certutil

Certutil.exe es un programa de línea de comandos, instalado como parte de Servicios de certificados. Puede usar certutil.exe para volcar y mostrar la información de configuración de la entidad de certificación (CA), configurar servicios de certificados, realizar copias de seguridad y restaurar componentes de ca y comprobar certificados, pares de claves y cadenas de certificados.

Si certutil se ejecuta en una entidad de certificación sin parámetros adicionales, muestra la configuración actual de la entidad de certificación. Si certutil se ejecuta en una entidad que no es de certificación, el comando ejecuta el comando de forma certutil [-dump] predeterminada.

Importante

Es posible que las versiones anteriores de certutil no proporcionen todas las opciones que se describen en este documento. Puede ver todas las opciones que proporciona una versión específica de certutil mediante la ejecución certutil -? de o certutil <parameter> -? .

Parámetros

-dump

Volcado de información de configuración o archivos.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

Analice y muestre el contenido de un archivo mediante la sintaxis de la Notación de sintaxis abstracta (ASN.1). Los tipos de archivo incluyen . CER. DER y PKCS #7 archivos con formato.

certutil [options] -asn file [type]

[type]: tipo CRYPT_STRING_ decoding numérico*

-decodehex

Descodificar un archivo codificado hexadecimalmente.

certutil [options] -decodehex infile outfile [type]

[type]: tipo de codificación CRYPT_STRING_* numérico

[-f]

-decode

Descodificar un archivo codificado en Base64.

certutil [options] -decode infile outfile
[-f]

-encode

Codificar un archivo en Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-deny

Denegar una solicitud pendiente.

certutil [options] -deny requestID
[-config Machine\CAName]

-resubmit

Vuelva a enviar una solicitud pendiente.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

Establezca atributos para una solicitud de certificado pendiente.

certutil [options] -setattributes RequestID attributestring

Donde:

  • requestID es el identificador numérico de solicitud de la solicitud pendiente.

  • attributestring es los pares de nombre y valor del atributo de solicitud.

[-config Machine\CAName]

Observaciones

  • Los nombres y valores deben estar separados por dos puntos, mientras que los pares de valores de varios nombres deben estar separados por nueva línea. Por ejemplo: CertificateTemplate:User\nEMail:User@Domain.com donde la secuencia se convierte en un separador de nueva \n línea.

-setextension

Establezca una extensión para una solicitud de certificado pendiente.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Donde:

  • requestID es el identificador numérico de solicitud de la solicitud pendiente.

  • extensionname es la cadena ObjectId de la extensión.

  • establece la prioridad de la extensión. 0 se recomienda, mientras 1 que establece la extensión en crítica, deshabilita la extensión y hace ambas 23 cosas.

[-config Machine\CAName]

Observaciones

  • Si el último parámetro es numérico, se toma como long.

  • Si el último parámetro se puede analizar como una fecha, se toma como una fecha.

  • Si el último parámetro comienza por , el resto del token se toma como nombre de archivo con datos binarios o un \@ volcado hexadecimal de texto ascii.

  • Si el último parámetro es cualquier otro, se toma como una cadena.

-revoke

Revocar un certificado.

certutil [options] -revoke serialnumber [reason]

Donde:

  • serialnumber es una lista separada por comas de números de serie de certificado que se deben revocar.

  • reason es la representación numérica o simbólica del motivo de revocación, incluido:

    • 0. CRL_REASON_UNSPECIFIED- Sin especificar (valor predeterminado)

    • 1. CRL_REASON_KEY_COMPROMISE: compromiso clave

    • 2. CRL_REASON_CA_COMPROMISE: entidad de certificación en peligro

    • 3. CRL_REASON_AFFILIATION_CHANGED: cambio de afiliación

    • 4. CRL_REASON_SUPERSEDED: reemplazado

    • 5. CRL_REASON_CESSATION_OF_OPERATION: cessation of operation

    • 6. CRL_REASON_CERTIFICATE_HOLD: retención de certificados

    • 8. CRL_REASON_REMOVE_FROM_CRL: Quitar de CRL

    • 1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

Muestra la disposición del certificado actual.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

Obtiene la cadena de configuración predeterminada.

certutil [options] -getconfig
[-config Machine\CAName]

-ping

Intente ponerse en contacto con la Servicios de certificados de Active Directory request.

certutil [options] -ping [maxsecondstowait | camachinelist]

Donde:

  • camachinelist es una lista separada por comas de nombres de máquina de CA. Para una sola máquina, use una coma de terminación. Esta opción también muestra el costo del sitio para cada máquina de CA.
[-config Machine\CAName]

-cainfo

Mostrar información sobre la entidad de certificación.

certutil [options] -cainfo [infoname [index | errorcode]]

Donde:

  • infoname indica la propiedad de CA que se mostrará, en función de la siguiente sintaxis de argumento infoname:

    • archivo: versión del archivo

    • product: versión del producto

    • exitcount: recuento de módulos de salida

    • Salida - Descripción del módulo de salida

    • policy: descripción del módulo de directivas

    • name: nombre de ca

    • sanitizedname: nombre de ca sanitized

    • dsname: nombre corto de ca sanitized (nombre DS)

    • sharedfolder: carpeta compartida

    • error1 ErrorCode: texto del mensaje de error

    • error2 ErrorCode: texto del mensaje de error y código de error

    • type: tipo de CA

    • info: información de CA

    • parent: entidad de certificación primaria

    • certcount: recuento de certificados de entidad de certificación

    • xchgcount: recuento de certificados de intercambio de CA

    • count: recuento de certificados DE LAN

    • recuento usado del certificado DEER

    • propidmax: número máximo de propId de ca

    • certstate - Certificado de entidad de certificación

    • certversion - Versión del certificado de entidad de certificación

    • certstatuscode - Estado de comprobación del certificado de entidad de certificación

    • crlstate - CRL

    • state - Certificado DE CERTIFICACIÓN

    • crossstate+ - Reenvío de certificado cruzado

    • crossstate- - Certificado cruzado hacia atrás

    • Cert - Certificado de entidad de certificación

    • certchain - Cadena de certificados de entidad de certificación

    • certcrlchain - Cadena de certificados de entidad de certificación con CRL

    • xchg - Certificado de intercambio de CA

    • xchgchain - Cadena de certificados de intercambio de CA

    • xchgcrlchain - Cadena de certificados de intercambio de CA con CRL

    • Kra - Certificado DE CERTIFICACIÓN

    • cross+ - Reenvío de certificado cruzado

    • cross- - Certificado cruzado hacia atrás

    • CRL - CRL base

    • deltacrl - CRL diferencial

    • crlstatus - Estado de publicación de CRL

    • deltacrlstatus - Estado de publicación de CRL diferencial

    • dns: nombre DNS

    • role: separación de roles

    • ads: servidor avanzado

    • plantillas: plantillas

    • Csp - Direcciones URL de OCSP

    • Aia - Direcciones URL de AIA

    • Cdp - DIRECCIONES URL de CDP

    • localename: nombre de la configuración regional de la entidad de certificación

    • subjecttemplateoids: OID de plantilla de asunto

    • * : muestra todas las propiedades

  • index es el índice de propiedad de base cero opcional.

  • errorcode es el código de error numérico.

[-f] [-split] [-config Machine\CAName]

-ca.cert

Recupere el certificado de la entidad de certificación.

certutil [options] -ca.cert outcacertfile [index]

Donde:

  • outcacertfile es el archivo de salida.

  • index es el índice de renovación de certificados de entidad de certificación (el valor predeterminado es el más reciente).

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupere la cadena de certificados de la entidad de certificación.

certutil [options] -ca.chain outcacertchainfile [index]

Donde:

  • outcacertchainfile es el archivo de salida.

  • index es el índice de renovación de certificados de entidad de certificación (el valor predeterminado es el más reciente).

[-f] [-split] [-config Machine\CAName]

-getcrl

Obtiene una lista de revocación de certificados (CRL).

certutil [options] -getcrl outfile [index] [delta]

Donde:

  • index es el índice crl o índice de clave (el valor predeterminado es CRL para la clave más reciente).

  • delta es la CRL diferencial (el valor predeterminado es la CRL base).

[-f] [-split] [-config Machine\CAName]

-crl

Publique nuevas listas de revocación de certificados (CRL) o CRL diferenciales.

certutil [options] -crl [dd:hh | republish] [delta]

Donde:

  • dd:hh es el nuevo período de validez de CRL en días y horas.

  • vuelve a publicar las CRL más recientes.

  • delta publica solo las CRL diferenciales (el valor predeterminado es las CRL base y delta).

[-split] [-config Machine\CAName]

-shutdown

Apaga el Servicios de certificados de Active Directory.

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

Instala un certificado de entidad de certificación.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

Renueva un certificado de entidad de certificación.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Use -f para omitir una solicitud de renovación pendiente y para generar una nueva solicitud.
[-f] [-silent] [-config Machine\CAName]

-schema

Vuelca el esquema del certificado.

certutil [options] -schema [ext | attrib | cRL]

Donde:

  • El comando tiene como valor predeterminado la tabla Solicitud y certificado.

  • ext es la tabla de extensiones.

  • attribute es la tabla de atributos.

  • crl es la tabla CRL.

[-split] [-config Machine\CAName]

-view

Vuelca la vista de certificado.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Donde:

  • queue vuelca una cola de solicitudes específica.

  • el registro vuelca los certificados emitidos o revocados, además de las solicitudes con error.

  • logfail vuelca las solicitudes con error.

  • revoca los certificados revocados.

  • ext vuelca la tabla de extensión.

  • el atributo vuelca la tabla de atributos.

  • crl vuelca la tabla CRL.

  • csv proporciona la salida mediante valores separados por comas.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Observaciones

  • Para mostrar la columna StatusCode de todas las entradas, escriba

  • Para mostrar todas las columnas de la última entrada, escriba: -restrict RequestId==$

  • Para mostrar requestID y disposition para tres solicitudes, escriba:

  • Para mostrar los IDs de filay los números de CRL de todas las CRL base, escriba:

  • Para mostrar , escriba: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Para mostrar toda la tabla CRL, escriba: CRL

  • Se Date[+|-dd:hh] usa para las restricciones de fecha.

  • Use now+dd:hh para una fecha relativa a la hora actual.

-db

Vuelca la base de datos sin procesar.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una fila de la base de datos del servidor.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Donde:

  • request elimina las solicitudes con errores y pendientes, en función de la fecha de envío.

  • cert elimina los certificados expirados y revocados, en función de la fecha de expiración.

  • ext elimina la tabla de extensiones.

  • attribute elimina la tabla de atributos.

  • crl elimina la tabla CRL.

[-f] [-config Machine\CAName]

Ejemplos

  • Para eliminar solicitudes con errores y pendientes enviadas antes del 22 de enero de 2001, escriba: 1/22/2001 request

  • Para eliminar todos los certificados que expiraron el 22 de enero de 2001, escriba: 1/22/2001 cert

  • Para eliminar la fila, los atributos y las extensiones del certificado para RequestID 37, escriba: 37

  • Para eliminar las CRL que expiraron el 22 de enero de 2001, escriba: 1/22/2001 crl

-backup

Hace una copia de seguridad del Servicios de certificados de Active Directory.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Donde:

  • backupdirectory es el directorio para almacenar los datos de copia de seguridad.

  • incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).

  • keeplog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Hace una copia de seguridad de Servicios de certificados de Active Directory base de datos.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Donde:

  • backupdirectory es el directorio para almacenar los archivos de base de datos de los que se ha creado una copia de seguridad.

  • incremental realiza solo una copia de seguridad incremental (el valor predeterminado es la copia de seguridad completa).

  • keeplog conserva los archivos de registro de la base de datos (el valor predeterminado es truncar los archivos de registro).

[-f] [-config Machine\CAName]

-backupkey

Hace una copia de seguridad Servicios de certificados de Active Directory certificado y la clave privada.

certutil [options] -backupkey backupdirectory

Donde:

  • backupdirectory es el directorio para almacenar el archivo PFX de copia de seguridad.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Restaura el Servicios de certificados de Active Directory.

certutil [options] -restore backupdirectory

Donde:

  • backupdirectory es el directorio que contiene los datos que se restaurarán.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Restaura la base Servicios de certificados de Active Directory datos.

certutil [options] -restoredb backupdirectory

Donde:

  • backupdirectory es el directorio que contiene los archivos de base de datos que se restaurarán.
[-f] [-config Machine\CAName]

-restorekey

Restaura el certificado Servicios de certificados de Active Directory y la clave privada.

certutil [options] -restorekey backupdirectory | pfxfile

Donde:

  • backupdirectory es el directorio que contiene el archivo PFX que se va a restaurar.
[-f] [-config Machine\CAName] [-p password]

-importpfx

Importe el certificado y la clave privada. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • Los modificadores son la lista separada por comas, que puede incluir una o varias de las siguientes opciones:

    1. AT_SIGNATURE: cambia keyspec a signature

    2. AT_KEYEXCHANGE: cambia keyspec al intercambio de claves

    3. NoExport: hace que la clave privada no sea exportable

    4. NoCert: no importa el certificado

    5. NoChain: no importa la cadena de certificados

    6. NoRoot: no importa el certificado raíz

    7. Proteger: protege las claves mediante una contraseña

    8. NoProtect: no protege las claves con contraseña mediante una contraseña

[-f] [-user] [-p password] [-csp provider]

Observaciones

  • El valor predeterminado es almacén de máquina personal.

-dynamicfilelist

Muestra una lista de archivos dinámicos.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

Muestra las ubicaciones de la base de datos.

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

Genera y muestra un hash criptográfico sobre un archivo.

certutil [options] -hashfile infile [hashalgorithm]

-store

Vuelca el almacén de certificados.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados. Por ejemplo:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID es el certificado o el token de coincidencia de CRL. Puede ser un número de serie, un certificado SHA-1, CRL, CTL o hash de clave pública, un índice de certificado numérico (0, 1, y así sucesivamente), un índice CRL numérico (.0, .1, y así sucesivamente), un índice CTL numérico (.. 0, .. 1, y así sucesivamente), una clave pública, una firma o objectId de extensión, un nombre común del firmante del certificado, una dirección de correo electrónico, un nombre UPN o DNS, un nombre de contenedor de claves o csp, un nombre de plantilla o ObjectId, un id. de objeto de directivas de aplicación o EKU o un nombre común del emisor de CRL. Muchas de ellas pueden dar lugar a varias coincidencias.

  • outputfile es el archivo que se usa para guardar los certificados correspondientes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

Opciones

  • La -user opción tiene acceso a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción tiene acceso a un almacén empresarial de máquina.

  • La -service opción tiene acceso a un almacén de servicio de máquina.

  • La -grouppolicy opción tiene acceso a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

Agrega un certificado al almacén. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -addstore certificatestorename infile

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • infile es el certificado o el archivo CRL que desea agregar para almacenar.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

Elimina un certificado del almacén. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -delstore certificatestorename certID

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o el token de coincidencia de CRL.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

Comprueba un certificado en el almacén. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -verifystore certificatestorename [certID]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o el token de coincidencia de CRL.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

Repara una asociación de clave o actualiza las propiedades del certificado o el descriptor de seguridad de clave. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certIDlist es la lista separada por comas de tokens de coincidencia de certificado o CRL. Para más información, consulte la -store certID descripción de este artículo.

  • propertyinffile es el archivo INF que contiene propiedades externas, entre las que se incluyen:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore

Vuelca el almacén de certificados. Para más información, consulte el -store parámetro de este artículo.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el certificado o el token de coincidencia de CRL.

  • outputfile es el archivo que se usa para guardar los certificados correspondientes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opciones

  • La -user opción tiene acceso a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción tiene acceso a un almacén empresarial de máquina.

  • La -service opción tiene acceso a un almacén de servicio de máquina.

  • La -grouppolicy opción tiene acceso a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

Elimina un certificado del almacén.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Donde:

  • certificatestorename es el nombre del almacén de certificados.

  • certID es el token de coincidencia de certificado o CRL.

  • outputfile es el archivo que se usa para guardar los certificados correspondientes.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

Opciones

  • La -user opción accede a un almacén de usuarios en lugar de a un almacén de máquinas.

  • La -enterprise opción accede a un almacén empresarial de la máquina.

  • La -service opción tiene acceso a un almacén de servicios de máquina.

  • La -grouppolicy opción tiene acceso a un almacén de directivas de grupo de máquinas.

Por ejemplo:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

Publica un certificado o una lista de revocación de certificados (CRL) para Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Donde:

  • certfile es el nombre del archivo de certificado que se va a publicar.

  • NTAuthCA publica el certificado en el almacén de Enterprise DS.

  • RootCA publica el certificado en el almacén raíz de confianza de DS.

  • SubCA publica el certificado de entidad de certificación en el objeto de ca de DS.

  • CrossCA publica el certificado cruzado en el objeto de ca de DS.

  • SSM publica el certificado en el objeto DS Key Recovery Agent.

  • El usuario publica el certificado en el objeto DS de usuario.

  • La máquina publica el certificado en el objeto Machine DS.

  • CRLfile es el nombre del archivo CRL que se va a publicar.

  • DSCDPContainer es el CN del contenedor DS CDP, normalmente el nombre de la máquina de ca.

  • DSCDPCN es el CN del objeto DS CDP, normalmente basado en el nombre corto de la entidad de certificación sanitizada y el índice de clave.

  • Use -f para crear un nuevo objeto DS.

[-f] [-user] [-dc DCName]

-adtemplate

Muestra Active Directory plantillas.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-template

Muestra las plantillas de certificado.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

Muestra las entidades de certificación (CA) de una plantilla de certificado.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

Muestra plantillas para la entidad de certificación.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

Administra los nombres de sitio, incluida la configuración, comprobación y eliminación de nombres de sitio de la entidad de certificación

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Donde:

  • sitename solo se permite cuando el destino es una entidad de certificación única.
[-f] [-config Machine\CAName] [-dc DCName]

Observaciones

  • La -config opción tiene como destino una única entidad de certificación (el valor predeterminado son todas las CA).

  • La opción se puede usar para invalidar los errores de validación del nombre de sitio especificado o para eliminar todos los nombres de -f sitio de ca. -f

Nota

Para obtener más información sobre cómo configurar ca para el reconocimiento de sitios Active Directory Domain Services (AD DS), vea reconocimiento del sitio de AD DS para clientes AD CS y PKI.

-enrollmentserverURL

Muestra, agrega o elimina las direcciones URL del servidor de inscripción asociadas a una entidad de certificación.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Donde:

  • authenticationtype especifica uno de los métodos de autenticación de cliente siguientes, al agregar una dirección URL:

    1. kerberos: use las credenciales SSL de Kerberos.

    2. username: use una cuenta con nombre para las credenciales SSL.

    3. clientcertificate:use las credenciales SSL del certificado X.509.

    4. anonymous: use credenciales SSL anónimas.

  • delete elimina la dirección URL especificada asociada a la CA.

  • Priority tiene como valor predeterminado si no se especifica al agregar una dirección URL.

  • Modifiers es una lista separada por comas, que incluye uno o varios de los siguientes elementos:

  1. allowrenewalsonly: solo se pueden enviar solicitudes de renovación a esta entidad de certificación a través de esta dirección URL.

  2. allowkeybasedrenewal: permite el uso de un certificado que no tiene ninguna cuenta asociada en AD. Esto solo se aplica con clientcertificate y allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-adca

Muestra Active Directory de certificados.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

Muestra las autoridades de certificación de la directiva de inscripción.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policy

Muestra la directiva de inscripción.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

Muestra o elimina entradas de caché de directivas de inscripción.

certutil [options] -policycache [delete]

Donde:

  • delete elimina las entradas de caché del servidor de directivas.

  • -f elimina todas las entradas de caché

[-f] [-user] [-policyserver URLorID]

-credstore

Muestra, agrega o elimina Credential Store entradas.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Donde:

  • Url es la dirección URL de destino. También puede usar para * coincidir con todas las entradas o para coincidir con un prefijo de dirección https://machine* URL.

  • add agrega una entrada de almacén de credenciales. El uso de esta opción también requiere el uso de credenciales SSL.

  • delete elimina las entradas del almacén de credenciales.

  • -f sobrescribe una sola entrada o elimina varias entradas.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

Instala plantillas de certificado predeterminadas.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

Muestra o elimina entradas de caché de direcciones URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Donde:

  • Url es la dirección URL almacenada en caché.

  • CRL solo se ejecuta en todas las direcciones URL de CRL almacenadas en caché.

  • * funciona en todas las direcciones URL almacenadas en caché.

  • delete elimina las direcciones URL pertinentes de la caché local del usuario actual.

  • -f fuerza la captura de una dirección URL específica y la actualización de la memoria caché.

[-f] [-split]

-pulse

Pulses eventos de inscripción automática.

certutil [options] -pulse
[-user]

-machineinfo

Muestra información sobre el objeto Active Directory máquina virtual.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

Muestra información sobre el controlador de dominio. El valor predeterminado muestra los certificados de controlador de dominio sin comprobación.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Sugerencia

La capacidad de especificar un dominio Active Directory Domain Services (AD DS) [Dominio] y de especificar un controlador de dominio (-dc) se agregó en Windows Server 2012. Para ejecutar correctamente el comando, debe usar una cuenta que sea miembro de Administradores de dominio o administradores Enterprise administradores. Las modificaciones de comportamiento de este comando son las siguientes:

  1. 1. Si no se especifica un dominio y no se especifica un controlador de dominio específico, esta opción devuelve una lista de controladores de dominio para procesar desde el controlador de dominio predeterminado.
  2. 2. Si no se especifica un dominio, pero se especifica un controlador de dominio, se genera un informe de los certificados en el controlador de dominio especificado.
  3. 3. Si se especifica un dominio, pero no se especifica un controlador de dominio, se genera una lista de controladores de dominio junto con informes sobre los certificados de cada controlador de dominio de la lista.
  4. 4. Si se especifican el dominio y el controlador de dominio, se genera una lista de controladores de dominio a partir del controlador de dominio de destino. También se genera un informe de los certificados para cada controlador de dominio de la lista.

Por ejemplo, suponga que hay un dominio denominado CPANDL con un controlador de dominio denominado CPANDL-DC1. Puede ejecutar el siguiente comando para recuperar una lista de controladores de dominio y sus certificados de CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

Muestra información sobre una entidad de certificación de empresa.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo

Muestra información sobre la entidad de certificación.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

Muestra información sobre la tarjeta inteligente.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Donde:

  • CRYPT_DELETEKEYSET elimina todas las claves de la tarjeta inteligente.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

Administra los certificados raíz de tarjeta inteligente.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys

Comprueba un conjunto de claves pública o privada.

certutil [options] -verifykeys [keycontainername cacertfile]

Donde:

  • keycontainername es el nombre del contenedor de claves para la clave que se va a comprobar. Esta opción tiene como valor predeterminado las claves de máquina. Para cambiar a claves de usuario, use -user .

  • cacertfile firma o cifra los archivos de certificado.

[-f] [-user] [-silent] [-config Machine\CAName]

Observaciones

  • Si no se especifica ningún argumento, cada certificado de entidad de certificación de firma se comprueba con su clave privada.

  • Esta operación solo se puede realizar en una entidad de certificación local o claves locales.

-verify

Comprueba un certificado, una lista de revocación de certificados (CRL) o una cadena de certificados.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Donde:

  • certfile es el nombre del certificado que se va a comprobar.

  • applicationpolicylist es la lista opcional separada por comas de los ObjectId de directiva de aplicación necesarios.

  • issuancepolicylist es la lista opcional separada por comas de los ObjectId de directiva de emisión necesarios.

  • cacertfile es el certificado de entidad de certificación de emisión opcional con el que se va a comprobar.

  • crosscacertfile es el certificado opcional certificado cruzado por certfile.

  • CRLfile es el archivo CRL que se usa para comprobar el archivo cacert.

  • issuedcertfile es el certificado emitido opcional cubierto por el crlfile.

  • deltaCRLfile es el archivo CRL delta opcional.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

Observaciones

  • El uso de applicationpolicylist restringe la creación de cadenas solo a cadenas válidas para las directivas de aplicación especificadas.

  • El uso de issuancepolicylist restringe la creación de cadenas solo a cadenas válidas para las directivas de emisión especificadas.

  • El uso de cacertfile comprueba los campos del archivo con certfile o CRLfile.

  • El uso de issuedcertfile comprueba los campos del archivo con crlfile.

  • El uso de deltaCRLfile comprueba los campos del archivo con certfile.

  • Si no se especifica cacertfile, la cadena completa se ha creado y comprobado con certfile.

  • Si se especifican cacertfile y crossedcacertfile, los campos de ambos archivos se comprueban con certfile.

-verifyCTL

Comprueba la CTL de certificados AuthRoot o No permitidos.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Donde:

  • CTLobject identifica la CTL que se debe comprobar, lo que incluye:

    • AuthRootWU: lee el CAB de AuthRoot y los certificados correspondientes de la caché de direcciones URL. Use -f para descargar desde Windows update en su lugar.

    • DisallowedWU: lee el archivo CAB de certificados no permitidos y el archivo de almacén de certificados no permitidos de la caché de direcciones URL. Use -f para descargar desde Windows update en su lugar.

    • AuthRoot: lee la CTL AuthRoot almacenada en caché en el Registro. Use con y un archivo de certificado que no es de confianza para forzar que se actualicen las -f CL AuthRoot y Disallowed Certificate almacenadas en caché del Registro. -f

    • No permitido: lee la CTL de certificados no permitidos almacenados en caché del Registro. Use con y un archivo de certificado que no es de confianza para forzar que se actualicen las -f CL AuthRoot y Disallowed Certificate almacenadas en caché del Registro. -f

  • CTLfilename especifica el archivo o la ruta de acceso http al archivo CTL o CAB.

  • certdir especifica la carpeta que contiene los certificados que coinciden con las entradas de CTL. El valor predeterminado es la misma carpeta o sitio web que el objeto CTLobject. El uso de una ruta de acceso de carpeta http requiere un separador de ruta de acceso al final. Si no especifica AuthRoot o Nopermitido, se buscarán en varias ubicaciones los certificados que coincidan, incluidos los almacenes de certificados locales, los recursos de crypt32.dll y la caché de direcciones URL local. Use -f para descargar desde Windows update, según sea necesario.

  • certfile especifica los certificados que se comprobarán. Los certificados se comparan con las entradas CTL, mostrando los resultados. Esta opción suprime la mayor parte de la salida predeterminada.

[-f] [-user] [-split]

-sign

Vuelva a firma una lista de revocación de certificados (CRL) o un certificado.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Donde:

  • infilelist es la lista separada por comas de archivos de certificado o CRL que se van a modificar y volver a firmar.

  • serialnumber es el número de serie del certificado que se va a crear. El período de validez y otras opciones no pueden estar presentes.

  • CRL crea una CRL vacía. El período de validez y otras opciones no pueden estar presentes.

  • outfilelist es la lista separada por comas de archivos de salida crl o certificado modificados. El número de archivos debe coincidir con infilelist.

  • startdate+dd:hh es el nuevo período de validez para los archivos de certificado o CRL, incluidos:

    • fecha y signo más opcionales

    • período de validez opcional de días y horas

    Si se especifican ambos, debe usar un separador de signo más (+). Use now[+dd:hh] para iniciar en la hora actual. Use never para no tener ninguna fecha de expiración (solo para CRL).

  • serialnumberlist es la lista de números de serie separados por comas de los archivos que se agregarán o quitarán.

  • objectIDlist es la lista objectId de extensión separada por comas de los archivos que se quitarán.

  • @extensionfile es el archivo INF que contiene las extensiones que se actualizarán o quitarán. Por ejemplo:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm es el nombre del algoritmo hash. Solo debe ser el texto precedido por el # signo .

  • alternatesignrealgorithm es el especificador de algoritmo de firma alternativo.

[-nullsign] [-f] [-silent] [-cert certID]

Observaciones

  • El uso del signo menos (-) quita los números de serie y las extensiones.

  • El uso del signo más (+) agrega números de serie a una CRL.

  • Puede usar una lista para quitar números de serie y objectID de una CRL al mismo tiempo.

  • El uso del signo menos antes de alternatesignrealgorithm permite usar el formato de firma heredado. El uso del signo más permite usar el formato de firma alternativo. Si no especifica alternatesignrealgorithm,se usa el formato de firma en el certificado o CRL.

-vroot

Crea o elimina raíces virtuales web y recursos compartidos de archivos.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina raíces virtuales web para un proxy web OCSP.

certutil [options] -vocsproot [delete]

-addenrollmentserver

Agregue una aplicación del servidor de inscripción y un grupo de aplicaciones, si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Donde:

  • addenrollmentserver requiere que se use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, lo que incluye:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa una cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • allowrenewalsonly solo permite envíos de solicitudes de renovación a la entidad de certificación a través de la dirección URL.

  • allowkeybasedrenewal permite el uso de un certificado sin ninguna cuenta asociada en Active Directory. Esto se aplica cuando se usa con el modo clientcertificatey allowrenewalsonly.

[-config Machine\CAName]

-deleteenrollmentserver

Elimina una aplicación del servidor de inscripción y un grupo de aplicaciones, si es necesario, para la entidad de certificación especificada. Este comando no instala archivos binarios ni paquetes.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Donde:

  • deleteenrollmentserver requiere que se use un método de autenticación para la conexión de cliente con el servidor de inscripción de certificados, lo que incluye:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa una cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

[-config Machine\CAName]

-addpolicyserver

Agregue una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no instala archivos binarios ni paquetes.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Donde:

  • addpolicyserver requiere que se use un método de autenticación para la conexión de cliente con el servidor de directivas de certificado, lo que incluye:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa una cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • keybasedrenewal permite el uso de directivas devueltas al cliente que contienen plantillas keybasedrenewal. Esta opción solo se aplica a la autenticación de nombre de usuario y certificado de cliente.

-deletepolicyserver

Elimina una aplicación del servidor de directivas y un grupo de aplicaciones, si es necesario. Este comando no quita archivos binarios ni paquetes.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Donde:

  • deletepolicyserver requiere que se use un método de autenticación para la conexión de cliente con el servidor de directivas de certificados, lo que incluye:

    • Kerberos usa credenciales SSL de Kerberos.

    • username usa una cuenta con nombre para las credenciales SSL.

    • clientcertificate usa credenciales SSL de certificado X.509.

  • keybasedrenewal permite el uso de un servidor de directivas KeyBasedRenewal.

-oid

Muestra el identificador de objeto o establece un nombre para mostrar.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Donde:

  • objectID muestra o para agrega el nombre para mostrar.

  • groupID es el número groupID (decimal) que los objectID enumeran.

  • algID es el identificador hexadecimal que objectID busca.

  • algorithmname es el nombre del algoritmo que objectID busca.

  • displayname muestra el nombre que se almacenará en DS.

  • delete elimina el nombre para mostrar.

  • LanguageId es el valor de identificador de idioma (el valor predeterminado es actual: 1033).

  • Type es el tipo de objeto DS que se va a crear, incluidos:

    • 1 - Plantilla (valor predeterminado)

    • 2 - Directiva de emisión

    • 3 - Directiva de aplicación

  • -f crea un objeto DS.

-error

Muestra el texto del mensaje asociado a un código de error.

certutil [options] -error errorcode

-getreg

Muestra un valor del Registro.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • la directiva usa la clave del Registro del módulo de directivas.

  • exit usa la clave del Registro del primer módulo de salida.

  • la plantilla usa la clave del Registro de plantillas (se usa para las plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (se usa para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.

  • registryvaluename usa el nombre del valor del Registro (use para establecer la coincidencia de prefijos).

  • value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza por o , los bits especificados en el nuevo valor se establecen o +- borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Observaciones

  • Si un valor de cadena comienza por o , y el valor existente es un valor, la cadena se agrega + o se quita del valor del Registro -REG_MULTI_SZ existente. Para forzar la creación de REG_MULTI_SZ un valor, \n agregue al final del valor de cadena.

  • Si el valor comienza por , el resto del valor es el nombre del archivo que contiene la representación \@ de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, en su lugar se analiza como : una fecha opcional más o menos días y [Date][+|-][dd:hh] horas opcionales. Si se especifican ambos, use un signo más (+) o un signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use para chain\chaincacheresyncfiletime \@now vaciar de forma eficaz las CRL almacenadas en caché.

-setreg

Establece un valor del Registro.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • la directiva usa la clave del Registro del módulo de directivas.

  • exit usa la clave del Registro del primer módulo de salida.

  • la plantilla usa la clave del Registro de plantillas (se usa para las plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (se usa para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.

  • registryvaluename usa el nombre del valor del Registro (use para establecer la coincidencia de prefijos).

  • value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza por o , los bits especificados en el nuevo valor se establecen o +- borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Observaciones

  • Si un valor de cadena comienza por o , y el valor existente es un valor, la cadena se agrega + o se quita del valor del Registro -REG_MULTI_SZ existente. Para forzar la creación de REG_MULTI_SZ un valor, \n agregue al final del valor de cadena.

  • Si el valor comienza por , el resto del valor es el nombre del archivo que contiene la representación \@ de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, en su lugar se analiza como : una fecha opcional más o menos días y [Date][+|-][dd:hh] horas opcionales. Si se especifican ambos, use un signo más (+) o un signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use para chain\chaincacheresyncfiletime \@now vaciar de forma eficaz las CRL almacenadas en caché.

-delreg

Elimina un valor del Registro.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Donde:

  • ca usa la clave del Registro de una entidad de certificación.

  • restore usa la clave del Registro de restauración de la entidad de certificación.

  • la directiva usa la clave del Registro del módulo de directivas.

  • exit usa la clave del Registro del primer módulo de salida.

  • la plantilla usa la clave del Registro de plantillas (se usa para las plantillas de usuario).

  • enroll usa la clave del Registro de inscripción (se usa para el contexto de usuario).

  • chain usa la clave del Registro de configuración de cadena.

  • policyservers usa la clave del Registro de servidores de directivas.

  • progID usa el ProgID (nombre de subclave del Registro) de la directiva o del módulo de salida.

  • registryvaluename usa el nombre del valor del Registro (use para establecer la coincidencia de prefijos).

  • value usa el nuevo valor numérico, de cadena o de fecha del Registro o nombre de archivo. Si un valor numérico comienza por o , los bits especificados en el nuevo valor se establecen o +- borran en el valor del Registro existente.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

Observaciones

  • Si un valor de cadena comienza por o , y el valor existente es un valor, la cadena se agrega + o se quita del valor del Registro -REG_MULTI_SZ existente. Para forzar la creación de REG_MULTI_SZ un valor, \n agregue al final del valor de cadena.

  • Si el valor comienza por , el resto del valor es el nombre del archivo que contiene la representación \@ de texto hexadecimal de un valor binario. Si no hace referencia a un archivo válido, en su lugar se analiza como : una fecha opcional más o menos días y [Date][+|-][dd:hh] horas opcionales. Si se especifican ambos, use un signo más (+) o un signo menos (-). Use now+dd:hh para una fecha relativa a la hora actual.

  • Use para chain\chaincacheresyncfiletime \@now vaciar de forma eficaz las CRL almacenadas en caché.

-importKMS

Importa claves de usuario y certificados en la base de datos del servidor para el archivado de claves.

certutil [options] -importKMS userkeyandcertfile [certID]

Donde:

  • userkeyandcertfile es un archivo de datos con claves privadas de usuario y certificados que se van a archivar. Este archivo puede ser:

    • Un Exchange de exportación de Key Management Server (KMS).

    • Un archivo PFX.

  • certID es un token de KMS certificado de descifrado de archivos de exportación. Para más información, consulte el -store parámetro de este artículo.

  • -f importa certificados no emitidos por la entidad de certificación.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

Importa un archivo de certificado en la base de datos.

certutil [options] -importcert certfile [existingrow]

Donde:

  • existingrow importa el certificado en lugar de una solicitud pendiente para la misma clave.

  • -f importa certificados no emitidos por la entidad de certificación.

[-f] [-config Machine\CAName]

Observaciones

Es posible que también sea necesario configurar la entidad de certificación para admitir certificados externos. Para ello, escriba import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN .

-getkey

Recupera un blob de recuperación de claves privadas archivado, genera un script de recuperación o recupera las claves archivadas.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Donde:

  • el script genera un script para recuperar y recuperar claves (comportamiento predeterminado si se encuentran varios candidatos de recuperación correspondientes o si no se especifica el archivo de salida).

  • retrieve recupera uno o varios blobs de recuperación de claves (comportamiento predeterminado si se encuentra exactamente un candidato de recuperación correspondiente y si se especifica el archivo de salida). Con esta opción se trunca cualquier extensión y se anexa la cadena específica del certificado y la extensión .rec para cada blob de recuperación de claves. Cada archivo contiene una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.

  • recover recupera y recupera claves privadas en un paso (requiere certificados del Agente de recuperación de claves y claves privadas). Con esta opción se trunca cualquier extensión y se anexa la extensión .p12. Cada archivo contiene las cadenas de certificados recuperadas y las claves privadas asociadas, almacenadas como un archivo PFX.

  • searchtoken selecciona las claves y los certificados que se recuperarán, incluidos:

      1. Nombre común del certificado
      1. Número de serie del certificado
      1. Hash SHA-1 del certificado (huella digital)
      1. Hash SHA-1 de KeyId de certificado (identificador de clave de sujeto)
      1. Nombre del solicitante (dominio\usuario)
      1. UPN (user@domain)
  • recoverybloboutfile genera un archivo con una cadena de certificados y una clave privada asociada, aún cifrada en uno o varios certificados del Agente de recuperación de claves.

  • outputscriptfile genera un archivo con un script por lotes para recuperar y recuperar claves privadas.

  • outputfilebasename genera un nombre base de archivo.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

Recuperar una clave privada archivada.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

Combina archivos PFX.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Donde:

  • PFFilelist es una lista separada por comas de archivos de entrada PFX.

  • PFXoutfile es el nombre del archivo de salida PFX.

  • extendedproperties incluye todas las propiedades extendidas.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

Observaciones

  • La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.

  • Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última contraseña es , se solicitará al usuario la contraseña del * archivo de salida.

-convertEPF

Convierte un archivo PFX en un archivo EPF.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Donde:

  • PFFilelist es una lista separada por comas de archivos de entrada PFX.

  • PFXoutfile es el nombre del archivo de salida PFX.

  • EPF es el nombre del archivo de salida de EPF.

  • cast usa el cifrado CAST 64.

  • cast: usa el cifrado CAST 64 (exportación)

  • V3CAcertID es el token de coincidencia del certificado de entidad de certificación V3. Para más información, consulte el -store parámetro de este artículo.

  • salt es la cadena sal del archivo de salida EPF.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

Observaciones

  • La contraseña especificada en la línea de comandos debe ser una lista de contraseñas separadas por comas.

  • Si se especifica más de una contraseña, se usa la última contraseña para el archivo de salida. Si solo se proporciona una contraseña o si la última contraseña es , se solicitará al usuario la contraseña del * archivo de salida.

-?

Muestra la lista de parámetros.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Donde:

  • -? muestra la lista completa de parámetros

  • -<name_of_parameter> -? muestra el contenido de ayuda para el parámetro especificado.

  • -? -v muestra una lista completa de parámetros y opciones.

Opciones

En esta sección se definen todas las opciones que puede especificar, en función del comando . Cada parámetro incluye información sobre qué opciones son válidas para su uso.

Opciones Descripción
-nullsign Use el hash de los datos como firma.
-f Forzar sobrescritura.
-enterprise Use el almacén de certificados del registro empresarial de la máquina local.
-user Use el almacén HKEY_CURRENT_USER claves o el almacén de certificados.
-GroupPolicy Use el almacén de certificados de directiva de grupo.
-ut Mostrar plantillas de usuario.
-mt Mostrar plantillas de máquina.
-Unicode Escriba la salida redirigida en Unicode.
-UnicodeText Escriba el archivo de salida en Unicode.
-gmt Horas de presentación mediante GMT.
-seconds Tiempos de presentación con segundos y milisegundos.
-silent Use la silent marca para adquirir el contexto de cifrado.
-split Divida los elementos ASN.1 incrustados y guárdelo en archivos.
-v Proporcione información más detallada (detallada).
-privatekey Mostrar datos de contraseña y clave privada.
-pin PIN PIN de tarjeta inteligente.
-urlfetch Recupere y compruebe los certificados AIA y las CRL de CDP.
-config Machine\CAName Entidad de certificación y cadena de nombre de equipo.
-policyserver URLorID Dirección URL o identificador del servidor de directivas. Para seleccionar U/I, use -policyserver . Para todos los servidores de directivas, use -policyserver *
-anonymous Use credenciales SSL anónimas.
-kerberos Use credenciales SSL de Kerberos.
-clientcertificate clientcertID Use las credenciales SSL del certificado X.509. Para seleccionar U/I, use -clientcertificate .
-username username Use una cuenta con nombre para las credenciales SSL. Para seleccionar U/I, use -username .
-cert certID Certificado de firma.
-dc DCName Dirigirse a un controlador de dominio específico.
-restrict restrictionlist Lista de restricciones separada por comas. Cada restricción consta de un nombre de columna, un operador relacional y un entero constante, una cadena o una fecha. Un nombre de columna puede ir precedido de un signo más o menos para indicar el criterio de ordenación. Por ejemplo: requestID = 47, +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21
-out columnlist Lista de columnas separadas por comas.
-p contraseña Contraseña
-protectto SAMnameandSIDlist Lista de SID o nombre SAM separados por comas.
-csp provider Proveedor
-t timeout Tiempo de espera de captura de url en milisegundos.
-symkeyalg symmetrickeyalgorithm[,keylength] Nombre del algoritmo de clave simétrica con longitud de clave opcional. Por ejemplo, AES,128 o 3DES.

Referencias adicionales

Para obtener más ejemplos sobre cómo usar este comando, vea