語(yǔ)法

certutil -dump [-f] [-gmt] [-seconds] [-split] [-v] [-p Password] [File]

參數(shù)

 

-dump
 

轉(zhuǎn)儲(chǔ)配置信息或文件。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語(yǔ)法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-p Password
 

指定一個(gè)密碼。
 

File
 

指定要顯示的配置文件的文件名。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

語(yǔ)法

certutil -view [-gmt] [-seconds] [-silent] [-split] [-v] [-config CAMachineName\CAName] [-restrict RestrictionList] [-out ColumnList] [-out] [RequestID]

參數(shù)

 

-view
 

轉(zhuǎn)儲(chǔ)證書頒發(fā)機(jī)構(gòu)數(shù)據(jù)庫(kù)視圖。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-silent
 

使用無(wú)聲標(biāo)志獲得 CryptContext。
 

-split
 

拆分嵌入式“抽象語(yǔ)法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-restrict RestrictionList
 

限制從該架構(gòu)中顯示的行。指定一個(gè)以逗號(hào)分隔的限制列表。
 

-out ColumnList
 

指定一個(gè)以逗號(hào)分隔的列表。
 

RequestID
 

指定請(qǐng)求標(biāo)識(shí)號(hào)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

示例

要列出來(lái)自 Cacomputer1 的名為 Myentrootca 的 CA 頒發(fā)的所有證書的主題電子郵件名，請(qǐng)鍵入：

certutil -config cacomputer1\myentrootca -view -out request.email

要將顯示行限制到帶有請(qǐng)求標(biāo)識(shí)符且大于 10,000 的行，然后僅顯示來(lái)自名稱為 Myentrootca 的 CA 的請(qǐng)求處理，請(qǐng)鍵入：

certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid>10,000"

若僅查看最后一行，請(qǐng)鍵入：

Certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $"

若僅查看第二行到最后一行，請(qǐng)鍵入：

certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $ - 1"

要查看到 CA 的所有請(qǐng)求的主題電子郵件名，請(qǐng)鍵入：

certutil -view -out email

要顯示基于用戶模板的證書的數(shù)字請(qǐng)求標(biāo)識(shí)符，請(qǐng)鍵入：

certutil -view -restrict "Certificate Template=User" -out requestid

要顯示基于模板對(duì)象標(biāo)識(shí)符 1.2.3.4.5.5.6.6.6.6.5.6 的證書的數(shù)字請(qǐng)求標(biāo)識(shí)符，請(qǐng)鍵入：

certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

要顯示由 CA 頒發(fā)的未吊銷證書的所有系列號(hào)和請(qǐng)求標(biāo)識(shí)號(hào)，請(qǐng)鍵入：

certutil -view -restrict disposition==20 /out "serialnumber,requestid"

要查看為名為“我的模板”的模板做出請(qǐng)求的用戶的電子郵件，并在頒發(fā)該請(qǐng)求時(shí)還能查看，請(qǐng)鍵入：

certutil -config cacomputer1\myentrootca -view -out email -restrict "CertificateTemplate == myTemplate, Disposition == 20"

語(yǔ)法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [InfoName [{Index | ErrorCode}]]

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語(yǔ)法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

InfoName
 

從下表中任一值指定要顯示的有關(guān) CA 的信息。
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

值	描述
file	顯示有關(guān)文件版本的信息。
product	顯示產(chǎn)品版本。
exitcount	顯示退出模塊計(jì)數(shù)。
exit [Index]	顯示退出模塊描述
policy	顯示策略模塊描述。
name	顯示 CA 名稱。
sanitizedname	顯示清潔過(guò)的 CA 名稱。
sharedfolder	顯示共享文件夾。
error1 ErrorCode	顯示本地化的錯(cuò)誤碼消息。
error2 ErrorCode	顯示本地化錯(cuò)誤碼消息和錯(cuò)誤碼。
type	顯示 CA 類型。
info	顯示 CA 信息。
parent	顯示父 CA。
certcount	顯示 CA 證書計(jì)數(shù)。
xchgcount	顯示 CA 交換證書計(jì)數(shù)。
kracount	顯示 KRA 證書計(jì)數(shù)。
kraused	顯示 KRA 的證書使用計(jì)數(shù)。
propidmax	顯示最大的 CA PropID。
certstate [Index]	顯示 CA 的證書狀態(tài)。
certstatuscode [Index]	顯示 CA 的證書驗(yàn)證狀態(tài)。
crlstate [Index]	顯示一個(gè) CRL。
krastate [Index]	顯示 KRA 證書。
crossstate+ [Index]	正向交叉證書。
crossstate- [Index]	反向交叉證書。
cert [Index]	顯示 CA 證書。
certchain [Index]	顯示 CA 證書鏈。
certcrlchain [Index]	顯示帶有 CRL 的 CA 證書鏈。
xchg [Index]	顯示 CA 交換證書。
xchgchain [Index]	顯示 CA 交換證書鏈。
xchgcrlchain [Index]	顯示帶有 CRL 的 CA 交換證書鏈。
kra [Index]	顯示 KRA 證書。
cross+ [Index]	正向交叉證書。
cross- [Index]	反向交叉證書。
crl [Index]	顯示一個(gè)基 CRL。
deltacrl [Index]	顯示一個(gè)“增量 CRL”。
crlstatus [Index]	顯示“CRL 發(fā)布狀態(tài)”。
deltacrlstatus [Index]	顯示“增量 CRL 發(fā)布狀態(tài)”。
dns	顯示 DNS 名稱。
role	顯示“角色分隔”。
ads	顯示 Advanced Server。
templates	顯示模板。

 

Index
 

驗(yàn)證來(lái)自 InfoName 表的唯一性元素。
 

ErrorCode
 

指定從錯(cuò)誤消息中檢索的錯(cuò)誤碼。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語(yǔ)法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [certstate]

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語(yǔ)法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

certstate
 

返回一個(gè)包含證書狀態(tài)處理的 LONG。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

語(yǔ)法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] templates

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語(yǔ)法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

templates
 

指定模板 InfoName 參數(shù)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語(yǔ)法

certutil -catemplates [-user] [-ut] [-mt] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-dc DCName] [Template]

參數(shù)

 

-catemplates
 

顯示 CA 模板。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-ut
 

顯示用戶模板。
 

-mt
 

顯示計(jì)算機(jī)模板。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-dc DCName
 

將一個(gè)特定的域控制器作為目標(biāo)。
 

Template
 

指定模板。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語(yǔ)法

certutil -databaselocations [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-databaselocations
 

顯示數(shù)據(jù)庫(kù)位置。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 在每一行顯示十六進(jìn)制緩沖區(qū)偏移量和十六進(jìn)制類型標(biāo)記。
   
• 有關(guān)類型標(biāo)記定義的詳細(xì)信息，請(qǐng)參閱 target=_new>Microsoft Platform SDK 網(wǎng)站 (http://www.microsoft.com/) 上的“證書服務(wù)”備份 API 文檔和“certbcli.h”。

語(yǔ)法

certutil -deny [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID

參數(shù)

 

-deny
 

拒絕掛起證書請(qǐng)求。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定請(qǐng)求標(biāo)識(shí)號(hào)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是十進(jìn)制格式或以 0x 開頭的十六進(jìn)制格式。

語(yǔ)法

certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CertFile {ntauthca | rootca | subca | crossca | kra | user | machine}

certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CRLFile [DSCDPContainer [DSCDPCN]]

參數(shù)

 

-dsPublish
 

將新證書或 CRL 發(fā)布到 Active Directory 中的 CA 對(duì)象。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個(gè)特定的域控制器作為目標(biāo)。
 

CertFile
 

指定證書。
 

ntauthca
 

指定要將證書發(fā)布到 NTAuth 存儲(chǔ)。
 

rootca
 

指定要將證書發(fā)布到根 CA 存儲(chǔ)。
 

subca
 

指定要將證書發(fā)布到下屬 CA 存儲(chǔ)。
 

crossca
 

指定要將證書發(fā)布到交叉證明的 CA 存儲(chǔ)。
 

kra
 

指定要將證書發(fā)布到密鑰恢復(fù)代理存儲(chǔ)。
 

user
 

指定要將證書發(fā)布到用戶存儲(chǔ)。
 

machine
 

指定要將證書發(fā)布到計(jì)算機(jī)存儲(chǔ)。
 

CRLFile
 

查看證書吊銷列表。
 

DSCDPContainer
 

指定 Active Directory 證書吊銷列表分布點(diǎn) (CDP) 容器公用名 (CN)，通常是 CA 計(jì)算機(jī)名稱。
 

DSCDPCN
 

指定 Active Directory 證書吊銷列表分布點(diǎn) (CDP) 對(duì)象公用名 (CN)，通?；谇鍧嵾^(guò)的 CA 簡(jiǎn)稱和密鑰檢索。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計(jì)算機(jī)管理員身份登錄才能完成該過(guò)程。
   
• 如果 CA 為智能卡登錄頒發(fā)證書，則將 CA 證書發(fā)布到 NTAuth 是必要的。

語(yǔ)法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] NewCert ntauthca

參數(shù)

 

-dspublish
 

將新證書或 CRL 發(fā)布到 Active Directory 中的 CA 對(duì)象。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個(gè)特定的域控制器作為目標(biāo)。
 

NewCert
 

指定要發(fā)布的證書。
 

ntauthca
 

指定要將證書發(fā)布到 NTAuth 存儲(chǔ)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須具有 Enterprise Administrator 的訪問(wèn)權(quán)限才能使用該命令。

語(yǔ)法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] non-MicrosoftCert rootca

參數(shù)

 

-dspublish
 

將新證書發(fā)布到 Active Directory 中的 CA 對(duì)象。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個(gè)特定的域控制器作為目標(biāo)。
 

non-MicrosoftCert
 

指定 non-Microsoft 證書名稱。
 

rootca
 

指定要將證書發(fā)布到根 CA 存儲(chǔ)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計(jì)算機(jī)管理員身份登錄才能完成該過(guò)程。

語(yǔ)法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CrossCert crossca

參數(shù)

 

-dspublish
 

將新證書發(fā)布到 Active Directory 中的 CA 對(duì)象。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個(gè)特定的域控制器作為目標(biāo)。
 

CrossCert
 

指定要發(fā)布的交叉證書文件。
 

crossca
 

指定將該交叉證書發(fā)布到 Active Directory CA 對(duì)象中。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計(jì)算機(jī)管理員身份登錄才能完成該過(guò)程。

語(yǔ)法

certutil -dynamicfilelist [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-dynamicfilelist
 

顯示動(dòng)態(tài)文件列表。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 該服務(wù)器上包括證書吊銷列表 (CRL) 的本地副本。
   
• 在每一行顯示十六進(jìn)制緩沖區(qū)偏移量。

語(yǔ)法

certutil -deleterow [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RowID Date {request | cert | attrib crl}

參數(shù)

 

-deleterow
 

刪除 CA 數(shù)據(jù)庫(kù)中的一行。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RowID
 

指定要?jiǎng)h除行的請(qǐng)求標(biāo)識(shí)符。
 

Date
 

指定查詢的日期限制。
 

request
 

指定請(qǐng)求表。
 

cert
 

指定證書表。
 

ext
 

指定證書擴(kuò)展表。
 

attrib
 

指定屬性表。
 

crl
 

指定證書吊銷列表 (CRL) 表。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 當(dāng)使用該命令刪除多于一行時(shí)，您必須同時(shí)是“CA 管理員”和“證書管理員”，以便完成該任務(wù)。在這種情況下，一定不能將 CA 配置為強(qiáng)制執(zhí)行角色分隔。有關(guān)基于角色管理的詳細(xì)信息，請(qǐng)參閱“相關(guān)主題”。
   
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 使用 Date
     

  您可使用 mm/dd/yyyy 00:00 日期格式，這里 00:00 必須是指定為 AM 或 PM 的標(biāo)準(zhǔn)時(shí)間。

  
     

  如果沒(méi)有時(shí)間就指定 Date，則 Certutil.exe 將刪除指定日期之前頒發(fā)的所有請(qǐng)求，但無(wú)法刪除在指定日期中頒發(fā)的請(qǐng)求。

  
     

  如果通過(guò) Date 刪除行，則 Certutil.exe 無(wú)法刪除 CA 證書或 CA 證書鏈行。要?jiǎng)h除 CA 證書和 CA 證書鏈行，您必須通過(guò) RowID 刪除行。

  
     

  如果之后出現(xiàn) Date，則 Certutil.exe 失敗，且顯示無(wú)效的參數(shù)錯(cuò)誤。使用“-f”覆蓋無(wú)效的參數(shù)錯(cuò)誤。

  
   
• 您可使用該命令刪除“拒絕服務(wù)”錯(cuò)誤。

示例

要?jiǎng)h除 1/22/2001 之前最后修改的失敗且掛起的請(qǐng)求，請(qǐng)鍵入：

certutil -deleterow 1/22/2001 request

要?jiǎng)h除 1/22/2001 之前過(guò)期的所有證書，請(qǐng)鍵入：

certutil -deleterow 1/22/2001 cert

要?jiǎng)h除 RequestID 37 的證書行、屬性和擴(kuò)展，請(qǐng)鍵入：

certutil -deleterow 37

要?jiǎng)h除 1/22/2001 之前過(guò)期的 CRL，請(qǐng)鍵入：

certutil -deleterow 1/22/2001 crl

語(yǔ)法

certutil -oid [-f] [-gmt] [-seconds] [-v] "TemplateOID" LocalizedFriendlyName [LanguageID]

參數(shù)

 

-oid
 

定義證書模板中的顯示名稱。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

"TemplateOID"
 

指定引號(hào)中的證書模板的對(duì)象標(biāo)識(shí)符。
 

LocalizedFriendlyName
 

指定要將其添加到該證書模板的顯示名稱。
 

LanguageID
 

設(shè)置指定對(duì)象的本地語(yǔ)言標(biāo)識(shí)符。LocalizedFriendlyName 在指定語(yǔ)言中出現(xiàn)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 為使更改生效，請(qǐng)重新啟動(dòng)計(jì)算機(jī)。
   
• 如果沒(méi)有指定 LanguageID，則 Certutil.exe 將使用當(dāng)前系統(tǒng)默認(rèn)的 1033。
   
• LanguageID 是十六進(jìn)制的本地標(biāo)識(shí)符 (LCID) 值的十進(jìn)制表示形式。有關(guān) LCID 值的詳細(xì)信息，請(qǐng)參閱 id=MSUrl title=http://www.microsoft.com/
  target=_new>Microsoft 網(wǎng)站上的“Table Appendix F Locale-Specific Code Page”（表附錄 F 區(qū)域設(shè)置規(guī)范代碼頁(yè)）信息。class=printOnly>(http://www.microsoft.com/)

示例

要在“繁體中文”語(yǔ)言中，其“1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268”是對(duì)象標(biāo)識(shí)號(hào) (TemplateOID) 且 CHT 是轉(zhuǎn)換成現(xiàn)有“V2 模板”的中文顯示名稱 (LocalizedFriendlyName)，創(chuàng)建模板“客戶端登錄”的本地化顯示名稱，請(qǐng)鍵入：

certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" "CHT" 1028

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

 
• 
     

  1028 是十六進(jìn)制值 0x0404 的十進(jìn)制表示形式，是“繁體中文”語(yǔ)言的 LCID。

  
   

該命令輸出看似:

certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" CHT 1028 1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268 -- 客戶端登錄無(wú)顯示名稱

添加到 Active Directory 存儲(chǔ)的本地化名稱。

0: 1028，CHT

CertUtil: -oid 命令成功完成。

語(yǔ)法

certutil -revoke [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] SerialNumber [Reason]

參數(shù)

 

-revoke
 

吊銷該證書。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

SerialNumber
 

指定要吊銷證書的序列號(hào)。
 

Reason
 

指定以下任一理由碼:
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

理由碼值	定義
0	未指定的
1	密鑰泄露
2	CA 泄露
3	隸屬關(guān)系改變
4	取代
5	停止操作
6	保持吊銷
8	從 CRL 中刪除
-1	解除吊銷

 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• SerialNumber 必須是十六進(jìn)制格式而且使用偶數(shù)。單獨(dú)的一個(gè)零 (0) 可以置于一個(gè)奇數(shù)值的首位。不允許以 0x 開頭。
   
• 理由碼值 6 是可解除吊銷的唯一值。
   
• 理由碼 0 無(wú)法提供有關(guān)吊銷理由的信息。

語(yǔ)法

certutil -setattributes [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID AttributeString

參數(shù)

 

-setattributes
 

為掛起請(qǐng)求設(shè)置屬性。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定由請(qǐng)求標(biāo)識(shí)符標(biāo)識(shí)的請(qǐng)求。
 

AttributeString
 

指定設(shè)置在請(qǐng)求標(biāo)識(shí)符證書的請(qǐng)求屬性字符串。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是十進(jìn)制格式（或帶有前綴 0x 的十六進(jìn)制格式）。指定的請(qǐng)求必須處于掛起的狀態(tài)。
   
• 使用“\n”分隔字符串中的多個(gè)值。
   
• AttributeString 請(qǐng)求屬性名稱和值對(duì)。用冒號(hào)分隔名稱和值對(duì)。多個(gè)名稱和值對(duì)可通過(guò)將它們放置在新行分隔開。例如：
     

  "CertificateTemplate:User\nEmail:User@domain.com"

  
     

  每個(gè)“\n”序列轉(zhuǎn)換為一個(gè)換行符。

  
   

語(yǔ)法

certutil -setextension [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID ExtensionName Flags {LongValue | DateValue | StringValue | @InFile}

參數(shù)

 

-setextension
 

為掛起請(qǐng)求設(shè)置擴(kuò)展。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定掛起請(qǐng)求的數(shù)字請(qǐng)求標(biāo)識(shí)符。
 

ExtensionName
 

指定擴(kuò)展的 ObjectID 字符串。
 

Flags
 

指定以下任一標(biāo)志：
   
     
       
       
       
       
       
       
       
       
       
       
       
       
     
   

值	描述
0	設(shè)置該擴(kuò)展為非關(guān)鍵。
1	設(shè)置該擴(kuò)展為關(guān)鍵。

 

@InFileValue
 

指定以下任一格式接受的字符串，且字符串滿足指定條件：@InFileValue 如果該值以 @ 符號(hào)開頭，則其他標(biāo)記是包含二進(jìn)制數(shù)據(jù)或 ASCII 文本十六進(jìn)制轉(zhuǎn)儲(chǔ)的文件名。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是以 0x 開頭的十進(jìn)制格式或十六進(jìn)制格式。
   
• 如果有要添加到掛起請(qǐng)求的具有準(zhǔn)確的擴(kuò)展編碼的現(xiàn)有請(qǐng)求或證書，則您可將該請(qǐng)求或證書，還有每個(gè)擴(kuò)展的 ASCII 文本十六進(jìn)制轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)到一個(gè)文件。

示例

下面為非關(guān)鍵擴(kuò)展名的有效示例：

certutil -setextension 123 1.3.6.1.4.1.311.20.2 0 Subcertification authority (CA)

指定的請(qǐng)求必須處于掛起的狀態(tài)。

如果有名為 MyCert.cer 的現(xiàn)有證書，且具有要添加到掛起請(qǐng)求的準(zhǔn)確的擴(kuò)展編碼，則您可使用以下命令轉(zhuǎn)儲(chǔ)該請(qǐng)求和每個(gè)擴(kuò)展的 ASCII 文本十六進(jìn)制轉(zhuǎn)儲(chǔ)：

certutil -v mycert.cer

之后您可復(fù)制該 ASCII 文本十六進(jìn)制擴(kuò)展 1.2.3.4.5 到一個(gè)文本文件，然后將該文件命名為 Foo.txt。

要將 1.2.3.4.5 擴(kuò)展添加到具有數(shù)字請(qǐng)求標(biāo)識(shí)符 37 的掛起請(qǐng)求，請(qǐng)使用以下命令：

certutil -setextension 37 1.2.3.4.5 0 @foo.txt

要頒發(fā)該證書，請(qǐng)鍵入：

certutil -resubmit 37

要檢索頒發(fā)的證書，請(qǐng)鍵入：

certreq -retrieve 37 foo.crt foo.p7b

語(yǔ)法

certutil -resubmit [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID

參數(shù)

 

-resubmit
 

重新提交掛起請(qǐng)求。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定請(qǐng)求標(biāo)識(shí)號(hào)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是以 0x 開頭的十進(jìn)制格式或十六進(jìn)制格式。

語(yǔ)法

certutil -shutdown [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-shutdown
 

關(guān)閉 CA 服務(wù)器。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語(yǔ)法

certutil -verifykeys [-gmt] [-silent] [-v] [-config CAMachineName\CAName] [KeyContainerName] [CACertFile]

參數(shù)

 

-verifykeys
 

驗(yàn)證指定 CA 的公開密鑰和私有密鑰。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-silent
 

使用無(wú)聲標(biāo)志獲得 CryptContext。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

KeyContainerName
 

指定要驗(yàn)證的密鑰的密鑰容器名稱。
 

CACertFile
 

指定包含用于驗(yàn)證數(shù)字簽名的公鑰的 CA 簽名證書。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 如果未使用參數(shù)，則 certutil -verifykeys 將根據(jù)其私鑰驗(yàn)證每個(gè)簽名 CA 證書。
   
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 可僅根據(jù)本地 CA 或密鑰運(yùn)行該命令。

語(yǔ)法

certutil -backupkey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory

參數(shù)

 

-backupkey
 

備份“證書服務(wù)”證書和私鑰。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-p Password
 

指定一個(gè)密碼。
 

BackupDirectory
 

指定備份目錄。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 一個(gè) PFX 文件密碼所允許的最大長(zhǎng)度為 32 個(gè)字符。
   
• 可以用 -f 選項(xiàng)覆蓋 BackupDirectory 中的現(xiàn)有文件。

語(yǔ)法

certutil -restorekey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory\PFXFile

參數(shù)

 

-restorekey
 

從指定的 BackupDirectory 或 PKCS #12 PFXFile 中還原“證書服務(wù)”證書和私鑰。
 

-f
 

覆蓋現(xiàn)有的文件或表項(xiàng)。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-p Password
 

指定一個(gè)密碼。
 

BackupDirectory
 

指定 PFX 文件的備份位置。
 

PFXFile
 

指定 PKCS #12 PFX 文件。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機(jī)構(gòu)”對(duì)話框?qū)?huì)出現(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 一個(gè) PFX 文件密碼所允許的最大長(zhǎng)度為 32 個(gè)字符。

語(yǔ)法

certutil -setreg [-user] [-gmt] [-seconds] [-v] policy\enablerequestextensionlist [{0 | 1}] ExtensionOID

參數(shù)

 

-setreg
 

設(shè)置或編輯注冊(cè)表信息。
 

-user
 

使用 HKEY_CURRENT_USER 項(xiàng)或證書存儲(chǔ)。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時(shí)間方式顯示時(shí)間。
 

-seconds
 

顯示時(shí)間時(shí)顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

policy\enablerequestextensionlist+1
 

設(shè)置啟用策略模塊的請(qǐng)求擴(kuò)展的列表。
 

ExtensionOID
 

指定該擴(kuò)展的對(duì)象標(biāo)識(shí)符。
 

0
 

將該擴(kuò)展添加到啟用策略模塊的請(qǐng)求擴(kuò)展的列表。
 

1
 

從啟用策略模塊的請(qǐng)求擴(kuò)展的列表中刪除該擴(kuò)展。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

 
• 若要使更改生效，您必須重新啟動(dòng)證書頒發(fā)機(jī)構(gòu)。有關(guān)重新啟動(dòng)“證書服務(wù)”的詳細(xì)信息，請(qǐng)參閱href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">啟動(dòng)、停止、暫停、繼續(xù)或重新啟動(dòng)服務(wù)。class=anything id=certsrvbounce>