certreq
Il comando certreq può essere usato per richiedere certificati a un'autorità di certificazione (CA), per recuperare una risposta a una richiesta precedente da una CA, per creare una nuova richiesta da un file .inf, per accettare e installare una risposta a una richiesta, per costruire una richiesta di certificazione incrociata o di subordinazione qualificata da un certificato o richiesta di CA esistente e per firmare una richiesta di certificazione incrociata o di subordinazione qualificata.
Importante
Le versioni precedenti del comando certreq potrebbero non fornire tutte le opzioni descritte qui. Per visualizzare le opzioni supportate in base a versioni specifiche di certreq, eseguire l'opzione della Guida della riga di comando, certreq -v -?.
Il comando certreq non supporta la creazione di una nuova richiesta di certificato basata su un modello di attestazione chiave quando si trova in un ambiente CEP/CES.
Avviso
Il contenuto di questo argomento si basa sulle impostazioni predefinite per Windows Server; Ad esempio, impostando la lunghezza della chiave su 2048, selezionando il Provider di archiviazione chiavi del software Microsoft come CSP e usando Secure Hash Algorithm 1 (SHA1). Valutare queste selezioni in base ai requisiti dei criteri di sicurezza dell'azienda.
Sintassi
certreq [-submit] [options] [requestfilein [certfileout [certchainfileout [fullresponsefileOut]]]]
certreq -retrieve [options] requestid [certfileout [certchainfileout [fullresponsefileOut]]]
certreq -new [options] [policyfilein [requestfileout]]
certreq -accept [options] [certchainfilein | fullresponsefilein | certfilein]
certreq -sign [options] [requestfilein [requestfileout]]
certreq –enroll [options] templatename
certreq –enroll –cert certId [options] renew [reusekeys]
Parametri
| Parametro | Descrizione |
|---|---|
| -submit | Invia una richiesta a un'autorità di certificazione. |
-retrieve <requestid> |
Recupera una risposta a una richiesta precedente da un'autorità di certificazione. |
| -new | Crea una nuova richiesta da un file inf. |
| -accept | Accetta e installa una risposta a una richiesta di certificato. |
| -policy | Imposta i criteri per una richiesta |
| -sign | Firma una richiesta di certificazione incrociata o di subordinazione qualificata. |
| -enroll | Esegue la registrazione o il rinnovo di un certificato. |
| -? | Visualizza un elenco di sintassi, opzioni e descrizioni di certreq. |
<parameter> -? |
Visualizza la Guida per il parametro specificato. |
| -v -? | Visualizza un elenco dettagliato della sintassi, delle opzioni e delle descrizioni di certreq. |
Esempi
certreq -submit
Per inviare una richiesta di certificato di base:
certreq –submit certrequest.req certnew.cer certnew.pfx
Osservazioni:
Questo è il parametro certreq.exe predefinito. Se non viene specificata alcuna opzione al prompt della riga di comando, certreq.exe tenta di inviare una richiesta di certificato a un'autorità di certificazione. È necessario specificare un file di richiesta certificato quando si usa l'opzione –submit . Se questo parametro viene omesso, viene visualizzata una finestra comune File Open, che consente di selezionare il file di richiesta certificato appropriato.
Per richiedere un certificato specificando l'attributo SAN, si veda la sezione Come usare l'utilità certreq.exe per creare e inviare una richiesta di certificato dell'articolo di Microsoft Knowledge Base 931351 Come aggiungere un nome alternativo soggetto a un certificato LDAP sicuro.
certreq -retrieve
Per recuperare l'ID certificato 20 e creare un file di certificato (.cer), denominato MyCertificate:
certreq -retrieve 20 MyCertificate.cer
Osservazioni:
Usare certreq -retrieve requestid per recuperare il certificato dopo che l'autorità di certificazione l'ha emessa. Il valore PKC requestid può essere decimale o esadecimale con prefisso 0x e può essere un numero di serie del certificato senza prefisso 0x. È anche possibile usarlo per recuperare qualsiasi certificato emesso dall'autorità di certificazione, inclusi i certificati revocati o scaduti, senza considerare se la richiesta del certificato è mai stata nello stato in sospeso.
Se si invia una richiesta all'autorità di certificazione, il modulo criteri dell'autorità di certificazione potrebbe lasciare la richiesta in sospeso e restituire il requestid al chiamante certreq per la visualizzazione. Infine, l'amministratore dell'autorità di certificazione rilascia il certificato o nega la richiesta.
certreq -new
Per creare una nuova richiesta:
[newrequest]
; At least one value must be set in this section
subject = CN=W2K8-BO-DC.contoso2.com
Di seguito sono riportate alcune delle possibili sezioni che potrebbero essere aggiunte al file INF:
[newrequest]
Questa area del file INF è obbligatoria per tutti i nuovi modelli di richiesta di certificato e deve includere almeno un parametro con un valore .
| Chiave1 | Descrizione | Valore2 | Esempio |
|---|---|---|---|
| Oggetto | Diverse app si basano sulle informazioni sull'oggetto in un certificato. È consigliabile specificare un valore per questa chiave. Se l'oggetto non è impostato qui, è consigliabile includere un nome soggetto come parte dell'estensione del certificato del nome alternativo del soggetto. | Valori di stringa del nome distinto relativo | Subject = CN=computer1.contoso.com Subject=CN=John Smith,CN=Users,DC=Contoso,DC=com |
| Exportable | Se è impostata su TRUE, la chiave privata può essere esportata con il certificato. Per garantire un livello elevato di sicurezza, le chiavi private non devono essere esportabili; Tuttavia, in alcuni casi, potrebbe essere necessario se più computer o utenti devono condividere la stessa chiave privata. | true | false |
Exportable = TRUE. Le chiavi CNG possono distinguere tra questo ed esportabile in testo non crittografato. Le chiavi CAPI1 non possono. |
| ExportableEncrypted | Specifica se la chiave privata deve essere impostata per essere esportabile. | true | false |
ExportableEncrypted = trueSuggerimento: non tutte le dimensioni e gli algoritmi di chiave pubblica funzionano con tutti gli algoritmi hash. Il CSP specificato deve supportare anche l'algoritmo hash specificato. Per visualizzare l'elenco degli algoritmi hash supportati, è possibile eseguire il comando : |
| HashAlgorithm | Algoritmo hash da usare per questa richiesta. | Sha256, sha384, sha512, sha1, md5, md4, md2 |
HashAlgorithm = sha1. Per visualizzare l'elenco degli algoritmi hash supportati, usare: certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo |
| KeyAlgorithm | Algoritmo usato dal provider di servizi per generare una coppia di chiavi pubblica e privata. | RSA, DH, DSA, ECDH_P256, ECDH_P521, ECDSA_P256, ECDSA_P384, ECDSA_P521 |
KeyAlgorithm = RSA |
| KeyContainer | Non è consigliabile impostare questo parametro per le nuove richieste in cui viene generato il nuovo materiale della chiave. Il contenitore di chiavi viene generato e gestito automaticamente dal sistema. Per le richieste in cui deve essere usato il materiale della chiave esistente, questo valore può essere impostato sul nome contenitore della chiave esistente. Usare il |
Valore stringa casuale Suggerimento: usare virgolette doppie intorno a qualsiasi valore della chiave INF con spazi vuoti o caratteri speciali per evitare potenziali problemi di analisi INF. |
KeyContainer = {C347BD28-7F69-4090-AA16-BC58CF4D749C} |
| KeyLength | Definisce la lunghezza della chiave pubblica e privata. La lunghezza della chiave ha un impatto sul livello di sicurezza del certificato. Una maggiore lunghezza della chiave in genere fornisce un livello di sicurezza superiore; Tuttavia, alcune applicazioni potrebbero avere limitazioni relative alla lunghezza della chiave. | Qualsiasi lunghezza di chiave valida che viene supportata dal provider del servizio di crittografia. | KeyLength = 2048 |
| KeySpec | Determina se la chiave può essere utilizzata per le firme, per Exchange (crittografia) o per entrambi. | AT_NONE, AT_SIGNATURE, AT_KEYEXCHANGE |
KeySpec = AT_KEYEXCHANGE |
| KeyUsage | Definisce la chiave del certificato per cui dovrebbe essere utilizzata. |
|
KeyUsage = CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGESuggerimento: più valori usano un separatore di simboli pipe (|). Assicurarsi di usare virgolette doppie quando si usano più valori per evitare problemi di analisi INF. I valori visualizzati sono valori esadecimali (decimali) per ogni definizione di bit. È anche possibile usare la sintassi precedente: un singolo valore esadecimale con più bit impostati, anziché la rappresentazione simbolica. Ad esempio, |
| KeyUsageProperty | Recupera un valore che identifica lo scopo specifico per il quale è possibile usare una chiave privata. |
|
KeyUsageProperty = NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG |
| MachineKeySet | Questa chiave è importante quando è necessario creare certificati di proprietà del computer e non di un utente. Il materiale della chiave generato viene mantenuto nel contesto sicuro dell'entità di sicurezza (account utente o computer) che ha creato la richiesta. Quando un amministratore crea una richiesta di certificato per conto di un computer, il materiale della chiave deve essere creato nel contesto di sicurezza del computer e non nel contesto di sicurezza dell'amministratore. In caso contrario, significa che il computer non è riuscito ad accedere alla chiave privata perché si trova nel contesto di sicurezza dell'amministratore. | true | false. L’impostazione predefinita è false. |
MachineKeySet = true |
| NotBefore | Specifica una data o una data e un'ora prima della quale non è possibile eseguire la richiesta. NotBefore può essere usato con ValidityPeriod e ValidityPeriodUnits. |
Solo data oppure data e ora | NotBefore = 7/24/2012 10:31 AMSuggerimento: |
| NotAfter | Specifica una data o una data e un'ora dopo la quale non è possibile eseguire la richiesta. NotAfter non può essere usato con ValidityPeriod o ValidityPeriodUnits. |
Solo data oppure data e ora | NotAfter = 9/23/2014 10:31 AMSuggerimento: |
| PrivateKeyArchive | L'impostazione PrivateKeyArchive funziona solo se il valore RequestType corrispondente è impostato su CMC perché solo il formato di richiesta CMS (Certificate Management Messages over CMC) consente di trasferire in modo sicuro la chiave privata del richiedente alla CA per l'archiviazione delle chiavi. | true | false |
PrivateKeyArchive = true |
| EncryptionAlgorithm | Algoritmo di crittografia da utilizzare. | Le opzioni possibili variano a seconda della versione del sistema operativo e dell'insieme dei provider di crittografia installati. Per visualizzare l'elenco degli algoritmi disponibili, eseguire il comando : certutil -oid 2 | findstr pwszCNGAlgid. Il provider dei CSP specificati e utilizzati deve supportare anche l'algoritmo di crittografia simmetrica e la lunghezza specificati. |
EncryptionAlgorithm = 3des |
| EncryptionLength | Lunghezza dell'algoritmo di crittografia da utilizzare. | Qualsiasi lunghezza consentita dall'oggetto EncryptionAlgorithm specificato. | EncryptionLength = 128 |
| ProviderName | Il nome del provider è il nome visualizzato del provider CSP. | Se non si conosce il nome del provider CSP in uso, procedere all'esecuzione certutil –csplist da una riga di comando. Il comando visualizza i nomi di tutti i CSP disponibili nel sistema locale |
ProviderName = Microsoft RSA SChannel Cryptographic Provider |
| ProviderType | Il tipo di provider viene usato per selezionare provider specifici in base a funzionalità di algoritmo specifiche, ad esempio RSA Full. | Se non si conosce il tipo di provider CSP in uso, eseguire certutil –csplist da un prompt della riga di comando. Il comando visualizza il tipo di provider di tutti i CSP disponibili nel sistema locale. |
ProviderType = 1 |
| RenewalCert | Se è necessario rinnovare un certificato esistente nel sistema in cui viene generata la richiesta di certificato, è necessario specificarne l'hash del certificato come valore per questa chiave. | l'hash di qualsiasi certificato disponibile nel computer in cui viene creata la richiesta di certificato. Se non si conosce l'hash del certificato, usare lo snap-in MMC Certificati ed esaminare il certificato che dovrebbe essere rinnovato. Aprire le proprietà del certificato e visualizzare Thumbprint l'attributo del certificato. Il rinnovo del certificato richiede sia un formato di richiesta PKCS#7 che un CMC. |
RenewalCert = 4EDF274BD2919C6E9EC6A522F0F3B153E9B1582D |
| RequesterName | Effettua la richiesta di registrazione per conto di un'altra richiesta utente. La richiesta deve anche essere firmata con un certificato dell'agente di registrazione oppure la CA rifiuterà la richiesta. Usare l'opzione -cert per specificare il certificato dell'agente di registrazione. Il nome del richiedente può essere specificato per le richieste di certificato se RequestType è impostato su PKCS#7 o CMC. Se RequestType è impostata su PKCS#10, questa chiave verrà ignorata. Può Requestername essere impostato solo come parte della richiesta. Non è possibile modificare l'oggetto Requestername in una richiesta in sospeso. |
Domain\User |
Requestername = Contoso\BSmith |
| RequestType | Determina lo standard utilizzato per generare e inviare la richiesta di certificato. |
|
RequestType = CMC |
| SecurityDescriptor | Contiene le informazioni di sicurezza associate agli oggetti a protezione diretta. Per la maggior parte degli oggetti a protezione diretta, è possibile specificare il descrittore di sicurezza di un oggetto nella chiamata di funzione che crea l'oggetto. Stringhe basate sul linguaggio di definizione del descrittore di sicurezza. Suggerimento: questa opzione è rilevante solo per le chiavi non smart card del contesto del computer. |
SecurityDescriptor = D:P(A;;GA;;;SY)(A;;GA;;;BA) |
|
| AlternateSignatureAlgorithm | Specifica e recupera un valore booleano che indica se l'identificatore dell'oggetto dell'algoritmo di firma (OID) per una richiesta o una firma del certificato PKCS#10 è discreta o combinata. | true | false |
AlternateSignatureAlgorithm = falsePer una firma RSA, |
| Automatico | Per impostazione predefinita, questa opzione consente al CSP di accedere al desktop utente interattivo e richiedere informazioni, ad esempio un PIN di smart card dall'utente. Se questa chiave è impostata su TRUE, il CSP non deve interagire con il desktop e non potrà visualizzare alcuna interfaccia utente all'utente. | true | false |
Silent = true |
| SMIME | Se questo parametro è impostato su TRUE, alla richiesta viene aggiunta un'estensione con il valore dell'identificatore di oggetto 1.2.840.113549.1.9.15. Il numero degli identificatori di oggetto dipende dalla versione del sistema operativo installata e dalla funzionalità CSP, che fa riferimento ad algoritmi di crittografia simmetrica che possono essere usati dalle applicazioni Secure Multipurpose Internet Mail Extensions (S/MIME), ad esempio Outlook. | true | false |
SMIME = true |
| UseExistingKeySet | Questo parametro viene usato per specificare che una coppia di chiavi esistente dovrebbe essere usata nella compilazione di una richiesta di certificato. Se questa chiave è impostata su TRUE, è necessario specificare anche un valore per la chiave RenewalCert o il nome KeyContainer. Non è necessario impostare la chiave esportabile perché non è possibile modificare le proprietà di una chiave esistente. In questo caso, non viene generato alcun materiale della chiave quando viene compilata la richiesta di certificato. | true | false |
UseExistingKeySet = true |
| KeyProtection | Specifica un valore che indica la modalità di protezione di una chiave privata prima dell'uso. |
|
KeyProtection = NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG |
| SuppressDefaults | Specifica un valore booleano che indica se le estensioni e gli attributi predefiniti sono inclusi nella richiesta. Le impostazioni predefinite sono rappresentate dai relativi identificatori di oggetto (OID). | true | false |
SuppressDefaults = true |
| FriendlyName | Un nome descrittivo per il nuovo certificato. | Testo | FriendlyName = Server1 |
| ValidityPeriodUnits | Specifica molte unità da utilizzare con ValidityPeriod. Nota: viene usato solo quando il request type=cert |
Numerico | ValidityPeriodUnits = 3 |
| ValidityPeriod | ValidityPeriod deve essere un periodo di tempo plurale inglese americano. Nota: viene usato solo quando il tipo di richiesta=cert. | Years | Months | Weeks | Days | Hours | Minutes | Seconds |
ValidityPeriod = Years |
1Parametro a sinistra del segno di uguale (=)
2Parametro a destra del segno di uguale (=)
[Extensions]
Questa sezione è facoltativa.
| Estensione OID | Definizione | Esempio |
|---|---|---|
| 2.5.29.17 | 2.5.29.17 = {text} | |
| continue | continue = UPN=User@Domain.com& |
|
| continue | continue = EMail=User@Domain.com& |
|
| continue | continue = DNS=host.domain.com& |
|
| continue | continue = DirectoryName=CN=Name,DC=Domain,DC=com& |
|
| continue | continue = URL=<http://host.domain.com/default.html&> |
|
| continue | continue = IPAddress=10.0.0.1& |
|
| continue | continue = RegisteredId=1.2.3.4.5& |
|
| continue | continue = 1.2.3.4.6.1={utf8}String& |
|
| continue | continue = 1.2.3.4.6.2={octet}AAECAwQFBgc=& |
|
| continue | continue = 1.2.3.4.6.2={octet}{hex}00 01 02 03 04 05 06 07& |
|
| continue | continue = 1.2.3.4.6.3={asn}BAgAAQIDBAUGBw==& |
|
| continue | continue = 1.2.3.4.6.3={hex}04 08 00 01 02 03 04 05 06 07 |
|
| 2.5.29.37 | 2.5.29.37={text} |
|
| continue | continue = 1.3.6.1.5.5.7 |
|
| continue | continue = 1.3.6.1.5.5.7.3.1 |
|
| 2.5.29.19 | {text}ca=0pathlength=3 |
|
| Critico | Critical=2.5.29.19 |
|
| KeySpec |
|
|
| RequestType |
|
|
| KeyUsage |
|
|
| KeyUsageProperty |
|
|
| KeyProtection |
|
|
| SubjectNameFlags | annidato |
|
| X500NameFlags |
|
Nota
SubjectNameFlags consente al file INF di specificare quali campi di estensione Subject e SubjectAltName devono essere popolati automaticamente da certreq in base alle proprietà dell'utente attuale o del computer corrente: nome DNS, UPN e così via. L'uso del modello letterale indica che vengano invece usati i flag del nome modello. Ciò consente l'uso di un singolo file INF in più contesti per generare richieste con informazioni specifiche sull'oggetto del contesto.
X500NameFlags specifica i flag da passare direttamente all'API CertStrToName quando il Subject INF keys valore viene convertito in un nome distinto con codifica ASN.1.
Esempio
Per creare un file di criteri (con estensione .inf) in Blocco note e salvarlo come requestconfig.inf:
[NewRequest]
Subject = CN=<FQDN of computer you are creating the certificate>
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[RequestAttributes]
CertificateTemplate=WebServer
[Extensions]
OID = 1.3.6.1.5.5.7.3.1
OID = 1.3.6.1.5.5.7.3.2
Nel computer per cui si richiede un certificato:
certreq –new requestconfig.inf certrequest.req
Per usare la sintassi della sezione [Strings] per gli OID e altri elementi difficili da interpretare. Il nuovo esempio di sintassi {text} per l'estensione EKU, che usa un elenco delimitato da virgole di OID:
[Version]
Signature=$Windows NT$
[Strings]
szOID_ENHANCED_KEY_USAGE = 2.5.29.37
szOID_PKIX_KP_SERVER_AUTH = 1.3.6.1.5.5.7.3.1
szOID_PKIX_KP_CLIENT_AUTH = 1.3.6.1.5.5.7.3.2
[NewRequest]
Subject = CN=TestSelfSignedCert
Requesttype = Cert
[Extensions]
%szOID_ENHANCED_KEY_USAGE%={text}%szOID_PKIX_KP_SERVER_AUTH%,
_continue_ = %szOID_PKIX_KP_CLIENT_AUTH%
Per specificare un nome alternativo soggetto (SAN), aggiungerlo nella sezione [Extensions] dell'INF. Ad esempio:
[Version]
Signature=$Windows NT$
[Strings]
szOID_ENHANCED_KEY_USAGE = 2.5.29.37
szOID_PKIX_KP_SERVER_AUTH = 1.3.6.1.5.5.7.3.1
szOID_PKIX_KP_CLIENT_AUTH = 1.3.6.1.5.5.7.3.2
[NewRequest]
Subject = CN=TestSelfSignedCert
Requesttype = Cert
[Extensions]
2.5.29.17 = "{text}"
_continue_ = "DNS=example.com"
_continue_ = "DNS=www.example.com"
_continue_ = "IP Address=192.168.1.1"
In questo esempio, 2.5.29.17 è l'OID che definisce il SAN. Per specificare più SAN, viene usato l'OID dell'estensione _continue_ , che consente di separare e specificare ogni estensione SAN.
certreq -accept
Il parametro –accept collega la chiave privata generata in precedenza con il certificato rilasciato e rimuove la richiesta di certificato in sospeso dal sistema in cui viene richiesto il certificato (se è presente una richiesta corrispondente).
Per accettare manualmente un certificato:
certreq -accept certnew.cer
Avviso
L'uso del -accept parametro con le opzioni -user e –machine indica se il certificato di installazione debba essere installato nel contesto utente o computer . Se è presente una richiesta in sospeso in entrambi i contesti che corrisponde alla chiave pubblica installata, queste opzioni non sono necessarie. Se non è presente alcuna richiesta in sospeso, è necessario specificarne una.
certreq -policy
policy.inf è un file di configurazione che definisce i vincoli applicati a una certificazione CA nel momento in cui viene definita una subordinazione qualificata.
Per compilare una richiesta tra certificati incrociati:
certreq -policy certsrv.req policy.inf newcertsrv.req
L'uso di certreq -policy senza altri parametri apre una finestra di dialogo, consentendo di selezionare il file richiesto (.req, .cmc, .txt, .der, .cer o .crt). Dopo aver selezionato il file richiesto e fare clic su Apri, viene visualizzata un'altra finestra di dialogo, che consente di selezionare il file policy.inf.
Esempi
Trovare un esempio del file policy.inf nella sintassi CAPolicy.inf.
certreq -sign
Per creare una nuova richiesta di certificato, firmarla e inviarla:
certreq -new policyfile.inf myrequest.req
certreq -sign myrequest.req myrequest.req
certreq -submit myrequest_sign.req myrequest_cert.cer
Osservazioni:
Utilizzando
certreq -signsenza altri parametri si apre una finestra di dialogo, in modo da poter selezionare il file richiesto (req, cmc, txt, der, cer or crt).La firma della richiesta di subordinazione qualificata può richiedere credenziali come Amministratore aziendale. Si tratta di una procedura consigliata per il rilascio di certificati di firma per la subordinazione qualificata.
Il certificato usato per firmare la richiesta di subordinazione qualificata usa il modello di subordinazione qualificata. Gli amministratori aziendali devono firmare la richiesta o concedere le autorizzazioni utente ai singoli utenti che firmano il certificato.
Potrebbe essere necessario che il personale aggiuntivo firmi la richiesta CMC dopo l'utente. Questo dipende dal livello di garanzia associato alla subordinazione qualificata.
Se la CA padre della CA subordinata e qualificata che si sta installando è offline, è necessario ottenere il certificato CA per la CA subordinata e qualificata dall'elemento padre offline. Se la CA padre è online, specificare il certificato CA per la CA subordinata e qualificata durante la procedura guidata di Installazione di servizi qualificati .
certreq -enroll
È possibile usare questo commento per registrare o rinnovare i certificati.
Esempi
Per registrare un certificato, usando il modello WebServer e selezionando il server dei criteri usando U/I:
certreq -enroll –machine –policyserver * WebServer
Per rinnovare un certificato usando un numero di serie:
certreq –enroll -machine –cert 61 2d 3c fe 00 00 00 00 00 05 renew
È possibile rinnovare solo i certificati validi. I certificati scaduti non possono essere rinnovati e devono essere sostituiti con un nuovo certificato.
Opzioni
| Opzioni | Descrizione |
|---|---|
| -any | Force ICertRequest::Submit per determinare il tipo di codifica. |
-attrib <attributestring> |
Specifica le coppie di stringhe Name e Value , separate da due punti. Separare le coppie di stringhe Name e Value usando |
| -binary | Formatta i file di output come binari anziché con codifica Base64. |
-policyserver <policyserver> |
ldap: <path>Inserire l'URI o l'ID univoco per un computer che esegue il servizio web Criteri di registrazione certificati. Per specificare che si vuole usare un file di richiesta tramite l'esplorazione, usare solo un segno meno (-) per |
-config <ConfigString> |
Elabora l'operazione usando la CA specificata nella stringa di configurazione, ovvero CAHostName\CAName. Per una connessione https:\\ specificare l'URI del server di registrazione. Per la CA dell'archivio del computer locale, usare un segno meno (-). |
| -anonymous | Usare credenziali anonime per i servizi web di registrazione certificati. |
| -kerberos | Usare le credenziali Kerberos (dominio) per i servizi Web di registrazione certificati. |
-clientcertificate <ClientCertId> |
È possibile sostituire <ClientCertId> con un'identificazione personale del certificato, CN, EKU, modello, posta elettronica, UPN o la nuova name=value sintassi. |
-username <username> |
Utilizzato con il servizio Web di registrazione certificati È possibile sostituire <username> con il nome SAM o il valore domain\user . Questa opzione è per l'uso con l'opzione -p . |
-p <password> |
Utilizzato con il servizio Web di registrazione certificati Sostituire <password> con la password dell'utente effettivo. Questa opzione è per l'uso con l'opzione -username . |
| -utente | Configura il -user contesto per una nuova richiesta di certificato o specifica il contesto per l'accettazione di un certificato. Si tratta del contesto predefinito, se non ne è specificato nessuno nell'INF o nel modello. |
| -machine | Configura una nuova richiesta di certificato o specifica il contesto per l'accettazione di un certificato per il contesto del computer. Per le nuove richieste, deve essere coerente con la chiave INF MachineKeyset e il contesto del modello. Se questa opzione non è specificata e il modello non imposta un contesto, l'impostazione predefinita è il contesto utente. |
| -crl | Include elenchi di revoche di certificati (CRL) nell'output nel file PKCS #7 con codifica Base64 specificato da certchainfileout o nel file con codifica base64 specificato da requestfileout. |
| -rpc | Indica a Servizi certificati Active Directory (AD CS) di utilizzare una connessione server RPC (Remote Procedure Call) invece di Distributed COM. |
| -adminforcemachine | Usare il servizio chiavi o la rappresentazione per inviare la richiesta dal contesto del sistema locale. Richiede che l'utente che richiama questa opzione sia membro di Amministratori locali. |
| -renewonbehalfof | Inviare un rinnovo per conto dell'oggetto identificato nel certificato di firma. Questo imposta CR_IN_ROBO quando si richiama il metodo ICertRequest::Submit |
| -f | Forzare la sovrascrittura dei file esistenti. In questo modo vengono ignorati anche i modelli e i criteri di memorizzazione nella cache. |
| -q | Usare la modalità invisibile ed eliminare tutte le richieste interattive. |
| -unicode | Scrive l'output Unicode quando l'output standard viene reindirizzato o inviato tramite pipe a un altro comando, che consente di richiamare dagli script di Windows PowerShell. |
| -unicodetext | Invia l'output Unicode durante la scrittura dei blob di dati con codifica Base64 ai file. |
Formati
| Formati | Descrizione |
|---|---|
| requestfilein | Nome file di input binario o con codifica Base64: richiesta di certificato PKCS #10, richiesta di certificato CMS, richiesta di rinnovo del certificato PKCS #7, certificato X.509 da sottoporre a certificazione incrociata o richiesta di certificato in formato tag KeyGen. |
| requestfileout | Nome del file di output con codifica Base64. |
| certfileout | Nome file X-509 con codifica Base64. |
| PKCS10fileout | Per l'uso solo con il parametro certreq -policy . Nome del file di output PKCS10 con codifica Base64. |
| certchainfileout | Nome file PKCS #7 con codifica Base64. |
| fullresponsefileout | Nome del file di risposta completo con codifica Base64. |
| policyfilein | Per l'uso solo con il parametro certreq -policy . File INF contenente una rappresentazione testuale delle estensioni usate per qualificare una richiesta. |
Risorse aggiuntive
Gli articoli seguenti contengono esempi di utilizzo di certreq: