一、certutil的基本介绍
certutil是一个命令行实用程序,它用于查询和管理Windows中的证书、证书存储和证书撤销列表(CRL)。
基本命令为:certutil -v -urlfetch [CRL地址]
其中-v表示详细输出,-urlfetch表示获取CRL地址
certutil的参数非常多,具体可以通过输入certutil /?查询
二、证书管理
使用certutil可以方便地管理证书:
1、列出本地计算机上所有已安装的证书:
certutil -viewstore -user Root
2、删除本地计算机上指定的证书:
certutil -delstore -user My [证书thumbprint]
其中My是个人证书,Root是根证书,可以通过certutil /?查询其他类型的证书。
三、生成证书
certutil也可以用来生成证书:
1、生成CA私钥:
certutil -privatekey -user -enterprise -silent [CA名称]
2、生成自签名CA证书:
certutil -setreg cacspCNGHashAlgorithm SHA256 certutil -setreg cacspCNGKeyAlgorithm RSA Certutil -newkey 4 [CA名称] Certutil -addstore -f Root [CA证书]
其中,4表示生成自签名证书,可通过certutil /?查询其他生成方式。
四、查询证书信息
使用certutil可以查询证书的信息,如证书的序列号、有效期、颁发机构、公钥等等:
1、查询本地计算机上证书中指定序列号的证书信息:
certutil -user -store my [证书序列号]
2、查看证书详细信息:
certutil -dump [证书文件名]
3、查看证书的指纹:
certutil -hashfile [证书文件名]
五、CRL管理
certutil还可以用来管理CRL:
1、下载CRL:
certutil -urlfetch -verify [CRL地址] [CRL文件名]
2、列出CRL信息:
certutil -dump [CRL文件名]
3、将CRL导入到证书存储中:
certutil -addstore -f Root [CRL文件名]
六、其他操作
除了上述介绍的操作,certutil还可以进行其他操作:
1、转换证书格式:
certutil -encode [源文件名] [目标文件名] certutil -decode [源文件名] [目标文件名]
2、检查证书是否被吊销:
certutil -verify -urlfetch [CRL地址] [证书文件名]
3、测试证书链:
certutil -verify [证书链文件名]
总结
certutil是一个功能非常强大的命令行实用程序,可以用于证书和CRL的管理、生成、查询、下载等操作。
以上是certutil的一些实用指令,相信对于证书管理有所帮助。