certreqcertreq

前の要求をそのまま使用して、クロス証明書を作成する、要求への応答をインストールする、.inf ファイルから新しい要求を作成する、CA からの応答を取得する証明機関 (CA) から証明書を要求する Certreq を使用できますか限定従属の要求から既存の CA 証明書または要求、およびクロス証明または限定従属の要求に署名します。Certreq can be used to request certificates from a certification authority (CA), to retrieve a response to a previous request from a CA, to create a new request from an .inf file, to accept and install a response to a request, to construct a cross-certification or qualified subordination request from an existing CA certificate or request, and to sign a cross-certification or qualified subordination request.

警告

  • Certreq の以前のバージョンではすべてこのドキュメントで説明されているオプションの提供はしません。Earlier versions of certreq may not provide all of the options that are described in this document. Certreq の特定のバージョンでは、構文の表記で示されているコマンドを実行している、すべてのオプションを確認できます。You can see all the options that a specific version of certreq provides by running the commands shown in the Syntax notations section.
  • Certreq は CEP/CES 環境でのキー構成証明書テンプレートに基づいて新しい証明書要求の作成をサポートしていませんCertreq does not support creating a new certificate request based on a Key Attestation template when in a CEP/CES environment

内容Contents

この記事の主要なセクションは次のとおりです。The major sections in this article are as follows:

  1. 動詞Verbs
  2. 構文の表記Syntax notations
  3. [オプション]Options
  4. 書式設定します。Formats
  5. 追加の certreq 例Additional certreq examples

動詞Verbs

次の表の certreq コマンドで使用できる動詞について説明しますThere following table describes the verbs that can be used with the certreq command

SwitchSwitch 説明Description
送信します。-Submit CA に要求を送信します。Submits a request to a CA. 詳細については、次を参照してください。 Certreq-送信します。For more information, see Certreq -submit.
-取得RequestID-retrieve RequestID 前の要求を CA からの応答を取得します。Retrieves a response to a previous request from a CA. 詳細については、次を参照してください。 Certreq-取得します。For more information, see Certreq -retrieve.
-新しい-New .Inf ファイルから新しい要求を作成します。Creates a new request from an .inf file. 詳細については、次を参照してください。 Certreq-新しいします。For more information, see Certreq -new.
-そのまま使用します。-Accept 受け入れるし、証明書の要求に対する応答をインストールします。Accepts and installs a response to a certificate request. 詳細については、次を参照してください。 Certreq-受け入れるします。For more information, see Certreq -accept.
-ポリシー-Policy 要求のポリシーを設定します。Sets the policy for a request. 詳細については、次を参照してください。 Certreq-ポリシーします。For more information, see Certreq -policy.
署名-Sign クロス証明または限定従属の要求に署名します。Signs a cross-certification or qualified subordination request. 詳細については、次を参照してください。 Certreq-記号します。For more information, see Certreq -sign.
登録するには-Enroll 登録または、証明書を更新します。Enrolls for or renews a certificate. 詳細については、次を参照してください。 Certreq-登録します。For more information, see Certreq -enroll.
-?-? Certreq 構文、オプション、および説明の一覧を表示します。Displays a list of certreq syntax, options, and descriptions.
<verb> -?<verb> -? 指定された動詞のヘルプを表示します。Displays help for the verb specified.
-v -?-v -? Certreq 構文、オプション、および説明の詳細な一覧が表示されます。Displays a verbose list of the certreq syntax, options, and descriptions.

戻り内容Return to Contents

構文の表記Syntax notations

  • 基本的なコマンドライン構文は、次のように実行します。 certreq -?For basic command line syntax, run certreq -?
  • 構文については、特定の動詞を使用して certutil を使用して、実行certreq <動詞 > -でしょうか。For the syntax on using certutil with a specific verb, run certreq <verb> -?
  • テキスト ファイルに送信する certutil 構文のすべては、するには、次のコマンドを実行します。To send all of the certutil syntax into a text file, run the following commands:
    • certreq -v -? > certreqhelp.txt
    • notepad certreqhelp.txt

次の表では、コマンドラインの構文を示すために使用される表記について説明します。The following table describes the notation used to indicate command-line syntax.

表記法Notation 説明Description
角かっこまたは中かっこのないテキストText without brackets or braces 項目に示すように入力する必要があります。Items you must type as shown
<山かっこ内のテキスト ><Text inside angle brackets> プレース ホルダーの値を指定する必要があります。Placeholder for which you must supply a value
[角かっこ内のテキスト][Text inside square brackets] 省略可能な項目Optional items
{中かっこ内のテキスト}{Text inside braces} 必要な項目のセットいずれかを選択します。Set of required items; choose one
垂直バー (|)Vertical bar (|) 相互に排他的な項目の区切り記号いずれかを選択します。Separator for mutually exclusive items; choose one
省略記号 (...)Ellipsis (…) 項目を繰り返すことができます。Items that can be repeated

戻り内容Return to Contents

Certreq -submitCertreq -submit

Certreq.exe はオプションが指定されていない場合に明示的にコマンド ライン プロンプトで、既定の certreq.exe パラメーターは、CA に証明書要求を送信する試行します。This is the default certreq.exe parameter, if no option is specified explicitly at the command-line prompt, certreq.exe attempts to submit a certificate request to a CA.

CertReq [-Submit] [Options] [RequestFileIn [CertFileOut [CertChainFileOut [FullResponseFileOut]]]]

使用する場合は、証明書要求ファイルを指定する必要があります – オプションを送信します。You must specify a certificate request file when using the –submit option. このパラメーターを省略すると、適切な証明書要求ファイルを選択する一般的なファイルを開くウィンドウが表示されます。If this parameter is omitted, a common File Open window is displayed where you can select the appropriate certificate request file.

これらの例は、証明書の送信要求を構築するのに開始点として使用できます。You can use these examples as a starting point to build your certificate submit request:

送信するには、は、単純な証明書の要求は、次の例を使用します。To submit a simple certificate request use the example below:

certreq –submit certRequest.req certnew.cer certnew.pfx

証明書を要求するには、SAN 属性を指定する、マイクロソフト サポート技術情報記事 931351 の詳細な手順を参照してくださいセキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法に Certreq.exe ユーティリティを使用する方法」。作成して、SAN を含む証明書の要求を送信する」のセクション。To request a certificate by specifying the SAN attribute, see the detailed steps in Microsoft Knowledge Base article 931351 How to add a Subject Alternative Name to a secure LDAP certificate in the "How to use the Certreq.exe utility to create and submit a certificate request that includes a SAN" section.

戻り内容Return to Contents

Certreq -retrieveCertreq -retrieve

certreq -retrieve [Options] RequestId [CertFileOut [CertChainFileOut [FullResponseFileOut]]]
  • -Config CAComputerName\CANamea ダイアログ ボックスで、CAComputerName または ca 名を指定しない場合が表示され、使用可能なすべての Ca の一覧を表示します。If you don’t specify the CAComputerName or CAName in -config CAComputerName\CANamea dialog box appears and displays a list of all CAs that are available.
  • -Config --config CAComputerName\CAName ではなくを使用する場合、既定の CA を使用して、操作が処理されます。If you use -config - instead of -config CAComputerName\CAName, the operation is processed using the default CA.
  • Certreq を使用することができます-取得RequestID CA が発行して実際には、証明書を取得します。You can use certreq -retrieve RequestID to retrieve the certificate after the CA has actually issued it. RequestIDPKC は、10 進数または 0 x プレフィックスとこれを 16 進数は 0 x プレフィックスなしで証明書のシリアル番号を指定できます。The RequestIDPKC can be a decimal or hex with 0x prefix and it can be a certificate serial number with no 0x prefix. 既にかどうか、証明書の要求がかつての保留中の状態に関係なく、失効または期限が切れた証明書を含む、CA によって発行された任意の証明書の取得に使用できます。You can also use it to retrieve any certificate that has ever been issued by the CA, including revoked or expired certificates, without regard to whether the certificate's request was ever in the pending state.
  • CA のポリシー モジュールは、可能性があります、保留中の状態と戻り値の要求のままに、CA に対する要求を送信する場合、 RequestID Certreq 呼び出し元の表示にします。If you submit a request to the CA, the policy module of the CA might leave the request in a pending state and return the RequestID to the Certreq caller for display. 最終的には、CA の管理者は証明書を発行または、要求を拒否します。Eventually, the CA's administrator will issue the certificate or deny the request.

次のコマンドは、20 証明書の id を取得し、証明書ファイル (.cer) を作成します。The command below retrieves the certificate id 20 and creates the certificate file (.cer):

certreq -retrieve 20 MyCertificate.cer 

戻り内容Return to Contents

Certreq -newCertreq -new

certreq -new [Options] [PolicyFileIn [RequestFileOut]]

パラメーターとオプションを指定する豊富な一連の INF ファイルなので、管理者がすべての目的で使用する既定のテンプレートを定義する困難です。Since the INF file allows for a rich set of parameters and options to be specified, it is difficult to define a default template that administrators should use for all purposes. そのため、このセクションでは、特定のニーズに合わせて INF ファイルを作成するためのすべてのオプションについて説明します。Therefore, this section describes all the options to enable you to create an INF file tailored to your specific needs. 次のキーワードを使用して、INF ファイルの構造を記述します。The following key words are used to describe the INF file structure.

  1. Aセクションはキーの論理グループをカバーする INF ファイルの領域です。A section is an area in the INF file that covers a logical group of keys. セクションは、常に角かっこ、INF ファイル内に表示されます。A section always appears in brackets in the INF file.
  2. Aキー等号の左側に表示されるパラメーターです。A key is the parameter that is to the left of the equal sign.
  3. A等号の右側に表示されるパラメーターです。A value is the parameter that is to the right of the equal sign.

たとえば、最小限の INF ファイルは、次のようなになります。For example, a minimal INF file would look similar to the following:

[NewRequest] 
; At least one value must be set in this section 
Subject = "CN=W2K8-BO-DC.contoso2.com"

INF ファイルに追加できる使用可能なセクションの一部を次に示します。The following are some of the possible sections that may be added to the INF file:

[NewRequest][NewRequest]

このセクションでは、新しい証明書の要求のテンプレートとして機能する INF ファイルの必須です。This section is mandatory for an INF file that acts as a template for a new certificate request. このセクションでは、少なくとも 1 つのキー値を持つ必要があります。This section requires at least one key with a value.

KeyKey 定義Definition ValueValue Example
サブジェクトSubject いくつかのアプリケーションは、証明書のサブジェクト情報に依存します。Several applications rely on the subject information in a certificate. したがって、このキーの値を指定することをお勧めします。Thus, it is recommended that a value for this key be specified. サブジェクトがここで設定されていない場合は、サブジェクト名がサブジェクト代替名の証明書の拡張機能の一部として含めることをお勧めします。If the subject is not set here, it is recommended that a subject name be included as part of the subject alternative name certificate extension. 相対識別名の文字列値Relative Distinguished Name string values Subject = "CN=computer1.contoso.com" Subject="CN=John Smith,CN=Users,DC=Contoso,DC=com"Subject = "CN=computer1.contoso.com" Subject="CN=John Smith,CN=Users,DC=Contoso,DC=com"
ExportableExportable この属性が TRUE に設定されている場合は、証明書に秘密キーをエクスポートできます。If this attribute is set to TRUE, the private key can be exported with the certificate. 高レベルのセキュリティを確実には、秘密キーしないでエクスポート可能です。ただし、場合によっては、これは秘密キーをエクスポートできるは、いくつかのコンピューターまたはユーザーが同じ秘密キーを共有する必要がありますしている場合に必要なする可能性があります。To ensure a high level of security, private keys should not be exportable; however, in some cases, it might be required to make the private key exportable if several computers or users must share the same private key. true、falsetrue, false エクスポート可能 = TRUE。Exportable = TRUE. CNG キーをこの間で区別でき、エクスポート可能なプレーン テキスト。CNG keys can distinguish between this and plaintext exportable. CAPI1 キーことはできません。CAPI1 keys cannot.
ExportableEncryptedExportableEncrypted 秘密キーをエクスポート可能に設定する必要があるかどうかを指定します。Specifies whether the private key should be set to be exportable. true、falsetrue, false ExportableEncrypted = trueExportableEncrypted = true
ヒント:すべてのパブリック キーのサイズおよびアルゴリズムについては、すべてのハッシュ アルゴリズムで動作します。Tip: Not all public key sizes and algorithms will work with all hash algorithms. Tamehe では、CSP は、指定したハッシュ アルゴリズムもサポートする必要がありますを指定します。Tamehe specified CSP must also support the specified hash algorithm. サポートされているハッシュ アルゴリズムの一覧を表示するには、コマンドを実行することができます。 certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfoTo see the list of supported hash algorithms, you can run the command certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo
HashAlgorithmHashAlgorithm この要求に使用するハッシュ アルゴリズム。Hash Algorithm to be used for this request. Sha256, sha384, sha512, sha1, md5, md4, md2Sha256, sha384, sha512, sha1, md5, md4, md2 HashAlgorithm sha1 を = です。HashAlgorithm = sha1. 使用して、サポートされているハッシュ アルゴリズムの一覧を表示する: certutil oid 1 | findstr pwszCNGAlgid | findstr/v CryptOIDInfoTo see the list of supported hash algorithms use: certutil -oid 1 | findstr pwszCNGAlgid | findstr /v CryptOIDInfo
KeyAlgorithmKeyAlgorithm パブリックとプライベート キーのペアを生成するサービス プロバイダーによって使用されるアルゴリズム。The algorithm that will be used by the service provider to generate a public and private key pair. RSA, DH, DSA, ECDH_P256, ECDH_P521, ECDSA_P256, ECDSA_P384, ECDSA_P521RSA, DH, DSA, ECDH_P256, ECDH_P521, ECDSA_P256, ECDSA_P384, ECDSA_P521 KeyAlgorithm RSA を =KeyAlgorithm = RSA
KeyContainerKeyContainer 新しいキー マテリアルが生成される新しい要求には、このパラメーターを設定するのには推奨されません。It is not recommended to set this parameter for new requests where new key material is generated. キー コンテナーは自動的に生成され、システムによって維持されます。The key container is automatically generated and maintained by the system. 要求の既存のキー マテリアルを使用する場合は、既存のキーのキー コンテナー名にこの値を設定できます。For requests where the existing key material should be used, this value can be set to the key-container name of the existing key. Certutil を使用して、– コンピューターのコンテキストの使用可能なキー コンテナーの一覧を表示するコマンドのキーします。Use the certutil –key command to display the list of available key containers for the machine context. Certutil を使用して、– キー – 現在のユーザーのコンテキストのユーザー コマンド。Use the certutil –key –user command for the current user’s context. ランダムな文字列値Random string value
ヒント:空白または INF の潜在的な解析を行って問題を回避するために特殊文字を含む INF キーの値を二重引用符を使用する必要があります。Tip: You should use double quotes around any INF key value that has blanks or special characters to avoid potential INF parsing issues.
KeyContainer = {C347BD28-7F69-4090-AA16-BC58CF4D749C}KeyContainer = {C347BD28-7F69-4090-AA16-BC58CF4D749C}
KeyLengthKeyLength パブリックおよびプライベート キーの長さを定義します。Defines the length of the public and private key. キーの長さは、証明書のセキュリティ レベルに影響を与えます。The key length has an impact on the security level of the certificate. キーの長さが大きく、通常より高いセキュリティ レベルを提供します。ただし、一部のアプリケーションには、キーの長さに関する制限事項があります。Greater key length usually provides a higher security level; however, some applications may have limitations regarding the key length. 有効なキーの長さ、暗号化サービス プロバイダーでサポートされています。Any valid key length that is supported by the cryptographic service provider. KeyLength = 2048KeyLength = 2048
KeySpecKeySpec 署名、交換 (暗号化)、または両方のキーを使用できるかどうかを決定します。Determines if the key can be used for signatures, for Exchange (encryption), or for both. AT_NONE、AT_SIGNATURE、AT_KEYEXCHANGEAT_NONE, AT_SIGNATURE, AT_KEYEXCHANGE KeySpec AT_KEYEXCHANGE を =KeySpec = AT_KEYEXCHANGE
KeyUsageKeyUsage 使用する証明書のキーを定義します。Defines what the certificate key should be used for. CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)
ヒント:表示される値では、各ビット定義に対応する 16 進数の (10 進数) 値です。Tip: The values shown are hexadecimal (decimal) values for each bit definition. 古い構文も使用できます。 複数の 1 つの 16 進値、シンボリックな表現ではなく、セットのビット。Older syntax can also be used: a single hexadecimal value with multiple bits set, instead of the symbolic representation. たとえば、KeyUsage 0xa0 を = です。For example, KeyUsage = 0xa0.
CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)
CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)
CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)
CERT_KEY_AGREEMENT_KEY_USAGE -- 8CERT_KEY_AGREEMENT_KEY_USAGE -- 8
CERT_KEY_CERT_SIGN_KEY_USAGE -- 4CERT_KEY_CERT_SIGN_KEY_USAGE -- 4
CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2
CERT_CRL_SIGN_KEY_USAGE -- 2CERT_CRL_SIGN_KEY_USAGE -- 2
CERT_ENCIPHER_ONLY_KEY_USAGE -- 1CERT_ENCIPHER_ONLY_KEY_USAGE -- 1
CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)
KeyUsage ="CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
ヒント:パイプを使用して、複数の値 (|) 記号の区切り記号。Tip: Multiple values use a pipe (|) symbol separator. INF 解析の問題を回避するために複数の値を使用する場合は、二重引用符を使用することを確認します。Ensure that you use double-quotes when using multiple values to avoid INF parsing issues.
KeyUsagePropertyKeyUsageProperty 秘密キーを使用できる特定の目的を識別する値を取得します。Retrieves a value that identifies the specific purpose for which a private key can be used. NCRYPT_ALLOW_DECRYPT_FLAG -- 1NCRYPT_ALLOW_DECRYPT_FLAG -- 1
NCRYPT_ALLOW_SIGNING_FLAG -- 2NCRYPT_ALLOW_SIGNING_FLAG -- 2
NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4
NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
MachineKeySetMachineKeySet このキーは、コンピューターとユーザーではなくによって所有されている証明書を作成する必要がある場合に重要です。This key is important when you need to create certificates that are owned by the machine and not a user. セキュリティ コンテキスト セキュリティ プリンシパル (ユーザーまたはコンピューター アカウント) が、要求を作成するには、生成されるキー マテリアルが維持されます。The key material that is generated is maintained in the security context of the security principal (user or computer account) that has created the request. 管理者は、コンピューターの代わりの証明書の要求を作成するとき、マシンのセキュリティ コンテキストで、管理者のセキュリティ コンテキストではなくキー マテリアルを作成する必要があります。When an administrator creates a certificate request on behalf of a computer, the key material must be created in the machine’s security context and not the administrator’s security context. それ以外の場合、管理者のセキュリティ コンテキスト内になるために、コンピューターはその秘密キーをアクセスできませんでした。Otherwise, the machine could not access its private key since it would be in the administrator’s security context. true、falsetrue, false MachineKeySet = trueMachineKeySet = true
ヒント:既定値は false です。Tip: The default is false.
NotBeforeNotBefore 日付または日付と時刻の前に、要求を発行できませんを指定します。Specifies a date or date and time before which the request cannot be issued. ValidityPeriod と ValidityPeriodUnits NotBefore を使用できます。NotBefore can be used with ValidityPeriod and ValidityPeriodUnits. 日付または日付と時刻date or date and time NotBefore ="2012 7 月 24 日 10時 31分 AM"NotBefore = "7/24/2012 10:31 AM"
ヒント:RequestType のための NotBefore と NotAfter = 証明書のみです。ロケールに依存する試行の日付を解析します。使用する月名はあいまいさを解消し、すべてのロケールで作業する必要があります。Tip: NotBefore and NotAfter are for RequestType=cert only.Date parsing attempts to be locale-sensitive.Using month names will disambiguate and should work in every locale.
NotAfterNotAfter 日付または日付と時刻の後、要求を発行できませんを指定します。Specifies a date or date and time after which the request cannot be issued. ValidityPeriod または ValidityPeriodUnits NotAfter を使用できません。NotAfter cannot be used with ValidityPeriod or ValidityPeriodUnits. 日付または日付と時刻date or date and time NotAfter ="2014 年 9 月 23 日 10時 31分 AM"NotAfter = "9/23/2014 10:31 AM"
ヒント:RequestType のための NotBefore と NotAfter = 証明書のみです。ロケールに依存する試行の日付を解析します。使用する月名はあいまいさを解消し、すべてのロケールで作業する必要があります。Tip: NotBefore and NotAfter are for RequestType=cert only.Date parsing attempts to be locale-sensitive.Using month names will disambiguate and should work in every locale.
PrivateKeyArchivePrivateKeyArchive PrivateKeyArchive 設定は、CA キーのアーカイブ用に、要求者の秘密キーを安全に転送するための CMS (CMC) 要求の形式で証明書管理のメッセージのみであるため、対応する RequestType が"CMC"に設定されている場合にのみ機能します。The PrivateKeyArchive setting works only if the corresponding RequestType is set to "CMC" because only the Certificate Management Messages over CMS (CMC) request format allows for securely transferring the requester’s private key to the CA for key archival. true、falsetrue, false PrivateKeyArchive = TruePrivateKeyArchive = True
EncryptionAlgorithmEncryptionAlgorithm 使用する暗号化アルゴリズム。The encryption algorithm to use. 使用可能なオプションは、オペレーティング システムのバージョンとインストールされている暗号化サービス プロバイダーのセットによって異なります。Possible options vary, depending on the operating system version and the set of installed cryptographic providers. 使用可能なアルゴリズムの一覧については、コマンドを実行certutil -oid 2 | findstr pwszCNGAlgid指定した対称暗号化アルゴリズムと長さ、指定した CSP を使用する必要がありますもサポートします。To see the list of available algorithms, run the command certutil -oid 2 | findstr pwszCNGAlgid The specified CSP used must also support the specified symmetric encryption algorithm and length. EncryptionAlgorithm 3 des を =EncryptionAlgorithm = 3des
EncryptionLengthEncryptionLength 使用する暗号化アルゴリズムの長さ。Length of encryption algorithm to use. 指定した EncryptionAlgorithm で許可されている任意の長さ。Any length allowed by the specified EncryptionAlgorithm. EncryptionLength >= 128EncryptionLength = 128
ProviderNameProviderName プロバイダー名は、CSP の表示名は.The provider name is the display name of the CSP.. 使用する CSP のプロバイダー名がわからない場合は、コマンドラインから certutil – csplist を実行します。If you do not know the provider name of the CSP you are using, run certutil –csplist from a command line. コマンドは、ローカル システムで使用できるすべての Csp の名前が表示されます。The command will display the names of all CSPs that are available on the local system ProviderName ="Microsoft RSA SChannel Cryptographic Provider"ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderTypeProviderType プロバイダーの種類を使用して、完全"RSA"などの特定のアルゴリズムの機能に基づく特定のプロバイダーを選択します。The provider type is used to select specific providers based on specific algorithm capability such as "RSA Full". 使用する CSP のプロバイダーの種類がわからない場合は、コマンド ライン プロンプトから certutil – csplist を実行します。If you do not know the provider type of the CSP you are using, run certutil –csplist from a command-line prompt. コマンドは、ローカル システムで使用できるすべての Csp のプロバイダーの種類が表示されます。The command will display the provider type of all CSPs that are available on the local system. プロバイダーの種類 = 1ProviderType = 1
RenewalCertRenewalCert 証明書の要求が生成される場所、システム上に存在する証明書を更新する必要がある場合は、このキーの値としてその証明書ハッシュを指定する必要があります。If you need to renew a certificate that exists on the system where the certificate request is generated, you must specify its certificate hash as the value for this key. 証明書の要求が作成されているコンピューターで使用できる任意の証明書の証明書ハッシュ。The certificate hash of any certificate that is available at the computer where the certificate request is created. 証明書ハッシュがわからない場合は、証明書の MMC スナップインを使用し、証明書を更新する必要があます。If you do not know the certificate hash, use the Certificates MMC Snap-In and look at the certificate that should be renewed. 証明書のプロパティを開き、証明書の「サムプリント」属性を参照してください。Open the certificate properties and see the "Thumbprint" attribute of the certificate. 証明書の更新では、PKCS #7 または CMC 要求の形式のいずれかが必要です。Certificate renewal requires either a PKCS#7 or a CMC request format. RenewalCert 4EDF274BD2919C6E9EC6A522F0F3B153E9B1582D を =RenewalCert = 4EDF274BD2919C6E9EC6A522F0F3B153E9B1582D
RequesterNameRequesterName
注:これにより、別のユーザー要求の代理として登録を要求します。要求は、Enrollment Agent 証明書で署名も必要があります。 または CA は、要求を拒否します。Note: This makes the request to enroll on behalf of another user request.The request must also be signed with an Enrollment Agent certificate, or the CA will reject the request. 使用して登録エージェント証明書を指定するには、証明書オプション。Use the -cert option to specify the enrollment agent certificate.
PKCS #7 または CMC RequestType が設定されている場合、証明書の要求の要求元の名前を指定できます。The requester name can be specified for certificate requests if the RequestType is set to PKCS#7 or CMC. RequestType を PKCS #10 に設定すると、このキーは無視されます。If the RequestType is set to PKCS#10, this key will be ignored. Requestername は、要求の一部としてのみ設定できます。The Requestername can only be set as part of the request. 保留中の要求で Requestername を操作することはできません。You cannot manipulate the Requestername in a pending request. ドメイン \ ユーザーDomain\User Requestername = "Contoso\BSmith"Requestername = "Contoso\BSmith"
RequestTypeRequestType 生成し、証明書の要求を送信するために使用する標準を決定します。Determines the standard that is used to generate and send the certificate request. PKCS10 - 1PKCS10 -- 1
PKCS7 -- 2PKCS7 -- 2
CMC - 3CMC -- 3
証明書 - 4Cert -- 4
SCEP--fd00 (64768)SCEP -- fd00 (64768)
ヒント:このオプションでは、自己署名または自己発行の証明書を示します。Tip: This option indicates a self-signed or self-issued certificate. 要求は新しい証明書ではなく作成せずにし、証明書をインストールします。既定値は、自己署名します。使用して署名証明書の指定が自己署名されていない自己発行の証明書を作成するには証明書オプション。It does not generate a request, but rather a new certificate and then installs the certificate.Self-signed is the default.Specify a signing cert by using the –cert option to create a self-issued certificate that is not self-signed.
RequestType = CMCRequestType = CMC
SecurityDescriptorSecurityDescriptor
ヒント:これは、機能は、コンピューターのコンテキストで、スマート カード キーに対してのみ適用されます。Tip: This is relevant only for machine context non-smart card keys.
セキュリティ保護可能なオブジェクトに関連付けられているセキュリティ情報が含まれてください。Contain the security information associated with securable objects. 最もセキュリティ保護可能なオブジェクトは、オブジェクトを作成する関数呼び出しで、オブジェクトのセキュリティ記述子を指定できます。For most securable objects, you can specify an object's security descriptor in the function call that creates the object. 文字列に基づいてセキュリティ記述子定義言語します。Strings based on security descriptor definition language. SecurityDescriptor = "D:P(A;;GA;;;SY)(A;;GA;;;BA)"SecurityDescriptor = "D:P(A;;GA;;;SY)(A;;GA;;;BA)"
AlternateSignatureAlgorithmAlternateSignatureAlgorithm 指定し、PKCS #10 要求または証明書署名の署名アルゴリズム オブジェクト識別子 (OID) が不連続または結合があるかどうかを示すブール値を取得します。Specifies and retrieves a Boolean value that indicates whether the signature algorithm object identifier (OID) for a PKCS#10 request or certificate signature is discrete or combined. true、falsetrue, false AlternateSignatureAlgorithm = falseAlternateSignatureAlgorithm = false
ヒント:RSA 署名では、false は Pkcs1 v1.5 を示します。Tip: For an RSA signature, false indicates a Pkcs1 v1.5. True は、バージョン 2.1 以降のシグネチャを示します。True indicates a v2.1 signature.
SilentSilent 既定では、このオプションは、スマート カード暗証番号 (pin) など、対話型ユーザー デスクトップと要求情報をユーザーからの CSP アクセスできます。By default, this option allows the CSP access to the interactive user desktop and request information such as a smart card PIN from the user. このキーが TRUE に設定されている場合、CSP は、デスクトップと対話する必要があり、任意のユーザー インターフェイスをユーザーに表示がブロックされます。If this key is set to TRUE, the CSP must not interact with the desktop and will be blocked from displaying any user interface to the user. true、falsetrue, false サイレント = trueSilent = true
SMIMESMIME このパラメーターが TRUE に設定されている場合、オブジェクト識別子値 1.2.840.113549.1.9.15 拡張機能は、要求に追加されます。If this parameter is set to TRUE, an extension with the object identifier value 1.2.840.113549.1.9.15 is added to the request. オブジェクト識別子の数によって異なります、Outlook などの Secure Multipurpose Internet Mail Extensions (S/MIME) アプリケーションで使用できる対称暗号化アルゴリズムを参照しているオペレーティング システムのバージョンがインストールされていると CSP の機能です。The number of object identifiers depends on the on the operating system version installed and CSP capability, which refer to symmetric encryption algorithms that may be used by Secure Multipurpose Internet Mail Extensions (S/MIME) applications such as Outlook. true、falsetrue, false SMIME = trueSMIME = true
UseExistingKeySetUseExistingKeySet このパラメーターは、既存のキー ペアを証明書の要求の作成に使用することを指定するに使用されます。This parameter is used to specify that an existing key pair should be used in building a certificate request. このキーが TRUE に設定されている場合も、RenewalCert キーまたは KeyContainer 名の値を指定する必要があります。If this key is set to TRUE, you must also specify a value for the RenewalCert key or the KeyContainer name. 既存のキーのプロパティを変更できないために、エクスポート可能なキーを設定する必要がありますできません。You must not set the Exportable key because you cannot change the properties of an existing key. この場合、証明書の要求のビルド時にキー マテリアルは生成されません。In this case, no key material is generated when the certificate request is built. true、falsetrue, false UseExistingKeySet = trueUseExistingKeySet = true
KeyProtectionKeyProtection 使用する前に、秘密キーを保護する方法を示す値を指定します。Specifies a value that indicates how a private key is protected before use. XCN_NCRYPT_UI_NO_PROTCTION_FLAG -- 0XCN_NCRYPT_UI_NO_PROTCTION_FLAG -- 0
XCN_NCRYPT_UI_PROTECT_KEY_FLAG -- 1XCN_NCRYPT_UI_PROTECT_KEY_FLAG -- 1
XCN_NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2XCN_NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2
KeyProtection = NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAGKeyProtection = NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG
SuppressDefaultsSuppressDefaults 要求で、既定の拡張機能と属性を含めるかどうかを示すブール値を指定します。Specifies a Boolean value that indicates whether the default extensions and attributes are included in the request. 既定値は、それらのオブジェクト識別子 (Oid) で表されます。The defaults are represented by their object identifiers (OIDs). true、falsetrue, false SuppressDefaults = trueSuppressDefaults = true
FriendlyNameFriendlyName 新しい証明書のフレンドリ名。A friendly name for the new certificate. TextText FriendlyName ="Server1"FriendlyName = "Server1"
ValidityPeriodUnitsValidityPeriodUnits
注:これでのみ使用が、要求が入力すると証明書を = です。Note: This is used only when the request type=cert.
ValidityPeriod で使用されるユニットの数を指定します。Specifies a number of units that is to be used with ValidityPeriod. 数値Numeric ValidityPeriodUnits 3 を =ValidityPeriodUnits = 3
ValidityPeriodValidityPeriod
注:これでのみ使用が、要求が入力すると証明書を = です。Note: This is used only when the request type=cert.
VValidityPeriod する必要があります、米国英語に複数形の期間。VValidityPeriod must be an US English plural time period. 年、月、週、日、時間、分、秒Years, Months, Weeks, Days, Hours, Minutes, Seconds ValidityPeriod 年を =ValidityPeriod = Years

戻り内容Return to Contents

[拡張機能][Extensions]

このセクションは省略可能です。This section is optional.

拡張機能の OIDExtension OID 定義Definition ValueValue Example
2.5.29.172.5.29.17 2.5.29.17 ="{text}"2.5.29.17 = "{text}"
続行continue 引き続き="UPN =User@Domain.com(& a)"continue = "UPN=User@Domain.com&"
続行continue 引き続き="電子メール =User@Domain.com(& a)"continue = "EMail=User@Domain.com&"
続行continue continue = "DNS=host.domain.com&"continue = "DNS=host.domain.com&"
続行continue continue = "DirectoryName=CN=Name,DC=Domain,DC=com&"continue = "DirectoryName=CN=Name,DC=Domain,DC=com&"
続行continue 引き続き="URL =http://host.domain.com/default.html&"continue = "URL=http://host.domain.com/default.html&"
続行continue continue = "IPAddress=10.0.0.1&"continue = "IPAddress=10.0.0.1&"
続行continue 引き続き="RegisteredId 1.2.3.4.5 という拡張 = (& a)"continue = "RegisteredId=1.2.3.4.5&"
続行continue 引き続き="1.2.3.4.6.1={utf8}String (& a)"continue = "1.2.3.4.6.1={utf8}String&"
続行continue 引き続き="1.2.3.4.6.2={octet}AAECAwQFBgc= (& a)"continue = "1.2.3.4.6.2={octet}AAECAwQFBgc=&"
続行continue 引き続き="1.2.3.4.6.2={octet}{hex}00 01 02 03 04 05 06 07 (& a)"continue = "1.2.3.4.6.2={octet}{hex}00 01 02 03 04 05 06 07&"
続行continue continue = "1.2.3.4.6.3={asn}BAgAAQIDBAUGBw==&"continue = "1.2.3.4.6.3={asn}BAgAAQIDBAUGBw==&"
続行continue continue = "1.2.3.4.6.3={hex}04 08 00 01 02 03 04 05 06 07"continue = "1.2.3.4.6.3={hex}04 08 00 01 02 03 04 05 06 07"
2.5.29.372.5.29.37 2.5.29.37="{text}"2.5.29.37="{text}"
続行continue 引き続き="1.3.6.1.5.5.7 します。continue = "1.3.6.1.5.5.7.
続行continue 引き続き「1.3.6.1.5.5.7.3.1」を =continue = "1.3.6.1.5.5.7.3.1"
2.5.29.192.5.29.19 "{テキスト} ca 0pathlength = 3 =""{text}ca=0pathlength=3"
重大Critical 重要な 2.5.29.19 を =Critical=2.5.29.19
KeySpecKeySpec AT_NONE -- 0AT_NONE -- 0
AT_SIGNATURE - 2AT_SIGNATURE -- 2
AT_KEYEXCHANGE -- 1AT_KEYEXCHANGE -- 1
RequestTypeRequestType PKCS10 - 1PKCS10 -- 1
PKCS7 -- 2PKCS7 -- 2
CMC - 3CMC -- 3
証明書 - 4Cert -- 4
SCEP--fd00 (64768)SCEP -- fd00 (64768)
KeyUsageKeyUsage CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)CERT_DIGITAL_SIGNATURE_KEY_USAGE -- 80 (128)
CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)CERT_NON_REPUDIATION_KEY_USAGE -- 40 (64)
CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)CERT_KEY_ENCIPHERMENT_KEY_USAGE -- 20 (32)
CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)CERT_DATA_ENCIPHERMENT_KEY_USAGE -- 10 (16)
CERT_KEY_AGREEMENT_KEY_USAGE -- 8CERT_KEY_AGREEMENT_KEY_USAGE -- 8
CERT_KEY_CERT_SIGN_KEY_USAGE -- 4CERT_KEY_CERT_SIGN_KEY_USAGE -- 4
CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2CERT_OFFLINE_CRL_SIGN_KEY_USAGE -- 2
CERT_CRL_SIGN_KEY_USAGE -- 2CERT_CRL_SIGN_KEY_USAGE -- 2
CERT_ENCIPHER_ONLY_KEY_USAGE -- 1CERT_ENCIPHER_ONLY_KEY_USAGE -- 1
CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)CERT_DECIPHER_ONLY_KEY_USAGE -- 8000 (32768)
KeyUsagePropertyKeyUsageProperty NCRYPT_ALLOW_DECRYPT_FLAG -- 1NCRYPT_ALLOW_DECRYPT_FLAG -- 1
NCRYPT_ALLOW_SIGNING_FLAG -- 2NCRYPT_ALLOW_SIGNING_FLAG -- 2
NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4NCRYPT_ALLOW_KEY_AGREEMENT_FLAG -- 4
NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)NCRYPT_ALLOW_ALL_USAGES -- ffffff (16777215)
KeyProtectionKeyProtection NCRYPT_UI_NO_PROTECTION_FLAG -- 0NCRYPT_UI_NO_PROTECTION_FLAG -- 0
NCRYPT_UI_PROTECT_KEY_FLAG -- 1NCRYPT_UI_PROTECT_KEY_FLAG -- 1
NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2NCRYPT_UI_FORCE_HIGH_PROTECTION_FLAG -- 2
SubjectNameFlagsSubjectNameFlags テンプレートtemplate CT_FLAG_SUBJECT_REQUIRE_COMMON_NAME -- 40000000 (1073741824)CT_FLAG_SUBJECT_REQUIRE_COMMON_NAME -- 40000000 (1073741824)
CT_FLAG_SUBJECT_REQUIRE_DIRECTORY_PATH -- 80000000 (2147483648)CT_FLAG_SUBJECT_REQUIRE_DIRECTORY_PATH -- 80000000 (2147483648)
CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456)CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456)
CT_FLAG_SUBJECT_REQUIRE_EMAIL -- 20000000 (536870912)CT_FLAG_SUBJECT_REQUIRE_EMAIL -- 20000000 (536870912)
CT_FLAG_OLD_CERT_SUPPLIES_SUBJECT_AND_ALT_NAME -- 8CT_FLAG_OLD_CERT_SUPPLIES_SUBJECT_AND_ALT_NAME -- 8
CT_FLAG_SUBJECT_ALT_REQUIRE_DIRECTORY_GUID -- 1000000 (16777216)CT_FLAG_SUBJECT_ALT_REQUIRE_DIRECTORY_GUID -- 1000000 (16777216)
CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)
CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)
CT_FLAG_SUBJECT_ALT_REQUIRE_EMAIL -- 4000000 (67108864)CT_FLAG_SUBJECT_ALT_REQUIRE_EMAIL -- 4000000 (67108864)
CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608)CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608)
CT_FLAG_SUBJECT_ALT_REQUIRE_UPN -- 2000000 (33554432)CT_FLAG_SUBJECT_ALT_REQUIRE_UPN -- 2000000 (33554432)
X500NameFlagsX500NameFlags CERT_NAME_STR_NONE -- 0CERT_NAME_STR_NONE -- 0
CERT_OID_NAME_STR -- 2CERT_OID_NAME_STR -- 2
CERT_X500_NAME_STR -- 3CERT_X500_NAME_STR -- 3
CERT_NAME_STR_SEMICOLON_FLAG -- 40000000 (1073741824)CERT_NAME_STR_SEMICOLON_FLAG -- 40000000 (1073741824)
CERT_NAME_STR_NO_PLUS_FLAG -- 20000000 (536870912)CERT_NAME_STR_NO_PLUS_FLAG -- 20000000 (536870912)
CERT_NAME_STR_NO_QUOTING_FLAG -- 10000000 (268435456)CERT_NAME_STR_NO_QUOTING_FLAG -- 10000000 (268435456)
CERT_NAME_STR_CRLF_FLAG -- 8000000 (134217728)CERT_NAME_STR_CRLF_FLAG -- 8000000 (134217728)
CERT_NAME_STR_COMMA_FLAG -- 4000000 (67108864)CERT_NAME_STR_COMMA_FLAG -- 4000000 (67108864)
CERT_NAME_STR_REVERSE_FLAG -- 2000000 (33554432)CERT_NAME_STR_REVERSE_FLAG -- 2000000 (33554432)
CERT_NAME_STR_FORWARD_FLAG -- 1000000 (16777216)CERT_NAME_STR_FORWARD_FLAG -- 1000000 (16777216)
CERT_NAME_STR_DISABLE_IE4_UTF8_FLAG -- 10000 (65536)CERT_NAME_STR_DISABLE_IE4_UTF8_FLAG -- 10000 (65536)
CERT_NAME_STR_ENABLE_T61_UNICODE_FLAG -- 20000 (131072)CERT_NAME_STR_ENABLE_T61_UNICODE_FLAG -- 20000 (131072)
CERT_NAME_STR_ENABLE_UTF8_UNICODE_FLAG -- 40000 (262144)CERT_NAME_STR_ENABLE_UTF8_UNICODE_FLAG -- 40000 (262144)
CERT_NAME_STR_FORCE_UTF8_DIR_STR_FLAG -- 80000 (524288)CERT_NAME_STR_FORCE_UTF8_DIR_STR_FLAG -- 80000 (524288)
CERT_NAME_STR_DISABLE_UTF8_DIR_STR_FLAG -- 100000 (1048576)CERT_NAME_STR_DISABLE_UTF8_DIR_STR_FLAG -- 100000 (1048576)
CERT_NAME_STR_ENABLE_PUNYCODE_FLAG -- 200000 (2097152)CERT_NAME_STR_ENABLE_PUNYCODE_FLAG -- 200000 (2097152)

戻り内容Return to Contents

注意

SubjectNameFlags は、INF ファイル件名と SubjectAltName 拡張機能フィールドは、現在のユーザーまたはコンピューターの現在のプロパティに基づいて certreq によって自動的に設定されますをする必要がありますを指定することができます。DNS 名、UPN、およびなど。SubjectNameFlags allows the INF file to specify which Subject and SubjectAltName extension fields should be auto-populated by certreq based on the current user or current machine properties: DNS name, UPN, and so on. "Template"というリテラルを使用して、テンプレート名のフラグを使用して代わりに意味します。Using the literal "template" means the template name flags are used instead. これにより、複数のコンテキストでコンテキストに固有のサブジェクト情報を要求の生成に使用する 1 つの INF ファイルです。This allows a single INF file to be used in multiple contexts to generate requests with context-specific subject information.

X500NameFlags では、エンコードされた識別名をサブジェクト INF のキー値は ASN.1 に変換するときに、CertStrToName API に直接渡すフラグを指定します。X500NameFlags specifies the flags to be passed directly to CertStrToName API when the Subject INF keys value is converted to an ASN.1 encoded Distinguished Name.

基づく certreq を使用して証明書を要求する-新しい手順を次の例を使用します。To request a certificate based using certreq -new use the steps from the example below:

警告

このトピックの内容は Windows Server 2008 の AD CS; の既定の設定に基づきますたとえば、2048、CSP、として Microsoft Software Key Storage Provider を選択し、セキュア ハッシュ アルゴリズム 1 (SHA1) を使用するキーの長さを設定します。The content for this topic is based on the default settings for Windows Server 2008 AD CS; for example, setting the key length to 2048, selecting Microsoft Software Key Storage Provider as the CSP, and using Secure Hash Algorithm 1 (SHA1). これらの選択に対して、会社のセキュリティ ポリシーの要件を評価します。Evaluate these selections against the requirements of your company’s security policy.

ポリシー ファイル (.inf) のコピーを作成し、メモ帳で、次の例を保存と RequestConfig.inf を付けて保存。To create a Policy File (.inf) copy and save the example below in Notepad and save as RequestConfig.inf:

[NewRequest] 
Subject = "CN=<FQDN of computer you are creating the certificate>" 
Exportable = TRUE 
KeyLength = 2048 
KeySpec = 1 
KeyUsage = 0xf0 
MachineKeySet = TRUE 
[RequestAttributes]
CertificateTemplate="WebServer"
[Extensions] 
OID = 1.3.6.1.5.5.7.3.1 
OID = 1.3.6.1.5.5.7.3.2  

証明書を要求しているコンピューターでは、次のコマンドを入力します。On the computer for which you are requesting a certificate type the command below:

CertReq –New RequestConfig.inf CertRequest.req 

次の例では、Oid とその他の解釈が困難なデータを [文字列] セクションの構文の実装を示します。The following example demonstrates implementing the [Strings] section syntax for OIDs and other difficult to interpret data. EKU 拡張機能の Oid のコンマ区切りリストを使用して新しい {text} 構文の例を示します。The new {text} syntax example for EKU extension, which uses a comma separated list of OIDs:

[Version]
Signature="$Windows NT$

[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"
szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"

[NewRequest]
Subject = "CN=TestSelfSignedCert"
Requesttype = Cert

[Extensions]
%szOID_ENHANCED_KEY_USAGE%="{text}%szOID_PKIX_KP_SERVER_AUTH%,"
_continue_ = "%szOID_PKIX_KP_CLIENT_AUTH%"

戻り内容Return to Contents

Certreq-そのまま使用Certreq -accept

CertReq -accept [Options] [CertChainFileIn | FullResponseFileIn | CertFileIn]

– パラメーターは、発行された証明書で以前に生成された秘密キーへのリンクし、保留中の証明書の要求を削除します (一致する要求がある場合)、証明書が要求されているシステムからそのまま使用します。The –accept parameter links the previously generated private key with the issued certificate and removes the pending certificate request from the system where the certificate is requested (if there is a matching request).

手動で証明書を受け入れるため、この例を使用できます。You can use this example for manually accepting a certificate:

certreq -accept certnew.cer 

警告

動詞を受け入れる、-、ユーザーとコンピューターのオプションは、ユーザーまたはコンピューターのコンテキストでインストールされている証明書をインストールするかどうかを示します。The -accept verb, the -user and –machine options indicate whether the cert being installed should be installed in user or machine context. インストールされている公開キーと一致するいずれかのコンテキストで保留中の要求がある場合は、これらのオプションは必要ありません。If there’s an outstanding request in either context that matches the public key being installed, then these options are not needed. 未処理の要求がない場合、これらの 1 つ指定してください。If there is no outstanding request, then one of these must be specified.

戻り内容Return to Contents

Certreq-ポリシーCertreq -policy

certreq -policy [-attrib AttributeString] [-binary] [-cert CertID] [RequestFileIn [PolicyFileIn [RequestFileOut [PKCS10FileOut]]]]
  • 限定従属が定義されている場合、CA 証明書に適用される制約を定義する構成ファイルは、Policy.inf と呼ばれる.The configuration file that defines the constraints that are applied to a CA certificate when qualified subordination is defined is called Policy.inf..
  • Policy.inf ファイルの例を見つけることができます、付録 A の計画し実装のクロス証明と限定従属ホワイト ペーパー。You can find an example of the Policy.inf file in the Appendix A of Planning and Implementing Cross-Certification and Qualified Subordination white paper.
  • Certreq を入力する場合、ポリシーの追加のパラメーターがない場合、ダイアログのウィンドウが開きます選択できるように、要求されたファイル (req、cmc、txt、der、cer または crt)。If you type the certreq -policy without any additional parameter it will open a dialog window so you can select the requested fie (req, cmc, txt, der, cer or crt). 要求されたファイルを選択し、[開く] ボタンをクリックした後、INF ファイルを選択するために別のダイアログ ウィンドウが開きます。Once you select the requested file and click Open button, another dialog window will open in order to select the INF file.

この例を使用して、クロス証明書の要求を構築できます。You can use this example to build a cross certificate request:

certreq -policy Certsrv.req Policy.inf newcertsrv.req 

戻り内容Return to Contents

Certreq-サインインCertreq -sign

certreq -sign [Options] [RequestFileIn [RequestFileOut]]
  • Certreq を入力する場合-記号 (req、cmc、txt、der、cer または crt)、要求されたファイルを選択できるように追加パラメーターを指定しないでダイアログ ウィンドウを開くことができます。If you type the certreq -sign without any additional parameter it will open a dialog window so you can select the requested file (req, cmc, txt, der, cer or crt).
  • 限定従属の要求に署名すると、エンタープライズ管理者の資格情報が必要があります。Signing the qualified subordination request may require Enterprise Administrator credentials. これは、限定従属の署名証明書を発行することをお勧めします。This is a best practice for issuing signing certificates for qualified subordination.
  • 限定従属のテンプレートを使用して、限定従属の要求の署名に使用される証明書が作成されます。The certificate used to sign the qualified subordination request is created using the qualified subordination template. エンタープライズ管理者は、要求の署名またはユーザーの個人証明書に署名するアクセス許可を付与する必要があります。Enterprise Admins will have to sign the request or grant user permissions for the individuals that will sign the certificate.
  • CMC 要求に署名すると、複数の担当者が限定従属に関連付けられている保証レベルに応じて、この要求に署名する必要があります。When you sign the CMC request, you may need to have multiple personnel sign this request, depending on the assurance level that is associated with the qualified subordination.
  • 修飾下位 CA をインストールするは、親 CA がオフラインの場合は、オフラインの親から修飾下位 CA の CA 証明書を取得する必要があります。If the parent CA of the qualified subordinate CA you are installing is offline, you must obtain the CA certificate for the qualified subordinate CA from the offline parent. 親 CA がオンラインの場合は、証明書サービスのインストール ウィザードの中に、修飾下位 CA の CA 証明書を指定します。If the parent CA is online, specify the CA certificate for the qualified subordinate CA during the Certificate Services Installation Wizard.

次のコマンドのシーケンスでは、新しい証明書の要求を作成、署名、および送信する方法を示します。The sequence of commands below will show how to create a new certificate request, sign it and submit it:

certreq -new policyfile.inf MyRequest.req
certreq -sign MyRequest.req MyRequest_Sign.req
certreq -submit MyRequest_Sign.req MyRequest_cert.cer 

戻り内容Return to Contents

Certreq の登録Certreq -enroll

証明書に登録するにはTo enroll to a certificate

certreq –enroll [Options] TemplateName

既存の証明書を更新するにはTo renew an existing certificate

certreq –enroll –cert CertId [Options] Renew [ReuseKeys]

時間の有効な証明書のみ更新できます。You can only renew certificates that are time valid. 有効期限が切れた証明書は、更新できないし、新しい証明書で置き換える必要があります。Expired certificates cannot be renewed and must be replaced with a new certificate.

次のシリアル番号を使用して証明書の更新の例に示します。Here an example of renewing a certificate using its serial number:

certreq –enroll -machine –cert "61 2d 3c fe 00 00 00 00 00 05" Renew

U/操作を使用して、ポリシー サーバーを選択するアスタリスク (*) を使用して、web サーバーという証明書テンプレートを登録する際の例Here an example of enrolling to a certificate template called WebServer by using asterisk (*) to select the policy server via U/I:

certreq -enroll –machine –policyserver * "WebServer"

戻り内容Return to Contents

オプションOptions

オプションOptions 説明Description
-すべて-any エンコードの種類を決定する ICertRequest::Submit を強制します。Force ICertRequest::Submit to determine encoding type.
-attrib <AttributeString >-attrib <AttributeString> 名前と値文字列のペアをコロンで区切って指定します。Specifies the Name and Value string pairs, separated by a colon.
\N (たとえば、Name1:Value1\nName2:Value2) で別個の名前と値の文字列のペアします。Separate Name and Value string pairs with \n (for example, Name1:Value1\nName2:Value2).
-バイナリ-binary 代わりに、base64 でエンコードされたバイナリ形式で出力ファイルの形式。Formats output files as binary instead of base64-encoded.
-PolicyServer <PolicyServer>-PolicyServer <PolicyServer> "ldap: <パス > ""ldap: <path>"
URI または証明書登録ポリシー Web サービスを実行しているコンピューターの一意の ID を挿入します。Insert the URI or unique ID for a computer running the Certificate Enrollment Policy Web Service.
参照して、要求ファイルを使用したいかを指定するに負符号を使用して単に (-) 記号 <policyserver >To specify that you would like to use a request file by browsing, just use a minus (-) sign for <policyserver>.
-config <ConfigString >-config <ConfigString> これは CAHostName\CAName 構成文字列で指定された CA を使用して、操作を処理します。Processes the operation by using the CA specified in the configuration string, which is CAHostName\CAName. Https 接続用には、登録サーバーの URI を指定します。For an https connection, specify the enrollment server URI. ローカル コンピューターのストアの CA、マイナス記号を使用して記号 (-)。For the local machine store CA, use a minus (-) sign.
匿名-Anonymous 証明書の登録 Web サービスには、匿名の資格情報を使用します。Use anonymous credentials for Certificate Enrollment Web Services.
-Kerberos-Kerberos 証明書の登録 Web サービス (ドメイン) の Kerberos の資格情報を使用します。Use Kerberos (domain) credentials for Certificate Enrollment Web Services.
-ClientCertificate <ClientCertId>-ClientCertificate <ClientCertId> 置き換えることができます、 <ClientCertID > 証明書の拇印、CN、EKU、テンプレート、電子メール、UPN、および新しい名前と値の構文を = です。You can replace the <ClientCertID> with a certificate thumbprint, CN, EKU, template, email, UPN, and the new name=value syntax.
-UserName <UserName>-UserName <UserName> 証明書の登録 Web サービスで使用します。Used with Certificate Enrollment Web Services. 代わりに使用することができます <ユーザー名 > SAM 名またはドメイン \ ユーザー。You can substitute <UserName> with the SAM name or domain\user. このオプションは、-p オプションで使用されます。This option is for use with the -p option.
-p <Password>-p <Password> 証明書の登録 Web サービスで使用します。Used with Certificate Enrollment Web Services. 代替 <パスワード > を実際のユーザーのパスワード。Substitute <Password> with the actual user's password. このオプションでは、-UserName オプションと一緒に使用します。This option is for use with the -UserName option.
-ユーザー-user 構成ユーザー コンテキストを指定する新しい証明書の要求のコンテキストを指定または、証明書の承認。Configures the -user context for a new certificate request or specifies the context for an a certificate acceptance. これは、INF またはテンプレートで指定されていない場合の既定のコンテキストです。This is the default context, if none is specified in the INF or template.
-コンピューター-machine 新しい証明書の要求を構成します。 または、コンテキストを指定するコンピューターのコンテキストの証明書の承認。Configures a new certificate request or specifies the context for an a certificate acceptance for the machine context. 新しい要求 MachineKeyset INF キーとテンプレートのコンテキストで一貫性のある場合があります。For new requests it must be consistent with the MachineKeyset INF key and the template context. このオプションが指定されていないテンプレートは、コンテキストを設定していない場合、既定値は、ユーザー コンテキストとします。If this option is not specified and the template does not set a context, then the default is the user context.
-crl-crl 証明書失効リスト (Crl) を使用または RequestFileOut によって指定された base64 でエンコードされたファイルに CertChainFileOut によって指定された base64 でエンコードされた PKCS #7 ファイルに、出力に含まれています。Includes certificate revocation lists (CRLs) in the output to the base64-encoded PKCS #7 file specified by CertChainFileOut or to the base64-encoded file specified by RequestFileOut.
-rpc-rpc Active Directory 証明書サービス (AD CS) 分散 COM の代わりに、リモート プロシージャ コール (RPC) サーバーの接続を使用するように指示しますInstructs Active Directory Certificate Services (AD CS) to use a remote procedure call (RPC) server connection instead of Distributed COM.
-AdminForceMachine-AdminForceMachine キーのサービスまたは権限借用を使用して、ローカル システム コンテキストから要求を送信します。Use the Key Service or impersonation to submit the request from Local System context. このオプションを呼び出しているユーザーは、ローカルの Administrators のメンバーである必要があります。Requires that the user invoking this option be a member of Local Administrators.
-RenewOnBehalfOf-RenewOnBehalfOf 署名証明書で識別されるサブジェクトに代わって更新を送信します。Submit a renewal on behalf of the subject identified in the signing certificate. 呼び出すときに設定 CR_IN_ROBO ICertRequest::SubmitThis sets CR_IN_ROBO when calling ICertRequest::Submit
-f-f 既存のファイルを上書きを強制します。Force existing files to be overwritten. これもキャッシュのテンプレートおよびポリシーをバイパスします。This also bypasses caching templates and policy.
-q-q サイレント モードを使用します。すべての対話型メッセージを非表示します。Use silent mode; suppress all interactive prompts.
Unicode-Unicode 出力を書き込みます Unicode 標準出力のリダイレクトまたは Windows PowerShell® スクリプトから呼び出されたときに、別のコマンドにパイプ処理された場合)。Writes Unicode output when standard output is redirected or piped to another command, which helps when invoked from Windows PowerShell® scripts).
-UnicodeText-UnicodeText ファイルを blob にデータをエンコードされた base64 テキストを書き込むときに、Unicode 出力を送信します。Sends Unicode output when writing base64 text encoded data blobs to files.

戻り内容Return to Contents

書式設定します。Formats

書式設定します。Formats 説明Description
RequestFileInRequestFileIn Base64 でエンコードされたバイナリ入力名またはファイル名:PKCS #10 証明書の要求、CMS 証明書の要求、PKCS #7 証明書更新要求、クロス証明された X.509 証明書または KeyGen タグ形式の証明書の要求。Base64-encoded or binary input file name: PKCS #10 certificate request, CMS certificate request, PKCS #7 certificate renewal request, X.509 certificate to be cross-certified, or KeyGen tag format certificate request.
RequestFileOutRequestFileOut Base64 でエンコードされた出力ファイル名Base64-encoded output file name
CertFileOutCertFileOut Base64 でエンコードされた X-509 ファイル名。Base64-encoded X-509 file name.
PKCS10FileOutPKCS10FileOut 使用するため、 Certreq-ポリシー動詞のみです。For use with the Certreq -policy verb only. PKCS10 出力ファイル名の base 64 エンコード形式です。Base64-encoded PKCS10 output file name.
CertChainFileOutCertChainFileOut Base64 でエンコードされた PKCS #7 ファイル名。Base64-encoded PKCS #7 file name.
FullResponseFileOutFullResponseFileOut Base64 でエンコードされた完全な応答ファイルの名前。Base64-encoded full response file name.
PolicyFileInPolicyFileIn 使用するため、 Certreq-ポリシー動詞のみです。For use with the Certreq -policy verb only. 要求を修飾するために使用される拡張機能のテキスト表現を格納している INF ファイルです。INF file containing a textual representation of extensions used to qualify a request.

追加の certreq 例Additional certreq examples

次の記事には、certreq の使用例が含まれます。The following articles contain examples of certreq usage:

戻り内容Return to Contents