certutil

Certutil.exe は、Certificate Services の一部としてインストールされるコマンド ライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報の表示、証明書サービスの構成、CA コンポーネントのバックアップと復元を行うことができます。 このプログラムでは、証明書、キー ペア、および証明書チェーンも検証されます。

certutilが他のパラメーターなしで証明機関で実行されている場合は、現在の証明機関の構成が表示されます。 certutilが他のパラメーターを指定せずに非証明機関で実行されている場合、コマンドは既定で certutil -dump コマンドを実行します。 certutil のすべてのバージョンで、このドキュメントで説明するすべてのパラメーターとオプションが提供されているわけではありません。 certutil -?またはcertutil <parameter> -?を実行すると、certutil のバージョンで提供される選択肢を確認できます。

Parameters

-dump

構成情報またはファイルをダンプします。

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 構造体をダンプします。

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

抽象構文表記 (ASN.1) 構文を使用して、ファイルの内容を解析して表示します。 ファイルの種類は次のとおりです。CER、.DERおよび PKCS #7フォーマットのファイルを開ける。

certutil [options] -asn File [type]

• [type]: 数値CRYPT_STRING_* デコードの種類

-decodehex

16進数でエンコードされたファイルをデコードします。

certutil [options] -decodehex InFile OutFile [type]

• [type]: 数値CRYPT_STRING_* デコードの種類

Options:

[-f]

-encodehex

ファイルを 16 進数でエンコードします。

certutil [options] -encodehex InFile OutFile [type]

• [type]: 数値CRYPT_STRING_* エンコードの種類

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 でエンコードされたファイルをデコードします。

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

ファイルを Base64 にエンコードします。

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

保留中の要求を拒否します。

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

保留中の要求を再送信します。

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

保留中の証明書要求の属性を設定します。

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId is the numeric Request ID for the pending request.
• AttributeString is the request attribute name and value pairs.

Options:

[-config Machine\CAName]

Remarks

• 名前と値はコロンで区切る必要がありますが、複数の名前と値のペアは改行で区切る必要があります。 たとえば、CertificateTemplate:User\nEMail:User@Domain.com シーケンスが改行区切り記号に変換される場所を\nします。

-setextension

保留中の証明書要求の拡張機能を設定します。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID is the numeric Request ID for the pending request.
• ExtensionName is the ObjectId string for the extension.
• Flags sets the priority of the extension. 0 は推奨されますが、 1 は拡張機能を critical に設定しますが、 2 は拡張機能を無効にし、 3 は両方を行います。

Options:

[-config Machine\CAName]

Remarks

• If the last parameter is numeric, it's taken as a Long.
• If the last parameter can be parsed as a date, it's taken as a Date.
• 最後のパラメータが \@ で始まる場合、トークンの残りの部分は、バイナリデータまたは ASCII テキストの 16 進ダンプを含むファイル名として扱われます。
• 最後のパラメーターがそれ以外の場合は、文字列として使用されます。

-revoke

証明書を取り消します。

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber is a comma-separated list of certificate serial numbers to revoke.
• Reason is the numeric or symbolic representation of the revocation reason, including:
  • 0. CRL_REASON_UNSPECIFIED - Unspecified (default)
  • 1. CRL_REASON_KEY_COMPROMISE - Key compromise
  • 2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed
  • 4. CRL_REASON_SUPERSEDED - Superseded
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold
  • 8. CRL_REASON_REMOVE_FROM_CRL - Remove from CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege withdrawn
  • 10: CRL_REASON_AA_COMPROMISE - AA compromise
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

現在の証明書の処理を表示します。

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

既定の構成文字列を取得します。

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig を使用して既定の構成文字列を取得します。

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

ICertConfig を使用して構成を取得します。

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Active Directory 証明書サービス要求インターフェイスへの接続を試みます。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList is a comma-separated list of CA machine names. 1 台のコンピューターの場合は、終端のコンマを使用します。 このオプションでは、各 CA マシンのサイト コストも表示されます。

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 証明書サービス管理インターフェイスへの接続を試みます。

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

証明機関に関する情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName indicates the CA property to display, based on the following infoname argument syntax:
  • * - すべてのプロパティを表示します
  • ads - Advanced Server
  • aia [Index] - AIA URLs
  • cdp [Index] - CDP URLs
  • cert [Index] - CA cert
  • certchain [Index] - CA cert chain
  • certcount - CA cert count
  • certcrlchain [Index] - CA cert chain with CRLs
  • certstate [Index] - CA cert
  • certstatuscode [Index] - CA cert verify status
  • certversion [Index] - CA cert version
  • CRL [Index] - Base CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL Publish Status
  • cross- [Index] - Backward cross cert
  • cross+ [Index] - Forward cross cert
  • crossstate- [Index] - Backward cross cert
  • crossstate+ [Index] - Forward cross cert
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Delta CRL Publish Status
  • dns - DNS Name
  • dsname - Sanitized CA short name (DS name)
  • error1 ErrorCode - Error message text
  • error2 ErrorCode - Error message text and error code
  • exit [Index] - Exit module description
  • exitcount - Exit module count
  • file - File version
  • info - CA info
  • kra [Index] - KRA cert
  • kracount - KRA cert count
  • krastate [Index] - KRA cert
  • kraused - KRA cert used count
  • localename - CA locale name
  • name - CA name
  • ocsp [Index] - OCSP URLs
  • parent - Parent CA
  • policy - Policy module description
  • product - Product version
  • propidmax - Maximum CA PropId
  • role - Role Separation
  • sanitizedname - Sanitized CA name
  • sharedfolder - Shared folder
  • subjecttemplateoids - Subject Template OIDs
  • templates - Templates
  • type - CA type
  • xchg [Index] - CA exchange cert
  • xchgchain [Index] - CA exchange cert chain
  • xchgcount - CA exchange cert count
  • xchgcrlchain [Index] - CA exchange cert chain with CRLs
• index is the optional zero-based property index.
• errorcode is the numeric error code.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA プロパティの種類の情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

証明機関の証明書を取得します。

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

証明機関の証明書チェーンを取得します。

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

証明書失効リスト (CRL) を取得します。

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index is the CRL index or key index (defaults to CRL for most recent key).
• delta is the delta CRL (default is base CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

新しい証明書失効リスト (CRL) またはデルタ CRL を発行します。

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh is the new CRL validity period in days and hours.
• republish republishes the most recent CRLs.
• delta publishes the delta CRLs only (default is base and delta CRLs).

Options:

[-split] [-config Machine\CAName]

-shutdown

Active Directory 証明書サービスをシャットダウンします。

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

証明機関の証明書をインストールします。

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

証明機関の証明書を更新します。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• -fを使用して、未処理の更新要求を無視し、新しい要求を生成します。

-schema

証明書のスキーマをダンプします。

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• このコマンドは、既定で Request テーブルと Certificate テーブルに設定されます。
• Ext is the extension table.
• Attribute is the attribute table.
• CRL is the CRL table.

Options:

[-split] [-config Machine\CAName]

-view

証明書ビューをダンプします。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Queue dumps a specific request queue.
• Log dumps the issued or revoked certificates, plus any failed requests.
• LogFail dumps the failed requests.
• Revoked dumps the revoked certificates.
• Ext dumps the extension table.
• Attrib dumps the attribute table.
• CRL dumps the CRL table.
• csv provides the output using comma-separated values.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• To display the StatusCode column for all entries, type -out StatusCode
• 最後のエントリのすべての列を表示するには、次のように入力します。 -restrict RequestId==$
• To display the RequestId and Disposition for three requests, type: -restrict requestID>=37,requestID<40 -out requestID,disposition
• To display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• 基本 CRL 番号 3 を表示するには、次のように入力します。 -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• CRL テーブル全体を表示するには、次のように入力します。 CRL
• 日付の制限には Date[+|-dd:hh] を使用します。
• 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• テンプレートには拡張キー使用法 (EKU) が含まれています。これは、証明書の使用方法を記述するオブジェクト識別子 (OID) です。 証明書にはテンプレート共通名や表示名が常に含まれているわけではありませんが、テンプレート EKU は常に含まれます。 Active Directory から特定の証明書テンプレートの EKU を抽出し、その拡張機能に基づいてビューを制限できます。

-db

生データベースをダンプします。

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

サーバー データベースから行を削除します。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• Request deletes the failed and pending requests, based on submission date.
• Cert deletes the expired and revoked certificates, based on expiration date.
• Ext deletes the extension table.
• Attrib deletes the attribute table.
• CRL deletes the CRL table.

Options:

[-f] [-config Machine\CAName]

Examples

• 2001 年 1 月 22 日までに送信された失敗した要求と保留中の要求を削除するには、次のように入力します。 1/22/2001 request
• 2001 年 1 月 22 日までに期限切れになったすべての証明書を削除するには、次のように入力します。 1/22/2001 cert
• RequestID 37 の証明書の行、属性、および拡張機能を削除するには、次のように入力します。 37
• 2001 年 1 月 22 日までに期限切れになった CRL を削除するには、次のように入力します。 1/22/2001 crl

-backup

Active Directory 証明書サービスをバックアップします。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up data.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 証明書サービス データベースをバックアップします。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up database files.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 証明書サービスの証明書と秘密キーをバックアップします。

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory is the directory to store the backed up PFX file.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 証明書サービスを復元します。

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory is the directory containing the data to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 証明書サービス データベースを復元します。

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory is the directory containing the database files to be restored.

Options:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 証明書サービスの証明書と秘密キーを復元します。

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory is the directory containing PFX file to be restored.
• PFXFile is the PFX file to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

証明書と秘密キーをエクスポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• CertId is the certificate or CRL match token.
• PFXFile is the PFX file to be exported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • CryptoAlgorithm= specifies the cryptographic algorithm to use for encrypting the PFX file, such as TripleDES-Sha1 or Aes256-Sha256.
  • EncryptCert - Encrypts the private key associated with the certificate with a password.
  • ExportParameters -Exports the private key parameters in addition to the certificate and private key.
  • ExtendedProperties - Includes all extended properties associated with the certificate in the output file.
  • NoEncryptCert - Exports the private key without encrypting it.
  • NoChain - Doesn't import the certificate chain.
  • NoRoot - Doesn't import the root certificate.

-importPFX

証明書と秘密キーをインポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• PFXFile is the PFX file to be imported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • AT_KEYEXCHANGE - Changes the keyspec to key exchange.
  • AT_SIGNATURE - Changes the keyspec to signature.
  • ExportEncrypted - Exports the private key associated with the certificate with password encryption.
  • FriendlyName= - Specifies a friendly name for the imported certificate.
  • KeyDescription= - Specifies a description for the private key associated with the imported certificate.
  • KeyFriendlyName= - Specifies a friendly name for the private key associated with the imported certificate.
  • NoCert - Doesn't import the certificate.
  • NoChain - Doesn't import the certificate chain.
  • NoExport - Makes the private key non-exportable.
  • NoProtect - Doesn't password protect keys by using a password.
  • NoRoot - Doesn't import the root certificate.
  • Pkcs8 - Uses PKCS8 format for the private key in the PFX file.
  • Protect - Protects keys by using a password.
  • ProtectHigh - Specifies that a high-security password must be associated with the private key.
  • VSM - Stores the private key associated with the imported certificate in the Virtual Smart Card (VSC) container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• 既定では、個人用コンピューター ストアが使用されます。

-dynamicfilelist

動的ファイルの一覧を表示します。

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

データベースの場所を表示します。

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

ファイルに対する暗号化ハッシュを生成して表示します。

certutil [options] -hashfile InFile [HashAlgorithm]

-store

証明書ストアをダンプします。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. この ID は次のようになります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの識別子の多くは、複数の一致が発生する可能性があります。

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-enumstore

証明書ストアを列挙します。

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName is the remote machine name.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

ストアに証明書を追加します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName is the certificate store name.
• InFile is the certificate or CRL file you want to add to the store.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

ストアから証明書を削除します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

ストア内の証明書を検証します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

キーの関連付けを修復するか、証明書のプロパティまたはキーセキュリティ記述子を更新します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName is the certificate store name.

• CertIdList is the comma-separated list of certificate or CRL match tokens. 詳細については、この記事の -store CertId の説明を参照してください。

• PropertyInfFile is the INF file containing external properties, including:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

証明書ストアをダンプします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. 次の場合があります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

ストアから証明書を削除します。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. 次の場合があります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

certutil インターフェイスを呼び出します。

certutil [options] -UI File [import]

-TPMInfo

トラステッド プラットフォーム モジュール情報を表示します。

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

証明書要求ファイルを構成証明する必要があることを指定します。

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

選択 UI から証明書を選択します。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

ディレクトリ サービス (DS) 識別名 (DN) を表示します。

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN を削除します。

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

証明書または証明書失効リスト (CRL) を Active Directory に発行します。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile is the name of the certificate file to publish.
• NTAuthCA publishes the certificate to the DS Enterprise store.
• RootCA publishes the certificate to the DS Trusted Root store.
• SubCA publishes the CA certificate to the DS CA object.
• CrossCA publishes the cross-certificate to the DS CA object.
• KRA publishes the certificate to the DS Key Recovery Agent object.
• User publishes the certificate to the User DS object.
• Machine publishes the certificate to the Machine DS object.
• CRLfile is the name of the CRL file to publish.
• DSCDPContainer is the DS CDP container CN, usually the CA machine name.
• DSCDPCN is the DS CDP object CN based on the sanitized CA short name and key index.

Options:

[-f] [-user] [-dc DCName]

• -fを使用して新しい DS オブジェクトを作成します。

-dsCert

DS 証明書を表示します。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL を表示します。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS デルタ CRL を表示します。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS テンプレート属性を表示します。

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

DS テンプレートを追加します。

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Active Directory テンプレートを表示します。

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

証明書登録ポリシー テンプレートを表示します。

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

証明書テンプレートの証明機関 (CA) を表示します。

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

証明機関のテンプレートを表示します。

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

証明機関が発行できる証明書テンプレートを設定します。

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• +記号は、CA の使用可能なテンプレートリストに証明書テンプレートを追加します。
• -記号は、CA の使用可能なテンプレートの一覧から証明書テンプレートを削除します。

-SetCASites

証明機関のサイト名の設定、検証、削除など、サイト名を管理します。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName is allowed only when targeting a single Certificate Authority.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• -config オプションは、1 つの証明機関を対象とします (既定値はすべての CA です)。
• The -f option can be used to override validation errors for the specified SiteName or to delete all CA site names.

-enrollmentServerURL

CA に関連付けられている登録サーバーの URL を表示、追加、または削除します。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType specifies one of the following client authentication methods while adding a URL:
  • Kerberos - Use Kerberos SSL credentials.
  • UserName - Use a named account for SSL credentials.
  • ClientCertificate - Use X.509 Certificate SSL credentials.
  • Anonymous - Use anonymous SSL credentials.
• delete deletes the specified URL associated with the CA.
• Priority defaults to 1 if not specified when adding a URL.
• Modifiers is a comma-separated list, which includes one or more of the following:
  • AllowRenewalsOnly only renewal requests can be submitted to this CA via this URL.
  • AllowKeyBasedRenewal allows use of a certificate that has no associated account in the AD. This applies only with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 証明機関を表示します。

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

登録ポリシー証明機関を表示します。

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

登録ポリシーを表示します。

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

登録ポリシー キャッシュ エントリを表示または削除します。

certutil [options] -PolicyCache [delete]

Where:

• delete deletes the policy server cache entries.
• -f deletes all cache entries

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

資格情報ストアのエントリを表示、追加、または削除します。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL is the target URL. *を使用してすべてのエントリを照合したり、URL プレフィックスに一致するhttps://machine*を使用したりすることもできます。
• add adds a credential store entry. このオプションを使用するには、SSL 資格情報も使用する必要があります。
• delete deletes credential store entries.
• -f overwrites a single entry or deletes multiple entries.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

既定の証明書テンプレートをインストールします。

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

証明書または CRL URL を検証します。

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

URL キャッシュ エントリを表示または削除します。

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL is the cached URL.
• CRL runs on all cached CRL URLs only.
• * は、キャッシュされたすべての URL で動作します。
• delete deletes relevant URLs from the current user's local cache.
• -f forces fetching a specific URL and updating the cache.

Options:

[-f] [-split]

-pulse

自動登録イベントまたは NGC タスクをパルスします。

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName is the task to trigger.
  • Pregen is the NGC Key pregen task.
  • AIKEnroll is the NGC AIK certificate enrollment task. (既定では自動登録イベントです)。
• SRKThumbprint is the thumbprint of the Storage Root Key
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Active Directory コンピューター オブジェクトに関する情報を表示します。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-EntInfo

エンタープライズ証明機関に関する情報を表示します。

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

証明機関に関する情報を表示します。

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

スマート カードに関する情報を表示します。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET deletes all keys on the smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

スマート カードのルート証明書を管理します。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

キー コンテナーに格納されているキーを一覧表示します。

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName is the key container name for the key to verify. このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、 -userを使用します。
• -記号の使用は、既定のキー コンテナーの使用を指します。

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

名前付きキー コンテナーを削除します。

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello コンテナーを削除し、WebAuthn と FIDO の資格情報を含め、デバイスに格納されているすべての関連付けられている資格情報を削除します。

このオプションを使用して完了するには、ユーザーがサインアウトする必要があります。

certutil [options] -DeleteHelloContainer

-verifykeys

公開キーまたは秘密キー セットを検証します。

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName is the key container name for the key to verify. このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、 -userを使用します。
• CACertFile signs or encrypts certificate files.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• 引数が指定されていない場合、各署名 CA 証明書は秘密キーに対して検証されます。
• この操作は、ローカル CA またはローカル キーに対してのみ実行できます。

-verify

証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile is the name of the certificate to verify.
• ApplicationPolicyList is the optional comma-separated list of required Application Policy ObjectIds.
• IssuancePolicyList is the optional comma-separated list of required Issuance Policy ObjectIds.
• CACertFile is the optional issuing CA certificate to verify against.
• CrossedCACertFile is the optional certificate cross-certified by CertFile.
• CRLFile is the CRL file used to verify the CACertFile.
• IssuedCertFile is the optional issued certificate covered by the CRLfile.
• DeltaCRLFile is the optional delta CRL file.
• Modifiers:
  • 厳密 - 強力な署名の検証
  • MSRoot - Microsoft ルートにチェーンする必要があります
  • MSTestRoot - Microsoft テスト ルートにチェーンする必要があります
  • AppRoot - Microsoft アプリケーション ルートにチェーンする必要があります
  • EV - 拡張検証ポリシーの適用

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• Using ApplicationPolicyList restricts chain building to only chains valid for the specified Application Policies.
• Using IssuancePolicyList restricts chain building to only chains valid for the specified Issuance Policies.
• Using CACertFile verifies the fields in the file against CertFile or CRLfile.
• If CACertFile isn't specified, the full chain is built and verified against CertFile.
• If CACertFile and CrossedCACertFile are both specified, the fields in both files are verified against CertFile.
• Using IssuedCertFile verifies the fields in the file against CRLfile.
• Using DeltaCRLFile verifies the fields in the file against CertFile.

-verifyCTL

AuthRoot または許可されていない証明書 CTL を検証します。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identifies the CTL to verify, including:

  • AuthRootWU reads the AuthRoot CAB and matching certificates from the URL cache. 代わりに、 -f を使用して Windows Update からダウンロードします。
  • DisallowedWU reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. 代わりに、 -f を使用して Windows Update からダウンロードします。
    • PinRulesWU reads the PinRules CAB from the URL cache. 代わりに、 -f を使用して Windows Update からダウンロードします。
  • AuthRoot reads the registry-cached AuthRoot CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
  • Disallowed reads the registry-cached Disallowed Certificates CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
    • PinRules reads the registry cached PinRules CTL. Using -f has the same behavior as with PinRulesWU.
  • CTLFileName specifies the file or http path to the CTL or CAB file.

• CertDir specifies the folder containing certificates matching the CTL entries. Defaults to the same folder or website as the CTLobject. http フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 If you don't specify AuthRoot or Disallowed, multiple locations are searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. 必要に応じて、 -f を使用して Windows Update からダウンロードします。

• CertFile specifies the certificate(s) to verify. 証明書は CTL エントリと照合され、結果が表示されます。 このオプションでは、既定の出力の大部分が抑制されます。

Options:

[-f] [-user] [-split]

-syncWithWU

証明書を Windows Update と同期します。

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir is the specified directory.
• f forces an overwrite.
• Unicode writes redirected output in Unicode.
• gmt displays times as GMT.
• seconds displays times with seconds and milliseconds.
• v is a verbose operation.
• PIN is the Smart Card PIN.
• WELL_KNOWN_SID_TYPE is a numeric SID:
  • 22 - ローカル システム
  • 23 - ローカル サービス
  • 24 - ネットワーク サービス

Remarks

自動更新メカニズムを使用して、次のファイルがダウンロードされます。

• authrootstl.cab contains the CTLs of non-Microsoft root certificates.
• disallowedcertstl.cab contains the CTLs of untrusted certificates.
• disallowedcert.sst contains the serialized certificate store, including the untrusted certificates.
• thumbprint.crt contains the non-Microsoft root certificates.

たとえば、certutil -syncWithWU \\server1\PKI\CTLs のようにします。

• 存在しないローカル パスまたはフォルダーを宛先フォルダーとして使用すると、次のエラーが表示されます。 The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• 存在しない、または使用できないネットワークの場所を宛先フォルダーとして使用すると、次のエラーが表示されます。 The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• サーバーが TCP ポート 80 経由で Microsoft 自動更新サーバーに接続できない場合は、次のエラーが表示されます。 A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• サーバーが DNS 名 ctldl.windowsupdate.comの Microsoft 自動更新サーバーに到達できない場合は、次のエラーが表示されます。 The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• -f スイッチを使用せず、ディレクトリに既に CTL ファイルが存在する場合は、ファイルの存在エラーが表示されます。certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• 信頼されたルート証明書に変更がある場合は、次の内容が表示されます。 Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update と同期されるストア ファイルを生成します。

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile is the .sst file to be generated that contains the Third Party Roots downloaded from Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

ピン留め規則の一覧を含む証明書信頼リスト (CTL) ファイルを生成します。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile is the input XML file to be parsed.
• CTLFile is the output CTL file to be generated.
• SSTFile is the optional .sst file to be created that contains all of the certificates used for pinning.
• QueryFilesPrefix are optional Domains.csv and Keys.csv files to be created for database query.
  • The QueryFilesPrefix string is prepended to each created file.
  • The Domains.csv file contains rule name, domain rows.
  • The Keys.csv file contains rule name, key SHA256 thumbprint rows.

Options:

[-f]

-downloadOcsp

OCSP 応答をダウンロードし、ディレクトリに書き込みます。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir is the directory of a certificate, store and PFX files.
• OcspDir is the directory to write OCSP responses.
• ThreadCount is the optional maximum number of threads for concurrent downloading. Default is 10.
• Modifiers are comma separated list of one or more of the following:
  • DownloadOnce - Downloads once and exits.
  • ReadOcsp - Reads from OcspDir instead of writing.

-generateHpkpHeader

指定したファイルまたはディレクトリ内の証明書を使用して HPKP ヘッダーを生成します。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir is the file or directory of certificates, which is the source of pin-sha256.
• MaxAge is the max-age value in seconds.
• ReportUri is the optional report-uri.
• Modifiers are comma separated list of one or more of the following:
  • includeSubDomains - Appends the includeSubDomains.

-flushCache

lsass.exeなど、選択したプロセスで指定されたキャッシュをフラッシュします。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId is the numeric ID of a process to flush. Set to 0 to flush all processes where flush is enabled.

• CacheMask is the bit mask of caches to be flushed either numeric or the following bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers are comma separated list of one or more of the following:

  • Show - Shows the caches being flushed. Certutil は明示的に終了する必要があります。

-addEccCurve

ECC 曲線を追加します。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass is the ECC Curve Class type:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is the ECC Curve name.

• CurveParameters are one of the following:

  • ASN でエンコードされたパラメーターを含む証明書ファイル名。
  • ASN でエンコードされたパラメーターを含むファイル。

• CurveOID is the ECC Curve OID and is one of the following:

  • ASN でエンコードされた OID を含む証明書ファイル名。
  • 明示的な ECC 曲線 OID。

• CurveType is the Schannel ECC NamedCurve point (numeric).

Options:

[-f]

-deleteEccCurve

ECC 曲線を削除します。

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-displayEccCurve

ECC カーブを表示します。

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-csplist

暗号化操作のためにこのマシンにインストールされている暗号化サービス プロバイダー (CSP) を一覧表示します。

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

このマシンにインストールされている CSP をテストします。

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

このマシン上の CNG 暗号化構成を表示します。

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

証明書失効リスト (CRL) または証明書に再署名します。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList is the comma-separated list of certificate or CRL files to modify and re-sign.

• SerialNumber is the serial number of the certificate to create. 有効期間およびその他のオプションを指定できません。

• CRL creates an empty CRL. 有効期間およびその他のオプションを指定できません。

• OutFileList is the comma-separated list of modified certificate or CRL output files. ファイルの数は infilelist と一致する必要があります。

• StartDate+dd:hh is the new validity period for the certificate or CRL files, including:

  • 省略可能な日付と
  • オプションの日数と時間の有効期間 複数のフィールドを使用する場合は、(+) または (-) 区切り記号を使用します。 now[+dd:hh]を使用して、現在の時刻から開始します。 now-dd:hh+dd:hhを使用して、現在の時刻と固定の有効期間からの固定オフセットから開始します。 有効期限を設定しない場合は、 never を使用します (CRL の場合のみ)。

• SerialNumberList is the comma-separated serial number list of the files to add or remove.

• ObjectIdList is the comma-separated extension ObjectId list of the files to remove.

• @ExtensionFile is the INF file that contains the extensions to update or remove. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is the name of the hash algorithm. これは、前に # 記号が付いたテキストである必要があります。

• AlternateSignatureAlgorithm is the alternate signature algorithm specifier.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• 負符号 (-) を使用すると、シリアル番号と拡張機能が削除されます。
• プラス記号 (+) を使用すると、CRL にシリアル番号が追加されます。
• You can use a list to remove both serial numbers and ObjectIds from a CRL at the same time.
• Using the minus sign before AlternateSignatureAlgorithm allows you to use the legacy signature format.
• プラス記号を使用すると、代替署名形式を使用できます。
• If you don't specify AlternateSignatureAlgorithm, the signature format in the certificate or CRL is used.

-vroot

Web 仮想ルートとファイル共有を作成または削除します。

certutil [options] -vroot [delete]

-vocsproot

OCSP Web プロキシの Web 仮想ルートを作成または削除します。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

指定した証明機関に必要に応じて、登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

• Modifiers:

  • AllowRenewalsOnly allows only renewal request submissions to the Certificate Authority through the URL.
  • AllowKeyBasedRenewal allows use of a certificate with no associated account in Active Directory. This applies when used with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

指定された証明機関に必要な場合は、登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

Options:

[-config Machine\CAName]

-addPolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of policies returned to the client containing keybasedrenewal templates. This option applies only for UserName and ClientCertificate authentication.

-deletePolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージは削除されません。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of a KeyBasedRenewal policy server.

-Class

COM レジストリ情報を表示します。

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

証明書で0x7f長さのエンコードを確認します。

certutil [options] -7f CertFile

-oid

オブジェクト識別子を表示するか、表示名を設定します。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId is the ID to be displayed or to add to the display name.
• GroupId is the GroupID number (decimal) that ObjectIds enumerate.
• AlgId is the hexadecimal ID that objectID looks up.
• AlgorithmName is the algorithm name that objectID looks up.
• DisplayName displays the name to store in DS.
• Delete deletes the display name.
• LanguageId is the language ID value (defaults to current: 1033).
• Type is the type of DS object to create, including:
  • 1 - テンプレート (既定)
  • 2 - 発行ポリシー
  • 3 - アプリケーション ポリシー
• -f は DS オブジェクトを作成します。

Options:

[-f]

-error

エラー コードに関連付けられているメッセージ テキストを表示します。

certutil [options] -error ErrorCode

-getsmtpinfo

簡易メール転送プロトコル (SMTP) 情報を取得します。

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 情報を設定します。

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

レジストリ値を表示します。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• value uses the new numeric, string, or date registry value or filename. 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。
• Registry aliases:
  • Config
  • CA
  • ポリシー - PolicyModules
  • 終了 - ExitModules
  • 復元 - RestoreInProgress
  • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - ソフトウェア\Microsoft\暗号化\MSCEP
  • チェーン - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • crypt32 - システム\CurrentControlSet\Services\crypt32
  • NGC - システム\CurrentControlSet\Control\暗号化\NGC
  • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - ソフトウェア\Microsoft\ポリシー\PassportForWork

-setreg

レジストリ値を設定します。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string, or date registry value or filename. 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。

-delreg

レジストリ値を削除します。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string or date registry value or filename. 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。
• Registry aliases:
  • Config
  • CA
  • ポリシー - PolicyModules
  • 終了 - ExitModules
  • 復元 - RestoreInProgress
  • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - ソフトウェア\Microsoft\暗号化\MSCEP
  • チェーン - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • crypt32 - システム\CurrentControlSet\Services\crypt32
  • NGC - システム\CurrentControlSet\Control\暗号化\NGC
  • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • Passport - Software\Policies\Microsoft\PassportForWork
  • MDM - ソフトウェア\Microsoft\ポリシー\PassportForWork

-importKMS

ユーザー キーと証明書をサーバー データベースにインポートして、キーのアーカイブを行います。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile is a data file with user private keys and certificates that are to be archived. このファイルは次のようになります。
  • Exchange Key Management Server (KMS) エクスポート ファイル。
  • PFX ファイル。
• CertId is a KMS export file decryption certificate match token. 詳細については、この記事の -store パラメーターを参照してください。
• -f は、証明機関によって発行されていない証明書をインポートします。

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

証明書ファイルをデータベースにインポートします。

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow imports the certificate in place of a pending request for the same key.
• -f は、証明機関によって発行されていない証明書をインポートします。

Options:

[-f] [-config Machine\CAName]

Remarks

証明機関は、 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNを実行して外部証明書をサポートするように構成する必要がある場合もあります。

-GetKey

アーカイブされた秘密キー回復 BLOB を取得し、回復スクリプトを生成するか、アーカイブされたキーを回復します。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file isn't specified).
• retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). このオプションを使用すると、すべての拡張機能が切り捨てられ、各キー回復 BLOB の証明書固有の文字列と .rec 拡張機能が追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
• recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). このオプションを使用すると、拡張機能が切り捨てられ、 .p12 拡張機能が追加されます。 各ファイルには、回復された証明書チェーンと関連する秘密キーが含まれており、PFX ファイルとして格納されます。
• SearchToken selects the keys and certificates to be recovered, including:
  • 証明書の共通名
  • 証明書のシリアル番号
  • 証明書 SHA-1 ハッシュ (拇印)
  • 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
  • リクエスター名 (domain\user)
  • UPN (user@domain)
• RecoveryBlobOutFile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.
• OutputScriptFile outputs a file with a batch script to retrieve and recover private keys.
• OutputFileBaseName outputs a file base name.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• For retrieve, any extension is truncated and a certificate-specific string and the .rec extensions are appended for each key recovery blob. 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
• For recover, any extension is truncated and the .p12 extension is appended. 回復された証明書チェーンと関連付けられた秘密キーが含まれており、PFX ファイルとして格納されます。

-RecoverKey

アーカイブされた秘密キーを回復します。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX ファイルをマージします。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList is a comma-separated list of PFX input files.
• PFXOutFile is the name of the PFX output file.
• Modifiers are comma separated lists of one or more of the following:
  • ExtendedProperties includes any extended properties.
  • NoEncryptCert specifies to not encrypt the certificates.
  • EncryptCert specifies to encrypt the certificates.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• コマンド ラインで指定するパスワードは、コンマ区切りのパスワード リストである必要があります。
• 複数のパスワードが指定されている場合は、出力ファイルに最後のパスワードが使用されます。 パスワードが 1 つだけ指定されている場合、または最後のパスワードが *場合、ユーザーは出力ファイルのパスワードの入力を求められます。

-add-chain

証明書チェーンを追加します。

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

事前証明書チェーンを追加します。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

署名付きツリーヘッドを取得します。

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

署名付きツリーヘッドの変更を取得します。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

タイムスタンプ サーバーからハッシュの証明を取得します。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

イベント ログからエントリを取得します。

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

証明書ストアからルート証明書を取得します。

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

イベント ログ エントリとその暗号化証明を取得します。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

証明書の透過性ログに対して証明書を検証します。

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

パラメーターの一覧を表示します。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? パラメーターの一覧が表示されます
• -<name_of_parameter> -? は、指定されたパラメーターのヘルプ コンテンツを表示します。
• -? -v には、パラメーターとオプションの詳細な一覧が表示されます。

オプション

このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。

ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

Related links

このコマンドの使用方法の他の例については、次の記事を参照してください。

• Active Directory 証明書サービス (AD CS)
• 証明書を管理するための Certutil タスク
• Windows で信頼されたルートと許可されていない証明書を構成する