certutil

Articolo
10/19/2023

Attenzione

Certutil non è consigliabile per essere usato in qualsiasi codice di produzione e non fornisce alcuna garanzia di supporto del sito live o di compatibilità con le applicazioni. Si tratta di uno strumento usato dagli sviluppatori e dagli amministratori IT per visualizzare le informazioni sul contenuto dei certificati nei dispositivi.

Certutil.exe è un programma da riga di comando installato come parte di Servizi certificati. È possibile usare certutil.exe per visualizzare le informazioni di configurazione dell'autorità di certificazione (CA), configurare i servizi certificati e eseguire il backup e il ripristino dei componenti delle CA. Il programma verifica anche certificati, coppie di chiavi e catene di certificati.

Se certutil viene eseguito in un'autorità di certificazione senza altri parametri, viene visualizzata la configurazione corrente dell'autorità di certificazione. Se certutil viene eseguito in un'autorità non di certificazione senza altri parametri, per impostazione predefinita il comando esegue certutil -dump. Non tutte le versioni di certutil forniscono tutti i parametri e le opzioni descritti in questo documento. È possibile visualizzare le scelte fornite dalla versione di certutil eseguendo certutil -? o certutil <parameter> -?.

Suggerimento

Per visualizzare la Guida completa per tutti i verbi e le opzioni certutil, inclusi quelli nascosti dall'argomento -?, eseguire certutil -v -uSAGE. Il commutatore uSAGE prevede la distinzione tra maiuscole e minuscole.

Parametri

-dump

Esegue il dump delle informazioni di configurazione o dei file.

certutil [options] [-dump]
certutil [options] [-dump] File

Opzioni:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

Esegue il dump della struttura PFX.

certutil [options] [-dumpPFX] File

Opzioni:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

Analizza e visualizza il contenuto di un file usando la sintassi ASN.1 (Abstract Syntax Notation). I tipi di file includono i file formattati .CER. DER e PKCS #7.

certutil [options] -asn File [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

-decodehex

Decodifica un file con codifica esadecimale.

certutil [options] -decodehex InFile OutFile [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

Opzioni:

[-f]

-encodehex

Codifica un file in formato esadecimale.

certutil [options] -encodehex InFile OutFile [type]

[type]: tipo di decodifica numerico CRYPT_STRING_*

Opzioni:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Decodifica un file con codifica Base64.

certutil [options] -decode InFile OutFile

Opzioni:

[-f]

-encode

Codifica un file in Base64.

certutil [options] -encode InFile OutFile

Opzioni:

[-f] [-unicodetext]

-deny

Nega una richiesta in sospeso.

certutil [options] -deny RequestId

Opzioni:

[-config Machine\CAName]

-resubmit

Invia di nuovo una richiesta in sospeso.

certutil [options] -resubmit RequestId

Opzioni:

[-config Machine\CAName]

-setattributes

Imposta gli attributi per una richiesta di certificato in sospeso.

certutil [options] -setattributes RequestId AttributeString

Dove:

RequestId è l'ID richiesta numerico per la richiesta in sospeso.
AttributeString è il nome dell'attributo richiesta e le coppie valore.

Opzioni:

[-config Machine\CAName]

Osservazioni:

I nomi e i valori devono essere separati da due punti, mentre più nomi e coppie di valori devono essere separati da una nuova riga. Ad esempio: CertificateTemplate:User\nEMail:User@Domain.com dove la \n sequenza viene convertita in un separatore di nuova riga.

-setextension

Impostare un'estensione per una richiesta di certificato in sospeso.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Dove:

requestID è l'ID richiesta numerico per la richiesta in sospeso.
ExtensionName è la stringa ObjectId per l'estensione.
Flags imposta la priorità dell'estensione. 0 è consigliato, mentre 1 imposta l'estensione su critica, 2 disabilita l'estensione ed 3 esegue entrambe le operazioni.

Opzioni:

[-config Machine\CAName]

Osservazioni:

Se l'ultimo parametro è numerico, viene considerato Long.
Se l'ultimo parametro può essere analizzato come data, viene considerato come Date.
Se l'ultimo parametro inizia con \@, il resto del token viene assunto come nome file con dati binari o un dump esadecimale ascii-text.
Se l'ultimo parametro è qualcos'altro, viene assunto come stringa.

-revoke

Revoca un certificato.

certutil [options] -revoke SerialNumber [Reason]

Dove:

SerialNumber è un elenco delimitato da virgole di numeri seriali di certificati da revocare.
Motivo è la rappresentazione numerica o simbolica del motivo della revoca, tra cui:
- 0. CRL_REASON_UNSPECIFIED - Non specificato (impostazione predefinita)
- 1. CRL_REASON_KEY_COMPROMISE - Compromesso chiave
- 2. CRL_REASON_CA_COMPROMISE - Compromissione dell'autorità di certificazione
- 3. CRL_REASON_AFFILIATION_CHANGED - Affiliazione modificata
- 4. CRL_REASON_SUPERSEDED - Sostituito
- 5. CRL_REASON_CESSATION_OF_OPERATION - Cessazione dell'operazione
- 6. CRL_REASON_CERTIFICATE_HOLD - Blocco certificati
- 8. CRL_REASON_REMOVE_FROM_CRL - Rimuovere da CRL
- 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilegio ritirato
- 10: CRL_REASON_AA_COMPROMISE - Compromissione AA
- -1. Annulla revoca - Unrevokes

Opzioni:

[-config Machine\CAName]

-isvalid

Visualizza la disposizione del certificato corrente.

certutil [options] -isvalid SerialNumber | CertHash

Opzioni:

[-config Machine\CAName]

-getconfig

Ottiene la stringa di configurazione predefinita.

certutil [options] -getconfig

Opzioni:

[-idispatch] [-config Machine\CAName]

-getconfig2

Ottiene la stringa di configurazione predefinita tramite ICertGetConfig.

certutil [options] -getconfig2

Opzioni:

[-idispatch]

-getconfig3

Ottiene la configurazione tramite ICertConfig.

certutil [options] -getconfig3

Opzioni:

[-idispatch]

-ping

Tenta di contattare l'interfaccia richiesta di servizi certificati Active Directory.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Dove:

CAMachineList è un elenco delimitato da virgole di nomi di computer CA. Per un singolo computer, usare una virgola di terminazione. Questa opzione visualizza anche il costo del sito per ogni computer CA.

Opzioni:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Tenta di contattare l'interfaccia amministrativa di servizi certificati Active Directory.

certutil [options] -pingadmin

Opzioni:

[-config Machine\CAName]

-CAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Dove:

InfoName indica la proprietà CA da visualizzare, in base alla sintassi dell'argomento infoname riportata di seguito:
- * - Visualizza tutte le proprietà
- annunci - Server avanzato
- aia [Index] - URL AIA
- cdp [Index] - URL CDP
- Certificato [Indice] - Certificato CA
- certchain [Indice] - Catena di certificati CA
- certcount - Conteggio di certificati CA
- certcrlchain [Index] - Catena di certificati CA con CRL
- certstate [Index] - Certificato CA
- certstatuscode [Indice] - Stato di verifica certificato CA
- certversion [Index] - Versione del certificato CA
- CRL [Indice] - CRL di base
- crlstate [Index] - CRL
- crlstatus [Index] - Stato di pubblicazione CRL
- cross- [Indice] - Certificato incrociato a funzionamento inverso
- cross+ [Indice] - Certificato incrociato diretto
- crossstate- [Indice] - Certificato incrociato inverso
- crossstate- [Indice] - Certificato incrociato diretto
- deltacrl [Index] - Delta CRL
- deltacrlstatus [Index] - Stato di pubblicazione CRL delta
- dns - Nome DNS
- dsname - Nome breve CA sanificato (nome DS)
- error1 ErrorCode - Testo del messaggio di errore
- error2 ErrorCode - Testo del messaggio di errore e codice di errore
- exit [Index] - Descrizione del modulo di uscita
- exitcount - Conteggio del modulo di uscita
- file - Versione del file
- info - Informazioni sulla CA
- kra [Index] - Certificato KRA
- kracount - Conteggio certificati KRA
- krastate [Indice] - Certificato KRA
- kraused - Conteggio usato certificato KRA
- localename - Nome delle impostazioni locali della CA
- name - Nome CA
- ocsp [Index] - URL OCSP
- parent - CA padre
- policy - Descrizione del modulo criteri
- product - Versione del prodotto
- propidmax - Valore propId massimo della CA
- role - Separazione dei ruoli
- sanitizedname - Nome CA sanificato
- sharedfolder - Cartella condivisa
- subjecttemplateoids - OID modello di oggetto
- modelli - Modelli
- type - Tipo CA
- xchg [Index] - Certificato di scambio CA
- xchgchain [Index] - Catena di certificati di scambio CA
- xchgcount - Conteggio certificati di scambio CA
- xchgcrlchain [Indice] - Catena di certificati di scambio CA con CRL
index è l'indice facoltativo della proprietà in base zero.
errorCode è il codice dell'errore numerico.

Opzioni:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

Visualizza le informazioni sul tipo di proprietà della CA.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Opzioni:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

Recupera il certificato per l'autorità di certificazione.

certutil [options] -ca.cert OutCACertFile [Index]

Dove:

OutCACertFile è il file di output.
L'indice è l'indice di rinnovo del certificato CA (per impostazione predefinita è il più recente).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-ca.chain

Recupera la catena di certificato per l'autorità di certificazione.

certutil [options] -ca.chain OutCACertChainFile [Index]

Dove:

OutCACertChainFile è il file di output.
L'indice è l'indice di rinnovo del certificato CA (per impostazione predefinita è il più recente).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-GetCRL

Ottiene un elenco di revoche di certificati (CRL).

certutil [options] -GetCRL OutFile [Index] [delta]

Dove:

L'indice è l'indice CRL o l'indice della chiave (il valore predefinito è CRL per la chiave più recente).
delta è il CRL delta (il valore predefinito è CRL di base).

Opzioni:

[-f] [-split] [-config Machine\CAName]

-CRL

Pubblica nuovi elenchi di revoche di certificati (CRL) o CRL differenziali.

certutil [options] -CRL [dd:hh | republish] [delta]

Dove:

dd:hh è il nuovo periodo di validità CRL in giorni e ore.
republish ripubblica i CRL più recenti.
delta pubblica solo i CRL delta (il valore predefinito è CRL di base e delta).

Opzioni:

[-split] [-config Machine\CAName]

-shutdown

Arresta i servizi certificati Active Directory.

certutil [options] -shutdown

Opzioni:

[-config Machine\CAName]

-installCert

Installa un certificato dell'autorità di certificazione.

certutil [options] -installCert [CACertFile]

Opzioni:

[-f] [-silent] [-config Machine\CAName]

-renewCert

Rinnova un certificato dell'autorità di certificazione.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Opzioni:

[-f] [-silent] [-config Machine\CAName]

Usare -f per ignorare una richiesta di rinnovo in sospeso e generare una nuova richiesta.

-schema

Esegue il dump dello schema per il certificato.

certutil [options] -schema [Ext | Attrib | CRL]

Dove:

Il comando viene impostato per impostazione predefinita sulla tabella Richiesta e Certificato.
Ext è la tabella di estensione.
Attribute è la tabella degli attributi.
CRL è la tabella CRL.

Opzioni:

[-split] [-config Machine\CAName]

-view

Esegue il dump della visualizzazione del certificato.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Dove:

Queue esegue il dump di una coda di richieste specifica.
Log esegue il dump dei certificati rilasciati o revocati, oltre a eventuali richieste non riuscite.
+LogFail esegue il dump delle richieste non riuscite.
Revoked Esegue il dump dei certificati revocati.
Ext esegue il dump della tabella di estensione.
Attrib esegue il dump della tabella degli attributi.
CRL esegue il dump della tabella CRL.
csv fornisce l'output usando valori delimitati da virgole.

Opzioni:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Osservazioni:

Per visualizzare la colonna StatusCode per tutte le voci, digitare -out StatusCode
Per visualizzare tutte le colonne per l'ultima voce, digitare: -restrict RequestId==$
Per visualizzare RequestId e Disposition per tre richieste, digitare: -restrict requestID>=37,requestID<40 -out requestID,disposition
Per visualizzare gli ID di riga Row IDs e i numeri CRL per tutti i CRL di base, digitare: -restrict crlminbase=0 -out crlrowID,crlnumber crl
Per visualizzare il numero CRL di base 3, digitare: -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
Per visualizzare l'intera tabella CRL, digitare: CRL
Usare Date[+|-dd:hh] per le restrizioni relative alla data.
Utilizzare now+dd:hh per una data relativa all'ora corrente.
I modelli contengono gli EKU (Extended Key Usages), ovvero identificatori di oggetto (OID) che descrivono come viene usato il certificato. I certificati non includono sempre nomi comuni dei modelli o nomi visualizzati, ma contengono sempre le EKU del modello. È possibile estrarre le EKU per un modello di certificato specifico da Active Directory e quindi limitare le visualizzazioni in base a tale estensione.

-db

Esegue il dump del database non elaborato.

certutil [options] -db

Opzioni:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

Elimina una riga dal database del server.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Dove:

Request elimina le richieste non riuscite e in sospeso, in base alla data di invio.
Cert elimina i certificati scaduti e revocati, in base alla data di scadenza.
Ext elimina la tabella di estensione.
Attrib elimina la tabella degli attributi.
CRL elimina la tabella CRL.

Opzioni:

[-f] [-config Machine\CAName]

Esempi

Per eliminare le richieste non riuscite e in sospeso inviate entro il 22 gennaio 2001, digitare: 1/22/2001 request
Per eliminare tutti i certificati scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 cert
Per eliminare la riga del certificato, gli attributi e le estensioni per RequestID 37, digitare: 37
Per eliminare i CRL scaduti entro il 22 gennaio 2001, digitare: 1/22/2001 crl

Nota

Date prevede il formato mm/dd/yyyy invece di dd/mm/yyyy, ad esempio 1/22/2001 anziché 22/1/2001 per il 22 gennaio 2001. Se il server non è configurato con le impostazioni internazionali degli Stati Uniti, utilizzando l'argomento Date potrebbe produrre risultati imprevisti.

-backup

Esegue il backup dei servizi di certificazione di Active Directory.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Dove:

BackupDirectory è la directory in cui archiviare i dati di cui è stato eseguito il backup.
Incremental esegue solo un backup incrementale (il valore predefinito è il backup completo).
KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Esegue il backup del database relativo ai servizi di certificazione di Active Directory.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Dove:

BackupDirectory è la directory in cui archiviare i file di database sottoposti a backup.
Incremental esegue solo un backup incrementale (il valore predefinito è il backup completo).
KeepLog mantiene i file di log del database (il valore predefinito consiste nel troncamento dei file di log).

Opzioni:

[-f] [-config Machine\CAName]

-backupkey

Esegue il backup del certificato e della chiave privata relativi a Servizi di certificato Active Directory.

certutil [options] -backupkey BackupDirectory

Dove:

BackupDirectory è la directory in cui archiviare il file PFX su cui è stato eseguito il backup.

Opzioni:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Ripristina il backup dei servizi di certificazione di Active Directory.

certutil [options] -restore BackupDirectory

Dove:

BackupDirectory è la directory contenente i dati da ripristinare.

Opzioni:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Ripristina il database relativo ai servizi di certificazione di Active Directory.

certutil [options] -restoredb BackupDirectory

Dove:

BackupDirectory è la directory contenente i file del database da ripristinare.

Opzioni:

[-f] [-config Machine\CAName]

-restorekey

Ripristina il certificato e la chiave privata relativi a Servizi di certificato Active Directory.

certutil [options] -restorekey BackupDirectory | PFXFile

Dove:

BackupDirectory è la directory contenente il file PFX da ripristinare.
PFXFile è il file PFX da ripristinare.

Opzioni:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

Esporta i certificati e le chiavi private. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.
PFXFile è il file PFX da esportare.
I Modifiers sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- CryptoAlgorithm= specifica l'algoritmo di crittografia da usare per crittografare il file PFX, ad esempio TripleDES-Sha1 o Aes256-Sha256.
- EncryptCert : crittografa la chiave privata associata al certificato con una password.
- ExportParameters : esporta i parametri della chiave privata oltre al certificato e alla chiave privata.
- ExtendedProperties : include tutte le proprietà estese associate al certificato nel file di output.
- NoEncryptCert : esporta la chiave privata senza crittografarla.
- NoChain : non importa la catena di certificati.
- NoRoot : non importa il certificato radice.

-importPFX

Importa i certificati e le chiavi private. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
PFXFile è il file PFX da importare.
I Modifiers sono l'elenco delimitato da virgole, che può includere una o più delle opzioni seguenti:
- AT_KEYEXCHANGE - modifica il valore keyspec per lo scambio di chiavi.
- AT_SIGNATURE - modifica il valore keyspec in firma.
- ExportEncrypted - esporta la chiave privata associata al certificato con la crittografia della password.
- FriendlyName= - Specifica un nome descrittivo per il certificato importato.
- KeyDescription= - specifica una descrizione per la chiave privata associata al certificato importato.
- KeyFriendlyName= - - Specifica un nome descrittivo per la chiave privata associata al certificato importato.
- NoCert - non importa il certificato.
- NoChain : non importa la catena di certificati.
- NoExport - rende la chiave privata non esportabile.
- NoProtect - non protegge le chiavi con una password.
- NoRoot : non importa il certificato radice.
- Pkcs8 - usa il formato PKCS8 per la chiave privata nel file PFX.
- Proteggi - protegge le chiavi usando una password.
- ProtectHigh - specifica che una password a sicurezza elevata deve essere associata alla chiave privata.
- VSM : archivia la chiave privata associata al certificato importato nel contenitore della smart card virtuale (VSC).

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Osservazioni:

L'impostazione predefinita è l'archivio computer personale.

-dynamicfilelist

Visualizza un elenco di file dinamici.

certutil [options] -dynamicfilelist

Opzioni:

[-config Machine\CAName]

-databaselocations

Visualizza i percorsi del database.

certutil [options] -databaselocations

Opzioni:

[-config Machine\CAName]

-hashfile

Genera e visualizza un hash crittografico su un file.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

Esegue il dump dell'archivio certificati.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Questo ID può essere un:
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL.

Molti di questi identificatori possono generare più corrispondenze.

OutputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio di servizi computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Ad esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

Nota

I problemi di prestazioni vengono osservati quando si usa il -store parametro in base ai due aspetti seguenti:

Quando il numero di certificati nell'archivio supera 10.
Quando si specifica un CertId , quest'ultimo viene usato per trovare le corrispondenze con tutti i tipi elencati per ogni certificato. Ad esempio, se viene fornito un numero di serie, tenterà anche di corrispondere a tutti gli altri tipi elencati.

Se si è interessati ai problemi di prestazioni, i comandi di PowerShell sono consigliati nel punto in cui corrisponderà solo al tipo di certificato specificato.

-enumstore

Enumera gli archivi certificati.

certutil [options] -enumstore [\\MachineName]

Dove:

MachineName è il nome del computer remoto.

Opzioni:

[-enterprise] [-user] [-grouppolicy]

-addstore

Aggiunge un certificato all'archivio. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -addstore CertificateStoreName InFile

Dove:

CertificateStoreName è il nome dell'archivio certificati.
InFile è il certificato o il file CRL da aggiungere all'archivio.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

Elimina un certificato dall'archivio. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -delstore CertificateStoreName certID

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

Verifica un certificato nell'archivio. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -verifystore CertificateStoreName [CertId]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertId è il certificato o il token di corrispondenza CRL.

Opzioni:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

Ripristina un'associazione di chiavi o aggiorna le proprietà del certificato o il descrittore di sicurezza della chiave. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Dove:

CertificateStoreName è il nome dell'archivio certificati.
CertIdList è l'elenco delimitato da virgole di token di corrispondenza del certificato o CRL. Per ulteriori informazioni, si veda la -store descrizione CertId nel presente articolo.

PropertyInfFile è il file INF contenente proprietà esterne, tra cui:

[Properties]
    19 = Empty ; Add archived property, OR:
    19 =       ; Remove archived property

    11 = {text}Friendly Name ; Add friendly name property

    127 = {hex} ; Add custom hexadecimal property
        _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
        _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f

    2 = {text} ; Add Key Provider Information property
      _continue_ = Container=Container Name&
      _continue_ = Provider=Microsoft Strong Cryptographic Provider&
      _continue_ = ProviderType=1&
      _continue_ = Flags=0&
      _continue_ = KeySpec=2

    9 = {text} ; Add Enhanced Key Usage property
      _continue_ = 1.3.6.1.5.5.7.3.2,
      _continue_ = 1.3.6.1.5.5.7.3.1,

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

Esegue il dump dell'archivio certificati. Per altre informazioni, vedere il -store parametro nel presente articolo.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può essere un.
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL.

Molti di questi potrebbero causare più corrispondenze.

OutputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio di servizi computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Ad esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-viewdelstore

Elimina un certificato dall'archivio.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Dove:

CertificateStoreName è il nome dell'archivio certificati. Ad esempio:
- My, CA (default), Root,
- ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
- ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
- ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
- ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
- ldap: (AD computer object certificates)
- -user ldap: (AD user object certificates)
CertId è il certificato o il token di corrispondenza CRL. Può essere un.
- Numero di serie
- Certificato SHA-1
- Hash CRL, CTL o chiave pubblica
- Indice del certificato numerico (0, 1 e così via)
- Indice CRL numerico (.0, .1 e così via)
- Indice CTL numerico (...0, ...1 e così via)
- Chiave pubblica
- ObjectId firma o estensione
- Nome comune dell'oggetto certificato
- Indirizzo posta elettronica
- Nome o DNS del modulo di protezione hardware
- Nome del contenitore chiave o nome CSP
- Nome del modello o ObjectId
- ObjectId EKU o criteri di applicazione
- Nome comune dell'autorità di certificazione CRL. Molti di questi potrebbero causare più corrispondenze.
OutputFile è il file usato per salvare i certificati corrispondenti.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

L'opzione -user accede a un archivio utenti anziché a un archivio computer.
L'opzione -enterprise accede a un archivio aziendale del computer.
L'opzione -service accede a un archivio di servizi computer.
L'opzione -grouppolicy accede a un archivio criteri di gruppo del computer.

Ad esempio:

-enterprise NTAuth
-enterprise Root 37
-user My 26e0aaaf000000000004
CA .11

-Interfaccia utente

Richiama l'interfaccia certutil.

certutil [options] -UI File [import]

-TPMInfo

Visualizza informazioni attendibili sul modulo della piattaforma.

certutil [options] -TPMInfo

Opzioni:

[-f] [-Silent] [-split]

-attest

Specifica che il file di richiesta del certificato dovrebbe essere attestato.

certutil [options] -attest RequestFile

Opzioni:

[-user] [-Silent] [-split]

-getcert

Seleziona un certificato da un'interfaccia utente di selezione.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Opzioni:

[-Silent] [-split]

-ds

Visualizza i nomi distinti del servizio directory (DS).

certutil [options] -ds [CommonName]

Opzioni:

[-f] [-user] [-split] [-dc DCName]

-dsDel

Elimina I DS DN.

certutil [options] -dsDel [CommonName]

Opzioni:

[-user] [-split] [-dc DCName]

-dsPublish

Pubblica un certificato o un elenco di revoche di certificati (CRL) in Active Directory.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Dove:

CertFile è il nome del file di certificato da pubblicare.
NTAuthCA pubblica il certificato nell'archivio DS Enterprise.
RootCA pubblica il certificato nell'archivio radice attendibile DS.
SubCA pubblica il certificato CA nell'oggetto CA DS.
CrossCA pubblica il certificato incrociato nell'oggetto CA DS.
KRA pubblica il certificato nell'oggetto Agente di ripristino delle chiavi DS.
L'utente pubblica il certificato nell'oggetto User DS.
Il computer pubblica il certificato nell'oggetto Machine DS.
CRLfile è il nome del file CRL da pubblicare.
DSCDPContainer è il nome del contenitore CDP DS, in genere il nome del computer CA.
DSCDPCN è il CN dell'oggetto CDP DS basato su nome breve e indice chiave del CA sanificato.

Opzioni:

[-f] [-user] [-dc DCName]

Usa -f per creare un nuovo oggetto DS.

-dsCert

Visualizza i certificati DS.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Opzioni:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

Visualizza CRL DS.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

Visualizza i CRL del delta DS.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Opzioni:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

Visualizza gli attributi del modello DS.

certutil [options] -dsTemplate [Template]

Opzioni:

[Silent] [-dc DCName]

-dsAddTemplate

Aggiunge modelli DS.

certutil [options] -dsAddTemplate TemplateInfFile

Opzioni:

[-dc DCName]

-ADTemplate

Visualizza i modelli di Active Directory.

certutil [options] -ADTemplate [Template]

Opzioni:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Modello

Visualizza i modelli di criteri di registrazione certificati.

Opzioni:

certutil [options] -Template [Template]

Opzioni:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

Visualizza le autorità di certificazione (CA) per un modello di certificato.

certutil [options] -TemplateCAs Template

Opzioni:

[-f] [-user] [-dc DCName]

-CATemplates

Visualizza i modelli per l'autorità di certificazione.

certutil [options] -CATemplates [Template]

Opzioni:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

Imposta i modelli di certificato che l'autorità di certificazione può emettere.

certutil [options] -SetCATemplates [+ | -] TemplateList

Dove:

Il + segno aggiunge modelli di certificato all'elenco dei modelli disponibili della CA.
Il - segno rimuove i modelli di certificato dall'elenco dei modelli disponibili della CA.

-SetCASites

Gestisce i nomi dei siti, inclusa l'impostazione, la verifica e l'eliminazione dei nomi dei siti dell'autorità di certificazione.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Dove:

SiteName è consentito solo quando la destinazione è una singola autorità di certificazione.

Opzioni:

[-f] [-config Machine\CAName] [-dc DCName]

Osservazioni:

L'opzione -config è destinata a una singola autorità di certificazione (il valore predefinito è tutte le CA).
L'opzione -f può essere usata per eseguire l'override degli errori di convalida per il siteName specificato o per eliminare tutti i nomi dei siti CA.

Nota

Per altre informazioni sulla configurazione di CA per la consapevolezza dei siti di Active Directory Domain Services (AD DS), vedere Riconoscimento del sito di Active Directory Domain Services per i client Active Directory Domain Services e Public Key infrastructure.

-enrollmentServerURL

Visualizza, aggiunge o elimina gli URL del server di registrazione associati a una CA.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Dove:

AuthenticationType specifica uno dei metodi di autenticazione client seguenti durante l'aggiunta di un URL:
- Kerberos - Usare le credenziali SSL Kerberos.
- UserName - Usare un account denominato per le credenziali SSL.
- ClientCertificate - Usare le credenziali SSL del certificato X.509.
- Anonimo - Usare credenziali SSL anonime.
delete elimina l'URL specificato associato alla CA.
Priority esegue l'impostazione predefinita su 1 se non specificato durante l'aggiunta di un URL.
I Modifiers sono un elenco delimitato da virgole, che include una o più delle opzioni seguenti:
- AllowRenewalsOnly può essere inviata solo alle richieste di rinnovo tramite questo URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in AD. Questo vale solo con la modalità ClientCertificate e AllowRenewalsOnly .

Opzioni:

[-config Machine\CAName] [-dc DCName]

-ADCA

Visualizza le autorità di certificazione di Active Directory.

certutil [options] -ADCA [CAName]

Opzioni:

[-f] [-split] [-dc DCName]

-CA

Visualizza le autorità di certificazione dei criteri di registrazione.

certutil [options] -CA [CAName | TemplateName]

Opzioni:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

Visualizza i criteri di registrazione.

certutil [options] -Policy

Opzioni:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

Visualizza o elimina le voci della cache dei criteri di registrazione.

certutil [options] -PolicyCache [delete]

Dove:

elimina le voci della cache del server dei criteri.
-f elimina tutte le voci della cache

Opzioni:

[-f] [-user] [-policyserver URLorID]

-CredStore

Visualizza, aggiunge o elimina le voci dell'archivio credenziali.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Dove:

URL è l'URL di destinazione. È anche possibile usare * per trovare le corrispondenze con tutte le voci o https://machine* per trovare una corrispondenza con un prefisso URL.
add aggiunge una voce dell'archivio credenziali. L'uso di questa opzione richiede anche l'uso delle credenziali SSL.
delete elimina le voci dell'archivio credenziali di Credential Store.
-f sovrascrive una singola voce o elimina più voci.

Opzioni:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

Installa i modelli di certificato predefiniti.

certutil [options] -InstallDefaultTemplates

Opzioni:

[-dc DCName]

-URL

Verifica gli URL di certificato o CRL.

certutil [options] -URL InFile | URL

Opzioni:

[-f] [-split]

-URLCache

Visualizza o elimina le voci della cache degli URL.

certutil [options] -URLcache [URL | CRL | * [delete]]

Dove:

URL è l'URL memorizzato nella cache.
CRL viene eseguito solo in tutti gli URL CRL memorizzati nella cache.
* opera su tutti gli URL memorizzati nella cache.
delete elimina gli URL pertinenti dalla cache locale dell'utente corrente.
-f forza il recupero di un URL specifico e l'aggiornamento della cache.

Opzioni:

[-f] [-split]

-pulse

Genera un evento di registrazione automatica o un'attività NGC.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Dove:

TaskName è l'attività da attivare.
- Pregen è l'attività di pregenerazione delle chiavi NGC.
- AIKEnroll è l'attività di registrazione del certificato AIK NGC. L'impostazione predefinita è l'evento di registrazione automatica.
SRKThumbprint è l'identificazione personale della chiave radice di archiviazione
Modifiers:
- Pregen
- PregenDelay
- AIKEnroll
- CryptoPolicy
- NgcPregenKey
- DIMSRoam

Opzioni:

[-user]

-MachineInfo

Visualizza informazioni sull'oggetto computer di Active Directory.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

Visualizza informazioni sul controller di dominio. Il valore predefinito visualizza i certificati del controller di dominio senza verifica.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

Modifiers:
- Verificare
- DeleteBad
- DeleteAll

Opzioni:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

Suggerimento

La possibilità di specificare un dominio di Active Directory Domain Services (AD DS) [domain] e di specificare un controller di dominio (-dc) è stato aggiunto in Windows Server 2012. Per eseguire correttamente il comando, è necessario usare un account membro di Domain Admins o Enterprise Admins. Le modifiche comportamentali di questo comando sono le seguenti:

Se un dominio non è specificato e non viene specificato un controller di dominio specifico, questa opzione restituisce un elenco di controller di dominio da elaborare dal controller di dominio predefinito.
Se non viene specificato un dominio, ma viene specificato un controller di dominio, si genera un report dei certificati nel controller di dominio specificato.
Se viene specificato un dominio, ma non viene specificato un controller di dominio, viene generato un elenco di controller di dominio insieme ai report sui certificati per ogni controller di dominio nell'elenco.
Se vengono specificati il dominio e il controller di dominio, viene generato un elenco di controller dominio dal controller dominio di destinazione. Viene generato anche un report dei certificati per ogni controller di dominio nell'elenco.

Si supponga, ad esempio, che sia presente un dominio denominato CPANDL con un controller di dominio denominato CPANDL-DC1. È possibile eseguire il comando seguente per recuperare un elenco di controller di dominio e i relativi certificati da CPANDL-DC1: certutil -dc cpandl-dc1 -DCInfo cpandl.

-EntInfo

Visualizza informazioni su un'autorità di certificazione dell'organizzazione.

certutil [options] -EntInfo DomainName\MachineName$

Opzioni:

[-f] [-user]

-TCAInfo

Visualizza informazioni sull'autorità di certificazione.

certutil [options] -TCAInfo [DomainDN | -]

Opzioni:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

Visualizza le informazioni sulla smart card.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Dove:

CRYPT_DELETEKEYSET elimina tutte le chiavi sulla smart card.

Opzioni:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

Gestisce i certificati radice della smart card.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Opzioni:

[-f] [-split] [-p Password]

-key

Elenca le chiavi archiviate in un contenitore.

certutil [options] -key [KeyContainerName | -]

Dove:

KeyContainerName è il nome del contenitore per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
L'uso del - segno si riferisce all'uso del contenitore di chiavi predefinito.

Opzioni:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

Elimina il contenitore di chiavi denominato.

certutil [options] -delkey KeyContainerName

Opzioni:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Elimina il contenitore Windows Hello rimuovendo tutte le credenziali associate che vengono archiviate nel dispositivo, incluse le credenziali WebAuthn e FIDO.

Gli utenti devono disconnettersi dopo aver usato questa opzione per completarla.

certutil [options] -DeleteHelloContainer

-verifykeys

Verifica un set di chiavi pubblico o privato.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Dove:

KeyContainerName è il nome del contenitore per la chiave da verificare. Questa opzione viene impostata per impostazione predefinita sulle chiavi del computer. Per passare alle chiavi utente, usare -user.
CACertFile firma o crittografa i file di certificato.

Opzioni:

[-f] [-user] [-Silent] [-config Machine\CAName]

Osservazioni:

Se non viene specificato alcun argomento, ogni certificato della CA di firma viene verificato rispetto alla chiave privata.
Questa operazione può essere eseguita solo su una CA locale o su chiavi locali.

-verify

Verifica un certificato, un elenco di revoche di certificati (CRL) o una catena di certificati.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Dove:

CertFile è il nome del certificato da verificare.
ApplicationPolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId di Criteri applicazione necessari.
IssuancePolicyList è l'elenco facoltativo delimitato da virgole degli ObjectId dei criteri di rilascio necessari.
CACertFile è il certificato CA emittente facoltativo da verificare.
CrossedCACertFile è il certificato facoltativo incrociato da parte di CertFile.
CRLFile è il file CRL usato per verificare il CACertFile.
IssuedCertFile è il certificato emesso in via opzionale e coperto dal file CRL.
DeltaCRLFile è il file CRL delta opzionale.
Modifiers:
- Strong - Verifica della firma avanzata
- MSRoot : deve essere concatenato a una radice Microsoft
- MSTestRoot: deve essere concatenato a una radice di test Microsoft
- AppRoot: deve essere concatenato a una radice dell'applicazione Microsoft
- EV - Applicare i criteri di convalida estesa

Opzioni:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Osservazioni:

L'uso di ApplicationPolicyList limita la compilazione della catena solo a catene valide per i criteri di applicazione specificati.
L'uso di IssuancePolicyList limita la compilazione della catena solo a catene valide per i criteri di emissione specificati.
L'uso di CACertFile verifica i campi nel file in base a CertFile o CRLfile.
Se CACertFile non è specificato, la catena completa viene compilata e verificata in base a CertFile.
Se vengono specificati sia CACertFile che CrossedCACertFile , i campi in entrambi i file vengono verificati in base a CertFile.
L'uso di IssuedCertFile verifica i campi nel file in base a CRLfile.
L'uso di DeltaCRLFile verifica i campi nel file in base a CRLfile.

-verifyCTL

Verifica il CTL dei certificati AuthRoot o Non consentiti.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Dove:

CTLObject identifica il CTL da verificare, tra cui:
- AuthRootWU legge AuthRoot CAB e i certificati corrispondenti dalla cache degli URL. È preferibile usare -f per eseguire il download da Windows Update.
- DisallowedWU legge il cab dei certificati non consentiti e il file dell'archivio certificati non consentito dalla cache degli URL. È preferibile usare -f per eseguire il download da Windows Update.
  - PinRulesWU legge il CAB PinRules dalla cache degli URL. È preferibile usare -f per eseguire il download da Windows Update.
- AuthRoot legge il CTL AuthRoot memorizzato nella cache del registro di sistema. Usare con -f e un CertFile non autorizzato per forzare l'AuthRoot memorizzato nella cache del registro di sistema e il CTL per eseguire l'aggiornamento del certificati non consentiti.
- Non consentito legge il CTL dei certificati non consentiti memorizzati nella cache del registro di sistema. Usare con -f e un CertFile non autorizzato per forzare l'AuthRoot memorizzato nella cache del registro di sistema e il CTL per eseguire l'aggiornamento del certificati non consentiti.
  - PinRules Legge il CTL memorizzato nella cache del Registro di sistema. L'uso di -f ha lo stesso comportamento di PinRulesWU.
- CTLFileName specifica il file o il percorso HTTP del file CTL o CAB.
CertDir specifica la cartella contenente i certificati corrispondenti alle voci CTL. Il valore predefinito è la stessa cartella o sito web di CTLobject. L'uso di un percorso della cartella http richiede un separatore di percorso alla fine. Se non si specifica AuthRoot o Non consentito, vengono cercati più percorsi corrispondenti, inclusi gli archivi certificati locali, le risorse crypt32.dll e la cache degli URL locali. Usare -f per scaricare da Windows Update, in base alle esigenze.
CertFile specifica i certificati da verificare. I certificati vengono confrontati con le voci CTL, visualizzando i risultati. Questa opzione elimina la maggior parte dell'output predefinito.

Opzioni:

[-f] [-user] [-split]

-syncWithWU

Sincronizza i certificati con Windows Update.

certutil [options] -syncWithWU DestinationDir

Dove:

DestinationDir è la directory specificata.
f forza una sovrascrittura.
Unicode scrive l'output reindirizzato in Unicode.
gmt visualizza le ore come GMT.
seconds visualizza i tempi con secondi e millisecondi.
v è un'operazione dettagliata.
PIN è il PIN della smart card.
WELL_KNOWN_SID_TYPE è un SID numerico:
- 22 - Sistema locale
- 23 - Servizio locale
- 24 - Servizio di rete

Osservazioni:

Mediante il meccanismo di aggiornamento automatico vengono scaricati i file seguenti:

authrootstl.cab contiene i CTL dei certificati radice non Microsoft.
disallowedcertstl.cab contiene i CTL dei certificati non attendibili.
disallowedcert.sst contiene l'archivio dei certificati serializzati, inclusi i certificati non attendibili.
thumbprint.crt contiene i certificati radice non Microsoft.

Ad esempio, certutil -syncWithWU \\server1\PKI\CTLs.

Se come cartella di destinazione si utilizza una cartella o un percorso locale non esistente, viene visualizzato il seguente messaggio di errore: The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
Se come cartella di destinazione si utilizza un percorso di rete non esistente o non disponibile, viene visualizzato il seguente messaggio di errore: The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)
Se il server non riesce a connettersi tramite la porta TCP 80 ai server di Microsoft Automatic Update, viene visualizzato il seguente messaggio di errore: A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
Se il server in uso non è in grado di raggiungere i server di aggiornamento automatico Microsoft con il nome DNS ctldl.windowsupdate.com, viene visualizzato il messaggio di errore: The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).
Se non si utilizza l'opzione -f e uno dei file CTL esiste già nella directory, verrà visualizzato un messaggio di errore indicante che il file esiste già: certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.
Se i certificati radice attendibili vengono modificati, verrà visualizzato il seguente avviso: Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Opzioni:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Genera un file di archivio che è sincronizzato con Windows Update.

certutil [options] -generateSSTFromWU SSTFile

Dove:

SSTFile è il .sst file da generare che contiene le radici di terze parti scaricate da Windows Update.

Opzioni:

[-f] [-split]

-generatePinRulesCTL

Genera un file CTL (Certificate Trust List - Elenco di certificati attendibile) che contiene un elenco di regole di aggiunta.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Dove:

XMLFile è il file XML di input da analizzare.
CTLFile è il file CTL di output da generare.
SSTFile è il file .sst opzionale da creare che contiene tutti i certificati usati per l'aggiunta.
QueryFilesPrefix sono file opzionali Domains.csv e Keys.csv da creare per la query di database.
- La stringa QueryFilesPrefix viene aggiunta a ogni file creato.
- Il file Domains.csv contiene il nome della regola e le righe di dominio.
- Il file Keys.csv contiene il nome della regola e le righe di identificazione personale SHA256 della chiave.

Opzioni:

[-f]

-downloadOcsp

Scarica le risposte OCSP e le scrive nella directory.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Dove:

CertificateDir è la directory di un certificato, di un archivio e dei file PFX.
OcspDir è la directory in cui scrivere risposte OCSP.
ThreadCount è il numero massimo facoltativo di thread per il download simultaneo. Il valore predefinito è 10.
I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- DownloadOnce : scarica una volta e termina.
- ReadOcsp : legge da OcspDir anziché scrivere.

-generateHpkpHeader

Genera l'intestazione HPKP usando i certificati in un file o in una directory specificata.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Dove:

CertFileOrDir è il file o la directory dei certificati, che è l'origine di pin-sha256.
MaxAge è il valore max-age espresso in secondi.
ReportUri è l'uri del report facoltativo.
I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- includeSubDomains : aggiunge includeSubDomains.

-flushCache

Scarica le cache specificate nel processo selezionato, ad esempio lsass.exe.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Dove:

ProcessId è l'ID numerico di un processo da scaricare. Impostare su 0 per consuntivare tutti i processi in cui è abilitata la consuntivazione.
CacheMask è la maschera di bit delle cache da consuntivare, numerica o con i seguenti bit:
- 0: ShowOnly
- 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
- 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
- 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
- 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
- 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
- 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
- 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING
I Modifiers sono un elenco delimitato da virgole di una o più delle opzioni seguenti:
- Show - mostra le cache consuntivate. Certutil deve essere terminato in modo esplicito.

-addEccCurve

Aggiunge una curva ECC.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Dove:

CurveClass è il tipo di classe curva ECC:
- WEIERSTRASS (impostazione predefinita)
- MONTGOMERY
- TWISTED_EDWARDS
CurveName è il nome della curva ECC.
CurveParameters è uno dei seguenti:
- Un nome file di certificato contenente parametri con codifica ASN.
- File contenente parametri con codifica ASN.
CurveOID è l'OID della curva ECC ed è uno dei seguenti:
- Nome file di certificato contenente un OID con codifica ASN.
- OID curva ECC esplicito.
CurveType è il punto Schannel ECC NamedCurve (numerico).

Opzioni:

[-f]

-deleteEccCurve

Elimina la curva ECC.

certutil [options] -deleteEccCurve CurveName | CurveOID

Dove:

CurveName è il nome della curva ECC.
CurveOID è l'OID della curva ECC.

Opzioni:

[-f]

-displayEccCurve

Visualizza la curva ECC.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Dove:

CurveName è il nome della curva ECC.
CurveOID è l'OID della curva ECC.

Opzioni:

[-f]

-csplist

Elenca i provider dei servizi di crittografia (CSP) installati in questo computer per le operazioni di crittografia.

certutil [options] -csplist [Algorithm]

Opzioni:

[-user] [-Silent] [-csp Provider]

-csptest

Verifica i CSP installati in questo computer.

certutil [options] -csptest [Algorithm]

Opzioni:

[-user] [-Silent] [-csp Provider]

-CNGConfig

Visualizza la configurazione crittografica CNG in questo computer.

certutil [options] -CNGConfig

Opzioni:

[-Silent]

-sign

Firma nuovamente un elenco di revoche di certificati (CRL) o un certificato.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Dove:

InFileList è l'elenco delimitato da virgole di file di certificato o CRL da modificare e firmare nuovamente.
SerialNumber è il numero di serie del certificato da creare. Il periodo di validità e altre opzioni non possono essere presenti.
CRL crea un CRL vuoto. Il periodo di validità e altre opzioni non possono essere presenti.
OutFileList è l'elenco delimitato da virgole dei file di output del certificato o CRL modificati. Il numero di file deve corrispondere a infilelist.
StartDate+dd:hh è il nuovo periodo di validità per i file di certificato o CRL, tra cui:
- data facoltativa più
- periodo di validità opzionale di giorni e ore: se si utilizzano più campi, utilizzare un separatore (+) o (-). Usare now[+dd:hh] per iniziare all'ora corrente. Utilizzare now-dd:hh+dd:hh per iniziare in corrispondenza di un offset fisso rispetto all'ora corrente e a un periodo di validità fisso. Usare never per non avere una data di scadenza (solo per i CRL).
SerialNumberList è l'elenco di numeri di serie delimitati da virgole dei file da aggiungere o rimuovere.
ObjectIdList è l'elenco ObjectId dell'estensione delimitato da virgole dei file da rimuovere.

@ExtensionFile è il file INF che contiene le estensioni da aggiornare o rimuovere. Ad esempio:

[Extensions]
    2.5.29.31 = ; Remove CRL Distribution Points extension
    2.5.29.15 = {hex} ; Update Key Usage extension
    _continue_=03 02 01 86

HashAlgorithm è il nome dell'algoritmo hash. Deve essere solo il testo preceduto dal # segno.
AlternateSignatureAlgorithm è l'identificatore dell'algoritmo di firma alternativo.

Opzioni:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Osservazioni:

L'uso del segno meno (-) rimuove i numeri di serie e le estensioni.
L'uso del segno più (+) aggiunge numeri di serie a un CRL.
È possibile usare un elenco per rimuovere numeri di serie e ObjectId da un CRL allo stesso tempo.
L'uso del segno meno prima di AlternateSignatureAlgorithm consente di usare il formato di firma legacy.
L'uso del segno più consente di usare il formato di firma alternativo.
Se non si specifica AlternateSignatureAlgorithm, viene usato il formato della firma nel certificato o CRL.

-vroot

Crea o elimina le radici virtuali Web e le condivisioni file.

certutil [options] -vroot [delete]

-vocsproot

Crea o elimina radici virtuali Web per un proxy Web OCSP.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

Aggiunge un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Dove:

addEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
Modifiers:
- AllowRenewalsOnly consente solo gli invii di richieste di rinnovo all'autorità di certificazione tramite l'URL.
- AllowKeyBasedRenewal consente l'uso di un certificato senza account associato in Active Directory. Ciò vale quando viene usato con le modalità ClientCertificate e AllowRenewalsOnly .

Opzioni:

[-config Machine\CAName]

-deleteEnrollmentServer

Elimina un'applicazione server di registrazione e un pool di applicazioni, se necessario per l'autorità di certificazione specificata. Questo comando non installa file binari o pacchetti.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Dove:

deleteEnrollmentServer richiede l'uso di un metodo di autenticazione per la connessione client al server di registrazione certificati, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.

Opzioni:

[-config Machine\CAName]

-addPolicyServer

Aggiungere un'applicazione server di criteri e un pool di applicazioni, se necessario. Questo comando non installa file binari o pacchetti.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

addPolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
KeyBasedRenewal consente l'uso dei criteri restituiti al client contenente i modelli keybasedrenewal. Questa opzione si applica solo per l'autenticazione UserName e ClientCertificate .

-deletePolicyServer

Elimina un'applicazione server di criteri e un pool di applicazioni, se necessario. Questo comando non rimuove file binari o pacchetti.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Dove:

deletePolicyServer richiede l'uso di un metodo di autenticazione per la connessione client al server dei criteri di certificato, tra cui:
- Kerberos - usa le credenziali SSL Kerberos.
- UserName - usa un account denominato per le credenziali SSL.
- ClientCertificate - usa le credenziali SSL del certificato X.509.
KeyBasedRenewal consente l'uso di un server dei criteri KeyBasedRenewal.

-Class

Visualizza le informazioni del Registro di sistema COM.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Opzioni:

[-f]

-7f

Controlla la presenza di codifiche di lunghezza 0x7f.

certutil [options] -7f CertFile

-oid

Visualizza l'identificatore dell'oggetto o imposta un nome visualizzato.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Dove:

ObjectId è l'ID da visualizzare o aggiungere al nome visualizzato.
GroupId è il numero GroupID (decimale) enumerato da ObjectIds.
AlgId è l'ID esadecimale che objectID cerca.
AlgorithmName è il nome dell'algoritmo che objectID cerca.
DisplayName visualizza il nome da archiviare in DS.
Elimina elimina il nome visualizzato.
LanguageId è il valore ID di lingua (per impostazione predefinita è corrente: 1033).
Type è il tipo di oggetto DS da creare, tra cui:
- 1 - Modello (predefinito)
- 2 - Criterio di rilascio
- 3 - Criteri di applicazione
-f crea un oggetto DS.

Opzioni:

[-f]

-error

Visualizza il testo del messaggio associato a un codice di errore.

certutil [options] -error ErrorCode

-getsmtpinfo

Ottiene informazioni SMTP (Simple Mail Transfer Protocol).

certutil [options] -getsmtpinfo

-setsmtpinfo

Imposta le informazioni dell'SMTP.

certutil [options] -setsmtpinfo LogonName

Opzioni:

[-config Machine\CAName] [-p Password]

-getreg

Visualizza un valore del Registro di sistema.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Dove:

ca usa la chiave del registro di un'autorità di certificazione.
restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
il criterio usa la chiave del registro di sistema del modulo criteri.
exit usa la chiave del Registro di sistema del primo modulo di uscita.
template usa la chiave di registro del modello (usa -user per modelli utente).
la registrazione usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave di registro per la configurazione della catena.
PolicyServers usa la chiave di registro dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
RegistryValueName usa il nome del valore del registro (usare Name* per la corrispondenza del prefisso).
value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni:

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ , la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ , aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per consuntivare in modo efficace i CRL memorizzati nella cache.
Alias dei registri:
- Config
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Template - Software\Microsoft\Cryptography\CertificateTemplateCache
- Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-setreg

Imposta un valore del Registro di sistema.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Dove:

ca usa la chiave del registro di un'autorità di certificazione.
restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
il criterio usa la chiave del registro di sistema del modulo criteri.
exit usa la chiave del Registro di sistema del primo modulo di uscita.
template usa la chiave di registro del modello (usa -user per modelli utente).
la registrazione usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave di registro per la configurazione della catena.
PolicyServers usa la chiave di registro dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
RegistryValueName usa il nome del valore del registro (usare Name* per la corrispondenza del prefisso).
Value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni:

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ , la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ , aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per consuntivare in modo efficace i CRL memorizzati nella cache.

-delreg

Elimina i valori del Registro di sistema

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Dove:

ca usa la chiave del registro di un'autorità di certificazione.
restore usa la chiave del registro di sistema ripristino dell'autorità di certificazione.
il criterio usa la chiave del registro di sistema del modulo criteri.
exit usa la chiave del Registro di sistema del primo modulo di uscita.
template usa la chiave di registro del modello (usa -user per modelli utente).
la registrazione usa la chiave del Registro di sistema di registrazione (usare -user per il contesto utente).
chain usa la chiave di registro per la configurazione della catena.
PolicyServers usa la chiave di registro dei server dei criteri.
ProgId usa il progID del modulo di uscita o del criterio (nome della sottochiave del registro di sistema).
RegistryValueName usa il nome del valore del registro (usare Name* per la corrispondenza del prefisso).
Value usa il nuovo valore numerico, la stringa o la data del Registro di sistema o il nome del file. Se un valore numerico inizia con + o -, i bit specificati nel nuovo valore vengono impostati o cancellati nel valore del Registro di sistema esistente.

Opzioni:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Osservazioni:

Se un valore stringa inizia con + o -e il valore esistente è un valore REG_MULTI_SZ , la stringa viene aggiunta o rimossa dal valore del Registro di sistema esistente. Per forzare la creazione di un valore REG_MULTI_SZ , aggiungere \n alla fine del valore stringa.
Se il valore inizia con \@, il resto del valore è il nome del file che contiene la rappresentazione di testo esadecimale di un valore binario.
Se non fa riferimento a un file valido, viene invece analizzato come [Date][+|-][dd:hh] una data facoltativa più o meno giorni e ore facoltativi.
Se vengono specificati entrambi, usare un separatore di segno più (+) o meno (-). Utilizzare now+dd:hh per una data relativa all'ora corrente.
Usare i64 come suffisso per creare un valore REG_QWORD.
Usare chain\chaincacheresyncfiletime @now per consuntivare in modo efficace i CRL memorizzati nella cache.
Alias dei registri:
- Config
- CA
- Policy - PolicyModules
- Exit - ExitModules
- Restore - RestoreInProgress
- Template - Software\Microsoft\Cryptography\CertificateTemplateCache
- Enroll - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
- MSCEP - Software\Microsoft\Cryptography\MSCEP
- Chain - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
- PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
- Crypt32 - System\CurrentControlSet\Services\crypt32
- NGC - System\CurrentControlSet\Control\Cryptography\Ngc
- AutoUpdate - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- Passport - Software\Policies\Microsoft\PassportForWork
- MDM - Software\Microsoft\Policies\PassportForWork

-import KMS

Importa le chiavi utente e i certificati nel database del server per l'archiviazione delle chiavi.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Dove:

UserKeyAndCertFile è un file di dati con chiavi private utente e certificati da archiviare. Questo file può essere:
- Un file di esportazione di Key Management Server (Servizio di gestione delle chiavi) di Exchange.
- Un file PFX.
CertId è un token di corrispondenza del certificato di decrittografia dei file di esportazione KMS. Per altre informazioni, vedere il -store parametro nel presente articolo.
-f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

Importa un file di certificato nel database.

certutil [options] -ImportCert Certfile [ExistingRow]

Dove:

ExistingRow importa il certificato al posto di una richiesta in sospeso per la stessa chiave.
-f importa i certificati non rilasciati dall'autorità di certificazione.

Opzioni:

[-f] [-config Machine\CAName]

Osservazioni:

Potrebbe anche essere necessario configurare l'autorità di certificazione per supportare i certificati esterni eseguendo certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN.

-GetKey

Recupera un blob di recupero delle chiavi private archiviato, genera uno script di ripristino o recupera le chiavi archiviate.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Dove:

lo script genera uno script per recuperare e ripristinare le chiavi (comportamento predefinito se vengono trovati più candidati di recupero corrispondenti o se il file di output non è specificato).
retrieve recupera uno o più blob di recupero delle chiavi (comportamento predefinito se viene trovato esattamente un candidato di recupero corrispondente e se il file di output è specificato). L'uso di questa opzione tronca qualsiasi estensione e aggiunge la stringa specifica del certificato come pure .rec l'estensione per ogni blob di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
recover e recupera e ripristina le chiavi private in un unico passaggio (richiede i certificati dell'agente di ripristino chiavi e le chiavi private). L'uso di questa opzione tronca qualsiasi estensione e aggiunge l'estensione .p12. Ogni file contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.
SearchToken seleziona le chiavi e i certificati da recuperare, tra cui:
- Nome comune del certificato
- Numero di serie del certificato
- Hash SHA-1 del certificato (identificazione personale)
- Hash SHA-1 del KeyId del certificato (identificatore della chiave del soggetto)
- Nome richiedente (dominio\utente)
- UPN (user@domain)
RecoveryBlobOutFile restituisce un file con una catena di certificati e una chiave privata associata, ancora crittografati in uno o più certificati dell'agente di ripristino chiavi.
OutputScriptFile restituisce un file con uno script batch per recuperare e ripristinare chiavi private.
OutputFileBaseName restituisce un nome base del file.

Opzioni:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni:

Per retrieve, qualsiasi estensione viene troncata e una stringa specifica del certificato e le .rec estensioni vengono aggiunte per ogni BLOB di recupero della chiave. Ogni file contiene una catena di certificati e una chiave privata associata, ancora crittografata in uno o più certificati dell'agente di ripristino delle chiavi.
Per recover, qualsiasi estensione viene troncata e l'estensione .p12 viene aggiunta. Contiene le catene di certificati ripristinate e le chiavi private associate, archiviate come file PFX.

-RecoverKey

Recupera una chiave privata archiviata.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Opzioni:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

Unisce i file PFX.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Dove:

PFXInFileList è un elenco delimitato da virgole di file di input PFX.
PFXOutFile è il nome del file di output PFX.
I Modifiers sono degli elenchi delimitati da virgole di una o più delle opzioni seguenti:
- ExtendedProperties include tutte le proprietà estese.
- NoEncryptCert specifica di non crittografare i certificati.
- EncryptCert specifica di crittografare i certificati.

Opzioni:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Osservazioni:

La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente viene richiesta la password del file di output.

-convertEPF

Converte un file PFX in un file EPF.

certutil [options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

Dove:

PFXInFileList è un elenco delimitato da virgole di file di input PFX.
EPFOutFile è il nome del file di output PFX.
EPF è il nome del file di output EPF.
cast usa la crittografia CAST 64.
cast: usa la crittografia CAST 64 (esportazione).
V3CACertId è il token di corrispondenza del certificato della CA V3. Per altre informazioni, vedere il -store parametro nel presente articolo.
Salt è la stringa salt del file di output EPF.

Opzioni:

[-f] [-Silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

Osservazioni:

La password specificata nella riga di comando deve essere un elenco di password delimitato da virgole.
Se vengono specificate più password, viene usata l'ultima password per il file di output. Se viene specificata una sola password o se l'ultima password è *, all'utente viene richiesta la password del file di output.

-add-chain

Aggiunge una catena di certificati.

certutil [options] -add-chain LogId certificate OutFile

Opzioni:

[-f]

-add-pre-chain

Aggiunge una catena di pre-certificati.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Opzioni:

[-f]

-get-sth

Ottiene un'intestazione dell'albero con firma.

certutil [options] -get-sth [LogId]

Opzioni:

[-f]

-get-sth-consistency

Ottiene le modifiche apportate all'intestazione dell'albero firmata.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Opzioni:

[-f]

-get-proof-by-hash

Ottiene la prova di un hash da un server timestamp.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Opzioni:

[-f]

-get-entries

Recupera le voci da un registro eventi.

certutil [options] -get-entries LogId FirstIndex LastIndex

Opzioni:

[-f]

-get-roots

Recupera i certificati radice dall'archivio certificati.

certutil [options] -get-roots LogId

Opzioni:

[-f]

-get-entry-and-proof

Recupera una voce del registro eventi e la relativa prova crittografica.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Opzioni:

[-f]

-VerifyCT

Verifica un certificato rispetto al log di trasparenza dei certificati.

certutil [options] -VerifyCT Certificate SCT [precert]

Opzioni:

[-f]

-?

Visualizza l'elenco dei parametri.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Dove:

-? visualizza l'elenco dei parametri.
-<name_of_parameter> -? visualizza il contenuto della Guida per il parametro specificato.
-? -v visualizza un elenco dettagliato di parametri e opzioni.

Opzioni

Questa sezione definisce tutte le opzioni che è possibile specificare, in base al comando . Ogni parametro include informazioni sulle opzioni valide per l'uso.

Opzione	Descrizione
-admin	Usare ICertAdmin2 per le proprietà della CA.
-anonymous	Usare credenziali SSL anonime.
-cert CertId	Certificato di firma.
-clientcertificate clientCertId	Usare le credenziali SSL del certificato X.509. Per l'interfaccia utente di selezione, usare `-clientcertificate`.
-config Machine\CAName	Autorità di certificazione e stringa del nome computer.
-csp provider	Provider: KSP - Provider di archiviazione chiavi del software Microsoft TPM - Provider di crittografia della piattaforma Microsoft NGC - Provider di archiviazione chiavi per Microsoft Passport SC - Provider di archiviazione chiavi per smart card Microsoft
-dc DCName	Specificare come destinazione un controller di dominio specifico.
-enterprise	Usare l'archivio certificati registro di sistema aziendale del computer locale.
-f	Forza sovrascrittura.
-generateSSTFromWU SSTFile	Genera il file SST mediante il meccanismo di aggiornamento automatico.
-ora di Greenwich	Ore di visualizzazione con GMT.
-GroupPolicy	Usare l'archivio certificati criteri di gruppo.
-idispatch	Usare IDispatch anziché i metodi nativi COM.
-kerberos	Usare le credenziali SSL Kerberos.
-location alternatestoragelocation	`(-loc)` AlternateStorageLocation.
-mt	Visualizzare i modelli di computer.
-nocr	Codificare il testo senza caratteri CR.
-nocrlf	Codificare il testo senza caratteri CR LF.
-nullsign	Usare l'hash dei dati come firma.
-oldpfx	Usare la crittografia PFX precedente.
-out columnlist	Elenco di colonne delimitate da virgole.
-p password	Password
-pin PIN	PIN della smart card
-policyserver URLorID	URL o ID del server dei criteri. Per l'interfaccia utente di selezione, usare `-policyserver`. Per tutti i server dei criteri, usare `-policyserver *`
-privatekey	Visualizzare i dati della password e della chiave privata.
-protect	Proteggere le chiavi con password.
-protectto SAMnameandSIDlist	Nome SAM/elenco SID delimitato da virgole.
-restrict restrictionlist	Elenco di restrizioni delimitato da virgole. Ogni restrizione è costituita da un nome di colonna, un operatore relazionale e un numero intero costante, una stringa o una data. Un nome di colonna potrebbe essere preceduto da un segno più o meno per indicare l'ordinamento. Ad esempio: `requestID = 47`, `+requestername >= a, requestername` o `-requestername > DOMAIN, Disposition = 21`.
-reverse	Colonne di log inverso e coda.
-seconds	Visualizzare i tempi usando secondi e millisecondi.
-service	Usare l'archivio certificati servizio.
-sid	SID Numerico: 22 - Sistema locale 23 - Servizio locale 24 - Servizio di rete
-silent	Usare il `silent` flag per acquisire il contesto di crittografia.
-split	Dividere gli elementi ASN.1 incorporati e salvarli nei file.
-sslpolicy servername	Criteri SSL corrispondenti a ServerName.
-symkeyalg symmetrickeyalgorithm[,keylength]	Nome dell'algoritmo di chiave simmetrica con lunghezza della chiave opzionale. Ad esempio, `AES,128` o `3DES`.
-syncWithWU DestinationDir	Esegue la sincronizzazione con Windows Update.
-t timeout	Timeout recupero URL in millisecondi.
-Unicode	Scrivere l'output reindirizzato in Unicode.
-UnicodeText	Scrivere il file di output in Unicode.
-urlfetch	Recuperare e verificare certificati AIA e i CRL CDP.
-utente	Usare le chiavi HKEY_CURRENT_USER o l'archivio certificati.
-username username	Usare l'account denominato per le credenziali SSL. Per l'interfaccia utente di selezione, usare `-username`.
-ut	Visualizzare i modelli utente.
-v	Fornire informazioni più dettagliate (verbose).
-v1	Usare le interfacce V1.

Algoritmi hash: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Per altri esempi di come usare questo comando, vedere gli articoli seguenti: