certutil

Certutil.exe 인증서 서비스의 일부로 설치되는 명령줄 프로그램입니다. certutil.exe 사용하여 CA(인증 기관) 구성 정보를 덤프 및 표시하고, 인증서 서비스를 구성하고, CA 구성 요소를 백업 및 복원하고, 인증서, 키 쌍 및 인증서 체인을 확인할 수 있습니다.

certutil이 추가 매개 변수 없이 인증 기관에서 실행되는 경우 현재 인증 기관 구성이 표시됩니다. certutil이 비인증 기관에서 실행되는 경우 명령의 기본값은 certutil [-dump] 명령 실행입니다.

중요

이전 버전의 certutil이이 문서에서 설명 하는 옵션을 모두를 제공할 수 있습니다. 또는 을 실행하여 특정 버전의 certutil에서 제공하는 모든 옵션을 볼 수 certutil -?certutil <parameter> -? 있습니다.

매개 변수

-덤프

구성 정보 또는 파일을 덤프합니다.

certutil [options] [-dump]
certutil [options] [-dump] file
[-f] [-silent] [-split] [-p password] [-t timeout]

-asn

ASN.1(Abstract Syntax Notation) 구문을 사용하여 파일의 내용을 구문 분석하고 표시합니다. 파일 형식은 을 포함합니다. CER. DER 및 PKCS #7 서식이 지정된 파일입니다.

certutil [options] -asn file [type]

[type]: numeric CRYPT_STRING_* 디코딩 형식

-decodehex

16진수로 인코딩된 파일을 디코딩합니다.

certutil [options] -decodehex infile outfile [type]

[type]: numeric CRYPT_STRING_* 인코딩 형식

[-f]

-디코딩

Base64로 인코딩된 파일을 디코딩합니다.

certutil [options] -decode infile outfile
[-f]

-인코딩

파일을 Base64로 인코딩합니다.

certutil [options] -encode infile outfile
[-f] [-unicodetext]

-거부

보류 중인 요청을 거부합니다.

certutil [options] -deny requestID
[-config Machine\CAName]

-다시 전송

보류 중인 요청을 다시 제출합니다.

certutil [options] -resubmit requestId
[-config Machine\CAName]

-setattributes

보류 중인 인증서 요청에 대한 특성을 설정합니다.

certutil [options] -setattributes RequestID attributestring

위치:

  • requestID는 보류 중인 요청에 대한 숫자 요청 ID입니다.

  • attributestring은 요청 특성 이름 및 값 쌍입니다.

[-config Machine\CAName]

설명

  • 이름 및 값은 콜론으로 구분되어야 하고, 여러 이름, 값 쌍은 새줄로 구분되어야 합니다. 예: CertificateTemplate:User\nEMail:User@Domain.com\n 시퀀스가 새줄 구분 기호로 변환되는 위치입니다.

-setextension

보류 중인 인증서 요청에 대한 확장을 설정합니다.

certutil [options] -setextension requestID extensionname flags {long | date | string | \@infile}

위치:

  • requestID는 보류 중인 요청에 대한 숫자 요청 ID입니다.

  • extensionname은 확장의 ObjectId 문자열입니다.

  • flags는 확장의 우선 순위를 설정합니다. 0 는 확장을 1 위험으로 설정하고, 확장을 사용하지 않도록 설정하고, 둘 다 수행하는 동안 23 권장됩니다.

[-config Machine\CAName]

설명

  • 마지막 매개 변수가 숫자이면 Long로 간주합니다.

  • 마지막 매개 변수를 날짜로 구문 분석할 수 있는 경우 날짜로 표시됩니다.

  • 마지막 매개 변수가 로 시작하는 경우 \@ 토큰의 나머지 부분은 이진 데이터 또는 ascii 텍스트 16진수 덤프가 있는 파일 이름으로 표시됩니다.

  • 마지막 매개 변수가 다른 매개 변수인 경우 문자열로 가져옵니다.

-취소

인증서를 해지합니다.

certutil [options] -revoke serialnumber [reason]

위치:

  • serialnumber는 해지할 인증서 일련 번호의 쉼표로 구분된 목록입니다.

  • reason은 다음을 포함하여 해지 이유의 숫자 또는 기호 표현입니다.

    • 0. CRL_REASON_UNSPECIFIED - 지정되지 않았습니다(기본값).

    • 1. CRL_REASON_KEY_COMPROMISE - 키 손상

    • 2. CRL_REASON_CA_COMPROMISE - 인증 기관 손상

    • 3. CRL_REASON_AFFILIATION_CHANGED - 소속이 변경되었습니다.

    • 4. CRL_REASON_SUPERSEDED - 대체

    • 5. CRL_REASON_CESSATION_OF_OPERATION - 작업 중단

    • 6. CRL_REASON_CERTIFICATE_HOLD - 인증서 보관

    • 8. CRL_REASON_REMOVE_FROM_CRL - CRL에서 제거

    • 1. Unrevoke - Unrevoke

[-config Machine\CAName]

-isvalid

현재 인증서의 처리를 표시합니다.

certutil [options] -isvalid serialnumber | certhash
[-config Machine\CAName]

-getconfig

기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig
[-config Machine\CAName]

-ping

Active Directory 인증서 서비스 요청 인터페이스에 문의합니다.

certutil [options] -ping [maxsecondstowait | camachinelist]

위치:

  • camachinelist는 CA 컴퓨터 이름의 쉼표로 구분된 목록입니다. 단일 컴퓨터의 경우 종료 쉼표 를 사용합니다. 이 옵션은 각 CA 컴퓨터에 대한 사이트 비용도 표시합니다.
[-config Machine\CAName]

-fofo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -cainfo [infoname [index | errorcode]]

위치:

  • infoname은 다음 infoname 인수 구문에 따라 표시할 CA 속성을 나타냅니다.

    • file - 파일 버전

    • product - 제품 버전

    • exitcount - 종료 모듈 수

    • 종료 - 종료 모듈 설명

    • 정책 - 정책 모듈 설명

    • name - CA 이름

    • sanitizedname - Sanitized CA name

    • dsname - SANITIZED CA 약식 이름(DS 이름)

    • sharedfolder - 공유 폴더

    • error1 ErrorCode - 오류 메시지 텍스트

    • error2 ErrorCode - 오류 메시지 텍스트 및 오류 코드

    • type - CA 유형

    • info - CA 정보

    • parent - 부모 CA

    • certcount - CA 인증서 수

    • xchgcount - CA 교환 인증서 수

    • 일수 - CER 인증서 개수

    • 지속형 - 대용사 인증서 사용 횟수

    • propidmax - 최대 CA PropId

    • certstate - CA 인증서

    • certversion - CA 인증서 버전

    • certstatuscode - CA 인증서 확인 상태

    • crlstate - CRL

    • 일부 - CER 인증서

    • 교차 상태 + -크로스 인증서 전달

    • 간 상태- -역방향 상호 인증서

    • 인증서 -CA 인증서

    • certchain -CA 인증서 체인

    • certcrlchain -Crl을 사용 하는 CA 인증서 체인

    • xchg -CA exchange 인증서

    • xchgchain -CA exchange 인증서 체인

    • xchgcrlchain -Crl을 사용한 CA 교환 인증서 체인

    • kra -KRA 인증서

    • 크로스 + -크로스 인증서 전달

    • 교차 -역방향 상호 인증서

    • CRL -기본 CRL

    • deltacrl -델타 CRL

    • crlstatus -CRL 게시 상태

    • deltacrlstatus -델타 CRL 게시 상태

    • dns -dns 이름

    • 역할 -역할 구분

    • 광고 -고급 서버

    • 템플릿 -템플릿

    • csp -OCSP Url

    • aia -AIA Url

    • cdp -CDP Url

    • localename -CA 로캘 이름

    • 제목 템플릿 oid -주제 템플릿 oid

    • * -모든 속성을 표시 합니다.

  • index 는 선택적으로 0부터 시작 하는 속성 인덱스입니다.

  • errorcode 는 숫자 오류 코드입니다.

[-f] [-split] [-config Machine\CAName]

-ca.cert

인증 기관에 대 한 인증서를 검색 합니다.

certutil [options] -ca.cert outcacertfile [index]

위치:

  • outcacertfile 는 출력 파일입니다.

  • index 는 CA 인증서 갱신 인덱스 이며 기본값은 가장 최근 항목입니다.

[-f] [-split] [-config Machine\CAName]

-ca.chain

인증 기관에 대 한 인증서 체인을 검색 합니다.

certutil [options] -ca.chain outcacertchainfile [index]

위치:

  • outcacertchainfile 는 출력 파일입니다.

  • index 는 CA 인증서 갱신 인덱스 이며 기본값은 가장 최근 항목입니다.

[-f] [-split] [-config Machine\CAName]

-getcrl

CRL (인증서 해지 목록)을 가져옵니다.

certutil [options] -getcrl outfile [index] [delta]

위치:

  • index 는 crl 인덱스 또는 키 인덱스입니다. 기본값은 가장 최근 키의 경우 crl입니다.

  • 델타 crl (기본값은 기본 crl)입니다.

[-f] [-split] [-config Machine\CAName]

-crl

새 Crl (인증서 해지 목록) 또는 델타 Crl을 게시 합니다.

certutil [options] -crl [dd:hh | republish] [delta]

위치:

  • dd: hh 는 새 CRL 유효 기간 (일 및 시간)입니다.

  • 다시 게시 최신 crl을 다시 게시 합니다.

  • 델타 crl만 델타 crl을 게시 합니다 (기본값은 기본 및 델타 crl).

[-split] [-config Machine\CAName]

-종료

Active Directory 인증서 서비스를 종료 합니다.

certutil [options] -shutdown
[-config Machine\CAName]

-installcert

인증 기관 인증서를 설치 합니다.

certutil [options] -installcert [cacertfile]
[-f] [-silent] [-config Machine\CAName]

-renewcert

인증 기관 인증서를 갱신 합니다.

certutil [options] -renewcert [reusekeys] [Machine\ParentCAName]
  • 을 사용 하 여 -f 미해결 갱신 요청을 무시 하 고 새 요청을 생성 합니다.
[-f] [-silent] [-config Machine\CAName]

-스키마

인증서에 대 한 스키마를 덤프 합니다.

certutil [options] -schema [ext | attrib | cRL]

위치:

  • 이 명령은 기본적으로 요청 및 인증서 테이블로 설정 됩니다.

  • ext 는 확장 테이블입니다.

  • 특성은 특성 테이블입니다.

  • crl은 crl 테이블입니다.

[-split] [-config Machine\CAName]

-보기

인증서 뷰를 덤프 합니다.

certutil [options] -view [queue | log | logfail | revoked | ext | attrib | crl] [csv]

위치:

  • 는 특정 요청 큐를 덤프 합니다.

  • 로그 는 발급 되거나 해지 된 인증서와 실패 한 모든 요청을 덤프 합니다.

  • logfail 은 실패 한 요청을 덤프 합니다.

  • 해지 된 인증서를 덤프 합니다 .

  • ext 는 확장 테이블을 덤프 합니다.

  • 특성은 특성 테이블을 덤프 합니다.

  • crl이 crl 테이블을 덤프 합니다.

  • csv 는 쉼표로 구분 된 값을 사용 하 여 출력을 제공 합니다.

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

설명

  • 모든 항목에 대해 StatusCode 열을 표시 하려면 다음을 입력 합니다.

  • 마지막 항목에 대 한 모든 열을 표시 하려면 다음을 입력 합니다. -restrict RequestId==$

  • 3 개 요청에 대 한 RequestID처리 를 표시 하려면 다음을 입력 합니다.

  • 모든 기본 Crl의 행 id행 idCRL 번호 를 표시 하려면 다음을 입력 합니다.

  • 표시 하려면 다음을 입력 합니다. -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl

  • 전체 CRL 테이블을 표시 하려면 다음을 입력 합니다. CRL

  • Date[+|-dd:hh]날짜 제한에 사용 합니다.

  • now+dd:hh현재 시간을 기준으로 하는 날짜에 사용 합니다.

-db

원시 데이터베이스를 덤프 합니다.

certutil [options] -db
[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

서버 데이터베이스에서 행을 삭제 합니다.

certutil [options] -deleterow rowID | date [request | cert | ext | attrib | crl]

위치:

  • 요청 은 제출 날짜를 기준으로 실패 한 요청 및 보류 중인 요청을 삭제 합니다.

  • 인증서 만료 날짜를 기준으로 만료 되 고 해지 된 인증서를 삭제 합니다.

  • ext 확장 테이블을 삭제 합니다.

  • 특성 은 특성 테이블을 삭제 합니다.

  • crl이 crl 테이블을 삭제 합니다.

[-f] [-config Machine\CAName]

  • 2001 년 1 월 22 일에 제출 된 실패 한 요청 및 보류 중인 요청을 삭제 하려면 다음을 입력 합니다. 1/22/2001 request

  • 2001 년 1 월 22 일에 만료 된 모든 인증서를 삭제 하려면 다음을 입력 합니다. 1/22/2001 cert

  • RequestID 37에 대 한 인증서 행, 특성 및 확장을 삭제 하려면 다음을 입력 합니다. 37

  • 2001 년 1 월 22 일에 만료 된 Crl을 삭제 하려면 다음을 입력 합니다. 1/22/2001 crl

-backup

Active Directory 인증서 서비스를 백업 합니다.

certutil [options] -backup backupdirectory [incremental] [keeplog]

위치:

  • backupdirectory는 백업된 데이터를 저장할 디렉터리입니다.

  • 증분은 증분 백업만 수행합니다(기본값은 전체 백업임).

  • keeplog는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것임).

[-f] [-config Machine\CAName] [-p Password]

-backupdb

Active Directory 인증서 서비스 데이터베이스를 백업합니다.

certutil [options] -backupdb backupdirectory [incremental] [keeplog]

위치:

  • backupdirectory는 백업된 데이터베이스 파일을 저장할 디렉터리입니다.

  • 증분은 증분 백업만 수행합니다(기본값은 전체 백업임).

  • keeplog는 데이터베이스 로그 파일을 유지합니다(기본값은 로그 파일을 자르는 것임).

[-f] [-config Machine\CAName]

-backupkey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 백업합니다.

certutil [options] -backupkey backupdirectory

위치:

  • backupdirectory는 백업된 PFX 파일을 저장할 디렉터리입니다.
[-f] [-config Machine\CAName] [-p password] [-t timeout]

-restore

Active Directory 인증서 서비스 복원합니다.

certutil [options] -restore backupdirectory

위치:

  • backupdirectory는 복원할 데이터가 포함된 디렉터리입니다.
[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 인증서 서비스 데이터베이스를 복원합니다.

certutil [options] -restoredb backupdirectory

위치:

  • backupdirectory는 복원할 데이터베이스 파일이 포함된 디렉터리입니다.
[-f] [-config Machine\CAName]

-restorekey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 복원합니다.

certutil [options] -restorekey backupdirectory | pfxfile

위치:

  • backupdirectory는 복원할 PFX 파일이 포함된 디렉터리입니다.
[-f] [-config Machine\CAName] [-p password]

-importpfx

인증서 및 프라이빗 키를 가져옵니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -importpfx [certificatestorename] pfxfile [modifiers]

위치:

  • certificatestorename은 인증서 저장소의 이름입니다.

  • 한정자는 다음 중 하나 이상을 포함할 수 있는 쉼표로 구분된 목록입니다.

    1. AT_SIGNATURE - keyspec을 서명으로 변경합니다.

    2. AT_KEYEXCHANGE - 키 교환으로 keyspec 변경

    3. NoExport - 프라이빗 키를 내보낼 수 없게 만듭니다.

    4. NoCert - 인증서를 가져오지 않습니다.

    5. NoChain - 인증서 체인을 가져오지 않습니다.

    6. NoRoot - 루트 인증서를 가져오지 않습니다.

    7. 보호 - 암호를 사용하여 키 보호

    8. NoProtect - 암호를 사용하여 키를 암호로 보호하지 않습니다.

[-f] [-user] [-p password] [-csp provider]

설명

  • 기본값은 개인용 머신 저장소입니다.

-dynamicfilelist

동적 파일 목록을 표시합니다.

certutil [options] -dynamicfilelist
[-config Machine\CAName]

-databaselocations

데이터베이스 위치를 표시합니다.

certutil [options] -databaselocations
[-config Machine\CAName]

-hashfile

파일을 통해 암호화 해시를 생성하고 표시합니다.

certutil [options] -hashfile infile [hashalgorithm]

-저장

인증서 저장소를 덤프합니다.

certutil [options] -store [certificatestorename [certID [outputfile]]]

위치:

  • certificatestorename은 인증서 저장소 이름입니다. 예를 들면 다음과 같습니다.

    • My, CA (default), Root,

    • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)

    • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)

    • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)

    • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)

    • ldap: (AD computer object certificates)

    • -user ldap: (AD user object certificates)

  • certID는 인증서 또는 CRL 일치 토큰입니다. 일련 번호, SHA-1 인증서, CRL, CTL 또는 공개 키 해시, 숫자 인증서 인덱스(0, 1 등), 숫자 CRL 인덱스(.0, .1 등), 숫자 CTL 인덱스(.. 0, .. 1 등), 공개 키, 서명 또는 확장 ObjectId, 인증서 주체 일반 이름, 전자 메일 주소, UPN 또는 DNS 이름, 키 컨테이너 이름 또는 CSP 이름, 템플릿 이름 또는 ObjectId, EKU 또는 애플리케이션 정책 ObjectId 또는 CRL 발급자 일반 이름입니다. 이러한 대부분의 여러 일치 항목이 될 수 있습니다.

  • outputfile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-silent] [-split] [-dc DCName]

옵션

  • -user옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.

  • -enterprise옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.

  • -service옵션은 컴퓨터 서비스 저장소에 액세스합니다.

  • -grouppolicy옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예를 들면 다음과 같습니다.

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-addstore

저장소에 인증서를 추가합니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -addstore certificatestorename infile

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • infile은 저장하기 위해 추가하려는 인증서 또는 CRL 파일입니다.

[-f] [-user] [-enterprise] [-grouppolicy] [-dc DCName]

-delstore

저장소에서 인증서를 삭제합니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -delstore certificatestorename certID

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • certID는 인증서 또는 CRL 일치 토큰입니다.

[-enterprise] [-user] [-grouppolicy] [-dc DCName]

-verifystore

저장소에서 인증서를 확인합니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -verifystore certificatestorename [certID]

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • certID는 인증서 또는 CRL 일치 토큰입니다.

[-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-dc DCName] [-t timeout]

-repairstore

키 연결을 복구하거나 인증서 속성 또는 키 보안 설명자를 업데이트합니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -repairstore certificatestorename certIDlist [propertyinffile | SDDLsecuritydescriptor]

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • certIDlist는 쉼표로 구분된 인증서 또는 CRL 일치 토큰 목록입니다. 자세한 내용은 이 -store certID 문서의 설명을 참조하세요.

  • propertyinffile은 다음을 비롯한 외부 속성을 포함하는 INF 파일입니다.

    [Properties]
        19 = Empty ; Add archived property, OR:
        19 =       ; Remove archived property
    
        11 = {text}Friendly Name ; Add friendly name property
    
        127 = {hex} ; Add custom hexadecimal property
            _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
            _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
    
        2 = {text} ; Add Key Provider Information property
          _continue_ = Container=Container Name&
          _continue_ = Provider=Microsoft Strong Cryptographic Provider&
          _continue_ = ProviderType=1&
          _continue_ = Flags=0&
          _continue_ = KeySpec=2
    
        9 = {text} ; Add Enhanced Key Usage property
          _continue_ = 1.3.6.1.5.5.7.3.2,
          _continue_ = 1.3.6.1.5.5.7.3.1,
    
[-f] [-enterprise] [-user] [-grouppolicy] [-silent] [-split] [-csp provider]

-뷰 저장소

인증서 저장소를 덤프합니다. 자세한 내용은 이 -store 문서의 매개 변수를 참조하세요.

certutil [options] -viewstore [certificatestorename [certID [outputfile]]]

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • certID는 인증서 또는 CRL 일치 토큰입니다.

  • outputfile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

옵션

  • -user옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.

  • -enterprise옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.

  • -service옵션은 컴퓨터 서비스 저장소에 액세스합니다.

  • -grouppolicy옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예를 들면 다음과 같습니다.

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-viewdelstore

저장소에서 인증서를 삭제합니다.

certutil [options] -viewdelstore [certificatestorename [certID [outputfile]]]

위치:

  • certificatestorename은 인증서 저장소 이름입니다.

  • certID는 인증서 또는 CRL 일치 토큰입니다.

  • outputfile은 일치하는 인증서를 저장하는 데 사용되는 파일입니다.

[-f] [-user] [-enterprise] [-service] [-grouppolicy] [-dc DCName]

옵션

  • -user옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.

  • -enterprise옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.

  • -service옵션은 컴퓨터 서비스 저장소에 액세스합니다.

  • -grouppolicy옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

예를 들면 다음과 같습니다.

  • -enterprise NTAuth

  • -enterprise Root 37

  • -user My 26e0aaaf000000000004

  • CA .11

-dspublish

인증서 또는 CRL(인증서 해지 목록)을 Active Directory에 게시합니다.

certutil [options] -dspublish certfile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

위치:

  • certfile은 게시할 인증서 파일의 이름입니다.

  • NTAuthCA는 DS Enterprise 저장소에 인증서를 게시합니다.

  • RootCA는 DS 신뢰할 수 있는 루트 저장소에 인증서를 게시합니다.

  • SubCA는 DS CA 개체에 CA 인증서를 게시합니다.

  • CrossCA는 인증서 간을 DS CA 개체에 게시합니다.

  • 해당 인증서를 DS 키 복구 에이전트 개체에 게시합니다.

  • 사용자가 인증서를 User DS 개체에 게시합니다.

  • 컴퓨터가 인증서를 컴퓨터 DS 개체에 게시합니다.

  • CRLfile은 게시할 CRL 파일의 이름입니다.

  • DSCDPContainer는 DS CDP 컨테이너 CN으로, 일반적으로 CA 컴퓨터 이름입니다.

  • DSCDPCN은 일반적으로 삭제된 CA 약식 이름 및 키 인덱스를 기반으로 하는 DS CDP 개체 CN입니다.

  • 를 사용하여 -f 새 DS 개체를 만듭니다.

[-f] [-user] [-dc DCName]

-adtemplate

Active Directory 템플릿을 표시합니다.

certutil [options] -adtemplate [template]
[-f] [-user] [-ut] [-mt] [-dc DCName]

-template

인증서 템플릿을 표시합니다.

certutil [options] -template [template]
[-f] [-user] [-silent] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-templatecas

인증서 템플릿에 대한 인증 기관(CAS)을 표시합니다.

certutil [options] -templatecas template
[-f] [-user] [-dc DCName]

-catemplates

인증 기관에 대한 템플릿을 표시합니다.

certutil [options] -catemplates [template]
[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-setcasites

인증 기관 사이트 이름 설정, 확인 및 삭제를 포함하여 사이트 이름을 관리합니다.

certutil [options] -setcasites [set] [sitename]
certutil [options] -setcasites verify [sitename]
certutil [options] -setcasites delete

위치:

  • sitename은 단일 인증 기관을 대상으로 하는 경우에만 허용됩니다.
[-f] [-config Machine\CAName] [-dc DCName]

설명

  • -config옵션은 단일 인증 기관을 대상으로 합니다(기본값은 모든 CAS임).

  • 옵션을 -f 사용하여 지정된 사이트 이름에 대한 유효성 검사 오류를 재정의하거나 모든 CA -f 이름을 삭제할 수 있습니다.

참고

AD DS(Active Directory Domain Services) 사이트 인식을 위해 CAS를 구성하는 방법에 대한 자세한 내용은 AD CS 및 PKI 클라이언트에 대한 AD DS Site Awareness를 참조하세요.

-enrollmentserverURL

CA와 연결된 등록 서버 URL을 표시, 추가 또는 삭제합니다.

certutil [options] -enrollmentServerURL [URL authenticationtype [priority] [modifiers]]
certutil [options] -enrollmentserverURL URL delete

위치:

  • authenticationtype은 URL을 추가하는 동안 다음 클라이언트 인증 방법 중 하나를 지정합니다.

    1. kerberos - Kerberos SSL 자격 증명을 사용합니다.

    2. username - SSL 자격 증명에 명명된 계정을 사용합니다.

    3. clientcertificate:- X.509 인증서 SSL 자격 증명을 사용합니다.

    4. anonymous - 익명 SSL 자격 증명을 사용합니다.

  • delete는 CA와 연결된 지정된 URL을 삭제합니다.

  • URL을 추가할 때 지정하지 않으면 priority가 기본값으로 설정됩니다.

  • 한정자는 다음 중 하나 이상을 포함하는 쉼표로 구분된 목록입니다.

  1. allowrenewalsonly - 갱신 요청만 이 URL을 통해 이 CA에 제출할 수 있습니다.

  2. allowkeybasedrenewal - AD에 연결된 계정이 없는 인증서를 사용할 수 있습니다. 이는 clientcertificate 및 allowrenewalsonly 모드에만 적용됩니다.

[-config Machine\CAName] [-dc DCName]

-adca

Active Directory 인증 기관을 표시합니다.

certutil [options] -adca [CAName]
[-f] [-split] [-dc DCName]

-ca

등록 정책 인증 기관을 표시합니다.

certutil [options] -CA [CAName | templatename]
[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policy

등록 정책을 표시합니다.

[-f] [-user] [-silent] [-split] [-policyserver URLorID] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-policycache

등록 정책 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -policycache [delete]

위치:

  • delete는 정책 서버 캐시 항목을 삭제합니다.

  • -f는 모든 캐시 항목을 삭제합니다.

[-f] [-user] [-policyserver URLorID]

-credstore

Credential Store 항목을 표시, 추가 또는 삭제합니다.

certutil [options] -credstore [URL]
certutil [options] -credstore URL add
certutil [options] -credstore URL delete

위치:

  • URL은 대상 URL입니다. 를 사용하여 * 모든 항목을 일치시킬 수도 있고 https://machine* URL 접두사와 일치시킬 수도 있습니다.

  • add는 자격 증명 저장소 항목을 추가합니다. 이 옵션을 사용하려면 SSL 자격 증명도 사용해야 합니다.

  • delete는 자격 증명 저장소 항목을 삭제합니다.

  • -f 단일 항목을 덮어쓰거나 여러 항목을 삭제 합니다.

[-f] [-user] [-silent] [-anonymous] [-kerberos] [-clientcertificate clientcertID] [-username username] [-p password]

-installdefaulttemplates

기본 인증서 템플릿을 설치합니다.

certutil [options] -installdefaulttemplates
[-dc DCName]

-URLcache

URL 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -URLcache [URL | CRL | * [delete]]

위치:

  • URL은 캐시된 URL입니다.

  • CRL은 캐시된 모든 CRL URL에서만 실행됩니다.

  • * 는 캐시된 모든 URL에서 작동합니다.

  • delete는 현재 사용자의 로컬 캐시에서 관련 URL을 삭제합니다.

  • -f는 특정 URL을 가져오고 캐시를 업데이트합니다.

[-f] [-split]

-펄스

Pulses 자동 등록 이벤트.

certutil [options] -pulse
[-user]

-machineinfo

Active Directory 컴퓨터 개체에 대한 정보를 표시합니다.

certutil [options] -machineinfo domainname\machinename$

-DCInfo

도메인 컨트롤러에 대한 정보를 표시합니다. 기본값은 확인 없이 DC 인증서를 표시합니다.

certutil [options] -DCInfo [domain] [verify | deletebad | deleteall]
[-f] [-user] [-urlfetch] [-dc DCName] [-t timeout]

Windows Server 2012 Active Directory Domain Services(AD DS) 도메인 [도메인]을 지정하고 도메인 컨트롤러(-dc)를 지정하는 기능이 추가되었습니다. 명령을 성공적으로 실행 하려면의 구성원 인 계정을 사용 해야 Domain Admins 또는 Enterprise Admins합니다. 이 명령의 동작 수정 작업은 다음과 같습니다.

  1. 1. 도메인을 지정하지 않고 특정 도메인 컨트롤러를 지정하지 않은 경우 이 옵션은 기본 도메인 컨트롤러에서 처리할 도메인 컨트롤러 목록을 반환합니다.
  2. 2. 도메인을 지정하지 않았지만 도메인 컨트롤러를 지정하면 지정된 도메인 컨트롤러의 인증서 보고서가 생성됩니다.
  3. 3. 도메인을 지정했지만 도메인 컨트롤러를 지정하지 않으면 도메인 컨트롤러 목록이 목록의 각 도메인 컨트롤러에 대한 인증서에 대한 보고서와 함께 생성됩니다.
  4. 4. 도메인 및 도메인 컨트롤러를 지정하면 대상 도메인 컨트롤러에서 도메인 컨트롤러 목록이 생성됩니다. 목록에서 각 도메인 컨트롤러에 대 한 인증서에 대 한 보고서도 생성 됩니다.

예를 들어 CPANDL-d c 1 이라는 도메인 컨트롤러와 CPANDL 라는 도메인이 가정 합니다. 다음 명령을 실행하여 CPANDL-DC1에서 도메인 컨트롤러 및 해당 인증서 목록을 검색할 수 있습니다. certutil -dc cpandl-dc1 -DCInfo cpandl

-entinfo

엔터프라이즈 인증 기관에 대한 정보를 표시합니다.

certutil [options] -entinfo domainname\machinename$
[-f] [-user]

-t도포

인증 기관에 대한 정보를 표시합니다.

certutil [options] -tcainfo [domainDN | -]
[-f] [-enterprise] [-user] [-urlfetch] [-dc DCName] [-t timeout]

-scinfo

스마트 카드에 대한 정보를 표시합니다.

certutil [options] -scinfo [readername [CRYPT_DELETEKEYSET]]

위치:

  • CRYPT_DELETEKEYSET 스마트 카드의 모든 키를 삭제합니다.
[-silent] [-split] [-urlfetch] [-t timeout]

-scroots

스마트 카드 루트 인증서를 관리합니다.

certutil [options] -scroots update [+][inputrootfile] [readername]
certutil [options] -scroots save \@in\\outputrootfile [readername]
certutil [options] -scroots view [inputrootfile | readername]
certutil [options] -scroots delete [readername]
[-f] [-split] [-p Password]

-verifykeys

퍼블릭 또는 프라이빗 키 집합을 확인합니다.

certutil [options] -verifykeys [keycontainername cacertfile]

위치:

  • keycontainername은 확인할 키의 키 컨테이너 이름입니다. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키로 전환하려면 -user 를 사용합니다.

  • cacertfile은 인증서 파일에 서명하거나 암호화합니다.

[-f] [-user] [-silent] [-config Machine\CAName]

설명

  • 인수를 지정하지 않으면 각 서명 CA 인증서가 프라이빗 키에 대해 확인됩니다.

  • 만 로컬 CA 또는 로컬 키에 대해이 작업을 수행할 수 있습니다.

-확인

인증서, CRL(인증서 해지 목록) 또는 인증서 체인을 확인합니다.

certutil [options] -verify certfile [applicationpolicylist | - [issuancepolicylist]]
certutil [options] -verify certfile [cacertfile [crossedcacertfile]]
certutil [options] -verify CRLfile cacertfile [issuedcertfile]
certutil [options] -verify CRLfile cacertfile [deltaCRLfile]

위치:

  • certfile은 확인할 인증서의 이름입니다.

  • applicationpolicylist는 필수 애플리케이션 정책 ObjectId의 선택적 쉼표로 구분된 목록입니다.

  • issuancepolicylist는 필수 발급 정책 ObjectId의 선택적 쉼표로 구분된 목록입니다.

  • cacertfile은 확인할 선택적 발급 CA 인증서입니다.

  • crossedcacertfile은certfile에서 교차 인증한 선택적 인증서입니다.

  • CRLfile은cacertfile를 확인하는 데 사용되는 CRL 파일입니다.

  • issuedcertfile은 CRLfile에서 다루는 선택적으로 발급된 인증서입니다.

  • deltaCRLfile은 선택적 델타 CRL 파일입니다.

[-f] [-enterprise] [-user] [-silent] [-split] [-urlfetch] [-t timeout]

설명

  • applicationpolicylist를 사용하면 체인 빌드가 지정된 애플리케이션 정책에 유효한 체인으로만 제한됩니다.

  • issuancepolicylist를 사용하면 체인 빌드가 지정된 발급 정책에 유효한 체인으로만 제한됩니다.

  • cacertfile을 사용하면 파일의 필드가 certfile 또는 CRLfile에 대해 확인됩니다.

  • issuedcertfile을 사용하면 파일의 필드가 CRLfile에 대해 확인됩니다.

  • deltaCRLfile을 사용하면 파일의 필드가 certfile에 대해 확인됩니다.

  • cacertfile을 지정하지 않으면 전체 체인이 빌드되고 certfile에 대해 확인됩니다.

  • cacertfilecrossedcacertfile을 모두 지정하면 두 파일의 필드가 certfile에 대해 확인됩니다.

-verifyCTL

AuthRoot 또는 허용되지 않는 인증서 CTL을 확인합니다.

certutil [options] -verifyCTL CTLobject [certdir] [certfile]

위치:

  • CTLobject는 다음을 포함하여 확인할 CTL을 식별합니다.

    • AuthRootWU - URL 캐시에서 AuthRoot CAB 및 일치하는 인증서를 읽습니다. 대신 를 사용하여 -f Windows 업데이트에서 다운로드합니다.

    • DisallowedWU - URL 캐시에서 허용되지 않는 인증서 CAB 및 허용되지 않는 인증서 저장소 파일을 읽습니다. 대신 를 사용하여 -f Windows 업데이트에서 다운로드합니다.

    • AuthRoot - 레지스트리 캐시 AuthRoot CTL을 읽습니다. 및 신뢰할 수 없는 인증서와 함께 를 사용하여 -f 레지스트리 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다. -f

    • 허용되지 않는 - 레지스트리 캐시에서 허용되지 않는 인증서 CTL을 읽습니다. 및 신뢰할 수 없는 인증서와 함께 를 사용하여 -f 레지스트리 캐시된 AuthRoot 및 허용되지 않는 인증서 CTL을 강제로 업데이트합니다. -f

  • CTLfilename은 CTL 또는 CAB 파일의 파일 또는 http 경로를 지정합니다.

  • certdir은 CTL 항목과 일치하는 인증서가 포함된 폴더를 지정합니다. 기본값은 CTLobject와동일한 폴더 또는 웹 사이트입니다. http 폴더 경로를 사용하려면 끝에 경로 구분 기호가 필요합니다. AuthRoot 또는 허용되지않는 를 지정하지 않으면 로컬 인증서 저장소, crypt32.dll 리소스 및 로컬 URL 캐시를 포함하여 여러 위치에서 일치하는 인증서를 검색합니다. 필요에 따라 를 사용하여 -f Windows 업데이트에서 다운로드합니다.

  • certfile은 확인할 인증서를 지정합니다. 인증서는 CTL 항목과 일치하여 결과를 표시합니다. 이 옵션은 대부분의 기본 출력을 표시하지 않습니다.

[-f] [-user] [-split]

-기호

CRL(인증서 해지 목록) 또는 인증서에 다시 서명합니다.

certutil [options] -sign infilelist | serialnumber | CRL outfilelist [startdate+dd:hh] [+serialnumberlist | -serialnumberlist | -objectIDlist | \@extensionfile]
certutil [options] -sign infilelist | serialnumber | CRL outfilelist [#hashalgorithm] [+alternatesignaturealgorithm | -alternatesignaturealgorithm]

위치:

  • infilelist는 수정하고 다시 서명할 인증서 또는 CRL 파일의 쉼표로 구분된 목록입니다.

  • serialnumber는 만들 인증서의 일련 번호입니다. 유효 기간 및 기타 옵션은 사용할 수 없습니다.

  • CRL은 빈 CRL을 만듭니다. 유효 기간 및 기타 옵션은 사용할 수 없습니다.

  • outfilelist는 수정된 인증서 또는 CRL 출력 파일의 쉼표로 구분된 목록입니다. 파일 수는 infilelist와 일치해야 합니다.

  • startdate+dd:hh는 다음을 포함하여 인증서 또는 CRL 파일에 대한 새로운 유효 기간입니다.

    • 선택적 날짜 더하기

    • 선택적 일 및 시간 유효 기간

    둘 다 지정한 경우 더하기 기호(+) 구분 기호를 사용해야 합니다. 를 사용하여 now[+dd:hh] 현재 시간에 시작합니다. 만료 never 날짜가 없도록 하려면 를 사용합니다(CRL에만 해당).

  • serialnumberlist는 추가하거나 제거할 파일의 쉼표로 구분된 일련 번호 목록입니다.

  • objectIDlist는 제거할 파일의 쉼표로 구분된 확장명 ObjectId 목록입니다.

  • @extensionfile 업데이트하거나 제거할 확장이 포함된 INF 파일입니다. 예를 들면 다음과 같습니다.

    [Extensions]
        2.5.29.31 = ; Remove CRL Distribution Points extension
        2.5.29.15 = {hex} ; Update Key Usage extension
        _continue_=03 02 01 86
    
  • hashalgorithm은 해시 알고리즘의 이름입니다. 기호가 앞에 오는 텍스트여야 # 합니다.

  • alternatesignaturealgorithm은 대체 서명 알고리즘 지정자입니다.

[-nullsign] [-f] [-silent] [-cert certID]

설명

  • 빼기 기호(-)를 사용하면 일련 번호와 확장이 제거됩니다.

  • 더하기 기호(+)를 사용하면 일련 번호가 CRL에 추가됩니다.

  • 목록을 사용하여 CRL에서 일련 번호와 ObjectID를 동시에 제거할 수 있습니다.

  • alternatesignaturealgorithm 앞에 빼기 기호를 사용하면 레거시 서명 형식을 사용할 수 있습니다. 더하기 기호를 사용하면 대체 서명 형식을 사용할 수 있습니다. alternatesignaturealgorithm을지정하지 않으면 인증서 또는 CRL의 서명 형식이 사용됩니다.

-vroot

웹 가상 루트 및 파일 공유를 만들거나 삭제합니다.

certutil [options] -vroot [delete]

-vocsproot

OCSP 웹 프록시에 대한 웹 가상 루트를 만들거나 삭제합니다.

certutil [options] -vocsproot [delete]

-addenrollmentserver

필요한 경우 지정된 인증 기관에 대해 등록 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 또는 패키지를 설치 하지 않습니다.

certutil [options] -addenrollmentserver kerberos | username | clientcertificate [allowrenewalsonly] [allowkeybasedrenewal]

위치:

  • addenrollmentserver를 사용하려면 다음을 포함하여 인증서 등록 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.

    • kerberos는 Kerberos SSL 자격 증명을 사용합니다.

    • username은 SSL 자격 증명에 명명된 계정을 사용합니다.

    • clientcertificate는 X.509 인증서 SSL 자격 증명을 사용합니다.

  • allowrenewalsonly는 URL을 통해 인증 기관에 갱신 요청 제출만 허용합니다.

  • allowkeybasedrenewal을 사용하면 Active Directory에 연결된 계정이 없는 인증서를 사용할 수 있습니다. 이는 clientcertificateallowrenewalsonly 모드와 함께 사용할 때 적용됩니다.

[-config Machine\CAName]

-deleteenrollmentserver

필요한 경우 지정된 인증 기관에 대한 등록 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 또는 패키지를 설치 하지 않습니다.

certutil [options] -deleteenrollmentserver kerberos | username | clientcertificate

위치:

  • deleteenrollmentserver를 사용하려면 다음을 포함하여 인증서 등록 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.

    • kerberos는 Kerberos SSL 자격 증명을 사용합니다.

    • username은 SSL 자격 증명에 명명된 계정을 사용합니다.

    • clientcertificate는 X.509 인증서 SSL 자격 증명을 사용합니다.

[-config Machine\CAName]

-addpolicyserver

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 또는 패키지를 설치 하지 않습니다.

certutil [options] -addpolicyserver kerberos | username | clientcertificate [keybasedrenewal]

위치:

  • addpolicyserver를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.

    • kerberos는 Kerberos SSL 자격 증명을 사용합니다.

    • username은 SSL 자격 증명에 명명된 계정을 사용합니다.

    • clientcertificate는 X.509 인증서 SSL 자격 증명을 사용합니다.

  • keybasedrenewal을 사용하면 keybasedrenewal 템플릿을 포함하는 클라이언트에 반환된 정책을 사용할 수 있습니다. 이 옵션은 사용자 이름clientcertificate 인증에만 적용됩니다.

-deletepolicyserver

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 또는 패키지를 제거 하지 않습니다.

certutil [options] -deletePolicyServer kerberos | username | clientcertificate [keybasedrenewal]

위치:

  • deletepolicyserver를 사용하려면 다음을 포함하여 인증서 정책 서버에 대한 클라이언트 연결에 인증 방법을 사용해야 합니다.

    • kerberos는 Kerberos SSL 자격 증명을 사용합니다.

    • username은 SSL 자격 증명에 명명된 계정을 사용합니다.

    • clientcertificate는 X.509 인증서 SSL 자격 증명을 사용합니다.

  • keybasedrenewal을 사용하면 KeyBasedRenewal 정책 서버를 사용할 수 있습니다.

-oid

개체 식별자를 표시하거나 표시 이름을 설정합니다.

certutil [options] -oid objectID [displayname | delete [languageID [type]]]
certutil [options] -oid groupID
certutil [options] -oid agID | algorithmname [groupID]

위치:

  • objectID는 또는 를 표시하여 표시 이름을 추가합니다.

  • groupID는 objectID가 열거하는 groupID 번호(10진수)입니다.

  • algID는 objectID가 찾는 16진수 ID입니다.

  • algorithmname은 objectID가 찾는 알고리즘 이름입니다.

  • displayname은 DS에 저장할 이름을 표시합니다.

  • delete는 표시 이름을 삭제합니다.

  • LanguageId는 언어 ID 값입니다(기본값은 현재: 1033).

  • Type은 다음을 포함하여 만들 DS 개체의 형식입니다.

    • 1 - 템플릿(기본값)

    • 2 - 발급 정책

    • 3 - 애플리케이션 정책

  • -f 는 DS 개체를 만듭니다.

-오류

오류 코드와 연결된 메시지 텍스트를 표시합니다.

certutil [options] -error errorcode

-getreg

레지스트리 값을 표시합니다.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

위치:

  • ca는 인증 기관의 레지스트리 키를 사용합니다.

  • 복원은 인증 기관의 복원 레지스트리 키를 사용합니다.

  • 정책은 정책 모듈의 레지스트리 키를 사용합니다.

  • exit는 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.

  • 템플릿은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 사용).

  • 등록은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 사용).

  • 체인은 체인 구성 레지스트리 키를 사용합니다.

  • policyservers는 정책 서버 레지스트리 키를 사용합니다.

  • progID는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.

  • registryvaluename은 레지스트리 값 이름을 사용합니다(접두사 일치에 사용).

  • value는 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 또는 로 시작하는 경우 +- 새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워질 수 있습니다.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

설명

  • 문자열 값이 또는 로 시작하고 +- 기존 값이 REG_MULTI_SZ 값이면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들려면 REG_MULTI_SZ\n 문자열 값의 끝에 를 추가합니다.

  • 값이 로 시작하는 경우 \@ 값의 나머지 부분은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다. 유효한 파일을 참조하지 않는 경우 대신 [Date][+|-][dd:hh] 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 구문 분석됩니다. 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. now+dd:hh현재 시간을 기준으로 하는 날짜에 사용합니다.

  • 를 사용하여 chain\chaincacheresyncfiletime \@now 캐시된 CRL을 효과적으로 플러시합니다.

-setreg

레지스트리 값을 설정합니다.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]]registryvaluename value

위치:

  • ca는 인증 기관의 레지스트리 키를 사용합니다.

  • 복원은 인증 기관의 복원 레지스트리 키를 사용합니다.

  • 정책은 정책 모듈의 레지스트리 키를 사용합니다.

  • exit는 첫 번째 종료 모듈의 레지스트리 키를 사용합니다.

  • 템플릿은 템플릿 레지스트리 키를 사용합니다(사용자 템플릿에 사용).

  • 등록은 등록 레지스트리 키를 사용합니다(사용자 컨텍스트에 사용).

  • 체인은 체인 구성 레지스트리 키를 사용합니다.

  • policyservers는 정책 서버 레지스트리 키를 사용합니다.

  • progID는 정책 또는 종료 모듈의 ProgID(레지스트리 하위 키 이름)를 사용합니다.

  • registryvaluename은 레지스트리 값 이름을 사용합니다(접두사 일치에 사용).

  • value는 새 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용합니다. 숫자 값이 또는 로 시작하는 경우 +- 새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워질 수 있습니다.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

설명

  • 문자열 값이 또는 로 시작하고 +- 기존 값이 REG_MULTI_SZ 값이면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들려면 REG_MULTI_SZ\n 문자열 값의 끝에 를 추가합니다.

  • 값이 로 시작하는 경우 \@ 값의 나머지 부분은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다. 유효한 파일을 참조하지 않는 경우 대신 [Date][+|-][dd:hh] 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 구문 분석됩니다. 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. now+dd:hh현재 시간을 기준으로 하는 날짜에 사용 합니다.

  • chain\chaincacheresyncfiletime \@now를 사용 하 여 캐시 된 crl을 효과적으로 플러시합니다.

-delreg

레지스트리 값을 삭제 합니다.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | policyservers}\[progID\]][registryvaluename]

위치:

  • ca 는 인증 기관의 레지스트리 키를 사용 합니다.

  • 복원은 인증 기관의 복원 레지스트리 키를 사용 합니다.

  • 정책은 정책 모듈의 레지스트리 키를 사용 합니다.

  • 종료 는 첫 번째 끝내기 모듈의 레지스트리 키를 사용 합니다.

  • template에서 템플릿 레지스트리 키를 사용 합니다 (사용자 템플릿에 사용).

  • 등록은 등록 레지스트리 키 ( 사용자 컨텍스트에 사용)를 사용 합니다.

  • 체인 구성 레지스트리 키를 사용 합니다.

  • policyservers 는 Policy servers 레지스트리 키를 사용 합니다.

  • progid 는 정책 또는 끝내기 모듈의 progID (레지스트리 하위 키 이름)를 사용 합니다.

  • registryvaluename 는 레지스트리 값 이름 ( 접두사 일치에 사용)을 사용 합니다.

  • value 는 새로운 숫자, 문자열 또는 날짜 레지스트리 값 또는 파일 이름을 사용 합니다. 숫자 값이 또는로 시작 하는 경우 +- 새 값에 지정 된 비트가 기존 레지스트리 값에서 설정 되거나 지워집니다.

[-f] [-user] [-grouppolicy] [-config Machine\CAName]

설명

  • 문자열 값이 또는로 시작 +- 하 고 기존 값이 REG_MULTI_SZ 값 이면 기존 레지스트리 값에서 문자열이 추가 되거나 제거 됩니다. 값을 강제로 생성 하려면 REG_MULTI_SZ\n 문자열 값의 끝에를 추가 합니다.

  • 값이로 시작 하는 경우 \@ 나머지 값은 이진 값의 16 진수 텍스트 표현을 포함 하는 파일의 이름입니다. 유효한 파일을 참조 하지 않는 경우에는 선택적 날짜를 포함 하는 선택적 날짜를 포함 하는 대신 선택적 날짜와 시간을 추가 하 여 구문 분석 [Date][+|-][dd:hh] 합니다. 둘 다 지정 하는 경우 더하기 기호 (+) 또는 빼기 기호 (-) 구분 기호를 사용 합니다. now+dd:hh현재 시간을 기준으로 하는 날짜에 사용 합니다.

  • chain\chaincacheresyncfiletime \@now를 사용 하 여 캐시 된 crl을 효과적으로 플러시합니다.

-importKMS

키 보관을 위해 사용자 키와 인증서를 서버 데이터베이스로 가져옵니다.

certutil [options] -importKMS userkeyandcertfile [certID]

위치:

  • userkeyandcertfile 은 보관할 사용자 개인 키와 인증서를 포함 하는 데이터 파일입니다. 이 파일은 다음과 같을 수 있습니다.

    • KMS (Exchange 키 관리 서버) 내보내기 파일입니다.

    • PFX 파일.

  • 인증서는 KMS 내보내기 파일 암호 해독 인증서 일치 토큰입니다. 자세한 내용은 -store 이 문서의 매개 변수를 참조 하세요.

  • -f 인증 기관에서 발급 하지 않은 인증서를 가져옵니다.

[-f] [-silent] [-split] [-config Machine\CAName] [-p password] [-symkeyalg symmetrickeyalgorithm[,keylength]]

-importcert

인증서 파일을 데이터베이스로 가져옵니다.

certutil [options] -importcert certfile [existingrow]

위치:

  • 가져오려면 는 동일한 키에 대해 보류 중인 요청 대신 인증서를 가져옵니다.

  • -f 인증 기관에서 발급 하지 않은 인증서를 가져옵니다.

[-f] [-config Machine\CAName]

설명

외래 인증서를 지원 하도록 인증 기관을 구성 해야 할 수도 있습니다. 이렇게 하려면을 입력 import - certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN 합니다.

-getkey

보관 된 개인 키 복구 blob을 검색 하거나, 복구 스크립트를 생성 하거나, 보관 된 키를 복구 합니다.

certutil [options] -getkey searchtoken [recoverybloboutfile]
certutil [options] -getkey searchtoken script outputscriptfile
certutil [options] -getkey searchtoken retrieve | recover outputfilebasename

위치:

  • 스크립트 는 키를 검색 및 복구 하는 스크립트를 생성 합니다 (일치 하는 복구 후보가 여러 개 있는 경우 또는 출력 파일이 지정 되지 않은 경우 기본 동작).

  • 검색 은 하나 이상의 키 복구 blob (정확히 하나의 일치 하는 복구 후보가 발견 되는 경우 기본 동작 및 출력 파일이 지정 된 경우)을 검색 합니다. 이 옵션을 사용 하면 확장을 자르고 각 키 복구 blob에 대 한 인증서 관련 문자열과. rec 확장을 추가 합니다. 각 파일에서 인증서 체인 및 하나 이상의 키 복구 에이전트 인증서에 암호화 되어 연결된 된 프라이빗 키를 포함 합니다.

  • 복구 는 한 번에 개인 키를 검색 하 고 복구 합니다. 키 복구 에이전트 인증서 및 개인 키가 필요 합니다. 이 옵션을 사용 하면 모든 확장이 잘리고. p12 확장명이 사용 됩니다. 각 파일에는 PFX 파일로 저장 된 복구 된 인증서 체인 및 연결 된 개인 키가 포함 되어 있습니다.

  • 토큰 은 다음을 비롯 하 여 복구할 키와 인증서를 선택 합니다.

      1. 인증서 일반 이름
      1. 인증서 일련 번호
      1. 인증서의 sha-1 해시 (지문)
      1. 인증서 KeyId sha-1 해시 (주체 키 식별자)
      1. 요청자 이름 (도메인 \ 사용자)
      1. UPN (user@domain)
  • 하나가 파일은 하나 이상의 키 복구 에이전트 인증서로 암호화 된 인증서 체인 및 연결 된 개인 키를 사용 하 여 파일을 출력 합니다.

  • outputscriptfile 는 일괄 처리 스크립트를 사용 하 여 개인 키를 검색 하 고 복구 하는 파일을 출력 합니다.

  • outputfilebasename 는 파일 기본 이름을 출력 합니다.

[-f] [-unicodetext] [-silent] [-config Machine\CAName] [-p password] [-protectto SAMnameandSIDlist] [-csp provider]

-recoverkey

보관 된 개인 키를 복구 합니다.

certutil [options] -recoverkey recoveryblobinfile [PFXoutfile [recipientindex]]
[-f] [-user] [-silent] [-split] [-p password] [-protectto SAMnameandSIDlist] [-csp provider] [-t timeout]

-mergePFX

PFX 파일을 병합 합니다.

certutil [options] -mergePFX PFXinfilelist PFXoutfile [extendedproperties]

위치:

  • PFXinfilelist 은 쉼표로 구분 된 PFX 입력 파일 목록입니다.

  • PFXoutfile 는 PFX 출력 파일의 이름입니다.

  • extendedproperties 는 확장 속성을 포함 합니다.

[-f] [-user] [-split] [-p password] [-protectto SAMnameAndSIDlist] [-csp provider]

설명

  • 명령줄에 지정 된 암호는 쉼표로 구분 된 암호 목록 이어야 합니다.

  • 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호를 하나만 제공 하거나 마지막 암호를 입력 한 경우에는 사용자에 게 * 출력 파일 암호를 입력 하 라는 메시지가 표시 됩니다.

-convertEPF

PFX 파일을 EPF 파일로 변환 합니다.

certutil [options] -convertEPF PFXinfilelist PFXoutfile [cast | cast-] [V3CAcertID][,salt]

위치:

  • PFXinfilelist 은 쉼표로 구분 된 PFX 입력 파일 목록입니다.

  • PFXoutfile 는 PFX 출력 파일의 이름입니다.

  • Epf 는 epf 출력 파일의 이름입니다.

  • cast 는 cast 64 암호화를 사용 합니다.

  • cast- 캐스트 64 암호화 (내보내기)를 사용 합니다.

  • V3CAcertID 은 V3 CA 인증서 일치 토큰입니다. 자세한 내용은 -store 이 문서의 매개 변수를 참조 하세요.

  • 솔트 는 EPF 출력 파일 솔트 문자열입니다.

[-f] [-silent] [-split] [-dc DCName] [-p password] [-csp provider]

설명

  • 명령줄에 지정 된 암호는 쉼표로 구분 된 암호 목록 이어야 합니다.

  • 둘 이상의 암호를 지정 하면 출력 파일에 대 한 마지막 암호가 사용 됩니다. 암호를 하나만 제공 하거나 마지막 암호를 입력 한 경우에는 사용자에 게 * 출력 파일 암호를 입력 하 라는 메시지가 표시 됩니다.

-?

매개 변수 목록을 표시 합니다.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

위치:

  • -? 매개 변수의 전체 목록을 표시 합니다.

  • -<name_of_parameter> -? 지정 된 매개 변수에 대 한 도움말 콘텐츠를 표시 합니다.

  • -? -v 매개 변수 및 옵션의 전체 목록을 표시 합니다.

옵션

이 섹션에서는 명령에 따라 지정할 수 있는 모든 옵션을 정의 합니다. 각 매개 변수에는 사용할 수 있는 옵션에 대 한 정보가 포함 됩니다.

옵션 Description
-nullsign 데이터의 해시를 서명으로 사용 합니다.
-f 강제로 덮어쓰기.
-enterprise 로컬 컴퓨터 엔터프라이즈 레지스트리 인증서 저장소를 사용 합니다.
-사용자 HKEY_CURRENT_USER 키 또는 인증서 저장소를 사용 합니다.
-그룹 정책 그룹 정책 인증서 저장소를 사용 합니다.
-ut 사용자 템플릿을 표시 합니다.
-mt 컴퓨터 템플릿을 표시 합니다.
유니코드 유니코드로 리디렉션된 출력을 씁니다.
-UnicodeText 유니코드로 출력 파일을 씁니다.
-gmt GMT를 사용 하 여 시간을 표시 합니다.
-초 초와 밀리초를 사용 하 여 시간을 표시 합니다.
-자동 플래그를 사용 silent 하 여 묘지 컨텍스트를 가져옵니다.
-분할 포함 된 ASN 요소를 분할 하 고 파일에 저장 합니다.
-v 자세한 정보 (자세한 정보)를 제공 합니다.
-privatekey 암호 및 개인 키 데이터를 표시 합니다.
-핀 고정 스마트 카드 PIN.
-urlfetch AIA 인증서 및 CDP Crl을 검색 하 고 확인 합니다.
-config Machine\CAName 인증 기관 및 컴퓨터 이름 문자열입니다.
-policyserver URLorID 정책 서버 URL 또는 ID입니다. U/I 선택의 경우를 사용 -policyserver 합니다. 모든 정책 서버에 대해 다음을 사용 합니다. -policyserver *
-익명 익명 SSL 자격 증명을 사용 합니다.
-kerberos Kerberos SSL 자격 증명을 사용 합니다.
-clientcertificate clientcertID SSL 되는 X.509 인증서 자격 증명을 사용 합니다. U/I 선택의 경우를 사용 -clientcertificate 합니다.
-username 사용자 이름 SSL 자격 증명에 대 한 명명 된 계정을 사용 합니다. U/I 선택의 경우를 사용 -username 합니다.
-cert 인증서 서명 인증서입니다.
-dc DCName 특정 도메인 컨트롤러를 대상으로 지정 합니다.
-restrictionlist 제한 쉼표로 구분 된 제한 목록입니다. 각 제한 열 이름, 관계형 연산자 및 상수 정수, 문자열 또는 날짜 구성 됩니다. 한 열 이름 수 앞에 더하기 또는 빼기 기호 정렬 순서를 나타냅니다. 예: requestID = 47, +requestername >= a, requestername 또는 -requestername > DOMAIN, Disposition = 21
-out columnlist 쉼표로 구분 된 열 목록입니다.
-p 암호 암호
-protectto SAMnameandSIDlist 쉼표로 구분 된 SAM 이름/s i d 목록입니다.
-csp 공급자 공급자
-t 제한 시간 URL 페치 제한 시간 (밀리초)입니다.
-symkeyalg symmetrickeyalgorithm [, keylength] 키 길이가 선택적인 대칭 키 알고리즘의 이름입니다. 예: AES,128 또는 3DES

추가 참조

이 명령을 사용 하는 방법에 대 한 몇 가지 예제는를 참조 하십시오.