbei gilt:

  • CurveName ist der Name der ECC-Kurve.
  • CurveOID ist die OID der ECC-Kurve.

Optionen:

[-f]

-displayEccCurve

Zeigt die ECC-Kurve an.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Hierbei gilt:

  • CurveName ist der Name der ECC-Kurve.
  • CurveOID ist die OID der ECC-Kurve.

Optionen:

[-f]

-csplist

Listet die auf diesem Computer installierten Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) für kryptografische Vorgänge auf.

certutil [options] -csplist [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-csptest

Testet die auf diesem Computer installierten CSPs.

certutil [options] -csptest [Algorithm]

Optionen:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Zeigt die CNG-Kryptografiekonfiguration auf diesem Computer an.

certutil [options] -CNGConfig

Optionen:

[-Silent]

-sign

Erneutes Signieren einer Zertifikatsperrliste (CRL) oder eines Zertifikats.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Hierbei gilt:

  • InFileList ist die durch Trennzeichen getrennte Liste von Zertifikat- oder Sperrlistendateien, die geändert und erneut signiert werden sollen.

  • SerialNumber ist die Seriennummer des zu erstellenden Zertifikats. Der Gültigkeitszeitraum und andere Optionen dürfen nicht vorhanden sein.

  • CRL erstellt eine leere Sperrliste. Der Gültigkeitszeitraum und andere Optionen dürfen nicht vorhanden sein.

  • OutFileList ist die durch Trennzeichen getrennte Liste der geänderten Zertifikat- oder Sperrlisten-Ausgabedateien. Die Anzahl der Dateien muss mit der Infilelist übereinstimmen.

  • StartDate+dd:hh ist der neue Gültigkeitszeitraum für die Zertifikat- oder Sperrlistendateien, einschließlich:

    • Optionales Datum plus
    • optionaler Gültigkeitszeitraum in Tagen und Stunden. Wenn mehrere Felder verwendet werden, muss als Trennzeichen (+) oder (-) verwendet werden. Verwenden Sie now[+dd:hh], um zum aktuellen Zeitpunkt zu beginnen. Verwenden Sie now-dd:hh+dd:hh, um mit einem festen Offset ab der aktuellen Uhrzeit und einem festen Gültigkeitszeitraum zu beginnen. Verwenden Sie never, um kein Ablaufdatum zu haben (nur für Sperrlisten).
  • SerialNumberList ist die durch Trennzeichen getrennte Liste der Seriennummern der Dateien, die hinzugefügt oder entfernt werden sollen.

  • ObjectIDlist ist die durch Trennzeichen getrennte Liste der Objekt-IDs der Erweiterungen der Dateien, die entfernt werden sollen.

  • @ExtensionFile ist die INF-Datei, die die zu aktualisierenden oder zu entfernenden Erweiterungen enthält. Beispiel:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm ist der Name des Hashalgorithmus. Dies darf nur der Text sein, der dem #-Zeichen vorangestellt ist.

  • AlternateSignatureAlgorithm ist der Spezifizierer für den alternativen Signaturalgorithmus.

Optionen:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Hinweise

  • Durch die Verwendung des Minuszeichens (-) werden Seriennummern und Erweiterungen entfernt.
  • Durch die Verwendung des Pluszeichens (+) wird einer Sperrliste fortlaufende Nummern hinzugefügt.
  • Sie können eine Liste verwenden, um Seriennummern und Objekt-IDs gleichzeitig aus einer Zertifikatssperrliste zu entfernen.
  • Wenn Sie vor AlternateSignatureAlgorithm ein Minuszeichen angeben, können Sie das Legacysignaturformat verwenden.
  • Mit dem Pluszeichen können Sie das alternative Signaturformat verwenden.
  • Wenn Sie AlternateSignatureAlgorithm nicht angeben, wird das Signaturformat im Zertifikat oder in der Zertifikatssperrliste verwendet.

-vroot

Erstellen oder Löschen virtueller Web-Stämme und Dateifreigaben.

certutil [options] -vroot [delete]

-vocsproot

Erstellen oder Löschen virtueller Web-Stämme für einen OCSP-Webproxy.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Fügt eine Registrierungsserveranwendung und einen Anwendungspool hinzu, die bzw. der für die angegebene Zertifizierungsstelle erforderlich ist. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Hierbei gilt:

  • addEnrollmentServer erzwingt die Verwendung einer Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver, einschließlich:

    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet das benannte Konto für SSL-Anmeldeinformationen.
    • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
  • Modifizierer:

    • AllowRenewalsOnly lässt nur Übermittlungen von Verlängerungsanforderungen an die Zertifizierungsstelle über die URL zu.
    • AllowKeyBasedRenewal ermöglicht die Verwendung eines Zertifikats, das über kein zugeordnetes Konto in Active Directory verfügt. Dies gilt nur für die Verwendung in den Modi ClientCertificate und AllowRenewalsOnly.

Optionen:

[-config Machine\CAName]

-deleteEnrollmentServer

Löscht eine Registrierungsserveranwendung und einen Anwendungspool, die bzw. der für die angegebene Zertifizierungsstelle erforderlich ist. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Hierbei gilt:

  • deleteEnrollmentServer erzwingt die Verwendung einer Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatregistrierungsserver, einschließlich:
    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet das benannte Konto für SSL-Anmeldeinformationen.
    • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.

Optionen:

[-config Machine\CAName]

-addPolicyServer

Bei Bedarf Hinzufügen einer Richtlinienserveranwendung und eines Anwendungspools. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Hierbei gilt:

  • addPolicyServer erzwingt die Verwendung einer Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver, einschließlich:
    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet das benannte Konto für SSL-Anmeldeinformationen.
    • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
  • KeyBasedRenewal ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden und keybasedrenewal-Vorlagen enthalten. Diese Option gilt nur für die Authentifizierungsmethoden UserName und ClientCertificate.

-deletePolicyServer

Bei Bedarf Löschen einer Richtlinienserveranwendung und eines Anwendungspools. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Hierbei gilt:

  • deletePolicyServer erfordert die Verwendung einer Authentifizierungsmethode für die Clientverbindung mit dem Zertifikatrichtlinienserver, einschließlich:
    • Kerberos verwendet Kerberos-SSL-Anmeldeinformationen.
    • UserName verwendet das benannte Konto für SSL-Anmeldeinformationen.
    • ClientCertificate verwendet SSL-Anmeldeinformationen für X.509-Zertifikate.
  • KeyBasedRenewal ermöglicht die Verwendung eines KeyBasedRenewal-Richtlinienservers.

-Class

Zeigt COM-Registrierungsinformationen an.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Optionen:

[-f]

-7f

Überprüft das Zertifikat auf 0x7f-Längencodierungen.

certutil [options] -7f CertFile

-oid

Zeigt den Objektbezeichner an oder legt einen Anzeigenamen fest.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Hierbei gilt:

  • ObjectId ist die ID, die angezeigt oder dem Anzeigenamen hinzugefügt werden soll.
  • GroupId ist die Gruppen-ID-Nummer (dezimal), die Objekt-IDs auflisten.
  • AlgId ist die hexadezimale ID, auf die sich die Objekt-ID bezieht.
  • AlgorithmName ist der Algorithmusname, auf den sich die Objekt-ID bezieht.
  • DisplayName zeigt den Namen an, der im DS gespeichert werden soll.
  • Delete löscht den Anzeigenamen.
  • LanguageId ist der Wert der Sprach-ID (Aktueller Standardwert: 1033).
  • Type ist der Typ des zu erstellenden DS-Objekts, einschließlich:
    • 1 – Vorlage (Standard)
    • 2 – Ausstellungsrichtlinie
    • 3 – Anwendungsrichtlinie
  • -f erstellt ein DS-Objekt.

Optionen:

[-f]

-error

Anzeigen des Nachrichtentexts, der einem Fehlercode zugeordnet ist.

certutil [options] -error ErrorCode

-getsmtpinfo

Ruft SMTP-Informationen (Simple Mail Transfer Protocol) ab.

certutil [options] -getsmtpinfo

-setsmtpinfo

Legt SMTP-Informationen fest.

certutil [options] -setsmtpinfo LogonName

Optionen:

[-config Machine\CAName] [-p Password]

-getreg

Anzeigen eines Registrierungswerts.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • restore verwendet den Wiederherstellungs-Registrierungsschlüssel der Zertifizierungsstelle.
  • policy verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
  • template verwendet den Vorlagenregistrierungsschlüssel (-user für Benutzervorlagen verwenden).
  • enroll verwendet den Registrierungsschlüssel (-user für Benutzerkontext verwenden).
  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel „Policy Servers“.
  • ProgId verwendet die ProgID (Name des Registrierungsunterschlüssels) des Richtlinien- oder Exit-Moduls.
  • RegistryValueName verwendet den Registrierungswertnamen (Name* für Präfixabgleich verwenden).
  • value verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder - beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Hinweise

  • Wenn ein Zeichenfolgenwert mit + oder - beginnt und der vorhandene Wert ein REG_MULTI_SZ-Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder davon entfernt. Um die Erstellung eines REG_MULTI_SZ-Werts zu erzwingen, kann am Ende des Zeichenfolgenwerts \n hinzugefügt werden.
  • Wenn der Wert mit \@ beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines binären Werts enthält.
  • Wenn er sich nicht auf eine gültige Datei bezieht, wird er stattdessen als [Date][+|-][dd:hh] analysiert. Dies ist ein optionales Datum plus oder minus optionale Tage und Stunden.
  • Wenn beides angegeben ist, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-) als Trennzeichen. Verwenden von now+dd:hh für ein Datum relativ zur aktuellen Zeit.
  • Verwenden Sie i64 als Suffix zum Erstellen eines REG_QWORD-Werts.
  • Verwenden von chain\chaincacheresyncfiletime @now, um zwischengespeicherte Sperrlisten effektiv zu leeren.
  • Registrierungsaliase:
    • Konfigurationen
    • CA
    • Policy: PolicyModules
    • Exit: ExitModules
    • Restore: RestoreInProgress
    • Template: Software\Microsoft\Cryptography\CertificateTemplateCache
    • Enroll: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP: Software\Microsoft\Cryptography\MSCEP
    • Chain: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers: Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32: System\CurrentControlSet\Services\crypt32
    • NGC: System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport: Software\Policies\Microsoft\PassportForWork
    • MDM: Software\Microsoft\Policies\PassportForWork

-setreg

Festlegen eines Registrierungswerts.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • restore verwendet den Wiederherstellungs-Registrierungsschlüssel der Zertifizierungsstelle.
  • policy verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
  • template verwendet den Vorlagenregistrierungsschlüssel (-user für Benutzervorlagen verwenden).
  • enroll verwendet den Registrierungsschlüssel (-user für Benutzerkontext verwenden).
  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel „Policy Servers“.
  • ProgId verwendet die ProgID (Name des Registrierungsunterschlüssels) des Richtlinien- oder Exit-Moduls.
  • RegistryValueName verwendet den Registrierungswertnamen (Name* für Präfixabgleich verwenden).
  • Value verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder - beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Hinweise

  • Wenn ein Zeichenfolgenwert mit + oder - beginnt und der vorhandene Wert ein REG_MULTI_SZ-Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder davon entfernt. Um die Erstellung eines REG_MULTI_SZ-Werts zu erzwingen, kann am Ende des Zeichenfolgenwerts \n hinzugefügt werden.
  • Wenn der Wert mit \@ beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines binären Werts enthält.
  • Wenn er sich nicht auf eine gültige Datei bezieht, wird er stattdessen als [Date][+|-][dd:hh] analysiert. Dies ist ein optionales Datum plus oder minus optionale Tage und Stunden.
  • Wenn beides angegeben ist, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-) als Trennzeichen. Verwenden von now+dd:hh für ein Datum relativ zur aktuellen Zeit.
  • Verwenden Sie i64 als Suffix zum Erstellen eines REG_QWORD-Werts.
  • Verwenden von chain\chaincacheresyncfiletime @now, um zwischengespeicherte Sperrlisten effektiv zu leeren.

-delreg

Löschen eines Registrierungswerts.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Hierbei gilt:

  • ca verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.
  • restore verwendet den Wiederherstellungs-Registrierungsschlüssel der Zertifizierungsstelle.
  • policy verwendet den Registrierungsschlüssel des Richtlinienmoduls.
  • exit verwendet den Registrierungsschlüssel des ersten Exit-Moduls.
  • template verwendet den Vorlagenregistrierungsschlüssel (-user für Benutzervorlagen verwenden).
  • enroll verwendet den Registrierungsschlüssel (-user für Benutzerkontext verwenden).
  • chain verwendet den Registrierungsschlüssel für die Kettenkonfiguration.
  • PolicyServers verwendet den Registrierungsschlüssel „Policy Servers“.
  • ProgId verwendet die ProgID (Name des Registrierungsunterschlüssels) des Richtlinien- oder Exit-Moduls.
  • RegistryValueName verwendet den Registrierungswertnamen (Name* für Präfixabgleich verwenden).
  • Value verwendet den neuen numerischen, Zeichenfolgen- oder Datumsregistrierungswert oder Dateinamen. Wenn ein numerischer Wert mit + oder - beginnt, werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungswert festgelegt oder gelöscht.

Optionen:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Hinweise

  • Wenn ein Zeichenfolgenwert mit + oder - beginnt und der vorhandene Wert ein REG_MULTI_SZ-Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungswert hinzugefügt oder davon entfernt. Um die Erstellung eines REG_MULTI_SZ-Werts zu erzwingen, kann am Ende des Zeichenfolgenwerts \n hinzugefügt werden.
  • Wenn der Wert mit \@ beginnt, ist der Rest des Werts der Name der Datei, die die hexadezimale Textdarstellung eines binären Werts enthält.
  • Wenn er sich nicht auf eine gültige Datei bezieht, wird er stattdessen als [Date][+|-][dd:hh] analysiert. Dies ist ein optionales Datum plus oder minus optionale Tage und Stunden.
  • Wenn beides angegeben ist, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-) als Trennzeichen. Verwenden von now+dd:hh für ein Datum relativ zur aktuellen Zeit.
  • Verwenden Sie i64 als Suffix zum Erstellen eines REG_QWORD-Werts.
  • Verwenden von chain\chaincacheresyncfiletime @now, um zwischengespeicherte Sperrlisten effektiv zu leeren.
  • Registrierungsaliase:
    • Konfigurationen
    • CA
    • Policy: PolicyModules
    • Exit: ExitModules
    • Restore: RestoreInProgress
    • Template: Software\Microsoft\Cryptography\CertificateTemplateCache
    • Enroll: Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
    • MSCEP: Software\Microsoft\Cryptography\MSCEP
    • Chain: Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    • PolicyServers: Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
    • Crypt32: System\CurrentControlSet\Services\crypt32
    • NGC: System\CurrentControlSet\Control\Cryptography\Ngc
    • AutoUpdate: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
    • Passport: Software\Policies\Microsoft\PassportForWork
    • MDM: Software\Microsoft\Policies\PassportForWork

-importKMS

Importieren von Benutzerschlüsseln und Zertifikaten in die Serverdatenbank für die Schlüsselarchivierung.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Hierbei gilt:

  • UserKeyAndCertFile ist eine Datendatei mit privaten Benutzerschlüsseln und -zertifikaten, die archiviert werden sollen. Diese Datei kann Folgendes sein:
    • Eine KMS-Exportdatei (Exchange Key Management Server).
    • Eine PFX-Datei.
  • CertId ist ein Übereinstimmungstoken für das Entschlüsselungszertifikat von KMS-Exportdateien. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.
  • -f importiert Zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Optionen:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importieren einer Zertifikatdatei in die Datenbank.

certutil [options] -ImportCert Certfile [ExistingRow]

Hierbei gilt:

  • ExistingRow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.
  • -f importiert Zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.

Optionen:

[-f] [-config Machine\CAName]

Hinweise

Die Zertifizierungsstelle muss möglicherweise auch so konfiguriert werden, dass Fremdzertifikate unterstützt werden, indem certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN ausgeführt wird.

-GetKey

Abrufen eines archivierten Blobs für die Wiederherstellung privater Schlüssel, Generieren eines Wiederherstellungsskripts oder Wiederherstellen archivierter Schlüssel.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Hierbei gilt:

  • script generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungskandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).
  • retrieve ruft mindestens ein Schlüsselwiederherstellungsblob ab (Standardverhalten, wenn genau ein passender Wiederherstellungskandidat gefunden wird und die Ausgabedatei angegeben ist). Mit dieser Option werden alle Erweiterungen abgeschnitten und die zertifikatspezifische Zeichenfolge und die .rec-Erweiterung für jeden Schlüsselwiederherstellungsblob angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Agent-Zertifikaten für die Schlüsselwiederherstellung verschlüsselt ist.
  • recover ruft private Schlüssel in einem Schritt ab und stellt sie wieder her (erfordert Agent-Zertifikate für die Schlüsselwiederherstellung und private Schlüssel). Mit dieser Option werden alle Erweiterungen abgeschnitten und die .p12-Erweiterung angefügt. Jede Datei enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.
  • SearchToken wählt die wiederherzustellenden Schlüssel und Zertifikate aus, einschließlich:
    • Allgemeiner Name (CN) für das Zertifikat
    • Seriennummer des Zertifikats
    • Zertifikat SHA-1 Hash (Fingerabdruck)
    • Zertifikat KeyID SHA-1 Hash (Schlüssel-ID des Antragstellers)
    • Name des Anforderers (Domäne\Benutzer)
    • UPN (user@domain)
  • RecoveryBlobOutFile gibt eine Datei mit einer Zertifikatkette und einem zugeordneten privaten Schlüssel aus, die weiterhin mit mindestens einem Zertifikat für den Schlüsselwiederherstellungs-Agent verschlüsselt ist.
  • OutputScriptFile gibt eine Datei mit einem Batchskript aus, um private Schlüssel abzurufen und wiederherzustellen.
  • OutputFileBaseName gibt einen Dateibasisnamen aus.

Optionen:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Hinweise

  • Zum Abrufen wird jede Erweiterung abgeschnitten, und eine zertifikatspezifische Zeichenfolge und die .rec-Erweiterungen werden an jedes Schlüsselwiederherstellungsblob angefügt. Jede Datei enthält eine Zertifikatkette und einen zugeordneten privaten Schlüssel, der weiterhin mit einem oder mehreren Agent-Zertifikaten für die Schlüsselwiederherstellung verschlüsselt ist.
  • Zur Wiederherstellung wird jede Erweiterung abgeschnitten und die .p12-Erweiterung angefügt. Enthält die wiederhergestellten Zertifikatketten und zugeordneten privaten Schlüssel, die als PFX-Datei gespeichert sind.

-RecoverKey

Stellt einen archivierten privaten Schlüssel wieder her.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Optionen:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Zusammenführen von PFX-Dateien.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Hierbei gilt:

  • PFXInFileList ist eine durch Trennzeichen getrennte Liste von PFX-Eingabedateien.
  • PFXOutFile ist der Name der PFX-Ausgabedatei.
  • Modifiers sind durch Trennzeichen getrennte Listen, die Folgendes enthalten können:
    • ExtendedProperties enthält alle erweiterten Eigenschaften.
    • NoEncryptCert gibt an, dass die Zertifikate nicht verschlüsselt werden sollen.
    • EncryptCert gibt an, dass die Zertifikate verschlüsselt werden sollen.

Optionen:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Hinweise

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Kommata getrennte Kennwortliste sein.
  • Wenn mehr als ein Kennwort angegeben ist, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort * lautet, werden die Benutzer*innen zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.

-convertEPF

Konvertiert eine PFX-Datei in eine EPF-Datei.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Hierbei gilt:

  • PFXInFileList ist eine durch Trennzeichen getrennte Liste von PFX-Eingabedateien.
  • EPFOutFile ist der Name der PFX-Ausgabedatei.
  • EPF ist der Name der EPF-Ausgabedatei.
  • cast verwendet die CAST 64-Verschlüsselung.
  • cast- verwendet die CAST 64-Verschlüsselung (Export).
  • V3CACertId ist das Übereinstimmungstoken des V3-Zertifizierungsstellenzertifikats. Weitere Informationen finden Sie unter dem -store-Parameter in diesem Artikel.
  • Salt ist die Salt-Zeichenfolge der EPF-Ausgabedatei.

Optionen:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Hinweise

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Kommata getrennte Kennwortliste sein.
  • Wenn mehr als ein Kennwort angegeben ist, wird das letzte Kennwort für die Ausgabedatei verwendet. Wenn nur ein Kennwort angegeben wird oder das letzte Kennwort * lautet, werden die Benutzer*innen zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.

-add-chain

Fügt eine Zertifikatskette hinzu.

certutil [options] -add-chain LogId certificate OutFile

Optionen:

[-f]

-add-pre-chain

Fügt eine Vorzertifikatkette hinzu.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Optionen:

[-f]

-get-sth

Ruft einen signierten Strukturheader ab.

certutil [options] -get-sth [LogId]

Optionen:

[-f]

-get-sth-consistency

Ruft signierte Änderungen am Strukturheader ab.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Optionen:

[-f]

-get-proof-by-hash

Ruft den Nachweis eines Hashs von einem Zeitstempelserver ab.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Optionen:

[-f]

-get-entries

Ruft Einträge aus einem Ereignisprotokoll ab.

certutil [options] -get-entries LogId FirstIndex LastIndex

Optionen:

[-f]

-get-roots

Ruft die Stammzertifikate aus dem Zertifikatspeicher ab.

certutil [options] -get-roots LogId

Optionen:

[-f]

-get-entry-and-proof

Ruft einen Ereignisprotokolleintrag und seinen kryptografischen Nachweis ab.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Optionen:

[-f]

-VerifyCT

Überprüft ein Zertifikat anhand des Zertifikattransparenzprotokolls.

certutil [options] -VerifyCT Certificate SCT [precert]

Optionen:

[-f]

-?

Anzeigen der Liste der Parameter.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Hierbei gilt:

  • -? zeigt die Liste der Parameter an.
  • -<Parametername> -? Anzeigen des Hilfeinhalts für den angegebenen Parameter.
  • -? -v zeigt eine vollständige Liste der Parameter und Optionen an.

Tastatur

In diesem Abschnitt werden alle Optionen definiert, die Sie basierend auf dem Befehl angeben können. Jeder Parameter enthält Informationen darüber, welche Optionen für die Verwendung gültig sind.

Option Beschreibung
-admin Verwendet ICertAdmin2 für Zertifizierungsstelleneigenschaften.
-anonymous Verwenden von anonymen SSL-Anmeldeinformationen.
-cert CertId Signaturzertifikat.
-clientcertificate clientCertId Verwenden von X.509-Zertifikat-SSL-Anmeldeinformationen. Verwenden Sie für die Auswahlbenutzeroberfläche -clientcertificate.
-config Machine\CAName Zeichenfolge „Zertifizierungsstelle“ und „Computername“.
-csp provider Anbieter:
KSP: Softwareschlüsselspeicher-Anbieter von Microsoft
TPM: Kryptografieanbieter der Microsoft-Plattform
NGC: Schlüsselspeicheranbieter für Microsoft Passport
SC: Smartcard-Schlüsselspeicher-Anbieter von Microsoft
-dc DCName Bezug auf einen bestimmten Domänencontroller.
-enterprise Verwenden des Registrierungszertifikatspeichers des lokalen Computers für Unternehmen.
f- Überschreiben erzwingen.
-generateSSTFromWU SSTFile Generieren der SST-Datei mithilfe des automatischen Aktualisierungsmechanismus.
-gmt Anzeigen von Zeiten in GMT.
-GroupPolicy Verwenden des Gruppenrichtlinienzertifikatspeichers.
-idispatch Verwendet IDispatch anstelle von nativen COM-Methoden.
-kerberos Verwenden von Kerberos-SSL-Anmeldeinformationen.
-location alternatestoragelocation (-loc) AlternateStorageLocation.
-mt Anzeigen der Computervorlagen.
-nocr Codiert Text ohne CR-Zeichen (Zeilenumbruch).
-nocrlf Codiert Text ohne CR-LF-Zeichen (Zeilenumbruch und -vorschub).
-nullsign Verwenden des Hash der Daten als Signatur.
-oldpfx Verwendet die alte PFX-Verschlüsselung.
-out columnlist Durch Kommata getrennte Spaltenliste.
-p password Kennwort
-pin PIN Smartcard-PIN.
-policyserver URLorID Richtlinienserver-URL oder -ID. Verwenden Sie -policyserver für die U/I-Auswahl. Verwenden Sie für alle Richtlinienserver -policyserver *
-privatekey Anzeigen von Kennwort- und privaten Schlüsseldaten.
-protect Schützt Schlüssel mit einem Kennwort.
-protectto SAMnameandSIDlist Durch Kommata getrennte SAM-Name/SID-Liste.
-restrict restrictionlist Durch Kommata getrennte Einschränkungsliste. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer Konstante als Integer, Zeichenfolge oder Datum. Ein Spaltenname kann einem Plus- oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben. Beispiel: requestID = 47, +requestername >= a, requestername oder -requestername > DOMAIN, Disposition = 21.
-reverse Kehrt Protokoll- und Warteschlangenspalten um.
-seconds Anzeigen von Zeiten in Sekunden und Millisekunden.
-service Verwendet den Dienstzertifikatspeicher.
-sid Numerische SID:
22: Lokales System
23: Lokaler Dienst
24: Netzwerkdienst
-silent Verwenden des silent-Flag, um den verschlüsselten Kontext zu erhalten.
-split Aufteilen von eingebetteten ASN.1-Elementen und Speichern in Dateien.
-sslpolicy servername Servername für den SSL-Richtlinienabgleich.
-symkeyalg symmetrickeyalgorithm[,keylength] Name des symmetrischen Schlüsselalgorithmus mit optionaler Schlüssellänge. Beispiel: AES,128 oder 3DES.
-syncWithWU DestinationDir Synchronisierung mit Windows Update.
-t timeout Url-Abruftimeout in Millisekunden.
-Unicode Schreiben der umgeleiteten Ausgabe in Unicode.
-UnicodeText Schreiben der Ausgabedatei in Unicode.
-urlfetch Abrufen und Überprüfen von AIA-Zertifikaten und CDP-Sperrlisten.
-user Verwenden des Schlüssels unter HKEY_CURRENT_USER oder des Zertifikatspeichers.
-username username Verwenden des benannten Kontos für SSL-Anmeldeinformationen. Verwenden Sie für die Auswahlbenutzeroberfläche -username.
-ut Anzeigen der Benutzervorlagen.
-v Angeben von ausführlicheren (detaillierteren) Informationen.
-v1 Verwendet V1-Schnittstellen.

Hashalgorithmen: MD2 MD4 MD5 SHA-1 SHA-256 SHA-384 SHA-512.

Weitere Beispiele für die Verwendung dieses Befehls finden Sie in den folgenden Artikeln: