certutil

Certutil.exe は、Certificate Services の一部としてインストールされるコマンド ライン プログラムです。 certutil.exe を使用すると、証明機関 (CA) の構成情報の表示、証明書サービスの構成、CA コンポーネントのバックアップと復元を行うことができます。 このプログラムでは、証明書、キー ペア、および証明書チェーンも検証されます。

certutilが他のパラメーターなしで証明機関で実行されている場合は、現在の証明機関の構成が表示されます。 certutilが他のパラメーターを指定せずに非証明機関で実行されている場合、コマンドは既定で certutil -dump コマンドを実行します。 certutil のすべてのバージョンで、このドキュメントで説明するすべてのパラメーターとオプションが提供されているわけではありません。 certutil -?またはcertutil <parameter> -?を実行すると、certutil のバージョンで提供される選択肢を確認できます。

Parameters

-dump

構成情報またはファイルをダンプします。

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 構造体をダンプします。

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

抽象構文表記 (ASN.1) 構文を使用して、ファイルの内容を解析して表示します。 ファイルの種類は次のとおりです。CER、.DERおよび PKCS #7フォーマットのファイルを開ける。

certutil [options] -asn File [type]

• [type]: 数値CRYPT_STRING_* デコードの種類

-decodehex

16進数でエンコードされたファイルをデコードします。

certutil [options] -decodehex InFile OutFile [type]

• [type]: 数値CRYPT_STRING_* デコードの種類

Options:

[-f]

-encodehex

ファイルを 16 進数でエンコードします。

certutil [options] -encodehex InFile OutFile [type]

• [type]: 数値CRYPT_STRING_* エンコードの種類

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64 でエンコードされたファイルをデコードします。

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

ファイルを Base64 にエンコードします。

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

保留中の要求を拒否します。

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

保留中の要求を再送信します。

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

保留中の証明書要求の属性を設定します。

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId は、保留中の要求の数値要求 ID です。
• AttributeString は、要求属性名と値のペアです。

Options:

[-config Machine\CAName]

Remarks

• 名前と値はコロンで区切る必要がありますが、複数の名前と値のペアは改行で区切る必要があります。 たとえば、CertificateTemplate:User\nEMail:User@Domain.com シーケンスが改行区切り記号に変換される場所を\nします。

-setextension

保留中の証明書要求の拡張機能を設定します。

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID は、保留中の要求の数値要求 ID です。
• ExtensionName は、拡張機能の ObjectId 文字列です。
• Flags は 、拡張機能の優先度を設定します。 0 は推奨されますが、 1 は拡張機能を critical に設定しますが、 2 は拡張機能を無効にし、 3 は両方を行います。

Options:

[-config Machine\CAName]

Remarks

• 最後のパラメーターが数値の場合、 Longと見なされます。
• 最後のパラメーターを日付として解析できる場合は、 Date と見なされます。
• 最後のパラメータが \@ で始まる場合、トークンの残りの部分は、バイナリデータまたは ASCII テキストの 16 進ダンプを含むファイル名として扱われます。
• 最後のパラメーターがそれ以外の場合は、文字列として使用されます。

-revoke

証明書を取り消します。

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber は、失効させる証明書のシリアル番号のコンマ区切りリストです。
• 理由は 、失効理由の数値または記号表現であり、以下が含まれます。
  • 0. CRL_REASON_UNSPECIFIED - 未指定 (デフォルト)
  • 1. CRL_REASON_KEY_COMPROMISE - キーの侵害
  • 2. CRL_REASON_CA_COMPROMISE - 認証局の侵害
  • 3. CRL_REASON_AFFILIATION_CHANGED - 所属変更
  • 4. CRL_REASON_SUPERSEDED - 置き換えられた
  • 5. CRL_REASON_CESSATION_OF_OPERATION - 運行の停止
  • 6. CRL_REASON_CERTIFICATE_HOLD - 証明書の保留
  • 8. CRL_REASON_REMOVE_FROM_CRL - CRLから削除
  • 9:CRL_REASON_PRIVILEGE_WITHDRAWN - 特権の取り消し
  • 10:CRL_REASON_AA_COMPROMISE-AA 妥協
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

現在の証明書の処理を表示します。

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

既定の構成文字列を取得します。

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig を使用して既定の構成文字列を取得します。

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

ICertConfig を使用して構成を取得します。

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Active Directory 証明書サービス要求インターフェイスへの接続を試みます。

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList は、CA マシン名のコンマ区切りリストです。 1 台のコンピューターの場合は、終端のコンマを使用します。 このオプションでは、各 CA マシンのサイト コストも表示されます。

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 証明書サービス管理インターフェイスへの接続を試みます。

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

証明機関に関する情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName は、次の infoname 引数構文に基づいて、表示する CA プロパティを示します。
  • * - すべてのプロパティを表示します
  • 広告 - アドバンスドサーバー
  • aia [インデックス] - AIA URL
  • cdp [インデックス] - CDP URL
  • cert [インデックス] - CA cert
  • certchain [インデックス] - CA cert chain
  • certcount - CA 証明書数
  • certcrlchain [インデックス] - CRL を含む CA 証明書チェーン
  • certstate [インデックス] - CA 証明書
  • certstatuscode [インデックス] - CA 証明書の検証ステータス
  • certversion [インデックス] - CA 証明書のバージョン
  • CRL [インデックス] - 基本 CRL
  • crlstate [インデックス] - CRL
  • crlstatus [インデックス] - CRL 公開ステータス
  • cross- [Index] - 後方クロス証明書
  • cross+ [Index] - フォワードクロス証明書
  • crossstate- [Index] - 後方クロス証明書
  • crossstate+ [インデックス] - フォワードクロス証明書
  • deltacrl [インデックス] - デルタCRL
  • deltacrlstatus [インデックス] - デルタ CRL 発行ステータス
  • dns - DNS 名
  • dsname - サニタイズされた CA ショートネーム (DS 名)
  • error1 ErrorCode - エラーメッセージテキスト
  • error2 ErrorCode - エラーメッセージテキストとエラーコード
  • exit [Index] - モジュールの説明を終了します。
  • exitcount - 出口モジュール数
  • file - ファイルバージョン
  • info - CAの情報
  • kra [インデックス] - KRA cert
  • kracount - KRA 証明書数
  • krastate [インデックス] - KRA 証明書
  • kraused - KRA 証明書の使用数
  • localename - CA ロケール名
  • name - CA 名
  • ocsp [インデックス] - OCSP URL
  • parent - 親 CA
  • policy - ポリシーモジュールの説明
  • product - 製品バージョン
  • propidmax - 最大 CA PropId
  • role - 役割の分離
  • sanitizedname - サニタイズされたCA名
  • sharedfolder - 共有フォルダ
  • subjecttemplateoids - サブジェクト・テンプレートOID
  • templates - テンプレート
  • type - CA タイプ
  • xchg [インデックス] - CA 交換証明書
  • xchgchain [インデックス] - CA エクスチェンジ証明書チェーン
  • xchgcount - CA エクスチェンジ証明書数
  • xchgcrlchain [インデックス] - CRL を使用した CA 交換証明書チェーン
• index は、オプションの 0 から始まるプロパティ インデックスです。
• errorcode は数値のエラー コードです。

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA プロパティの種類の情報を表示します。

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

証明機関の証明書を取得します。

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile は出力ファイルです。
• インデックスは 、CA 証明書更新インデックスです (デフォルトは最新です)。

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

証明機関の証明書チェーンを取得します。

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile は出力ファイルです。
• インデックスは 、CA 証明書更新インデックスです (デフォルトは最新です)。

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

証明書失効リスト (CRL) を取得します。

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index は CRL インデックスまたはキーインデックスです (最新のキーのデフォルトは CRL)。
• delta はデルタ CRL です (デフォルトはベース CRL)。

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

新しい証明書失効リスト (CRL) またはデルタ CRL を発行します。

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh は、日数と時間単位の新しい CRL 有効期間です。
• republish は、最新の CRL を再発行します。
• delta は、デルタ CRL のみを発行します (デフォルトはベース CRL とデルタ CRL です)。

Options:

[-split] [-config Machine\CAName]

-shutdown

Active Directory 証明書サービスをシャットダウンします。

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

証明機関の証明書をインストールします。

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

証明機関の証明書を更新します。

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• -fを使用して、未処理の更新要求を無視し、新しい要求を生成します。

-schema

証明書のスキーマをダンプします。

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• このコマンドは、既定で Request テーブルと Certificate テーブルに設定されます。
• Ext は拡張テーブルです。
• 属性 は属性テーブルです。
• CRL は CRL テーブルです。

Options:

[-split] [-config Machine\CAName]

-view

証明書ビューをダンプします。

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• キューは 、特定の要求キューをダンプします。
• 発行または失効した証明書と、失敗した要求をログにダンプします。
• LogFail は、失敗した要求をダンプします。
• Revoked は、失効した証明書をダンプします。
• Ext は拡張テーブルをダンプします。
• Attrib は属性テーブルをダンプします。
• CRL は CRL テーブルをダンプします。
• CSV は 、カンマ区切り値を使用して出力を提供します。

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• すべてのエントリの StatusCode 列を表示するには、次のように入力します。 -out StatusCode
• 最後のエントリのすべての列を表示するには、次のように入力します。 -restrict RequestId==$
• 3 つの要求の RequestId と Disposition を表示するには、次のように入力します。 -restrict requestID>=37,requestID<40 -out requestID,disposition
• すべての基本 CRL の行 ID 行 ID と CRL 番号 を表示するには、次のように入力します。 -restrict crlminbase=0 -out crlrowID,crlnumber crl
• 基本 CRL 番号 3 を表示するには、次のように入力します。 -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• CRL テーブル全体を表示するには、次のように入力します。 CRL
• 日付の制限には Date[+|-dd:hh] を使用します。
• 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• テンプレートには拡張キー使用法 (EKU) が含まれています。これは、証明書の使用方法を記述するオブジェクト識別子 (OID) です。 証明書にはテンプレート共通名や表示名が常に含まれているわけではありませんが、テンプレート EKU は常に含まれます。 Active Directory から特定の証明書テンプレートの EKU を抽出し、その拡張機能に基づいてビューを制限できます。

-db

生データベースをダンプします。

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

サーバー データベースから行を削除します。

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• [要求] は、送信日に基づいて、失敗した要求と保留中の要求を削除します。
• 証明書 は、有効期限に基づいて、期限切れおよび失効した証明書を削除します。
• Ext は拡張テーブルを削除します。
• Attrib は属性テーブルを削除します。
• CRL は CRL テーブルを削除します。

Options:

[-f] [-config Machine\CAName]

Examples

• 2001 年 1 月 22 日までに送信された失敗した要求と保留中の要求を削除するには、次のように入力します。 1/22/2001 request
• 2001 年 1 月 22 日までに期限切れになったすべての証明書を削除するには、次のように入力します。 1/22/2001 cert
• RequestID 37 の証明書の行、属性、および拡張機能を削除するには、次のように入力します。 37
• 2001 年 1 月 22 日までに期限切れになった CRL を削除するには、次のように入力します。 1/22/2001 crl

-backup

Active Directory 証明書サービスをバックアップします。

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory は、バックアップされたデータを格納するディレクトリです。
• 増分 バックアップは増分バックアップのみを実行します(デフォルトは完全バックアップです)。
• KeepLog はデータベース ログ ファイルを保持します (デフォルトではログ ファイルが切り捨てられます)。

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 証明書サービス データベースをバックアップします。

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory は、バックアップされたデータベースファイルを格納するディレクトリです。
• 増分 バックアップは増分バックアップのみを実行します(デフォルトは完全バックアップです)。
• KeepLog はデータベース ログ ファイルを保持します (デフォルトではログ ファイルが切り捨てられます)。

Options:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 証明書サービスの証明書と秘密キーをバックアップします。

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory は、バックアップされた PFX ファイルを格納するディレクトリです。

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 証明書サービスを復元します。

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory は、復元するデータを含むディレクトリです。

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 証明書サービス データベースを復元します。

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory は、復元するデータベース・ファイルを含むディレクトリーです。

Options:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 証明書サービスの証明書と秘密キーを復元します。

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory は、復元する PFX ファイルを含むディレクトリです。
• PFXFile は、復元する PFX ファイルです。

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

証明書と秘密キーをエクスポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName は、証明書ストアの名前です。
• CertId は、証明書または CRL 一致トークンです。
• PFXFile は、エクスポートする PFX ファイルです。
• 修飾子 はコンマ区切りのリストで、次の 1 つ以上を含めることができます。
  • CryptoAlgorithm= は、PFX ファイルの暗号化に使用する暗号化アルゴリズム ( TripleDES-Sha1 や Aes256-Sha256 など) を指定します。
  • EncryptCert - 証明書に関連付けられた秘密キーをパスワードで暗号化します。
  • ExportParameters -Exports 証明書と秘密キーに加えて、秘密キー パラメーターが指定されています。
  • ExtendedProperties - 証明書に関連付けられているすべての拡張プロパティを出力ファイルに含めます。
  • NoEncryptCert - 秘密キーを暗号化せずにエクスポートします。
  • NoChain - 証明書チェーンをインポートしません。
  • NoRoot - ルート証明書をインポートしません。

-importPFX

証明書と秘密キーをインポートします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName は、証明書ストアの名前です。
• PFXFile は、インポートする PFX ファイルです。
• 修飾子 はコンマ区切りのリストで、次の 1 つ以上を含めることができます。
  • AT_KEYEXCHANGE - keyspec をキー交換に変更します。
  • AT_SIGNATURE - keyspec を signature に変更します。
  • ExportEncrypted - パスワード暗号化を使用して証明書に関連付けられた秘密キーをエクスポートします。
  • FriendlyName= - インポートされた証明書のフレンドリ名を指定します。
  • KeyDescription= - インポートされた証明書に関連付けられた秘密キーの説明を指定します。
  • KeyFriendlyName= - インポートされた証明書に関連付けられている秘密キーのフレンドリ名を指定します。
  • NoCert - 証明書をインポートしません。
  • NoChain - 証明書チェーンをインポートしません。
  • NoExport - 秘密キーをエクスポート不能にします。
  • NoProtect - パスワードを使用してキーをパスワードで保護しません。
  • NoRoot - ルート証明書をインポートしません。
  • Pkcs8 - PFX ファイル内の秘密キーに PKCS8 形式を使用します。
  • 保護 - パスワードを使用してキーを保護します。
  • ProtectHigh - 高セキュリティのパスワードを秘密キーに関連付ける必要があることを指定します。
  • VSM - インポートされた証明書に関連付けられた秘密キーを仮想スマート カード(VSC)コンテナに格納します。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• 既定では、個人用コンピューター ストアが使用されます。

-dynamicfilelist

動的ファイルの一覧を表示します。

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

データベースの場所を表示します。

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

ファイルに対する暗号化ハッシュを生成して表示します。

certutil [options] -hashfile InFile [HashAlgorithm]

-store

証明書ストアをダンプします。

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName は、証明書ストア名です。 For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId は、証明書または CRL 一致トークンです。 この ID は次のようになります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの識別子の多くは、複数の一致が発生する可能性があります。

• OutputFile は、一致する証明書を保存するために使用されるファイルです。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-enumstore

証明書ストアを列挙します。

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName はリモートマシン名です。

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

ストアに証明書を追加します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName は、証明書ストア名です。
• InFile は、ストアに追加する証明書または CRL ファイルです。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

ストアから証明書を削除します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName は、証明書ストア名です。
• CertId は、証明書または CRL 一致トークンです。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

ストア内の証明書を検証します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName は、証明書ストア名です。
• CertId は、証明書または CRL 一致トークンです。

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

キーの関連付けを修復するか、証明書のプロパティまたはキーセキュリティ記述子を更新します。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName は、証明書ストア名です。

• CertIdList は、証明書または CRL 一致トークンのコンマ区切りリストです。 詳細については、この記事の -store CertId の説明を参照してください。

• PropertyInfFile は、次のような外部プロパティを含む INF ファイルです。

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

証明書ストアをダンプします。 詳細については、この記事の -store パラメーターを参照してください。

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName は、証明書ストア名です。 For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId は、証明書または CRL 一致トークンです。 次の場合があります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

• OutputFile は、一致する証明書を保存するために使用されるファイルです。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

ストアから証明書を削除します。

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName は、証明書ストア名です。 For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId は、証明書または CRL 一致トークンです。 次の場合があります。

  • Serial number
  • SHA-1 certificate
  • CRL、CTL、または公開キー ハッシュ
  • 数値証明書インデックス (0、1 など)
  • 数値 CRL インデックス (.0、.1 など)
  • 数値 CTL インデックス (..0, ..1 など)
  • Public key
  • Signature または extension ObjectId
  • 証明書サブジェクトの共通名
  • E-mail address
  • UPN または DNS 名
  • キー コンテナー名または CSP 名
  • テンプレート名または ObjectId
  • EKU またはアプリケーション ポリシー ObjectId
  • CRL 発行者の共通名。

これらの多くは、複数の一致が発生する可能性があります。

• OutputFile は、一致する証明書を保存するために使用されるファイルです。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• -user オプションは、マシン ストアではなくユーザー ストアにアクセスします。
• -enterprise オプションは、コンピューターエンタープライズ ストアにアクセスします。
• -service オプションは、マシン サービス ストアにアクセスします。
• -grouppolicy オプションは、マシン グループ ポリシー ストアにアクセスします。

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

certutil インターフェイスを呼び出します。

certutil [options] -UI File [import]

-TPMInfo

トラステッド プラットフォーム モジュール情報を表示します。

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

証明書要求ファイルを構成証明する必要があることを指定します。

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

選択 UI から証明書を選択します。

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

ディレクトリ サービス (DS) 識別名 (DN) を表示します。

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN を削除します。

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

証明書または証明書失効リスト (CRL) を Active Directory に発行します。

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile は、発行する証明書ファイルの名前です。
• NTAuthCA は、証明書を DS Enterprise ストアに発行します。
• RootCA は、証明書を DS Trusted Root ストアに公開します。
• SubCA は、CA 証明書を DS CA オブジェクトに公開します。
• CrossCA は、相互証明書を DS CA オブジェクトに公開します。
• KRA は、証明書を DS Key Recovery Agent オブジェクトに公開します。
• ユーザーは 、証明書をユーザー DS オブジェクトに発行します。
• マシン は、証明書をマシン DS オブジェクトに発行します。
• CRLfile は、公開する CRL ファイルの名前です。
• DSCDPContainer は DS CDP コンテナー CN で、通常は CA マシン名です。
• DSCDPCN は、サニタイズされた CA ショートネームとキー索引に基づく DS CDP オブジェクト CN です。

Options:

[-f] [-user] [-dc DCName]

• -fを使用して新しい DS オブジェクトを作成します。

-dsCert

DS 証明書を表示します。

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL を表示します。

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS デルタ CRL を表示します。

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS テンプレート属性を表示します。

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

DS テンプレートを追加します。

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Active Directory テンプレートを表示します。

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

証明書登録ポリシー テンプレートを表示します。

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

証明書テンプレートの証明機関 (CA) を表示します。

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

証明機関のテンプレートを表示します。

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

証明機関が発行できる証明書テンプレートを設定します。

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• +記号は、CA の使用可能なテンプレートリストに証明書テンプレートを追加します。
• -記号は、CA の使用可能なテンプレートの一覧から証明書テンプレートを削除します。

-SetCASites

証明機関のサイト名の設定、検証、削除など、サイト名を管理します。

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName は、単一の認証局を対象とする場合にのみ許可されます。

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• -config オプションは、1 つの証明機関を対象とします (既定値はすべての CA です)。
• -f オプションを使用して、指定した SiteName の検証エラーを上書きしたり、すべての CA サイト名を削除したりできます。

-enrollmentServerURL

CA に関連付けられている登録サーバーの URL を表示、追加、または削除します。

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType は、URL の追加時に次のいずれかのクライアント認証方法を指定します。
  • Kerberos - Kerberos SSL 資格情報を使用します。
  • ユーザー名 - SSL資格証明に名前付きアカウントを使用します。
  • ClientCertificate - X.509 証明書の SSL 資格情報を使用します。
  • 匿名 - 匿名の SSL 資格情報を使用します。
• delete は、CA に関連付けられている指定された URL を削除します。
• 優先度は、URL の追加時に指定しない場合、デフォルトで 1 になります。
• 修飾子は 、次の 1 つ以上を含むカンマ区切りのリストです。
  • AllowRenewals この URL を介してこの CA に送信できる更新要求のみ。
  • AllowKeyBasedRenewal では 、AD にアカウントが関連付けられていない証明書を使用できます。 これは、 ClientCertificate モードと AllowRenewalsOnly モードでのみ適用されます。

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 証明機関を表示します。

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

登録ポリシー証明機関を表示します。

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

登録ポリシーを表示します。

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

登録ポリシー キャッシュ エントリを表示または削除します。

certutil [options] -PolicyCache [delete]

Where:

• delete は、ポリシー・サーバーのキャッシュ・エントリを削除します。
• -f はすべてのキャッシュエントリを削除します

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

資格情報ストアのエントリを表示、追加、または削除します。

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL はターゲット URL です。 *を使用してすべてのエントリを照合したり、URL プレフィックスに一致するhttps://machine*を使用したりすることもできます。
• Add は、資格情報ストア エントリを追加します。 このオプションを使用するには、SSL 資格情報も使用する必要があります。
• delete は、資格情報ストアのエントリを削除します。
• -f は、1 つのエントリを上書きするか、複数のエントリを削除します。

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

既定の証明書テンプレートをインストールします。

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

証明書または CRL URL を検証します。

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

URL キャッシュ エントリを表示または削除します。

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL はキャッシュされた URL です。
• CRL は、キャッシュされたすべての CRL URL でのみ実行されます。
• * は、キャッシュされたすべての URL で動作します。
• delete は、現在のユーザーのローカルキャッシュから関連する URL を削除します。
• -f は、特定の URL を強制的に取得し、キャッシュを更新します。

Options:

[-f] [-split]

-pulse

自動登録イベントまたは NGC タスクをパルスします。

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName は、トリガーするタスクです。
  • Pregen はNGCキーのpregenタスクです。
  • AIKEnroll は、NGC AIK 証明書登録タスクです。 (既定では自動登録イベントです)。
• SRKThumbprint は、ストレージ ルート キーの拇印です
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Active Directory コンピューター オブジェクトに関する情報を表示します。

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

ドメイン コントローラーに関する情報を表示します。 既定では、検証なしで DC 証明書が表示されます。

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-EntInfo

エンタープライズ証明機関に関する情報を表示します。

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

証明機関に関する情報を表示します。

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

スマート カードに関する情報を表示します。

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET は、スマート カード上のすべてのキーを削除します。

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

スマート カードのルート証明書を管理します。

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

キー コンテナーに格納されているキーを一覧表示します。

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName は、検証するキーのキー コンテナ名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、 -userを使用します。
• -記号の使用は、既定のキー コンテナーの使用を指します。

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

名前付きキー コンテナーを削除します。

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello コンテナーを削除し、WebAuthn と FIDO の資格情報を含め、デバイスに格納されているすべての関連付けられている資格情報を削除します。

このオプションを使用して完了するには、ユーザーがサインアウトする必要があります。

certutil [options] -DeleteHelloContainer

-verifykeys

公開キーまたは秘密キー セットを検証します。

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName は、検証するキーのキー コンテナ名です。 このオプションの既定値はマシン キーです。 ユーザー キーに切り替えるには、 -userを使用します。
• CACertFile は、証明書ファイルに署名または暗号化します。

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• 引数が指定されていない場合、各署名 CA 証明書は秘密キーに対して検証されます。
• この操作は、ローカル CA またはローカル キーに対してのみ実行できます。

-verify

証明書、証明書失効リスト (CRL)、または証明書チェーンを検証します。

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile は、検証する証明書の名前です。
• ApplicationPolicyList は、必要なアプリケーション ポリシー ObjectId のオプションのカンマ区切りリストです。
• IssuancePolicyList は、必要な発行ポリシー ObjectId のオプションのカンマ区切りリストです。
• CACertFile は、検証対象となるオプションの発行 CA 証明書です。
• CrossedCACertFile は、 CertFile によって相互認証されたオプションの証明書です。
• CRLFile は、 CACertFile の検証に使用される CRL ファイルです。
• IssuedCertFile は、CRLfile でカバーされるオプションの発行証明書です。
• DeltaCRLFile は、オプションのデルタ CRL ファイルです。
• Modifiers:
  • 厳密 - 強力な署名の検証
  • MSRoot - Microsoft ルートにチェーンする必要があります
  • MSTestRoot - Microsoft テスト ルートにチェーンする必要があります
  • AppRoot - Microsoft アプリケーション ルートにチェーンする必要があります
  • EV - 拡張検証ポリシーの適用

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• ApplicationPolicyList を使用すると、チェーンの構築は、指定されたアプリケーションポリシーに対して有効なチェーンのみに制限されます。
• IssuancePolicyList を使用すると、チェーンの構築は、指定された発行ポリシーに対して有効なチェーンのみに制限されます。
• CACertFile を使用すると、ファイル内のフィールドが CertFile または CRLfile と照合されます。
• CACertFile が指定されていない場合、完全なチェーンが構築され、CertFile に対して検証されます。
• CACertFile と CrossedCACertFile の両方が指定されている場合、両方のファイルのフィールドが CertFile に対して検証されます。
• IssuedCertFile を使用すると、ファイル内のフィールドが CRLfile に対して検証されます。
• DeltaCRLFile を使用すると、ファイル内のフィールドが CertFile に対して検証されます。

-verifyCTL

AuthRoot または許可されていない証明書 CTL を検証します。

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject は、以下を含む検証する CTL を識別します。

  • AuthRootWU は、URL キャッシュから AuthRoot CAB と一致する証明書を読み取ります。 代わりに、 -f を使用して Windows Update からダウンロードします。
  • DisallowedWU は、URL キャッシュから Disallowed Certificates CAB と Disallowed certificate Store ファイルを読み取ります。 代わりに、 -f を使用して Windows Update からダウンロードします。
    • PinRulesWU は、URL キャッシュから PinRules CAB を読み取ります。 代わりに、 -f を使用して Windows Update からダウンロードします。
  • AuthRoot は、レジストリでキャッシュされた AuthRoot CTL を読み取ります。 -f と信頼されていない CertFile で使用して、レジストリにキャッシュされた AuthRoot と許可されていない証明書 CTL を強制的に更新します。
  • Disallowed は、レジストリでキャッシュされた Disallowed Certificates CTL を読み取ります。 -f と信頼されていない CertFile で使用して、レジストリにキャッシュされた AuthRoot と許可されていない証明書 CTL を強制的に更新します。
    • PinRules は、レジストリでキャッシュされた PinRules CTL を読み取ります。 -fを使用すると、PinRulesWU の場合と同じ動作になります。
  • CTLFileName は、CTL または CAB ファイルへのファイルまたは http パスを指定します。

• CertDir は、CTL エントリに一致する証明書を含むフォルダーを指定します。 デフォルトは、 CTLオブジェクトと同じフォルダまたはWebサイトです。 http フォルダー パスを使用するには、末尾にパス区切り記号が必要です。 AuthRoot または Disallowed を指定しない場合、ローカル証明書ストア、crypt32.dll リソース、ローカル URL キャッシュなど、一致する証明書が複数の場所で検索されます。 必要に応じて、 -f を使用して Windows Update からダウンロードします。

• CertFile は、検証する証明書を指定します。 証明書は CTL エントリと照合され、結果が表示されます。 このオプションでは、既定の出力の大部分が抑制されます。

Options:

[-f] [-user] [-split]

-syncWithWU

証明書を Windows Update と同期します。

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir は指定されたディレクトリです。
• f は強制的に上書きします。
• Unicode は、リダイレクトされた出力を Unicode で書き込みます。
• gmt は時刻を GMT として表示します。
• seconds は、秒とミリ秒で時間を表示します。
• v は冗長な操作です。
• PIN はスマート カードの PIN です。
• WELL_KNOWN_SID_TYPE は数値の SID です。
  • 22 - ローカル システム
  • 23 - ローカル サービス
  • 24 - ネットワーク サービス

Remarks

自動更新メカニズムを使用して、次のファイルがダウンロードされます。

• authrootstl.cab には、Microsoft 以外のルート証明書の CTL が含まれています。
• disallowedcertstl.cab には、信頼されていない証明書の CTL が含まれています。
• disallowedcert.sst には、信頼できない証明書を含むシリアル化された証明書ストアが含まれています。
• thumbprint.crt には、Microsoft 以外のルート証明書が含まれています。

たとえば、certutil -syncWithWU \\server1\PKI\CTLs のようにします。

• 存在しないローカル パスまたはフォルダーを宛先フォルダーとして使用すると、次のエラーが表示されます。 The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• 存在しない、または使用できないネットワークの場所を宛先フォルダーとして使用すると、次のエラーが表示されます。 The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• サーバーが TCP ポート 80 経由で Microsoft 自動更新サーバーに接続できない場合は、次のエラーが表示されます。 A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• サーバーが DNS 名 ctldl.windowsupdate.comの Microsoft 自動更新サーバーに到達できない場合は、次のエラーが表示されます。 The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• -f スイッチを使用せず、ディレクトリに既に CTL ファイルが存在する場合は、ファイルの存在エラーが表示されます。certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• 信頼されたルート証明書に変更がある場合は、次の内容が表示されます。 Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows Update と同期されるストア ファイルを生成します。

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile は、Windows Update からダウンロードしたサード パーティ ルートを含む、生成される .sst ファイルです。

Options:

[-f] [-split]

-generatePinRulesCTL

ピン留め規則の一覧を含む証明書信頼リスト (CTL) ファイルを生成します。

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile は、解析される入力 XML ファイルです。
• CTLFile は、生成される出力 CTL ファイルです。
• SSTFile は、ピン留めに使用されるすべての証明書を含む、作成されるオプションの .sst ファイルです。
• QueryFilesPrefix は、データベース クエリ用に作成されるオプション のDomains.csv および Keys.csv ファイルです。
  • QueryFilesPrefix 文字列は、作成された各ファイルの先頭に追加されます。
  • Domains.csv ファイルには、ルール名、ドメイン行が含まれています。
  • Keys.csv ファイルには、ルール名、キー SHA256 拇印行が含まれています。

Options:

[-f]

-downloadOcsp

OCSP 応答をダウンロードし、ディレクトリに書き込みます。

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir は、証明書、ストア、PFX ファイルのディレクトリです。
• OcspDir は、OCSP 応答を書き込むためのディレクトリです。
• ThreadCount は、同時ダウンロードのオプションの最大スレッド数です。 デフォルトは 10 です。
• 修飾子は 、次の 1 つ以上のコンマ区切りリストです。
  • DownloadOnce - 一度ダウンロードして終了します。
  • ReadOcsp - 書き込みの代わりに OcspDir から読み取ります。

-generateHpkpHeader

指定したファイルまたはディレクトリ内の証明書を使用して HPKP ヘッダーを生成します。

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir は、pin-sha256 のソースである証明書のファイルまたはディレクトリです。
• MaxAge は、秒単位の max-age 値です。
• ReportUri はオプションの report-uri です。
• 修飾子は 、次の 1 つ以上のコンマ区切りリストです。
  • includeSubDomains - includeSubDomains を追加します。

-flushCache

lsass.exeなど、選択したプロセスで指定されたキャッシュをフラッシュします。

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId は、フラッシュするプロセスの数値 ID です。 フラッシュが有効になっているすべてのプロセスをフラッシュするには、 0 に設定します。

• CacheMask は、数値または次のビットのいずれかでフラッシュされるキャッシュのビットマスクです。

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• 修飾子は 、次の 1 つ以上のコンマ区切りリストです。

  • Show - フラッシュされるキャッシュを表示します。 Certutil は明示的に終了する必要があります。

-addEccCurve

ECC 曲線を追加します。

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass は ECC カーブ クラス タイプです。

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName は ECC カーブ名です。

• CurveParameters は、次のいずれかです。

  • ASN でエンコードされたパラメーターを含む証明書ファイル名。
  • ASN でエンコードされたパラメーターを含むファイル。

• CurveOID は ECC カーブ OID であり、次のいずれかです。

  • ASN でエンコードされた OID を含む証明書ファイル名。
  • 明示的な ECC 曲線 OID。

• CurveType は、Schannel ECC NamedCurve ポイント (数値) です。

Options:

[-f]

-deleteEccCurve

ECC 曲線を削除します。

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName は ECC カーブ名です。
• CurveOID は ECC カーブ OID です。

Options:

[-f]

-displayEccCurve

ECC カーブを表示します。

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName は ECC カーブ名です。
• CurveOID は ECC カーブ OID です。

Options:

[-f]

-csplist

暗号化操作のためにこのマシンにインストールされている暗号化サービス プロバイダー (CSP) を一覧表示します。

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

このマシンにインストールされている CSP をテストします。

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

このマシン上の CNG 暗号化構成を表示します。

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

証明書失効リスト (CRL) または証明書に再署名します。

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList は、変更および再署名する証明書または CRL ファイルのコンマ区切りリストです。

• SerialNumber は、作成する証明書のシリアル番号です。 有効期間およびその他のオプションを指定できません。

• CRL は空の CRL を作成します。 有効期間およびその他のオプションを指定できません。

• OutFileList は、変更された証明書または CRL 出力ファイルのコンマ区切りリストです。 ファイルの数は infilelist と一致する必要があります。

• StartDate+dd:hh は、証明書または CRL ファイルの新しい有効期間です。

  • 省略可能な日付と
  • オプションの日数と時間の有効期間 複数のフィールドを使用する場合は、(+) または (-) 区切り記号を使用します。 now[+dd:hh]を使用して、現在の時刻から開始します。 now-dd:hh+dd:hhを使用して、現在の時刻と固定の有効期間からの固定オフセットから開始します。 有効期限を設定しない場合は、 never を使用します (CRL の場合のみ)。

• SerialNumberList は、追加または削除するファイルのカンマ区切りのシリアル番号リストです。

• ObjectIdList は、削除するファイルのカンマ区切り拡張子 ObjectId リストです。

• @ExtensionFile は、更新または削除する拡張機能を含む INF ファイルです。 For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm は、ハッシュアルゴリズムの名前です。 これは、前に # 記号が付いたテキストである必要があります。

• AlternateSignatureAlgorithm は、代替署名アルゴリズム指定子です。

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• 負符号 (-) を使用すると、シリアル番号と拡張機能が削除されます。
• プラス記号 (+) を使用すると、CRL にシリアル番号が追加されます。
• リストを使用して、シリアル番号と ObjectId の両方を CRL から同時に削除できます。
• AlternateSignatureAlgorithm の前にマイナス記号を使用すると、従来の署名形式を使用できます。
• プラス記号を使用すると、代替署名形式を使用できます。
• AlternateSignatureAlgorithm を指定しない場合は、証明書または CRL の署名形式が使用されます。

-vroot

Web 仮想ルートとファイル共有を作成または削除します。

certutil [options] -vroot [delete]

-vocsproot

OCSP Web プロキシの Web 仮想ルートを作成または削除します。

certutil [options] -vocsproot [delete]

-addEnrollmentServer

指定した証明機関に必要に応じて、登録サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer では、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。

  • Kerberos は Kerberos SSL 資格情報を使用します。
  • UserName は、 SSL 資格情報に名前付きアカウントを使用します。
  • ClientCertificate は 、X.509 証明書 SSL 資格情報を使用します。

• Modifiers:

  • AllowRenewalsOnly では、URL を介して認証局への更新要求の送信のみが許可されます。
  • AllowKeyBasedRenewal を使用すると、Active Directory でアカウントが関連付けられていない証明書を使用できます。 これは、 ClientCertificate モードと AllowRenewalsOnly モードで使用する場合に適用されます。

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

指定された証明機関に必要な場合は、登録サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer では、証明書登録サーバーへのクライアント接続に次のような認証方法を使用する必要があります。
  • Kerberos は Kerberos SSL 資格情報を使用します。
  • UserName は、 SSL 資格情報に名前付きアカウントを使用します。
  • ClientCertificate は 、X.509 証明書 SSL 資格情報を使用します。

Options:

[-config Machine\CAName]

-addPolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを追加します。 このコマンドでは、バイナリやパッケージはインストールされません。

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer では、証明書ポリシーサーバーへのクライアント接続に次のような認証方法を使用する必要があります。
  • Kerberos は Kerberos SSL 資格情報を使用します。
  • UserName は、 SSL 資格情報に名前付きアカウントを使用します。
  • ClientCertificate は 、X.509 証明書 SSL 資格情報を使用します。
• KeyBasedRenewal を使用すると、keybasedrenewal テンプレートを含むクライアントに返されるポリシーを使用できます。 このオプションは 、UserName および ClientCertificate 認証にのみ適用されます。

-deletePolicyServer

必要に応じて、ポリシー サーバー アプリケーションとアプリケーション プールを削除します。 このコマンドでは、バイナリやパッケージは削除されません。

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer では、証明書ポリシー サーバーへのクライアント接続に次のような認証方法を使用する必要があります。
  • Kerberos は Kerberos SSL 資格情報を使用します。
  • UserName は、 SSL 資格情報に名前付きアカウントを使用します。
  • ClientCertificate は 、X.509 証明書 SSL 資格情報を使用します。
• KeyBasedRenewal では 、KeyBasedRenewal ポリシーサーバーを使用できます。

-Class

COM レジストリ情報を表示します。

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

証明書で0x7f長さのエンコードを確認します。

certutil [options] -7f CertFile

-oid

オブジェクト識別子を表示するか、表示名を設定します。

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId は、表示または表示名に追加する ID です。
• GroupId は、ObjectId が列挙する GroupID 番号 (10 進数) です。
• AlgId は、objectID が検索する 16 進数 ID です。
• AlgorithmName は、objectID が検索するアルゴリズム名です。
• DisplayName は 、DS に格納する名前を表示します。
• [削除] を選択すると 、表示名が削除されます。
• LanguageId は言語 ID 値です (既定値は現在の 1033)。
• タイプ は、作成するDSオブジェクトのタイプです。
  • 1 - テンプレート (既定)
  • 2 - 発行ポリシー
  • 3 - アプリケーション ポリシー
• -f は DS オブジェクトを作成します。

Options:

[-f]

-error

エラー コードに関連付けられているメッセージ テキストを表示します。

certutil [options] -error ErrorCode

-getsmtpinfo

簡易メール転送プロトコル (SMTP) 情報を取得します。

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 情報を設定します。

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

レジストリ値を表示します。

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca は、認証局のレジストリ キーを使用します。
• restore は、認証局の復元レジストリキーを使用します。
• ポリシー は、ポリシーモジュールのレジストリキーを使用します。
• exit は、最初の exit モジュールのレジストリー・キーを使用します。
• テンプレート はテンプレート レジストリ キーを使用します (ユーザー テンプレートには -user を使用します)。
• 登録 では、登録レジストリ キーが使用されます (ユーザー コンテキストには -user を使用します)。
• チェーン は、チェーン構成レジストリキーを使用します。
• PolicyServer は 、ポリシー サーバーのレジストリ キーを使用します。
• ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
• RegistryValueName は 、レジストリ値名を使用します (一致のプレフィックスとして Name* を使用します)。
• value は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。
• Registry aliases:
  • Config
  • CA
  • ポリシー - PolicyModules
  • 終了 - ExitModules
  • 復元 - RestoreInProgress
  • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - ソフトウェア\Microsoft\暗号化\MSCEP
  • チェーン - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • crypt32 - システム\CurrentControlSet\Services\crypt32
  • NGC - システム\CurrentControlSet\Control\暗号化\NGC
  • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • パスポート - Software\Policies\Microsoft\PassportForWork
  • MDM - ソフトウェア\Microsoft\ポリシー\PassportForWork

-setreg

レジストリ値を設定します。

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca は、認証局のレジストリ キーを使用します。
• restore は、認証局の復元レジストリキーを使用します。
• ポリシー は、ポリシーモジュールのレジストリキーを使用します。
• exit は、最初の exit モジュールのレジストリー・キーを使用します。
• テンプレート はテンプレート レジストリ キーを使用します (ユーザー テンプレートには -user を使用します)。
• 登録 では、登録レジストリ キーが使用されます (ユーザー コンテキストには -user を使用します)。
• チェーン は、チェーン構成レジストリキーを使用します。
• PolicyServer は 、ポリシー サーバーのレジストリ キーを使用します。
• ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
• RegistryValueName は 、レジストリ値名を使用します (一致のプレフィックスとして Name* を使用します)。
• Value は 、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。

-delreg

レジストリ値を削除します。

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca は、認証局のレジストリ キーを使用します。
• restore は、認証局の復元レジストリキーを使用します。
• ポリシー は、ポリシーモジュールのレジストリキーを使用します。
• exit は、最初の exit モジュールのレジストリー・キーを使用します。
• テンプレート はテンプレート レジストリ キーを使用します (ユーザー テンプレートには -user を使用します)。
• 登録 では、登録レジストリ キーが使用されます (ユーザー コンテキストには -user を使用します)。
• チェーン は、チェーン構成レジストリキーを使用します。
• PolicyServer は 、ポリシー サーバーのレジストリ キーを使用します。
• ProgId は、ポリシーまたは終了モジュールの ProgID (レジストリ サブキー名) を使用します。
• RegistryValueName は 、レジストリ値名を使用します (一致のプレフィックスとして Name* を使用します)。
• [値] は、新しい数値、文字列、または日付のレジストリ値またはファイル名を使用します。 数値が + または -で始まる場合、新しい値で指定されたビットは、既存のレジストリ値で設定またはクリアされます。

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 文字列値が + または -で始まり、既存の値が REG_MULTI_SZ 値である場合、その文字列は既存のレジストリ値に追加されるか、既存のレジストリ値から削除されます。 REG_MULTI_SZ値を強制的に作成するには、文字列値の末尾に\nを追加します。
• 値が \@ で始まる場合、残りの値はバイナリ値の 16 進テキスト表現を含むファイルの名前です。
• 有効なファイルを参照していない場合は、代わりに省略可能な日付と負の日数と時間である [Date][+|-][dd:hh] として解析されます。
• 両方を指定する場合は、正符号 (+) または負符号 (-) 区切り記号を使用します。 現在の時刻を基準とする日付には、 now+dd:hh を使用します。
• REG_QWORD値を作成するには、サフィックスとして i64 を使用します。
• キャッシュされた CRL を効果的にフラッシュするには、 chain\chaincacheresyncfiletime @now を使用します。
• Registry aliases:
  • Config
  • CA
  • ポリシー - PolicyModules
  • 終了 - ExitModules
  • 復元 - RestoreInProgress
  • テンプレート - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 登録 - Software\Microsoft\Cryptography\AutoEnrollment (Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - ソフトウェア\Microsoft\暗号化\MSCEP
  • チェーン - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers (Software\Policies\Microsoft\Cryptography\PolicyServers)
  • crypt32 - システム\CurrentControlSet\Services\crypt32
  • NGC - システム\CurrentControlSet\Control\暗号化\NGC
  • 自動更新 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • パスポート - Software\Policies\Microsoft\PassportForWork
  • MDM - ソフトウェア\Microsoft\ポリシー\PassportForWork

-importKMS

ユーザー キーと証明書をサーバー データベースにインポートして、キーのアーカイブを行います。

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile は、アーカイブされるユーザーの秘密キーと証明書を含むデータ ファイルです。 このファイルは次のようになります。
  • Exchange Key Management Server (KMS) エクスポート ファイル。
  • PFX ファイル。
• CertId は、KMS エクスポート ファイルの復号化証明書一致トークンです。 詳細については、この記事の -store パラメーターを参照してください。
• -f は、証明機関によって発行されていない証明書をインポートします。

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

証明書ファイルをデータベースにインポートします。

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow は、同じキーに対する保留中の要求の代わりに証明書をインポートします。
• -f は、証明機関によって発行されていない証明書をインポートします。

Options:

[-f] [-config Machine\CAName]

Remarks

証明機関は、 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGNを実行して外部証明書をサポートするように構成する必要がある場合もあります。

-GetKey

アーカイブされた秘密キー回復 BLOB を取得し、回復スクリプトを生成するか、アーカイブされたキーを回復します。

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• script は、キーを取得して回復するスクリプトを生成します (一致する回復候補が複数見つかった場合、または出力ファイルが指定されていない場合の既定の動作)。
• retrieve は、1 つ以上のキー回復 BLOB を取得します (一致する回復候補が 1 つ見つかり、出力ファイルが指定されている場合の既定の動作)。 このオプションを使用すると、すべての拡張機能が切り捨てられ、各キー回復 BLOB の証明書固有の文字列と .rec 拡張機能が追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
• recover は、秘密キーを1つのステップで取得および回復します(Key Recovery Agent証明書と秘密キーが必要です)。 このオプションを使用すると、拡張機能が切り捨てられ、 .p12 拡張機能が追加されます。 各ファイルには、回復された証明書チェーンと関連する秘密キーが含まれており、PFX ファイルとして格納されます。
• SearchToken は、回復するキーと証明書を選択します。
  • 証明書の共通名
  • 証明書のシリアル番号
  • 証明書 SHA-1 ハッシュ (拇印)
  • 証明書 KeyId SHA-1 ハッシュ (サブジェクト キー識別子)
  • リクエスター名 (___domain\user)
  • UPN (user@___domain)
• RecoveryBlobOutFile は、証明書チェーンと関連付けられた秘密キーを含むファイルを出力し、1 つ以上のキー回復エージェント証明書に暗号化されたままです。
• OutputScriptFile は、秘密鍵を取得および回復するためのバッチ スクリプトを含むファイルを出力します。
• OutputFileBaseName は、ファイルベース名を出力します。

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• 取得の場合、すべての拡張機能が切り捨てられ、証明書固有の文字列と.rec拡張機能がキー回復 BLOB ごとに追加されます。 各ファイルには証明書チェーンと関連付けられた秘密キーが含まれていますが、1 つ以上の Key Recovery Agent 証明書に暗号化されます。
• リカバリの場合、すべての拡張子が切り捨てられ、.p12拡張子が追加されます。 回復された証明書チェーンと関連付けられた秘密キーが含まれており、PFX ファイルとして格納されます。

-RecoverKey

アーカイブされた秘密キーを回復します。

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX ファイルをマージします。

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList は、PFX 入力ファイルのコンマ区切りリストです。
• PFXOutFile は、PFX 出力ファイルの名前です。
• 修飾子は 、次の 1 つ以上のコンマ区切りリストです。
  • ExtendedProperties には、すべての拡張プロパティが含まれます。
  • NoEncryptCert は、証明書を暗号化しないことを指定します。
  • EncryptCert は、証明書を暗号化するように指定します。

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• コマンド ラインで指定するパスワードは、コンマ区切りのパスワード リストである必要があります。
• 複数のパスワードが指定されている場合は、出力ファイルに最後のパスワードが使用されます。 パスワードが 1 つだけ指定されている場合、または最後のパスワードが *場合、ユーザーは出力ファイルのパスワードの入力を求められます。

-add-chain

証明書チェーンを追加します。

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

事前証明書チェーンを追加します。

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

署名付きツリーヘッドを取得します。

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

署名付きツリーヘッドの変更を取得します。

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

タイムスタンプ サーバーからハッシュの証明を取得します。

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

イベント ログからエントリを取得します。

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

証明書ストアからルート証明書を取得します。

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

イベント ログ エントリとその暗号化証明を取得します。

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

証明書の透過性ログに対して証明書を検証します。

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

パラメーターの一覧を表示します。

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? パラメーターの一覧が表示されます
• -<name_of_parameter> -? は、指定されたパラメーターのヘルプ コンテンツを表示します。
• -? -v には、パラメーターとオプションの詳細な一覧が表示されます。

オプション

このセクションでは、コマンドに基づいて、指定できるすべてのオプションを定義します。 各パラメーターには、使用できるオプションに関する情報が含まれています。

ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512。

Related links

このコマンドの使用方法の他の例については、次の記事を参照してください。

• Active Directory 証明書サービス (AD CS)
• 証明書を管理するための Certutil タスク
• Windows で信頼されたルートと許可されていない証明書を構成する