用于管理“证书颁发机构 (CA)”的 Certutil 任务
您可使用 certutil 执行一些 CA 管理任务。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示存储在与公钥相关的文件中的信息
语法
certutil -dump [-f] [-gmt] [-seconds] [-split] [-v] [-p Password] [File]
参数
- -dump
- 转储配置信息或文件。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -p Password
- 指定一个密码。
- File
- 指定要显示的配置文件的文件名。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">当查看 CA 数据库信息时,限制从 CA 架构中显示的行
语法
certutil -view [-gmt] [-seconds] [-silent] [-split] [-v] [-config CAMachineName\CAName] [-restrict RestrictionList] [-out ColumnList] [-out] [RequestID]
参数
- -view
- 转储证书颁发机构数据库视图。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -restrict RestrictionList
- 限制从该架构中显示的行。指定一个以逗号分隔的限制列表。
- -out ColumnList
- 指定一个以逗号分隔的列表。
- RequestID
- 指定请求标识号。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
示例
要列出来自 Cacomputer1 的名为 Myentrootca 的 CA 颁发的所有证书的主题电子邮件名,请键入:
certutil -config cacomputer1\myentrootca -view -out request.email
要将显示行限制到带有请求标识符且大于 10,000 的行,然后仅显示来自名称为 Myentrootca 的 CA 的请求处理,请键入:
certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid>10,000"
若仅查看最后一行,请键入:
Certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $"
若仅查看第二行到最后一行,请键入:
certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $ - 1"
要查看到 CA 的所有请求的主题电子邮件名,请键入:
certutil -view -out email
要显示基于用户模板的证书的数字请求标识符,请键入:
certutil -view -restrict "Certificate Template=User" -out requestid
要显示基于模板对象标识符 1.2.3.4.5.5.6.6.6.6.5.6 的证书的数字请求标识符,请键入:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid
要显示由 CA 颁发的未吊销证书的所有系列号和请求标识号,请键入:
certutil -view -restrict disposition==20 /out "serialnumber,requestid"
要查看为名为“我的模板”的模板做出请求的用户的电子邮件,并在颁发该请求时还能查看,请键入:
certutil -config cacomputer1\myentrootca -view -out email -restrict "CertificateTemplate == myTemplate, Disposition == 20"
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示 CA 信息
语法
certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [InfoName [{Index | ErrorCode}]]
参数
- -cainfo
- 显示 CA 信息。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- InfoName
- 从下表中任一值指定要显示的有关 CA 的信息。
值 |
描述 |
|---|
file |
显示有关文件版本的信息。 |
product |
显示产品版本。 |
exitcount |
显示退出模块计数。 |
exit [Index] |
显示退出模块描述 |
policy |
显示策略模块描述。 |
name |
显示 CA 名称。 |
sanitizedname |
显示清洁过的 CA 名称。 |
sharedfolder |
显示共享文件夹。 |
error1 ErrorCode |
显示本地化的错误码消息。 |
error2 ErrorCode |
显示本地化错误码消息和错误码。 |
type |
显示 CA 类型。 |
info |
显示 CA 信息。 |
parent |
显示父 CA。 |
certcount |
显示 CA 证书计数。 |
xchgcount |
显示 CA 交换证书计数。 |
kracount |
显示 KRA 证书计数。 |
kraused |
显示 KRA 的证书使用计数。 |
propidmax |
显示最大的 CA PropID。 |
certstate [Index] |
显示 CA 的证书状态。 |
certstatuscode [Index] |
显示 CA 的证书验证状态。 |
crlstate [Index] |
显示一个 CRL。 |
krastate [Index] |
显示 KRA 证书。 |
crossstate+ [Index] |
正向交叉证书。 |
crossstate- [Index] |
反向交叉证书。 |
cert [Index] |
显示 CA 证书。 |
certchain [Index] |
显示 CA 证书链。 |
certcrlchain [Index] |
显示带有 CRL 的 CA 证书链。 |
xchg [Index] |
显示 CA 交换证书。 |
xchgchain [Index] |
显示 CA 交换证书链。 |
xchgcrlchain [Index] |
显示带有 CRL 的 CA 交换证书链。 |
kra [Index] |
显示 KRA 证书。 |
cross+ [Index] |
正向交叉证书。 |
cross- [Index] |
反向交叉证书。 |
crl [Index] |
显示一个基 CRL。 |
deltacrl [Index] |
显示一个“增量 CRL”。 |
crlstatus [Index] |
显示“CRL 发布状态”。 |
deltacrlstatus [Index] |
显示“增量 CRL 发布状态”。 |
dns |
显示 DNS 名称。 |
role |
显示“角色分隔”。 |
ads |
显示 Advanced Server。 |
templates |
显示模板。 |
- Index
- 验证来自 InfoName 表的唯一性元素。
- ErrorCode
- 指定从错误消息中检索的错误码。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">确定 CA 是否还未续订
语法
certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [certstate]
参数
- -cainfo
- 显示 CA 信息。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- certstate
- 返回一个包含证书状态处理的 LONG。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从 CA 中检索一个模板列表
语法
certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] templates
参数
- -cainfo
- 显示 CA 信息。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- templates
- 指定模板 InfoName 参数。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">查看由本地 CA 支持的模板列表
语法
certutil -catemplates [-user] [-ut] [-mt] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-dc DCName] [Template]
参数
- -catemplates
- 显示 CA 模板。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -ut
- 显示用户模板。
- -mt
- 显示计算机模板。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -dc DCName
- 将一个特定的域控制器作为目标。
- Template
- 指定模板。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示标记数据库文件和数据库目录的列表。
语法
certutil -databaselocations [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]
参数
- -databaselocations
- 显示数据库位置。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 在每一行显示十六进制缓冲区偏移量和十六进制类型标记。
- 有关类型标记定义的详细信息,请参阅 href="http://go.microsoft.com/fwlink/?LinkID=7299" target=_new>Microsoft Platform SDK 网站 (http://www.microsoft.com/) 上的“证书服务”备份 API 文档和“certbcli.h”。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">拒绝证书请求
语法
certutil -deny [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID
参数
- -deny
- 拒绝挂起证书请求。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- RequestID
- 指定请求标识号。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- RequestID 必须是十进制格式或以 0x 开头的十六进制格式。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书或 CRL 发布到 Active Directory
语法
certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CertFile {ntauthca | rootca | subca | crossca | kra | user | machine}
certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CRLFile [DSCDPContainer [DSCDPCN]]
参数
- -dsPublish
- 将新证书或 CRL 发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- CertFile
- 指定证书。
- ntauthca
- 指定要将证书发布到 NTAuth 存储。
- rootca
- 指定要将证书发布到根 CA 存储。
- subca
- 指定要将证书发布到下属 CA 存储。
- crossca
- 指定要将证书发布到交叉证明的 CA 存储。
- kra
- 指定要将证书发布到密钥恢复代理存储。
- user
- 指定要将证书发布到用户存储。
- machine
- 指定要将证书发布到计算机存储。
- CRLFile
- 查看证书吊销列表。
- DSCDPContainer
- 指定 Active Directory 证书吊销列表分布点 (CDP) 容器公用名 (CN),通常是 CA 计算机名称。
- DSCDPCN
- 指定 Active Directory 证书吊销列表分布点 (CDP) 对象公用名 (CN),通常基于清洁过的 CA 简称和密钥检索。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 必须以计算机管理员身份登录才能完成该过程。
- 如果 CA 为智能卡登录颁发证书,则将 CA 证书发布到 NTAuth 是必要的。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书添加到 NTAuth 存储
语法
certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] NewCert ntauthca
参数
- -dspublish
- 将新证书或 CRL 发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- NewCert
- 指定要发布的证书。
- ntauthca
- 指定要将证书发布到 NTAuth 存储。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 必须具有 Enterprise Administrator 的访问权限才能使用该命令。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">在 non-Microsoft CA 下服从 Microsoft CA
语法
certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] non-MicrosoftCert rootca
参数
- -dspublish
- 将新证书发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- non-MicrosoftCert
- 指定 non-Microsoft 证书名称。
- rootca
- 指定要将证书发布到根 CA 存储。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将交叉证明发布到 Active Directory 交叉证明存储
语法
certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CrossCert crossca
参数
- -dspublish
- 将新证书发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- CrossCert
- 指定要发布的交叉证书文件。
- crossca
- 指定将该交叉证书发布到 Active Directory CA 对象中。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示必须分别备份的动态文件的列表
语法
certutil -dynamicfilelist [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]
参数
- -dynamicfilelist
- 显示动态文件列表。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 该服务器上包括 的本地副本。
- 在每一行显示十六进制缓冲区偏移量。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从 CA 数据库中删除不需要的请求
语法
certutil -deleterow [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RowID Date {request | cert | attrib crl}
参数
- -deleterow
- 删除 CA 数据库中的一行。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- RowID
- 指定要删除行的请求标识符。
- Date
- 指定查询的日期限制。
- request
- 指定请求表。
- cert
- 指定证书表。
- ext
- 指定证书扩展表。
- attrib
- 指定属性表。
- crl
- 指定 表。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 当使用该命令删除多于一行时,您必须同时是“CA 管理员”和“证书管理员”,以便完成该任务。在这种情况下,一定不能将 CA 配置为强制执行角色分隔。有关基于角色管理的详细信息,请参阅“相关主题”。
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 使用 Date
您可使用 mm/dd/yyyy 00:00 日期格式,这里 00:00 必须是指定为 AM 或 PM 的标准时间。
如果没有时间就指定 Date,则 Certutil.exe 将删除指定日期之前颁发的所有请求,但无法删除在指定日期中颁发的请求。
如果通过 Date 删除行,则 Certutil.exe 无法删除 CA 证书或 CA 证书链行。要删除 CA 证书和 CA 证书链行,您必须通过 RowID 删除行。
如果之后出现 Date,则 Certutil.exe 失败,且显示无效的参数错误。使用“-f”覆盖无效的参数错误。
- 您可使用该命令删除“拒绝服务”错误。
示例
要删除 1/22/2001 之前最后修改的失败且挂起的请求,请键入:
certutil -deleterow 1/22/2001 request
要删除 1/22/2001 之前过期的所有证书,请键入:
certutil -deleterow 1/22/2001 cert
要删除 RequestID 37 的证书行、属性和扩展,请键入:
certutil -deleterow 37
要删除 1/22/2001 之前过期的 CRL,请键入:
certutil -deleterow 1/22/2001 crl
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将本地语言中出现的显示名称添加到证书模板
语法
certutil -oid [-f] [-gmt] [-seconds] [-v] "TemplateOID" LocalizedFriendlyName [LanguageID]
参数
- -oid
- 定义证书模板中的显示名称。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- "TemplateOID"
- 指定引号中的证书模板的对象标识符。
- LocalizedFriendlyName
- 指定要将其添加到该证书模板的显示名称。
- LanguageID
- 设置指定对象的本地语言标识符。LocalizedFriendlyName 在指定语言中出现。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 为使更改生效,请重新启动计算机。
- 如果没有指定 LanguageID,则 Certutil.exe 将使用当前系统默认的 1033。
- LanguageID 是十六进制的本地标识符 (LCID) 值的十进制表示形式。有关 LCID 值的详细信息,请参阅 id=MSUrl title=http://www.microsoft.com/
href="http://go.microsoft.com/fwlink/?LinkID=1754" target=_new>Microsoft 网站上的“Table Appendix F Locale-Specific Code Page”(表附录 F 区域设置规范代码页)信息。class=printOnly>(http://www.microsoft.com/)
示例
要在“繁体中文”语言中,其“1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268”是对象标识号 (TemplateOID) 且 CHT 是转换成现有“V2 模板”的中文显示名称 (LocalizedFriendlyName),创建模板“客户端登录”的本地化显示名称,请键入:
certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" "CHT" 1028 ![]()
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
该命令输出看似:
certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" CHT 1028 1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268 -- 客户端登录无显示名称
添加到 Active Directory 存储的本地化名称。
0: 1028,CHT
CertUtil: -oid 命令成功完成。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">通过序列号吊销证书
语法
certutil -revoke [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] SerialNumber [Reason]
参数
- -revoke
- 吊销该证书。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- SerialNumber
- 指定要吊销证书的序列号。
- Reason
- 指定以下任一理由码:
理由码值 |
定义 |
|---|
0 |
未指定的 |
1 |
密钥泄露 |
2 |
CA 泄露 |
3 |
隶属关系改变 |
4 |
取代 |
5 |
停止操作 |
6 |
保持吊销 |
8 |
从 CRL 中删除 |
-1 |
解除吊销 |
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- SerialNumber 必须是十六进制格式而且使用偶数。单独的一个零 (0) 可以置于一个奇数值的首位。不允许以 0x 开头。
- 理由码值 6 是可解除吊销的唯一值。
- 理由码 0 无法提供有关吊销理由的信息。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">在挂起证书请求中设置属性
语法
certutil -setattributes [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID AttributeString
参数
- -setattributes
- 为挂起请求设置属性。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- RequestID
- 指定由请求标识符标识的请求。
- AttributeString
- 指定设置在请求标识符证书的请求属性字符串。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">在证书请求中设置扩展
语法
certutil -setextension [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID ExtensionName Flags {LongValue | DateValue | StringValue | @InFile}
参数
- -setextension
- 为挂起请求设置扩展。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- RequestID
- 指定挂起请求的数字请求标识符。
- ExtensionName
- 指定扩展的 ObjectID 字符串。
- Flags
- 指定以下任一标志:
值 |
描述 |
|---|
0 |
设置该扩展为非关键。 |
1 |
设置该扩展为关键。 |
- @InFileValue
- 指定以下任一格式接受的字符串,且字符串满足指定条件:@InFileValue 如果该值以 @ 符号开头,则其他标记是包含二进制数据或 ASCII 文本十六进制转储的文件名。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- RequestID 必须是以 0x 开头的十进制格式或十六进制格式。
- 如果有要添加到挂起请求的具有准确的扩展编码的现有请求或证书,则您可将该请求或证书,还有每个扩展的 ASCII 文本十六进制转储,转储到一个文件。
示例
下面为非关键扩展名的有效示例:
certutil -setextension 123 1.3.6.1.4.1.311.20.2 0 Subcertification authority (CA)
指定的请求必须处于挂起的状态。
如果有名为 MyCert.cer 的现有证书,且具有要添加到挂起请求的准确的扩展编码,则您可使用以下命令转储该请求和每个扩展的 ASCII 文本十六进制转储:
certutil -v mycert.cer
之后您可复制该 ASCII 文本十六进制扩展 1.2.3.4.5 到一个文本文件,然后将该文件命名为 Foo.txt。
要将 1.2.3.4.5 扩展添加到具有数字请求标识符 37 的挂起请求,请使用以下命令:
certutil -setextension 37 1.2.3.4.5 0 @foo.txt
要颁发该证书,请键入:
certutil -resubmit 37
要检索颁发的证书,请键入:
certreq -retrieve 37 foo.crt foo.p7b
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">重新提交挂起证书请求
语法
certutil -resubmit [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID
参数
- -resubmit
- 重新提交挂起请求。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- RequestID
- 指定请求标识号。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- RequestID 必须是以 0x 开头的十进制格式或十六进制格式。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">关闭 CA 服务器
语法
certutil -shutdown [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]
参数
- -shutdown
- 关闭 CA 服务器。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证密钥设置
语法
certutil -verifykeys [-gmt] [-silent] [-v] [-config CAMachineName\CAName] [KeyContainerName] [CACertFile]
参数
- -verifykeys
- 验证指定 CA 的公开密钥和私有密钥。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- KeyContainerName
- 指定要验证的密钥的密钥容器名称。
- CACertFile
- 指定包含用于验证数字签名的公钥的 CA 签名证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 如果未使用参数,则 certutil -verifykeys 将根据其私钥验证每个签名 CA 证书。
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 可仅根据本地 CA 或密钥运行该命令。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">备份 CA 证书和密钥
语法
certutil -backupkey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory
参数
- -backupkey
- 备份“证书服务”证书和私钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定备份目录。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 一个 PFX 文件密码所允许的最大长度为 32 个字符。
- 可以用 -f 选项覆盖 BackupDirectory 中的现有文件。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从备份目录或 PKCS #12 (.pfx) 文件还原 CA 证书和密钥
语法
certutil -restorekey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory\PFXFile
参数
- -restorekey
- 从指定的 BackupDirectory 或 PKCS #12 PFXFile 中还原“证书服务”证书和私钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定 PFX 文件的备份位置。
- PFXFile
- 指定 PKCS #12 PFX 文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 一个 PFX 文件密码所允许的最大长度为 32 个字符。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将扩展添加到 CA 颁发的证书
语法
certutil -setreg [-user] [-gmt] [-seconds] [-v] policy\enablerequestextensionlist [{0 | 1}] ExtensionOID
参数
- -setreg
- 设置或编辑注册表信息。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- policy\enablerequestextensionlist+1
- 设置启用策略模块的请求扩展的列表。
- ExtensionOID
- 指定该扩展的对象标识符。
- 0
- 将该扩展添加到启用策略模块的请求扩展的列表。
- 1
- 从启用策略模块的请求扩展的列表中删除该扩展。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
![]()
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
- 若要使更改生效,您必须重新启动证书颁发机构。有关重新启动“证书服务”的详细信息,请参阅href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">启动、停止、暂停、继续或重新启动服务。class=anything id=certsrvbounce>
用于管理证书的 Certutil 任务
可使用 certutil 执行一些证书管理任务。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证证书由指定 CA 颁发
语法
certutil -verify [-f] [-enterprise] [-user] [-gmt] [-seconds] [-silent] [-split] [-v] CertFile [CACertFile]
参数
- -verify
- 验证该证书链。
- -f
- 覆盖现有的文件或表项。
- -enterprise
- 使用本地计算机企业注册表证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- CertFile
- 指定该证书。
- CACertFile
- 指定包含用于验证数字签名的公钥的 CA 签名证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- CertFile 和 CACertFile 都必须包含单一证书,而不是 href="HELP=glossary.hlp TOPIC=gls_pkcs_7" name=ix_PKCS_7>PKCS #7 证书链。
- 该命令行选项还验证 CertFile 证书是否处于吊销状态。如果 CertFile 不包含有关如何检查吊销的信息,或必要的 URL 或 CRL 不可用,则出现一个错误。
- 如果没有指定 CACertFile,则通过使用安装在该计算机上的证书构造 CertFile 的证书链,验证和检查该链中所有证书,以便检查它们是否被吊销。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证证书的有效性
语法
certutil -isvalid [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] {SerialNumber | CertHash}
参数
- -isvalid
- 确定该证书是否有效。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- SerialNumber
- 指定该证书的序列号。
- CertHash
- 指定该证书的证书哈希。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- SerialNumber 必须是偶数的十六进制数字。单独的一个零 (0) 可以置于一个奇数值的首位。不允许以 0x 开头。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">安装 CA 证书
语法
certutil -installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]
参数
- -installcert
- 安装 CA 证书。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- CACertFile
- 指定包含用于验证数字签名的公钥的 CA 签名证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- name=ix_PKCS_7>PKCS #7 证书链是 CACertFile 的首选内容。但如果将用于形成该链的所有证书已安装在本地计算机上,则接受 href="HELP=glossary.hlp TOPIC=gls_x_509v3_certificate">X.509 v3 证书。
- 该命令还为已产生申请、但尚未收到和安装其 CA 证书的下级 CA,完成下级 CA 证书的安装。
- 此命令还允许安装请求续订的 CA 证书。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">请求续订的 CA 证书
语法
certutil -renewcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [reusekeys] RequestFile
参数
- -renewcert
- 续订 CA 证书。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- reusekeys
- 指定重复使用现有的密钥。
- RequestFile
- 指定要保存该续订请求的文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 如果联机的父 CA 不存在或不会立即颁发续订 CA 证书,请在此证书可用时使用 -installCert 命令完成续订证书的安装。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从 HKEY_LOCAL_MACHINE 根存储中删除密钥
语法
certutil -delkey [-user] [-gmt] [-seconds] [-silent] [-v] KeyContainerName [CSPName]
参数
- -delkey
- 从主机中删除私钥。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -v
- 指定详细的输出。
- KeyContainerName
- 指定密钥的容器名称。
- CSPName
- 指定。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
![]()
src="ms-its:c:\windows\help\UAshared.chm::/caution.gif"> 警告
- 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。
- certutil -delkey 命令将删除用户或机器私钥。删除私钥后,可能应用以下任何一个方案:
- 如果以前没有备份密钥或将其存档,则被删除的密钥将无法复原。
- 如果被删除的密钥被用作证书服务器签名密钥,则 CA 将被禁用且无法颁发新的 CRL,这将导致当现有的 CRL 过期时,所有由 CA 颁发的证书都将失效。可重新注册新密钥和证书来代替其他签名密钥。
- 如果被删除的密钥用于 电子邮件 加密,则过去接收到的电子邮件可能无法读取,除非从类似“密钥管理服务 (KMS)”的密钥管理系统才可恢复被删除的密钥。
- 如果被删除的密钥用于文件加密,则具有适当凭证因而可以创建 Key Recovery Agent 帐户的管理员可能需要为受影响的用户单独干预并解密每个文件。
- 用 - user 从 HKEY_CURRENT_USER 根存储中删除密钥。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将 Netscape 兼容的基于 Web 的吊销检查扩展添加到每个颁发的证书
语法
certutil -setreg [-user] [-gmt] [-seconds] [-v] Policy\RevocationType {+ | -} REVEXT_ASPENABLE
参数
- -setreg
- 设置或编辑注册表项值。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- Policy\RevocationType
- 指定策略模块和证书吊销配置。
- {+ | -}
- 设置 (+) 或重置 (-) REVEXT_ASPENABLE 标志。
- REVEXT_ASPENABLE
- 将该扩展添加到由 CA 颁发的证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
![]()
src="ms-its:c:\windows\help\UAshared.chm::/caution.gif"> 警告
- 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。
![]()
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
- 若要使更改生效,您必须重新启动证书颁发机构。有关重新启动“证书服务”的详细信息,请参阅href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">启动、停止、暂停、继续或重新启动服务。class=anything id=certsrvbounce>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">检索 CA 签名证书并将其保存到一个文件
语法
certutil -ca.cert [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] OutCACertFile [Index]
参数
- -ca.cert
- 检索 CA 签名证书。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- OutCACertFile
- 指定要写入的 CA 文件。
- Index
- 指定要检索的 CA 证书。默认为最新的 CA。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 该证书中包含的公钥用于验证 CA 颁发的证书上的数字签名。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">检索 CA 签名证书和链并将其保存到 PKCS #7 文件
语法
certutil -ca.chain [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] OutCACertChainFile [Index]
参数
- -ca.chain
- 检索 CA 签名证书和链。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- OutCACertChainFile
- 将 CA 签名证书写入 href="HELP=glossary.hlp TOPIC=gls_pkcs_7" name=ix_PKCS_7>PKCS #7 文件。
- Index
- 指定要检索的 CA 证书。默认为最新的 CA。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书导入服务器数据库
语法
certutil -importcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] CertFile
参数
- -importcert
- 将证书文件导入该数据库。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- CertFile
- 指定要导入的证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 如果不小心将证书从数据库中丢失(可能是由于从数据库的不完整备份中恢复数据库),则可用该命令行选项使其成为可吊销证书。注意,该服务器必须颁发了证书。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示“本地机器”证书存储区中的证书
语法
certutil -store [-f] [-enterprise] [-user] [-gmt] [-seconds] [-silent] [-v] [-dc DCName] CertificateStoreName [CertID [OutFile]]]
参数
- -store
- 显示指定href="HELP=glossary.hlp TOPIC=gls_certificate_store">证书存储区中的证书。
- -f
- 覆盖现有的文件或表项。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- CertificateStoreName
- 指定以下任一存储名称:
值 |
描述 |
|---|
ca |
在“中级证书颁发机构”存储中指定证书。 |
my |
指定颁发到当前用户的证书。 |
root |
在“受信任的根证书颁发机构”存储中指定证书。 |
spc |
指定软件发行商证书。 |
UserCreatedStore |
指定用户创建的证书存储区的名称。 |
- CertID
- 指定与令牌匹配的证书或href="HELP=glossary.hlp TOPIC=gls_crl">证书吊销列表 (CRL)。
- OutFile
- 指定要写入显示的证书信息的文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 如果没有指定 CertificateStoreName,则使用 CA 存储区。
- 使用 -user 选项为当前用户而不是本地计算机显示证书存储区情况。
- CertID 可以是序列号、“安全哈希算法 (SHA-1)”证书、CRL、href="HELP=glossary.hlp TOPIC=gls_ctl">证书信任列表 (CTL) 或href="HELP=glossary.hlp TOPIC=gls_public_key">公钥哈希、数字证书索引(如 0、1 等)、数字 CRL 索引(如 .0、.1 等)、数字 CTL 索引(如 ..0、..1 等)、证书对象公用名或 CRL 颁发者公用名。其中一些可能生成多个匹配。
示例
要查看本地计算机 NTAuth 存储中的证书,请键入:
certutil -store -enterprise NTAuth 要查看 cert 索引 37 的本地计算机“Root”存储中的证书,请键入:
certutil -store -enterprise Root 37
要查看名为“My”存储中序列号 26e0aaaf000000000004 的用户的证书,请键入:
certutil -store -user My 26e0aaaf000000000004
要查看名为 CA 的存储中索引 .11 的 CRL,请键入:
certutil -store CA .11
要查看在轻型目录访问协议 (LDAP) 位置“ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,DC=corp,DC=MyCorp,DC=com”上的证书存储区,请键入:
certutil -store ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,DC=corp,DC=MyCorp,DC=com
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书或 CRL 添加到本地受信任的根 CA 存储
语法
certutil -addstore [-f] [-enterprise] [-user] [-gmt] [-seconds] [-v] [-dc DCName] root InFile
参数
- -addstore
- 将证书添加到证书存储区。
- -f
- 覆盖现有的文件或表项。
- -enterprise
- 使用本地计算机企业注册href="HELP=glossary.hlp TOPIC=gls_certificate_store">证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- root
- 指定“受信任的根证书颁发机构”存储。
- InFile
- 指定证书或 的文件名。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">查看证书存储区
语法
certutil [{-viewstore | -viewdelstore}] [-f] [-enterprise] [-user] [-gmt] [-seconds] [-v] [-dc DCName] {my | ca | root | spc} ["CertIndex" ]
参数
- -viewstore
- 查看证书存储区中的证书。
- -viewdelstore
- 从该证书存储区中删除一个证书。
- -f
- 覆盖现有的文件或表项。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- my
- 显示颁发到本地计算机的证书。
- ca
- 显示“中级证书颁发机构”存储中的证书。
- root
- 显示“受信任的根证书颁发机构”存储中的证书。
- spc
- 显示软件发行商证书。
- "CertIndex"
- 指定与令牌匹配的证书或href="HELP=glossary.hlp TOPIC=gls_crl">证书吊销列表 (CRL)。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
示例
要打开和查看当前计算机的本地 NTAuth 存储,请键入:
certutil -viewstore -enterprise NTAuth
要删除证书,请键入:
certutil -delstore -enterprise NTAuth "CertIndex"
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证存储中的所有证书
语法
certutil -verifystore [-enterprise] [-user] [-gmt] [-seconds] [-split] [-v] [-dc DCName] CertificateStoreName [CertID]
参数
- -verifystore
- 验证存储中的证书。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- CertificateStoreName
- 指定证书存储区名。
- CertID
- 指定与令牌匹配的证书或href="HELP=glossary.hlp TOPIC=gls_crl">证书吊销列表 (CRL)。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 该命令与 -store 相似。
- 该命令验证相关私钥(即如果它们存在),并通过以下方法验证每份证书:从已安装的 CA 和根证书建立链并验证链中的所有证书,以确保它们仍然有效并且尚未吊销。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从 HKEY_LOCAL_MACHINE 根存储中删除证书
语法
certutil -delstore [-enterprise] [-user] [-gmt] [-seconds] [-v] [-dc DCName] root CertIndex
参数
- -delstore
- 从指定存储删除一个证书。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- root
- 指定根证书存储区。
- CertIndex
- 指定哈希值。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 要确定在证书中后面是
Cert Hash(sha1): 的 CertIndex 证书哈希值,请进行以下任一操作:
- 要转储包括旧证书的证书存储区,请键入:
certutil -store [-user] root
- 要将旧证书保存到一个文件并转储该文件,请键入:
certutil file.cer
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从 HKEY_CURRENT_USER 根存储中删除一个证书
语法
certutil -delstore [-enterprise] [-user] [-gmt] [-seconds] [-v] [-dc DCName] root -user CertIndex
参数
- -delstore
- 从指定存储删除一个证书。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个指定的域控制器作为目标。
- root
- 指定根证书存储区。
- -user
- 指定 HKEY_CURRENT_USER 证书存储区。
- CertIndex
- 指定该哈希值。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
示例
要删除根存储的第五个证书,请键入:
certutil -delstore root 5
用于管理 CRL 的 Certutil 任务
可以使用 certutil 来查看、生成以及配置证书颁发机构的证书吊销列表 (CRL) 信息。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">检索 CRL
语法
certutil -getcrl [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] OutFile [Index] [delta]
参数
- -getcrl
- 检索。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- OutFile
- 指定要接收输出的文件。
- Index
- 指定索引标识号。
- delta
- 检索增量 CRL。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 要执行该过程,您必须是本地计算机上 Administrators 组的成员,或者已被授予适当的权限。如果没有适当的权限,可以使用 -cainfo 来检索 CRL。
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
示例
要检索最近发布的基 CRL,MyMostRecentCRL.crl,请键入:
certutil -getcrl MyMostRecentCRL.crl
要检索第三个 CRL,MyThirdCRL.crl,请键入:
certutil -getcrl MyThirdCRL.crl 3
要检索最近发布的增量 CRL,MyMostRecentDelta.crl,请键入:
certutil -getcrl MyMostRecentDelta.crl delta
要检索第五个增量 CRL,MyFifthDelta.crl,请键入:
certutil -getcrl MyFifthDelta.crl 5 delta
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">发布当前 CRL
语法
certutil -crl [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [DD:HH] [delta]
参数
- -crl
- 发布新。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- DD:HH
- 指定以天和小时为单位的 CRL 生存期。
- delta
- 仅发布增量 CRL。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- CRL 被写入由 OutFileResult 指定的文件中,否则,如果使用减号,就会写入到默认的 Web 位置。
- 到期时间设为从发布时间起一天零一小时,以方便安排每天的发布时间表。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书或 CRL 发布到 Active Directory
语法
certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] [{CertFile | CRL}] [{ntauthca | rootca | subca | crossca | kra | user | machine}]
参数
- -dsPublish
- 将新证书发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- CertFile
- 指定要使用的证书。
- CRL
- 指定要使用的证书吊销列表。
- ntauthca
- 指定要将证书发布到 NTAuth 存储区。
- rootca
- 指定要将证书发布到根 CA 存储。
- subca
- 指定要将证书发布到从属 CA 存储区。
- crossca
- 指定要将证书发布到交叉验证 CA 存储区。
- kra
- 指定要将证书发布到密钥恢复代理存储区。
- 用户
- 指定要将证书发布到用户存储区。
- machine
- 指定要将证书发布到计算机存储区。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 如果 CA 为智能卡登录颁发证书,必须将证书发布到 NTAuth 存储区。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">将证书添加到 NTAuth 存储
语法
certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] NewCert ntauthca
参数
- -dspublish
- 将新证书或 发布到 Active Directory 中的 CA 对象。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -dc DCName
- 将一个特定的域控制器作为目标。
- NewCert
- 指定要发布的证书。
- ntauthca
- 指定要将证书发布到 NTAuth 存储区。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 必须具有 Enterprise Administrator 的访问权限才能使用该命令。
用于密钥存档和恢复的 Certutil 任务
可以使用 certutil 来检索和恢复存档的密钥。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">检索存档的私钥恢复点
语法
certutil -getkey [-f] [-gmt] [-seconds] [-v] SearchToken [RecoveryBlobOutFile]
参数
- -getkey
- 检索存档的私钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- SearchToken
- 指定要恢复的密钥和证书。
- RecoveryBlobOutFile
- 指定包含一个证书链和一个相应私钥的输出文件。该私钥仍然加密成一个或多个密钥恢复代理 (KRA) 证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- SearchToken 可以是证书公用名、证书序列号、证书安全哈希算法 (SHA-1) 哈希、申请人名称(即,域\用户)或者用户主体名称 (UPN)(即,域@用户)。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">恢复存档的私钥
语法
certutil -recoverkey [-f] [-user] [-gmt] [-seconds] [-split] [-v] [-p Password] RecoveryBlobInFile [PFXOutFile] [RecipientIndex]]
参数
- -recoverkey
- 恢复存档的私钥。
- -f
- 覆盖现有的文件或表项。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -p Password
- 指定一个密码。
- RecoveryBlobInFile
- 指定包含从 CA 检索到的恢复点的输入文件。
- PFXOutFile
- 指定用于保存恢复密钥及其相关的 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 证书的文件。
- Password
- 加密 PFXOutFile 并提供密码。
- RecipientIndex
- 指定密钥恢复代理 (KRA) 证书的索引,用于解密私钥点。如果不指定该参数,certutil 将尝试所有的 KRA 证书。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
用于备份和恢复证书的 Certutil 任务
为了提供服务,证书颁发机构应该定期备份,并且在必要时,能够恢复。可以使用 certutil 来执行这些任务。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">备份证书服务
语法
certutil -backup [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory [incremental] [keeplog]
参数
- -backup
- 备份证书服务。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定备份目录。
- incremental
- 执行增量备份而非完全备份。
- keeplog
- 保留数据库日志文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 在 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 (.pfx) 文件中,密码所允许的最大长度是 32 个字符。
- 如果未指定 keeplog,则 certutil -backup 会将这些数据库日志文件合并到一个单独的日志文件中,只有成功完成 -backup 后,才保留此日志文件。
- 如果未指定 incremental,certutil -backup 将执行完全备份。
- 可以用 -f 选项覆盖 BackupDirectory 中的现有文件。
示例
要为名为 EnterpriseCA 的 CA 备份密钥和证书,请键入:
certutil –p p@ssw23 f:\Backup2\EnterpriseCA
certutil -p p@ssw23 f:\Backup2\EnterpriseCA incremental
certutil -p p@ssw23 f:\Backup2\EnterpriseCA keeplog
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">备份 CA 数据库
语法
certutil -backupdb [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] BackupDirectory [[incremental] [keeplog]]
参数
- -backupdb
- 备份证书服务数据库。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- BackupDirectory
- 指定备份目录。
- incremental
- 执行增量备份而非完全备份。
- keeplog
- 保留数据库日志文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 可以在本地或远程运行该命令。服务器和 CA 必须正在运行。通常,管理员使用该命令执行间歇的完全备份,其间是频繁的增量备份。每个备份都必须建成一个独立的目录树。要正确恢复数据库,需要从最新的完全备份至今的所有备份。
- 如果未指定 keeplog,则 certutil -backup 会将这些数据库日志文件合并到一个单独的日志文件中,只有成功完成 -backup 后,才保留此日志文件。
- 如果未指定 incremental,certutil -backup 将执行完全备份。
- 可以用 -f 选项覆盖 BackupDirectory 中的现有文件。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">备份 CA 证书和密钥
语法
certutil -backupkey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory
参数
- -backupkey
- 备份“证书服务”证书和私钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定备份目录。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 在 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 (.pfx) 文件中,密码所允许的最大长度是 32 个字符。
- 可以用 -f 选项覆盖 BackupDirectory 中的现有文件。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">恢复 CA 数据库、证书以及密钥
语法
certutil -restore [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory
参数
- -restore
- 从指定的 BackupDirectory 中恢复 CA 数据库、证书以及密钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定用于恢复 CA 数据库、证书以及密钥的备份目录。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 在 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 (.pfx) 文件中,密码所允许的最大长度是 32 个字符。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">恢复 CA 数据库
语法
certutil -restoredb [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] BackupDirectory
参数
- -restoredb
- 从指定的 BackupDirectory 恢复 CA 数据库。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- BackupDirectory
- 指定用于恢复 CA 数据库的备份目录。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 此时,CA 服务器不能正在运行。可以在本地或远程运行该命令。
- 要恢复一个完全备份和多个增量备份,必须先恢复完全备份,然后以任意顺序恢复后续的所有增量备份。要用完全恢复后的文件覆盖现有的服务器数据库文件,可以使用 -f 选项。在所有的备份恢复完之前,不要启动服务器。
- 当启动 CA 服务器时,同时也启动了数据库恢复。如果成功启动 CA 服务器(如同应用程序事件日志记录的那样),这说明恢复完全成功。如果运行 -restore 以后,服务器启动失败,您会收到一个错误代码。有关如果 -restore 失败的详细信息,也可以查看 RESTOREINPROGRESS 注册表项。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">从备份目录或 PKCS #12 (.pfx) 文件恢复 CA 证书和密钥
语法
certutil -restorekey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory|PFXFile
参数
- -restorekey
- 从指定的 BackupDirectory 或 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 PFXFile 恢复证书服务证书和私钥。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -p Password
- 指定一个密码。
- BackupDirectory
- 指定 PKCS #12 PFX 文件的备份位置。
- PFXFile
- 指定 PKCS #12 PFX 文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 在 href="HELP=glossary.hlp TOPIC=gls_pkcs_12">PKCS #12 (.pfx) 文件中,密码所允许的最大长度是 32 个字符。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">转储 CA 数据库架构,如列的名称、类型和最大大小
语法
certutil -schema [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [{ext | attib | crl}]
参数
- -schema
- 转储 CA 数据库href="HELP=glossary.hlp TOPIC=gls_schema">架构。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- ext
- 显示 Ext 表的架构。
- attib
- 显示 Attib 表的架构。
- crl
- 显示 的架构。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
示例
要查看 CA 数据库的架构,请键入:
certutil -schema
用于对证书进行疑难解答的 Certutil 任务
Certutil 是解决证书颁发机构疑难问题的有力工具。可以使用 certutil 进行疑难解答。
要查看特定任务的语法,请单击任务:
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示存储在与公钥相关的文件中的信息
语法
certutil -dump [-f] [-gmt] [-seconds] [-split] [-v] [-p Password] [FileName]
参数
- -dump
- 转储配置信息或文件。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -p Password
- 指定一个密码。
- FileName
- 指定要显示的配置文件的文件名。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">查看 CA 数据库信息以及限制显示的 CA 架构信息
语法
certutil -view [-gmt] [-seconds] [-silent] [-split] [-v] [-config CAMachineName\CAName] [-restrict RestrictionList] [-out ColumnList] [RequestID]
参数
- -view
- 转储证书颁发机构数据库视图。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -restrict RestrictionList
- 限制文件的行,该文件由 RestrictionList 指定,是一个包含逗号分隔列表的文本文件。
- -out ColumnList
- 指定文件的列,该文件由 ColumnList 指定,是一个包含逗号分隔列表的文本文件。
- RequestID
- 指定请求标识号。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 如果使用时不带参数,certutil 将显示 CA 配置字符串列表。
示例
要列出由位于 Cacomputer1 且名称为 Myentrootca 的 CA 发布的所有证书的电子邮件的主题名称,请键入:
certutil -config cacomputer1\myentrootca -view -out request.email
要将显示行限制到带有请求标识符且大于 10,000 的行,然后仅显示来自名称为 Myentrootca 的 CA 的请求处理,请键入:
certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid>10,000"
若仅查看最后一行,请键入:
Certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $"
若仅查看第二行到最后一行,请键入:
certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $ - 1"
要查看所有对某个 CA 发出请求的电子邮件的主题名称,请键入:
certutil -view -out email
要显示基于用户模板的证书的数字请求标识符,请键入:
certutil -view -restrict "Certificate Template=User" -out requestid
要显示基于模板对象标识符 1.2.3.4.5.5.6.6.6.6.5.6 的证书的数字请求标识符,请键入:
certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid
要显示由 CA 颁发的未吊销证书的所有系列号和请求标识符号码,请键入:
certutil -view -restrict disposition==20 /out "serialnumber,requestid"
要查看对模板 MyTemplate 发出请求的用户的电子邮件以及发出该请求的时间,请键入:
certutil -config cacomputer1\myentrootca -view -out email -restrict "CertificateTemplate == myTemplate, Disposition == 20"
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">转储数据库中证书的序列号
语法
certutil -view [-gmt] [-seconds] [-silent] [-split] [-v] [-config CAMachineName\CAName] [-restrict RestrictionList] [-out ColumnList] [{disposition==20 | disposition==21}] "serialnumber,requestid"
参数
- -view
- 转储证书颁发机构数据库视图。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -restrict RestrictionList
- 限制文件的行,该文件由 RestrictionList 指定,是一个包含逗号分隔列表的文本文件。
- -out ColumnList
- 指定文件的列,该文件由 ColumnList 指定,是一个包含逗号分隔列表的文本文件。
- disposition==20
- 指定 DB_DISP_ISSUED。
- disposition==21
- 指定 DB_DISP_REVOKED。
- "serialnumber,requestid"
- 指定要显示所有序列号和请求标识符号码。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
示例
要显示由 CA 颁发的未吊销证书的所有系列号和请求标识符号码,请键入:
certutil -view -restrict disposition==20 /out "serialnumber,requestid"
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示 CA 注册表设置
语法
certutil -getreg [-user] [-gmt] [-seconds] [-v] [{ca | restore | policy | exit |template}] [\ProgID] \RegistryValueName
参数
- -getreg
- 显示注册表信息。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- ca
- 指定 CA 注册表项。
- restore
- 指定 RESTORE 注册表项。
- policy
- 指定 POLICYMODULE 注册表项。
- exit
- 指定 EXITMODE 注册表项。
- template
- 指定 TEMPLATE 注册表项。
- \ProgID
- 指定策略或退出模块的注册表子项名称。
- \RegistryValueName
- 指定注册表项中的特定值。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- Restore 仅在恢复模式下可用。
- 如果未指定 ProgID,certutil -getreg 将使用默认的策略模块 CertificateAuthority_MicrosoftDefault.Policy。
示例
要显示有关处于活动状态的 CA 的信息,请键入:
certutil -getreg Active
要显示 CA 的通用名称,请键入:
certutil -getreg ca\CommonName
要显示有关策略模块采取何种部署操作的信息,请键入:
certutil -getreg Policy\RequestDisposition
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">设置 CA 注册表,当请求到达时,执行特定操作
语法
certutil -setreg [-user] [-gmt] [-seconds] [-v] policy\requestdisposition [{0 | 1 | 2 | 3}]
参数
- -setreg
- 设置或编辑注册表项的值。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- policy\requestdisposition
- 指定策略模块和部署请求 ID。
- {0 | 1 | 2 | 3}
- 为挂起的请求添加一个由下表所描述的值指定的操作。
值 |
描述 |
|---|
0 |
将传入的请求设置为挂起状态。 |
1 |
发布传入的请求。 |
2 |
拒绝传入的请求。 |
3 |
根据传入请求的部署请求属性进行操作。 |
- -?
- 显示 certutil 命令列表。id=certutilcmds>
![]()
src="ms-its:c:\windows\help\UAshared.chm::/caution.gif"> 警告
- 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。
![]()
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
- 若要使更改生效,您必须重新启动证书颁发机构。有关重新启动“证书服务”的详细信息,请参阅href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">启动、停止、暂停、继续或重新启动服务。class=anything id=certsrvbounce>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">设置 CA 注册表
语法
certutil -setreg [-user] [-gmt] [-seconds] [-v] [{ca | restore | policy | exit | template} [\ProgID]\RegistryValueName
参数
- -setreg
- 设置或编辑注册表信息。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- ca
- 指定 CA 注册表项。
- restore
- 指定 RESTORE 注册表项。
- policy
- 指定 POLICYMODULE 注册表项。
- exit
- 指定 EXITMODE 注册表项。
- \ProgID
- 指定策略或退出模块的注册表子项名称。
- \RegistryValueName
- 指定注册表项中的特定值。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
![]()
src="ms-its:c:\windows\help\UAshared.chm::/caution.gif"> 警告
- 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。
注释
- 若要使更改生效,您必须重新启动证书颁发机构。有关重新启动“证书服务”的详细信息,请参阅href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">启动、停止、暂停、继续或重新启动服务。class=anything id=certsrvbounce>
- Restore 仅在恢复模式下运行 certutil 时才可用。
- 如果未指定 ProgID,certutil -getreg 将使用默认的策略模块 CertificateAuthority_MicrosoftDefault.Policy。
- 可以使用 -setreg 来修改 DWORD 注册表的特定标记。
示例
要设置请求部署为 1,请键入:
certutil /setreg policy\requestdisposition 1
要设置 DWORD 注册表的 policy\RevocationType 中的第九位,请键入:
certutil -setreg policy\revocationtype +0x100
要重新设置 DWORD 注册表的 policy\RevocationType 中的第九位,请键入:
certutil -setreg Policy\RevocationType -0x100
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">删除注册表值
语法
certutil -delreg [-user] [-gmt] [-seconds] [-v] [{ca | restore | policy | exit | template} [\ProgID] \RegistryValueName
参数
- -delreg
- 删除注册表值。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- ca
- 指定 CA 注册表项。
- restore
- 指定 RESTORE 注册表项。
- policy
- 指定 POLICYMODULE 注册表项。
- exit
- 指定 EXITMODE 注册表项。
- template
- 指定 TEMPLATE 注册表项。
- \ProgID
- 指定策略或退出模块的注册表子项名称。
- \RegistryValueName
- 指定任意 CA 的注册表值。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 若要使更改生效,您必须重新启动证书颁发机构。有关重新启动“证书服务”的详细信息,请参阅href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">启动、停止、暂停、继续或重新启动服务。class=anything id=certsrvbounce>
- Restore 仅在备份和恢复模式下可用。
- 如果未指定 ProgID,certutil -getreg 将使用默认的策略模块 CertificateAuthority_MicrosoftDefault.Policy。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">用本地语言显示错误代码的错误信息文本
语法
certutil -error ErrorCode
参数
- -error
- 用本地语言显示错误信息文本,该语言由 Locale 注册表项指定。
- ErrorCode
- 指定要用本地语言查看的错误代码。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- ErrorCode 可以是有符号或无符号的十进制格式,也可以是带有前缀 0x 的十六进制格式。
- 可以使用该命令将从“证书颁发机构”管理单元获得的错误解码。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证服务器正在运行(ICertRequest 接口)
语法
certutil -ping [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]
参数
- -ping
- Ping 证书服务的 ICertRequest 接口。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证服务器正在在运行(ICertAdmin 接口)
语法
certutil -pingadmin [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]
参数
- -pingadmin
- Ping 证书服务的 ICertAdmin 接口。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
- 要确定是否成功完成该命令,请确保该用户对服务器有管理访问权限。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">通过文件生成并显示加密哈希
语法
certutil -hashfile [-gmt] [-seconds] [-v] InFile
参数
- -hashfile
- 通过文件生成并显示加密哈希。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- InFile
- 指定要显示哈希的文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">转储 CA 数据库架构
语法
certutil -schema [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [{Ext | Attib | CRL}]
参数
- -config ConfigString
- 使用配置字符串(即,ConfigString)指定的 CA 执行该操作。如果不指定此选项,则由默认 CA 处理该请求。
- -schema
- 转储 CA 数据库架构。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- -config CAMachineName\CAName
- 使用配置字符串中指定的 CA(即 CAMachineName\CAName)处理此操作。id=CAconfig>
- Ext
- 显示 Ext 表的架构。
- Attib
- 显示 Attib 表的架构。
- CRL
- 显示 的架构。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 您必须在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否则,“选择证书颁发机构”对话框将会出现,并显示所有可用的 CA 列表。class=anything id=certtoolremark1>
- 如果您使用 -config - 而不是 -config CAComputerName\CAName ,则系统将使用默认的 CA 处理操作。id=certtoolremark2>
示例
要查看 CA 数据库的架构,请键入:
certutil -schema
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">显示当前用户可用的所有密钥容器名称。
语法
certutil -key [-user] [-gmt] [-seconds] [-silent] [-v] [CSPName] [*]
参数
- -key
- 显示本地计算机的密钥容器。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -v
- 指定详细的输出。
- CSPName
- 指定要显示的密钥容器的加密服务提供程序 (CSP)。
- *
- 指定所有 CSP 的密钥容器。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- RSA 是 Windows Server 2003 家族默认的 CSP。要指定替代的 CSP 提供程序,可以使用 CSPName 命令行选项。有关 RSA 的详细信息,请参阅 href="http://go.microsoft.com/fwlink/?LinkId=243" target=_new>RSA Labs 网站。href="MS-ITS:C:\WINDOWS\Help\uadef.chm::/copyright.htm">网站地址可能变动,您可能无法连接到在这里提到的网站。class=anything id=para5>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">为委托的 CA 的交叉证书提供 PKCS#10 请求文件
语法
certutil -split [-gmt] [-seconds] [-v] CMC.req
参数
- -split
- 分析证书请求文件中的每个二进制(ASN.1 编码)对象,然后将每个对象保存为单个二进制大对象 (blob) 文件。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- CMC.req
- 指定要分析的加密消息语法 (CMS) 请求(该协议也称为 CMC)文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 有关使用 certreq –policy 命令,从根证书创建 CMS 请求的详细信息,请参阅“相关主题”中的 Certreq。在 Certreq 中,请参阅“从现有的 CA 证书或请求构造交叉证书或合格的部属请求”任务。
- 如果可能,从现有的证书构造请求时,应该在安装了输入证书密钥的计算机上运行 certreq –policy 命令。如果该私钥不可用(通常发生在交叉验证非 Microsoft CA 时),则 href="HELP=glossary.hlp TOPIC=gls_pkcs_10" name=ix_PKCS_10>PKCS #10 文件和外部的 CMS 都没有签名。大多数非 Microsoft CA 不接受未签名的 PKCS#10。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">重新关联私钥及其证书
语法
certutil -repairstore [{-csp CSPName [-f]}] [-enterprise] [-user] [-gmt] [-seconds] [-split] [-v] [{ca | my| root | spc}] CertIndex
参数
- -repairstore
- 修复 ca 存储区中密钥提供程序的信息。
- -csp
- 仅使用指定的加密服务提供程序 (CSP) 来定位和修复密钥。
- CSPName
- 指定要使用的 CSP 的名称。
- -f
- 与 -csp 一起,在必要时用来定位密钥以使用指定的 CSP 强制搜索密钥。
- -enterprise
- 使用本地计算机企业注册证书存储区。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- ca
- 在“中级证书颁发机构”存储中指定证书。
- my
- 指定颁发给本地计算机的证书。
- root
- 在“受信任的根证书颁发机构”存储中指定证书。
- spc
- 指定软件发行商证书。
- CertIndex
- 指定安全哈希算法 (SHA-1) 证书哈希、序列号或证书索引标识符。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 如果证书位于 HKEY_LOCAL_MACHINE 证书存储区,请不要使用 -user。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">验证 AIA 和 CDP 扩展中的 URL 的合法性和正确性
语法
certutil -url [-f] [-gmt] [-seconds] [-split] [-v] CertFile.crt
参数
- -url
- 验证证书或 的 URL。
- -f
- 覆盖现有的文件或表项。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- CertFile.crt
- 指定证书文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
- 要确保 URL 是合法的并指向相应的 CRL,或在颁发 CA 证书时,可以使用该命令来检查颁发机构信息访问 (AIA) 和 CRL 分布点 (CDP) 扩展,然后反参照这些扩展里的 URL。
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">检查智能卡上的证书
语法
certutil -scinfo [-gmt] [-seconds] [-silent] [-split] [-v] [ReaderName]
参数
- -scinfo
- 显示智能卡信息。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -silent
- 使用无声标志获得 CryptContext。
- -split
- 拆分嵌入式“抽象语法表示法 1 (ASN.1)”元素,并将其保存到文件。id=split>
- -v
- 指定详细的输出。
- ReaderName
- 指定智能卡阅读器的名称。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">查看本地安装的模板
语法
certutil -template [-user] [-ut] [-mt] [-gmt] [-seconds] [-v] TemplateName
参数
- -template
- 显示指定的模板。
- -user
- 使用 HKEY_CURRENT_USER 项或证书存储。id=currentuserkey>
- -ut
- 显示用户模板。
- -mt
- 显示计算机模板。
- -gmt
- 以格林威治标准时间方式显示时间。
- -seconds
- 显示时间时显示秒和毫秒。
- -v
- 指定详细的输出。
- TemplateName
- 指定要查看的模板的名称。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
href="#">![]()
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">确定密钥对使用的 CSP
语法
certutil PFXfile.pfx
参数
- PFXfile.pfx
- 指定一个扩展名为 .pfx 的文件。
- -?
- 显示 certutil 命令列表。id=certutilcmds>
注释
格式化图例
格式 |
含义 |
|---|
斜体 |
用户必须提供的信息 |
粗体 |
用户必须准确键入的要显示的元素 |
省略号 (...) |
在命令行中可多次重复的参数 |
中括号 ([]) |
可选项 |
大括号 ({});选项用竖线 (|) 分隔。例如:{even|odd} |
用户必须从选项集合中选择一个 |
Courier 字体 |
代码或程序输出 |
相关文章
本页查看次数: