certutilcertutil

Certutil は、証明書サービスの一部としてインストールされるコマンドラインプログラムです。Certutil.exe is a command-line program that is installed as part of Certificate Services. Certutil を使用して、証明機関 (CA) の構成情報のダンプと表示、証明書サービスの構成、CA コンポーネントのバックアップと復元、証明書、キーペア、証明書チェーンの検証を行うことができます。You can use Certutil.exe to dump and display certification authority (CA) configuration information, configure Certificate Services, backup and restore CA components, and verify certificates, key pairs, and certificate chains.

追加のパラメーターを指定せずに証明機関で certutil を実行すると、現在の証明機関の構成が表示されます。When certutil is run on a certification authority without additional parameters, it displays the current certification authority configuration. Cerutil が非証明機関で実行される場合、コマンドは既定で certutil -dump動詞を実行します。When cerutil is run on a non-certification authority, the command defaults to running the certutil -dump verb.

警告

以前のバージョンの certutil では、このドキュメントで説明されているすべてのオプションが提供されない場合があります。Earlier versions of certutil may not provide all of the options that are described in this document. 構文表記」セクションに示されているコマンドを実行すると、certutil の特定のバージョンで提供されるすべてのオプションを確認できます。You can see all the options that a specific version of certutil provides by running the commands shown in the Syntax notations section.

このドキュメントの主なセクションは次のとおりです。The major sections in this document are:

[動詞]Verbs

次の表では、certutil コマンドで使用できる動詞について説明します。The following table describes the verbs that can be used with the certutil command.

[動詞]Verbs 説明Description
-ダンプ-dump 構成情報またはファイルをダンプするDump configuration information or files
-asn-asn Asn.1 ファイルを解析するParse ASN.1 file
-decodehex-decodehex 16進数でエンコードされたファイルのデコードDecode hexadecimal-encoded file
-デコード-decode Base64 でエンコードされたファイルをデコードするDecode a Base64-encoded file
-エンコード-encode Base64 へのファイルのエンコードEncode a file to Base64
-拒否-deny 保留中の証明書の要求を拒否するDeny a pending certificate request
-再送信-resubmit 保留中の証明書要求を再送信するResubmit a pending certificate request
-setattributes-setattributes 保留中の証明書要求の属性を設定するSet attributes for a pending certificate request
-setextension-setextension 保留中の証明書要求の拡張機能を設定するSet an extension for a pending certificate request
-revoke-revoke 証明書の失効Revoke a certificate
-isvalid-isvalid 現在の証明書の処理を表示するDisplay the disposition of the current certificate
-getconfig-getconfig 既定の構成文字列を取得するGet the default configuration string
-ping-ping Active Directory 証明書サービスの要求インターフェイスに接続しようとしましたAttempt to contact the Active Directory Certificate Services Request interface
-ping 管理者-pingadmin Active Directory Certificate Services 管理インターフェイスに接続しようとしましたAttempt to contact the Active Directory Certificate Services Admin interface
-CAInfo-CAInfo 証明機関に関する情報を表示するDisplay information about the certification authority
-ca. cert-ca.cert 証明機関の証明書を取得します。Retrieve the certificate for the certification authority
-ca. チェーン-ca.chain 証明機関の証明書チェーンを取得します。Retrieve the certificate chain for the certification authority
-GetCRL-GetCRL 証明書失効リスト (CRL) を取得するGet a certificate revocation list (CRL)
-CRL-CRL 新しい証明書失効リスト (Crl) を発行する (または delta Crl のみ)Publish new certificate revocation lists (CRLs) [or only delta CRLs]
-shutdown-shutdown Active Directory 証明書サービスのシャットダウンShutdown Active Directory Certificate Services
-installCert-installCert 証明機関証明書のインストールInstall a certification authority certificate
-renewCert-renewCert 証明機関証明書を更新するRenew a certification authority certificate
-スキーマ-schema 証明書のスキーマをダンプするDump the schema for the certificate
-ビュー-view 証明書ビューをダンプするDump the certificate view
-db-db Raw データベースをダンプするDump the raw database
-deleterow-deleterow サーバーデータベースからの行の削除Delete a row from the server database
-バックアップ-backup バックアップ Active Directory 証明書サービスBackup Active Directory Certificate Services
-backupDB-backupDB Active Directory 証明書サービスデータベースをバックアップするBackup the Active Directory Certificate Services database
-backupKey-backupKey Active Directory 証明書サービスの証明書と秘密キーをバックアップするBackup the Active Directory Certificate Services certificate and private key
-復元-restore Active Directory 証明書サービスの復元Restore Active Directory Certificate Services
-restoreDB-restoreDB Active Directory 証明書サービスデータベースを復元するRestore the Active Directory Certificate Services database
-restoreKey-restoreKey Active Directory 証明書サービスの証明書と秘密キーを復元するRestore the Active Directory Certificate Services certificate and private key
-importPFX-importPFX 証明書と秘密キーのインポートImport certificate and private key
-dynamicfilelist-dynamicfilelist 動的ファイルリストの表示Display a dynamic file list
-databaselocations-databaselocations データベースの場所の表示Display database locations
-hashfile-hashfile ファイルに暗号化ハッシュを生成して表示するGenerate and display a cryptographic hash over a file
-ストア-store 証明書ストアをダンプするDump the certificate store
-addstore-addstore 証明書をストアに追加するAdd a certificate to the store
-delstore-delstore ストアから証明書を削除するDelete a certificate from the store
-verifystore-verifystore ストア内の証明書を確認するVerify a certificate in the store
-repairstore-repairstore キーの関連付けを修復するか、証明書のプロパティまたはキーのセキュリティ記述子を更新します。Repair a key association or update certificate properties or the key security descriptor
-viewstore-viewstore 証明書ストアをダンプするDump the certificates store
-viewdelstore-viewdelstore ストアから証明書を削除するDelete a certificate from the store
-dsPublish-dsPublish 証明書または証明書失効リスト (CRL) を Active Directory に発行するPublish a certificate or certificate revocation list (CRL) to Active Directory
-ADTemplate-ADTemplate AD テンプレートの表示Display AD templates
-テンプレート-Template 証明書テンプレートを表示するDisplay certificate templates
-TemplateCAs-TemplateCAs 証明書テンプレートの証明機関 (Ca) を表示するDisplay the certification authorities (CAs) for a certificate template
-CATemplates-CATemplates CA のテンプレートを表示するDisplay templates for CA
-SetCASites-SetCASites Ca のサイト名を管理するManage Site Names for CAs
-enrollmentServerURL-enrollmentServerURL CA に関連付けられている登録サーバーの Url を表示、追加、または削除するDisplay, add or delete enrollment server URLs associated with a CA
-ADCA-ADCA AD CAs を表示するDisplay AD CAs
-CA-CA 登録ポリシーの Ca を表示するDisplay Enrollment Policy CAs
-ポリシー-Policy 登録ポリシーを表示するDisplay Enrollment Policy
-PolicyCache-PolicyCache 登録ポリシーのキャッシュエントリを表示または削除するDisplay or delete Enrollment Policy Cache entries
-CredStore-CredStore 資格情報ストアのエントリを表示、追加、または削除するDisplay, add or delete Credential Store entries
-InstallDefaultTemplates-InstallDefaultTemplates 既定の証明書テンプレートをインストールするInstall default certificate templates
-URLCache-URLCache URL キャッシュエントリを表示または削除するDisplay or delete URL cache entries
-pulse-pulse パルス自動登録イベントPulse auto enrollment events
-MachineInfo-MachineInfo Active Directory マシンオブジェクトに関する情報を表示するDisplay information about the Active Directory machine object
-DCInfo-DCInfo ドメインコントローラーに関する情報を表示するDisplay information about the domain controller
-EntInfo-EntInfo エンタープライズ CA に関する情報を表示するDisplay information about an enterprise CA
-TCAInfo-TCAInfo CA に関する情報を表示するDisplay information about the CA
-SCInfo-SCInfo スマートカードに関する情報を表示するDisplay information about the smart card
-SCRoots-SCRoots スマートカードのルート証明書の管理Manage smart card root certificates
-verifykeys-verifykeys 公開キーまたは秘密キーのセットを確認するVerify a public or private key set
-verify-verify 証明書、証明書失効リスト (CRL)、または証明書チェーンを検証するVerify a certificate, certificate revocation list (CRL), or certificate chain
-verifyCTL-verifyCTL AuthRoot または許可されていない証明書の CTL を確認するVerify AuthRoot or Disallowed Certificates CTL
-sign-sign 証明書失効リスト (CRL) または証明書に再署名するRe-sign a certificate revocation list (CRL) or certificate
-vroot-vroot Web 仮想ルートとファイル共有を作成または削除するCreate or delete web virtual roots and file shares
-vocsproot-vocsproot OCSP web プロキシの web 仮想ルートを作成または削除するCreate or delete web virtual roots for an OCSP web proxy
-addEnrollmentServer-addEnrollmentServer 登録サーバーアプリケーションの追加Add an Enrollment Server application
-deleteEnrollmentServer-deleteEnrollmentServer 登録サーバーアプリケーションの削除Delete an Enrollment Server application
-addPolicyServer-addPolicyServer ポリシーサーバーアプリケーションの追加Add a Policy Server application
-deletePolicyServer-deletePolicyServer ポリシーサーバーアプリケーションの削除Delete a Policy Server application
-oid-oid オブジェクト識別子を表示するか、表示名を設定します。Display the object identifier or set a display name
-エラー-error エラーコードに関連付けられたメッセージテキストを表示するDisplay the message text associated with an error code
-getreg-getreg レジストリ値の表示Display a registry value
-setreg-setreg レジストリ値の設定Set a registry value
-delreg-delreg レジストリ値の削除Delete a registry value
-ImportKMS-ImportKMS キーのアーカイブ用にユーザーキーと証明書をサーバーデータベースにインポートするImport user keys and certificates into the server database for key archival
-ImportCert-ImportCert 証明書ファイルをデータベースにインポートするImport a certificate file into the database
-GetKey-GetKey アーカイブされた秘密キーの回復 blob を取得するRetrieve an archived private key recovery blob
-回復キー-RecoverKey アーカイブされた秘密キーを回復するRecover an archived private key
-MergePFX-MergePFX PFX ファイルのマージMerge PFX files
-収束 Tepf-ConvertEPF PFX ファイルを EPF ファイルに変換するConvert a PFX file into an EPF file
-?-? 動詞の一覧を表示しますDisplays the list of verbs
-動詞 >-? <-<verb> -? 指定された動詞のヘルプを表示します。Displays help for the verb specified.
-?-? -v-v 動詞との完全な一覧を表示します。Displays a full list of verbs and

メニューに戻るReturn to Menu

構文表記Syntax notations

  • 基本的なコマンドライン構文については、を実行します。certutil -?For basic command line syntax, run certutil -?
  • 特定の動詞で certutil を使用する構文については、 certutil <動詞 > -?For the syntax on using certutil with a specific verb, run certutil <verb> -?
  • すべての certutil 構文をテキストファイルに送信するには、次のコマンドを実行します。To send all of the certutil syntax into a text file, run the following commands:
    • certutil -v -? > certutilhelp.txt
    • notepad certutilhelp.txt

次の表では、コマンドライン構文を示すために使用される表記法について説明します。The following table describes the notation used to indicate command-line syntax.

NotationNotation 説明Description
角かっこまたは中かっこを含まないテキストText without brackets or braces 表示されるように入力する必要がある項目Items you must type as shown
<山かっこ内のテキスト ><Text inside angle brackets> 値を指定する必要があるプレースホルダーPlaceholder for which you must supply a value
[角かっこ内のテキスト][Text inside square brackets] 省略可能な項目Optional items
{中かっこ内のテキスト}{Text inside braces} 必須項目のセット1つ選択するSet of required items; choose one
縦棒 (Vertical bar ( ))
省略記号 (...)Ellipsis (…) 繰り返し可能な項目Items that can be repeated

メニューに戻るReturn to Menu

-ダンプ-dump

CertUtil [オプション] [-dump]CertUtil [Options] [-dump]

CertUtil [オプション] [-dump] ファイルCertUtil [Options] [-dump] File

構成情報またはファイルをダンプするDump configuration information or files

[-f][-silent][-split][-p パスワード][-t タイムアウト][-f] [-silent] [-split] [-p Password] [-t Timeout]

メニューに戻るReturn to Menu

-asn-asn

CertUtil [オプション]-asn ファイル [種類]CertUtil [Options] -asn File [type]

Asn.1 ファイルを解析するParse ASN.1 file

型: 数値 CRYPT_文字列_ *デコード型type: numeric CRYPT_STRING_* decoding type

メニューに戻るReturn to Menu

-decodehex-decodehex

CertUtil [オプション]-decodehex InFile 出力 [種類]CertUtil [Options] -decodehex InFile OutFile [type]

種類: 数値 CRYPT_文字列_ *のエンコードの種類type: numeric CRYPT_STRING_* encoding type

[-f][-f]

メニューに戻るReturn to Menu

-デコード-decode

CertUtil [オプション]-InFile 出力のデコードCertUtil [Options] -decode InFile OutFile

Base64 でエンコードされたファイルのデコードDecode Base64-encoded file

[-f][-f]

メニューに戻るReturn to Menu

-エンコード-encode

CertUtil [オプション]-エンコード InFile の出力CertUtil [Options] -encode InFile OutFile

Base64 へのファイルのエンコードEncode file to Base64

[-f][-UnicodeText][-f] [-UnicodeText]

メニューに戻るReturn to Menu

-拒否-deny

CertUtil [オプション]-deny RequestIdCertUtil [Options] -deny RequestId

保留中の要求を拒否するDeny pending request

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-再送信-resubmit

CertUtil [オプション]-RequestId を再送信するCertUtil [Options] -resubmit RequestId

保留中の要求の再送信Resubmit pending request

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-setattributes-setattributes

CertUtil [オプション]-setattributes RequestId AttributeStringCertUtil [Options] -setattributes RequestId AttributeString

保留中の要求の属性を設定するSet attributes for pending request

RequestId--保留中の要求の数値要求 IdRequestId -- numeric Request Id of pending request

AttributeString--属性名と値のペアを要求するAttributeString -- Request Attribute name and value pairs

  • 名前と値はコロンで区切られます。Names and values are colon separated.
  • 複数の名前、値のペアは改行で区切られています。Multiple name, value pairs are newline separated.
  • 例: "CertificateTemplate:User\nEMail:User@Domain.com"Example: "CertificateTemplate:User\nEMail:User@Domain.com"
  • 各 "\n" シーケンスは改行区切り記号に変換されます。Each "\n" sequence is converted to a newline separator.

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-setextension-setextension

CertUtil [オプション]-setextension RequestId ExtensionName フラグ {Long |Date |String |@InFile}CertUtil [Options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

保留中の要求の拡張機能の設定Set extension for pending request

RequestId--保留中の要求の数値要求 IdRequestId -- numeric Request Id of a pending request

ExtensionName--拡張機能の ObjectId 文字列ExtensionName -- ObjectId string of the extension

Flags--0 をお勧めします。Flags -- 0 is recommended. 1拡張が重大になるようにします。2によって無効になります。1 makes the extension critical, 2 disables it, 3 does both.

最後のパラメーターが数値の場合は、Long として取得されます。If the last parameter is numeric, it is taken as a Long.

日付として解析できる場合は、日付として取得されます。If it can be parsed as a date, it is taken as a Date.

'@' で始まる場合、トークンの残りの部分は、バイナリデータまたは ascii テキストの16進ダンプを含むファイル名です。If it starts with '@', the rest of the token is the filename containing binary data or an ascii-text hex dump.

他のものはすべて文字列として取得されます。Anything else is taken as a String.

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-revoke-revoke

CertUtil [オプション]-シリアル化を取り消す [理由]CertUtil [Options] -revoke SerialNumber [Reason]

証明書の失効Revoke Certificate

SerialNumber失効する証明書のシリアル番号のコンマ区切りの一覧SerialNumber: Comma separated list of certificate serial numbers to revoke

理由: 数値またはシンボルの失効理由Reason: numeric or symbolic revocation reason

  • 0CRL_REASON_UNSPECIFIED:未指定 (既定値)0: CRL_REASON_UNSPECIFIED: Unspecified (default)
  • 1:CRL_REASON_KEY_COMPROMISE:キーの侵害1: CRL_REASON_KEY_COMPROMISE: Key Compromise
  • 2:CRL_REASON_CA_COMPROMISE:CA の侵害2: CRL_REASON_CA_COMPROMISE: CA Compromise
  • 3:CRL_REASON_AFFILIATION_CHANGED:所属の変更3: CRL_REASON_AFFILIATION_CHANGED: Affiliation Changed
  • 4時CRL_REASON_SUPERSEDED:置き換え済み4: CRL_REASON_SUPERSEDED: Superseded
  • 5時CRL_REASON_CESSATION_OF_OPERATION:中断の操作5: CRL_REASON_CESSATION_OF_OPERATION: Cessation of Operation
  • 4/6CRL_REASON_CERTIFICATE_HOLD:証明書保留6: CRL_REASON_CERTIFICATE_HOLD: Certificate Hold
  • 8CRL_REASON_REMOVE_FROM_CRL:CRL から削除8: CRL_REASON_REMOVE_FROM_CRL: Remove From CRL
  • -1:失効失効-1: Unrevoke: Unrevoke

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-isvalid-isvalid

CertUtil [オプション]-isvalid シリアル |CertHashCertUtil [Options] -isvalid SerialNumber | CertHash

現在の証明書の廃棄を表示するDisplay current certificate disposition

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-getconfig-getconfig

CertUtil [オプション]-getconfigCertUtil [Options] -getconfig

既定の構成文字列を取得するGet default configuration string

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-ping-ping

CertUtil [オプション]-ping [Maxセカンダリ Dstowait |CAMachineList]CertUtil [Options] -ping [MaxSecondsToWait | CAMachineList]

Ping Active Directory 証明書サービスの要求インターフェイスPing Active Directory Certificate Services Request interface

CAMachineList--コンマで区切られた CA コンピューター名の一覧CAMachineList -- Comma-separated CA machine name list

  1. 1台のコンピューターの場合は、終了コンマを使用します。For a single machine, use a terminating comma
  2. 各 CA コンピューターのサイトコストが表示されます。Displays the site cost for each CA machine

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-CAInfo-CAInfo

CertUtil [オプション]-CAInfo [InfoName [Index |ErrorCode]]CertUtil [Options] -CAInfo [InfoName [Index | ErrorCode]]

CA 情報を表示するDisplay CA Information

InfoName--表示する CA プロパティを示します (下記参照)。InfoName -- indicates the CA property to display (see below). すべての*プロパティに対して "" を使用します。Use "*" for all properties.

Index--省略可能な0から始まるプロパティインデックスIndex -- optional zero-based property index

ErrorCode--数値エラーコードErrorCode -- numeric error code

[-f][-split][-config Machine\CAName][-f] [-split] [-config Machine\CAName]

InfoName 引数の構文:InfoName argument syntax:

  • 拡張子ファイル バージョンfile: File version
  • 梱包製品バージョンproduct: Product version
  • exitcount:終了モジュール数exitcount: Exit module count
  • 終了 [インデックス]:モジュールの終了の説明exit [Index]: Exit module description
  • ポリシーポリシーモジュールの説明policy: Policy module description
  • 指定CA 名name: CA name
  • sanitizedname:校正した CA 名sanitizedname: Sanitized CA name
  • dsname校正した CA の短い名前 (DS 名)dsname: Sanitized CA short name (DS name)
  • 共有フォルダ共有フォルダーsharedfolder: Shared folder
  • error1 ErrorCode:エラーメッセージのテキストerror1 ErrorCode: Error message text
  • error2 ErrorCode:エラーメッセージテキストとエラーコードerror2 ErrorCode: Error message text and error code
  • 各種CA の種類type: CA type
  • インフォメーションCA 情報info: CA info
  • 所属親 CAparent: Parent CA
  • certcount:CA 証明書数certcount: CA cert count
  • xchgcount:CA exchange 証明書数xchgcount: CA exchange cert count
  • kracount:KRA cert 数kracount: KRA cert count
  • kraused:KRA cert used countkraused: KRA cert used count
  • propidmax:最大 CA PropIdpropidmax: Maximum CA PropId
  • certstate [インデックス]:CA 証明書certstate [Index]: CA cert
  • certversion [Index]:CA 証明書のバージョンcertversion [Index]: CA cert version
  • certstatuscode [Index]:CA 証明書検証の状態certstatuscode [Index]: CA cert verify status
  • crlstate [インデックス]:.CRLcrlstate [Index]: CRL
  • krastate [インデックス]:KRA certkrastate [Index]: KRA cert
  • クロス状態 + [インデックス]:クロス証明書を転送するcrossstate+ [Index]: Forward cross cert
  • クロス状態-[インデックス]:下位のクロス証明書crossstate- [Index]: Backward cross cert
  • 証明書 [インデックス]:CA 証明書cert [Index]: CA cert
  • certchain [インデックス]:CA 証明書チェーンcertchain [Index]: CA cert chain
  • certcrlchain [インデックス]:Crl を使用した CA 証明書チェーンcertcrlchain [Index]: CA cert chain with CRLs
  • xchg [インデックス]:CA exchange 証明書xchg [Index]: CA exchange cert
  • xchgchain [インデックス]:CA exchange 証明書チェーンxchgchain [Index]: CA exchange cert chain
  • xchgcrlchain [インデックス]:Crl を使用した CA exchange 証明書チェーンxchgcrlchain [Index]: CA exchange cert chain with CRLs
  • kra [インデックス]:KRA certkra [Index]: KRA cert
  • クロス + [インデックス]:クロス証明書を転送するcross+ [Index]: Forward cross cert
  • クロス [インデックス]:下位のクロス証明書cross- [Index]: Backward cross cert
  • CRL [インデックス]:Base CRLCRL [Index]: Base CRL
  • deltacrl [インデックス]:Delta CRLdeltacrl [Index]: Delta CRL
  • crlstatus [インデックス]:CRL 発行ステータスcrlstatus [Index]: CRL Publish Status
  • deltacrlstatus [インデックス]:Delta CRL の発行ステータスdeltacrlstatus [Index]: Delta CRL Publish Status
  • dnsDNS 名dns: DNS Name
  • 果たす役割の分離role: Role Separation
  • キャンペーンAdvanced Serverads: Advanced Server
  • テンプレートテンプレートtemplates: Templates
  • csp [インデックス]:OCSP Urlcsp [Index]: OCSP URLs
  • aia [インデックス]:AIA Urlaia [Index]: AIA URLs
  • cdp [インデックス]:CDP Urlcdp [Index]: CDP URLs
  • localenameCA のロケール名localename: CA locale name
  • subjecttemplateoids:サブジェクトテンプレート Oidsubjecttemplateoids: Subject Template OIDs

メニューに戻るReturn to Menu

-ca. cert-ca.cert

CertUtil [オプション]-ca. cert OutCACertFile [Index]CertUtil [Options] -ca.cert OutCACertFile [Index]

CA の証明書を取得するRetrieve the CA's certificate

OutCACertFile: 出力ファイルOutCACertFile: output file

化CA 証明書の更新インデックス (既定で最新)Index: CA certificate renewal index (defaults to most recent)

[-f][-split][-config Machine\CAName][-f] [-split] [-config Machine\CAName]

メニューに戻るReturn to Menu

-ca. チェーン-ca.chain

CertUtil [オプション]-OutCACertChainFile [インデックス]CertUtil [Options] -ca.chain OutCACertChainFile [Index]

CA の証明書チェーンを取得するRetrieve the CA's certificate chain

OutCACertChainFile: 出力ファイルOutCACertChainFile: output file

化CA 証明書の更新インデックス (既定で最新)Index: CA certificate renewal index (defaults to most recent)

[-f][-split][-config Machine\CAName][-f] [-split] [-config Machine\CAName]

メニューに戻るReturn to Menu

-GetCRL-GetCRL

CertUtil [オプション]-GetCRL 出力 [インデックス] [差分]CertUtil [Options] -GetCRL OutFile [Index] [delta]

CRL を取得するGet CRL

化CRL インデックスまたはキーインデックス (最新のキーの既定値は CRL)Index: CRL index or key index (defaults to CRL for newest key)

デルタ: delta CRL (既定は base CRL)delta: delta CRL (default is base CRL)

[-f][-split][-config Machine\CAName][-f] [-split] [-config Machine\CAName]

メニューに戻るReturn to Menu

-CRL-CRL

CertUtil [オプション]-CRL [dd: hh | 再発行] [差分]CertUtil [Options] -CRL [dd:hh | republish] [delta]

新しい Crl を発行する [または delta Crl のみ]Publish new CRLs [or delta CRLs only]

dd: hh--新しい CRL の有効期間 (日数と時間)dd:hh -- new CRL validity period in days and hours

再発行--最新の Crl を再発行します。republish -- republish most recent CRLs

差分--delta Crl のみ (既定は base および delta Crl)delta -- delta CRLs only (default is base and delta CRLs)

[-split][-config Machine\CAName][-split] [-config Machine\CAName]

メニューに戻るReturn to Menu

-shutdown-shutdown

CertUtil [オプション]-shutdownCertUtil [Options] -shutdown

Active Directory 証明書サービスのシャットダウンShutdown Active Directory Certificate Services

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-installCert-installCert

CertUtil [オプション]-installCert [CACertFile]CertUtil [Options] -installCert [CACertFile]

証明機関証明書のインストールInstall Certification Authority certificate

[-f][-silent][-config Machine\CAName][-f] [-silent] [-config Machine\CAName]

メニューに戻るReturn to Menu

-renewCert-renewCert

CertUtil [オプション]-renewCert [ReuseKeys] [Machine\ParentCAName]CertUtil [Options] -renewCert [ReuseKeys] [Machine\ParentCAName]

証明機関証明書の更新Renew Certification Authority certificate

未処理の更新要求を無視し、新しい要求を生成するには、-f を使用します。Use -f to ignore an outstanding renewal request, and generate a new request.

[-f][-silent][-config Machine\CAName][-f] [-silent] [-config Machine\CAName]

メニューに戻るReturn to Menu

-スキーマ-schema

CertUtil [オプション]-schema [Ext |Attrib |.CRLCertUtil [Options] -schema [Ext | Attrib | CRL]

証明書スキーマのダンプDump Certificate Schema

要求と証明書テーブルの既定値Defaults to Request and Certificate table

Ext拡張テーブルExt: Extension table

Attrib属性テーブルAttrib: Attribute table

.CRLCRL テーブルCRL: CRL table

[-split][-config Machine\CAName][-split] [-config Machine\CAName]

メニューに戻るReturn to Menu

-ビュー-view

CertUtil [オプション]-view [Queue |Log |LogFail |取り消し |Ext |Attrib |CRL] [csv]CertUtil [Options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

証明書ビューのダンプDump Certificate View

キュー:要求キューQueue: Request queue

ログ :発行または失効した証明書、および失敗した要求Log: Issued or revoked certificates, plus failed requests

LogFail:失敗した要求LogFail: Failed requests

化失効した証明書Revoked: Revoked certificates

Ext拡張テーブルExt: Extension table

Attrib属性テーブルAttrib: Attribute table

.CRLCRL テーブルCRL: CRL table

市区コンマ区切り値として出力するcsv: Output as Comma Separated Values

すべてのエントリの StatusCode 列を表示するには:-out StatusCodeTo display the StatusCode column for all entries: -out StatusCode

最後のエントリのすべての列を表示する場合:-restrict "RequestId = = $"To display all columns for the last entry: -restrict "RequestId==$"

3つの要求に対して requestid と後処理を表示する場合:-restrict "<requestid > = 37, requestid 40"-out "requestid, ディスポジション"To display RequestId and Disposition for three requests: -restrict "RequestId>=37,RequestId<40" -out "RequestId,Disposition"

すべての Base Crl の行 Id と CRL 番号を表示するには:-restrict "CRLMinBase = 0"-out "CRLRowId, CRLNumber" CRLTo display Row Ids and CRL Numbers for all Base CRLs: -restrict "CRLMinBase=0" -out "CRLRowId,CRLNumber" CRL

Base CRL Number 3 を表示するには:-v-制限 "CRLMinBase = 0, CRLNumber = 3"-out "CRLRawCRL" CRLTo display Base CRL Number 3: -v -restrict "CRLMinBase=0,CRLNumber=3" -out "CRLRawCRL" CRL

CRL テーブル全体を表示するには、次のようにします.CRLTo display the entire CRL table: CRL

日付制限には、"Date [+ |-dd: hh]" を使用します。Use "Date[+|-dd:hh]" for date restrictions

現在の時刻を基準とする日付に "now + dd: hh" を使用します。Use "now+dd:hh" for a date relative to the current time

[-silent][-split][-config Machine\CAName][-制限 RestrictionList][-out ColumnList][-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

メニューに戻るReturn to Menu

-db-db

CertUtil [オプション]-dbCertUtil [Options] -db

Raw データベースをダンプするDump Raw Database

[-config Machine\CAName][-制限 RestrictionList][-out ColumnList][-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

メニューに戻るReturn to Menu

-deleterow-deleterow

CertUtil [オプション]-deleterow RowId |日付 [Request |Cert |Ext |Attrib |.CRLCertUtil [Options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

サーバーデータベース行の削除Delete server database row

要求:失敗した要求と保留中の要求 (送信日)Request: Failed and pending requests (submission date)

Cert:期限切れの証明書と失効した証明書 (有効期限)Cert: Expired and revoked certificates (expiration date)

Ext拡張テーブルExt: Extension table

Attrib属性テーブルAttrib: Attribute table

.CRLCRL テーブル (有効期限)CRL: CRL table (expiration date)

2001年1月22日までに送信された失敗した要求と保留中の要求を削除するには:1/22/2001 要求To delete failed and pending requests submitted by January 22, 2001: 1/22/2001 Request

2001年1月22日に期限切れになったすべての証明書を削除するには:1/22/2001 証明書To delete all certificates that expired by January 22, 2001: 1/22/2001 Cert

RequestId 37 の証明書行、属性、および拡張を削除するには、次のようにします。37To delete the certificate row, attributes and extensions for RequestId 37: 37

2001年1月22日に期限切れになった Crl を削除するには:1/22/2001 CRLTo delete CRLs that expired by January 22, 2001: 1/22/2001 CRL

[-f][-config Machine\CAName][-f] [-config Machine\CAName]

メニューに戻るReturn to Menu

-バックアップ-backup

CertUtil [オプション]-backup BackupDirectory [増分] [KeepLog]CertUtil [Options] -backup BackupDirectory [Incremental] [KeepLog]

バックアップ Active Directory 証明書サービスBackup Active Directory Certificate Services

BackupDirectory: バックアップされたデータを格納するディレクトリBackupDirectory: directory to store backed up data

増分: 増分バックアップのみを実行します (既定値は完全バックアップです)Incremental: perform incremental backup only (default is full backup)

KeepLog: データベースログファイルを保持します (既定では、ログファイルが切り捨てられます)KeepLog: preserve database log files (default is to truncate log files)

[-f][-config Machine\CAName][-p パスワード][-f] [-config Machine\CAName] [-p Password]

メニューに戻るReturn to Menu

-backupDB-backupDB

CertUtil [オプション]-backupDB BackupDirectory [増分] [KeepLog]CertUtil [Options] -backupDB BackupDirectory [Incremental] [KeepLog]

バックアップ Active Directory 証明書サービスデータベースBackup Active Directory Certificate Services database

BackupDirectory: バックアップされたデータベースファイルを格納するディレクトリBackupDirectory: directory to store backed up database files

増分: 増分バックアップのみを実行します (既定値は完全バックアップです)Incremental: perform incremental backup only (default is full backup)

KeepLog: データベースログファイルを保持します (既定では、ログファイルが切り捨てられます)KeepLog: preserve database log files (default is to truncate log files)

[-f][-config Machine\CAName][-f] [-config Machine\CAName]

メニューに戻るReturn to Menu

-backupKey-backupKey

CertUtil [オプション]-backupKey BackupDirectoryCertUtil [Options] -backupKey BackupDirectory

証明書サービス証明書と秘密キーのバックアップ Active DirectoryBackup Active Directory Certificate Services certificate and private key

BackupDirectory: バックアップされた PFX ファイルを格納するディレクトリBackupDirectory: directory to store backed up PFX file

[-f][-config Machine\CAName][-p パスワード][-t タイムアウト][-f] [-config Machine\CAName] [-p Password] [-t Timeout]

メニューに戻るReturn to Menu

-復元-restore

CertUtil [オプション]-BackupDirectory の復元CertUtil [Options] -restore BackupDirectory

Active Directory 証明書サービスの復元Restore Active Directory Certificate Services

BackupDirectory: 復元するデータを含むディレクトリBackupDirectory: directory containing data to be restored

[-f][-config Machine\CAName][-p パスワード][-f] [-config Machine\CAName] [-p Password]

メニューに戻るReturn to Menu

-restoreDB-restoreDB

CertUtil [オプション]-restoreDB BackupDirectoryCertUtil [Options] -restoreDB BackupDirectory

Active Directory 証明書サービスデータベースの復元Restore Active Directory Certificate Services database

BackupDirectory: 復元するデータベースファイルが格納されているディレクトリBackupDirectory: directory containing database files to be restored

[-f][-config Machine\CAName][-f] [-config Machine\CAName]

メニューに戻るReturn to Menu

-restoreKey-restoreKey

CertUtil [オプション]-restoreKey BackupDirectory |PFXFileCertUtil [Options] -restoreKey BackupDirectory | PFXFile

Active Directory 証明書サービス証明書と秘密キーを復元するRestore Active Directory Certificate Services certificate and private key

BackupDirectory: 復元する PFX ファイルを含むディレクトリBackupDirectory: directory containing PFX file to be restored

PFXFile:復元する PFX ファイルPFXFile: PFX file to be restored

[-f][-config Machine\CAName][-p パスワード][-f] [-config Machine\CAName] [-p Password]

メニューに戻るReturn to Menu

-importPFX-importPFX

CertUtil [オプション]-importPFX [証明] PFXFile [Modifiers]CertUtil [Options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

証明書と秘密キーのインポートImport certificate and private key

証明証明書ストアの名前。CertificateStoreName: Certificate store name. -Store」を参照してください。See -store.

PFXFile:インポートする PFX ファイルPFXFile: PFX file to be imported

ド次の1つまたは複数のコンマ区切りの一覧。Modifiers: Comma separated list of one or more of the following:

  1. AT_SIGNATURE:KeySpec を署名に変更するAT_SIGNATURE: Change the KeySpec to Signature
  2. AT_KEYEXCHANGE:KeySpec をキー交換に変更するAT_KEYEXCHANGE: Change the KeySpec to Key Exchange
  3. NoExport:秘密キーをエクスポート不可にするNoExport: Make the private key non-exportable
  4. NoCert:証明書をインポートしないNoCert: Do not import the certificate
  5. NoChain:証明書チェーンをインポートしないNoChain: Do not import the certificate chain
  6. NoRoot:ルート証明書をインポートしないNoRoot: Do not import the root certificate
  7. 防止パスワードを使用してキーを保護するProtect: Protect keys with password
  8. NoProtect:キーをパスワードで保護しないNoProtect: Do not password protect keys

既定値はパーソナルコンピューターストアです。Defaults to personal machine store.

[-f][-ユーザー][-p パスワード][-csp プロバイダー][-f] [-user] [-p Password] [-csp Provider]

メニューに戻るReturn to Menu

-dynamicfilelist-dynamicfilelist

CertUtil [オプション]-dynamicfilelistCertUtil [Options] -dynamicfilelist

動的ファイルリストの表示Display dynamic file List

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-databaselocations-databaselocations

CertUtil [オプション]-databaselocations 場所CertUtil [Options] -databaselocations

データベースの場所の表示Display database locations

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-hashfile-hashfile

CertUtil [オプション]-hashfile InFile [HashAlgorithm]CertUtil [Options] -hashfile InFile [HashAlgorithm]

ファイルに暗号化ハッシュを生成して表示するGenerate and display cryptographic hash over a file

メニューに戻るReturn to Menu

-ストア-store

CertUtil [オプション]-store [証明 [CertId [OutputFile]]]CertUtil [Options] -store [CertificateStoreName [CertId [OutputFile]]]

証明書ストアのダンプDump certificate store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. 例 :Examples:

  • "My"、"CA" (既定値)、"Root"、"My", "CA" (default), "Root",
  • "ldap:///CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? one? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の表示)"ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority" (View Root Certificates)
  • "ldap:///CN=CAName,CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の変更)"ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Modify Root Certificates)
  • "ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services、CN = Services、CN = Configuration、DC = cpandl、DC = com? certificateRevocationList? base? objectClass = cRLDistributionPoint" (Crl の表示)"ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint" (View CRLs)
  • "ldap:///CN=NTAuthCertificates,CN=Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (エンタープライズ CA 証明書)"ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Enterprise CA Certificates)
  • ldap(AD コンピューターオブジェクトの証明書)ldap: (AD computer object certificates)
  • -ユーザー ldap:(AD ユーザーオブジェクト証明書)-user ldap: (AD user object certificates)

CertId証明書または CRL の一致トークン。CertId: Certificate or CRL match token. これには、シリアル番号、SHA-1 証明書、CRL、CTL または公開キーハッシュ、数値証明書インデックス (0、1など)、数値の CRL インデックス (.0、.1 など)、数値 CTL インデックス (.) を指定できます。0、.1など)、公開キー、署名、または拡張 ObjectId、証明書のサブジェクトの共通名、電子メールアドレス、UPN または DNS 名、キーコンテナー名または CSP 名、テンプレート名または ObjectId、EKU またはアプリケーションポリシーの ObjectId、または CRL 発行者の共通名。This can be a serial number, an SHA-1 certificate, CRL, CTL or public key hash, a numeric cert index (0, 1, and so on), a numeric CRL index (.0, .1, and so on), a numeric CTL index (..0, ..1, and so on), a public key, signature or extension ObjectId, a certificate subject Common Name, an e-mail address, UPN or DNS name, a key container name or CSP name, a template name or ObjectId, an EKU or Application Policies ObjectId, or a CRL issuer Common Name. 多くの場合、複数の一致が発生する可能性があります。Many of these may result in multiple matches.

OutputFile: 一致する証明書を保存するファイルOutputFile: file to save matching cert

コンピューターストアではなくユーザーストアにアクセスするには、-user を使用します。Use -user to access a user store instead of a machine store.

-Enterprise を使用して、マシンのエンタープライズストアにアクセスします。Use -enterprise to access a machine enterprise store.

-Service を使用して、マシンサービスストアにアクセスします。Use -service to access a machine service store.

コンピューターグループポリシーストアにアクセスするには、-grouppolicy を使用します。Use -grouppolicy to access a machine group policy store.

例 :Examples:

  • -エンタープライズ NTAuth-enterprise NTAuth
  • -エンタープライズルート37-enterprise Root 37
  • -ユーザー My 26e0aaaf000000000004-user My 26e0aaaf000000000004
  • カナダ. 11CA .11

[-f][-enterprise][-ユーザー][-GroupPolicy][-silent][-split][-dc DCName][-f] [-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-dc DCName]

メニューに戻るReturn to Menu

-addstore-addstore

CertUtil [オプション]-addstore 証明 InFileCertUtil [Options] -addstore CertificateStoreName InFile

証明書をストアに追加Add certificate to store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. -Store」を参照してください。See -store.

InFileストアに追加する証明書または CRL ファイル。InFile: Certificate or CRL file to add to store.

[-f][-enterprise][-ユーザー][-GroupPolicy][-dc DCName][-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]

メニューに戻るReturn to Menu

-delstore-delstore

CertUtil [オプション]-delstore 証明 CertIdCertUtil [Options] -delstore CertificateStoreName CertId

ストアから証明書を削除Delete certificate from store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. -Store」を参照してください。See -store.

CertId証明書または CRL の一致トークン。CertId: Certificate or CRL match token. -Store」を参照してください。See -store.

[-enterprise][-ユーザー][-GroupPolicy][-dc DCName][-enterprise] [-user] [-GroupPolicy] [-dc DCName]

メニューに戻るReturn to Menu

-verifystore-verifystore

CertUtil [オプション]-verifystore 証明 [CertId]CertUtil [Options] -verifystore CertificateStoreName [CertId]

ストアの証明書を確認するVerify certificate in store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. -Store」を参照してください。See -store.

CertId証明書または CRL の一致トークン。CertId: Certificate or CRL match token. -Store」を参照してください。See -store.

[-enterprise][-ユーザー][-GroupPolicy][-silent][-split][-dc DCName][-t タイムアウト][-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-dc DCName] [-t Timeout]

メニューに戻るReturn to Menu

-repairstore-repairstore

CertUtil [オプション]-repairstore 証明 CertIdList [PropertyInfFile |SDDLSecurityDescriptor]CertUtil [Options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

キーの関連付けを修復するか、証明書のプロパティまたはキーのセキュリティ記述子を更新します。Repair key association or update certificate properties or key security descriptor

証明証明書ストアの名前。CertificateStoreName: Certificate store name. -Store」を参照してください。See -store.

CertIdList: 証明書または CRL 一致トークンのコンマ区切りの一覧。CertIdList: comma separated list of Certificate or CRL match tokens. -Store CertId description」を参照してください。See -store CertId description.

PropertyInfFile--外部プロパティを含む INF ファイル:PropertyInfFile -- INF file containing external properties:

[Properties]
     19 = Empty ; Add archived property, OR:
     19 =       ; Remove archived property

     11 = "{text}Friendly Name" ; Add friendly name property

     127 = "{hex}" ; Add custom hexadecimal property
         _continue_ = "00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f"
         _continue_ = "10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f"

     2 = "{text}" ; Add Key Provider Information property
       _continue_ = "Container=Container Name&"
       _continue_ = "Provider=Microsoft Strong Cryptographic Provider&"
       _continue_ = "ProviderType=1&"
       _continue_ = "Flags=0&"
       _continue_ = "KeySpec=2"

     9 = "{text}" ; Add Enhanced Key Usage property
       _continue_ = "1.3.6.1.5.5.7.3.2,"
       _continue_ = "1.3.6.1.5.5.7.3.1,"

[-f][-enterprise][-ユーザー][-GroupPolicy][-silent][-split][-csp プロバイダー][-f] [-enterprise] [-user] [-GroupPolicy] [-silent] [-split] [-csp Provider]

メニューに戻るReturn to Menu

-viewstore-viewstore

CertUtil [オプション]-viewstore [証明 [CertId [OutputFile]]]CertUtil [Options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

証明書ストアのダンプDump certificate store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. 例 :Examples:

  • "My"、"CA" (既定値)、"Root"、"My", "CA" (default), "Root",
  • "ldap:///CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? one? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の表示)"ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority" (View Root Certificates)
  • "ldap:///CN=CAName,CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の変更)"ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Modify Root Certificates)
  • "ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services、CN = Services、CN = Configuration、DC = cpandl、DC = com? certificateRevocationList? base? objectClass = cRLDistributionPoint" (Crl の表示)"ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint" (View CRLs)
  • "ldap:///CN=NTAuthCertificates,CN=Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (エンタープライズ CA 証明書)"ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Enterprise CA Certificates)
  • ldap(AD コンピューターオブジェクトの証明書)ldap: (AD machine object certificates)
  • -ユーザー ldap:(AD ユーザーオブジェクト証明書)-user ldap: (AD user object certificates)

CertId証明書または CRL の一致トークン。CertId: Certificate or CRL match token. これには、シリアル番号、SHA-1 証明書、CRL、CTL または公開キーハッシュ、数値証明書インデックス (0、1など)、数値の CRL インデックス (.0、.1 など)、数値 CTL インデックス (.) を指定できます。0、.1など)、公開キー、署名、または拡張 ObjectId、証明書のサブジェクトの共通名、電子メールアドレス、UPN または DNS 名、キーコンテナー名または CSP 名、テンプレート名または ObjectId、EKU またはアプリケーションポリシーの ObjectId、または CRL 発行者の共通名。This can be a serial number, an SHA-1 certificate, CRL, CTL or public key hash, a numeric cert index (0, 1, and so on), a numeric CRL index (.0, .1, and so on), a numeric CTL index (..0, ..1, and so on), a public key, signature or extension ObjectId, a certificate subject Common Name, an e-mail address, UPN or DNS name, a key container name or CSP name, a template name or ObjectId, an EKU or Application Policies ObjectId, or a CRL issuer Common Name. 多くの場合、複数の一致が発生する可能性があります。Many of these may result in multiple matches.

OutputFile: 一致する証明書を保存するファイルOutputFile: file to save matching cert

コンピューターストアではなくユーザーストアにアクセスするには、-user を使用します。Use -user to access a user store instead of a machine store.

-Enterprise を使用して、マシンのエンタープライズストアにアクセスします。Use -enterprise to access a machine enterprise store.

-Service を使用して、マシンサービスストアにアクセスします。Use -service to access a machine service store.

コンピューターグループポリシーストアにアクセスするには、-grouppolicy を使用します。Use -grouppolicy to access a machine group policy store.

例 :Examples:

  1. -エンタープライズ NTAuth-enterprise NTAuth
  2. -エンタープライズルート37-enterprise Root 37
  3. -ユーザー My 26e0aaaf000000000004-user My 26e0aaaf000000000004
  4. カナダ. 11CA .11

[-f][-enterprise][-ユーザー][-GroupPolicy][-dc DCName][-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]

メニューに戻るReturn to Menu

-viewdelstore-viewdelstore

CertUtil [オプション]-viewdelstore [証明 [CertId [OutputFile]]]CertUtil [Options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

ストアから証明書を削除Delete certificate from store

証明証明書ストアの名前。CertificateStoreName: Certificate store name. 例 :Examples:

  • "My"、"CA" (既定値)、"Root"、"My", "CA" (default), "Root",
  • "ldap:///CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? one? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の表示)"ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority" (View Root Certificates)
  • "ldap:///CN=CAName,CN=Certification オーソリティ, CN = Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (ルート証明書の変更)"ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Modify Root Certificates)
  • "ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services、CN = Services、CN = Configuration、DC = cpandl、DC = com? certificateRevocationList? base? objectClass = cRLDistributionPoint" (Crl の表示)"ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint" (View CRLs)
  • "ldap:///CN=NTAuthCertificates,CN=Public Key Services, CN = Services, CN = Configuration, DC = cpandl, DC = com? Cacertificate を? base? objectClass = Microsoft-windows-certificationauthority" (エンタープライズ CA 証明書)"ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority" (Enterprise CA Certificates)
  • ldap(AD コンピューターオブジェクトの証明書)ldap: (AD machine object certificates)
  • -ユーザー ldap:(AD ユーザーオブジェクト証明書)-user ldap: (AD user object certificates)

CertId証明書または CRL の一致トークン。CertId: Certificate or CRL match token. これには、シリアル番号、SHA-1 証明書、CRL、CTL または公開キーハッシュ、数値証明書インデックス (0、1など)、数値の CRL インデックス (.0、.1 など)、数値 CTL インデックス (.) を指定できます。0、.1など)、公開キー、署名、または拡張 ObjectId、証明書のサブジェクトの共通名、電子メールアドレス、UPN または DNS 名、キーコンテナー名または CSP 名、テンプレート名または ObjectId、EKU またはアプリケーションポリシーの ObjectId、または CRL 発行者の共通名。This can be a serial number, an SHA-1 certificate, CRL, CTL or public key hash, a numeric cert index (0, 1, and so on), a numeric CRL index (.0, .1, and so on), a numeric CTL index (..0, ..1, and so on), a public key, signature or extension ObjectId, a certificate subject Common Name, an e-mail address, UPN or DNS name, a key container name or CSP name, a template name or ObjectId, an EKU or Application Policies ObjectId, or a CRL issuer Common Name. 多くの場合、複数の一致が発生する可能性があります。Many of these may result in multiple matches.

OutputFile: 一致する証明書を保存するファイルOutputFile: file to save matching cert

コンピューターストアではなくユーザーストアにアクセスするには、-user を使用します。Use -user to access a user store instead of a machine store.

-Enterprise を使用して、マシンのエンタープライズストアにアクセスします。Use -enterprise to access a machine enterprise store.

-Service を使用して、マシンサービスストアにアクセスします。Use -service to access a machine service store.

コンピューターグループポリシーストアにアクセスするには、-grouppolicy を使用します。Use -grouppolicy to access a machine group policy store.

例 :Examples:

  1. -エンタープライズ NTAuth-enterprise NTAuth
  2. -エンタープライズルート37-enterprise Root 37
  3. -ユーザー My 26e0aaaf000000000004-user My 26e0aaaf000000000004
  4. カナダ. 11CA .11

[-f][-enterprise][-ユーザー][-GroupPolicy][-dc DCName][-f] [-enterprise] [-user] [-GroupPolicy] [-dc DCName]

メニューに戻るReturn to Menu

-dsPublish-dsPublish

CertUtil [オプション]-dsPublish CertFile [NTAuthCA |RootCA |SubCA |CrossCA |KRA |ユーザー |装置CertUtil [Options] -dsPublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]

CertUtil [オプション]-dsPublish CRLFile [Dsc/Container [DSCDPCN]]CertUtil [Options] -dsPublish CRLFile [DSCDPContainer [DSCDPCN]]

証明書または CRL を Active Directory に発行するPublish certificate or CRL to Active Directory

CertFile: 発行する証明書ファイルCertFile: certificate file to publish

NTAuthCA:証明書を DS Enterprise store に発行するNTAuthCA: Publish cert to DS Enterprise store

Rootca.cer証明書を DS の信頼されたルートストアに発行するRootCA: Publish cert to DS Trusted Root store

SubCACA 証明書を DS CA オブジェクトに発行するSubCA: Publish CA cert to DS CA object

CrossCA:クロス証明書を DS CA オブジェクトに発行するCrossCA: Publish cross cert to DS CA object

KRA証明書を DS キー回復エージェントオブジェクトに発行しますKRA: Publish cert to DS Key Recovery Agent object

ユーザー:ユーザー DS オブジェクトに証明書を発行するUser: Publish cert to User DS object

装置証明書をコンピューター DS オブジェクトに発行するMachine: Publish cert to Machine DS object

CRLFile:発行する CRL ファイルCRLFile: CRL file to publish

Dsc: コンテナー:DS CDP コンテナー CN、通常は CA マシン名DSCDPContainer: DS CDP container CN, usually the CA machine name

DSCDPCN:DS CDP オブジェクト CN。通常は、校正された CA の短い名前とキーのインデックスに基づいています。DSCDPCN: DS CDP object CN, usually based on the sanitized CA short name and key index

DS オブジェクトを作成するには、-f を使用します。Use -f to create DS object.

[-f][-ユーザー][-dc DCName][-f] [-user] [-dc DCName]

メニューに戻るReturn to Menu

-ADTemplate-ADTemplate

CertUtil [オプション]-ADTemplate [テンプレート]CertUtil [Options] -ADTemplate [Template]

AD テンプレートの表示Display AD templates

[-f][-ユーザー][-ut][-mt][-dc DCName][-f] [-user] [-ut] [-mt] [-dc DCName]

-テンプレート-Template

CertUtil [オプション]-テンプレート [テンプレート]CertUtil [Options] -Template [Template]

登録ポリシーテンプレートを表示するDisplay Enrollment Policy templates

[-f][-ユーザー][-silent][-PolicyServer URLOrId][-匿名][-Kerberos][-ClientCertificate ClientCertId][-ユーザー名ユーザー名][-p パスワード][-f] [-user] [-silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

メニューに戻るReturn to Menu

-TemplateCAs-TemplateCAs

CertUtil [オプション]-TemplateCAs テンプレートCertUtil [Options] -TemplateCAs Template

テンプレートの Ca を表示するDisplay CAs for template

[-f][-ユーザー][-dc DCName][-f] [-user] [-dc DCName]

メニューに戻るReturn to Menu

-CATemplates-CATemplates

CertUtil [オプション]-CATemplates [テンプレート]CertUtil [Options] -CATemplates [Template]

CA のテンプレートを表示するDisplay templates for CA

[-f][-ユーザー][-ut][-mt][-config Machine\CAName][-dc DCName][-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

メニューに戻るReturn to Menu

-SetCASites-SetCASites

CertUtil [オプション]-SetCASites [set] [SiteName]CertUtil [Options] -SetCASites [set] [SiteName]

CertUtil [オプション]-SetCASites 確認する [SiteName]CertUtil [Options] -SetCASites verify [SiteName]

CertUtil [オプション]-SetCASites 削除CertUtil [Options] -SetCASites delete

CA サイト名の設定、検証、または削除Set, Verify or Delete CA site names

  • -Config オプションを使用して単一の CA を対象にする (既定はすべての Ca)Use the -config option to target a single CA (Default is all CAs)
  • SiteNameは、単一の CA を対象とする場合にのみ許可されます。SiteName is allowed only when targeting a single CA
  • -F を使用して、指定したSiteNameの検証エラーを上書きします。Use -f to override validation errors for the specified SiteName
  • すべての CA サイト名を削除するには-f を使用しますUse -f to delete all CA site names

[-f][-config Machine\CAName][-dc DCName][-f] [-config Machine\CAName] [-dc DCName]

注意

Active Directory Domain Services (AD DS) サイト認識用に Ca を構成する方法の詳細については、「 AD CS および PKI クライアントのサイト認識の AD DS」を参照してください。For more information on configuring CAs for Active Directory Domain Services (AD DS) site awareness, see AD DS Site Awareness for AD CS and PKI clients.

メニューに戻るReturn to Menu

-enrollmentServerURL-enrollmentServerURL

CertUtil [オプション]-enrollmentServerURL [URL AuthenticationType [Priority] [修飾子]]CertUtil [Options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]

CertUtil [オプション]-enrollmentServerURL URL の削除CertUtil [Options] -enrollmentServerURL URL delete

CA に関連付けられている登録サーバーの Url を表示、追加、または削除するDisplay, add or delete enrollment server URLs associated with a CA

AuthenticationTypeURL を追加するときに、次のいずれかのクライアント認証方法を指定します。AuthenticationType: Specify one of the following client authentication methods while adding a URL

  1. 満たさKerberos SSL 資格情報を使用するKerberos: Use Kerberos SSL credentials
  2. ユーザー名SSL 資格情報に名前付きアカウントを使用するUserName: Use named account for SSL credentials
  3. ClientCertificateX.509 証明書の SSL 資格情報を使用するClientCertificate: Use X.509 Certificate SSL credentials
  4. Anonymous:匿名の SSL 資格情報を使用するAnonymous: Use anonymous SSL credentials

削除: CA に関連付けられている指定された URL を削除します。delete: deletes the specified URL associated with the CA

Priority: URL を追加するときに指定しない場合、既定値は ' 1 ' になります。Priority: defaults to '1' if not specified when adding a URL

[修飾子]--次の1つ以上のコンマ区切りのリスト。Modifiers -- Comma separated list of one or more of the following:

  1. AllowRenewalsOnly:この URL を使用してこの CA に送信できるのは更新要求のみですAllowRenewalsOnly: Only renewal requests can be submitted to this CA via this URL
  2. Allowkeyベースの更新:AD 内にアカウントが関連付けられていない証明書を使用できるようにします。AllowKeyBasedRenewal: Allows use of a certificate that has no associated account in the AD. これは、ClientCertificate および AllowRenewalsOnly モードでのみ適用されます。This applies only with ClientCertificate and AllowRenewalsOnly Mode

[-config Machine\CAName][-dc DCName][-config Machine\CAName] [-dc DCName]

メニューに戻るReturn to Menu

-ADCA-ADCA

CertUtil [オプション]-ADCA [CAName]CertUtil [Options] -ADCA [CAName]

AD CAs を表示するDisplay AD CAs

[-f][-split][-dc DCName][-f] [-split] [-dc DCName]

メニューに戻るReturn to Menu

-CA-CA

CertUtil [オプション]-CA [CAName |TemplateNameCertUtil [Options] -CA [CAName | TemplateName]

登録ポリシーの Ca を表示するDisplay Enrollment Policy CAs

[-f][-ユーザー][-silent][-split][-PolicyServer URLOrId][-匿名][-Kerberos][-ClientCertificate ClientCertId][-ユーザー名ユーザー名][-p パスワード][-f] [-user] [-silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

メニューに戻るReturn to Menu

-ポリシー-Policy

登録ポリシーを表示するDisplay Enrollment Policy

[-f][-ユーザー][-silent][-split][-PolicyServer URLOrId][-匿名][-Kerberos][-ClientCertificate ClientCertId][-ユーザー名ユーザー名][-p パスワード][-f] [-user] [-silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

メニューに戻るReturn to Menu

-PolicyCache-PolicyCache

CertUtil [オプション]-PolicyCache [delete]CertUtil [Options] -PolicyCache [delete]

登録ポリシーのキャッシュエントリを表示または削除するDisplay or delete Enrollment Policy Cache entries

削除: ポリシーサーバーのキャッシュエントリを削除します。delete: delete Policy Server cache entries

-f: すべてのキャッシュエントリを削除するには、-f を使用します。-f: use -f to delete all cache entries

[-f][-ユーザー][-PolicyServer URLOrId][-f] [-user] [-PolicyServer URLOrId]

メニューに戻るReturn to Menu

-CredStore-CredStore

CertUtil [オプション]-CredStore [URL]CertUtil [Options] -CredStore [URL]

CertUtil [オプション]-CredStore URL の追加CertUtil [Options] -CredStore URL add

CertUtil [オプション]-CredStore の URL の削除CertUtil [Options] -CredStore URL delete

資格情報ストアのエントリを表示、追加、または削除するDisplay, add or delete Credential Store entries

URL: ターゲット URL。URL: target URL. すべて*のエントリを照合するには、を使用します。Use * to match all entries. URL https://machine\ プレフィックスと一致させるには、* を使用します。Use https://machine* to match a URL prefix.

追加: 資格情報ストアエントリを追加します。add: add a Credential Store entry. SSL 資格情報も指定する必要があります。SSL credentials must also be specified.

削除: 資格情報ストアのエントリを削除します。delete: delete Credential Store entries

-f: エントリを上書きする場合、または複数のエントリを削除する場合は、-f を使用します。-f: use -f to overwrite an entry or to delete multiple entries.

[-f][-ユーザー][-silent][-匿名][-Kerberos][-ClientCertificate ClientCertId][-ユーザー名ユーザー名][-p パスワード][-f] [-user] [-silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

メニューに戻るReturn to Menu

-InstallDefaultTemplates-InstallDefaultTemplates

CertUtil [オプション]-InstallDefaultTemplatesCertUtil [Options] -InstallDefaultTemplates

既定の証明書テンプレートをインストールするInstall default certificate templates

[-dc DCName][-dc DCName]

メニューに戻るReturn to Menu

-URLCache-URLCache

CertUtil [オプション]-URLCache [URL |CRL |* [delete]]CertUtil [Options] -URLCache [URL | CRL | * [delete]]

URL キャッシュエントリを表示または削除するDisplay or delete URL cache entries

URL: キャッシュされた URLURL: cached URL

CRL: すべてのキャッシュされた CRL Url のみを操作しますCRL: operate on all cached CRL URLs only

*: キャッシュされたすべての Url を操作します*: operate on all cached URLs

削除: 現在のユーザーのローカルキャッシュから関連する Url を削除します。delete: delete relevant URLs from the current user's local cache

特定の URL を強制的にフェッチしてキャッシュを更新するには、-f を使用します。Use -f to force fetching a specific URL and updating the cache.

[-f][-split][-f] [-split]

メニューに戻るReturn to Menu

-pulse-pulse

CertUtil [オプション]-pulseCertUtil [Options] -pulse

パルス自動登録イベントPulse autoenrollment events

[-ユーザー][-user]

メニューに戻るReturn to Menu

-MachineInfo-MachineInfo

CertUtil [オプション]-MachineInfo DomainName\MachineName $CertUtil [Options] -MachineInfo DomainName\MachineName$

Active Directory コンピューターオブジェクトの情報を表示するDisplay Active Directory computer object information

メニューに戻るReturn to Menu

-DCInfo-DCInfo

CertUtil [オプション]-DCInfo [ドメイン] [Verify |DeleteBad |DeleteAllCertUtil [Options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

ドメインコントローラー情報を表示するDisplay domain controller information

既定では、確認なしで DC 証明書が表示されますDefault is to display DC certs without verification

[-f][-ユーザー][-urlfetch][-dc DCName][-t タイムアウト][-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

ヒント

Active Directory Domain Services (AD DS) ドメイン [ドメイン] を指定し、ドメインコントローラー ( -dc) を指定する機能は、Windows Server 2012 で追加されました。The ability to specify an Active Directory Domain Services (AD DS) domain [Domain] and to specify a domain controller (-dc) was added in Windows Server 2012. コマンドを正常に実行するには、 Domain adminsまたはEnterprise adminsのメンバーであるアカウントを使用する必要があります。To successfully run the command, you must use an account that is a member of Domain Admins or Enterprise Admins. このコマンドの動作変更は次のとおりです。The behavior modifications of this command are as follows:
> 1 です。> 1. ドメインが指定されておらず、特定のドメインコントローラーが指定されていない場合、このオプションは、既定のドメインコントローラーから処理するドメインコントローラーの一覧を返します。If a domain is not specified and a specific domain controller is not specified, this option returns a list of domain controllers to process from the default domain controller.
> 2> 2. ドメインが指定されておらず、ドメインコントローラーが指定されている場合は、指定されたドメインコントローラー上の証明書のレポートが生成されます。If a domain is not specified, but a domain controller is specified, a report of the certificates on the specified domain controller is generated.
> 3。> 3. ドメインが指定されていても、ドメインコントローラーが指定されていない場合は、一覧の各ドメインコントローラーの証明書について、ドメインコントローラーの一覧が生成されます。If a domain is specified, but a domain controller is not specified, a list of domain controllers is generated along with reports on the certificates for each domain controller in the list.
> 4。> 4. ドメインとドメインコントローラーが指定されている場合は、ドメインコントローラーの一覧が対象のドメインコントローラーから生成されます。If the domain and domain controller are specified, a list of domain controllers is generated from the targeted domain controller. 一覧内の各ドメインコントローラーの証明書のレポートも生成されます。A report of the certificates for each domain controller in the list is also generated.

たとえば、cpandl-DC1 という名前のドメインコントローラーを持つ CPANDL という名前のドメインがあるとします。For example, assume there is a domain named CPANDL with a domain controller named CPANDL-DC1. 次のコマンドを実行して、CPANDL.-DC1: certutil-dc cpandl.-dc1-dcinfo cpandl. から、ドメインコントローラーとその証明書の一覧を取得することができます。You could run the following command to a retrieve a list of domain controllers and their certificates that from CPANDL-DC1: certutil -dc cpandl-dc1 -dcinfo cpandl

メニューに戻るReturn to Menu

-EntInfo-EntInfo

CertUtil [オプション]-EntInfo DomainName\MachineName $CertUtil [Options] -EntInfo DomainName\MachineName$

[-f][-ユーザー][-f] [-user]

メニューに戻るReturn to Menu

-TCAInfo-TCAInfo

CertUtil [オプション]-TCAInfo [DomainDN |-]CertUtil [Options] -TCAInfo [DomainDN | -]

CA 情報を表示するDisplay CA information

[-f][-enterprise][-ユーザー][-urlfetch][-dc DCName][-t タイムアウト][-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

メニューに戻るReturn to Menu

-SCInfo-SCInfo

CertUtil [オプション]-SCInfo [ReaderName [CRYPT_DELETEKEYSET]]CertUtil [Options] -SCInfo [ReaderName [CRYPT_DELETEKEYSET]]

スマートカードの情報を表示するDisplay smart card information

CRYPT_DELETEKEYSET:スマートカードのすべてのキーを削除するCRYPT_DELETEKEYSET: Delete all keys on the smart card

[-silent][-split][-urlfetch][-t タイムアウト][-silent] [-split] [-urlfetch] [-t Timeout]

メニューに戻るReturn to Menu

-SCRoots-SCRoots

CertUtil [オプション]-SCRoots update [+] [InputRootFile] [ReaderName]CertUtil [Options] -SCRoots update [+][InputRootFile] [ReaderName]

CertUtil [オプション]-scroots save @outputrootfile [readername]CertUtil [Options] -SCRoots save @OutputRootFile [ReaderName]

CertUtil [オプション]-SCRoots ビュー [InputRootFile |ReaderName]CertUtil [Options] -SCRoots view [InputRootFile | ReaderName]

CertUtil [オプション]-SCRoots delete [ReaderName]CertUtil [Options] -SCRoots delete [ReaderName]

スマートカードのルート証明書の管理Manage smart card root certificates

[-f][-split][-p パスワード][-f] [-split] [-p Password]

メニューに戻るReturn to Menu

-verifykeys-verifykeys

CertUtil [オプション]-verifykeys [KeyContainerName CACertFile]CertUtil [Options] -verifykeys [KeyContainerName CACertFile]

公開/秘密キーセットの確認Verify public/private key set

KeyContainerName: 検証するキーのキーコンテナー名。KeyContainerName: key container name of the key to verify. 既定値はマシンキーです。Defaults to machine keys. ユーザーキーには-user を使用します。Use -user for user keys.

CACertFile: 署名または暗号化証明書ファイルCACertFile: signing or encryption certificate file

引数を指定しない場合は、各署名 CA 証明書が秘密キーに対して検証されます。If no arguments are specified, each signing CA cert is verified against its private key.

この操作は、ローカルの CA またはローカルキーに対してのみ実行できます。This operation can only be performed against a local CA or local keys.

[-f][-ユーザー][-silent][-config Machine\CAName][-f] [-user] [-silent] [-config Machine\CAName]

メニューに戻るReturn to Menu

-verify-verify

CertUtil [オプション]-検証 CertFile [ApplicationPolicyList |-[IssuancePolicyList]]CertUtil [Options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]]

CertUtil [オプション]-CertFile を検証する [CACertFile [CrossedCACertFile]]CertUtil [Options] -verify CertFile [CACertFile [CrossedCACertFile]]

CertUtil [オプション]-CRLFile CACertFile を確認する [IssuedCertFile]CertUtil [Options] -verify CRLFile CACertFile [IssuedCertFile]

CertUtil [オプション]-CRLFile CACertFile を確認する [DeltaCRLFile]CertUtil [Options] -verify CRLFile CACertFile [DeltaCRLFile]

証明書、CRL、またはチェーンの検証Verify certificate, CRL or chain

CertFile検証する証明書CertFile: Certificate to verify

ApplicationPolicyList: 必要なアプリケーションポリシー ObjectIds のコンマ区切りのリスト (省略可能)ApplicationPolicyList: optional comma separated list of required Application Policy ObjectIds

IssuancePolicyList: 省略可能。必須の発行ポリシー ObjectIds のコンマ区切りの一覧です。IssuancePolicyList: optional comma separated list of required Issuance Policy ObjectIds

CACertFile: オプションで検証する発行元 CA 証明書CACertFile: optional issuing CA certificate to verify against

CrossedCACertFile: 省略可能な証明書 (CertFile によるクロス認定)CrossedCACertFile: optional certificate cross-certified by CertFile

CRLFile:検証する CRLCRLFile: CRL to verify

IssuedCertFile: 省略可能な発行済み証明書 (CRLFile)IssuedCertFile: optional issued certificate covered by CRLFile

DeltaCRLFile: オプションの delta CRLDeltaCRLFile: optional delta CRL

ApplicationPolicyList が指定されている場合、チェーン構築は、指定されたアプリケーションポリシーに対して有効なチェーンに制限されます。If ApplicationPolicyList is specified, chain building is restricted to chains valid for the specified Application Policies.

IssuancePolicyList を指定した場合、チェーン構築は、指定された発行ポリシーに対して有効なチェーンに制限されます。If IssuancePolicyList is specified, chain building is restricted to chains valid for the specified Issuance Policies.

CACertFile が指定されている場合、CACertFile のフィールドは CertFile または CRLFile に対して検証されます。If CACertFile is specified, fields in CACertFile are verified against CertFile or CRLFile.

CACertFile が指定されていない場合、完全なチェーンを構築および検証するために CertFile が使用されます。If CACertFile is not specified, CertFile is used to build and verify a full chain.

CACertFile と CrossedCACertFile の両方が指定されている場合、CACertFile と CrossedCACertFile のフィールドは CertFile に対して検証されます。If CACertFile and CrossedCACertFile are both specified, fields in CACertFile and CrossedCACertFile are verified against CertFile.

IssuedCertFile を指定した場合、IssuedCertFile 内のフィールドは CRLFile に対して検証されます。If IssuedCertFile is specified, fields in IssuedCertFile are verified against CRLFile.

DeltaCRLFile を指定した場合、DeltaCRLFile 内のフィールドは CRLFile に対して検証されます。If DeltaCRLFile is specified, fields in DeltaCRLFile are verified against CRLFile.

[-f][-enterprise][-ユーザー][-silent][-split][-urlfetch][-t タイムアウト][-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t Timeout]

メニューに戻るReturn to Menu

-verifyCTL-verifyCTL

CertUtil [オプション]-verifyCTL CTLObject [CertDir] [CertFile]CertUtil [Options] -verifyCTL CTLObject [CertDir] [CertFile]

AuthRoot または許可されていない証明書の CTL を確認するVerify AuthRoot or Disallowed Certificates CTL

CTLObject:検証する CTL を識別します。CTLObject: Identifies the CTL to verify:

  • AuthRootWU: AuthRoot CAB と一致する証明書を URL キャッシュから読み取ります。AuthRootWU: read AuthRoot CAB and matching certificates from the URL cache. 代わりに、-f を使用して Windows Update からダウンロードしてください。Use -f to download from Windows Update instead.
  • DisallowedWU: 許可されていない証明書の CAB と、URL キャッシュからの許可されていない証明書ストアファイルを読み取ります。DisallowedWU: read Disallowed Certificates CAB and disallowed certificate store file from the URL cache. 代わりに、-f を使用して Windows Update からダウンロードしてください。Use -f to download from Windows Update instead.
  • AuthRoot: レジストリのキャッシュされた AuthRoot CTL を読み取ります。AuthRoot: read registry cached AuthRoot CTL. -F と、既に信頼されていない CertFile を使用して、レジストリキャッシュされた AuthRoot および許可されていない証明書 Ctl を強制的に更新します。Use with -f and a CertFile that is not already trusted to force updating the registry cached AuthRoot and Disallowed Certificate CTLs.
  • 許可されていません: 読み取りレジストリのキャッシュされていない証明書の CTL。Disallowed: read registry cached Disallowed Certificates CTL. -f は、AuthRoot と同じ動作をします。-f has the same behavior as with AuthRoot.
  • CTLFileName: file または http: CTL または CAB へのパスCTLFileName: file or http: path to CTL or CAB

CertDir: CTL エントリと一致する証明書を含むフォルダー。CertDir: folder containing certificates matching CTL entries. Http: フォルダーのパスは、パスの区切り記号で終わる必要があります。An http: folder path must end with a path separator. フォルダーが AuthRoot と共に指定されていない場合、または禁止されている場合は、一致する証明書 (ローカル証明書ストア、crypt32.dll リソース、およびローカル URL キャッシュ) に対して複数の場所が検索されます。If a folder is not specified with AuthRoot or Disallowed, multiple locations will be searched for matching certificates: local certificate stores, crypt32.dll resources and the local URL cache. 必要に応じて、-f を使用して Windows Update からダウンロードします。Use -f to download from Windows Update when necessary. それ以外の場合、既定では、CTLObject と同じフォルダーまたは web サイトになります。Otherwise defaults to the same folder or web site as the CTLObject.

CertFile: 検証する証明書を含むファイル。CertFile: file containing certificate(s) to verify. 証明書は CTL エントリと照合され、一致した結果が表示されます。Certificates will be matched against CTL entries, and match results displayed. ほとんどの既定の出力を抑制します。Suppresses most of the default output.

[-f][-ユーザー][-split][-f] [-user] [-split]

メニューに戻るReturn to Menu

-sign-sign

CertUtil [オプション]-署名 InFileList |シリアルの |CRL OutFileList [StartDate + dd: hh] [+ SerialNumberList |-SerialNumberList |-ObjectIdList |@Extensionfile]CertUtil [Options] -sign InFileList|SerialNumber|CRL OutFileList [StartDate+dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]

CertUtil [オプション]-署名 InFileList |シリアルの |CRL OutFileList [#HashAlgorithm] [+ AlternateSignatureAlgorithm | AlternateSignatureAlgorithm]CertUtil [Options] -sign InFileList|SerialNumber|CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]

CRL または証明書に再署名するRe-sign CRL or certificate

InFileList: 変更および再署名する証明書または CRL ファイルのコンマ区切りの一覧InFileList: comma separated list of Certificate or CRL files to modify and re-sign

SerialNumber作成する証明書のシリアル番号。SerialNumber: Serial number of certificate to create. 有効期間とその他のオプションを指定することはできません。Validity period and other options must not be present.

.CRL空の CRL を作成します。CRL: Create an empty CRL. 有効期間とその他のオプションを指定することはできません。Validity period and other options must not be present.

OutFileList: 変更された証明書または CRL 出力ファイルのコンマ区切りの一覧。OutFileList: comma separated list of modified Certificate or CRL output files. ファイルの数は、InFileList と一致している必要があります。The number of files must match InFileList.

StartDate + dd: hh: 新しい有効期間: 省略可能な日付 +オプションの日付と時間の有効期間。両方が指定されている場合は、正符号 (+) 区切り記号を使用します。StartDate+dd:hh: new validity period: optional date plus; optional days and hours validity period; If both are specified, use a plus sign (+) separator. 現在の時刻から開始するには、"now [+ dd: hh]" を使用します。Use "now[+dd:hh]" to start at the current time. 有効期限を設定しない場合は、"never" を使用します (Crl の場合のみ)。Use "never" to have no expiration date (for CRLs only).

SerialNumberList: コンマ区切りのシリアル番号リストを追加または削除します。SerialNumberList: comma separated serial number list to add or remove

ObjectIdList: コンマ区切りの拡張 ObjectId リストを削除します。ObjectIdList: comma separated extension ObjectId list to remove

@ExtensionFile:更新または削除する拡張機能を含む INF ファイル:@ExtensionFile: INF file containing extensions to update or remove:

[Extensions]
     2.5.29.31 = ; Remove CRL Distribution Points extension
     2.5.29.15 = "{hex}" ; Update Key Usage extension
     _continue_="03 02 01 86"

HashAlgorithm# 記号を前に付けたハッシュアルゴリズムの名前HashAlgorithm: Name of the hash algorithm preceded by a # sign

AlternateSignatureAlgorithm: 代替署名アルゴリズム指定子AlternateSignatureAlgorithm: alternate Signature algorithm specifier

マイナス記号を付けると、シリアル番号と拡張機能が削除されます。A minus sign causes serial numbers and extensions to be removed. プラス記号を使用すると、シリアル番号が CRL に追加されます。A plus sign causes serial numbers to be added to a CRL. CRL から項目を削除する場合、一覧にはシリアル番号と ObjectIds の両方が含まれる場合があります。When removing items from a CRL, the list may contain both serial numbers and ObjectIds. AlternateSignatureAlgorithm の前にマイナス記号を付けると、従来の署名形式が使用されます。A minus sign before AlternateSignatureAlgorithm causes the legacy signature format to be used. AlternateSignatureAlgorithm の前にプラス記号を付けると、alternature signature 形式が使用されます。A plus sign before AlternateSignatureAlgorithm causes the alternature signature format to be used. AlternateSignatureAlgorithm が指定されていない場合は、証明書または CRL の署名形式が使用されます。If AlternateSignatureAlgorithm is not specified then the signature format in the certificate or CRL is used.

[-nullsign][-f][-silent][-Cert CertId][-nullsign] [-f] [-silent] [-Cert CertId]

メニューに戻るReturn to Menu

-vroot-vroot

CertUtil [オプション]-vroot [delete]CertUtil [Options] -vroot [delete]

Web 仮想ルートとファイル共有の作成/削除Create/delete web virtual roots and file shares

メニューに戻るReturn to Menu

-vocsproot-vocsproot

CertUtil [オプション]-vocsproot [delete]CertUtil [Options] -vocsproot [delete]

OCSP web プロキシの web 仮想ルートを作成または削除するCreate/delete web virtual roots for OCSP web proxy

メニューに戻るReturn to Menu

-addEnrollmentServer-addEnrollmentServer

CertUtil [オプション]-addEnrollmentServer Kerberos |UserName |ClientCertificate [AllowRenewalsOnly] [Allowkeyby 更新]CertUtil [Options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

登録サーバーアプリケーションの追加Add an Enrollment Server application

必要に応じて、指定した CA の登録サーバーアプリケーションとアプリケーションプールを追加します。Add an Enrollment Server application and application pool if necessary, for the specified CA. このコマンドでは、バイナリまたはパッケージはインストールされません。This command does not install binaries or packages. 次のいずれかの認証方法を使用して、クライアントが証明書登録サーバーに接続します。One of the following authentication methods with which the client connects to a Certificate Enrollment Server.

  • 満たさKerberos SSL 資格情報を使用するKerberos: Use Kerberos SSL credentials
  • ユーザー名SSL 資格情報に名前付きアカウントを使用するUserName: Use named account for SSL credentials
  • ClientCertificateX.509 証明書の SSL 資格情報を使用するClientCertificate: Use X.509 Certificate SSL credentials
  • AllowRenewalsOnly:この URL を使用してこの CA に送信できるのは更新要求のみですAllowRenewalsOnly: Only renewal requests can be submitted to this CA via this URL
  • Allowkey: 書き換え--AD にアカウントが関連付けられていない証明書を使用できるようにします。AllowKeyBasedRenewal -- Allows use of a certificate that has no associated account in the AD. これは、ClientCertificate および AllowRenewalsOnly モードでのみ適用されます。This applies only with ClientCertificate and AllowRenewalsOnly mode.

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-deleteEnrollmentServer-deleteEnrollmentServer

CertUtil [オプション]-deleteEnrollmentServer Kerberos |UserName |ClientCertificateCertUtil [Options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

登録サーバーアプリケーションの削除Delete an Enrollment Server application

必要に応じて、指定した CA の登録サーバーアプリケーションとアプリケーションプールを削除します。Delete an Enrollment Server application and application pool if necessary, for the specified CA. このコマンドでは、バイナリやパッケージは削除されません。This command does not remove binaries or packages. 次のいずれかの認証方法を使用して、クライアントが証明書登録サーバーに接続します。One of the following authentication methods with which the client connects to a Certificate Enrollment Server.

  1. 満たさKerberos SSL 資格情報を使用するKerberos: Use Kerberos SSL credentials
  2. ユーザー名SSL 資格情報に名前付きアカウントを使用するUserName: Use named account for SSL credentials
  3. ClientCertificateX.509 証明書の SSL 資格情報を使用するClientCertificate: Use X.509 Certificate SSL credentials

[-config Machine\CAName][-config Machine\CAName]

メニューに戻るReturn to Menu

-addPolicyServer-addPolicyServer

CertUtil [オプション]-addPolicyServer Kerberos |UserName |ClientCertificate [キーベースの更新]CertUtil [Options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

ポリシーサーバーアプリケーションの追加Add a Policy Server application

必要に応じて、ポリシーサーバーアプリケーションとアプリケーションプールを追加します。Add a Policy Server application and application pool if necessary. このコマンドでは、バイナリまたはパッケージはインストールされません。This command does not install binaries or packages. 次のいずれかの認証方法で、クライアントが証明書ポリシーサーバーに接続します。One of the following authentication methods with which the client connects to a Certificate Policy Server:

  • 満たさKerberos SSL 資格情報を使用するKerberos: Use Kerberos SSL credentials
  • ユーザー名SSL 資格情報に名前付きアカウントを使用するUserName: Use named account for SSL credentials
  • ClientCertificateX.509 証明書の SSL 資格情報を使用するClientCertificate: Use X.509 Certificate SSL credentials
  • キーベースの更新:キーベースの更新テンプレートを含むポリシーのみがクライアントに返されます。KeyBasedRenewal: Only policies that contain KeyBasedRenewal templates are returned to the client. このフラグは、ユーザー名と ClientCertificate 認証にのみ適用されます。This flag applies only for UserName and ClientCertificate authentication.

メニューに戻るReturn to Menu

-deletePolicyServer-deletePolicyServer

CertUtil [オプション]-deletePolicyServer Kerberos |UserName |ClientCertificate [キーベースの更新]CertUtil [Options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

ポリシーサーバーアプリケーションの削除Delete a Policy Server application

必要に応じて、ポリシーサーバーアプリケーションとアプリケーションプールを削除します。Delete a Policy Server application and application pool if necessary. このコマンドでは、バイナリやパッケージは削除されません。This command does not remove binaries or packages. 次のいずれかの認証方法で、クライアントが証明書ポリシーサーバーに接続します。One of the following authentication methods with which the client connects to a Certificate Policy Server:

  1. 満たさKerberos SSL 資格情報を使用するKerberos: Use Kerberos SSL credentials
  2. ユーザー名SSL 資格情報に名前付きアカウントを使用するUserName: Use named account for SSL credentials
  3. ClientCertificateX.509 証明書の SSL 資格情報を使用するClientCertificate: Use X.509 Certificate SSL credentials
  4. キーベースの更新:キーベース更新ポリシーサーバーKeyBasedRenewal: KeyBasedRenewal policy server

メニューに戻るReturn to Menu

-oid-oid

CertUtil [オプション]-oid ObjectId [DisplayName | delete [LanguageId [Type]]]CertUtil [Options] -oid ObjectId [DisplayName | delete [LanguageId [Type]]]

CertUtil [オプション]-oid GroupIdCertUtil [Options] -oid GroupId

CertUtil [オプション]-oid AlgId |AlgorithmName [GroupId]CertUtil [Options] -oid AlgId | AlgorithmName [GroupId]

ObjectId を表示するか、表示名を設定しますDisplay ObjectId or set display name

  • ObjectId--表示名を表示または追加するための ObjectIdObjectId -- ObjectId to display or to add display name
  • GroupId--列挙する ObjectIds の10進数の GroupId 番号GroupId -- decimal GroupId number for ObjectIds to enumerate
  • AlgId--ObjectId が検索する16進数の AlgIdAlgId -- hexadecimal AlgId for ObjectId to look up
  • AlgorithmName--検索する ObjectId のアルゴリズム名AlgorithmName -- Algorithm Name for ObjectId to look up
  • DisplayName--DS に格納する表示名DisplayName -- Display Name to store in DS
  • 削除--表示名の削除delete -- delete display name
  • LanguageId--言語 Id (既定で現在の値に設定):1033)LanguageId -- Language Id (defaults to current: 1033)
  • 「--DS オブジェクトの種類」と入力します。テンプレートの場合は 1 (既定)、発行ポリシーの場合は2、アプリケーションポリシーの場合は3Type -- DS object type to create: 1 for Template (default), 2 for Issuance Policy, 3 for Application Policy
  • DS オブジェクトを作成するには、-f を使用します。Use -f to create DS object.

[-f][-f]

メニューに戻るReturn to Menu

-エラー-error

CertUtil [オプション]-エラー ErrorCodeCertUtil [Options] -error ErrorCode

エラーコードメッセージテキストを表示しますDisplay error code message text

メニューに戻るReturn to Menu

-getreg-getreg

CertUtil [オプション]-getreg [{ca | restore | policy | exit | template | enroll | chain |Policyservers}[ProgId]] [registryvaluename]CertUtil [Options] -getreg [{ca|restore|policy|exit|template|enroll|chain|PolicyServers}[ProgId]][RegistryValueName]

レジストリ値の表示Display registry value

コンテンツCA のレジストリキーを使用するca: Use CA's registry key

復元CA の復元レジストリキーを使用するrestore: Use CA's restore registry key

ポリシーポリシーモジュールのレジストリキーを使用するpolicy: Use policy module's registry key

終了最初の終了モジュールのレジストリキーを使用するexit: Use first exit module's registry key

テンプレートテンプレートのレジストリキーを使用する (ユーザーテンプレートにユーザーを使用)template: Use template registry key (use -user for user templates)

登録登録レジストリキーを使用する (ユーザーコンテキストでユーザーを使用)enroll: Use enrollment registry key (use -user for user context)

一連チェーン構成のレジストリキーを使用するchain: Use chain configuration registry key

PolicyServers:ポリシーサーバーのレジストリキーを使用するPolicyServers: Use Policy Servers registry key

ProgIdポリシーまたは終了モジュールの ProgId (レジストリサブキー名) を使用するProgId: Use policy or exit module's ProgId (registry subkey name)

Registryvaluename: レジストリ値の名前 (プレフィックスと*一致するには "name" を使用します)RegistryValueName: registry value name (use "Name*" to prefix match)

値: 新しい数値、文字列、または日付のレジストリ値またはファイル名。Value: new numeric, string or date registry value or filename. 数値が "+" または "-" で始まる場合は、新しい値に指定されたビットが既存のレジストリ値で設定またはクリアされます。If a numeric value starts with "+" or "-", the bits specified in the new value are set or cleared in the existing registry value.

文字列値が "+" または "-" で始まる場合、既存の値が REG_MULTI_SZ 値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。If a string value starts with "+" or "-", and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に "\n" を追加します。To force creation of a REG_MULTI_SZ value, add a "\n" to the end of the string value.

値が "@" で始まる場合、値の残りの部分は、バイナリ値の16進数のテキスト表現を含むファイルの名前になります。If the value starts with "@", the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. 有効なファイルを参照していない場合は、代わりに [Date] [+ |-] [dd: hh]--省略可能な日付またはマイナス (省略可能) として解析されます。If it does not refer to a valid file, it is instead parsed as [Date][+|-][dd:hh] -- an optional date plus or minus optional days and hours. 両方が指定されている場合は、正符号 (+) または負符号 (-) の区切り記号を使用します。If both are specified, use a plus sign (+) or minus sign (-) separator. 現在の時刻を基準とした日付には、"now + dd: hh" を使用します。Use "now+dd:hh" for a date relative to the current time.

キャッシュされ@た crl を効果的にフラッシュするには、"chain\ChainCacheResyncFiletime now" を使用します。Use "chain\ChainCacheResyncFiletime @now" to effectively flush cached CRLs.

[-f][-ユーザー][-GroupPolicy][-config Machine\CAName][-f] [-user] [-GroupPolicy] [-config Machine\CAName]

メニューに戻るReturn to Menu

-setreg-setreg

CertUtil [オプション]-setreg [{ca | restore | policy | exit | template | enroll | chain |Policyservers}[ProgId]] registryvaluename 値CertUtil [Options] -setreg [{ca|restore|policy|exit|template|enroll|chain|PolicyServers}[ProgId]]RegistryValueName Value

レジストリ値の設定Set registry value

コンテンツCA のレジストリキーを使用するca: Use CA's registry key

復元CA の復元レジストリキーを使用するrestore: Use CA's restore registry key

ポリシーポリシーモジュールのレジストリキーを使用するpolicy: Use policy module's registry key

終了最初の終了モジュールのレジストリキーを使用するexit: Use first exit module's registry key

テンプレートテンプレートのレジストリキーを使用する (ユーザーテンプレートにユーザーを使用)template: Use template registry key (use -user for user templates)

登録登録レジストリキーを使用する (ユーザーコンテキストでユーザーを使用)enroll: Use enrollment registry key (use -user for user context)

一連チェーン構成のレジストリキーを使用するchain: Use chain configuration registry key

PolicyServers:ポリシーサーバーのレジストリキーを使用するPolicyServers: Use Policy Servers registry key

ProgIdポリシーまたは終了モジュールの ProgId (レジストリサブキー名) を使用するProgId: Use policy or exit module's ProgId (registry subkey name)

Registryvaluename: レジストリ値の名前 (プレフィックスと*一致するには "name" を使用します)RegistryValueName: registry value name (use "Name*" to prefix match)

値: 新しい数値、文字列、または日付のレジストリ値またはファイル名。Value: new numeric, string or date registry value or filename. 数値が "+" または "-" で始まる場合は、新しい値に指定されたビットが既存のレジストリ値で設定またはクリアされます。If a numeric value starts with "+" or "-", the bits specified in the new value are set or cleared in the existing registry value.

文字列値が "+" または "-" で始まる場合、既存の値が REG_MULTI_SZ 値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。If a string value starts with "+" or "-", and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に "\n" を追加します。To force creation of a REG_MULTI_SZ value, add a "\n" to the end of the string value.

値が "@" で始まる場合、値の残りの部分は、バイナリ値の16進数のテキスト表現を含むファイルの名前になります。If the value starts with "@", the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. 有効なファイルを参照していない場合は、代わりに [Date] [+ |-] [dd: hh]--省略可能な日付またはマイナス (省略可能) として解析されます。If it does not refer to a valid file, it is instead parsed as [Date][+|-][dd:hh] -- an optional date plus or minus optional days and hours. 両方が指定されている場合は、正符号 (+) または負符号 (-) の区切り記号を使用します。If both are specified, use a plus sign (+) or minus sign (-) separator. 現在の時刻を基準とした日付には、"now + dd: hh" を使用します。Use "now+dd:hh" for a date relative to the current time.

キャッシュされ@た crl を効果的にフラッシュするには、"chain\ChainCacheResyncFiletime now" を使用します。Use "chain\ChainCacheResyncFiletime @now" to effectively flush cached CRLs.

[-f][-ユーザー][-GroupPolicy][-config Machine\CAName][-f] [-user] [-GroupPolicy] [-config Machine\CAName]

メニューに戻るReturn to Menu

-delreg-delreg

CertUtil [オプション]-delreg [{ca | restore | policy | exit | template | enroll | chain |Policyservers}[ProgId]] [registryvaluename]CertUtil [Options] -delreg [{ca|restore|policy|exit|template|enroll|chain|PolicyServers}[ProgId]][RegistryValueName]

レジストリ値の削除Delete registry value

コンテンツCA のレジストリキーを使用するca: Use CA's registry key

復元CA の復元レジストリキーを使用するrestore: Use CA's restore registry key

ポリシーポリシーモジュールのレジストリキーを使用するpolicy: Use policy module's registry key

終了最初の終了モジュールのレジストリキーを使用するexit: Use first exit module's registry key

テンプレートテンプレートのレジストリキーを使用する (ユーザーテンプレートにユーザーを使用)template: Use template registry key (use -user for user templates)

登録登録レジストリキーを使用する (ユーザーコンテキストでユーザーを使用)enroll: Use enrollment registry key (use -user for user context)

一連チェーン構成のレジストリキーを使用するchain: Use chain configuration registry key

PolicyServers:ポリシーサーバーのレジストリキーを使用するPolicyServers: Use Policy Servers registry key

ProgIdポリシーまたは終了モジュールの ProgId (レジストリサブキー名) を使用するProgId: Use policy or exit module's ProgId (registry subkey name)

Registryvaluename: レジストリ値の名前 (プレフィックスと*一致するには "name" を使用します)RegistryValueName: registry value name (use "Name*" to prefix match)

値: 新しい数値、文字列、または日付のレジストリ値またはファイル名。Value: new numeric, string or date registry value or filename. 数値が "+" または "-" で始まる場合は、新しい値に指定されたビットが既存のレジストリ値で設定またはクリアされます。If a numeric value starts with "+" or "-", the bits specified in the new value are set or cleared in the existing registry value.

文字列値が "+" または "-" で始まる場合、既存の値が REG_MULTI_SZ 値の場合は、既存のレジストリ値に対して文字列が追加または削除されます。If a string value starts with "+" or "-", and the existing value is a REG_MULTI_SZ value, the string is added to or removed from the existing registry value. REG_MULTI_SZ 値を強制的に作成するには、文字列値の末尾に "\n" を追加します。To force creation of a REG_MULTI_SZ value, add a "\n" to the end of the string value.

値が "@" で始まる場合、値の残りの部分は、バイナリ値の16進数のテキスト表現を含むファイルの名前になります。If the value starts with "@", the rest of the value is the name of the file containing the hexadecimal text representation of a binary value. 有効なファイルを参照していない場合は、代わりに [Date] [+ |-] [dd: hh]--省略可能な日付またはマイナス (省略可能) として解析されます。If it does not refer to a valid file, it is instead parsed as [Date][+|-][dd:hh] -- an optional date plus or minus optional days and hours. 両方が指定されている場合は、正符号 (+) または負符号 (-) の区切り記号を使用します。If both are specified, use a plus sign (+) or minus sign (-) separator. 現在の時刻を基準とした日付には、"now + dd: hh" を使用します。Use "now+dd:hh" for a date relative to the current time.

キャッシュされ@た crl を効果的にフラッシュするには、"chain\ChainCacheResyncFiletime now" を使用します。Use "chain\ChainCacheResyncFiletime @now" to effectively flush cached CRLs.

[-f][-ユーザー][-GroupPolicy][-config Machine\CAName][-f] [-user] [-GroupPolicy] [-config Machine\CAName]

メニューに戻るReturn to Menu

-ImportKMS-ImportKMS

CertUtil [オプション]-ImportKMS UserKeyAndCertFile [CertId]CertUtil [Options] -ImportKMS UserKeyAndCertFile [CertId]

キーのアーカイブ用にユーザーキーと証明書をサーバーデータベースにインポートするImport user keys and certificates into server database for key archival

UserKeyAndCertFile--アーカイブされるユーザーの秘密キーと証明書を含むデータファイル。UserKeyAndCertFile -- Data file containing user private keys and certificates to be archived. 次のいずれかを指定できます。This can be any of the following:

  • Exchange キー管理サーバー (KMS) エクスポートファイルExchange Key Management Server (KMS) export file
  • PFX ファイルPFX file

CertIdKMS エクスポートファイルの暗号化解除証明書の一致トークン。CertId: KMS export file decryption certificate match token. -Store」を参照してください。See -store.

CA によって発行されていない証明書をインポートするには、-f を使用します。Use -f to import certificates not issued by the CA.

[-f][-silent][-split][-config Machine\CAName][-p パスワード][-symkeyalg SymmetricKeyAlgorithm [, KeyLength]][-f] [-silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

メニューに戻るReturn to Menu

-ImportCert-ImportCert

CertUtil [オプション]-ImportCert Certfile [ExistingRow]CertUtil [Options] -ImportCert Certfile [ExistingRow]

証明書ファイルをデータベースにインポートするImport a certificate file into the database

同じキーに対して保留中の要求の代わりに証明書をインポートするには、ExistingRow を使用します。Use ExistingRow to import the certificate in place of a pending request for the same key.

CA によって発行されていない証明書をインポートするには、-f を使用します。Use -f to import certificates not issued by the CA.

CA は、外部証明書のインポートをサポートするように構成することも必要になる場合があります。 certutil-setreg ca\KRAFlags + KRAF_ENABLEFOREIGNThe CA may also need to be configured to support foreign certificate import: certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN

[-f][-config Machine\CAName][-f] [-config Machine\CAName]

メニューに戻るReturn to Menu

-GetKey-GetKey

CertUtil [オプション]-GetKey SearchToken [RecoveryBlobOutFile]CertUtil [Options] -GetKey SearchToken [RecoveryBlobOutFile]

CertUtil [オプション]-GetKey SearchToken スクリプト OutputScriptFileCertUtil [Options] -GetKey SearchToken script OutputScriptFile

CertUtil [オプション]-GetKey SearchToken の取得 |OutputFileBaseName の回復CertUtil [Options] -GetKey SearchToken retrieve | recover OutputFileBaseName

アーカイブされた秘密キーの回復 blob の取得、回復スクリプトの生成、またはアーカイブされたキーの回復Retrieve archived private key recovery blob, generate a recovery script, or recover archived keys

スクリプト: キーを取得して回復するスクリプトを生成します (複数の一致する回復候補が検出された場合、または出力ファイルが指定されていない場合は既定の動作)。script: generate a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file is not specified).

取得: 1 つまたは複数のキー回復 Blob を取得します (同じ回復候補が1つだけ見つかった場合は既定の動作、出力ファイルが指定されている場合は)retrieve: retrieve one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified)

回復: 1 回の手順で秘密キーを取得して回復します (キー回復エージェントの証明書と秘密キーが必要です)recover: retrieve and recover private keys in one step (requires Key Recovery Agent certificates and private keys)

SearchToken:回復するキーと証明書を選択するために使用します。SearchToken: Used to select the keys and certificates to be recovered.

次のいずれかを指定できます。Can be any of the following:

  1. 証明書の共通名Certificate Common Name
  2. 証明書のシリアル番号Certificate Serial Number
  3. 証明書 SHA-1 ハッシュ (拇印)Certificate SHA-1 hash (thumbprint)
  4. 証明書キー Id SHA-1 ハッシュ (サブジェクトキー識別子)Certificate KeyId SHA-1 hash (Subject Key Identifier)
  5. 要求者名 (ドメイン \ ユーザー)Requester Name (domain\user)
  6. UPN (ユーザー@ドメイン)UPN (user@domain)

RecoveryBlobOutFile: 証明書チェーンと関連付けられた秘密キーを含む出力ファイルで、1つまたは複数のキー回復エージェントの証明書に対して暗号化されたままです。RecoveryBlobOutFile: output file containing a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.

OutputScriptFile: 秘密キーの取得と復旧を行うバッチスクリプトを含む出力ファイル。OutputScriptFile: output file containing a batch script to retrieve and recover private keys.

OutputFileBaseName: 出力ファイルのベース名。OutputFileBaseName: output file base name. 取得の場合、すべての拡張機能が切り捨てられ、証明書固有の文字列と、各キー回復 blob に対して拡張子が追加されます。For retrieve, any extension is truncated and a certificate-specific string and the .rec extension are appended for each key recovery blob. 各ファイルには、証明書チェーンと関連付けられている秘密キーが含まれ、1つまたは複数のキー回復エージェントの証明書に対して引き続き暗号化されます。Each file contains a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates. 回復の場合、すべての拡張機能が切り捨てられ、. p12 拡張子が追加されます。For recover, any extension is truncated and the .p12 extension is appended. 回復した証明書チェーンと、PFX ファイルとして格納されている関連する秘密キーが含まれます。Contains the recovered certificate chains and associated private keys, stored as a PFX file.

[-f][-UnicodeText][-silent][-config Machine\CAName][-p パスワード][-ProtectTo SAMNameAndSIDList][-csp プロバイダー][-f] [-UnicodeText] [-silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

メニューに戻るReturn to Menu

-回復キー-RecoverKey

CertUtil [オプション]-回復キー RecoveryBlobInFile [PFXOutFile [受信者インデックス]]CertUtil [Options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

アーカイブされた秘密キーの回復Recover archived private key

[-f][-ユーザー][-silent][-split][-p パスワード][-ProtectTo SAMNameAndSIDList][-csp プロバイダー][-t タイムアウト][-f] [-user] [-silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

メニューに戻るReturn to Menu

-MergePFX-MergePFX

CertUtil [オプション]-MergePFX PFXInFileList PFXOutFile [ExtendedProperties]CertUtil [Options] -MergePFX PFXInFileList PFXOutFile [ExtendedProperties]

PFXInFileList:コンマ区切りの PFX 入力ファイルリストPFXInFileList: Comma separated PFX input file list

PFXOutFile:PFX 出力ファイルPFXOutFile: PFX output file

ExtendedProperties拡張プロパティを含めるExtendedProperties: Include extended properties

コマンドラインで指定したパスワードは、コンマで区切られたパスワードの一覧です。The password specified on the command line is a comma separated password list. 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。If more than one password is specified, the last password is used for the output file. パスワードが1つしか指定されていない場合、*または最後のパスワードが "" の場合、ユーザーは出力ファイルのパスワードの入力を求められます。If only one password is provided or if the last password is "*", the user will be prompted for the output file password.

[-f][-ユーザー][-split][-p パスワード][-ProtectTo SAMNameAndSIDList][-csp プロバイダー][-f] [-user] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

メニューに戻るReturn to Menu

-収束 Tepf-ConvertEPF

CertUtil [オプション]-収束 Tepf PFXInFileList EPFOutFile [cast | cast-] [V3CACertId] [, Salt]CertUtil [Options] -ConvertEPF PFXInFileList EPFOutFile [cast | cast-] [V3CACertId][,Salt]

PFX ファイルを EPF ファイルに変換するConvert PFX files to EPF file

PFXInFileList:コンマ区切りの PFX 入力ファイルリストPFXInFileList: Comma separated PFX input file list

EPF:EPF 出力ファイルEPF: EPF output file

詠唱CAST 64 暗号化を使用するcast: Use CAST 64 encryption

cast-:CAST 64 encryption (export) を使用するcast-: Use CAST 64 encryption (export)

V3CACertId:V3 CA 証明書の一致トークン。V3CACertId: V3 CA Certificate match token. -Store CertId description」を参照してください。See -store CertId description.

SaltEPF 出力ファイルの salt 文字列Salt: EPF output file salt string

コマンドラインで指定したパスワードは、コンマで区切られたパスワードの一覧です。The password specified on the command line is a comma separated password list. 複数のパスワードを指定した場合は、最後のパスワードが出力ファイルに使用されます。If more than one password is specified, the last password is used for the output file. パスワードが1つしか指定されていない場合、*または最後のパスワードが "" の場合、ユーザーは出力ファイルのパスワードの入力を求められます。If only one password is provided or if the last password is "*", the user will be prompted for the output file password.

[-f][-silent][-split][-dc DCName][-p パスワード][-csp プロバイダー][-f] [-silent] [-split] [-dc DCName] [-p Password] [-csp Provider]

メニューに戻るReturn to Menu

およびOptions

このセクションでは、コマンドで指定できるオプションを定義します。This section defines the options that you can specify with the command.

およびOptions 説明Description
-nullsign-nullsign データのハッシュを署名として使用するUse hash of data as signature
-f-f 強制的に上書きするForce overwrite
-enterprise-enterprise ローカルコンピューターのエンタープライズレジストリ証明書ストアを使用するUse local machine Enterprise registry certificate store
-ユーザー-user HKEY_CURRENT_USER キーまたは証明書ストアを使用するUse HKEY_CURRENT_USER keys or certificate store
-GroupPolicy-GroupPolicy グループポリシー証明書ストアを使用するUse Group Policy certificate store
-ut-ut ユーザーテンプレートの表示Display user templates
-mt-mt コンピューターテンプレートを表示するDisplay machine templates
-Unicode-Unicode Unicode でリダイレクトされた出力を書き込むWrite redirected output in Unicode
-UnicodeText-UnicodeText 出力ファイルを Unicode で書き込むWrite output file in Unicode
-gmt-gmt 時刻を GMT として表示しますDisplay times as GMT
-秒-seconds 秒とミリ秒を使用して時刻を表示するDisplay times with seconds and milliseconds
-サイレント-silent サイレントフラグを使用して crypt コンテキストを取得するUse silent flag to acquire crypt context
-分割-split 埋め込みの asn.1 要素を分割し、ファイルに保存するSplit embedded ASN.1 elements, and save to files
-v-v 詳細操作Verbose operation
-privatekey-privatekey パスワードと秘密キーのデータを表示するDisplay password and private key data
-pin のピン留め-pin PIN スマートカードの PINSmart Card PIN
-urlfetch-urlfetch AIA 証明書と CDP Crl を取得して検証するRetrieve and verify AIA Certs and CDP CRLs
-config Machine\CAName-config Machine\CAName CA とコンピューター名の文字列CA and computer name string
-PolicyServer URLOrId-PolicyServer URLOrId ポリシーサーバーの URL または Id。選択 U/I の場合は、-PolicyServer を使用します。Policy Server URL or Id. For selection U/I, use -PolicyServer. すべてのポリシーサーバーで、-PolicyServer を使用します。*For all Policy Servers, use -PolicyServer *
-匿名-Anonymous 匿名の SSL 資格情報を使用するUse anonymous SSL credentials
-Kerberos-Kerberos Kerberos SSL 資格情報を使用するUse Kerberos SSL credentials
-ClientCertificate ClientCertId-ClientCertificate ClientCertId X.509 証明書の SSL 資格情報を使用します。Use X.509 Certificate SSL credentials. 選択 U/I の場合は、-clientCertificate を使用します。For selection U/I, use -clientCertificate.
-ユーザー名-UserName UserName SSL 資格情報には名前付きアカウントを使用します。Use named account for SSL credentials. 選択 U/I の場合は、-UserName を使用します。For selection U/I, use -UserName.
-Cert CertId-Cert CertId 署名用の証明書Signing certificate
-dc DCName-dc DCName 特定のドメインコントローラーをターゲットにするTarget a specific Domain Controller
-RestrictionList を制限する-restrict RestrictionList コンマ区切りの制限リスト。Comma separated Restriction List. 各制限は、列名、関係演算子、および定数整数、文字列、または日付で構成されます。Each restriction consists of a column name, a relational operator and a constant integer, string or date. 並べ替え順序を示すには、1つの列名の前にプラスまたはマイナス記号を付けることができます。One column name may be preceded by a plus or minus sign to indicate the sort order. 例 :Examples:
"RequestId = 47""RequestId = 47"
"+ RequesterName > = a, RequesterName < b""+RequesterName >= a, RequesterName < b"
"-RequesterName > ドメイン、ディスポジション = 21""-RequesterName > DOMAIN, Disposition = 21"
-out ColumnList-out ColumnList コンマ区切りの列リストComma separated Column List
-p パスワード-p Password PasswordPassword
-ProtectTo SAMNameAndSIDList-ProtectTo SAMNameAndSIDList SAM 名/SID リストをコンマで区切って指定します。Comma separated SAM Name/SID List
-csp プロバイダー-csp Provider プロバイダーProvider
-t タイムアウト-t Timeout URL フェッチのタイムアウト (ミリ秒)URL fetch timeout in milliseconds
-symkeyalg SymmetricKeyAlgorithm [, KeyLength]-symkeyalg SymmetricKeyAlgorithm[,KeyLength] オプションのキー長を持つ対称キーアルゴリズムの名前。例:AES、128、または3DESName of Symmetric Key Algorithm with optional key length, example: AES,128 or 3DES

メニューに戻るReturn to Menu

その他の certutil の例Additional certutil examples

このコマンドの使用方法の例については、「」を参照してください。For some examples of how to use this command, see

  1. コマンドラインから Active Directory 証明書サービス (AD CS) を管理するための Certutil の例Certutil Examples for Managing Active Directory Certificate Services (AD CS) from the Command Line
  2. 証明書を管理するための Certutil タスクCertutil tasks for managing certificates
  3. CertUtil コマンドラインツールチュートリアルを使用したバイナリ要求のエクスポートBinary Request Export Using the CertUtil.exe Command-Line Tool Walkthrough
  4. ルート CA 証明書の書き換えRoot CA certificate renewal
  5. CertutilCertutil

メニューに戻るReturn to Menu