語法

certutil -dump [-f] [-gmt] [-seconds] [-split] [-v] [-p Password] [File]

參數(shù)

 

-dump
 

轉(zhuǎn)儲配置信息或文件。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-p Password
 

指定一個密碼。
 

File
 

指定要顯示的配置文件的文件名。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

語法

certutil -view [-gmt] [-seconds] [-silent] [-split] [-v] [-config CAMachineName\CAName] [-restrict RestrictionList] [-out ColumnList] [-out] [RequestID]

參數(shù)

 

-view
 

轉(zhuǎn)儲證書頒發(fā)機構(gòu)數(shù)據(jù)庫視圖。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-silent
 

使用無聲標(biāo)志獲得 CryptContext。
 

-split
 

拆分嵌入式“抽象語法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-restrict RestrictionList
 

限制從該架構(gòu)中顯示的行。指定一個以逗號分隔的限制列表。
 

-out ColumnList
 

指定一個以逗號分隔的列表。
 

RequestID
 

指定請求標(biāo)識號。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

示例

要列出來自 Cacomputer1 的名為 Myentrootca 的 CA 頒發(fā)的所有證書的主題電子郵件名，請鍵入：

certutil -config cacomputer1\myentrootca -view -out request.email

要將顯示行限制到帶有請求標(biāo)識符且大于 10,000 的行，然后僅顯示來自名稱為 Myentrootca 的 CA 的請求處理，請鍵入：

certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid>10,000"

若僅查看最后一行，請鍵入：

Certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $"

若僅查看第二行到最后一行，請鍵入：

certutil -config cacomputer1\myentrootca -view -out disposition -restrict "requestid == $ - 1"

要查看到 CA 的所有請求的主題電子郵件名，請鍵入：

certutil -view -out email

要顯示基于用戶模板的證書的數(shù)字請求標(biāo)識符，請鍵入：

certutil -view -restrict "Certificate Template=User" -out requestid

要顯示基于模板對象標(biāo)識符 1.2.3.4.5.5.6.6.6.6.5.6 的證書的數(shù)字請求標(biāo)識符，請鍵入：

certutil -view -restrict "Certificate Template=1.2.3.4.5.5.6.6.6.6.5.6" -out requestid

要顯示由 CA 頒發(fā)的未吊銷證書的所有系列號和請求標(biāo)識號，請鍵入：

certutil -view -restrict disposition==20 /out "serialnumber,requestid"

要查看為名為“我的模板”的模板做出請求的用戶的電子郵件，并在頒發(fā)該請求時還能查看，請鍵入：

certutil -config cacomputer1\myentrootca -view -out email -restrict "CertificateTemplate == myTemplate, Disposition == 20"

語法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [InfoName [{Index | ErrorCode}]]

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

InfoName
 

從下表中任一值指定要顯示的有關(guān) CA 的信息。
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

值	描述
file	顯示有關(guān)文件版本的信息。
product	顯示產(chǎn)品版本。
exitcount	顯示退出模塊計數(shù)。
exit [Index]	顯示退出模塊描述
policy	顯示策略模塊描述。
name	顯示 CA 名稱。
sanitizedname	顯示清潔過的 CA 名稱。
sharedfolder	顯示共享文件夾。
error1 ErrorCode	顯示本地化的錯誤碼消息。
error2 ErrorCode	顯示本地化錯誤碼消息和錯誤碼。
type	顯示 CA 類型。
info	顯示 CA 信息。
parent	顯示父 CA。
certcount	顯示 CA 證書計數(shù)。
xchgcount	顯示 CA 交換證書計數(shù)。
kracount	顯示 KRA 證書計數(shù)。
kraused	顯示 KRA 的證書使用計數(shù)。
propidmax	顯示最大的 CA PropID。
certstate [Index]	顯示 CA 的證書狀態(tài)。
certstatuscode [Index]	顯示 CA 的證書驗證狀態(tài)。
crlstate [Index]	顯示一個 CRL。
krastate [Index]	顯示 KRA 證書。
crossstate+ [Index]	正向交叉證書。
crossstate- [Index]	反向交叉證書。
cert [Index]	顯示 CA 證書。
certchain [Index]	顯示 CA 證書鏈。
certcrlchain [Index]	顯示帶有 CRL 的 CA 證書鏈。
xchg [Index]	顯示 CA 交換證書。
xchgchain [Index]	顯示 CA 交換證書鏈。
xchgcrlchain [Index]	顯示帶有 CRL 的 CA 交換證書鏈。
kra [Index]	顯示 KRA 證書。
cross+ [Index]	正向交叉證書。
cross- [Index]	反向交叉證書。
crl [Index]	顯示一個基 CRL。
deltacrl [Index]	顯示一個“增量 CRL”。
crlstatus [Index]	顯示“CRL 發(fā)布狀態(tài)”。
deltacrlstatus [Index]	顯示“增量 CRL 發(fā)布狀態(tài)”。
dns	顯示 DNS 名稱。
role	顯示“角色分隔”。
ads	顯示 Advanced Server。
templates	顯示模板。

 

Index
 

驗證來自 InfoName 表的唯一性元素。
 

ErrorCode
 

指定從錯誤消息中檢索的錯誤碼。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] [certstate]

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

certstate
 

返回一個包含證書狀態(tài)處理的 LONG。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

語法

certutil -cainfo [-f] [-gmt] [-seconds] [-split] [-v] [-config CAMachineName\CAName] templates

參數(shù)

 

-cainfo
 

顯示 CA 信息。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-split
 

拆分嵌入式“抽象語法表示法 1 (ASN.1)”元素，并將其保存到文件。id=split>
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

templates
 

指定模板 InfoName 參數(shù)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語法

certutil -catemplates [-user] [-ut] [-mt] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-dc DCName] [Template]

參數(shù)

 

-catemplates
 

顯示 CA 模板。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-ut
 

顯示用戶模板。
 

-mt
 

顯示計算機模板。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-dc DCName
 

將一個特定的域控制器作為目標(biāo)。
 

Template
 

指定模板。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語法

certutil -databaselocations [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-databaselocations
 

顯示數(shù)據(jù)庫位置。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 在每一行顯示十六進制緩沖區(qū)偏移量和十六進制類型標(biāo)記。
   
• 有關(guān)類型標(biāo)記定義的詳細(xì)信息，請參閱 target=_new>Microsoft Platform SDK 網(wǎng)站 (http://www.microsoft.com/) 上的“證書服務(wù)”備份 API 文檔和“certbcli.h”。

語法

certutil -deny [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID

參數(shù)

 

-deny
 

拒絕掛起證書請求。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定請求標(biāo)識號。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是十進制格式或以 0x 開頭的十六進制格式。

語法

certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CertFile {ntauthca | rootca | subca | crossca | kra | user | machine}

certutil -dsPublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CRLFile [DSCDPContainer [DSCDPCN]]

參數(shù)

 

-dsPublish
 

將新證書或 CRL 發(fā)布到 Active Directory 中的 CA 對象。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個特定的域控制器作為目標(biāo)。
 

CertFile
 

指定證書。
 

ntauthca
 

指定要將證書發(fā)布到 NTAuth 存儲。
 

rootca
 

指定要將證書發(fā)布到根 CA 存儲。
 

subca
 

指定要將證書發(fā)布到下屬 CA 存儲。
 

crossca
 

指定要將證書發(fā)布到交叉證明的 CA 存儲。
 

kra
 

指定要將證書發(fā)布到密鑰恢復(fù)代理存儲。
 

user
 

指定要將證書發(fā)布到用戶存儲。
 

machine
 

指定要將證書發(fā)布到計算機存儲。
 

CRLFile
 

查看證書吊銷列表。
 

DSCDPContainer
 

指定 Active Directory 證書吊銷列表分布點 (CDP) 容器公用名 (CN)，通常是 CA 計算機名稱。
 

DSCDPCN
 

指定 Active Directory 證書吊銷列表分布點 (CDP) 對象公用名 (CN)，通?；谇鍧嵾^的 CA 簡稱和密鑰檢索。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計算機管理員身份登錄才能完成該過程。
   
• 如果 CA 為智能卡登錄頒發(fā)證書，則將 CA 證書發(fā)布到 NTAuth 是必要的。

語法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] NewCert ntauthca

參數(shù)

 

-dspublish
 

將新證書或 CRL 發(fā)布到 Active Directory 中的 CA 對象。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個特定的域控制器作為目標(biāo)。
 

NewCert
 

指定要發(fā)布的證書。
 

ntauthca
 

指定要將證書發(fā)布到 NTAuth 存儲。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須具有 Enterprise Administrator 的訪問權(quán)限才能使用該命令。

語法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] non-MicrosoftCert rootca

參數(shù)

 

-dspublish
 

將新證書發(fā)布到 Active Directory 中的 CA 對象。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個特定的域控制器作為目標(biāo)。
 

non-MicrosoftCert
 

指定 non-Microsoft 證書名稱。
 

rootca
 

指定要將證書發(fā)布到根 CA 存儲。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計算機管理員身份登錄才能完成該過程。

語法

certutil -dspublish [-f] [-user] [-gmt] [-seconds] [-v] [-dc DCName] CrossCert crossca

參數(shù)

 

-dspublish
 

將新證書發(fā)布到 Active Directory 中的 CA 對象。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-dc DCName
 

將一個特定的域控制器作為目標(biāo)。
 

CrossCert
 

指定要發(fā)布的交叉證書文件。
 

crossca
 

指定將該交叉證書發(fā)布到 Active Directory CA 對象中。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 必須以計算機管理員身份登錄才能完成該過程。

語法

certutil -dynamicfilelist [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-dynamicfilelist
 

顯示動態(tài)文件列表。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 該服務(wù)器上包括證書吊銷列表 (CRL) 的本地副本。
   
• 在每一行顯示十六進制緩沖區(qū)偏移量。

語法

certutil -deleterow [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RowID Date {request | cert | attrib crl}

參數(shù)

 

-deleterow
 

刪除 CA 數(shù)據(jù)庫中的一行。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RowID
 

指定要刪除行的請求標(biāo)識符。
 

Date
 

指定查詢的日期限制。
 

request
 

指定請求表。
 

cert
 

指定證書表。
 

ext
 

指定證書擴展表。
 

attrib
 

指定屬性表。
 

crl
 

指定證書吊銷列表 (CRL) 表。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 當(dāng)使用該命令刪除多于一行時，您必須同時是“CA 管理員”和“證書管理員”，以便完成該任務(wù)。在這種情況下，一定不能將 CA 配置為強制執(zhí)行角色分隔。有關(guān)基于角色管理的詳細(xì)信息，請參閱“相關(guān)主題”。
   
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 使用 Date
     

  您可使用 mm/dd/yyyy 00:00 日期格式，這里 00:00 必須是指定為 AM 或 PM 的標(biāo)準(zhǔn)時間。

  
     

  如果沒有時間就指定 Date，則 Certutil.exe 將刪除指定日期之前頒發(fā)的所有請求，但無法刪除在指定日期中頒發(fā)的請求。

  
     

  如果通過 Date 刪除行，則 Certutil.exe 無法刪除 CA 證書或 CA 證書鏈行。要刪除 CA 證書和 CA 證書鏈行，您必須通過 RowID 刪除行。

  
     

  如果之后出現(xiàn) Date，則 Certutil.exe 失敗，且顯示無效的參數(shù)錯誤。使用“-f”覆蓋無效的參數(shù)錯誤。

  
   
• 您可使用該命令刪除“拒絕服務(wù)”錯誤。

示例

要刪除 1/22/2001 之前最后修改的失敗且掛起的請求，請鍵入：

certutil -deleterow 1/22/2001 request

要刪除 1/22/2001 之前過期的所有證書，請鍵入：

certutil -deleterow 1/22/2001 cert

要刪除 RequestID 37 的證書行、屬性和擴展，請鍵入：

certutil -deleterow 37

要刪除 1/22/2001 之前過期的 CRL，請鍵入：

certutil -deleterow 1/22/2001 crl

語法

certutil -oid [-f] [-gmt] [-seconds] [-v] "TemplateOID" LocalizedFriendlyName [LanguageID]

參數(shù)

 

-oid
 

定義證書模板中的顯示名稱。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

"TemplateOID"
 

指定引號中的證書模板的對象標(biāo)識符。
 

LocalizedFriendlyName
 

指定要將其添加到該證書模板的顯示名稱。
 

LanguageID
 

設(shè)置指定對象的本地語言標(biāo)識符。LocalizedFriendlyName 在指定語言中出現(xiàn)。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 為使更改生效，請重新啟動計算機。
   
• 如果沒有指定 LanguageID，則 Certutil.exe 將使用當(dāng)前系統(tǒng)默認(rèn)的 1033。
   
• LanguageID 是十六進制的本地標(biāo)識符 (LCID) 值的十進制表示形式。有關(guān) LCID 值的詳細(xì)信息，請參閱 id=MSUrl title=http://www.microsoft.com/
  target=_new>Microsoft 網(wǎng)站上的“Table Appendix F Locale-Specific Code Page”（表附錄 F 區(qū)域設(shè)置規(guī)范代碼頁）信息。class=printOnly>(http://www.microsoft.com/)

示例

要在“繁體中文”語言中，其“1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268”是對象標(biāo)識號 (TemplateOID) 且 CHT 是轉(zhuǎn)換成現(xiàn)有“V2 模板”的中文顯示名稱 (LocalizedFriendlyName)，創(chuàng)建模板“客戶端登錄”的本地化顯示名稱，請鍵入：

certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" "CHT" 1028

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

 
• 
     

  1028 是十六進制值 0x0404 的十進制表示形式，是“繁體中文”語言的 LCID。

  
   

該命令輸出看似:

certutil -oid "1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268" CHT 1028 1.3.6.1.4.1.311.21.8.1557419691.1089984386.1082389667.3771302274.3689527714.2342735268 -- 客戶端登錄無顯示名稱

添加到 Active Directory 存儲的本地化名稱。

0: 1028，CHT

CertUtil: -oid 命令成功完成。

語法

certutil -revoke [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] SerialNumber [Reason]

參數(shù)

 

-revoke
 

吊銷該證書。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

SerialNumber
 

指定要吊銷證書的序列號。
 

Reason
 

指定以下任一理由碼:
   
     
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
       
     
   

理由碼值	定義
0	未指定的
1	密鑰泄露
2	CA 泄露
3	隸屬關(guān)系改變
4	取代
5	停止操作
6	保持吊銷
8	從 CRL 中刪除
-1	解除吊銷

 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• SerialNumber 必須是十六進制格式而且使用偶數(shù)。單獨的一個零 (0) 可以置于一個奇數(shù)值的首位。不允許以 0x 開頭。
   
• 理由碼值 6 是可解除吊銷的唯一值。
   
• 理由碼 0 無法提供有關(guān)吊銷理由的信息。

語法

certutil -setattributes [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID AttributeString

參數(shù)

 

-setattributes
 

為掛起請求設(shè)置屬性。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定由請求標(biāo)識符標(biāo)識的請求。
 

AttributeString
 

指定設(shè)置在請求標(biāo)識符證書的請求屬性字符串。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是十進制格式（或帶有前綴 0x 的十六進制格式）。指定的請求必須處于掛起的狀態(tài)。
   
• 使用“\n”分隔字符串中的多個值。
   
• AttributeString 請求屬性名稱和值對。用冒號分隔名稱和值對。多個名稱和值對可通過將它們放置在新行分隔開。例如：
     

  "CertificateTemplate:User\nEmail:User@domain.com"

  
     

  每個“\n”序列轉(zhuǎn)換為一個換行符。

  
   

語法

certutil -setextension [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID ExtensionName Flags {LongValue | DateValue | StringValue | @InFile}

參數(shù)

 

-setextension
 

為掛起請求設(shè)置擴展。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定掛起請求的數(shù)字請求標(biāo)識符。
 

ExtensionName
 

指定擴展的 ObjectID 字符串。
 

Flags
 

指定以下任一標(biāo)志：
   
     
       
       
       
       
       
       
       
       
       
       
       
       
     
   

值	描述
0	設(shè)置該擴展為非關(guān)鍵。
1	設(shè)置該擴展為關(guān)鍵。

 

@InFileValue
 

指定以下任一格式接受的字符串，且字符串滿足指定條件：@InFileValue 如果該值以 @ 符號開頭，則其他標(biāo)記是包含二進制數(shù)據(jù)或 ASCII 文本十六進制轉(zhuǎn)儲的文件名。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是以 0x 開頭的十進制格式或十六進制格式。
   
• 如果有要添加到掛起請求的具有準(zhǔn)確的擴展編碼的現(xiàn)有請求或證書，則您可將該請求或證書，還有每個擴展的 ASCII 文本十六進制轉(zhuǎn)儲，轉(zhuǎn)儲到一個文件。

示例

下面為非關(guān)鍵擴展名的有效示例：

certutil -setextension 123 1.3.6.1.4.1.311.20.2 0 Subcertification authority (CA)

指定的請求必須處于掛起的狀態(tài)。

如果有名為 MyCert.cer 的現(xiàn)有證書，且具有要添加到掛起請求的準(zhǔn)確的擴展編碼，則您可使用以下命令轉(zhuǎn)儲該請求和每個擴展的 ASCII 文本十六進制轉(zhuǎn)儲：

certutil -v mycert.cer

之后您可復(fù)制該 ASCII 文本十六進制擴展 1.2.3.4.5 到一個文本文件，然后將該文件命名為 Foo.txt。

要將 1.2.3.4.5 擴展添加到具有數(shù)字請求標(biāo)識符 37 的掛起請求，請使用以下命令：

certutil -setextension 37 1.2.3.4.5 0 @foo.txt

要頒發(fā)該證書，請鍵入：

certutil -resubmit 37

要檢索頒發(fā)的證書，請鍵入：

certreq -retrieve 37 foo.crt foo.p7b

語法

certutil -resubmit [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] RequestID

參數(shù)

 

-resubmit
 

重新提交掛起請求。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

RequestID
 

指定請求標(biāo)識號。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• RequestID 必須是以 0x 開頭的十進制格式或十六進制格式。

語法

certutil -shutdown [-gmt] [-seconds] [-v] [-config CAMachineName\CAName]

參數(shù)

 

-shutdown
 

關(guān)閉 CA 服務(wù)器。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>

語法

certutil -verifykeys [-gmt] [-silent] [-v] [-config CAMachineName\CAName] [KeyContainerName] [CACertFile]

參數(shù)

 

-verifykeys
 

驗證指定 CA 的公開密鑰和私有密鑰。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-silent
 

使用無聲標(biāo)志獲得 CryptContext。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

KeyContainerName
 

指定要驗證的密鑰的密鑰容器名稱。
 

CACertFile
 

指定包含用于驗證數(shù)字簽名的公鑰的 CA 簽名證書。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 如果未使用參數(shù)，則 certutil -verifykeys 將根據(jù)其私鑰驗證每個簽名 CA 證書。
   
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 可僅根據(jù)本地 CA 或密鑰運行該命令。

語法

certutil -backupkey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory

參數(shù)

 

-backupkey
 

備份“證書服務(wù)”證書和私鑰。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-p Password
 

指定一個密碼。
 

BackupDirectory
 

指定備份目錄。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 一個 PFX 文件密碼所允許的最大長度為 32 個字符。
   
• 可以用 -f 選項覆蓋 BackupDirectory 中的現(xiàn)有文件。

語法

certutil -restorekey [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [-p Password] BackupDirectory\PFXFile

參數(shù)

 

-restorekey
 

從指定的 BackupDirectory 或 PKCS #12 PFXFile 中還原“證書服務(wù)”證書和私鑰。
 

-f
 

覆蓋現(xiàn)有的文件或表項。
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

-config CAMachineName\CAName
 

使用配置字符串中指定的 CA（即 CAMachineName\CAName）處理此操作。id=CAconfig>
 

-p Password
 

指定一個密碼。
 

BackupDirectory
 

指定 PFX 文件的備份位置。
 

PFXFile
 

指定 PKCS #12 PFX 文件。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

注釋

 
• 您必須在 -config CAComputerName\CAName 中指定 CAComputerName 或 CAName。否則，“選擇證書頒發(fā)機構(gòu)”對話框?qū)霈F(xiàn)，并顯示所有可用的 CA 列表。class=anything id=certtoolremark1>
   
• 如果您使用 -config - 而不是 -config CAComputerName\CAName ，則系統(tǒng)將使用默認(rèn)的 CA 處理操作。id=certtoolremark2>
   
• 一個 PFX 文件密碼所允許的最大長度為 32 個字符。

語法

certutil -setreg [-user] [-gmt] [-seconds] [-v] policy\enablerequestextensionlist [{0 | 1}] ExtensionOID

參數(shù)

 

-setreg
 

設(shè)置或編輯注冊表信息。
 

-user
 

使用 HKEY_CURRENT_USER 項或證書存儲。id=currentuserkey>
 

-gmt
 

以格林威治標(biāo)準(zhǔn)時間方式顯示時間。
 

-seconds
 

顯示時間時顯示秒和毫秒。
 

-v
 

指定詳細(xì)的輸出。
 

policy\enablerequestextensionlist+1
 

設(shè)置啟用策略模塊的請求擴展的列表。
 

ExtensionOID
 

指定該擴展的對象標(biāo)識符。
 

0
 

將該擴展添加到啟用策略模塊的請求擴展的列表。
 

1
 

從啟用策略模塊的請求擴展的列表中刪除該擴展。
 

-?
 

顯示 certutil 命令列表。id=certutilcmds>

src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意

 
• 若要使更改生效，您必須重新啟動證書頒發(fā)機構(gòu)。有關(guān)重新啟動“證書服務(wù)”的詳細(xì)信息，請參閱href="MS-ITS:C:\WINDOWS\Help\sys_srv.chm::/sys_srv_start_service.htm">啟動、停止、暫停、繼續(xù)或重新啟動服務(wù)。class=anything id=certsrvbounce>