certutilcertutil

Certutil.exe è un programma da riga di comando, installato come parte di Servizi certificati.Certutil.exe is a command-line program, installed as part of Certificate Services. È possibile utilizzare certutil.exe per eseguire il dump e visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati, i componenti CA di backup e ripristino e verificare i certificati, le coppie di chiavi e le catene di certificati.You can use certutil.exe to dump and display certification authority (CA) configuration information, configure Certificate Services, backup and restore CA components, and verify certificates, key pairs, and certificate chains.

Se certutil viene eseguito in un'autorità di certificazione senza parametri aggiuntivi, Visualizza la configurazione dell'autorità di certificazione corrente.If certutil is run on a certification authority without additional parameters, it displays the current certification authority configuration. Se certutil viene eseguito in un'autorità non di certificazione, per impostazione predefinita viene eseguito il comando certutil [-dump] .If certutil is run on a non-certification authority, the command defaults to running the certutil [-dump] command.

Importante

Le versioni precedenti di certutil potrebbero non fornire tutte le opzioni descritte in questo documento.Earlier versions of certutil may not provide all of the options that are described in this document. È possibile visualizzare tutte le opzioni fornite da una versione specifica di certutil eseguendo certutil -? o certutil <parameter> -? .You can see all the options that a specific version of certutil provides by running certutil -? or certutil <parameter> -?.

ParametriParameters

-dump-dump

Dump di informazioni di configurazione o file.Dump configuration information or files.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-ASN-asn

Analizzare il file ASN. 1.Parse the ASN.1 file.

certutil [options] -asn file [type]

[type]: Numeric CRYPT_STRING_ * tipo di decodifica[type]: numeric CRYPT_STRING_* decoding type

-decodehex-decodehex

Decodifica un file con codifica esadecimale.Decode a hexadecimal-encoded file.

certutil [options] -decodehex infile outfile [type]

[type]: Numeric CRYPT_STRING_ * tipo di codifica[type]: numeric CRYPT_STRING_* encoding type

[-f]

-decodifica-decode

Decodifica un file con codifica Base64.Decode a Base64-encoded file.

certutil [options] -decode infile outfile
[-f]

-codifica-encode

Codificare un file in Base64.Encode a file to Base64.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-nega-deny

Negare una richiesta in sospeso.Deny a pending request.

certutil [options] -deny requestID
[-config Machine\CAName]

-Invia di più-resubmit

Inviare nuovamente una richiesta in sospeso.Resubmit a pending request.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-SetAttributes-setattributes

Impostare gli attributi per una richiesta di certificato in sospeso.Set attributes for a pending certificate request.

certutil [options] -setattributes RequestID attributestring

Dove:Where:

  • RequestId è l'ID della richiesta numerica per la richiesta in sospeso.requestID is the numeric Request ID for the pending request.

  • AttributeString sono le coppie nome e valore dell'attributo della richiesta.attributestring is the request attribute name and value pairs.

[-config Machine\CAName]

CommentiRemarks

  • I nomi e i valori devono essere separati da due punti, mentre più coppie nome-valore devono essere separate da una nuova riga.Names and values must be colon separated, while multiple name, value pairs must be newline separated. Ad esempio, CertificateTemplate:User\nEMail:User@Domain.com in cui la \n sequenza viene convertita in un separatore di nuova riga.For example: CertificateTemplate:User\nEMail:User@Domain.com where the \n sequence is converted to a newline separator.

-seextension-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.Set an extension for a pending certificate request.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

Dove:Where:

  • RequestId è l'ID della richiesta numerica per la richiesta in sospeso.requestID is the numeric Request ID for the pending request.

  • ExtensionName è la stringa ObjectID per l'estensione.extensionname is the ObjectId string for the extension.

  • Flags imposta la priorità dell'estensione.flags sets the priority of the extension. 0 si consiglia 1 di impostare l'estensione su critico, di 2 disabilitare l'estensione ed eseguire entrambe le impostazioni 3 .0 is recommended, while 1 sets the extension to critical, 2 disables the extension, and 3 does both.

[-config Machine\CAName]

CommentiRemarks

  • Se l'ultimo parametro è numerico, viene considerato lungo.If the last parameter is numeric, it's taken as a Long.

  • Se l'ultimo parametro può essere analizzato come una data, viene considerato come una Data.If the last parameter can be parsed as a date, it's taken as a Date.

  • Se l'ultimo parametro inizia con \@ , il resto del token viene considerato come filename con dati binari o un dump esadecimale di testo ASCII.If the last parameter starts with \@, the rest of the token is taken as the filename with binary data or an ascii-text hex dump.

  • Se l'ultimo parametro è qualsiasi altro elemento, viene considerato come una stringa.If the last parameter is anything else, it's taken as a String.

-revoca-revoke

Revocare un certificato.Revoke a certificate.

certutil [options] -revoke serialnumber [reason]

Dove:Where:

  • serialNumber è un elenco delimitato da virgole di numeri di serie del certificato da revocare.serialnumber is a comma-separated list of certificate serial numbers to revoke.

  • reason è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:reason is the numeric or symbolic representation of the revocation reason, including:

    • 0. CRL_REASON_UNSPECIFIED -non specificato (impostazione predefinita)0. CRL_REASON_UNSPECIFIED - Unspecified (default)

    • 1. compromissione della chiave CRL_REASON_KEY_COMPROMISE1. CRL_REASON_KEY_COMPROMISE - Key compromise

    • 2. CRL_REASON_CA_COMPROMISE -compromissione dell'autorità di certificazione2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise

    • 3. CRL_REASON_AFFILIATION_CHANGED -affiliazione modificata3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed

    • 4. CRL_REASON_SUPERSEDED -sostituito4. CRL_REASON_SUPERSEDED - Superseded

    • 5. CRL_REASON_CESSATION_OF_OPERATION -cessazione dell'operazione5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation

    • 6. CRL_REASON_CERTIFICATE_HOLD -Mantieni il certificato6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold

    • 8. CRL_REASON_REMOVE_FROM_CRL -Rimuovi da CRL8. CRL_REASON_REMOVE_FROM_CRL - Remove From CRL

    • 1. unrevoke -Annulla revoca1. Unrevoke - Unrevoke

[-config Machine\CAName]

-IsValid-isvalid

Visualizza la disposizione del certificato corrente.Display the disposition of the current certificate.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-GetConfig-getconfig

Ottiene la stringa di configurazione predefinita.Get the default configuration string.

certutil [options] -getconfig
[-config Machine\CAName]

-ping-ping

Tentare di contattare l'interfaccia richiesta di Active Directory Servizi certificati.Attempt to contact the Active Directory Certificate Services Request interface.

certutil [options] -ping [maxsecondstowait | camachinelist]

Dove:Where:

  • camachine list è un elenco delimitato da virgole di nomi di computer della CA.camachinelist is a comma-separated list of CA machine names. Per un singolo computer, usare una virgola di terminazione.For a single machine, use a terminating comma. Questa opzione Visualizza anche il costo del sito per ogni computer della CA.This option also displays the site cost for each CA machine.
[-config Machine\CAName]

-cainfo-cainfo

Visualizzare informazioni sull'autorità di certificazione.Display information about the certification authority.

certutil [options] -cainfo [infoname [index | errorcode]]

Dove:Where:

  • InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento InfoName seguente:infoname indicates the CA property to display, based on the following infoname argument syntax:

    • versione file-filefile - File version

    • prodotto -versione prodottoproduct - Product version

    • exitcount -numero di moduli di uscitaexitcount - Exit module count

    • Esci [index] da -Esci dalla descrizione del moduloexit [index] - Exit module description

    • policy -Descrizione modulo criteripolicy - Policy module description

    • nome -nome CAname - CA name

    • sanitizedname -nome CA purificatasanitizedname - Sanitized CA name

    • dsName -nome breve CA purificato (nome DS)dsname - Sanitized CA short name (DS name)

    • CartellaCondivisa -cartella condivisasharedfolder - Shared folder

    • Error1 ErrorCode -testo del messaggio di erroreerror1 ErrorCode - Error message text

    • Error2 ErrorCode -codice di errore e testo del messaggio di erroreerror2 ErrorCode - Error message text and error code

    • tipo : tipo CAtype - CA type

    • info -info CAinfo - CA info

    • CA padre-padreparent - Parent CA

    • certcount -conteggio certificati CAcertcount - CA cert count

    • xchgcount -conteggio certificati Exchange CAxchgcount - CA exchange cert count

    • conteggio certificati kracount -Krakracount - KRA cert count

    • conteggio utilizzato del certificato kraused -Krakraused - KRA cert used count

    • propidmax -PropId CA massimapropidmax - Maximum CA PropId

    • certstate [index] -Certificato CAcertstate [index] - CA cert

    • certversion [index] -Versione certificato CAcertversion [index] - CA cert version

    • certstatuscode [index] -Stato verifica certificato CAcertstatuscode [index] - CA cert verify status

    • crlstate [index] -CRLcrlstate [index] - CRL

    • krastate [index] -Certificato KRAkrastate [index] - KRA cert

    • crossstate + [index] -Inoltri il certificato incrociatocrossstate+ [index] - Forward cross cert

    • crossstate- [index] -Certificato incrociato a ritrosocrossstate- [index] - Backward cross cert

    • certificato [index] -Certificato CAcert [index] - CA cert

    • certchain [index] -Catena di certificati CAcertchain [index] - CA cert chain

    • certcrlchain [index] -Catena di certificati CA con CRLcertcrlchain [index] - CA cert chain with CRLs

    • xchg [index] -Certificato di scambio CAxchg [index] - CA exchange cert

    • xchgchain [index] -Catena di certificati di scambio CAxchgchain [index] - CA exchange cert chain

    • xchgcrlchain [index] -Catena di certificati Exchange CA con CRLxchgcrlchain [index] - CA exchange cert chain with CRLs

    • Kra [index] -Certificato KRAkra [index] - KRA cert

    • Cross + [index] -Inoltri il certificato incrociatocross+ [index] - Forward cross cert

    • Cross- [index] -Certificato incrociato a ritrosocross- [index] - Backward cross cert

    • Elenco [index] CRL -Base CRLCRL [index] - Base CRL

    • deltacrl [index] -Delta CRLdeltacrl [index] - Delta CRL

    • crlstatus [index] -Stato pubblicazione CRLcrlstatus [index] - CRL Publish Status

    • deltacrlstatus [index] -Stato pubblicazione Delta CRLdeltacrlstatus [index] - Delta CRL Publish Status

    • DNS -nome DNSdns - DNS Name

    • Divisione ruolo-ruolorole - Role Separation

    • ADS -server avanzatoads - Advanced Server

    • modelli-modellitemplates - Templates

    • CSP [index] -URL OCSPcsp [index] - OCSP URLs

    • Aia [index] -URL AIAaia [index] - AIA URLs

    • CDP [index] -URL CDPcdp [index] - CDP URLs

    • localename -nome delle impostazioni locali della CAlocalename - CA locale name

    • subjecttemplateoids -modello oggetto Oidsubjecttemplateoids - Subject Template OIDs

    • * -Visualizza tutte le proprietà* - Displays all properties

  • index è l'indice di proprietà facoltativo in base zero.index is the optional zero-based property index.

  • ErrorCode è il codice di errore numerico.errorcode is the numeric error code.

[-f] [-split] [-config Machine\CAName]

-CA. cert-ca.cert

Recuperare il certificato per l'autorità di certificazione.Retrieve the certificate for the certification authority.

certutil [options] -ca.cert outcacertfile [index]

Dove:Where:

  • outcacertfile è il file di output.outcacertfile is the output file.

  • index è l'indice di rinnovo del certificato dell'autorità di certificazione (il valore predefinito è quello più recente).index is the CA certificate renewal index (defaults to most recent).

[-f] [-split] [-config Machine\CAName]

-CA. Chain-ca.chain

Recuperare la catena di certificati per l'autorità di certificazione.Retrieve the certificate chain for the certification authority.

certutil [options] -ca.chain outcacertchainfile [index]

Dove:Where:

  • outcacertchainfile è il file di output.outcacertchainfile is the output file.

  • index è l'indice di rinnovo del certificato dell'autorità di certificazione (il valore predefinito è quello più recente).index is the CA certificate renewal index (defaults to most recent).

[-f] [-split] [-config Machine\CAName]

-getcrl-getcrl

Ottiene un elenco di revoche di certificati (CRL).Gets a certificate revocation list (CRL).

certutil [options] -getcrl outfile [index] [delta]

Dove:Where:

  • index è l'indice CRL o Key index (il valore predefinito è CRL per la chiave più recente).index is the CRL index or key index (defaults to CRL for most recent key).

  • Delta CRL (il valore predefinito è base CRL).delta is the delta CRL (default is base CRL).

[-f] [-split] [-config Machine\CAName]

-CRL-crl

Pubblicare nuovi elenchi di revoche di certificati (CRL) o Delta CRL.Publish new certificate revocation lists (CRLs) or delta CRLs.

certutil [options] -crl [dd:hh | republish] [delta]

Dove:Where:

  • DD: HH è il nuovo periodo di validità CRL in giorni e ore.dd:hh is the new CRL validity period in days and hours.

  • ripubblicare nuovamente i CRL più recenti.republish republishes the most recent CRLs.

  • Delta pubblica solo Delta CRL (il valore predefinito è base e Delta CRL).delta publishes the delta CRLs only (default is base and delta CRLs).

[-split] [-config Machine\CAName]

-arresta-shutdown

Arresta il Active Directory Servizi certificati.Shuts down the Active Directory Certificate Services.

certutil [options] -shutdown
[-config Machine\CAName]

-installCert-installcert

Installa un certificato dell'autorità di certificazione.Installs a certification authority certificate.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert-renewcert

Rinnova un certificato dell'autorità di certificazione.Renews a certification authority certificate.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • Usare -f per ignorare una richiesta di rinnovo in attesa e per generare una nuova richiesta.Use -f to ignore an outstanding renewal request, and to generate a new request.
[-f] [-silent] [-config Machine\CAName]

-Schema-schema

Dump dello schema per il certificato.Dumps the schema for the certificate.

certutil [options] -schema [ext | attrib | cRL]

Dove:Where:

  • Per impostazione predefinita, il comando è la tabella Request e certificate.The command defaults to the Request and Certificate table.

  • ext è la tabella di estensione.ext is the extension table.

  • attribute è la tabella degli attributi.attribute is the attribute table.

  • CRL è la tabella CRL.crl is the CRL table.

[-split] [-config Machine\CAName]

-Visualizza-view

Dump della visualizzazione del certificato.Dumps the certificate view.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

Dove:Where:

  • queue viene eseguito il dump di una coda di richieste specifica.queue dumps a specific request queue.

  • log Scarica i certificati emessi o revocati, oltre a eventuali richieste non riuscite.log dumps the issued or revoked certificates, plus any failed requests.

  • LogFail dump delle richieste non riuscite.logfail dumps the failed requests.

  • revoca i certificati revocati.revoked dumps the revoked certificates.

  • ext dump della tabella di estensione.ext dumps the extension table.

  • l' attributo Esegui il dump della tabella degli attributi.attribute dumps the attribute table.

  • CRL Esegui il dump della tabella CRL.crl dumps the CRL table.

  • CSV fornisce l'output usando valori delimitati da virgole.csv provides the output using comma-separated values.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

CommentiRemarks

  • Per visualizzare la colonna statusCode per tutte le voci, digitare -out StatusCodeTo display the StatusCode column for all entries, type -out StatusCode

  • Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$To display all columns for the last entry, type: -restrict RequestId==$

  • Per visualizzare i RequestId e la disposizione per tre richieste, digitare: -restrict requestID>37,requestID<40 -out requestID,dispositionTo display the RequestID and Disposition for three requests, type: -restrict requestID>37,requestID<40 -out requestID,disposition

  • Per visualizzare gli ID di riga degli ID di riga e i numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crlTo display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl

  • Per visualizzare, digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crlTo display , type: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • Per visualizzare l'intera tabella CRL, digitare: CRLTo display the entire CRL table, type: CRL

  • Usare Date[+|-dd:hh] per le restrizioni relative alla data.Use Date[+|-dd:hh] for date restrictions.

  • Utilizzare now+dd:hh per una data relativa all'ora corrente.Use now+dd:hh for a date relative to the current time.

-DB-db

Dump del database non elaborato.Dumps the raw database.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-DeleteRow-deleterow

Elimina una riga dal database del server.Deletes a row from the server database.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

Dove:Where:

  • Request Elimina le richieste non riuscite e in sospeso, in base alla data di invio.request deletes the failed and pending requests, based on submission date.

  • CERT Elimina i certificati scaduti e revocati, in base alla data di scadenza.cert deletes the expired and revoked certificates, based on expiration date.

  • ext Elimina la tabella di estensione.ext deletes the extension table.

  • l' attributo Elimina la tabella degli attributi.attribute deletes the attribute table.

  • CRL Elimina la tabella CRL.crl deletes the CRL table.

[-f] [-config Machine\CAName]

EsempiExamples

  • Per eliminare le richieste non riuscite e in sospeso inviate dal 22 gennaio 2001, digitare: 1/22/2001 requestTo delete failed and pending requests submitted by January 22, 2001, type: 1/22/2001 request

  • Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 certTo delete all certificates that expired by January 22, 2001, type: 1/22/2001 cert

  • Per eliminare la riga, gli attributi e le estensioni del certificato per RequestId 37, digitare: 37To delete the certificate row, attributes, and extensions for RequestID 37, type: 37

  • Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 crlTo delete CRLs that expired by January 22, 2001, type: 1/22/2001 crl

-backup-backup

Esegue il backup dei servizi certificati Active Directory.Backs up the Active Directory Certificate Services.

certutil [options] -backup backupdirectory [incremental] [keeplog]

Dove:Where:

  • BackupDirectory è la directory in cui archiviare i dati di cui è stato eseguito il backup.backupdirectory is the directory to store the backed up data.

  • Incremental esegue solo un backup incrementale (l'impostazione predefinita è backup completo).incremental performs an incremental backup only (default is full backup).

  • keeplog consente di mantenere i file di log del database (il valore predefinito è il troncamento dei file di log).keeplog preserves the database log files (default is to truncate log files).

[-f] [-config Machine\CAName] [-p Password]

-backupdb-backupdb

Esegue il backup del database dei servizi certificati Active Directory.Backs up the Active Directory Certificate Services database.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

Dove:Where:

  • BackupDirectory è la directory in cui archiviare i file di database di cui è stato eseguito il backup.backupdirectory is the directory to store the backed up database files.

  • Incremental esegue solo un backup incrementale (l'impostazione predefinita è backup completo).incremental performs an incremental backup only (default is full backup).

  • keeplog consente di mantenere i file di log del database (il valore predefinito è il troncamento dei file di log).keeplog preserves the database log files (default is to truncate log files).

[-f] [-config Machine\CAName]

-backupkey-backupkey

Esegue il backup del certificato e della chiave privata dei servizi certificati Active Directory.Backs up the Active Directory Certificate Services certificate and private key.

certutil [options] -backupkey backupdirectory

Dove:Where:

  • BackupDirectory è la directory in cui archiviare il file PFX di cui è stato eseguito il backup.backupdirectory is the directory to store the backed up PFX file.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore-restore

Ripristina i servizi certificati Active Directory.Restores the Active Directory Certificate Services.

certutil [options] -restore backupdirectory

Dove:Where:

  • BackupDirectory è la directory che contiene i dati da ripristinare.backupdirectory is the directory containing the data to be restored.
[-f] [-config Machine\CAName] [-p password]

-RestoreDB-restoredb

Ripristina il Active Directory database dei servizi certificati.Restores the Active Directory Certificate Services database.

certutil [options] -restoredb backupdirectory

Dove:Where:

  • BackupDirectory è la directory che contiene i file di database da ripristinare.backupdirectory is the directory containing the database files to be restored.
[-f] [-config Machine\CAName]

-restorekey-restorekey

Ripristina il certificato di Servizi certificati Active Directory e la chiave privata.Restores the Active Directory Certificate Services certificate and private key.

certutil [options] -restorekey backupdirectory | pfxfile

Dove:Where:

  • BackupDirectory è la directory che contiene il file PFX da ripristinare.backupdirectory is the directory containing PFX file to be restored.
[-f] [-config Machine\CAName] [-p password]

-importpfx-importpfx

Importare il certificato e la chiave privata.Import the certificate and private key. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the name of the certificate store.

  • i modificatori sono l'elenco delimitato da virgole, che può includere uno o più degli elementi seguenti:modifiers are the comma-separated list, which can include one or more of the following:

    1. AT_SIGNATURE -modifica la specifica di una scheda in firmaAT_SIGNATURE - Changes the keyspec to signature

    2. AT_KEYEXCHANGE : modifica la specifica della chiave in scambio di chiaveAT_KEYEXCHANGE - Changes the keyspec to key exchange

    3. Noexport : rende la chiave privata non esportabileNoExport - Makes the private key non-exportable

    4. NoCert -non importa il certificatoNoCert - Doesn't import the certificate

    5. NoChain : non importa la catena di certificatiNoChain - Doesn't import the certificate chain

    6. Noroot : non importa il certificato radiceNoRoot - Doesn't import the root certificate

    7. Proteggi : protegge le chiavi usando una passwordProtect - Protects keys by using a password

    8. Noprotect -non protegge le chiavi tramite passwordNoProtect - Doesn't password protect keys by using a password

[-f] [-user] [-p password] [-csp provider]

CommentiRemarks

  • Il valore predefinito è Personal Machine Store.Defaults to personal machine store.

-dynamicfilelist-dynamicfilelist

Visualizza un elenco di file dinamici.Displays a dynamic file list.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations-databaselocations

Visualizza i percorsi di database.Displays database locations.

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile-hashfile

Genera e visualizza un hash crittografico su un file.Generates and displays a cryptographic hash over a file.

certutil [options] -hashfile infile [hashalgorithm]

-Archivio-store

Esegui il dump dell'archivio certificati.Dumps the certificate store.

certutil [options] -store [certificatestorename [certID [outputfile]]]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name. Ad esempio:For example:

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID è il token di corrispondenza del certificato o del CRL.certID is the certificate or CRL match token. Può trattarsi di un numero di serie, un certificato SHA-1, un elenco di revoche di certificati, un elenco di scopi consentiti o un hash di chiave pubblica, un indice numerico (0, 1 e così via), un indice CRL numerico (. 0, 1 e così via), un indice CTL numerico (.. 0... 1, e così via), una chiave pubblica, una firma o un ObjectId di estensione, un nome comune del soggetto del certificato, un indirizzo di posta elettronica, un nome UPN o DNS, un nome del contenitore di chiavi o un nome CSP, un nome di modello o un ObjectId, un valore EKU o un ObjectId di criteri di applicazione o un nome comune dell'autorità di certificazione CRL.This can be a serial number, a SHA-1 certificate, CRL, CTL or public key hash, a numeric cert index (0, 1, and so on), a numeric CRL index (.0, .1, and so on), a numeric CTL index (..0, ..1, and so on), a public key, signature or extension ObjectId, a certificate subject Common Name, an e-mail address, UPN or DNS name, a key container name or CSP name, a template name or ObjectId, an EKU or Application Policies ObjectId, or a CRL issuer Common Name. Molti di questi possono comportare più corrispondenze.Many of these may result in multiple matches.

  • outputfile è il file usato per salvare i certificati corrispondenti.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

OpzioniOptions

  • L' -user opzione accede a un archivio utenti anziché a un archivio del computer.The -user option accesses a user store instead of a machine store.

  • L' -enterprise opzione consente di accedere a un archivio aziendale del computer.The -enterprise option accesses a machine enterprise store.

  • L' -service opzione consente di accedere a un archivio del servizio computer.The -service option accesses a machine service store.

  • L' -grouppolicy opzione consente di accedere a un archivio criteri di gruppo del computer.The -grouppolicy option accesses a machine group policy store.

Ad esempio:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore-addstore

Aggiunge un certificato all'archivio.Adds a certificate to the store. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -addstore certificatestorename infile

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • infile è il certificato o il file CRL che si desidera aggiungere all'archivio.infile is the certificate or CRL file you want to add to store.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore-delstore

Elimina un certificato dall'archivio.Deletes a certificate from the store. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -delstore certificatestorename certID

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • certID è il token di corrispondenza del certificato o del CRL.certID is the certificate or CRL match token.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore-verifystore

Verifica un certificato nell'archivio.Verifies a certificate in the store. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -verifystore certificatestorename [certID]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • certID è il token di corrispondenza del certificato o del CRL.certID is the certificate or CRL match token.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave.Repairs a key association or update certificate properties or the key security descriptor. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • certIDlist è l'elenco delimitato da virgole di token di corrispondenza con certificati o CRL.certIDlist is the comma-separated list of certificate or CRL match tokens. Per altre informazioni, vedere la -store certID Descrizione in questo articolo.For more info, see the -store certID description in this article.

  • propertyinffile è il file inf contenente le proprietà esterne, tra cui:propertyinffile is the INF file containing external properties, including:

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-viewstore-viewstore

Esegui il dump dell'archivio certificati.Dumps the certificates store. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • certID è il token di corrispondenza del certificato o del CRL.certID is the certificate or CRL match token.

  • outputfile è il file usato per salvare i certificati corrispondenti.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

OpzioniOptions

  • L' -user opzione accede a un archivio utenti anziché a un archivio del computer.The -user option accesses a user store instead of a machine store.

  • L' -enterprise opzione consente di accedere a un archivio aziendale del computer.The -enterprise option accesses a machine enterprise store.

  • L' -service opzione consente di accedere a un archivio del servizio computer.The -service option accesses a machine service store.

  • L' -grouppolicy opzione consente di accedere a un archivio criteri di gruppo del computer.The -grouppolicy option accesses a machine group policy store.

Ad esempio:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore-viewdelstore

Elimina un certificato dall'archivio.Deletes a certificate from the store.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

Dove:Where:

  • NomeArchivioCertificati è il nome dell'archivio certificati.certificatestorename is the certificate store name.

  • certID è il token di corrispondenza del certificato o del CRL.certID is the certificate or CRL match token.

  • outputfile è il file usato per salvare i certificati corrispondenti.outputfile is the file used to save the matching certificates.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

OpzioniOptions

  • L' -user opzione accede a un archivio utenti anziché a un archivio del computer.The -user option accesses a user store instead of a machine store.

  • L' -enterprise opzione consente di accedere a un archivio aziendale del computer.The -enterprise option accesses a machine enterprise store.

  • L' -service opzione consente di accedere a un archivio del servizio computer.The -service option accesses a machine service store.

  • L' -grouppolicy opzione consente di accedere a un archivio criteri di gruppo del computer.The -grouppolicy option accesses a machine group policy store.

Ad esempio:For example:

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish-dspublish

Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.Publishes a certificate or certificate revocation list (CRL) to Active Directory.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dove:Where:

  • CertFile è il nome del file di certificato da pubblicare.certfile is the name of the certificate file to publish.

  • Ntauthca pubblica il certificato in DS Enterprise Store.NTAuthCA publishes the certificate to the DS Enterprise store.

  • Rootca pubblica il certificato nell'archivio radice attendibile DS.RootCA publishes the certificate to the DS Trusted Root store.

  • SubCA pubblica il certificato della CA nell'oggetto CA DS.SubCA publishes the CA certificate to the DS CA object.

  • Crossca pubblica il certificato incrociato nell'oggetto CA DS.CrossCA publishes the cross-certificate to the DS CA object.

  • Kra pubblica il certificato nell'oggetto dell'agente di recupero chiavi DS.KRA publishes the certificate to the DS Key Recovery Agent object.

  • L' utente pubblica il certificato nell'oggetto DS utente.User publishes the certificate to the User DS object.

  • Il computer pubblica il certificato nell'oggetto Machine DS.Machine publishes the certificate to the Machine DS object.

  • FileCRL è il nome del file CRL da pubblicare.CRLfile is the name of the CRL file to publish.

  • DSCDPContainer è il CN del contenitore CDP DS, in genere il nome del computer della CA.DSCDPContainer is the DS CDP container CN, usually the CA machine name.

  • DSCDPCN è l'oggetto CDP di DS, in genere basato sul nome breve e sull'indice della chiave della CA purificata.DSCDPCN is the DS CDP object CN, usually based on the sanitized CA short name and key index.

  • Utilizzare -f per creare un nuovo oggetto DS.Use -f to create a new DS object.

[-f] [-user] [-dc DCName]

-adtemplate-adtemplate

Visualizza i modelli Active Directory.Displays Active Directory templates.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-modello-template

Consente di visualizzare i modelli di certificato.Displays the certificate templates.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas-templatecas

Visualizza le autorità di certificazione (CAs) per un modello di certificato.Displays the certification authorities (CAs) for a certificate template.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates-catemplates

Visualizza i modelli per l'autorità di certificazione.Displays templates for the Certificate Authority.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites-setcasites

Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazioneManages site names, including setting, verifying, and deleting Certificate Authority site names

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

Dove:Where:

  • il nome sito è consentito solo quando la destinazione è una singola autorità di certificazione.sitename is allowed only when targeting a single Certificate Authority.
[-f] [-config Machine\CAName] [-dc DCName]

CommentiRemarks

  • L' -config opzione è destinata a una singola autorità di certificazione (l'impostazione predefinita è tutte le CA).The -config option targets a single Certificate Authority (Default is all CAs).

  • L' -f opzione può essere usata per eseguire l'override degli errori di sitename convalida per il nome sito specificato o per eliminare tutti i SiteName della CA.The -f option can be used to override validation errors for the specified sitename or to delete all CA sitenames.

Nota

Per ulteriori informazioni sulla configurazione di autorità di certificazione per il riconoscimento dei siti Active Directory Domain Services (AD DS), vedere riconoscimento del sito di servizi di dominio Active Directory per i client ad CS e PKI.For more information about configuring CAs for Active Directory Domain Services (AD DS) site awareness, see AD DS Site Awareness for AD CS and PKI clients.

-enrollmentserverURL-enrollmentserverURL

Visualizza, aggiunge o Elimina gli URL del server di registrazione associati a una CA.Displays, adds, or deletes enrollment server URLs associated with a CA.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dove:Where:

  • AuthenticationType specifica uno dei seguenti metodi di autenticazione client, durante l'aggiunta di un URL:authenticationtype specifies one of the following client authentication methods, while adding a URL:

    1. Kerberos : usare le credenziali SSL Kerberos.kerberos - Use Kerberos SSL credentials.

    2. nome utente : usare un account denominato per le credenziali SSL.username - Use a named account for SSL credentials.

    3. ClientCertificate: usare le credenziali SSL del certificato X. 509.clientcertificate: - Use X.509 Certificate SSL credentials.

    4. Anonimo : Usa credenziali SSL anonime.anonymous - Use anonymous SSL credentials.

  • Elimina consente di eliminare l'URL specificato associato all'autorità di certificazione.delete deletes the specified URL associated with the CA.

  • priority per impostazione predefinita 1 , la priorità è se non viene specificato quando si aggiunge un URL.priority defaults to 1 if not specified when adding a URL.

  • i modificatori sono un elenco delimitato da virgole, che include uno o più degli elementi seguenti:modifiers is a comma-separated list, which includes one or more of the following:

  1. allowrenewalsonly : solo le richieste di rinnovo possono essere inviate a questa CA tramite questo URL.allowrenewalsonly - Only renewal requests can be submitted to this CA via this URL.

  2. allowkeybasedrenewal : consente l'uso di un certificato a cui non è associato alcun account in Active Directory.allowkeybasedrenewal - Allows use of a certificate that has no associated account in the AD. Si applica solo alla modalità ClientCertificate e allowrenewalsonlyThis applies only with clientcertificate and allowrenewalsonly Mode

[-config Machine\CAName] [-dc DCName]

-ADCA-adca

Visualizza Active Directory autorità di certificazione.Displays Active Directory Certificate Authorities.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

CustomScript.fr-ca

Visualizza le autorità di certificazione dei criteri di registrazione.Displays enrollment policy Certificate Authorities.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-criterio-policy

Consente di visualizzare i criteri di registrazione.Displays the enrollment policy.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-PolicyCache-policycache

Consente di visualizzare o eliminare le voci della cache dei criteri di registrazione.Displays or deletes enrollment policy cache entries.

certutil [options] -policycache [delete]

Dove:Where:

  • Elimina Elimina le voci della cache del server dei criteri.delete deletes the policy server cache entries.

  • -f Elimina tutte le voci della cache-f deletes all cache entries

[-f] [-user] [-policyserver URLorID]

-credstore-credstore

Consente di visualizzare, aggiungere o eliminare le voci dell'archivio credenziali.Displays, adds, or deletes Credential Store entries.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

Dove:Where:

  • URL è l'URL di destinazione.URL is the target URL. È anche possibile usare * per trovare la corrispondenza con tutte le voci o https://machine* per trovare la corrispondenza con un prefisso URL.You can also use * to match all entries or https://machine* to match a URL prefix.

  • Aggiungi aggiunge una voce dell'archivio credenziali.add adds a credential store entry. L'utilizzo di questa opzione richiede anche l'utilizzo di credenziali SSL.Using this option also requires the use of SSL credentials.

  • Delete Elimina le voci dell'archivio credenziali.delete deletes credential store entries.

  • -f sovrascrive una singola voce o Elimina più voci.-f overwrites a single entry or deletes multiple entries.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates-installdefaulttemplates

Installa i modelli di certificato predefiniti.Installs default certificate templates.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache-URLcache

Consente di visualizzare o eliminare le voci della cache URL.Displays or deletes URL cache entries.

certutil [options] -URLcache [URL | CRL | * [delete]]

Dove:Where:

  • URL è l'URL memorizzato nella cache.URL is the cached URL.

  • CRL viene eseguito solo su tutti gli URL CRL memorizzati nella cache.CRL runs on all cached CRL URLs only.

  • * funziona su tutti gli URL memorizzati nella cache.* operates on all cached URLs.

  • Elimina Elimina gli URL pertinenti dalla cache locale dell'utente corrente.delete deletes relevant URLs from the current user's local cache.

  • -f forza il recupero di un URL specifico e l'aggiornamento della cache.-f forces fetching a specific URL and updating the cache.

[-f] [-split]

-impulso-pulse

Gli eventi di registrazione automatica degli impulsi.Pulses auto enrollment events.

certutil [options] -pulse
[-user]

-machineinfo-machineinfo

Visualizza informazioni sull'oggetto computer Active Directory.Displays information about the Active Directory machine object.

certutil [options] -machineinfo domainname\machinename$

-DCInfo-DCInfo

Visualizza informazioni sul controller di dominio.Displays information about the domain controller. Il valore predefinito Visualizza i certificati DC senza verifica.The default displays DC certificates without verification.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Suggerimento

La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [dominio] e di specificare un controller di dominio (-DC) è stato aggiunto in Windows Server 2012.The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins.To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. Di seguito sono riportate le modifiche del comportamento di questo comando:The behavior modifications of this command are as follows:

  1. 1. se non si specifica un dominio e non si specifica un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.1. If a domain is not specified and a specific domain controller is not specified, this option returns a list of domain controllers to process from the default domain controller.
  2. 2. se non viene specificato un dominio, ma viene specificato un controller di dominio, viene generato un report dei certificati sul controller di dominio specificato.2. If a domain is not specified, but a domain controller is specified, a report of the certificates on the specified domain controller is generated.
  3. 3. Se si specifica un dominio, ma non si specifica un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.3. If a domain is specified, but a domain controller is not specified, a list of domain controllers is generated along with reports on the certificates for each domain controller in the list.
  4. 4. Se si specifica il dominio e il controller di dominio, viene generato un elenco di controller di dominio dal controller di dominio di destinazione.4. If the domain and domain controller are specified, a list of domain controllers is generated from the targeted domain controller. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.A report of the certificates for each domain controller in the list is also generated.

Si supponga, ad esempio, che esista un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1.For example, assume there is a domain named CPANDL with a domain controller named CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandlYou can run the following command to a retrieve a list of domain controllers and their certificates that from CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo-entinfo

Visualizza informazioni su un'autorità di certificazione dell'organizzazione.Displays information about an enterprise Certificate Authority.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-tcainfo-tcainfo

Visualizza informazioni sull'autorità di certificazione.Displays information about the Certificate Authority.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo-scinfo

Visualizza le informazioni sulla smart card.Displays information about the smart card.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

Dove:Where:

  • CRYPT_DELETEKEYSET Elimina tutte le chiavi della smart card.CRYPT_DELETEKEYSET deletes all keys on the smart card.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots-scroots

Gestisce i certificati radice della smart card.Manages smart card root certificates.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys-verifykeys

Verifica un set di chiavi pubbliche o private.Verifies a public or private key set.

certutil [options] -verifykeys [keycontainername cacertfile]

Dove:Where:

  • datacontainername è il nome del contenitore di chiavi per la chiave da verificare.keycontainername is the key container name for the key to verify. Per impostazione predefinita, questa opzione è impostata su chiavi computer.This option defaults to machine keys. Per passare alle chiavi utente, usare -user .To switch to user keys, use -user.

  • FileCertificatoCA firma o Crittografa i file di certificato.cacertfile signs or encrypts certificate files.

[-f] [-user] [-silent] [-config Machine\CAName]

CommentiRemarks

  • Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla relativa chiave privata.If no arguments are specified, each signing CA certificate is verified against its private key.

  • Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.This operation can only be performed against a local CA or local keys.

-Verifica-verify

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.Verifies a certificate, certificate revocation list (CRL), or certificate chain.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

Dove:Where:

  • CertFile è il nome del certificato da verificare.certfile is the name of the certificate to verify.

  • applicationpolicylist è l'elenco facoltativo delimitato da virgole dei criteri dell'applicazione ObjectID richiesti.applicationpolicylist is the optional comma-separated list of required Application Policy ObjectIds.

  • issuancepolicylist è l'elenco facoltativo delimitato da virgole dei criteri di rilascio ObjectID richiesti.issuancepolicylist is the optional comma-separated list of required Issuance Policy ObjectIds.

  • FileCertificatoCA è il certificato della CA emittente facoltativo da verificare.cacertfile is the optional issuing CA certificate to verify against.

  • crossedcacertfile è il certificato facoltativo con certificazione incrociata di CertFile.crossedcacertfile is the optional certificate cross-certified by certfile.

  • FileCRL è il file CRL usato per verificare il FileCertificatoCA.CRLfile is the CRL file used to verify the cacertfile.

  • issuedcertfile è il certificato emesso facoltativo incluso in FileCRL.issuedcertfile is the optional issued certificate covered by the CRLfile.

  • deltaCRLfile è il file Delta CRL facoltativo.deltaCRLfile is the optional delta CRL file.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

CommentiRemarks

  • L'uso di applicationpolicylist limita la creazione della catena a solo catene valide per i criteri dell'applicazione specificati.Using applicationpolicylist restricts chain building to only chains valid for the specified Application Policies.

  • L'uso di issuancepolicylist limita la creazione della catena a solo catene valide per i criteri di rilascio specificati.Using issuancepolicylist restricts chain building to only chains valid for the specified Issuance Policies.

  • L'uso di FileCertificatoCA verifica i campi nel file rispetto a CertFile o FileCRL.Using cacertfile verifies the fields in the file against certfile or CRLfile.

  • L'uso di issuedcertfile verifica i campi nel file in FileCRL.Using issuedcertfile verifies the fields in the file against CRLfile.

  • L'uso di deltaCRLfile verifica i campi nel file in CertFile.Using deltaCRLfile verifies the fields in the file against certfile.

  • Se FileCertificatoCA non è specificato, la catena completa viene compilata e verificata in base a CertFile.If cacertfile isn't specified, the full chain is built and verified against certfile.

  • Se FileCertificatoCA e crossedcacertfile sono entrambi specificati, i campi in entrambi i file vengono verificati in base a CertFile.If cacertfile and crossedcacertfile are both specified, the fields in both files are verified against certfile.

-verifyCTL-verifyCTL

Verifica il AuthRoot o i certificati non consentiti CTL.Verifies the AuthRoot or Disallowed Certificates CTL.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

Dove:Where:

  • CTLobject identifica l'elenco di scopi consentiti da verificare, tra cui:CTLobject identifies the CTL to verify, including:

    • AuthRootWU : legge il CAB AuthRoot e i certificati corrispondenti dalla cache URL.AuthRootWU - Reads the AuthRoot CAB and matching certificates from the URL cache. Usare -f per scaricare invece da Windows Update.Use -f to download from Windows Update instead.

    • DisallowedWU : legge i certificati non consentiti CAB e il file dell'archivio certificati non consentito dalla cache degli URL.DisallowedWU - Reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. Usare -f per scaricare invece da Windows Update.Use -f to download from Windows Update instead.

    • AuthRoot : legge il registro di sistema AuthRoot CTL memorizzato nella cache.AuthRoot - Reads the registry-cached AuthRoot CTL. Usare con -f e un CertFile non attendibile per forzare la memorizzazione nella cache del registro di sistema AuthRoot e non consentire l'aggiornamento del certificato scopi consentiti.Use with -f and an untrusted certfile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.

    • Non consentito : legge i certificati non consentiti memorizzati nella cache del registro di sistema (CTL).Disallowed - Reads the registry-cached Disallowed Certificates CTL. Usare con -f e un CertFile non attendibile per forzare la memorizzazione nella cache del registro di sistema AuthRoot e non consentire l'aggiornamento del certificato scopi consentiti.Use with -f and an untrusted certfile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.

  • CTLfilename specifica il file o il percorso http del file CTL o CAB.CTLfilename specifies the file or http path to the CTL or CAB file.

  • certdir specifica la cartella che contiene i certificati corrispondenti alle voci CTL.certdir specifies the folder containing certificates matching the CTL entries. Il valore predefinito è la stessa cartella o sito Web del CTLobject.Defaults to the same folder or website as the CTLobject. L'uso di un percorso di cartella http richiede un separatore di percorso alla fine.Using an http folder path requires a path separator at the end. Se non si specifica AuthRoot o non è consentito, verranno cercati più percorsi per i certificati corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache URL locale.If you don't specify AuthRoot or Disallowed, multiple locations will be searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. Usare -f per scaricare da Windows Update, in base alle esigenze.Use -f to download from Windows Update, as needed.

  • CertFile specifica i certificati da verificare.certfile specifies the certificate(s) to verify. I certificati vengono confrontati con le voci CTL, visualizzando i risultati.Certificates are matched against CTL entries, displaying the results. Questa opzione consente di disattivare la maggior parte dell'output predefinito.This option suppresses most of the default output.

[-f] [-user] [-split]

-firma-sign

Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.Re-signs a certificate revocation list (CRL) or certificate.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

Dove:Where:

  • FileList è l' elenco delimitato da virgole dei file di certificato o CRL da modificare e firmare nuovamente.infilelist is the comma-separated list of certificate or CRL files to modify and re-sign.

  • serialNumber è il numero di serie del certificato da creare.serialnumber is the serial number of the certificate to create. Non è possibile presentare il periodo di validità e le altre opzioni.The validity period and other options can't be present.

  • CRL crea un CRL vuoto.CRL creates an empty CRL. Non è possibile presentare il periodo di validità e le altre opzioni.The validity period and other options can't be present.

  • outlisting è l'elenco delimitato da virgole di file di output di certificati o CRL modificati.outfilelist is the comma-separated list of modified certificate or CRL output files. Il numero di file deve corrispondere a un file con estensione.The number of files must match infilelist.

  • StartDate + GG: HH è il nuovo periodo di validità per il certificato o i file CRL, tra cui:startdate+dd:hh is the new validity period for the certificate or CRL files, including:

    • data facoltativa piùoptional date plus

    • periodo di validità di giorni e ore facoltativooptional days and hours validity period

    Se vengono specificati entrambi, è necessario usare un separatore di segno più (+).If both are specified, you must use a plus sign (+) separator. Utilizzare now[+dd:hh] per avviare l'ora corrente.Use now[+dd:hh] to start at the current time. Utilizzare never per non avere una data di scadenza (solo per i CRL).Use never to have no expiration date (for CRLs only).

  • serialnumberlist è l'elenco di numeri di serie separati da virgole dei file da aggiungere o rimuovere.serialnumberlist is the comma-separated serial number list of the files to add or remove.

  • objectIDlist è l'elenco di file con estensione delimitato da virgole da rimuovere.objectIDlist is the comma-separated extension ObjectId list of the files to remove.

  • @ extensionfile è il file inf che contiene le estensioni da aggiornare o rimuovere.@extensionfile is the INF file that contains the extensions to update or remove. Ad esempio:For example:

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • HashAlgorithm è il nome dell'algoritmo hash.hashalgorithm is the name of the hash algorithm. Deve essere solo il testo preceduto dal # segno.This must only be the text preceded by the # sign.

  • alternatesignaturealgorithm è l'identificatore dell'algoritmo di firma alternativo.alternatesignaturealgorithm is the alternate signature algorithm specifier.

[-nullsign] [-f] [-silent] [-cert certID]

CommentiRemarks

  • Utilizzando il segno meno (-) vengono rimossi i numeri di serie e le estensioni.Using the minus sign (-) removes serial numbers and extensions.

  • Utilizzando il segno più (+), i numeri di serie vengono aggiunti a un CRL.Using the plus sign (+) adds serial numbers to a CRL.

  • È possibile utilizzare un elenco per rimuovere contemporaneamente i numeri di serie e ObjectID da un CRL.You can use a list to remove both serial numbers and ObjectIDs from a CRL at the same time.

  • L'uso del segno meno prima di alternatesignaturealgorithm consente di usare il formato di firma legacy.Using the minus sign before alternatesignaturealgorithm allows you to use the legacy signature format. L'uso del segno più consente di usare il formato di firma alternativo.Using the plus sign allows you to use the alternate signature format. Se non si specifica alternatesignaturealgorithm, viene usato il formato della firma nel certificato o nel CRL.If you don't specify alternatesignaturealgorithm, the signature format in the certificate or CRL is used.

-vroot-vroot

Crea o Elimina le radici virtuali Web e le condivisioni file.Creates or deletes web virtual roots and file shares.

certutil [options] -vroot [delete]

-vocsproot-vocsproot

Crea o Elimina le radici virtuali Web per un proxy Web OCSP.Creates or deletes web virtual roots for an OCSP web proxy.

certutil [options] -vocsproot [delete]

-addenrollmentserver-addenrollmentserver

Aggiungere un'applicazione del server di iscrizione e un pool di applicazioni, se necessario, per l'autorità di certificazione specificata.Add an Enrollment Server application and application pool if necessary, for the specified Certificate Authority. Questo comando non installa i file binari o i pacchetti.This command does not install binaries or packages.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

Dove:Where:

  • per addenrollmentserver è necessario usare un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:addenrollmentserver requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

    • Kerberos usa le credenziali SSL Kerberos.kerberos uses Kerberos SSL credentials.

    • nome utente utilizza l'account denominato per le credenziali SSL.username uses named account for SSL credentials.

    • ClientCertificate usa le credenziali SSL del certificato X. 509.clientcertificate uses X.509 Certificate SSL credentials.

  • allowrenewalsonly consente solo invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.allowrenewalsonly allows only renewal request submissions to the Certificate Authority through the URL.

  • allowkeybasedrenewal consente l'uso di un certificato senza account associato in Active Directory.allowkeybasedrenewal allows use of a certificate with no associated account in Active Directory. Questo vale quando viene usato con la modalità ClientCertificate e allowrenewalsonly .This applies when used with clientcertificate and allowrenewalsonly mode.

[-config Machine\CAName]

-deleteenrollmentserver-deleteenrollmentserver

Elimina un'applicazione del server di iscrizione e un pool di applicazioni, se necessario, per l'autorità di certificazione specificata.Deletes an Enrollment Server application and application pool if necessary, for the specified Certificate Authority. Questo comando non installa i file binari o i pacchetti.This command does not install binaries or packages.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

Dove:Where:

  • per deleteenrollmentserver è necessario usare un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:deleteenrollmentserver requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

    • Kerberos usa le credenziali SSL Kerberos.kerberos uses Kerberos SSL credentials.

    • nome utente utilizza l'account denominato per le credenziali SSL.username uses named account for SSL credentials.

    • ClientCertificate usa le credenziali SSL del certificato X. 509.clientcertificate uses X.509 Certificate SSL credentials.

[-config Machine\CAName]

-addpolicyserver-addpolicyserver

Aggiungere un'applicazione server dei criteri e un pool di applicazioni, se necessario.Add a Policy Server application and application pool, if necessary. Questo comando non installa i file binari o i pacchetti.This command does not install binaries or packages.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

Dove:Where:

  • per addpolicyserver è necessario usare un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:addpolicyserver requires you to use an authentication method for the client connection to the Certificate Policy Server, including:

    • Kerberos usa le credenziali SSL Kerberos.kerberos uses Kerberos SSL credentials.

    • nome utente utilizza l'account denominato per le credenziali SSL.username uses named account for SSL credentials.

    • ClientCertificate usa le credenziali SSL del certificato X. 509.clientcertificate uses X.509 Certificate SSL credentials.

  • keybasedrenewal consente l'uso dei criteri restituiti al client che contiene i modelli di keybasedrenewal.keybasedrenewal allows use of policies returned to the client containing keybasedrenewal templates. Questa opzione è valida solo per il nome utente e l'autenticazione ClientCertificate .This option applies only for username and clientcertificate authentication.

-deletepolicyserver-deletepolicyserver

Elimina un'applicazione server dei criteri e un pool di applicazioni, se necessario.Deletes a Policy Server application and application pool, if necessary. Questo comando non rimuove i file binari o i pacchetti.This command does not remove binaries or packages.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

Dove:Where:

  • per deletepolicyserver è necessario usare un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:deletepolicyserver requires you to use an authentication method for the client connection to the Certificate Policy Server, including:

    • Kerberos usa le credenziali SSL Kerberos.kerberos uses Kerberos SSL credentials.

    • nome utente utilizza l'account denominato per le credenziali SSL.username uses named account for SSL credentials.

    • ClientCertificate usa le credenziali SSL del certificato X. 509.clientcertificate uses X.509 Certificate SSL credentials.

  • keybasedrenewal consente l'uso di un server dei criteri di keybasedrenewal.keybasedrenewal allows use of a KeyBasedRenewal policy server.

-OID-oid

Consente di visualizzare l'identificatore dell'oggetto o di impostare un nome visualizzato.Displays the object identifier or set a display name.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

Dove:Where:

  • ObjectID Visualizza o per aggiungere il nome visualizzato.objectID displays or to adds the display name.

  • GroupID è il numero GroupID (decimale) enumerato da ObjectId.groupID is the groupID number (decimal) that objectIDs enumerate.

  • algido è l'ID esadecimale ricercato da ObjectId.algID is the hexadecimal ID that objectID looks up.

  • algorithmName è il nome dell'algoritmo ricercato da ObjectId.algorithmname is the algorithm name that objectID looks up.

  • DisplayName consente di visualizzare il nome da archiviare in DS.displayname displays the name to store in DS.

  • Elimina consente di eliminare il nome visualizzato.delete deletes the display name.

  • LanguageID è il valore ID della lingua (l'impostazione predefinita è current: 1033).LanguageId is the language ID value (defaults to current: 1033).

  • Tipo è il tipo di oggetto DS da creare, tra cui:Type is the type of DS object to create, including:

    • 1 -Template (impostazione predefinita)1 - Template (default)

    • 2 -Criterio di rilascio2 - Issuance Policy

    • 3 -Criteri di applicazione3 - Application Policy

  • -f Crea un oggetto DS.-f creates a DS object.

-errore-error

Consente di visualizzare il testo del messaggio associato a un codice di errore.Displays the message text associated with an error code.

certutil [options] -error errorcode

-getreg-getreg

Visualizza un valore del registro di sistema.Displays a registry value.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Dove:Where:

  • la CA usa una chiave del registro di sistema dell'autorità di certificazione.ca uses a Certificate Authority's registry key.

  • il ripristino usa la chiave del registro di sistema Restore dell'autorità di certificazione.restore uses Certificate Authority's restore registry key.

  • il criterio usa la chiave del registro di sistema del modulo criteri.policy uses the policy module's registry key.

  • Exit usa la chiave del registro di sistema del primo modulo di uscita.exit uses the first exit module's registry key.

  • il modello usa la chiave del registro di sistema template (usare -user per i modelli utente).template uses the template registry key (use -user for user templates).

  • la registrazione usa la chiave del registro di sistema di registrazione (usare -user per il contesto utente).enroll uses the enrollment registry key (use -user for user context).

  • Chain usa la chiave del registro di sistema Chain Configuration.chain uses the chain configuration registry key.

  • policyservers utilizza la chiave del registro di sistema server dei criteri.policyservers uses the Policy Servers registry key.

  • ProgID usa il ProgID del modulo dei criteri o di uscita (nome della sottochiave del registro di sistema).progID uses the policy or exit module's ProgID (registry subkey name).

  • RegistryValueName usa il nome del valore del registro di sistema (usare Name* per trovare la corrispondenza con prefisso).registryvaluename uses the registry value name (use Name* to prefix match).

  • value utilizza il nuovo valore del registro di sistema numeric, String o date o filename.value uses the new numeric, string or date registry value or filename. Se un valore numerico inizia con + o - , i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del registro di sistema esistente.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

CommentiRemarks

  • Se un valore stringa inizia con + o - e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del registro di sistema esistente.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore di stringa.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Se il valore inizia con \@ , il resto del valore è il nome del file che contiene la rappresentazione in formato testo esadecimale di un valore binario.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Utilizzare now+dd:hh per una data relativa all'ora corrente.Use now+dd:hh for a date relative to the current time.

  • Utilizzare chain\chaincacheresyncfiletime \@now per scaricare effettivamente i CRL memorizzati nella cache.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-setreg-setreg

Imposta un valore del registro di sistema.Sets a registry value.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

Dove:Where:

  • la CA usa una chiave del registro di sistema dell'autorità di certificazione.ca uses a Certificate Authority's registry key.

  • il ripristino usa la chiave del registro di sistema Restore dell'autorità di certificazione.restore uses Certificate Authority's restore registry key.

  • il criterio usa la chiave del registro di sistema del modulo criteri.policy uses the policy module's registry key.

  • Exit usa la chiave del registro di sistema del primo modulo di uscita.exit uses the first exit module's registry key.

  • il modello usa la chiave del registro di sistema template (usare -user per i modelli utente).template uses the template registry key (use -user for user templates).

  • la registrazione usa la chiave del registro di sistema di registrazione (usare -user per il contesto utente).enroll uses the enrollment registry key (use -user for user context).

  • Chain usa la chiave del registro di sistema Chain Configuration.chain uses the chain configuration registry key.

  • policyservers utilizza la chiave del registro di sistema server dei criteri.policyservers uses the Policy Servers registry key.

  • ProgID usa il ProgID del modulo dei criteri o di uscita (nome della sottochiave del registro di sistema).progID uses the policy or exit module's ProgID (registry subkey name).

  • RegistryValueName usa il nome del valore del registro di sistema (usare Name* per trovare la corrispondenza con prefisso).registryvaluename uses the registry value name (use Name* to prefix match).

  • value utilizza il nuovo valore del registro di sistema numeric, String o date o filename.value uses the new numeric, string or date registry value or filename. Se un valore numerico inizia con + o - , i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del registro di sistema esistente.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

CommentiRemarks

  • Se un valore stringa inizia con + o - e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del registro di sistema esistente.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore di stringa.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Se il valore inizia con \@ , il resto del valore è il nome del file che contiene la rappresentazione in formato testo esadecimale di un valore binario.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Utilizzare now+dd:hh per una data relativa all'ora corrente.Use now+dd:hh for a date relative to the current time.

  • Utilizzare chain\chaincacheresyncfiletime \@now per scaricare effettivamente i CRL memorizzati nella cache.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-delreg-delreg

Elimina un valore del registro di sistema.Deletes a registry value.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

Dove:Where:

  • la CA usa una chiave del registro di sistema dell'autorità di certificazione.ca uses a Certificate Authority's registry key.

  • il ripristino usa la chiave del registro di sistema Restore dell'autorità di certificazione.restore uses Certificate Authority's restore registry key.

  • il criterio usa la chiave del registro di sistema del modulo criteri.policy uses the policy module's registry key.

  • Exit usa la chiave del registro di sistema del primo modulo di uscita.exit uses the first exit module's registry key.

  • il modello usa la chiave del registro di sistema template (usare -user per i modelli utente).template uses the template registry key (use -user for user templates).

  • la registrazione usa la chiave del registro di sistema di registrazione (usare -user per il contesto utente).enroll uses the enrollment registry key (use -user for user context).

  • Chain usa la chiave del registro di sistema Chain Configuration.chain uses the chain configuration registry key.

  • policyservers utilizza la chiave del registro di sistema server dei criteri.policyservers uses the Policy Servers registry key.

  • ProgID usa il ProgID del modulo dei criteri o di uscita (nome della sottochiave del registro di sistema).progID uses the policy or exit module's ProgID (registry subkey name).

  • RegistryValueName usa il nome del valore del registro di sistema (usare Name* per trovare la corrispondenza con prefisso).registryvaluename uses the registry value name (use Name* to prefix match).

  • value utilizza il nuovo valore del registro di sistema numeric, String o date o filename.value uses the new numeric, string or date registry value or filename. Se un valore numerico inizia con + o - , i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del registro di sistema esistente.If a numeric value starts with + or -, the bits specified in the new value are set or cleared in the existing registry value.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

CommentiRemarks

  • Se un valore stringa inizia con + o - e il valore esistente è un REG_MULTI_SZ valore, la stringa viene aggiunta o rimossa dal valore del registro di sistema esistente.If a string value starts with + or -, and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. Per forzare la creazione di un REG_MULTI_SZ valore, aggiungere \n alla fine del valore di stringa.To force creation of a REG_MULTI_SZ value, add \n to the end of the string value.

  • Se il valore inizia con \@ , il resto del valore è il nome del file che contiene la rappresentazione in formato testo esadecimale di un valore binario.If the value starts with \@, the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.If it doesn't refer to a valid file, it's instead parsed as [Date][+|-][dd:hh] - an optional date plus or minus optional days and hours. Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-).If both are specified, use a plus sign (+) or minus sign (-) separator. Utilizzare now+dd:hh per una data relativa all'ora corrente.Use now+dd:hh for a date relative to the current time.

  • Utilizzare chain\chaincacheresyncfiletime \@now per scaricare effettivamente i CRL memorizzati nella cache.Use chain\chaincacheresyncfiletime \@now to effectively flush cached CRLs.

-importKMS-importKMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.Imports user keys and certificates into the server database for key archival.

certutil [options] -importKMS userkeyandcertfile [certID]

Dove:Where:

  • userkeyandcertfile è un file di dati con chiavi private utente e certificati da archiviare.userkeyandcertfile is a data file with user private keys and certificates that are to be archived. Il file può essere:This file can be:

    • Un file di esportazione del server di gestione delle chiavi (KMS) di Exchange.An Exchange Key Management Server (KMS) export file.

    • Un file PFX.A PFX file.

  • certID è un token di corrispondenza del certificato di decrittografia del file di esportazione del KMS.certID is a KMS export file decryption certificate match token. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

  • -f Importa i certificati non rilasciati dall'autorità di certificazione.-f imports certificates not issued by the Certificate Authority.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert-importcert

Importa un file di certificato nel database.Imports a certificate file into the database.

certutil [options] -importcert certfile [existingrow]

Dove:Where:

  • existingrow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.existingrow imports the certificate in place of a pending request for the same key.

  • -f Importa i certificati non rilasciati dall'autorità di certificazione.-f imports certificates not issued by the Certificate Authority.

[-f] [-config Machine\CAName]

CommentiRemarks

Potrebbe inoltre essere necessario configurare l'autorità di certificazione per supportare i certificati esterni.The Certificate Authority may also need to be configured to support foreign certificates. A tale scopo, digitare import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN .To do this, type import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey-getkey

Recupera un BLOB di recupero della chiave privata archiviato, genera uno script di ripristino o Ripristina le chiavi archiviate.Retrieves an archived private key recovery blob, generates a recovery script, or recovers archived keys.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

Dove:Where:

  • script genera uno script per recuperare e recuperare le chiavi (comportamento predefinito se vengono trovati più candidati di recupero corrispondenti o se il file di output non è specificato).script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file is not specified).

  • il recupero recupera uno o più BLOB di recupero chiave (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se viene specificato il file di output).retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato e l'estensione REC per ogni BLOB di recupero della chiave.Using this option truncates any extension and appends the certificate-specific string and the .rec extension for each key recovery blob. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografati a uno o più certificati dell'agente di recupero chiavi.Each file contains a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.

  • il ripristino recupera e ripristina le chiavi private in un unico passaggio (richiede certificati dell'agente di recupero chiavi e chiavi private).recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). Se si usa questa opzione, viene troncata un'estensione e viene aggiunta l'estensione P12.Using this option truncates any extension and appends the .p12 extension. Ogni file contiene le catene di certificati ripristinati e le chiavi private associate, archiviate come file PFX.Each file contains the recovered certificate chains and associated private keys, stored as a PFX file.

  • searchtoken seleziona le chiavi e i certificati da ripristinare, tra cui:searchtoken selects the keys and certificates to be recovered, including:

      1. Nome comune certificatoCertificate Common Name
      1. Numero di serie del certificatoCertificate Serial Number
      1. Hash SHA-1 certificato (identificazione personale)Certificate SHA-1 hash (thumbprint)
      1. Hash SHA-1 del certificato KeyId (identificatore della chiave del soggetto)Certificate KeyId SHA-1 hash (Subject Key Identifier)
      1. Nome del richiedente (dominio\utente)Requester Name (domain\user)
      1. UPN ( @ dominio utente)UPN (user@domain)
  • recoverybloboutfile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di recupero chiavi.recoverybloboutfile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.

  • outputScriptFile genera un file con uno script batch per recuperare e recuperare le chiavi private.outputscriptfile outputs a file with a batch script to retrieve and recover private keys.

  • outputfilebasename restituisce un nome di base del file.outputfilebasename outputs a file base name.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey-recoverkey

Ripristinare una chiave privata archiviata.Recover an archived private key.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX-mergePFX

Unisce i file PFX.Merges PFX files.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

Dove:Where:

  • ElencoFileInPFX è un elenco delimitato da virgole di file di input PFX.PFXinfilelist is a comma-separated list of PFX input files.

  • PFXoutfile è il nome del file di output PFX.PFXoutfile is the name of the PFX output file.

  • in ExtendedProperties sono incluse eventuali proprietà estese.extendedproperties includes any extended properties.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

CommentiRemarks

  • La password specificata nella riga di comando deve essere un elenco di password separate da virgole.The password specified on the command line must be a comma-separated password list.

  • Se viene specificata più di una password, per il file di output viene utilizzata l'ultima password.If more than one password is specified, the last password is used for the output file. Se viene fornita una sola password o se l'ultima password è * , all'utente verrà richiesto di immettere la password del file di output.If only one password is provided or if the last password is *, the user will be prompted for the output file password.

-convertEPF-convertEPF

Converte un file PFX in un file EPF.Converts a PFX file into an EPF file.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

Dove:Where:

  • ElencoFileInPFX è un elenco delimitato da virgole di file di input PFX.PFXinfilelist is a comma-separated list of PFX input files.

  • PFXoutfile è il nome del file di output PFX.PFXoutfile is the name of the PFX output file.

  • EPF è il nome del file di output di EPF.EPF is the name of the EPF output file.

  • cast usa la crittografia 64 di cast.cast uses CAST 64 encryption.

  • Cast: usa la crittografia 64 (esportazione)cast- uses CAST 64 encryption (export)

  • V3CAcertID è il token di corrispondenza del certificato CA V3.V3CAcertID is the V3 CA certificate match token. Per altre informazioni, vedere il -store parametro in questo articolo.For more info, see the -store parameter in this article.

  • Salt è la stringa Salt del file di output EPF.salt is the EPF output file salt string.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

CommentiRemarks

  • La password specificata nella riga di comando deve essere un elenco di password separate da virgole.The password specified on the command line must be a comma-separated password list.

  • Se viene specificata più di una password, per il file di output viene utilizzata l'ultima password.If more than one password is specified, the last password is used for the output file. Se viene fornita una sola password o se l'ultima password è * , all'utente verrà richiesto di immettere la password del file di output.If only one password is provided or if the last password is *, the user will be prompted for the output file password.

-?-?

Visualizza l'elenco dei parametri.Displays the list of parameters.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dove:Where:

  • -?-? Visualizza l'elenco completo dei parametridisplays the full list of parameters

  • -<name_of_parameter> -?-<name_of_parameter> -? Visualizza il contenuto della Guida per il parametro specificato.displays help content for the specified parameter.

  • -?-v Visualizza un elenco completo dei parametri e delle opzioni.-? -v displays a full list of parameters and options.

OpzioniOptions

In questa sezione vengono definite tutte le opzioni che è possibile specificare, in base al comando.This section defines all of the options you're able to specify, based on the command. Ogni parametro include informazioni sulle opzioni valide per l'utilizzo.Each parameter includes information about which options are valid for use.

OpzioniOptions DescrizioneDescription
-nullsign-nullsign Usare l'hash dei dati come firma.Use the hash of the data as a signature.
-f-f Forza sovrascrittura.Force overwrite.
-enterprise-enterprise Usare l'archivio certificati del registro di sistema dell'organizzazione locale del computer.Use the local machine enterprise registry certificate store.
-utente-user Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati.Use the HKEY_CURRENT_USER keys or certificate store.
-GroupPolicy-GroupPolicy Utilizzare l'archivio certificati criteri di gruppo.Use the group policy certificate store.
-UT-ut Visualizzare i modelli utente.Display user templates.
-Mt-mt Visualizzare i modelli di computer.Display machine templates.
-Unicode-Unicode Scrivi output reindirizzato in Unicode.Write redirected output in Unicode.
-UnicodeText-UnicodeText Scrivere il file di output in formato Unicode.Write output file in Unicode.
-ora di Greenwich-gmt Visualizza orari con GMT.Display times using GMT.
-secondi-seconds Visualizza gli orari utilizzando secondi e millisecondi.Display times using seconds and milliseconds.
-invisibile all'utente-silent Usare il silent flag per acquisire il contesto di crittografia.Use the silent flag to acquire crypt context.
-Divisione-split Suddividere gli elementi ASN. 1 incorporati e salvarli in file.Split embedded ASN.1 elements, and save to files.
-v-v Fornire informazioni dettagliate (dettagliato).Provide more detailed (verbose) information.
-PrivateKey-privatekey Visualizzare i dati della password e della chiave privata.Display password and private key data.
-pin pin-pin PIN PIN della smart card.Smart card PIN.
-UrlFetch-urlfetch Recuperare e verificare i certificati AIA e i CRL CDP.Retrieve and verify AIA Certs and CDP CRLs.
-config Machine\CAName-config Machine\CAName Autorità di certificazione e stringa nome computer.Certificate Authority and computer name string.
-policyserver URLorID-policyserver URLorID ID o URL del server dei criteri.Policy Server URL or ID. Per la selezione di U/I, usare -policyserver .For selection U/I, use -policyserver. Per tutti i server dei criteri, utilizzare -policyserver *For all Policy Servers, use -policyserver *
-Anonimo-anonymous Usare credenziali SSL anonime.Use anonymous SSL credentials.
-Kerberos-kerberos Utilizzare le credenziali SSL Kerberos.Use Kerberos SSL credentials.
-ClientCertificate clientcertID-clientcertificate clientcertID Usare le credenziali SSL del certificato X. 509.Use X.509 Certificate SSL credentials. Per la selezione di U/I, usare -clientcertificate .For selection U/I, use -clientcertificate.
-username nomeutente-username username Usare l'account denominato per le credenziali SSL.Use named account for SSL credentials. Per la selezione di U/I, usare -username .For selection U/I, use -username.
-CERT certID-cert certID Certificato di firma.Signing certificate.
-DC DCName-dc DCName Specificare come destinazione un controller di dominio specifico.Target a specific Domain Controller.
-limita restrizione-restrict restrictionlist Elenco di restrizioni separate da virgole.Comma-separated Restriction List. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data.Each restriction consists of a column name, a relational operator and a constant integer, string or date. Un nome di colonna può essere preceduto da un segno più o meno per indicare l'ordinamento.One column name may be preceded by a plus or minus sign to indicate the sort order. Ad esempio: requestID = 47, +requestername >= a, requestername o -requestername > DOMAIN, Disposition = 21For example: requestID = 47, +requestername >= a, requestername, or -requestername > DOMAIN, Disposition = 21
-out (istogramma)-out columnlist Elenco di colonne delimitate da virgole.Comma-separated column list.
-p password-p password PasswordPassword
-protectto SAMnameandSIDlist-protectto SAMnameandSIDlist Elenco di SID o nomi SAM delimitati da virgole.Comma-separated SAM name/SID list.
-provider CSP-csp provider ProviderProvider
-t timeout-t timeout Timeout di recupero URL in millisecondi.URL fetch timeout in milliseconds.
-symkeyalg symmetrickeyalgorithm [, lunghezza]-symkeyalg symmetrickeyalgorithm[,keylength] Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave facoltativa.Name of the Symmetric Key Algorithm with optional key length. Ad esempio: AES,128 o 3DESFor example: AES,128 or 3DES

Altri riferimentiAdditional References

Per altri esempi sull'uso di questo comando, vedereFor some more examples about how to use this command, see