certutilcertutil

Certutil.exe ist ein Befehlszeilenprogramm, das als Teil der Zertifikat Dienste installiert ist.Certutil.exe is a command-line program, installed as part of Certificate Services. Sie können certutil.exe zum Sichern und Anzeigen von Konfigurationsinformationen von Zertifizierungsstellen (Certification Authority, ca), zum Konfigurieren von Zertifikat Diensten, zum Sichern und Wiederherstellen von Zertifizierungsstellen Komponenten und zum Überprüfen von Zertifikaten, Schlüsselpaaren und Zertifikat Ketten verwenden.You can use certutil.exe to dump and display certification authority (CA) configuration information, configure Certificate Services, backup and restore CA components, and verify certificates, key pairs, and certificate chains.

Wenn certutil auf einer Zertifizierungsstelle ohne zusätzliche Parameter ausgeführt wird, wird die aktuelle Zertifizierungsstellen Konfiguration angezeigt.If certutil is run on a certification authority without additional parameters, it displays the current certification authority configuration. Wenn certutil auf einer nicht Zertifizierungsstelle ausgeführt wird, wird standardmäßig der certutil [-dump] Befehl ausgeführt.If certutil is run on a non-certification authority, the command defaults to running the certutil [-dump] command.

Wichtig

Frühere Versionen von certutil bieten möglicherweise nicht alle Optionen, die in diesem Dokument beschrieben werden.Earlier versions of certutil may not provide all of the options that are described in this document. Sie können alle Optionen anzeigen, die eine bestimmte Version von certutil bereitstellt, indem Sie certutil -? oder Ausführen certutil <parameter> -? .You can see all the options that a specific version of certutil provides by running certutil -? or certutil <parameter> -?.

ParameterParameters

-Dump-dump

Sichern Sie Konfigurationsinformationen oder Dateien.Dump configuration information or files.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-ASN-asn

Analysieren Sie die Datei ASN. 1.Parse the ASN.1 file.

certutil [options] -asn file [type]

[type]: numeric CRYPT_STRING_ *-decodetyp[type]: numeric CRYPT_STRING_* decoding type

-decodehex-decodehex

Decodieren einer hexadezimal codierten Datei.Decode a hexadecimal-encoded file.

certutil [options] -decodehex infile outfile [type]

[type]: numeric CRYPT_STRING_ *-Codierungstyp[type]: numeric CRYPT_STRING_* encoding type

[-f]

-Decodieren-decode

Decodieren einer Base64-codierten Datei.Decode a Base64-encoded file.

certutil [options] -decode infile outfile
[-f]

-Codieren-encode

Codieren einer Datei in base64.Encode a file to Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-verweigern-deny

Ablehnen einer ausstehenden Anforderung.Deny a pending request.

certutil [options] -deny requestID
[-config Machine\CAName]

-erneut übermitteln-resubmit

Übermitteln Sie eine ausstehende Anforderung erneut.Resubmit a pending request.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-----Tributes-setattributes

Legen Sie Attribute für eine ausstehende Zertifikat Anforderung fest.Set attributes for a pending certificate request.

certutil [options] -setattributes RequestID attributestring

Hierbei gilt:Where:

  • RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.requestID is the numeric Request ID for the pending request.

  • AttributeString ist das Name-Wert-Paar des Anforderungs Attributs.attributestring is the request attribute name and value pairs.

[-config Machine\CAName]

BemerkungenRemarks

  • Namen und Werte müssen durch Doppelpunkte getrennt sein, während mehrere Name-Wert-Paare zeilenweise getrennt sein müssen.Names and values must be colon separated, while multiple name, value pairs must be newline separated. Beispiel: CertificateTemplate:User\nEMail:User@Domain.com \n gibt an, wo die Sequenz in ein Zeilen Trennzeichen konvertiert wird.For example: CertificateTemplate:User\nEMail:User@Domain.com where the \n sequence is converted to a newline separator.

-abtextension-setextension

Legen Sie eine Erweiterung für eine ausstehende Zertifikat Anforderung fest.Set an extension for a pending certificate request.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Hierbei gilt:Where:

  • RequestId ist die numerische Anforderungs-ID für die ausstehende Anforderung.requestID is the numeric Request ID for the pending request.

  • ExtensionName ist die ObjectID-Zeichenfolge für die Erweiterung.extensionname is the ObjectId string for the extension.

  • Flags legt die Priorität der Erweiterung fest.flags sets the priority of the extension. 0 wird empfohlen, während 1 die Erweiterung auf kritisch festlegt, 2 die Erweiterung deaktiviert und beides bewirkt 3 .0 is recommended, while 1 sets the extension to critical, 2 disables the extension, and 3 does both.

[-config Machine\CAName]

BemerkungenRemarks

  • Wenn der letzte Parameter numerisch ist, wird er als Long-Wert angenommen.If the last parameter is numeric, it's taken as a Long.

  • Wenn der letzte Parameter als Datum analysiert werden kann, wird er als Datum angenommen.If the last parameter can be parsed as a date, it's taken as a Date.

  • Wenn der letzte Parameter mit beginnt \@ , wird der Rest des Tokens als Dateiname mit Binärdaten oder einem ASCII-Text-hexadezimal Abbild entnommen.If the last parameter starts with \@, the rest of the token is taken as the filename with binary data or an ascii-text hex dump.

  • Wenn der letzte Parameter etwas anderes ist, wird er als Zeichenfolge verwendet.If the last parameter is anything else, it's taken as a String.

-widerrufen-revoke

Widerrufen eines Zertifikats.Revoke a certificate.

certutil [options] -revoke serialnumber [reason]

Hierbei gilt:Where:

  • serialNumber ist eine durch Trennzeichen getrennte Liste von Zertifikat Seriennummern, die widerrufen werden sollen.serialnumber is a comma-separated list of certificate serial numbers to revoke.

  • der Grund ist die numerische oder symbolische Darstellung des Sperr Grunds, einschließlich:reason is the numeric or symbolic representation of the revocation reason, including:

    • 0. CRL_REASON_UNSPECIFIED nicht angegeben (Standard)0. CRL_REASON_UNSPECIFIED - Unspecified (default)

    • 1. CRL_REASON_KEY_COMPROMISE schlüsselkompromittierung1. CRL_REASON_KEY_COMPROMISE - Key compromise

    • 2. Gefährdung der CRL_REASON_CA_COMPROMISE Zertifizierungsstelle2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise

    • 3. CRL_REASON_AFFILIATION_CHANGED Zugehörigkeit geändert3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed

    • 4. CRL_REASON_SUPERSEDED abgelöst4. CRL_REASON_SUPERSEDED - Superseded

    • 5. CRL_REASON_CESSATION_OF_OPERATION Beendigung des Vorgangs5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation

    • 6. CRL_REASON_CERTIFICATE_HOLD -Zertifikat Aufbewahrung6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold

    • 8. CRL_REASON_REMOVE_FROM_CRL -aus CRL entfernen8. CRL_REASON_REMOVE_FROM_CRL - Remove From CRL

    • 1. aufheben der Sperrung aufheben1. Unrevoke - Unrevoke

[-config Machine\CAName]

-IsValid-isvalid

Zeigt die Disposition des aktuellen Zertifikats an.Display the disposition of the current certificate.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-GetConfig-getconfig

Standard Konfigurations Zeichenfolge erhalten.Get the default configuration string.

certutil [options] -getconfig
[-config Machine\CAName]

-Ping-ping

Versuchen Sie, die Anforderungs Schnittstelle der Active Directory Zertifikat Dienste zu kontaktieren.Attempt to contact the Active Directory Certificate Services Request interface.

certutil [options] -ping [maxsecondstowait | camachinelist]

Hierbei gilt:Where:

  • camachinelist eine durch Trennzeichen getrennte Liste von Zertifizierungsstellen-Computernamen.camachinelist is a comma-separated list of CA machine names. Verwenden Sie für einen einzelnen Computer ein abschließendes Komma.For a single machine, use a terminating comma. Mit dieser Option werden auch die Standortkosten für die einzelnen Zertifizierungsstellen Computer angezeigt.This option also displays the site cost for each CA machine.
[-config Machine\CAName]

-cainfo-cainfo

Anzeigen von Informationen zur Zertifizierungsstelle.Display information about the certification authority.

certutil [options] -cainfo [infoname [index | errorcode]]

Hierbei gilt:Where:

  • Infoname gibt die anzuzeigende ZS-Eigenschaft basierend auf der folgenden Syntax für das Infoname-Argument an:infoname indicates the CA property to display, based on the following infoname argument syntax:

    • Datei Dateiversionfile - File version

    • Produkt -Produktversionproduct - Product version

    • exitcount -Beendigungs Modul Anzahlexitcount - Exit module count

    • Beenden [index] -Modulbeschreibung beendenexit [index] - Exit module description

    • Beschreibung des Richtlinien Richtlinien Modulspolicy - Policy module description

    • Name : Zertifizierungsstellen Namename - CA name

    • bertizedname -Name der Zertifizierungsstellesanitizedname - Sanitized CA name

    • dsname -der kurze Name der Zertifizierungsstelle (DS-Name)dsname - Sanitized CA short name (DS name)

    • Freigabe Ordner : frei gegebener Ordnersharedfolder - Shared folder

    • Error1 ErrorCode -Fehlermeldungs Texterror1 ErrorCode - Error message text

    • error2 ErrorCode -Fehlermeldungs Text und Fehlercodeerror2 ErrorCode - Error message text and error code

    • Type -ca-Typtype - CA type

    • Info -ca-Informationeninfo - CA info

    • über geordnete übergeordnete Zertifizierungsstelleparent - Parent CA

    • certcount -ca-CERT-Anzahlcertcount - CA cert count

    • xchgcount -ca Exchange-Zertifikat Anzahlxchgcount - CA exchange cert count

    • kracount -Kra-CERT-Anzahlkracount - KRA cert count

    • kraused -Kra-Anzahl verwendeter Zertifikatekraused - KRA cert used count

    • propidmax -maximale Zertifizierungsstellen-PROPIDpropidmax - Maximum CA PropId

    • certstate [index] -Zertifizierungsstellen Zertifikatcertstate [index] - CA cert

    • certversion [index] -Zertifizierungsstellen-CERT-Versioncertversion [index] - CA cert version

    • certstatus Code [index] -CA CERT Verify-Statuscertstatuscode [index] - CA cert verify status

    • crlstate [index] -CRLcrlstate [index] - CRL

    • krastate [index] -Kra CERTkrastate [index] - KRA cert

    • crossstate + [index] -Weiterleiten-Kreuz Zertifikatcrossstate+ [index] - Forward cross cert

    • crossstate- [index] -Abwärts Kreuz Zertifikatcrossstate- [index] - Backward cross cert

    • Zertifikat [index] -Zertifizierungsstellen Zertifikatcert [index] - CA cert

    • certchain [index] -Zertifizierungsstellen-Zertifikat Kettecertchain [index] - CA cert chain

    • certcrlchain [index] -Zertifizierungsstellen-Zertifikat Kette mit CRLscertcrlchain [index] - CA cert chain with CRLs

    • xchg [index] -CA Exchange-Zertifikatxchg [index] - CA exchange cert

    • xchgchain [index] -CA Exchange-Zertifikat Kettexchgchain [index] - CA exchange cert chain

    • xchgcrlchain [index] -CA Exchange-Zertifikat Kette mit CRLsxchgcrlchain [index] - CA exchange cert chain with CRLs

    • Kra [index] -Kra CERTkra [index] - KRA cert

    • Kreuz + [index] -Weiterleiten-Kreuz Zertifikatcross+ [index] - Forward cross cert

    • Kreuz [index] -Abwärts Kreuz Zertifikatcross- [index] - Backward cross cert

    • CRL [index] -Basis-CRLCRL [index] - Base CRL

    • Delta [index] - -Delta-CRLdeltacrl [index] - Delta CRL

    • crlstatus [index] -CRL-Veröffentlichungs Statuscrlstatus [index] - CRL Publish Status

    • Delta-Status [index] -Status der Delta-CRL-Veröffentlichungdeltacrlstatus [index] - Delta CRL Publish Status

    • DNS -DNS-Namedns - DNS Name

    • Rollen Rollen Trennungrole - Role Separation

    • ADS -Advanced Serverads - Advanced Server

    • Vorlagen -Vorlagentemplates - Templates

    • CSP [index] -OCSP-URLscsp [index] - OCSP URLs

    • AIA [index] -AIA-URLsaia [index] - AIA URLs

    • CDP [index] -CDP-URLscdp [index] - CDP URLs

    • localename -ca-Gebiets Schema Namelocalename - CA locale name

    • subjettemplateoids -Subjekt Vorlage OIDssubjecttemplateoids - Subject Template OIDs

    • * : zeigt alle Eigenschaften an.* - Displays all properties

  • Index ist der optionale null basierte Eigenschafts Index.index is the optional zero-based property index.

  • errorCode ist der numerische Fehlercode.errorcode is the numeric error code.

[-f] [-split] [-config Machine\CAName]

-ca. cert-ca.cert

Rufen Sie das Zertifikat für die Zertifizierungsstelle ab.Retrieve the certificate for the certification authority.

certutil [options] -ca.cert outcacertfile [index]

Hierbei gilt:Where:

  • outcacertfile ist die Ausgabedatei.outcacertfile is the output file.

  • der Index ist der Zertifizierungsstellen-Zertifikat Erneuerungs Index (standardmäßig der aktuellste).index is the CA certificate renewal index (defaults to most recent).

[-f] [-split] [-config Machine\CAName]

-ca. Chain-ca.chain

Rufen Sie die Zertifikat Kette für die Zertifizierungsstelle ab.Retrieve the certificate chain for the certification authority.

certutil [options] -ca.chain outcacertchainfile [index]

Hierbei gilt:Where:

  • outcacertchainfile ist die Ausgabedatei.outcacertchainfile is the output file.

  • der Index ist der Zertifizierungsstellen-Zertifikat Erneuerungs Index (standardmäßig der aktuellste).index is the CA certificate renewal index (defaults to most recent).

[-f] [-split] [-config Machine\CAName]

-getcrl-getcrl

Ruft eine Zertifikat Sperr Liste (CRL) ab.Gets a certificate revocation list (CRL).

certutil [options] -getcrl outfile [index] [delta]

Hierbei gilt:Where:

  • Index ist der CRL-Index oder Schlüssel Index (Standardmäßig ist CRL für den neuesten Schlüssel).index is the CRL index or key index (defaults to CRL for most recent key).

  • Delta ist die Delta-CRL (Standardwert ist Basis-CRL).delta is the delta CRL (default is base CRL).

[-f] [-split] [-config Machine\CAName]

-CRL-crl

Veröffentlichen Sie neue Zertifikat Sperr Listen (CRLs) oder Delta-CRLs.Publish new certificate revocation lists (CRLs) or delta CRLs.

certutil [options] -crl [dd:hh | republish] [delta]

Hierbei gilt:Where:

  • DD: hh ist die neue Gültigkeitsdauer der Zertifikat Sperr Liste in Tagen und Stunden.dd:hh is the new CRL validity period in days and hours.

  • erneut veröffentlichen veröffentlicht die neuesten CRLs.republish republishes the most recent CRLs.

  • Delta veröffentlicht nur die Delta-CRLs (der Standardwert ist Basis-und Delta-CRLs).delta publishes the delta CRLs only (default is base and delta CRLs).

[-split] [-config Machine\CAName]

-Herunterfahren-shutdown

Fährt die Active Directory Zertifikat Dienste herunter.Shuts down the Active Directory Certificate Services.

certutil [options] -shutdown
[-config Machine\CAName]

-installCert-installcert

Installiert ein Zertifizierungsstellen Zertifikat.Installs a certification authority certificate.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-verläncert-renewcert

Erneuert ein Zertifizierungsstellen Zertifikat.Renews a certification authority certificate.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Verwenden -f Sie, um eine ausstehende Erneuerungs Anforderung zu ignorieren und eine neue Anforderung zu generieren.Use -f to ignore an outstanding renewal request, and to generate a new request.
[-f] [-silent] [-config Machine\CAName]

-Schema-schema

Sichert das Schema für das Zertifikat.Dumps the schema for the certificate.

certutil [options] -schema [ext | attrib | cRL]

Hierbei gilt:Where:

  • Der Befehl verwendet standardmäßig die Anforderungs-und Zertifikat Tabelle.The command defaults to the Request and Certificate table.

  • ext ist die Erweiterungs Tabelle.ext is the extension table.

  • Attribut ist die Attribut Tabelle.attribute is the attribute table.

  • die CRL ist die CRL-Tabelle.crl is the CRL table.

[-split] [-config Machine\CAName]

-Ansicht-view

Sichert die Zertifikat Ansicht.Dumps the certificate view.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Hierbei gilt:Where:

  • Queue sichert eine bestimmte Anforderungs Warteschlange.queue dumps a specific request queue.

  • Protokoll sichert die ausgestellten oder gesperrten Zertifikate sowie alle fehlgeschlagenen Anforderungen.log dumps the issued or revoked certificates, plus any failed requests.

  • logfail sichert die fehlgeschlagenen Anforderungen.logfail dumps the failed requests.

  • widerrufene Zertifikate rufen die gesperrten Zertifikate ab.revoked dumps the revoked certificates.

  • ext sichert die Erweiterungs Tabelle.ext dumps the extension table.

  • Das Attribut sichert die Attribut Tabelle.attribute dumps the attribute table.

  • die CRL sichert die CRL-Tabelle.crl dumps the CRL table.

  • CSV stellt die Ausgabe mit durch Trennzeichen getrennten Werten bereit.csv provides the output using comma-separated values.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

BemerkungenRemarks

  • Wenn Sie die Spalte Statuscode für alle Einträge anzeigen möchten, geben Sie ein. -out StatusCodeTo display the StatusCode column for all entries, type -out StatusCode

  • Wenn Sie alle Spalten für den letzten Eintrag anzeigen möchten, geben Sie Folgendes ein: -restrict RequestId==$To display all columns for the last entry, type: -restrict RequestId==$

  • Geben Sie Folgendes ein, um die RequestId und Disposition für drei Anforderungen anzuzeigen: -restrict requestID>37,requestID<40 -out requestID,dispositionTo display the RequestID and Disposition for three requests, type: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Geben Sie Folgendes ein, um Zeilen-IDs und CRL-Nummern für Zeilen-IDs für alle Basis Sperr Listen anzuzeigen: -restrict crlminbase=0 -out crlrowID,crlnumber crlTo display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Geben Sie zum Anzeigen von Folgendes ein: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crlTo display , type: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Geben Sie Folgendes ein, um die gesamte CRL-Tabelle anzuzeigen: CRLTo display the entire CRL table, type: CRL

  • Verwenden Sie Date[+|-dd:hh] für Datums Einschränkungen.Use Date[+|-dd:hh] for date restrictions.

  • Verwenden now+dd:hh Sie für ein Datum in Bezug auf die aktuelle Zeit.Use now+dd:hh for a date relative to the current time.

-db-db

Sichert die Rohdatenbank.Dumps the raw database.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleteRow-deleterow

Löscht eine Zeile aus der Server Datenbank.Deletes a row from the server database.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Hierbei gilt:Where:

  • die Anforderung löscht die fehlgeschlagenen und ausstehenden Anforderungen auf der Grundlage des Übermittlungs Datums.request deletes the failed and pending requests, based on submission date.

  • CERT löscht abgelaufene und widerrufene Zertifikate basierend auf dem Ablaufdatum.cert deletes the expired and revoked certificates, based on expiration date.

  • ext löscht die Erweiterungs Tabelle.ext deletes the extension table.

  • Das Attribut löscht die Attribut Tabelle.attribute deletes the attribute table.

  • CRL löscht die CRL-Tabelle.crl deletes the CRL table.

[-f] [-config Machine\CAName]

BeispieleExamples

  • Geben Sie Folgendes ein, um fehlerhafte und ausstehende Anforderungen zu löschen, die vom 22. Januar 2001 1/22/2001 requestTo delete failed and pending requests submitted by January 22, 2001, type: 1/22/2001 request

  • Geben Sie Folgendes ein, um alle Zertifikate zu löschen, die bis zum 22. Januar 2001 ablaufen: 1/22/2001 certTo delete all certificates that expired by January 22, 2001, type: 1/22/2001 cert

  • Geben Sie Folgendes ein, um die Zertifikat Zeile, Attribute und Erweiterungen für RequestId 37 zu löschen: 37To delete the certificate row, attributes, and extensions for RequestID 37, type: 37

  • Zum Löschen von CRLs, die bis zum 22. Januar 2001 ablaufen, geben Sie Folgendes ein: 1/22/2001 crlTo delete CRLs that expired by January 22, 2001, type: 1/22/2001 crl

-backup-backup

Sichert die Active Directory Zertifikat Dienste.Backs up the Active Directory Certificate Services.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis, in dem die gesicherten Daten gespeichert werden.backupdirectory is the directory to store the backed up data.

  • die inkrementelle Sicherung führt nur eine inkrementelle Sicherung durchincremental performs an incremental backup only (default is full backup).

  • keeplog behält die Protokolldateien der Datenbank bei (Standardmäßig werden Protokolldateien gekürzt).keeplog preserves the database log files (default is to truncate log files).

[-f] [-config Machine\CAName] [-p Password]

-backupDB-backupdb

Sichert die Active Directory Zertifikat Dienst-Datenbank.Backs up the Active Directory Certificate Services database.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis, in dem die gesicherten Datenbankdateien gespeichert werden.backupdirectory is the directory to store the backed up database files.

  • die inkrementelle Sicherung führt nur eine inkrementelle Sicherung durchincremental performs an incremental backup only (default is full backup).

  • keeplog behält die Protokolldateien der Datenbank bei (Standardmäßig werden Protokolldateien gekürzt).keeplog preserves the database log files (default is to truncate log files).

[-f] [-config Machine\CAName]

-backupkey-backupkey

Sichert das Zertifikat für die Active Directory Zertifikat Dienste und den privaten Schlüssel.Backs up the Active Directory Certificate Services certificate and private key.

certutil [options] -backupkey backupdirectory

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis, in dem die gesicherte PFX-Datei gespeichert wird.backupdirectory is the directory to store the backed up PFX file.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore-restore

Stellt die Active Directory Zertifikat Dienste wieder her.Restores the Active Directory Certificate Services.

certutil [options] -restore backupdirectory

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis, in dem die wiederherzustellenden Daten enthalten sind.backupdirectory is the directory containing the data to be restored.
[-f] [-config Machine\CAName] [-p password]

-restoreDB-restoredb

Stellt die Active Directory Zertifikat Dienste-Datenbank wieder her.Restores the Active Directory Certificate Services database.

certutil [options] -restoredb backupdirectory

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis, das die wiederherzustellenden Datenbankdateien enthält.backupdirectory is the directory containing the database files to be restored.
[-f] [-config Machine\CAName]

-restorekey-restorekey

Stellt das Zertifikat für die Active Directory Zertifikat Dienste und den privaten Schlüssel wieder her.Restores the Active Directory Certificate Services certificate and private key.

certutil [options] -restorekey backupdirectory | pfxfile

Hierbei gilt:Where:

  • Backup Directory ist das Verzeichnis mit der PFX-Datei, die wieder hergestellt werden soll.backupdirectory is the directory containing PFX file to be restored.
[-f] [-config Machine\CAName] [-p password]

-importpfx-importpfx

Importieren Sie das Zertifikat und den privaten Schlüssel.Import the certificate and private key. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the name of the certificate store.

  • modifiziererer sind eine durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Werte enthalten kann:modifiers are the comma-separated list, which can include one or more of the following:

    1. AT_SIGNATURE : die KeySpec wird in eine Signatur geändert.AT_SIGNATURE - Changes the keyspec to signature

    2. AT_KEYEXCHANGE : die KeySpec wird in den Schlüsselaustausch geändert.AT_KEYEXCHANGE - Changes the keyspec to key exchange

    3. Noexport : der private Schlüssel wird nicht exportierbar.NoExport - Makes the private key non-exportable

    4. Nocert : das Zertifikat wird nicht importiert.NoCert - Doesn't import the certificate

    5. Nochain : die Zertifikatskette wird nicht importiert.NoChain - Doesn't import the certificate chain

    6. Noroot : importiert nicht das Stamm Zertifikat.NoRoot - Doesn't import the root certificate

    7. Schützen : schützt Schlüssel mithilfe eines Kennworts.Protect - Protects keys by using a password

    8. Noprotect : Kenn Wort Schutz Schlüssel nicht mithilfe eines KennwortsNoProtect - Doesn't password protect keys by using a password

[-f] [-user] [-p password] [-csp provider]

BemerkungenRemarks

  • Der Standardwert ist der persönliche Computerspeicher.Defaults to personal machine store.

-dynamicfilelist-dynamicfilelist

Zeigt eine dynamische Datei Liste an.Displays a dynamic file list.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations-databaselocations

Zeigt Daten Bank Speicherorte an.Displays database locations.

certutil [options] -databaselocations
[-config Machine\CAName]

-Hashdatei-hashfile

Generiert und zeigt einen kryptografiehash über eine Datei an.Generates and displays a cryptographic hash over a file.

certutil [options] -hashfile infile [hashalgorithm]

-Store-store

Sichert den Zertifikat Speicher.Dumps the certificate store.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name. Beispiel:For example:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • CertID ist das Zertifikat-oder CRL-Übereinstimmungs Token.certID is the certificate or CRL match token. Hierbei kann es sich um eine Seriennummer, ein SHA-1-Zertifikat, eine CRL, einen CTL-oder einen öffentlichen Schlüssel Hash, einen numerischen Zertifikat Index (0, 1 usw.), einen numerischen CRL-Index (0, 1 usw.), einen numerischen CTL-Index (.. 0,.. 1 usw.), einen öffentlichen Schlüssel, eine Signatur oder eine Erweiterungs Objekt-ID, einen allgemeinen Namen für den Zertifikat Antragsteller, eine e-Mail-Adresse, einen UPN-oder DNS-Namen, einen Schlüssel Container Namen oder einen CSP-Namen, einen Vorlagen Namen oder eine ObjectID, eine EKU-oder Anwendungsrichtlinien-ObjectID oder einen allgemeinen CRL-AusstellerThis can be a serial number, a SHA-1 certificate, CRL, CTL or public key hash, a numeric cert index (0, 1, and so on), a numeric CRL index (.0, .1, and so on), a numeric CTL index (..0, ..1, and so on), a public key, signature or extension ObjectId, a certificate subject Common Name, an e-mail address, UPN or DNS name, a key container name or CSP name, a template name or ObjectId, an EKU or Application Policies ObjectId, or a CRL issuer Common Name. Viele davon können zu mehreren Übereinstimmungen führen.Many of these may result in multiple matches.

  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

TastaturOptions

  • Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeicher zu.The -user option accesses a user store instead of a machine store.

  • Die -enterprise Option greift auf einen Computer im Enterprise Store zu.The -enterprise option accesses a machine enterprise store.

  • Die -service Option greift auf einen Computerdienst Speicher zu.The -service option accesses a machine service store.

  • Die -grouppolicy Option greift auf einen Computer Gruppenrichtlinien Speicher zu.The -grouppolicy option accesses a machine group policy store.

Beispiel:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore-addstore

Fügt dem Speicher ein Zertifikat hinzu.Adds a certificate to the store. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -addstore certificatestorename infile

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • Eingabedatei ist das Zertifikat oder die CRL-Datei, die Sie zum Speichern hinzufügen möchten.infile is the certificate or CRL file you want to add to store.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-Delta Store-delstore

Löscht ein Zertifikat aus dem Speicher.Deletes a certificate from the store. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -delstore certificatestorename certID

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • CertID ist das Zertifikat-oder CRL-Übereinstimmungs Token.certID is the certificate or CRL match token.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore-verifystore

Überprüft ein Zertifikat im Speicher.Verifies a certificate in the store. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -verifystore certificatestorename [certID]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • CertID ist das Zertifikat-oder CRL-Übereinstimmungs Token.certID is the certificate or CRL match token.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairren Store-repairstore

Repariert eine Schlüssel Zuordnung oder Update Zertifikat Eigenschaften oder die Schlüssel Sicherheits Beschreibung.Repairs a key association or update certificate properties or the key security descriptor. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • certidlist ist eine durch Trennzeichen getrennte Liste von Zertifikat-oder CRL-abgleichstoken.certIDlist is the comma-separated list of certificate or CRL match tokens. Weitere Informationen finden Sie in der -store certID Beschreibung in diesem Artikel.For more info, see the -store certID description in this article.

  • propertyinffile ist die INF-Datei, die externe Eigenschaften enthält, einschließlich:propertyinffile is the INF file containing external properties, including:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-Viewstore-viewstore

Sichert den Zertifikat Speicher.Dumps the certificates store. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • CertID ist das Zertifikat-oder CRL-Übereinstimmungs Token.certID is the certificate or CRL match token.

  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

TastaturOptions

  • Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeicher zu.The -user option accesses a user store instead of a machine store.

  • Die -enterprise Option greift auf einen Computer im Enterprise Store zu.The -enterprise option accesses a machine enterprise store.

  • Die -service Option greift auf einen Computerdienst Speicher zu.The -service option accesses a machine service store.

  • Die -grouppolicy Option greift auf einen Computer Gruppenrichtlinien Speicher zu.The -grouppolicy option accesses a machine group policy store.

Beispiel:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelta Store-viewdelstore

Löscht ein Zertifikat aus dem Speicher.Deletes a certificate from the store.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Hierbei gilt:Where:

  • certifikatestorename ist der Name des Zertifikat Speichers.certificatestorename is the certificate store name.

  • CertID ist das Zertifikat-oder CRL-Übereinstimmungs Token.certID is the certificate or CRL match token.

  • OutputFile ist die Datei, die zum Speichern der übereinstimmenden Zertifikate verwendet wird.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

TastaturOptions

  • Die -user Option greift auf einen Benutzerspeicher anstelle eines Computerspeicher zu.The -user option accesses a user store instead of a machine store.

  • Die -enterprise Option greift auf einen Computer im Enterprise Store zu.The -enterprise option accesses a machine enterprise store.

  • Die -service Option greift auf einen Computerdienst Speicher zu.The -service option accesses a machine service store.

  • Die -grouppolicy Option greift auf einen Computer Gruppenrichtlinien Speicher zu.The -grouppolicy option accesses a machine group policy store.

Beispiel:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish-dspublish

Veröffentlicht ein Zertifikat oder eine Zertifikat Sperr Liste (CRL) für die Active Directory.Publishes a certificate or certificate revocation list (CRL) to Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Hierbei gilt:Where:

  • CertFile ist der Name der zu veröffentlichenden Zertifikatsdatei.certfile is the name of the certificate file to publish.

  • Ntauthca veröffentlicht das Zertifikat im DS Enterprise Store.NTAuthCA publishes the certificate to the DS Enterprise store.

  • Rootca veröffentlicht das Zertifikat im Stamm Speicher für vertrauenswürdige DS.RootCA publishes the certificate to the DS Trusted Root store.

  • Die subzertifizierungs Stelle veröffentlicht das Zertifizierungsstellen Zertifikat für das DS-ca-Objekt.SubCA publishes the CA certificate to the DS CA object.

  • Crossca veröffentlicht das Zertifikat übergreifende Zertifikat für das DS-ca-Objekt.CrossCA publishes the cross-certificate to the DS CA object.

  • Kra veröffentlicht das Zertifikat für das DS-Schlüsselwiederherstellungs-Agent-Objekt.KRA publishes the certificate to the DS Key Recovery Agent object.

  • Der Benutzer veröffentlicht das Zertifikat für das Benutzer-DS-Objekt.User publishes the certificate to the User DS object.

  • Der Computer veröffentlicht das Zertifikat für das Machine DS-Objekt.Machine publishes the certificate to the Machine DS object.

  • Crlfile ist der Name der zu veröffentlichenden CRL-Datei.CRLfile is the name of the CRL file to publish.

  • Dscdpcontainer ist der DS-CDP-Container CN, in der Regel der Name der Zertifizierungsstellen Maschine.DSCDPContainer is the DS CDP container CN, usually the CA machine name.

  • Dscdpcn ist das DS-CDP-Objekt CN, das in der Regel auf dem kurz Namen der bereinigen Zertifizierungsstelle und dem Schlüssel Index basiert.DSCDPCN is the DS CDP object CN, usually based on the sanitized CA short name and key index.

  • Verwenden -f Sie, um ein neues DS-Objekt zu erstellen.Use -f to create a new DS object.

[-f] [-user] [-dc DCName]

-adtemplate-adtemplate

Zeigt Active Directory Vorlagen an.Displays Active Directory templates.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-Vorlage-template

Zeigt die Zertifikat Vorlagen an.Displays the certificate templates.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas-templatecas

Zeigt die Zertifizierungsstellen (CAS) für eine Zertifikat Vorlage an.Displays the certification authorities (CAs) for a certificate template.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-| emplates-catemplates

Zeigt Vorlagen für die Zertifizierungsstelle an.Displays templates for the Certificate Authority.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites-setcasites

Dient zum Verwalten von Standortnamen, einschließlich festlegen, überprüfen und Löschen von Standortnamen von Zertifizierungsstellen.Manages site names, including setting, verifying, and deleting Certificate Authority site names

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Hierbei gilt:Where:

  • Sitename ist nur zulässig, wenn eine einzelne Zertifizierungsstelle als Ziel verwendet wird.sitename is allowed only when targeting a single Certificate Authority.
[-f] [-config Machine\CAName] [-dc DCName]

BemerkungenRemarks

  • Die -config Option ist für eine einzelne Zertifizierungsstelle vorgesehen (standardmäßig alle Zertifizierungsstellen).The -config option targets a single Certificate Authority (Default is all CAs).

  • Die -f Option kann verwendet werden, um Validierungs Fehler für den angegebenen Sitename zu überschreiben oder alle Zertifizierungsstellen-sitenames zu löschen.The -f option can be used to override validation errors for the specified sitename or to delete all CA sitenames.

Hinweis

Weitere Informationen zum Konfigurieren von Zertifizierungsstellen für die Active Directory Domain Services (AD DS) Standortinformationen finden Sie unter AD DS Site Awareness for AD CS and PKI Clients.For more information about configuring CAs for Active Directory Domain Services (AD DS) site awareness, see AD DS Site Awareness for AD CS and PKI clients.

-enrollmentserverURL-enrollmentserverURL

Hiermit werden Registrierungs Server-URLs angezeigt, hinzugefügt oder gelöscht, die einer Zertifizierungsstelle zugeordnet sind.Displays, adds, or deletes enrollment server URLs associated with a CA.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Hierbei gilt:Where:

  • AuthenticationType gibt eine der folgenden Client Authentifizierungsmethoden beim Hinzufügen einer URL an:authenticationtype specifies one of the following client authentication methods, while adding a URL:

    1. Kerberos : Verwenden Sie Kerberos-SSL-Anmelde Informationen.kerberos - Use Kerberos SSL credentials.

    2. username : Verwenden Sie ein benanntes Konto für SSL-Anmelde Informationen.username - Use a named account for SSL credentials.

    3. ClientCertificate: Verwenden Sie SSL-Anmelde Informationen für das X. 509-Zertifikat.clientcertificate: - Use X.509 Certificate SSL credentials.

    4. Anonym : Verwenden Sie anonyme SSL-Anmelde Informationen.anonymous - Use anonymous SSL credentials.

  • Delete löscht die angegebene URL, die der Zertifizierungsstelle zugeordnet ist.delete deletes the specified URL associated with the CA.

  • Priorität ist standardmäßig, 1 Wenn Sie beim Hinzufügen einer URL nicht angegeben wird.priority defaults to 1 if not specified when adding a URL.

  • modifiziererer sind eine durch Trennzeichen getrennte Liste, die eine oder mehrere der folgenden Werte enthält:modifiers is a comma-separated list, which includes one or more of the following:

  1. allowrenewalsonly -nur Erneuerungs Anforderungen können über diese URL an diese Zertifizierungsstelle übermittelt werden.allowrenewalsonly - Only renewal requests can be submitted to this CA via this URL.

  2. allowkeybasedrenewal : ermöglicht die Verwendung eines Zertifikats, das über kein zugeordnetes Konto in der AD-Verbindung verfügt.allowkeybasedrenewal - Allows use of a certificate that has no associated account in the AD. Dies gilt nur für den Modus "ClientCertificate" und "allowrenewalsonly".This applies only with clientcertificate and allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-ADCA-adca

Zeigt Active Directory Zertifizierungsstellen an.Displays Active Directory Certificate Authorities.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca-ca

Zeigt Registrierungsrichtlinien-Zertifizierungsstellen an.Displays enrollment policy Certificate Authorities.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-Richtlinie-policy

Zeigt die Registrierungs Richtlinie an.Displays the enrollment policy.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-PolicyCache-policycache

Hiermit werden Registrierungsrichtlinien-Cache Einträge angezeigt oder gelöscht.Displays or deletes enrollment policy cache entries.

certutil [options] -policycache [delete]

Hierbei gilt:Where:

  • Delete löscht die Richtlinien Server-Cache Einträge.delete deletes the policy server cache entries.

  • -f löscht alle Cache Einträge.-f deletes all cache entries

[-f] [-user] [-policyserver URLorID]

--Datenspeicher-credstore

Hiermit werden Anmelde Informationsspeicher Einträge angezeigt, hinzugefügt oder gelöscht.Displays, adds, or deletes Credential Store entries.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Hierbei gilt:Where:

  • URL ist die Ziel-URL.URL is the target URL. Sie können auch verwenden * , um alle Einträge abzugleichen oder https://machine* um ein URL-Präfix abzugleichen.You can also use * to match all entries or https://machine* to match a URL prefix.

  • Hinzufügen fügt einen Anmelde Informationsspeicher-Eintrag hinzu.add adds a credential store entry. Die Verwendung dieser Option erfordert auch die Verwendung von SSL-Anmelde Informationen.Using this option also requires the use of SSL credentials.

  • Delete löscht Anmelde Informationsspeicher Einträge.delete deletes credential store entries.

  • -f überschreibt einen einzelnen Eintrag oder löscht mehrere Einträge.-f overwrites a single entry or deletes multiple entries.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates-installdefaulttemplates

Installiert Standard Zertifikat Vorlagen.Installs default certificate templates.

certutil [options] -installdefaulttemplates
[-dc DCName]

-Urlcache-URLcache

Zeigt URL-Cache Einträge an oder löscht sie.Displays or deletes URL cache entries.

certutil [options] -URLcache [URL | CRL | * [delete]]

Hierbei gilt:Where:

  • URL ist die zwischengespeicherte URL.URL is the cached URL.

  • Die CRL wird nur für alle zwischengespeicherten CRL-URLs ausgeführt.CRL runs on all cached CRL URLs only.

  • * funktioniert für alle zwischengespeicherten URLs.* operates on all cached URLs.

  • Delete löscht relevante URLs aus dem lokalen Cache des aktuellen Benutzers.delete deletes relevant URLs from the current user's local cache.

  • -f erzwingt das Abrufen einer bestimmten URL und das Aktualisieren des Caches.-f forces fetching a specific URL and updating the cache.

[-f] [-split]

-Pulse-pulse

Pulse Ereignisse für die automatische Registrierung.Pulses auto enrollment events.

certutil [options] -pulse
[-user]

-machineinfo-machineinfo

Zeigt Informationen zum Active Directory Computer Objekt an.Displays information about the Active Directory machine object.

certutil [options] -machineinfo domainname\machinename$

-Dcinfo-DCInfo

Zeigt Informationen zum Domänen Controller an.Displays information about the domain controller. Standardmäßig werden Domänen Controller Zertifikate ohne Überprüfung angezeigt.The default displays DC certificates without verification.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Tipp

Die Möglichkeit, eine Active Directory Domain Services (AD DS)-Domäne [Domäne] anzugeben und einen Domänen Controller (-DC) anzugeben, wurde in Windows Server 2012 hinzugefügt.The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. Um den Befehl erfolgreich auszuführen, müssen Sie ein Konto verwenden, das Mitglied der Gruppe " Domänen-Admins " oder "Organisations- Admins" ist.To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. Die Verhaltensänderungen dieses Befehls lauten wie folgt:The behavior modifications of this command are as follows:

  1. 1. wenn keine Domäne angegeben ist und kein bestimmter Domänen Controller angegeben ist, gibt diese Option eine Liste der Domänen Controller zurück, die vom Standard Domänen Controller verarbeitet werden sollen.1. If a domain is not specified and a specific domain controller is not specified, this option returns a list of domain controllers to process from the default domain controller.
  2. 2. wenn keine Domäne angegeben ist, aber ein Domänen Controller angegeben ist, wird ein Bericht der Zertifikate auf dem angegebenen Domänen Controller generiert.2. If a domain is not specified, but a domain controller is specified, a report of the certificates on the specified domain controller is generated.
  3. 3. Wenn eine Domäne angegeben ist, jedoch kein Domänen Controller angegeben ist, wird eine Liste mit Domänen Controllern zusammen mit Berichten zu den Zertifikaten für die einzelnen Domänen Controller in der Liste generiert.3. If a domain is specified, but a domain controller is not specified, a list of domain controllers is generated along with reports on the certificates for each domain controller in the list.
  4. 4. wenn die Domäne und der Domänen Controller angegeben sind, wird eine Liste der Domänen Controller vom Zieldomänen Controller generiert.4. If the domain and domain controller are specified, a list of domain controllers is generated from the targeted domain controller. Ein Bericht der Zertifikate für jeden Domänen Controller in der Liste wird ebenfalls generiert.A report of the certificates for each domain controller in the list is also generated.

Nehmen wir beispielsweise an, dass eine Domäne mit dem Namen CPANDL mit einem Domänen Controller namens CPANDL-DC1 vorhanden ist.For example, assume there is a domain named CPANDL with a domain controller named CPANDL-DC1. Sie können den folgenden Befehl ausführen, um eine Liste der Domänen Controller und ihrer Zertifikate abzurufen, die von CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandlYou can run the following command to a retrieve a list of domain controllers and their certificates that from CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo-entinfo

Zeigt Informationen zu einer Unternehmens Zertifizierungsstelle an.Displays information about an enterprise Certificate Authority.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo-tcainfo

Zeigt Informationen zur Zertifizierungsstelle an.Displays information about the Certificate Authority.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo-scinfo

Hiermit werden Informationen über die Smartcard angezeigt.Displays information about the smart card.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Hierbei gilt:Where:

  • CRYPT_DELETEKEYSET löscht alle Schlüssel auf der Smartcard.CRYPT_DELETEKEYSET deletes all keys on the smart card.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots-scroots

Verwaltet smartcardstamm Zertifikate.Manages smart card root certificates.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys-verifykeys

Überprüft einen öffentlichen oder privaten Schlüsselsatz.Verifies a public or private key set.

certutil [options] -verifykeys [keycontainername cacertfile]

Hierbei gilt:Where:

  • KeyContainerName ist der Schlüssel Container Name für den Schlüssel, der überprüft werden soll.keycontainername is the key container name for the key to verify. Diese Option ist standardmäßig auf Computer Schlüssel eingestellt.This option defaults to machine keys. Verwenden Sie, um zu Benutzer Schlüsseln zu wechseln -user .To switch to user keys, use -user.

  • CACertFile signiert oder verschlüsselt Zertifikat Dateien.cacertfile signs or encrypts certificate files.

[-f] [-user] [-silent] [-config Machine\CAName]

BemerkungenRemarks

  • Wenn keine Argumente angegeben werden, wird jedes Signatur Zertifizierungsstellen Zertifikat anhand des privaten Schlüssels überprüft.If no arguments are specified, each signing CA certificate is verified against its private key.

  • Dieser Vorgang kann nur für lokale Zertifizierungsstellen oder lokale Schlüssel ausgeführt werden.This operation can only be performed against a local CA or local keys.

-Überprüfen-verify

Überprüft ein Zertifikat, eine Zertifikat Sperr Liste (CRL) oder eine Zertifikat Kette.Verifies a certificate, certificate revocation list (CRL), or certificate chain.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Hierbei gilt:Where:

  • CertFile ist der Name des Zertifikats, das überprüft werden soll.certfile is the name of the certificate to verify.

  • applicationpolicylist ist die optionale durch Trennzeichen getrennte Liste erforderlicher Anwendungsrichtlinien-ObjectIDs.applicationpolicylist is the optional comma-separated list of required Application Policy ObjectIds.

  • issuancepolicylist ist die optionale durch Trennzeichen getrennte Liste der erforderlichen Ausstellungs Richtlinien-ObjectIDs.issuancepolicylist is the optional comma-separated list of required Issuance Policy ObjectIds.

  • CACertFile ist das optionale Zertifikat der ausstellenden Zertifizierungsstelle, das überprüft werden soll.cacertfile is the optional issuing CA certificate to verify against.

  • " crossedcacertfile " ist das optionale Zertifikat, das von " CertFile" Cross-Certified ist.crossedcacertfile is the optional certificate cross-certified by certfile.

  • Crlfile ist die CRL-Datei, mit der die CACertFile überprüft wird.CRLfile is the CRL file used to verify the cacertfile.

  • issuedcertfile ist das optionale ausgestellte Zertifikat, das von der crlfile abgedeckt wird.issuedcertfile is the optional issued certificate covered by the CRLfile.

  • deltacrlfile ist die optionale Delta-CRL-Datei.deltaCRLfile is the optional delta CRL file.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

BemerkungenRemarks

  • Die Verwendung von applicationpolicylist schränkt die Ketten Bildung auf die für die angegebenen Anwendungsrichtlinien gültigen Ketten ein.Using applicationpolicylist restricts chain building to only chains valid for the specified Application Policies.

  • Die Verwendung von issuancepolicylist schränkt die Ketten Erstellung auf die für die angegebenen Ausstellungs Richtlinien gültigen Ketten ein.Using issuancepolicylist restricts chain building to only chains valid for the specified Issuance Policies.

  • Durch die Verwendung von CACertFile werden die Felder in der Datei mit " CertFile " oder " crlfile" überprüft.Using cacertfile verifies the fields in the file against certfile or CRLfile.

  • Durch die Verwendung von issuedcertfile werden die Felder in der Datei mit crlfile überprüft.Using issuedcertfile verifies the fields in the file against CRLfile.

  • Durch die Verwendung von Delta-Datei werden die Felder in der Datei anhand von " CertFile" überprüft.Using deltaCRLfile verifies the fields in the file against certfile.

  • Wenn CACertFile nicht angegeben wird, wird die vollständige Kette erstellt und anhand von " CertFile" überprüft.If cacertfile isn't specified, the full chain is built and verified against certfile.

  • Wenn " CACertFile " und " crossedcacertfile " angegeben sind, werden die Felder in beiden Dateien anhand von " CertFile" überprüft.If cacertfile and crossedcacertfile are both specified, the fields in both files are verified against certfile.

-verifyctl-verifyCTL

Überprüft die CTL "AuthRoot" oder "unzulässige Zertifikate".Verifies the AuthRoot or Disallowed Certificates CTL.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Hierbei gilt:Where:

  • Ctlobject identifiziert die zu überprüfende CTL, einschließlich:CTLobject identifies the CTL to verify, including:

    • Authrootwu : liest das AuthRoot-CAB und übereinstimmende Zertifikate aus dem URL-Cache.AuthRootWU - Reads the AuthRoot CAB and matching certificates from the URL cache. Verwenden Sie -f stattdessen, um von Windows Update herunterzuladen.Use -f to download from Windows Update instead.

    • Diszuzuordnung : liest die nicht zulässigen Zertifikate und die unzulässige Zertifikats Speicherdatei aus dem URL-Cache.DisallowedWU - Reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. Verwenden Sie -f stattdessen, um von Windows Update herunterzuladen.Use -f to download from Windows Update instead.

    • AuthRoot : liest die CTL der Registrierungs Zwischenspeicherung (AuthRoot).AuthRoot - Reads the registry-cached AuthRoot CTL. Verwenden -f Sie with und eine nicht vertrauenswürdige CertFile , um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot-und unzulässige Zertifikat-CTLs aktualisiert werden.Use with -f and an untrusted certfile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.

    • Nicht zulässig : liest die CTL der durch die Registrierung zwischengespeicherten Zertifikate.Disallowed - Reads the registry-cached Disallowed Certificates CTL. Verwenden -f Sie with und eine nicht vertrauenswürdige CertFile , um zu erzwingen, dass die Registrierung zwischengespeicherte AuthRoot-und unzulässige Zertifikat-CTLs aktualisiert werden.Use with -f and an untrusted certfile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.

  • Ctlfilename gibt die Datei oder den HTTP-Pfad zur CTL-bzw. CAB-Datei an.CTLfilename specifies the file or http path to the CTL or CAB file.

  • certdir gibt den Ordner mit Zertifikaten an, die mit den CTL-Einträgen übereinstimmen.certdir specifies the folder containing certificates matching the CTL entries. Der Standardwert ist der gleiche Ordner oder die gleiche Website wie das ctlobject.Defaults to the same folder or website as the CTLobject. Die Verwendung eines HTTP-Ordner Pfads erfordert am Ende ein Pfad Trennzeichen.Using an http folder path requires a path separator at the end. Wenn Sie AuthRoot oder nicht zulässig angeben, werden mehrere Speicherorte nach übereinstimmenden Zertifikaten, einschließlich lokaler Zertifikat Speicher, crypt32.dll Ressourcen und dem lokalen URL-Cache, durchsucht.If you don't specify AuthRoot or Disallowed, multiple locations will be searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. Verwenden Sie -f , um bei Bedarf von Windows Update herunterzuladen.Use -f to download from Windows Update, as needed.

  • CertFile gibt die zu überprüfende Zertifikate an.certfile specifies the certificate(s) to verify. Zertifikate werden mit CTL-Einträgen abgeglichen und zeigen die Ergebnisse an.Certificates are matched against CTL entries, displaying the results. Mit dieser Option wird der größte Teil der Standardausgabe unterdrückt.This option suppresses most of the default output.

[-f] [-user] [-split]

-Sign-sign

Signiert eine Zertifikat Sperr Liste (CRL) oder ein Zertifikat erneut.Re-signs a certificate revocation list (CRL) or certificate.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Hierbei gilt:Where:

  • " infilelist " ist eine durch Trennzeichen getrennte Liste von Zertifikat-oder CRL-Dateien, die geändert und neu signiert werden sollen.infilelist is the comma-separated list of certificate or CRL files to modify and re-sign.

  • serialNumber ist die Seriennummer des Zertifikats, das erstellt werden soll.serialnumber is the serial number of the certificate to create. Der Gültigkeits Zeitraum und andere Optionen können nicht vorhanden sein.The validity period and other options can't be present.

  • CRL erstellt eine leere CRL.CRL creates an empty CRL. Der Gültigkeits Zeitraum und andere Optionen können nicht vorhanden sein.The validity period and other options can't be present.

  • outfilelist ist die durch Trennzeichen getrennte Liste der geänderten Zertifikat-oder CRL-Ausgabedateien.outfilelist is the comma-separated list of modified certificate or CRL output files. Die Anzahl der Dateien muss mit "infilelist" verglichen werden.The number of files must match infilelist.

  • StartDate + DD: hh ist die neue Gültigkeitsdauer für die Zertifikat-oder CRL-Dateien, einschließlich:startdate+dd:hh is the new validity period for the certificate or CRL files, including:

    • Optionales Datum plusoptional date plus

    • optionale Gültigkeitsdauer für Tage und Stundenoptional days and hours validity period

    Wenn beide angegeben werden, müssen Sie ein Pluszeichen Trennzeichen (+) verwenden.If both are specified, you must use a plus sign (+) separator. Verwenden now[+dd:hh] Sie, um zum aktuellen Zeitpunkt zu starten.Use now[+dd:hh] to start at the current time. Verwenden never Sie, um kein Ablaufdatum zu verwenden (nur für CRLs).Use never to have no expiration date (for CRLs only).

  • serialnumlist ist die durch Trennzeichen getrennte Liste der Dateien, die hinzugefügt oder entfernt werden sollen.serialnumberlist is the comma-separated serial number list of the files to add or remove.

  • objectidlist ist die durch Trennzeichen getrennte Erweiterung ObjectID der Dateien, die entfernt werden sollen.objectIDlist is the comma-separated extension ObjectId list of the files to remove.

  • @ extensionfile ist die INF-Datei mit den zu aktualisierenden oder zu entfernenden Erweiterungen.@extensionfile is the INF file that contains the extensions to update or remove. Beispiel:For example:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm ist der Name des Hash Algorithmus.hashalgorithm is the name of the hash algorithm. Dies darf nur der Text sein, dem das Vorzeichen vorangestellt ist # .This must only be the text preceded by the # sign.

  • "Alternate User Name " ist der Alternative Signatur Algorithmus-Spezifizierer.alternatesignaturealgorithm is the alternate signature algorithm specifier.

[-nullsign] [-f] [-silent] [-cert certID]

BemerkungenRemarks

  • Wenn Sie das Minuszeichen (-) verwenden, werden Seriennummern und Erweiterungen entfernt.Using the minus sign (-) removes serial numbers and extensions.

  • Mit dem Pluszeichen (+) werden einer CRL Seriennummern hinzugefügt.Using the plus sign (+) adds serial numbers to a CRL.

  • Sie können eine Liste verwenden, um gleichzeitig sowohl Seriennummern als auch ObjectIDs aus einer CRL zu entfernen.You can use a list to remove both serial numbers and ObjectIDs from a CRL at the same time.

  • Wenn Sie das Minuszeichen vor " Alternativen " verwenden, können Sie das Legacy-Signatur Format verwenden.Using the minus sign before alternatesignaturealgorithm allows you to use the legacy signature format. Wenn Sie das Pluszeichen verwenden, können Sie das alternative Signatur Format verwenden.Using the plus sign allows you to use the alternate signature format. Wenn Sie nicht den Wert von " Alternativen" in der Zertifikat-/CRL angeben, wird das Signatur Format im Zertifikat oder der CRL verwendet.If you don't specify alternatesignaturealgorithm, the signature format in the certificate or CRL is used.

-vroot-vroot

Erstellt oder löscht virtuelle Webstämme und Dateifreigaben.Creates or deletes web virtual roots and file shares.

certutil [options] -vroot [delete]

-vocsproot-vocsproot

Erstellt oder löscht virtuelle Webstämme für einen OCSP-WebProxy.Creates or deletes web virtual roots for an OCSP web proxy.

certutil [options] -vocsproot [delete]

-addenrollmentserver-addenrollmentserver

Fügen Sie ggf. eine Registrierungs Server Anwendung und einen Anwendungs Pool für die angegebene Zertifizierungsstelle hinzu.Add an Enrollment Server application and application pool if necessary, for the specified Certificate Authority. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.This command does not install binaries or packages.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Hierbei gilt:Where:

  • addenrollmentserver erfordert, dass Sie eine Authentifizierungsmethode für die Client Verbindung mit dem Zertifikat Registrierungs Server verwenden, einschließlich:addenrollmentserver requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

    • Kerberos verwendet Kerberos-SSL-Anmelde Informationen.kerberos uses Kerberos SSL credentials.

    • username verwendet das benannte Konto für SSL-Anmelde Informationen.username uses named account for SSL credentials.

    • ClientCertificate verwendet SSL-Anmelde Informationen für das X. 509-Zertifikat.clientcertificate uses X.509 Certificate SSL credentials.

  • allowrenewalsonly gestattet nur Erneuerungs Anforderungen an die Zertifizierungsstelle über die URL.allowrenewalsonly allows only renewal request submissions to the Certificate Authority through the URL.

  • allowkeybasedrenewal ermöglicht die Verwendung eines Zertifikats ohne Zugeordnetes Konto in Active Directory.allowkeybasedrenewal allows use of a certificate with no associated account in Active Directory. Dies gilt bei der Verwendung mit ClientCertificate und dem allowrenewalsonly -Modus.This applies when used with clientcertificate and allowrenewalsonly mode.

[-config Machine\CAName]

-deleteenrollmentserver-deleteenrollmentserver

Löscht ggf. eine Registrierungs Server Anwendung und einen Anwendungs Pool für die angegebene Zertifizierungsstelle.Deletes an Enrollment Server application and application pool if necessary, for the specified Certificate Authority. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.This command does not install binaries or packages.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Hierbei gilt:Where:

  • deleteenrollmentserver erfordert, dass Sie eine Authentifizierungsmethode für die Client Verbindung mit dem Zertifikat Registrierungs Server verwenden, einschließlich:deleteenrollmentserver requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

    • Kerberos verwendet Kerberos-SSL-Anmelde Informationen.kerberos uses Kerberos SSL credentials.

    • username verwendet das benannte Konto für SSL-Anmelde Informationen.username uses named account for SSL credentials.

    • ClientCertificate verwendet SSL-Anmelde Informationen für das X. 509-Zertifikat.clientcertificate uses X.509 Certificate SSL credentials.

[-config Machine\CAName]

-addpolicyserver-addpolicyserver

Fügen Sie ggf. eine Richtlinien Server Anwendung und einen Anwendungs Pool hinzu.Add a Policy Server application and application pool, if necessary. Mit diesem Befehl werden keine Binärdateien oder Pakete installiert.This command does not install binaries or packages.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Hierbei gilt:Where:

  • addpolicyserver erfordert, dass Sie eine Authentifizierungsmethode für die Client Verbindung mit dem Zertifikat Richtlinien Server verwenden, einschließlich:addpolicyserver requires you to use an authentication method for the client connection to the Certificate Policy Server, including:

    • Kerberos verwendet Kerberos-SSL-Anmelde Informationen.kerberos uses Kerberos SSL credentials.

    • username verwendet das benannte Konto für SSL-Anmelde Informationen.username uses named account for SSL credentials.

    • ClientCertificate verwendet SSL-Anmelde Informationen für das X. 509-Zertifikat.clientcertificate uses X.509 Certificate SSL credentials.

  • keybasedrenewal ermöglicht die Verwendung von Richtlinien, die an den Client zurückgegeben werden, der keybasedrenewal-Vorlagen enthältkeybasedrenewal allows use of policies returned to the client containing keybasedrenewal templates. Diese Option gilt nur für die Benutzername -und ClientCertificate -Authentifizierung.This option applies only for username and clientcertificate authentication.

-deletepolicyserver-deletepolicyserver

Löscht ggf. eine Richtlinien Server Anwendung und einen Anwendungs Pool.Deletes a Policy Server application and application pool, if necessary. Mit diesem Befehl werden keine Binärdateien oder Pakete entfernt.This command does not remove binaries or packages.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Hierbei gilt:Where:

  • deletepolicyserver erfordert, dass Sie eine Authentifizierungsmethode für die Client Verbindung mit dem Zertifikat Richtlinien Server verwenden, einschließlich:deletepolicyserver requires you to use an authentication method for the client connection to the Certificate Policy Server, including:

    • Kerberos verwendet Kerberos-SSL-Anmelde Informationen.kerberos uses Kerberos SSL credentials.

    • username verwendet das benannte Konto für SSL-Anmelde Informationen.username uses named account for SSL credentials.

    • ClientCertificate verwendet SSL-Anmelde Informationen für das X. 509-Zertifikat.clientcertificate uses X.509 Certificate SSL credentials.

  • keybasedrenewal ermöglicht die Verwendung eines keybasedrenewal-Richtlinien Servers.keybasedrenewal allows use of a KeyBasedRenewal policy server.

-OID-oid

Zeigt den Objekt Bezeichner an oder legt einen anzeigen Amen fest.Displays the object identifier or set a display name.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Hierbei gilt:Where:

  • objectID zeigt oder an, um den anzeigen Amen hinzufügen.objectID displays or to adds the display name.

  • GroupID ist die GroupID-Nummer (Decimal), die ObjectIDs auflistet.groupID is the groupID number (decimal) that objectIDs enumerate.

  • algid ist die hexadezimal-ID, die ObjectID sucht.algID is the hexadecimal ID that objectID looks up.

  • algorithmName ist der Algorithmusname, den ObjectID sucht.algorithmname is the algorithm name that objectID looks up.

  • Display Name zeigt den Namen an, der in DS gespeichert werden soll.displayname displays the name to store in DS.

  • Delete löscht den anzeigen Amen.delete deletes the display name.

  • LanguageID ist der Sprach-ID-Wert (standardmäßig Current: 1033).LanguageId is the language ID value (defaults to current: 1033).

  • Typ ist der Typ des zu erstellenden DS-Objekts, einschließlich:Type is the type of DS object to create, including:

    • 1 -Vorlage (Standard)1 - Template (default)

    • 2 -Ausstellungs Richtlinie2 - Issuance Policy

    • 3 -Anwendungs Richtlinie3 - Application Policy

  • -f erstellt ein DS-Objekt.-f creates a DS object.

-Fehler-error

Zeigt den Meldungs Text an, der einem Fehlercode zugeordnet ist.Displays the message text associated with an error code.

certutil [options] -error errorcode

-getreg-getreg

Zeigt einen Registrierungs Wert an.Displays a registry value.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Hierbei gilt:Where:

  • die Zertifizierungs Stelle verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.ca uses a Certificate Authority's registry key.

  • Restore verwendet den Registrierungsschlüssel für die Wiederherstellung der Zertifizierungsstelle.restore uses Certificate Authority's restore registry key.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinien Moduls.policy uses the policy module's registry key.

  • Exit verwendet den Registrierungsschlüssel des ersten Beendigungs Moduls.exit uses the first exit module's registry key.

  • die Vorlage verwendet den Registrierungsschlüssel für die Vorlage (Verwendung -user für Benutzervorlagen).template uses the template registry key (use -user for user templates).

  • bei der Registrierung wird der Registrierungsschlüssel für die Registrierung verwendet ( -user für Benutzer Kontext verwenden).enroll uses the enrollment registry key (use -user for user context).

  • die Kette verwendet den Registrierungsschlüssel für die Ketten Konfiguration.chain uses the chain configuration registry key.

  • policyservers verwendet den Richtlinien Server-Registrierungsschlüssel.policyservers uses the Policy Servers registry key.

  • ProgID verwendet die ProgID der Richtlinie oder des Beendigungs Moduls (Name des Registrierungs unter Schlüssels).progID uses the policy or exit module's ProgID (registry subkey name).

  • registryvaluename verwendet den Namen des Registrierungs Werts (mit Name* Präfix Übereinstimmung).registryvaluename uses the registry value name (use Name* to prefix match).

  • der Wert verwendet den neuen numerischen, Zeichen folgen-oder Datums Registrierungs Wert bzw. Dateinamen.value uses the new numeric, string or date registry value or filename. Wenn ein numerischer Wert mit + oder beginnt - , werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungs Wert festgelegt oder gelöscht.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

BemerkungenRemarks

  • Wenn ein Zeichen folgen Wert mit + oder beginnt - und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungs Wert hinzugefügt oder daraus entfernt.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Um das Erstellen eines Werts zu erzwingen REG_MULTI_SZ , fügen Sie am \n Ende des Zeichen folgen Werts ein.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Wenn der Wert mit beginnt \@ , ist der restliche Wert der Name der Datei, die die hexadezimale Textdarstellung eines Binär Werts enthält.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Wenn Sie nicht auf eine gültige Datei verweist, wird Sie stattdessen als [Date][+|-][dd:hh] -ein optionales Datum plus oder minus optionale Tage und Stunden analysiert.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Verwenden now+dd:hh Sie für ein Datum in Bezug auf die aktuelle Zeit.Use now+dd:hh for a date relative to the current time.

  • Verwenden chain\chaincacheresyncfiletime \@now Sie, um zwischengespeicherte CRLs effektiv zu leeren.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-Eing-setreg

Legt einen Registrierungs Wert fest.Sets a registry value.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Hierbei gilt:Where:

  • die Zertifizierungs Stelle verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.ca uses a Certificate Authority's registry key.

  • Restore verwendet den Registrierungsschlüssel für die Wiederherstellung der Zertifizierungsstelle.restore uses Certificate Authority's restore registry key.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinien Moduls.policy uses the policy module's registry key.

  • Exit verwendet den Registrierungsschlüssel des ersten Beendigungs Moduls.exit uses the first exit module's registry key.

  • die Vorlage verwendet den Registrierungsschlüssel für die Vorlage (Verwendung -user für Benutzervorlagen).template uses the template registry key (use -user for user templates).

  • bei der Registrierung wird der Registrierungsschlüssel für die Registrierung verwendet ( -user für Benutzer Kontext verwenden).enroll uses the enrollment registry key (use -user for user context).

  • die Kette verwendet den Registrierungsschlüssel für die Ketten Konfiguration.chain uses the chain configuration registry key.

  • policyservers verwendet den Richtlinien Server-Registrierungsschlüssel.policyservers uses the Policy Servers registry key.

  • ProgID verwendet die ProgID der Richtlinie oder des Beendigungs Moduls (Name des Registrierungs unter Schlüssels).progID uses the policy or exit module's ProgID (registry subkey name).

  • registryvaluename verwendet den Namen des Registrierungs Werts (mit Name* Präfix Übereinstimmung).registryvaluename uses the registry value name (use Name* to prefix match).

  • der Wert verwendet den neuen numerischen, Zeichen folgen-oder Datums Registrierungs Wert bzw. Dateinamen.value uses the new numeric, string or date registry value or filename. Wenn ein numerischer Wert mit + oder beginnt - , werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungs Wert festgelegt oder gelöscht.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

BemerkungenRemarks

  • Wenn ein Zeichen folgen Wert mit + oder beginnt - und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungs Wert hinzugefügt oder daraus entfernt.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Um das Erstellen eines Werts zu erzwingen REG_MULTI_SZ , fügen Sie am \n Ende des Zeichen folgen Werts ein.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Wenn der Wert mit beginnt \@ , ist der restliche Wert der Name der Datei, die die hexadezimale Textdarstellung eines Binär Werts enthält.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Wenn Sie nicht auf eine gültige Datei verweist, wird Sie stattdessen als [Date][+|-][dd:hh] -ein optionales Datum plus oder minus optionale Tage und Stunden analysiert.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Verwenden now+dd:hh Sie für ein Datum in Bezug auf die aktuelle Zeit.Use now+dd:hh for a date relative to the current time.

  • Verwenden chain\chaincacheresyncfiletime \@now Sie, um zwischengespeicherte CRLs effektiv zu leeren.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-Delta reg-delreg

Löscht einen Registrierungs Wert.Deletes a registry value.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Hierbei gilt:Where:

  • die Zertifizierungs Stelle verwendet den Registrierungsschlüssel einer Zertifizierungsstelle.ca uses a Certificate Authority's registry key.

  • Restore verwendet den Registrierungsschlüssel für die Wiederherstellung der Zertifizierungsstelle.restore uses Certificate Authority's restore registry key.

  • die Richtlinie verwendet den Registrierungsschlüssel des Richtlinien Moduls.policy uses the policy module's registry key.

  • Exit verwendet den Registrierungsschlüssel des ersten Beendigungs Moduls.exit uses the first exit module's registry key.

  • die Vorlage verwendet den Registrierungsschlüssel für die Vorlage (Verwendung -user für Benutzervorlagen).template uses the template registry key (use -user for user templates).

  • bei der Registrierung wird der Registrierungsschlüssel für die Registrierung verwendet ( -user für Benutzer Kontext verwenden).enroll uses the enrollment registry key (use -user for user context).

  • die Kette verwendet den Registrierungsschlüssel für die Ketten Konfiguration.chain uses the chain configuration registry key.

  • policyservers verwendet den Richtlinien Server-Registrierungsschlüssel.policyservers uses the Policy Servers registry key.

  • ProgID verwendet die ProgID der Richtlinie oder des Beendigungs Moduls (Name des Registrierungs unter Schlüssels).progID uses the policy or exit module's ProgID (registry subkey name).

  • registryvaluename verwendet den Namen des Registrierungs Werts (mit Name* Präfix Übereinstimmung).registryvaluename uses the registry value name (use Name* to prefix match).

  • der Wert verwendet den neuen numerischen, Zeichen folgen-oder Datums Registrierungs Wert bzw. Dateinamen.value uses the new numeric, string or date registry value or filename. Wenn ein numerischer Wert mit + oder beginnt - , werden die im neuen Wert angegebenen Bits im vorhandenen Registrierungs Wert festgelegt oder gelöscht.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

BemerkungenRemarks

  • Wenn ein Zeichen folgen Wert mit + oder beginnt - und der vorhandene Wert ein REG_MULTI_SZ Wert ist, wird die Zeichenfolge dem vorhandenen Registrierungs Wert hinzugefügt oder daraus entfernt.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Um das Erstellen eines Werts zu erzwingen REG_MULTI_SZ , fügen Sie am \n Ende des Zeichen folgen Werts ein.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Wenn der Wert mit beginnt \@ , ist der restliche Wert der Name der Datei, die die hexadezimale Textdarstellung eines Binär Werts enthält.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Wenn Sie nicht auf eine gültige Datei verweist, wird Sie stattdessen als [Date][+|-][dd:hh] -ein optionales Datum plus oder minus optionale Tage und Stunden analysiert.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Wenn beide angegeben sind, verwenden Sie ein Pluszeichen (+) oder Minuszeichen (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Verwenden now+dd:hh Sie für ein Datum in Bezug auf die aktuelle Zeit.Use now+dd:hh for a date relative to the current time.

  • Verwenden chain\chaincacheresyncfiletime \@now Sie, um zwischengespeicherte CRLs effektiv zu leeren.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-importkms-importKMS

Importiert Benutzerschlüssel und Zertifikate in die Server Datenbank für die Schlüssel Archivierung.Imports user keys and certificates into the server database for key archival.

certutil [options] -importKMS userkeyandcertfile [certID]

Hierbei gilt:Where:

  • " userkeyandcertfile " ist eine Datendatei mit privaten Benutzer Schlüsseln und Zertifikaten, die archiviert werden sollen.userkeyandcertfile is a data file with user private keys and certificates that are to be archived. Diese Datei kann wie folgt lauten:This file can be:

    • Eine Exportdatei für den Exchange-Schlüssel Verwaltungs Server (KMS).An Exchange Key Management Server (KMS) export file.

    • Eine PFX-Datei.A PFX file.

  • CertID ist ein abgleichstoken für die Zuordnung von KMS-Export Dateien.certID is a KMS export file decryption certificate match token. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

  • -f importiert Zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.-f imports certificates not issued by the Certificate Authority.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-Import CERT-importcert

Importiert eine Zertifikatsdatei in die-Datenbank.Imports a certificate file into the database.

certutil [options] -importcert certfile [existingrow]

Hierbei gilt:Where:

  • existingrow importiert das Zertifikat anstelle einer ausstehenden Anforderung für denselben Schlüssel.existingrow imports the certificate in place of a pending request for the same key.

  • -f importiert Zertifikate, die nicht von der Zertifizierungsstelle ausgestellt wurden.-f imports certificates not issued by the Certificate Authority.

[-f] [-config Machine\CAName]

BemerkungenRemarks

Die Zertifizierungsstelle muss möglicherweise auch für die Unterstützung von fremd Zertifikaten konfiguriert werden.The Certificate Authority may also need to be configured to support foreign certificates. Geben Sie hierzu ein import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN .To do this, type import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey-getkey

Ruft ein archiviertes BLOB für die Wiederherstellung privater Schlüssel ab, generiert ein Wiederherstellungs Skript oder stellt archivierte Schlüssel wieder her.Retrieves an archived private key recovery blob, generates a recovery script, or recovers archived keys.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Hierbei gilt:Where:

  • Skript generiert ein Skript zum Abrufen und Wiederherstellen von Schlüsseln (Standardverhalten, wenn mehrere übereinstimmende Wiederherstellungs Kandidaten gefunden werden oder wenn die Ausgabedatei nicht angegeben ist).script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file is not specified).

  • durch Abrufen werden mindestens eine Schlüsselwiederherstellungs-Blobdatei abgerufen (Standardverhalten, wenn genau ein übereinstimmender Wiederherstellungs Kandidat gefunden wird und die Ausgabedatei angegeben ist).retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten, und die Zertifikat spezifische Zeichenfolge und die. rec-Erweiterung werden für jedes Schlüsselwiederherstellungs-BLOB angefügt.Using this option truncates any extension and appends the certificate-specific string and the .rec extension for each key recovery blob. Jede Datei enthält eine Zertifikat Kette und einen zugeordneten privaten Schlüssel, die weiterhin in einem oder mehreren Schlüsselwiederherstellungs-Agent-Zertifikaten verschlüsselt sind.Each file contains a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.

  • durch die Wiederherstellung werden private Schlüssel in einem Schritt abgerufen und wieder hergestellt (erfordert Schlüssel Wiederherstellungs-Agentzertifikate und private Schlüssel).recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). Wenn Sie diese Option verwenden, werden alle Erweiterungen abgeschnitten und die Erweiterung ". p12" angefügt.Using this option truncates any extension and appends the .p12 extension. Jede Datei enthält die wiederhergestellten Zertifikat Ketten und die zugehörigen privaten Schlüssel, die als PFX-Datei gespeichert werden.Each file contains the recovered certificate chains and associated private keys, stored as a PFX file.

  • searchtoken wählt die Schlüssel und Zertifikate aus, die wieder hergestellt werden sollen, einschließlich:searchtoken selects the keys and certificates to be recovered, including:

      1. Allgemeiner Name (CN) für das ZertifikatCertificate Common Name
      1. Seriennummer des ZertifikatsCertificate Serial Number
      1. SHA-1-Hash Hash (Fingerabdruck)Certificate SHA-1 hash (thumbprint)
      1. Zertifikat-keyid SHA-1-Hash (Subjekt Schlüssel Bezeichner)Certificate KeyId SHA-1 hash (Subject Key Identifier)
      1. Requestname (Domäne \ Benutzer)Requester Name (domain\user)
      1. UPN (Benutzer @ Domäne)UPN (user@domain)
  • " wiederherstellungsbloboutfile " gibt eine Datei mit einer Zertifikat Kette und einem zugeordneten privaten Schlüssel aus, die noch in einem oder mehreren Schlüssel Wiederherstellungs-Agent-Zertifikaten verschlüsselt sind.recoverybloboutfile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.

  • outputScriptFile gibt eine Datei mit einem Batch-Skript aus, um private Schlüssel abzurufen und wiederherzustellen.outputscriptfile outputs a file with a batch script to retrieve and recover private keys.

  • outputfilebasename gibt einen Datei Basisnamen aus.outputfilebasename outputs a file base name.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey-recoverkey

Stellen Sie einen archivierten privaten Schlüssel wieder her.Recover an archived private key.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX-mergePFX

Führt PFX-Dateien zusammen.Merges PFX files.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Hierbei gilt:Where:

  • Pfxinfilelist eine durch Trennzeichen getrennte Liste mit PFX-Eingabedateien.PFXinfilelist is a comma-separated list of PFX input files.

  • Pfxoutfile ist der Name der PFX-Ausgabedatei.PFXoutfile is the name of the PFX output file.

  • collectionobjekte schließt erweiterte Eigenschaften ein.extendedproperties includes any extended properties.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

BemerkungenRemarks

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kenn Wort Liste sein.The password specified on the command line must be a comma-separated password list.

  • Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet.If more than one password is specified, the last password is used for the output file. Wenn nur ein Kennwort angegeben wird, oder wenn das letzte Kennwort lautet * , wird der Benutzer zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.If only one password is provided or if the last password is *, the user will be prompted for the output file password.

-convertepf-convertEPF

Konvertiert eine PFX-Datei in eine EPF-Datei.Converts a PFX file into an EPF file.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Hierbei gilt:Where:

  • Pfxinfilelist eine durch Trennzeichen getrennte Liste mit PFX-Eingabedateien.PFXinfilelist is a comma-separated list of PFX input files.

  • Pfxoutfile ist der Name der PFX-Ausgabedatei.PFXoutfile is the name of the PFX output file.

  • EPF ist der Name der EPF-Ausgabedatei.EPF is the name of the EPF output file.

  • Cast verwendet CAST 64 Encryption.cast uses CAST 64 encryption.

  • Cast- verwendet CAST 64 Encryption (Export)cast- uses CAST 64 encryption (export)

  • V3CAcertID ist das V3-Zertifizierungsstellen-Zertifikat Übereinstimmungs Token.V3CAcertID is the V3 CA certificate match token. Weitere Informationen finden Sie -store in diesem Artikel unter dem-Parameter.For more info, see the -store parameter in this article.

  • Salt ist die Salt-Zeichenfolge der EPF-Ausgabedatei.salt is the EPF output file salt string.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

BemerkungenRemarks

  • Das in der Befehlszeile angegebene Kennwort muss eine durch Trennzeichen getrennte Kenn Wort Liste sein.The password specified on the command line must be a comma-separated password list.

  • Wenn mehr als ein Kennwort angegeben wird, wird das letzte Kennwort für die Ausgabedatei verwendet.If more than one password is specified, the last password is used for the output file. Wenn nur ein Kennwort angegeben wird, oder wenn das letzte Kennwort lautet * , wird der Benutzer zur Eingabe des Kennworts für die Ausgabedatei aufgefordert.If only one password is provided or if the last password is *, the user will be prompted for the output file password.

-?-?

Zeigt die Liste der Parameter an.Displays the list of parameters.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Hierbei gilt:Where:

  • -?-? zeigt die vollständige Liste der Parameter an.displays the full list of parameters

  • -<name_of_parameter> -?-<name_of_parameter> -? Zeigt Hilfe Inhalt für den angegebenen Parameter an.displays help content for the specified parameter.

  • -?-v zeigt eine vollständige Liste der Parameter und Optionen an.-? -v displays a full list of parameters and options.

TastaturOptions

Dieser Abschnitt definiert alle Optionen, die Sie basierend auf dem Befehl angeben können.This section defines all of the options you're able to specify, based on the command. Jeder Parameter enthält Informationen darüber, welche Optionen für die Verwendung gültig sind.Each parameter includes information about which options are valid for use.

TastaturOptions BESCHREIBUNGDescription
-nullsign-nullsign Verwenden Sie den Hash der Daten als Signatur.Use the hash of the data as a signature.
-f-f Erzwingen von überschreiben.Force overwrite.
-enterprise-enterprise Verwenden Sie den Zertifikat Speicher des lokalen Computers für die Unternehmens Registrierung.Use the local machine enterprise registry certificate store.
-Benutzer-user Verwenden Sie die HKEY_CURRENT_USER-Schlüssel oder den Zertifikat Speicher.Use the HKEY_CURRENT_USER keys or certificate store.
-GroupPolicy-GroupPolicy Verwenden Sie den Gruppenrichtlinien-Zertifikat Speicher.Use the group policy certificate store.
-UT-ut Anzeigen von Benutzervorlagen.Display user templates.
-MT-mt Zeigen Sie Maschinen Vorlagen an.Display machine templates.
-Unicode-Unicode Schreiben Sie die umgeleitete Ausgabe in Unicode.Write redirected output in Unicode.
-UnicodeText-UnicodeText Schreiben der Ausgabedatei in Unicode.Write output file in Unicode.
-GMT-gmt Anzeige Zeiten mithilfe von GMT.Display times using GMT.
-Sekunden-seconds Anzeige Zeiten mithilfe von Sekunden und Millisekunden.Display times using seconds and milliseconds.
-unbeaufsichtigt-silent Verwenden silent Sie das Flag, um den Crypt-Kontext abzurufen.Use the silent flag to acquire crypt context.
-Teilen-split Unterteilen Sie eingebettete ASN. 1-Elemente, und speichern Sie Sie in Dateien.Split embedded ASN.1 elements, and save to files.
-v-v Geben Sie ausführlichere (ausführliche) Informationen an.Provide more detailed (verbose) information.
-PrivateKey-privatekey Hiermit werden Daten zum Kennwort und zum privaten Schlüssel angezeigt.Display password and private key data.
-PIN anheften-pin PIN Smartcard-PIN.Smart card PIN.
-urlfetch-urlfetch Abrufen und Überprüfen von AIA certs und CDP-CRLs.Retrieve and verify AIA Certs and CDP CRLs.
-config machine\caname-config Machine\CAName Zertifizierungsstelle und Computer namens Zeichenfolge.Certificate Authority and computer name string.
-policyserver urlorid-policyserver URLorID URL oder ID des Richtlinien Servers.Policy Server URL or ID. Verwenden Sie für Auswahl-U/I -policyserver .For selection U/I, use -policyserver. Verwenden Sie für alle Richtlinien Server -policyserver *For all Policy Servers, use -policyserver *
-Anonym-anonymous Anonyme SSL-Anmelde Informationen verwenden.Use anonymous SSL credentials.
-Kerberos-kerberos Verwenden Sie die Kerberos-SSL-Anmelde Informationen.Use Kerberos SSL credentials.
-ClientCertificate clientcertid-clientcertificate clientcertID SSL-Anmelde Informationen des X. 509-Zertifikats verwenden.Use X.509 Certificate SSL credentials. Verwenden Sie für Auswahl-U/I -clientcertificate .For selection U/I, use -clientcertificate.
-username username-username username Verwenden Sie das benannte Konto für SSL-Anmelde Informationen.Use named account for SSL credentials. Verwenden Sie für Auswahl-U/I -username .For selection U/I, use -username.
-CERT CertID-cert certID SignaturzertifikatSigning certificate.
-DC DCNAME-dc DCName Richten Sie einen bestimmten Domänen Controller ein.Target a specific Domain Controller.
-Einschränkungs Liste einschränken-restrict restrictionlist Durch Trennzeichen getrennte Einschränkungs Liste.Comma-separated Restriction List. Jede Einschränkung besteht aus einem Spaltennamen, einem relationalen Operator und einer Konstanten Ganzzahl, einer Zeichenfolge oder einem Datum.Each restriction consists of a column name, a relational operator and a constant integer, string or date. Einem Spaltennamen kann ein Plus-oder Minuszeichen vorangestellt werden, um die Sortierreihenfolge anzugeben.One column name may be preceded by a plus or minus sign to indicate the sort order. Beispiel: requestID = 47, +requestername >= a, requestername oder -requestername > DOMAIN, Disposition = 21For example: requestID = 47, +requestername >= a, requestername, or -requestername > DOMAIN, Disposition = 21
-Out ColumnList-out columnlist Durch Trennzeichen getrennte Spaltenliste.Comma-separated column list.
-p Kennwort-p password KennwortPassword
-protectto samnameandsidlist-protectto SAMnameandSIDlist Durch Trennzeichen getrennte SAM-Name/sid-Liste.Comma-separated SAM name/SID list.
-CSP-Anbieter-csp provider AnbieterProvider
-t Timeout-t timeout URL-Abruf Timeout in Millisekunden.URL fetch timeout in milliseconds.
-symkeyalg symmetrickeyalgorithmus [, keylength]-symkeyalg symmetrickeyalgorithm[,keylength] Der Name des symmetrischen Schlüssel Algorithmus mit optionaler Schlüssellänge.Name of the Symmetric Key Algorithm with optional key length. Beispiel: AES,128 oder 3DES.For example: AES,128 or 3DES

Zusätzliche ReferenzenAdditional References

Weitere Beispiele zur Verwendung dieses Befehls finden Sie unter.For some more examples about how to use this command, see