certutil

Certutil.exe 인증서 서비스의 일부로 설치된 명령줄 프로그램입니다. certutil.exe 사용하여 CA(인증 기관) 구성 정보를 표시하고, 인증서 서비스를 구성하고, CA 구성 요소를 백업 및 복원할 수 있습니다. 또한 이 프로그램은 인증서, 키 쌍 및 인증서 체인을 확인합니다.

다른 매개 변수 없이 인증 기관에서 실행되는 경우 certutil 현재 인증 기관 구성이 표시됩니다. 다른 매개 변수 없이 비인증 기관에서 실행되는 경우 certutil 명령은 기본적으로 명령을 실행 certutil -dump 합니다. certutil의 모든 버전이 이 문서에서 설명하는 모든 매개 변수 및 옵션을 제공하는 것은 아닙니다. certutil 버전을 실행 certutil -? 하거나 certutil <parameter> -?실행하여 제공하는 선택 항목을 볼 수 있습니다.

Parameters

-dump

구성 정보 또는 파일을 덤프합니다.

certutil [options] [-dump]
certutil [options] [-dump] File

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-t Timeout]

-dumpPFX

PFX 구조를 덤프합니다.

certutil [options] [-dumpPFX] File

Options:

[-f] [-Silent] [-split] [-p Password] [-csp Provider]

-asn

ASN.1(추상 구문 표기법) 구문을 사용하여 파일의 내용을 구문 분석하고 표시합니다. 파일 형식에는 . CER, . DER 및 PKCS #7 형식의 파일입니다.

certutil [options] -asn File [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

-decodehex

16진수로 인코딩된 파일을 디코딩합니다.

certutil [options] -decodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 디코딩 형식

Options:

[-f]

-encodehex

파일을 16진수로 인코딩합니다.

certutil [options] -encodehex InFile OutFile [type]

• [type]: 숫자 CRYPT_STRING_* 인코딩 형식

Options:

[-f] [-nocr] [-nocrlf] [-UnicodeText]

-decode

Base64로 인코딩된 파일을 디코딩합니다.

certutil [options] -decode InFile OutFile

Options:

[-f]

-encode

파일을 Base64로 인코딩합니다.

certutil [options] -encode InFile OutFile

Options:

[-f] [-unicodetext]

-deny

보류 중인 요청을 거부합니다.

certutil [options] -deny RequestId

Options:

[-config Machine\CAName]

-resubmit

보류 중인 요청을 다시 제출합니다.

certutil [options] -resubmit RequestId

Options:

[-config Machine\CAName]

-setattributes

보류 중인 인증서 요청에 대한 특성을 설정합니다.

certutil [options] -setattributes RequestId AttributeString

Where:

• RequestId is the numeric Request ID for the pending request.
• AttributeString is the request attribute name and value pairs.

Options:

[-config Machine\CAName]

Remarks

• 이름과 값은 콜론으로 구분해야 하지만 여러 이름과 값 쌍은 줄 바꿈으로 구분해야 합니다. 예: CertificateTemplate:User\nEMail:User@Domain.com 시퀀스가 \n 줄 바꿈 구분 기호로 변환되는 위치입니다.

-setextension

보류 중인 인증서 요청에 대한 확장을 설정합니다.

certutil [options] -setextension RequestId ExtensionName Flags {Long | Date | String | @InFile}

Where:

• requestID is the numeric Request ID for the pending request.
• ExtensionName is the ObjectId string for the extension.
• Flags sets the priority of the extension. 0는 확장을 위험으로 설정하고, 확장을 사용하지 않도록 설정하고, 12 둘 다 수행하는 것이 좋습니다3.

Options:

[-config Machine\CAName]

Remarks

• If the last parameter is numeric, it's taken as a Long.
• If the last parameter can be parsed as a date, it's taken as a Date.
• 마지막 매개 변수가 로 시작하는 \@경우 토큰의 나머지 부분은 이진 데이터 또는 ASCII 텍스트 16 진수 덤프가있는 파일 명으로 사용됩니다.
• 마지막 매개 변수가 다른 매개 변수인 경우 문자열로 가져옵니다.

-revoke

인증서를 해지합니다.

certutil [options] -revoke SerialNumber [Reason]

Where:

• SerialNumber is a comma-separated list of certificate serial numbers to revoke.
• Reason is the numeric or symbolic representation of the revocation reason, including:
  • 0. CRL_REASON_UNSPECIFIED - Unspecified (default)
  • 1. CRL_REASON_KEY_COMPROMISE - Key compromise
  • 2. CRL_REASON_CA_COMPROMISE - Certificate Authority compromise
  • 3. CRL_REASON_AFFILIATION_CHANGED - Affiliation changed
  • 4. CRL_REASON_SUPERSEDED - Superseded
  • 5. CRL_REASON_CESSATION_OF_OPERATION - Cessation of operation
  • 6. CRL_REASON_CERTIFICATE_HOLD - Certificate hold
  • 8. CRL_REASON_REMOVE_FROM_CRL - Remove from CRL
  • 9: CRL_REASON_PRIVILEGE_WITHDRAWN - Privilege withdrawn
  • 10: CRL_REASON_AA_COMPROMISE - AA compromise
  • -1. Unrevoke - Unrevokes

Options:

[-config Machine\CAName]

-isvalid

현재 인증서의 처리를 표시합니다.

certutil [options] -isvalid SerialNumber | CertHash

Options:

[-config Machine\CAName]

-getconfig

기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig

Options:

[-idispatch] [-config Machine\CAName]

-getconfig2

ICertGetConfig를 통해 기본 구성 문자열을 가져옵니다.

certutil [options] -getconfig2

Options:

[-idispatch]

-getconfig3

ICertConfig를 통해 구성을 가져옵니다.

certutil [options] -getconfig3

Options:

[-idispatch]

-ping

Active Directory 인증서 서비스 요청 인터페이스에 연결하려고 시도합니다.

certutil [options] -ping [MaxSecondsToWait | CAMachineList]

Where:

• CAMachineList is a comma-separated list of CA machine names. 단일 컴퓨터의 경우 종료 쉼표 사용 이 옵션은 각 CA 머신의 사이트 비용도 표시합니다.

Options:

[-config Machine\CAName] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-pingadmin

Active Directory 인증서 서비스 관리자 인터페이스에 연결하려고 시도합니다.

certutil [options] -pingadmin

Options:

[-config Machine\CAName]

-CAInfo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Where:

• InfoName indicates the CA property to display, based on the following infoname argument syntax:
  • * - 모든 속성을 표시합니다.
  • ads - Advanced Server
  • aia [Index] - AIA URLs
  • cdp [Index] - CDP URLs
  • cert [Index] - CA cert
  • certchain [Index] - CA cert chain
  • certcount - CA cert count
  • certcrlchain [Index] - CA cert chain with CRLs
  • certstate [Index] - CA cert
  • certstatuscode [Index] - CA cert verify status
  • certversion [Index] - CA cert version
  • CRL [Index] - Base CRL
  • crlstate [Index] - CRL
  • crlstatus [Index] - CRL Publish Status
  • cross- [Index] - Backward cross cert
  • cross+ [Index] - Forward cross cert
  • crossstate- [Index] - Backward cross cert
  • crossstate+ [Index] - Forward cross cert
  • deltacrl [Index] - Delta CRL
  • deltacrlstatus [Index] - Delta CRL Publish Status
  • dns - DNS Name
  • dsname - Sanitized CA short name (DS name)
  • error1 ErrorCode - Error message text
  • error2 ErrorCode - Error message text and error code
  • exit [Index] - Exit module description
  • exitcount - Exit module count
  • file - File version
  • info - CA info
  • kra [Index] - KRA cert
  • kracount - KRA cert count
  • krastate [Index] - KRA cert
  • kraused - KRA cert used count
  • localename - CA locale name
  • name - CA name
  • ocsp [Index] - OCSP URLs
  • parent - Parent CA
  • policy - Policy module description
  • product - Product version
  • propidmax - Maximum CA PropId
  • role - Role Separation
  • sanitizedname - Sanitized CA name
  • sharedfolder - Shared folder
  • subjecttemplateoids - Subject Template OIDs
  • templates - Templates
  • type - CA type
  • xchg [Index] - CA exchange cert
  • xchgchain [Index] - CA exchange cert chain
  • xchgcount - CA exchange cert count
  • xchgcrlchain [Index] - CA exchange cert chain with CRLs
• index is the optional zero-based property index.
• errorcode is the numeric error code.

Options:

[-f] [-split] [-config Machine\CAName]

-CAPropInfo

CA 속성 형식 정보를 표시합니다.

certutil [options] -CAInfo [InfoName [Index | ErrorCode]]

Options:

[-idispatch] [-v1] [-admin] [-config Machine\CAName]

-ca.cert

인증 기관의 인증서를 검색합니다.

certutil [options] -ca.cert OutCACertFile [Index]

Where:

• OutCACertFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-ca.chain

인증 기관의 인증서 체인을 검색합니다.

certutil [options] -ca.chain OutCACertChainFile [Index]

Where:

• OutCACertChainFile is the output file.
• Index is the CA certificate renewal index (defaults to most recent).

Options:

[-f] [-split] [-config Machine\CAName]

-GetCRL

CRL(인증서 해지 목록)을 가져옵니다.

certutil [options] -GetCRL OutFile [Index] [delta]

Where:

• Index is the CRL index or key index (defaults to CRL for most recent key).
• delta is the delta CRL (default is base CRL).

Options:

[-f] [-split] [-config Machine\CAName]

-CRL

새 CRL(인증서 해지 목록) 또는 델타 CRL을 게시합니다.

certutil [options] -CRL [dd:hh | republish] [delta]

Where:

• dd:hh is the new CRL validity period in days and hours.
• republish republishes the most recent CRLs.
• delta publishes the delta CRLs only (default is base and delta CRLs).

Options:

[-split] [-config Machine\CAName]

-shutdown

Active Directory 인증서 서비스를 종료합니다.

certutil [options] -shutdown

Options:

[-config Machine\CAName]

-installCert

인증 기관 인증서를 설치합니다.

certutil [options] -installCert [CACertFile]

Options:

[-f] [-silent] [-config Machine\CAName]

-renewCert

인증 기관 인증서를 갱신합니다.

certutil [options] -renewCert [ReuseKeys] [Machine\ParentCAName]

Options:

[-f] [-silent] [-config Machine\CAName]

• 미해결 갱신 요청을 무시하고 새 요청을 생성하는 데 사용합니다 -f .

-schema

인증서에 대한 스키마를 덤프합니다.

certutil [options] -schema [Ext | Attrib | CRL]

Where:

• 이 명령은 기본적으로 요청 및 인증서 테이블로 설정됩니다.
• Ext is the extension table.
• Attribute is the attribute table.
• CRL is the CRL table.

Options:

[-split] [-config Machine\CAName]

-view

인증서 뷰를 덤프합니다.

certutil [options] -view [Queue | Log | LogFail | Revoked | Ext | Attrib | CRL] [csv]

Where:

• Queue dumps a specific request queue.
• Log dumps the issued or revoked certificates, plus any failed requests.
• LogFail dumps the failed requests.
• Revoked dumps the revoked certificates.
• Ext dumps the extension table.
• Attrib dumps the attribute table.
• CRL dumps the CRL table.
• csv provides the output using comma-separated values.

Options:

[-silent] [-split] [-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

Remarks

• To display the StatusCode column for all entries, type -out StatusCode
• 마지막 항목의 모든 열을 표시하려면 다음을 입력합니다. -restrict RequestId==$
• To display the RequestId and Disposition for three requests, type: -restrict requestID>=37,requestID<40 -out requestID,disposition
• To display Row IDs Row IDs and CRL numbers for all Base CRLs, type: -restrict crlminbase=0 -out crlrowID,crlnumber crl
• 기본 CRL 번호 3을 표시하려면 다음을 입력합니다. -v -restrict crlminbase=0,crlnumber=3 -out crlrawcrl crl
• 전체 CRL 테이블을 표시하려면 다음을 입력합니다. CRL
• 날짜 제한에 사용합니다 Date[+|-dd:hh] .
• 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 템플릿에는 인증서 사용 방법을 설명하는 OID(개체 식별자)인 EKU(확장 키 사용)가 포함되어 있습니다. 인증서에는 항상 템플릿 일반 이름 또는 표시 이름이 포함되지는 않지만 항상 템플릿 EKU가 포함됩니다. Active Directory에서 특정 인증서 템플릿에 대한 EKU를 추출한 다음 해당 확장에 따라 보기를 제한할 수 있습니다.

-db

원시 데이터베이스를 덤프합니다.

certutil [options] -db

Options:

[-config Machine\CAName] [-restrict RestrictionList] [-out ColumnList]

-deleterow

서버 데이터베이스에서 행을 삭제합니다.

certutil [options] -deleterow RowId | Date [Request | Cert | Ext | Attrib | CRL]

Where:

• Request deletes the failed and pending requests, based on submission date.
• Cert deletes the expired and revoked certificates, based on expiration date.
• Ext deletes the extension table.
• Attrib deletes the attribute table.
• CRL deletes the CRL table.

Options:

[-f] [-config Machine\CAName]

Examples

• 2001년 1월 22일까지 제출된 실패한 요청 및 보류 중인 요청을 삭제하려면 다음을 입력합니다. 1/22/2001 request
• 2001년 1월 22일까지 만료된 모든 인증서를 삭제하려면 다음을 입력합니다. 1/22/2001 cert
• RequestID 37에 대한 인증서 행, 특성 및 확장을 삭제하려면 다음을 입력합니다. 37
• 2001년 1월 22일까지 만료된 CRL을 삭제하려면 다음을 입력합니다. 1/22/2001 crl

-backup

Active Directory 인증서 서비스를 백업합니다.

certutil [options] -backup BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up data.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList]

-backupDB

Active Directory 인증서 서비스 데이터베이스를 백업합니다.

certutil [options] -backupdb BackupDirectory [Incremental] [KeepLog]

Where:

• BackupDirectory is the directory to store the backed up database files.
• Incremental performs an incremental backup only (default is full backup).
• KeepLog preserves the database log files (default is to truncate log files).

Options:

[-f] [-config Machine\CAName]

-backupkey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 백업합니다.

certutil [options] -backupkey BackupDirectory

Where:

• BackupDirectory is the directory to store the backed up PFX file.

Options:

[-f] [-config Machine\CAName] [-p password] [-ProtectTo SAMNameAndSIDList] [-t Timeout]

-restore

Active Directory 인증서 서비스를 복원합니다.

certutil [options] -restore BackupDirectory

Where:

• BackupDirectory is the directory containing the data to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-restoredb

Active Directory 인증서 서비스 데이터베이스를 복원합니다.

certutil [options] -restoredb BackupDirectory

Where:

• BackupDirectory is the directory containing the database files to be restored.

Options:

[-f] [-config Machine\CAName]

-restorekey

Active Directory 인증서 서비스 인증서 및 프라이빗 키를 복원합니다.

certutil [options] -restorekey BackupDirectory | PFXFile

Where:

• BackupDirectory is the directory containing PFX file to be restored.
• PFXFile is the PFX file to be restored.

Options:

[-f] [-config Machine\CAName] [-p password]

-exportPFX

인증서 및 프라이빗 키를 내보냅니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -exportPFX [CertificateStoreName] CertId PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• CertId is the certificate or CRL match token.
• PFXFile is the PFX file to be exported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • CryptoAlgorithm= specifies the cryptographic algorithm to use for encrypting the PFX file, such as TripleDES-Sha1 or Aes256-Sha256.
  • EncryptCert - Encrypts the private key associated with the certificate with a password.
  • ExportParameters -Exports the private key parameters in addition to the certificate and private key.
  • ExtendedProperties - Includes all extended properties associated with the certificate in the output file.
  • NoEncryptCert - Exports the private key without encrypting it.
  • NoChain - Doesn't import the certificate chain.
  • NoRoot - Doesn't import the root certificate.

-importPFX

인증서 및 프라이빗 키를 가져옵니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -importPFX [CertificateStoreName] PFXFile [Modifiers]

Where:

• CertificateStoreName is the name of the certificate store.
• PFXFile is the PFX file to be imported.
• Modifiers are the comma-separated list, which can include one or more of the following:
  • AT_KEYEXCHANGE - Changes the keyspec to key exchange.
  • AT_SIGNATURE - Changes the keyspec to signature.
  • ExportEncrypted - Exports the private key associated with the certificate with password encryption.
  • FriendlyName= - Specifies a friendly name for the imported certificate.
  • KeyDescription= - Specifies a description for the private key associated with the imported certificate.
  • KeyFriendlyName= - Specifies a friendly name for the private key associated with the imported certificate.
  • NoCert - Doesn't import the certificate.
  • NoChain - Doesn't import the certificate chain.
  • NoExport - Makes the private key non-exportable.
  • NoProtect - Doesn't password protect keys by using a password.
  • NoRoot - Doesn't import the root certificate.
  • Pkcs8 - Uses PKCS8 format for the private key in the PFX file.
  • Protect - Protects keys by using a password.
  • ProtectHigh - Specifies that a high-security password must be associated with the private key.
  • VSM - Stores the private key associated with the imported certificate in the Virtual Smart Card (VSC) container.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-p Password] [-csp Provider]

Remarks

• 기본값은 개인용 컴퓨터 저장소입니다.

-dynamicfilelist

동적 파일 목록을 표시합니다.

certutil [options] -dynamicfilelist

Options:

[-config Machine\CAName]

-databaselocations

데이터베이스 위치를 표시합니다.

certutil [options] -databaselocations

Options:

[-config Machine\CAName]

-hashfile

파일을 통해 암호화 해시를 생성하고 표시합니다.

certutil [options] -hashfile InFile [HashAlgorithm]

-store

인증서 저장소를 덤프합니다.

certutil [options] -store [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. 이 ID는 다음과 같습니다.

  • Serial number
  • SHA-1 certificate
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • Public key
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • E-mail address
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다.

이러한 식별자 중 상당수는 여러 일치 항목이 발생할 수 있습니다.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-enumstore

인증서 저장소를 열거합니다.

certutil [options] -enumstore [\\MachineName]

Where:

• MachineName is the remote machine name.

Options:

[-enterprise] [-user] [-grouppolicy]

-addstore

저장소에 인증서를 추가합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -addstore CertificateStoreName InFile

Where:

• CertificateStoreName is the certificate store name.
• InFile is the certificate or CRL file you want to add to the store.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

-delstore

저장소에서 인증서를 삭제합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -delstore CertificateStoreName certID

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-dc DCName]

-verifystore

저장소에서 인증서를 확인합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -verifystore CertificateStoreName [CertId]

Where:

• CertificateStoreName is the certificate store name.
• CertId is the certificate or CRL match token.

Options:

[-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-dc DCName] [-t Timeout]

-repairstore

키 연결을 복구하거나 인증서 속성 또는 키 보안 설명자를 업데이트합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -repairstore CertificateStoreName CertIdList [PropertyInfFile | SDDLSecurityDescriptor]

Where:

• CertificateStoreName is the certificate store name.

• CertIdList is the comma-separated list of certificate or CRL match tokens. 자세한 내용은 이 문서의 CertId 설명을 참조 -store 하세요.

• PropertyInfFile is the INF file containing external properties, including:

  [Properties]
      19 = Empty ; Add archived property, OR:
      19 =       ; Remove archived property
  
      11 = {text}Friendly Name ; Add friendly name property
  
      127 = {hex} ; Add custom hexadecimal property
          _continue_ = 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f
          _continue_ = 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  
      2 = {text} ; Add Key Provider Information property
        _continue_ = Container=Container Name&
        _continue_ = Provider=Microsoft Strong Cryptographic Provider&
        _continue_ = ProviderType=1&
        _continue_ = Flags=0&
        _continue_ = KeySpec=2
  
      9 = {text} ; Add Enhanced Key Usage property
        _continue_ = 1.3.6.1.5.5.7.3.2,
        _continue_ = 1.3.6.1.5.5.7.3.1,
  

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-Silent] [-split] [-csp Provider]

-viewstore

인증서 저장소를 덤프합니다. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.

certutil [options] -viewstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. 다음이 될 수 있습니다.

  • Serial number
  • SHA-1 certificate
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • Public key
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • E-mail address
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다.

이러한 항목 중 상당수는 여러 일치 항목이 발생할 수 있습니다.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-viewdelstore

저장소에서 인증서를 삭제합니다.

certutil [options] -viewdelstore [CertificateStoreName [CertId [OutputFile]]]

Where:

• CertificateStoreName is the certificate store name. For example:

  • My, CA (default), Root,
  • ldap:///CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?one?objectClass=certificationAuthority (View Root Certificates)
  • ldap:///CN=CAName,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Modify Root Certificates)
  • ldap:///CN=CAName,CN=MachineName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint (View CRLs)
  • ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=cpandl,DC=com?cACertificate?base?objectClass=certificationAuthority (Enterprise CA Certificates)
  • ldap: (AD computer object certificates)
  • -user ldap: (AD user object certificates)

• CertId is the certificate or CRL match token. 다음이 될 수 있습니다.

  • Serial number
  • SHA-1 certificate
  • CRL, CTL 또는 공개 키 해시
  • 숫자 인증서 인덱스(0, 1 등)
  • 숫자 CRL 인덱스(.0, .1 등)
  • 숫자 CTL 인덱스(.. 0, .. 1 등)
  • Public key
  • 서명 또는 확장 ObjectId
  • 인증서 주체 일반 이름
  • E-mail address
  • UPN 또는 DNS 이름
  • 키 컨테이너 이름 또는 CSP 이름
  • 템플릿 이름 또는 ObjectId
  • EKU 또는 애플리케이션 정책 ObjectId
  • CRL 발급자 일반 이름입니다.

이러한 항목 중 상당수는 여러 일치 항목이 발생할 수 있습니다.

• OutputFile is the file used to save the matching certificates.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-dc DCName]

• 이 -user 옵션은 컴퓨터 저장소 대신 사용자 저장소에 액세스합니다.
• 이 -enterprise 옵션은 컴퓨터 엔터프라이즈 저장소에 액세스합니다.
• 이 -service 옵션은 컴퓨터 서비스 저장소에 액세스합니다.
• 이 -grouppolicy 옵션은 컴퓨터 그룹 정책 저장소에 액세스합니다.

For example:

• -enterprise NTAuth
• -enterprise Root 37
• -user My 26e0aaaf000000000004
• CA .11

-UI

certutil 인터페이스를 호출합니다.

certutil [options] -UI File [import]

-TPMInfo

신뢰할 수 있는 플랫폼 모듈 정보를 표시합니다.

certutil [options] -TPMInfo

Options:

[-f] [-Silent] [-split]

-attest

인증서 요청 파일을 증명해야 되도록 지정합니다.

certutil [options] -attest RequestFile

Options:

[-user] [-Silent] [-split]

-getcert

선택 UI에서 인증서를 선택합니다.

certutil [options] [ObjectId | ERA | KRA [CommonName]]

Options:

[-Silent] [-split]

-ds

DS(디렉터리 서비스) DN(고유 이름)을 표시합니다.

certutil [options] -ds [CommonName]

Options:

[-f] [-user] [-split] [-dc DCName]

-dsDel

DS DN을 삭제합니다.

certutil [options] -dsDel [CommonName]

Options:

[-user] [-split] [-dc DCName]

-dsPublish

인증서 또는 CRL(인증서 해지 목록)을 Active Directory에 게시합니다.

certutil [options] -dspublish CertFile [NTAuthCA | RootCA | SubCA | CrossCA | KRA | User | Machine]
certutil [options] -dspublish CRLfile [DSCDPContainer [DSCDPCN]]

Where:

• CertFile is the name of the certificate file to publish.
• NTAuthCA publishes the certificate to the DS Enterprise store.
• RootCA publishes the certificate to the DS Trusted Root store.
• SubCA publishes the CA certificate to the DS CA object.
• CrossCA publishes the cross-certificate to the DS CA object.
• KRA publishes the certificate to the DS Key Recovery Agent object.
• User publishes the certificate to the User DS object.
• Machine publishes the certificate to the Machine DS object.
• CRLfile is the name of the CRL file to publish.
• DSCDPContainer is the DS CDP container CN, usually the CA machine name.
• DSCDPCN is the DS CDP object CN based on the sanitized CA short name and key index.

Options:

[-f] [-user] [-dc DCName]

• 새 DS 개체를 만드는 데 사용합니다 -f .

-dsCert

DS 인증서를 표시합니다.

certutil [options] -dsCert [FullDSDN] | [CertId [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsCRL

DS CRL을 표시합니다.

certutil [options] -dsCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-idispatch] [-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsDeltaCRL

DS 델타 CRL을 표시합니다.

certutil [options] -dsDeltaCRL [FullDSDN] | [CRLIndex [OutFile]]

Options:

[-Enterprise] [-user] [-config Machine\CAName] [-dc DCName]

-dsTemplate

DS 템플릿 특성을 표시합니다.

certutil [options] -dsTemplate [Template]

Options:

[Silent] [-dc DCName]

-dsAddTemplate

DS 템플릿을 추가합니다.

certutil [options] -dsAddTemplate TemplateInfFile

Options:

[-dc DCName]

-ADTemplate

Active Directory 템플릿을 표시합니다.

certutil [options] -ADTemplate [Template]

Options:

[-f] [-user] [-ut] [-mt] [-dc DCName]

-Template

인증서 등록 정책 템플릿을 표시합니다.

Options:

certutil [options] -Template [Template]

Options:

[-f] [-user] [-Silent] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-TemplateCAs

인증서 템플릿에 대한 CA(인증 기관)를 표시합니다.

certutil [options] -TemplateCAs Template

Options:

[-f] [-user] [-dc DCName]

-CATemplates

인증 기관에 대한 템플릿을 표시합니다.

certutil [options] -CATemplates [Template]

Options:

[-f] [-user] [-ut] [-mt] [-config Machine\CAName] [-dc DCName]

-SetCATemplates

인증 기관에서 발급할 수 있는 인증서 템플릿을 설정합니다.

certutil [options] -SetCATemplates [+ | -] TemplateList

Where:

• 이 기호는 + CA의 사용 가능한 템플릿 목록에 인증서 템플릿을 추가합니다.
• 이 기호는 - CA의 사용 가능한 템플릿 목록에서 인증서 템플릿을 제거합니다.

-SetCASites

인증 기관 사이트 이름 설정, 확인 및 삭제를 포함하여 사이트 이름을 관리합니다.

certutil [options] -SetCASites [set] [SiteName]
certutil [options] -SetCASites verify [SiteName]
certutil [options] -SetCASites delete

Where:

• SiteName is allowed only when targeting a single Certificate Authority.

Options:

[-f] [-config Machine\CAName] [-dc DCName]

Remarks

• 이 -config 옵션은 단일 인증 기관을 대상으로 합니다(기본값은 모든 CA).
• The -f option can be used to override validation errors for the specified SiteName or to delete all CA site names.

-enrollmentServerURL

CA와 연결된 등록 서버 URL을 표시, 추가 또는 삭제합니다.

certutil [options] -enrollmentServerURL [URL AuthenticationType [Priority] [Modifiers]]
certutil [options] -enrollmentserverURL URL delete

Where:

• AuthenticationType specifies one of the following client authentication methods while adding a URL:
  • Kerberos - Use Kerberos SSL credentials.
  • UserName - Use a named account for SSL credentials.
  • ClientCertificate - Use X.509 Certificate SSL credentials.
  • Anonymous - Use anonymous SSL credentials.
• delete deletes the specified URL associated with the CA.
• Priority defaults to 1 if not specified when adding a URL.
• Modifiers is a comma-separated list, which includes one or more of the following:
  • AllowRenewalsOnly only renewal requests can be submitted to this CA via this URL.
  • AllowKeyBasedRenewal allows use of a certificate that has no associated account in the AD. This applies only with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName] [-dc DCName]

-ADCA

Active Directory 인증 기관을 표시합니다.

certutil [options] -ADCA [CAName]

Options:

[-f] [-split] [-dc DCName]

-CA

등록 정책 인증 기관을 표시합니다.

certutil [options] -CA [CAName | TemplateName]

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-Policy

등록 정책을 표시합니다.

certutil [options] -Policy

Options:

[-f] [-user] [-Silent] [-split] [-PolicyServer URLOrId] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-PolicyCache

등록 정책 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -PolicyCache [delete]

Where:

• delete deletes the policy server cache entries.
• -f deletes all cache entries

Options:

[-f] [-user] [-policyserver URLorID]

-CredStore

자격 증명 저장소 항목을 표시, 추가 또는 삭제합니다.

certutil [options] -CredStore [URL]
certutil [options] -CredStore URL add
certutil [options] -CredStore URL delete

Where:

• URL is the target URL. * 모든 항목을 일치하거나 https://machine* URL 접두사를 일치시킬 수도 있습니다.
• add adds a credential store entry. 또한 이 옵션을 사용하려면 SSL 자격 증명을 사용해야 합니다.
• delete deletes credential store entries.
• -f overwrites a single entry or deletes multiple entries.

Options:

[-f] [-user] [-Silent] [-Anonymous] [-Kerberos] [-ClientCertificate ClientCertId] [-UserName UserName] [-p Password]

-InstallDefaultTemplates

기본 인증서 템플릿을 설치합니다.

certutil [options] -InstallDefaultTemplates

Options:

[-dc DCName]

-URL

인증서 또는 CRL URL을 확인합니다.

certutil [options] -URL InFile | URL

Options:

[-f] [-split]

-URLCache

URL 캐시 항목을 표시하거나 삭제합니다.

certutil [options] -URLcache [URL | CRL | * [delete]]

Where:

• URL is the cached URL.
• CRL runs on all cached CRL URLs only.
• * 는 캐시된 모든 URL에서 작동합니다.
• delete deletes relevant URLs from the current user's local cache.
• -f forces fetching a specific URL and updating the cache.

Options:

[-f] [-split]

-pulse

자동 등록 이벤트 또는 NGC 작업을 펄스합니다.

certutil [options] -pulse [TaskName [SRKThumbprint]]

Where:

• TaskName is the task to trigger.
  • Pregen is the NGC Key pregen task.
  • AIKEnroll is the NGC AIK certificate enrollment task. (기본값은 자동 등록 이벤트)입니다.
• SRKThumbprint is the thumbprint of the Storage Root Key
• Modifiers:
  • Pregen
  • PregenDelay
  • AIKEnroll
  • CryptoPolicy
  • NgcPregenKey
  • DIMSRoam

Options:

[-user]

-MachineInfo

Active Directory 컴퓨터 개체에 대한 정보를 표시합니다.

certutil [options] -MachineInfo DomainName\MachineName$

-DCInfo

도메인 컨트롤러에 대한 정보를 표시합니다. 기본값은 확인 없이 DC 인증서를 표시합니다.

certutil [options] -DCInfo [Domain] [Verify | DeleteBad | DeleteAll]

• Modifiers:

  • Verify
  • DeleteBad
  • DeleteAll

Options:

[-f] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-EntInfo

엔터프라이즈 인증 기관에 대한 정보를 표시합니다.

certutil [options] -EntInfo DomainName\MachineName$

Options:

[-f] [-user]

-TCAInfo

인증 기관에 대한 정보를 표시합니다.

certutil [options] -TCAInfo [DomainDN | -]

Options:

[-f] [-Enterprise] [-user] [-urlfetch] [-dc DCName] [-t Timeout]

-SCInfo

스마트 카드에 대한 정보를 표시합니다.

certutil [options] -scinfo [ReaderName [CRYPT_DELETEKEYSET]]

Where:

• CRYPT_DELETEKEYSET deletes all keys on the smart card.

Options:

[-Silent] [-split] [-urlfetch] [-t Timeout]

-SCRoots

스마트 카드 루트 인증서를 관리합니다.

certutil [options] -SCRoots update [+][InputRootFile] [ReaderName]
certutil [options] -SCRoots save @OutputRootFile [ReaderName]
certutil [options] -SCRoots view [InputRootFile | ReaderName]
certutil [options] -SCRoots delete [ReaderName]

Options:

[-f] [-split] [-p Password]

-key

키 컨테이너에 저장된 키를 나열합니다.

certutil [options] -key [KeyContainerName | -]

Where:

• KeyContainerName is the key container name for the key to verify. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키 -user로 전환하려면 .
• 기호를 - 사용하는 것은 기본 키 컨테이너를 사용하는 것을 의미합니다.

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-delkey

명명된 키 컨테이너를 삭제합니다.

certutil [options] -delkey KeyContainerName

Options:

[-user] [-Silent] [-split] [-csp Provider] [-Location AlternateStorageLocation]

-DeleteHelloContainer

Windows Hello 컨테이너를 삭제하여 WebAuthn 및 FIDO 자격 증명을 포함하여 디바이스에 저장된 모든 연결된 자격 증명을 제거합니다.

사용자는 이 옵션을 사용한 후 로그아웃해야 완료할 수 있습니다.

certutil [options] -DeleteHelloContainer

-verifykeys

퍼블릭 또는 프라이빗 키 집합을 확인합니다.

certutil [options] -verifykeys [KeyContainerName CACertFile]

Where:

• KeyContainerName is the key container name for the key to verify. 이 옵션은 기본적으로 컴퓨터 키로 설정됩니다. 사용자 키 -user로 전환하려면 .
• CACertFile signs or encrypts certificate files.

Options:

[-f] [-user] [-Silent] [-config Machine\CAName]

Remarks

• 인수를 지정하지 않으면 각 서명 CA 인증서가 프라이빗 키에 대해 확인됩니다.
• 이 작업은 로컬 CA 또는 로컬 키에 대해서만 수행할 수 있습니다.

-verify

인증서, CRL(인증서 해지 목록) 또는 인증서 체인을 확인합니다.

certutil [options] -verify CertFile [ApplicationPolicyList | - [IssuancePolicyList]] [Modifiers]
certutil [options] -verify CertFile [CACertFile [CrossedCACertFile]]
certutil [options] -verify CRLFile CACertFile [IssuedCertFile]
certutil [options] -verify CRLFile CACertFile [DeltaCRLFile]

Where:

• CertFile is the name of the certificate to verify.
• ApplicationPolicyList is the optional comma-separated list of required Application Policy ObjectIds.
• IssuancePolicyList is the optional comma-separated list of required Issuance Policy ObjectIds.
• CACertFile is the optional issuing CA certificate to verify against.
• CrossedCACertFile is the optional certificate cross-certified by CertFile.
• CRLFile is the CRL file used to verify the CACertFile.
• IssuedCertFile is the optional issued certificate covered by the CRLfile.
• DeltaCRLFile is the optional delta CRL file.
• Modifiers:
  • 강력한 - 강력한 서명 확인
  • MSRoot - Microsoft 루트에 연결해야 합니다.
  • MSTestRoot - Microsoft 테스트 루트에 연결해야 합니다.
  • AppRoot - Microsoft 애플리케이션 루트에 연결해야 합니다.
  • EV - 확장 유효성 검사 정책 적용

Options:

[-f] [-Enterprise] [-user] [-Silent] [-split] [-urlfetch] [-t Timeout] [-sslpolicy ServerName]

Remarks

• Using ApplicationPolicyList restricts chain building to only chains valid for the specified Application Policies.
• Using IssuancePolicyList restricts chain building to only chains valid for the specified Issuance Policies.
• Using CACertFile verifies the fields in the file against CertFile or CRLfile.
• If CACertFile isn't specified, the full chain is built and verified against CertFile.
• If CACertFile and CrossedCACertFile are both specified, the fields in both files are verified against CertFile.
• Using IssuedCertFile verifies the fields in the file against CRLfile.
• Using DeltaCRLFile verifies the fields in the file against CertFile.

-verifyCTL

AuthRoot 또는 허용되지 않는 인증서 CTL을 확인합니다.

certutil [options] -verifyCTL CTLobject [CertDir] [CertFile]

Where:

• CTLObject identifies the CTL to verify, including:

  • AuthRootWU reads the AuthRoot CAB and matching certificates from the URL cache. 대신 Windows 업데이트에서 다운로드하는 데 사용합니다 -f .
  • DisallowedWU reads the Disallowed Certificates CAB and disallowed certificate store file from the URL cache. 대신 Windows 업데이트에서 다운로드하는 데 사용합니다 -f .
    • PinRulesWU reads the PinRules CAB from the URL cache. 대신 Windows 업데이트에서 다운로드하는 데 사용합니다 -f .
  • AuthRoot reads the registry-cached AuthRoot CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
  • Disallowed reads the registry-cached Disallowed Certificates CTL. Use with -f and an untrusted CertFile to force the registry cached AuthRoot and Disallowed Certificate CTLs to update.
    • PinRules reads the registry cached PinRules CTL. Using -f has the same behavior as with PinRulesWU.
  • CTLFileName specifies the file or http path to the CTL or CAB file.

• CertDir specifies the folder containing certificates matching the CTL entries. Defaults to the same folder or website as the CTLobject. http 폴더 경로를 사용하려면 끝에 경로 구분 기호가 필요합니다. If you don't specify AuthRoot or Disallowed, multiple locations are searched for matching certificates, including local certificate stores, crypt32.dll resources and the local URL cache. 필요에 따라 Windows 업데이트에서 다운로드하는 데 사용합니다 -f .

• CertFile specifies the certificate(s) to verify. 인증서는 CTL 항목과 일치하여 결과를 표시합니다. 이 옵션은 대부분의 기본 출력을 표시하지 않습니다.

Options:

[-f] [-user] [-split]

-syncWithWU

Windows 업데이트와 인증서를 동기화합니다.

certutil [options] -syncWithWU DestinationDir

Where:

• DestinationDir is the specified directory.
• f forces an overwrite.
• Unicode writes redirected output in Unicode.
• gmt displays times as GMT.
• seconds displays times with seconds and milliseconds.
• v is a verbose operation.
• PIN is the Smart Card PIN.
• WELL_KNOWN_SID_TYPE is a numeric SID:
  • 22 - 로컬 시스템
  • 23 - 로컬 서비스
  • 24 - 네트워크 서비스

Remarks

다음 파일은 자동 업데이트 메커니즘을 사용하여 다운로드됩니다.

• authrootstl.cab contains the CTLs of non-Microsoft root certificates.
• disallowedcertstl.cab contains the CTLs of untrusted certificates.
• disallowedcert.sst contains the serialized certificate store, including the untrusted certificates.
• thumbprint.crt contains the non-Microsoft root certificates.

예: certutil -syncWithWU \\server1\PKI\CTLs.

• 존재하지 않는 로컬 경로 또는 폴더를 대상 폴더로 사용하는 경우 다음 오류가 표시됩니다. The system can't find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

• 존재하지 않거나 사용할 수 없는 네트워크 위치를 대상 폴더로 사용하는 경우 다음 오류가 표시됩니다. The network name can't be found. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

• 서버가 TCP 포트 80을 통해 Microsoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 발생합니다. A connection with the server couldn't be established 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

• 서버가 DNS 이름으로 ctldl.windowsupdate.comMicrosoft 자동 업데이트 서버에 연결할 수 없는 경우 다음 오류가 발생합니다. The server name or address couldn't be resolved 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

• 스위치를 -f 사용하지 않고 디렉터리에 CTL 파일이 이미 있는 경우 다음과 같은 오류가 발생합니다. certutil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Can't create a file when that file already exists.

• 신뢰할 수 있는 루트 인증서가 변경되면 다음이 표시됩니다. Warning! Encountered the following no longer trusted roots: <folder path>\<thumbprint>.crt. Use "-f" option to force the delete of the above ".crt" files. Was "authrootstl.cab" updated? If yes, consider deferring the delete until all clients have been updated.

Options:

[-f] [-Unicode] [-gmt] [-seconds] [-v] [-privatekey] [-pin PIN] [-sid WELL_KNOWN_SID_TYPE]

-generateSSTFromWU

Windows 업데이트와 동기화되는 저장소 파일을 생성합니다.

certutil [options] -generateSSTFromWU SSTFile

Where:

• SSTFile is the .sst file to be generated that contains the Third Party Roots downloaded from Windows Update.

Options:

[-f] [-split]

-generatePinRulesCTL

고정 규칙 목록이 포함된 CTL(인증서 신뢰 목록) 파일을 생성합니다.

certutil [options] -generatePinRulesCTL XMLFile CTLFile [SSTFile [QueryFilesPrefix]]

Where:

• XMLFile is the input XML file to be parsed.
• CTLFile is the output CTL file to be generated.
• SSTFile is the optional .sst file to be created that contains all of the certificates used for pinning.
• QueryFilesPrefix are optional Domains.csv and Keys.csv files to be created for database query.
  • The QueryFilesPrefix string is prepended to each created file.
  • The Domains.csv file contains rule name, ___domain rows.
  • The Keys.csv file contains rule name, key SHA256 thumbprint rows.

Options:

[-f]

-downloadOcsp

OCSP 응답을 다운로드하고 디렉터리에 씁니다.

certutil [options] -downloadOcsp CertificateDir OcspDir [ThreadCount] [Modifiers]

Where:

• CertificateDir is the directory of a certificate, store and PFX files.
• OcspDir is the directory to write OCSP responses.
• ThreadCount is the optional maximum number of threads for concurrent downloading. Default is 10.
• Modifiers are comma separated list of one or more of the following:
  • DownloadOnce - Downloads once and exits.
  • ReadOcsp - Reads from OcspDir instead of writing.

-generateHpkpHeader

지정된 파일 또는 디렉터리의 인증서를 사용하여 HPKP 헤더를 생성합니다.

certutil [options] -generateHpkpHeader CertFileOrDir MaxAge [ReportUri] [Modifiers]

Where:

• CertFileOrDir is the file or directory of certificates, which is the source of pin-sha256.
• MaxAge is the max-age value in seconds.
• ReportUri is the optional report-uri.
• Modifiers are comma separated list of one or more of the following:
  • includeSubDomains - Appends the includeSubDomains.

-flushCache

선택한 프로세스에서 지정된 캐시(예: lsass.exe)를 플러시합니다.

certutil [options] -flushCache ProcessId CacheMask [Modifiers]

Where:

• ProcessId is the numeric ID of a process to flush. Set to 0 to flush all processes where flush is enabled.

• CacheMask is the bit mask of caches to be flushed either numeric or the following bits:

  • 0: ShowOnly
  • 0x01: CERT_WNF_FLUSH_CACHE_REVOCATION
  • 0x02: CERT_WNF_FLUSH_CACHE_OFFLINE_URL
  • 0x04: CERT_WNF_FLUSH_CACHE_MACHINE_CHAIN_ENGINE
  • 0x08: CERT_WNF_FLUSH_CACHE_USER_CHAIN_ENGINES
  • 0x10: CERT_WNF_FLUSH_CACHE_SERIAL_CHAIN_CERTS
  • 0x20: CERT_WNF_FLUSH_CACHE_SSL_TIME_CERTS
  • 0x40: CERT_WNF_FLUSH_CACHE_OCSP_STAPLING

• Modifiers are comma separated list of one or more of the following:

  • Show - Shows the caches being flushed. Certutil은 명시적으로 종료되어야 합니다.

-addEccCurve

ECC 곡선을 추가합니다.

certutil [options] -addEccCurve [CurveClass:]CurveName CurveParameters [CurveOID] [CurveType]

Where:

• CurveClass is the ECC Curve Class type:

  • WEIERSTRASS (Default)
  • MONTGOMERY
  • TWISTED_EDWARDS

• CurveName is the ECC Curve name.

• CurveParameters are one of the following:

  • ASN 인코딩 매개 변수를 포함하는 인증서 파일 이름입니다.
  • ASN으로 인코딩된 매개 변수를 포함하는 파일입니다.

• CurveOID is the ECC Curve OID and is one of the following:

  • ASN으로 인코딩된 OID를 포함하는 인증서 파일 이름입니다.
  • 명시적 ECC 곡선 OID입니다.

• CurveType is the Schannel ECC NamedCurve point (numeric).

Options:

[-f]

-deleteEccCurve

ECC 곡선을 삭제합니다.

certutil [options] -deleteEccCurve CurveName | CurveOID

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-displayEccCurve

ECC 곡선을 표시합니다.

certutil [options] -displayEccCurve [CurveName | CurveOID]

Where:

• CurveName is the ECC Curve name.
• CurveOID is the ECC Curve OID.

Options:

[-f]

-csplist

암호화 작업을 위해 이 컴퓨터에 설치된 CSP(암호화 서비스 공급자)를 나열합니다.

certutil [options] -csplist [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-csptest

이 컴퓨터에 설치된 CSP를 테스트합니다.

certutil [options] -csptest [Algorithm]

Options:

[-user] [-Silent] [-csp Provider]

-CNGConfig

이 컴퓨터에 CNG 암호화 구성을 표시합니다.

certutil [options] -CNGConfig

Options:

[-Silent]

-sign

CRL(인증서 해지 목록) 또는 인증서를 다시 서명합니다.

certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [StartDate [+ | -dd:hh] + | -dd:hh] [+SerialNumberList | -SerialNumberList | -ObjectIdList | @ExtensionFile]
certutil [options] -sign InFileList | SerialNumber | CRL OutFileList [#HashAlgorithm] [+AlternateSignatureAlgorithm | -AlternateSignatureAlgorithm]
certutil [options] -sign InFileList OutFileList [Subject:CN=...] [Issuer:hex data]

Where:

• InFileList is the comma-separated list of certificate or CRL files to modify and re-sign.

• SerialNumber is the serial number of the certificate to create. 유효 기간 및 기타 옵션은 존재할 수 없습니다.

• CRL creates an empty CRL. 유효 기간 및 기타 옵션은 존재할 수 없습니다.

• OutFileList is the comma-separated list of modified certificate or CRL output files. 파일 수가 infilelist와 일치해야 합니다.

• StartDate+dd:hh is the new validity period for the certificate or CRL files, including:

  • 선택적 날짜 더하기
  • 선택적 일 및 시간 유효 기간 여러 필드를 사용하는 경우 (+) 또는 (-) 구분 기호를 사용합니다. 현재 시간에 시작하는 데 사용합니다 now[+dd:hh] . 현재 시간 및 고정된 유효 기간의 고정 오프셋에서 시작하는 데 사용합니다 now-dd:hh+dd:hh . 만료 날짜가 없도록 합니다 never (CRL에만 해당).

• SerialNumberList is the comma-separated serial number list of the files to add or remove.

• ObjectIdList is the comma-separated extension ObjectId list of the files to remove.

• @ExtensionFile is the INF file that contains the extensions to update or remove. For example:

  [Extensions]
      2.5.29.31 = ; Remove CRL Distribution Points extension
      2.5.29.15 = {hex} ; Update Key Usage extension
      _continue_=03 02 01 86
  

• HashAlgorithm is the name of the hash algorithm. 기호 앞에 # 오는 텍스트만이어야 합니다.

• AlternateSignatureAlgorithm is the alternate signature algorithm specifier.

Options:

[-nullsign] [-f] [-user] [-Silent] [-Cert CertId] [-csp Provider]

Remarks

• 빼기 기호(-)를 사용하면 일련 번호와 확장이 제거됩니다.
• 더하기 기호(+)를 사용하면 CRL에 일련 번호가 추가됩니다.
• You can use a list to remove both serial numbers and ObjectIds from a CRL at the same time.
• Using the minus sign before AlternateSignatureAlgorithm allows you to use the legacy signature format.
• 더하기 기호를 사용하면 대체 서명 형식을 사용할 수 있습니다.
• If you don't specify AlternateSignatureAlgorithm, the signature format in the certificate or CRL is used.

-vroot

웹 가상 루트 및 파일 공유를 만들거나 삭제합니다.

certutil [options] -vroot [delete]

-vocsproot

OCSP 웹 프록시에 대한 웹 가상 루트를 만들거나 삭제합니다.

certutil [options] -vocsproot [delete]

-addEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -addEnrollmentServer Kerberos | UserName | ClientCertificate [AllowRenewalsOnly] [AllowKeyBasedRenewal]

Where:

• addEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:

  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

• Modifiers:

  • AllowRenewalsOnly allows only renewal request submissions to the Certificate Authority through the URL.
  • AllowKeyBasedRenewal allows use of a certificate with no associated account in Active Directory. This applies when used with ClientCertificate and AllowRenewalsOnly mode.

Options:

[-config Machine\CAName]

-deleteEnrollmentServer

지정된 인증 기관에 필요한 경우 등록 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -deleteEnrollmentServer Kerberos | UserName | ClientCertificate

Where:

• deleteEnrollmentServer requires you to use an authentication method for the client connection to the Certificate Enrollment Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.

Options:

[-config Machine\CAName]

-addPolicyServer

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 추가합니다. 이 명령은 이진 파일 또는 패키지를 설치하지 않습니다.

certutil [options] -addPolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• addPolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of policies returned to the client containing keybasedrenewal templates. This option applies only for UserName and ClientCertificate authentication.

-deletePolicyServer

필요한 경우 정책 서버 애플리케이션 및 애플리케이션 풀을 삭제합니다. 이 명령은 이진 파일 또는 패키지를 제거하지 않습니다.

certutil [options] -deletePolicyServer Kerberos | UserName | ClientCertificate [KeyBasedRenewal]

Where:

• deletePolicyServer requires you to use an authentication method for the client connection to the Certificate Policy Server, including:
  • Kerberos uses Kerberos SSL credentials.
  • UserName uses named account for SSL credentials.
  • ClientCertificate uses X.509 Certificate SSL credentials.
• KeyBasedRenewal allows use of a KeyBasedRenewal policy server.

-Class

COM 레지스트리 정보를 표시합니다.

certutil [options] -Class [ClassId | ProgId | DllName | *]

Options:

[-f]

-7f

인증서에서 0x7f 길이 인코딩을 확인합니다.

certutil [options] -7f CertFile

-oid

개체 식별자를 표시하거나 표시 이름을 설정합니다.

certutil [options] -oid ObjectId [DisplayName | delete [LanguageId [type]]]
certutil [options] -oid GroupId
certutil [options] -oid AlgId | AlgorithmName [GroupId]

Where:

• ObjectId is the ID to be displayed or to add to the display name.
• GroupId is the GroupID number (decimal) that ObjectIds enumerate.
• AlgId is the hexadecimal ID that objectID looks up.
• AlgorithmName is the algorithm name that objectID looks up.
• DisplayName displays the name to store in DS.
• Delete deletes the display name.
• LanguageId is the language ID value (defaults to current: 1033).
• Type is the type of DS object to create, including:
  • 1 - 템플릿(기본값)
  • 2 - 발급 정책
  • 3 - 애플리케이션 정책
• -f 는 DS 개체를 만듭니다.

Options:

[-f]

-error

오류 코드와 연결된 메시지 텍스트를 표시합니다.

certutil [options] -error ErrorCode

-getsmtpinfo

SMTP(Simple Mail Transfer Protocol) 정보를 가져옵니다.

certutil [options] -getsmtpinfo

-setsmtpinfo

SMTP 정보를 설정합니다.

certutil [options] -setsmtpinfo LogonName

Options:

[-config Machine\CAName] [-p Password]

-getreg

레지스트리 값을 표시합니다.

certutil [options] -getreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] [RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• value uses the new numeric, string, or date registry value or filename. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정한 경우 더하기 기호(+) 또는 빼기 기호(-) 구분 기호를 사용합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .
• Registry aliases:
  • Config
  • CA
  • 정책 - PolicyModules
  • 종료 - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - 소프트웨어\Microsoft\Cryptography\MSCEP
  • 체인 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - 시스템\CurrentControlSet\Services\crypt32
  • NGC - 시스템\CurrentControlSet\Control\Cryptography\NGC
  • 자동 업데이트 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • 여권 - Software\Policies\Microsoft\PassportForWork
  • MDM - 소프트웨어\Microsoft\Policies\PassportForWork

-setreg

레지스트리 값을 설정합니다.

certutil [options] -setreg [{ca | restore | policy | exit | template | enroll | chain | PolicyServers}\[ProgId\]] RegistryValueName Value

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string, or date registry value or filename. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정한 경우 더하기 기호(+) 또는 빼기 기호(-) 구분 기호를 사용합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .

-delreg

레지스트리 값을 삭제합니다.

certutil [options] -delreg [{ca | restore | policy | exit | template | enroll |chain | PolicyServers}\[ProgId\]][RegistryValueName]

Where:

• ca uses a Certificate Authority's registry key.
• restore uses Certificate Authority's restore registry key.
• policy uses the policy module's registry key.
• exit uses the first exit module's registry key.
• template uses the template registry key (use -user for user templates).
• enroll uses the enrollment registry key (use -user for user context).
• chain uses the chain configuration registry key.
• PolicyServers uses the Policy Servers registry key.
• ProgId uses the policy or exit module's ProgID (registry subkey name).
• RegistryValueName uses the registry value name (use Name* to prefix match).
• Value uses the new numeric, string or date registry value or filename. 숫자 값이 시작 + 되거나 -새 값에 지정된 비트가 기존 레지스트리 값에서 설정되거나 지워집니다.

Options:

[-f] [-Enterprise] [-user] [-GroupPolicy] [-config Machine\CAName]

Remarks

• 문자열 값이 시작 + 되거나 -기존 값이 값이 REG_MULTI_SZ 면 문자열이 기존 레지스트리 값에 추가되거나 제거됩니다. 값을 강제로 만들 REG_MULTI_SZ 려면 문자열 값의 끝에 추가 \n 합니다.
• 값으로 시작하는 \@경우 나머지 값은 이진 값의 16진수 텍스트 표현을 포함하는 파일의 이름입니다.
• 유효한 파일을 참조하지 않는 경우 선택적 날짜와 선택적 일 및 시간을 더하거나 뺀 값으로 [Date][+|-][dd:hh] 구문 분석됩니다.
• 둘 다 지정한 경우 더하기 기호(+) 또는 빼기 기호(-) 구분 기호를 사용합니다. 현재 시간을 기준으로 하는 날짜에 사용합니다 now+dd:hh .
• 접미사로 사용하여 i64 REG_QWORD 값을 만듭니다.
• 캐시된 CRL을 효과적으로 플러시하는 데 사용합니다 chain\chaincacheresyncfiletime @now .
• Registry aliases:
  • Config
  • CA
  • 정책 - PolicyModules
  • 종료 - ExitModules
  • 복원 - RestoreInProgress
  • 템플릿 - Software\Microsoft\Cryptography\CertificateTemplateCache
  • 등록 - Software\Microsoft\Cryptography\AutoEnrollment(Software\Policies\Microsoft\Cryptography\AutoEnrollment)
  • MSCEP - 소프트웨어\Microsoft\Cryptography\MSCEP
  • 체인 - Software\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  • PolicyServers - Software\Microsoft\Cryptography\PolicyServers(Software\Policies\Microsoft\Cryptography\PolicyServers)
  • Crypt32 - 시스템\CurrentControlSet\Services\crypt32
  • NGC - 시스템\CurrentControlSet\Control\Cryptography\NGC
  • 자동 업데이트 - Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
  • 여권 - Software\Policies\Microsoft\PassportForWork
  • MDM - 소프트웨어\Microsoft\Policies\PassportForWork

-importKMS

키 보관을 위해 사용자 키와 인증서를 서버 데이터베이스로 가져옵니다.

certutil [options] -importKMS UserKeyAndCertFile [CertId]

Where:

• UserKeyAndCertFile is a data file with user private keys and certificates that are to be archived. 이 파일은 다음과 같습니다.
  • KMS(Exchange 키 관리 서버) 내보내기 파일입니다.
  • PFX 파일입니다.
• CertId is a KMS export file decryption certificate match token. 자세한 내용은 이 문서의 매개 변수를 -store 참조하세요.
• -f 는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

Options:

[-f] [-Silent] [-split] [-config Machine\CAName] [-p Password] [-symkeyalg SymmetricKeyAlgorithm[,KeyLength]]

-ImportCert

인증서 파일을 데이터베이스로 가져옵니다.

certutil [options] -ImportCert Certfile [ExistingRow]

Where:

• ExistingRow imports the certificate in place of a pending request for the same key.
• -f 는 인증 기관에서 발급하지 않은 인증서를 가져옵니다.

Options:

[-f] [-config Machine\CAName]

Remarks

또한 인증서 기관을 실행 certutil -setreg ca\KRAFlags +KRAF_ENABLEFOREIGN하여 외국 인증서를 지원하도록 구성해야 할 수도 있습니다.

-GetKey

보관된 프라이빗 키 복구 Blob을 검색하거나, 복구 스크립트를 생성하거나, 보관된 키를 복구합니다.

certutil [options] -GetKey SearchToken [RecoveryBlobOutFile]
certutil [options] -GetKey SearchToken script OutputScriptFile
certutil [options] -GetKey SearchToken retrieve | recover OutputFileBaseName

Where:

• script generates a script to retrieve and recover keys (default behavior if multiple matching recovery candidates are found, or if the output file isn't specified).
• retrieve retrieves one or more Key Recovery Blobs (default behavior if exactly one matching recovery candidate is found, and if the output file is specified). 이 옵션을 사용하면 확장이 잘리고 각 키 복구 Blob에 대한 인증서별 문자열과 확장이 .rec 추가됩니다. 각 파일에는 하나 이상의 키 복구 에이전트 인증서로 암호화된 인증서 체인 및 연결된 프라이빗 키가 포함되어 있습니다.
• recover retrieves and recovers private keys in one step (requires Key Recovery Agent certificates and private keys). 이 옵션을 사용하면 확장이 잘리고 확장이 .p12 추가됩니다. 각 파일에는 PFX 파일로 저장된 복구된 인증서 체인 및 연결된 프라이빗 키가 포함됩니다.
• SearchToken selects the keys and certificates to be recovered, including:
  • 인증서 일반 이름
  • 인증서 일련 번호
  • 인증서 SHA-1 해시(지문)
  • 인증서 KeyId SHA-1 해시(주체 키 식별자)
  • 요청자 이름(___domain\user)
  • UPN (user@___domain)
• RecoveryBlobOutFile outputs a file with a certificate chain and an associated private key, still encrypted to one or more Key Recovery Agent certificates.
• OutputScriptFile outputs a file with a batch script to retrieve and recover private keys.
• OutputFileBaseName outputs a file base name.

Options:

[-f] [-UnicodeText] [-Silent] [-config Machine\CAName] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• For retrieve, any extension is truncated and a certificate-specific string and the .rec extensions are appended for each key recovery blob. 각 파일에는 하나 이상의 키 복구 에이전트 인증서로 암호화된 인증서 체인 및 연결된 프라이빗 키가 포함되어 있습니다.
• For recover, any extension is truncated and the .p12 extension is appended. PFX 파일로 저장된 복구된 인증서 체인 및 연결된 프라이빗 키를 포함합니다.

-RecoverKey

보관된 프라이빗 키를 복구합니다.

certutil [options] -RecoverKey RecoveryBlobInFile [PFXOutFile [RecipientIndex]]

Options:

[-f] [-user] [-Silent] [-split] [-p Password] [-ProtectTo SAMNameAndSIDList] [-csp Provider] [-t Timeout]

-mergePFX

PFX 파일을 병합합니다.

certutil [options] -MergePFX PFXInFileList PFXOutFile [Modifiers]

Where:

• PFXInFileList is a comma-separated list of PFX input files.
• PFXOutFile is the name of the PFX output file.
• Modifiers are comma separated lists of one or more of the following:
  • ExtendedProperties includes any extended properties.
  • NoEncryptCert specifies to not encrypt the certificates.
  • EncryptCert specifies to encrypt the certificates.

Options:

[-f] [-user] [-split] [-p password] [-ProtectTo SAMNameAndSIDList] [-csp Provider]

Remarks

• 명령줄에 지정된 암호는 쉼표로 구분된 암호 목록이어야 합니다.
• 둘 이상의 암호를 지정하면 마지막 암호가 출력 파일에 사용됩니다. 암호가 하나만 제공되거나 마지막 암호인 *경우 사용자에게 출력 파일 암호를 묻는 메시지가 표시됩니다.

-add-chain

인증서 체인을 추가합니다.

certutil [options] -add-chain LogId certificate OutFile

Options:

[-f]

-add-pre-chain

사전 인증서 체인을 추가합니다.

certutil [options] -add-pre-chain LogId pre-certificate OutFile

Options:

[-f]

-get-sth

서명된 트리 헤드를 가져옵니다.

certutil [options] -get-sth [LogId]

Options:

[-f]

-get-sth-consistency

서명된 트리 헤드 변경 내용을 가져옵니다.

certutil [options] -get-sth-consistency LogId TreeSize1 TreeSize2

Options:

[-f]

-get-proof-by-hash

타임스탬프 서버에서 해시의 증명을 가져옵니다.

certutil [options] -get-proof-by-hash LogId Hash [TreeSize]

Options:

[-f]

-get-entries

이벤트 로그에서 항목을 검색합니다.

certutil [options] -get-entries LogId FirstIndex LastIndex

Options:

[-f]

-get-roots

인증서 저장소에서 루트 인증서를 검색합니다.

certutil [options] -get-roots LogId

Options:

[-f]

-get-entry-and-proof

이벤트 로그 항목 및 해당 암호화 증명을 검색합니다.

certutil [options] -get-entry-and-proof LogId Index [TreeSize]

Options:

[-f]

-VerifyCT

인증서 투명도 로그에 대해 인증서를 확인합니다.

certutil [options] -VerifyCT Certificate SCT [precert]

Options:

[-f]

-?

매개 변수 목록을 표시합니다.

certutil -?
certutil <name_of_parameter> -?
certutil -? -v

Where:

• -? 매개 변수 목록을 표시합니다.
• -<name_of_parameter> -? 는 지정된 매개 변수에 대한 도움말 콘텐츠를 표시합니다.
• -? -v 는 매개 변수 및 옵션의 자세한 목록을 표시합니다.

Options

이 섹션에서는 명령에 따라 지정할 수 있는 모든 옵션을 정의합니다. 각 매개 변수에는 사용할 수 있는 옵션에 대한 정보가 포함됩니다.

해시 알고리즘: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512.

Related links

이 명령을 사용하는 방법에 대한 자세한 예제는 다음 문서를 참조하세요.

• AD CS(Active Directory Certificate Services)
• 인증서를 관리하기 위한 Certutil 작업
• Windows에서 신뢰할 수 있는 루트 및 허용되지 않는 인증서 구성