精华内容
参与话题
问答
  • certutil 参数: 所有命令可参见系统自带帮助,通俗易懂。 certutil(选项)(参数) [root@localhost lftshell]# certutil -H -A Add a certificate to the database (create if needed) All options un...

    环境: Centos 6.5


    certutil 参数:

    所有命令可参见系统自带帮助,通俗易懂。
    
    certutil(选项)(参数)
    
    [root@localhost lftshell]# certutil -H
    -A              Add a certificate to the database        (create if needed)
       All options under -E apply
    -B              Run a series of certutil commands from a batch file
       -i batch-file     Specify the batch file
    -E              Add an Email certificate to the database (create if needed)
       -n cert-name      Specify the nickname of the certificate to add
       -t trustargs      Set the certificate trust attributes:
                              trustargs is of the form x,y,z where x is for SSL, y is for S/MIME,
                              and z is for code signing. Use ,, for no explicit trust.
                              p      prohibited (explicitly distrusted)
                              P      trusted peer
                              c      valid CA
                              T      trusted CA to issue client certs (implies c)
                              C      trusted CA to issue server certs (implies c)
                              u      user cert
                              w      send warning
                              g      make step-up cert
       -f pwfile         Specify the password file
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -a                The input certificate is encoded in ASCII (RFC1113)
       -i input          Specify the certificate file (default is stdin)
    
    -C              Create a new binary certificate from a BINARY cert request
       -c issuer-name    The nickname of the issuer cert
       -i cert-request   The BINARY certificate request file
       -o output-cert    Output binary cert to this file (default is stdout)
       -x                Self sign
       -m serial-number  Cert serial number
       -w warp-months    Time Warp
       -v months-valid   Months valid (default is 3)
       -f pwfile         Specify the password file
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -1 | --keyUsage keyword,keyword,... 
                         Create key usage extension. Possible keywords:
                         "digitalSignature", "nonRepudiation", "keyEncipherment",
                         "dataEncipherment", "keyAgreement", "certSigning",
                         "crlSigning", "critical"
       -2                Create basic constraint extension
       -3                Create authority key ID extension
       -4                Create crl distribution point extension
       -5 | --nsCertType keyword,keyword,...  
                         Create netscape cert type extension. Possible keywords:
                         "sslClient", "sslServer", "smime", "objectSigning",
                         "sslCA", "smimeCA", "objectSigningCA", "critical".
       -6 | --extKeyUsage keyword,keyword,... 
                         Create extended key usage extension. Possible keywords:
                         "serverAuth", "clientAuth","codeSigning",
                         "emailProtection", "timeStamp","ocspResponder",
                         "stepUp", "msTrustListSign", "critical"
       -7 emailAddrs     Create an email subject alt name extension
       -8 dnsNames       Create an dns subject alt name extension
       -a                The input certificate request is encoded in ASCII (RFC1113)
    
    -G              Generate a new key pair
       -h token-name     Name of token in which to generate key (default is internal)
       -k key-type       Type of key pair to generate ("dsa", "ec", "rsa" (default))
       -g key-size       Key size in bits, (min 512, max 8192, default 1024) (not for ec)
       -y exp            Set the public exponent value (3, 17, 65537) (rsa only)
       -f password-file  Specify the password file
       -z noisefile      Specify the noise file to be used
       -q pqgfile        read PQG value from pqgfile (dsa only)
       -q curve-name     Elliptic curve name (ec only)
                         One of nistp256, nistp384, nistp521
                         sect163k1, nistk163, sect163r1, sect163r2,
                         nistb163, sect193r1, sect193r2, sect233k1, nistk233,
                         sect233r1, nistb233, sect239k1, sect283k1, nistk283,
                         sect283r1, nistb283, sect409k1, nistk409, sect409r1,
                         nistb409, sect571k1, nistk571, sect571r1, nistb571,
                         secp160k1, secp160r1, secp160r2, secp192k1, secp192r1,
                         nistp192, secp224k1, secp224r1, nistp224, secp256k1,
                         secp256r1, secp384r1, secp521r1,
                         prime192v1, prime192v2, prime192v3, 
                         prime239v1, prime239v2, prime239v3, c2pnb163v1, 
                         c2pnb163v2, c2pnb163v3, c2pnb176v1, c2tnb191v1, 
                         c2tnb191v2, c2tnb191v3,  
                         c2pnb208w1, c2tnb239v1, c2tnb239v2, c2tnb239v3, 
                         c2pnb272w1, c2pnb304w1, 
                         c2tnb359w1, c2pnb368w1, c2tnb431r1, secp112r1, 
                         secp112r2, secp128r1, secp128r2, sect113r1, sect113r2
                         sect131r1, sect131r2
       -d keydir         Key database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       --keyAttrFlags attrflags
                         PKCS #11 key Attributes.
                         Comma separated list of key attribute attribute flags,
                         selected from the following list of choices:
                         {token | session} {public | private} {sensitive | insensitive}
                         {modifiable | unmodifiable} {extractable | unextractable}
       --keyOpFlagsOn opflags
       --keyOpFlagsOff opflags
                         PKCS #11 key Operation Flags.
                         Comma separated list of one or more of the following:
                         encrypt, decrypt, sign, sign_recover, verify,
                         verify_recover, wrap, unwrap, derive
    
    -D              Delete a certificate from the database
       -n cert-name      The nickname of the cert to delete
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
    
    -F              Delete a key from the database
       -n cert-name      The nickname of the key to delete
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
    
    -U              List all modules
       -d moddir         Module database directory (default is '~/.netscape')
       -P dbprefix       Cert & Key database prefix
       -X                force the database to open R/W
    
    -K              List all private keys
       -h token-name     Name of token to search ("all" for all tokens)
       -k key-type       Key type ("all" (default), "dsa", "ec", "rsa")
       -n name           The nickname of the key or associated certificate
       -f password-file  Specify the password file
       -d keydir         Key database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -X                force the database to open R/W
    
    -L              List all certs, or print out a single named cert (or a subset)
       -n cert-name      Pretty print named cert (list all if unspecified)
       --email email-address 
                         Pretty print cert with email address (list all if unspecified)
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -X                force the database to open R/W
       -r                For single cert, print binary DER encoding
       -a                For single cert, print ASCII encoding (RFC1113)
       --dump-ext-val OID 
                         For single cert, print binary DER encoding of extension OID
    
    -M              Modify trust attributes of certificate
       -n cert-name      The nickname of the cert to modify
       -t trustargs      Set the certificate trust attributes (see -A above)
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
    
    -N              Create a new certificate database
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       --empty-password  use empty password when creating a new database
    
    -T              Reset the Key database or token
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -h token-name     Token to reset (default is internal)
       -0 SSO-password   Set token's Site Security Officer password
    
    -O              Print the chain of a certificate
       -n cert-name      The nickname of the cert to modify
       -d certdir        Cert database directory (default is ~/.netscape)
       -a                Input the certificate in ASCII (RFC1113); default is binary
       -P dbprefix       Cert & Key database prefix
       -X                force the database to open R/W
    
    -R              Generate a certificate request (stdout)
       -s subject        Specify the subject name (using RFC1485)
       -o output-req     Output the cert request to this file
       -k key-type-or-id Type of key pair to generate ("dsa", "ec", "rsa" (default))
                         or nickname of the cert key to use 
       -h token-name     Name of token in which to generate key (default is internal)
       -g key-size       Key size in bits, RSA keys only (min 512, max 8192, default 1024)
       -q pqgfile        Name of file containing PQG parameters (dsa only)
       -q curve-name     Elliptic curve name (ec only)
                         See the "-G" option for a full list of supported names.
       -f pwfile         Specify the password file
       -d keydir         Key database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -p phone          Specify the contact phone number ("123-456-7890")
       -a                Output the cert request in ASCII (RFC1113); default is binary
       See -S for available extension options 
       See -G for available key flag options 
    
    -V              Validate a certificate
       -n cert-name      The nickname of the cert to Validate
       -b time           validity time ("YYMMDDHHMMSS[+HHMM|-HHMM|Z]")
       -e                Check certificate signature 
       -u certusage      Specify certificate usage:
                              C      SSL Client
                              V      SSL Server
                              L      SSL CA
                              A      Any CA
                              Y      Verify CA
                              S      Email signer
                              R      Email Recipient
                              O      OCSP status responder
                              J      Object signer
       -d certdir        Cert database directory (default is ~/.netscape)
       -a                Input the certificate in ASCII (RFC1113); default is binary
       -P dbprefix       Cert & Key database prefix
       -X                force the database to open R/W
    
    -W              Change the key database password
       -d certdir        cert and key database directory
       -f pwfile         Specify a file with the current password
       -@ newpwfile      Specify a file with the new password in two lines
    
    --upgrade-merge Upgrade an old database and merge it into a new one
       -d certdir        Cert database directory to merge into (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix of the target database
       -f pwfile         Specify the password file for the target database
       --source-dir certdir 
                         Cert database directory to upgrade from
       --source-prefix dbprefix 
                         Cert & Key database prefix of the upgrade database
       --upgrade-id uniqueID 
                         Unique identifier for the upgrade database
       --upgrade-token-name name 
                         Name of the token while it is in upgrade state
       -@ pwfile         Specify the password file for the upgrade database
    
    --merge         Merge source database into the target database
       -d certdir        Cert database directory of target (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix of the target database
       -f pwfile         Specify the password file for the target database
       --source-dir certdir 
                         Cert database directory of the source database
       --source-prefix dbprefix 
                         Cert & Key database prefix of the source database
       -@ pwfile         Specify the password file for the source database
    
    -S              Make a certificate and add to database
       -n key-name       Specify the nickname of the cert
       -s subject        Specify the subject name (using RFC1485)
       -c issuer-name    The nickname of the issuer cert
       -t trustargs      Set the certificate trust attributes (see -A above)
       -k key-type-or-id Type of key pair to generate ("dsa", "ec", "rsa" (default))
       -h token-name     Name of token in which to generate key (default is internal)
       -g key-size       Key size in bits, RSA keys only (min 512, max 8192, default 1024)
       -q pqgfile        Name of file containing PQG parameters (dsa only)
       -q curve-name     Elliptic curve name (ec only)
                         See the "-G" option for a full list of supported names.
       -x                Self sign
       -m serial-number  Cert serial number
       -w warp-months    Time Warp
       -v months-valid   Months valid (default is 3)
       -f pwfile         Specify the password file
       -d certdir        Cert database directory (default is ~/.netscape)
       -P dbprefix       Cert & Key database prefix
       -p phone          Specify the contact phone number ("123-456-7890")
       -1                Create key usage extension
       -2                Create basic constraint extension
       -3                Create authority key ID extension
       -4                Create crl distribution point extension
       -5                Create netscape cert type extension
       -6                Create extended key usage extension
       -7 emailAddrs     Create an email subject alt name extension
       -8 DNS-names      Create a DNS subject alt name extension
       --extAIA          Create an Authority Information Access extension
       --extSIA          Create a Subject Information Access extension
       --extCP           Create a Certificate Policies extension
       --extPM           Create a Policy Mappings extension
       --extPC           Create a Policy Constraints extension
       --extIA           Create an Inhibit Any Policy extension
       --extSKID         Create a subject key ID extension
       See -G for available key flag options 
       --extNC           Create a name constraints extension
       --extSAN type:name[,type:name]... 
                         Create a Subject Alt Name extension with one or multiple names
                         - type: directory, dn, dns, edi, ediparty, email, ip, ipaddr,
                                 other, registerid, rfc822, uri, x400, x400addr
       --extGeneric OID:critical-flag:filename[,OID:critical-flag:filename]... 
                         Add one or multiple extensions that certutil cannot encode yet,
                         by loading their encodings from external files.
                         - OID (example): 1.2.3.4
                         - critical-flag: critical or not-critical
                         - filename: full path to a file containing an encoded extension
    
    

    首先找到要注册到的目录

    find / -name cert8.db
    

    可以找到一些目录
    其中ect下的是nss目录
    nss目录
    用户目录下的是firefox的目录
    firefox目录

    下一步,使用certutil注册证书根

    注册到firefox,具体参数参照文章开头

    certutil -A  -d /home/用户名/.mozilla/firefox/*.default  -A -t "CT,," -n mycertest(随便起个名) -i  证书路径.crt
    

    注册到nss
    把 /home/用户名/.mozilla/firefox/*.default 换成 /etc/pki/nssdb 即可

    注意:目录都是定位到db的上一级,不是直接定位到*.db

    展开全文
  • 实际上利用certutil.exe 把二进制文件(包括各种文件,exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中。 有什么用?: 举个例子,批处理经常需要依赖其它命令行工具...

    实际上利用certutil.exe 把二进制文件(包括各种文件,exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中。

    有什么用?:
    举个例子,批处理经常需要依赖其它命令行工具实现自动化脚本,如果把这些工具转成文本嵌入到代码中,贴到网上就可以直接把可用的代码发出去了。不需要上传附件。

    缺点:
    base64编码后的文本比原文件长1/3,加上如果依赖的文件体积大,转换出来的文本内容会非常长。这个缺点影响了这个玩法的实用性。
    xp 中没有certutil 这个工具,影响了适用范围。
    如果依赖多个文件,需要用winrar 打包成exe 自解压文件,然后再编码。

    certutil 是一个证书工具,功能挺丰富的,参数非常多,我这里只截取和base64编码相关的帮助信息:

    C:\Users\Administrator>certutil.exe /?
    
    动词:
      -dump             -- 转储配置信息或文件
      -asn              -- 分析 ASN.1 文件
    
      -decodehex        -- 解码十六进制编码的文件
      -decode           -- 解码 Base64 编码的文件
      -encode           -- 将文件编码为 Base64
    。。。

    用法如下:
    我用一个小mp3文件示范:

    第一步,先cmd中执行certutil -encode 编码文件:

    E:\Game\New Heroes3\Mp3>certutil -encode hello.mp3 hi.bat

    ↑↑↑上面的命令行执行完后,得到一个文件hi.bat,用记事本能看到一大串,base64的字母。

    第二步,用编辑器打开hi.bat
    不要修改文件其中的内容,只在文件头部写入你自己的批处理代码,用certutil -decode把文本还原成原文件,
    如果你把以下代码存为xx.bat 并运行,应该可以听到这个MP3文件的声音。

    @echo off
    certutil -decode "%~f0" hello.mp3
    start hello.mp3
    exit /b 1
    
    
    -----BEGIN CERTIFICATE-----
    /+MgxAAUcQZgA0YYALhaemECCEECZNO7u7vGiIiI/7u7u6InxE57v+j+ifoBiz4g
    cDgYlHMLv+oH35QEP5TqB8//8HDgnB/g+D5d/8oc8v+UB+GJR3BCJw+XD/8u8EEA
    QAAUCgUCgUD/4yLECRWRPtJfjUAAoFAoFAe997lwJ35Twn+Wfemd/M3TCjiKAuH6
    ThO2rqKA0MQ986vujKj97ehhiRAoIFAAKDH4Y9/0qdb/8utJp/nL/oh7w+go9H63
    /8UVYYgEAna26X/FY2gtJAX/4yDEDheD7u4fxygDhs/mGECXznOHxh2850FA0Vv8
    7ixf0cit7UuX60Mchn/Re+lUjdVexLlZE60OUz/sv///T/NVpaliArIZXXvXf/83
    /dZNGrKRmK6v/RR2vceBkMxSptrrS/1hQf/jIsQLFZrm/j44RN4BJ/RRw02+AaEL
    8jCEPgNCEL9hCEMHxCD/PNITPUVBka2KmaiI6dPT9Xrovun///R/dWS0UwMdwZAI
    DB0FRhpLf5XUxR1TDBqz9aFKyBQAHIG2N388oIIJItv9L//jIMQQGALW5X5SBJoG
    oR3PUwSaUaLjKf+bIFKv2lBp7vbtyjHO/1chDnf/hGVySE0JfRmIme9Gp79Eyf7f
    ////3kOc5zgY4QQQMCAEHO1dpPxI6wMZMo4aD7Hf6IEGASpG3Ab9SqUD/+MixAsW
    c771/ihFVoM39Dv+YSOHCfKUpBMU+GSHyFEFNDdcTCIAF5poYP+AHNETRkvzIxn9
    powA9f/2nd7HawcwQIxlR0d15e9X2r7///2pedetTijkDMRG3D4hCAm0ko/2JDkG
    YFIG/+MgxA0XS7Lh9lHE+7Hh/5QMH/zAIBL/oPitv9Qqx23U44C3+p4ebuupxgjL
    /kI//IFbp9f+5Fb/t/kQopWR2SzBArt/p/6F/9v+jFnJMqqims6KwxGVxqvJCbjt
    1YzIAh2KOv5gViP/4yLEChRZavV+CkRCMiX/DgRf5wMCAW/3K/9Smf+iobznoqP+
    qFMKa0H0AZ6osaDpsHwuBCQdsFnHTV/8YKEE8FFVjDzWe7/W1zMXvLKBlhse9inq
    Ep/zEScFZExJVXsBIEwHQpPeyp3/4yDEFBQZLsgKaxKQiWVR2BEsnJNMDgwNzA7R
    IkTWdhNYqgERERJPUTSXjTT2E2nNDMh589ZFkamh4Kig5H////auJk////9VNQHv
    //3/FcFJ3lCEEhVP7kxQKjNfDDSQOgETipY2wP/jIsQeFECG1B5STIBwKhoMmToN
    JHAU6sNhJ9VA0VGgJbEstsSq/+zG8RQ6w2Gjx14amdV7P/sm7S/vLU/p/e8HbbbZ
    /mYX5Iugggyx1CxINsdGVQQ+hrasb9hJdI0CiocLm2H3yxCec//jIMQpFHDexB9Q
    KADMBeZDO1aiHAv2rFOqxOrHvIgZ7xXezcxdWJjKbZdtrWaWbtiufbotrZPTSObk
    6nZFkDFOrmJKRrt1p39vw9asCwqiptI09RkRU1zxUiGKqjB8b0IRq8NIes/4/+Mi
    xDIXkXakAZhAAKk3F/n/c8SSIR0vfMyMIHuYyqtcRK//vsd1uenTpT2/7/P/3vRf
    Z+vov91a1QD3SEsiYyVJQPFTaKlxcsfn86WVZZVMRjEyqjnRyYFYZpZbswZNjFWG
    aOrQVQOu/+MgxC8fw2J8y5hAAGNVhmj/yQ9DkagKiZVdmn//GDyjxXVIVYZpVY//
    /u7huJmRUYzSqwzSqx///+cqipC050k5TSzarDXKrw3/////axNSTWrWUcoKlitX
    //4lEuXWCCAKAFCFBY7/4yLECxRq9kQXyBAAGirKKmrsx1Q1///KXK3Q3//lL///
    /KX//0No/KXL//MbMbUpXl/5S0MZkMbKUu1DVLlKWhhQwGoKneJYKuEQcLfrO8Gv
    8SpMQU1FMy45Ni4xqqqqqqqqqqqqqqr/4yDEFQAAA0gAAAAAqqqqqqqqqqqqqqqq
    qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
    qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqg==
    -----END CERTIFICATE-----

    原理:
    观察可以知道,文件中 从”—–BEGIN CERTIFICATE—–” 之后的内容是base64编码,
    而certutil 会忽略其它内容,这个标签才开始解码base64。

    展开全文
  • CMD 中certutil 操作命令

    2019-03-27 16:32:00
    Certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件,以及验证证书,密钥对和证书链。 certutil/?动词: -...

    Certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件,以及验证证书,密钥对和证书链。

    certutil/?

    动词:
      -dump             -- 转储配置信息或文件
      -dumpPFX          -- 转储 PFX 结构
      -asn              -- 分析 ASN.1 文件

      -decodehex        -- 解码十六进制编码的文件
      -decode           -- 解码 Base64 编码的文件
      -encode           -- 将文件编码为 Base64

      -deny             -- 拒绝挂起的申请
      -resubmit         -- 重新提交挂起的申请
      -setattributes    -- 为挂起申请设置属性
      -setextension     -- 为挂起申请设置扩展
      -revoke           -- 吊销证书
      -isvalid          -- 显示当前证书部署

      -getconfig        -- 获取默认配置字符串
      -ping             -- Ping Active Directory 证书服务申请接口
      -pingadmin        -- Ping Active Directory 证书服务管理接口
      -CAInfo           -- 显示 CA 信息
      -ca.cert          -- 检索 CA 的证书
      -ca.chain         -- 检索 CA 的证书链
      -GetCRL           -- 获取 CRL
      -CRL              -- 发布新的 CRL [或仅增量 CRL]
      -shutdown         -- 关闭 Active Directory 证书服务

      -installCert      -- 安装证书颁发机构证书
      -renewCert        -- 续订证书颁发机构证书

      -schema           -- 转储证书架构
      -view             -- 转储证书视图
      -db               -- 转储原始数据库
      -deleterow        -- 删除服务器数据库行

      -backup           -- 备份 Active Directory 证书服务
      -backupDB         -- 备份 Active Directory 证书服务数据库
      -backupKey        -- 备份 Active Directory 证书服务证书和私钥
      -restore          -- 还原 Active Directory 证书服务
      -restoreDB        -- 还原 Active Directory 证书服务数据库
      -restoreKey       -- 还原 Active Directory 证书服务证书和私钥
      -importPFX        -- 导入证书和私钥
      -dynamicfilelist  -- 显示动态文件列表
      -databaselocations -- 显示数据库位置
      -hashfile         -- 通过文件生成并显示加密哈希

      -store            -- 转储证书存储
      -enumstore        -- 枚举证书存储
      -addstore         -- 将证书添加到存储
      -delstore         -- 从存储删除证书
      -verifystore      -- 验证存储中的证书
      -repairstore      -- 修复密钥关联,或者更新证书属性或密钥安全描述符
      -viewstore        -- 转储证书存储
      -viewdelstore     -- 从存储删除证书
      -UI               -- 调用 CryptUI
      -attest           -- 验证密钥证明请求

      -dsPublish        -- 将证书或 CRL 发布到 Active Directory

      -ADTemplate       -- 显示 AD 模板
      -Template         -- 显示注册策略模板
      -TemplateCAs      -- 显示模板的 CA
      -CATemplates      -- 显示 CA 的模板
      -SetCASites       -- 管理 CA 的站点名称
      -enrollmentServerURL -- 显示、添加或删除与 CA 关联的注册服务器 URL
      -ADCA             -- 显示 AD CA
      -CA               -- 显示注册策略 CA
      -Policy           -- 显示注册策略
      -PolicyCache      -- 显示或删除注册策略缓存项目
      -CredStore        -- 显示、添加或删除凭据存储项目
      -InstallDefaultTemplates -- 安装默认的证书模板
      -URLCache         -- 显示或删除 URL 缓存项目
      -pulse            -- 以脉冲方式执行自动注册事件或 NGC 任务
      -MachineInfo      -- 显示 Active Directory 计算机对象信息
      -DCInfo           -- 显示域控制器信息
      -EntInfo          -- 显示企业信息
      -TCAInfo          -- 显示 CA 信息
      -SCInfo           -- 显示智能卡信息

      -SCRoots          -- 管理智能卡根证书

      -verifykeys       -- 验证公/私钥集
      -verify           -- 验证证书,CRL 或链
      -verifyCTL        -- 验证 AuthRoot 或不允许的证书 CTL
      -syncWithWU       -- 与 Windows 更新同步
      -generateSSTFromWU -- 通过 Windows 更新生成 SST
      -generatePinRulesCTL -- 生成捆绑规则 CTL
      -downloadOcsp     -- 下载 OCSP 响应并写入目录
      -generateHpkpHeader -- 使用指定文件或目录中的证书生成 HPKP 头
      -flushCache       -- 刷新选定进程(例如 lsass.exe)中的指定缓存
      -addEccCurve      -- 添加 ECC 曲线
      -deleteEccCurve   -- 删除 ECC 曲线
      -displayEccCurve  -- 显示 ECC 曲线
      -sign             -- 重新签名 CRL 或证书

      -vroot            -- 创建/删除 Web 虚拟根和文件共享
      -vocsproot        -- 创建/删除 OCSP Web Proxy 的 Web 虚拟根
      -addEnrollmentServer -- 添加注册服务器应用程序
      -deleteEnrollmentServer -- 删除注册服务器应用程序
      -addPolicyServer  -- 添加策略服务器应用程序
      -deletePolicyServer -- 删除策略服务器应用程序
      -oid              -- 显示 ObjectId 或设置显示名称
      -error            -- 显示错误代码消息文本
      -getreg           -- 显示注册表值
      -setreg           -- 设置注册表值
      -delreg           -- 删除注册表值

      -ImportKMS        -- 为密钥存档导入用户密钥和证书到服务器数据库
      -ImportCert       -- 将证书文件导入数据库
      -GetKey           -- 检索存档的私钥恢复 Blob,生成恢复脚本 或恢复存档的密钥
      -RecoverKey       -- 恢复存档的私钥
      -MergePFX         -- 合并 PFX 文件
      -ConvertEPF       -- 将 PFX 文件转换为 EPF 文件

      -add-chain        -- (-AddChain) 添加证书链
      -add-pre-chain    -- (-AddPrechain) 添加预植证书链
      -get-sth          -- (-GetSTH) 获取签名树头
      -get-sth-consistency -- (-GetSTHConsistency) 获取签名树头更改
      -get-proof-by-hash -- (-GetProofByHash) 获取哈希证明
      -get-entries      -- (-GetEntries) 获取项
      -get-roots        -- (-GetRoots) 获取根
      -get-entry-and-proof -- (-GetEntryAndProof) 获取项和证明
      -VerifyCT         -- 验证证书 SCT
      -?                -- 显示该用法消息


    CertUtil -?              -- 显示动词列表(命名列表)
    CertUtil -dump -?        -- 显示 "dump" 动词的帮助文本
    CertUtil -v -?           -- 显示所有动词的所有帮助文本

    CertUtil: -? 命令成功完成。

    转载于:https://www.cnblogs.com/zeng-qh/p/10608522.html

    展开全文
  • Certutil is available on my WIN 7 and Vista machines by default.I think it should be also available for XP but I'm not 100% sure.
  • certutil.exe

    2016-03-04 00:20:45
    补充操作系统缺失感染文件!用于Der Spaeher ­修复
  • Windows 操作系统从 Win7 开始,包含了一个名为 CertUtil 的命令。可以使用该命令计算指定文件的杂凑值,具体用法如下:CertUtil -hashfile 文件名(可包含路径) 杂凑算法名 “杂凑算法名”可以取以下值:MD2, MD...
        Windows 操作系统从 Win7 开始,包含了一个名为 CertUtil 的命令。可以使用该命令计算指定文件的杂凑值,具体用法如下:
    CertUtil   -hashfile  文件名(可包含路径)   杂凑算法名
        “杂凑算法名”可以取以下值:MD2, MD5, MD5, SHA1, SHA256, SHA384, SHA512。当该参数被省略时,使用 SHA1 算法。
        使用该命令的示例如下图:


        使用该命令还可以进行文件的 Base64 编解码操作,编码命令为:
    CertUtil   -encode   原始文件名(可包含路径)   将要生成的Base64编码文件名(可包含路径)
        如果用文本编辑器打开使用该命令生成的 Base64 编码文件,可以看到第一行被插入以下内容:“-----BEGIN CERTIFICATE-----”,文件最后一行被插入以下内容:“-----END CERTIFICATE-----”。从第二行开始的内容是原始文件的 Base64 编码值。
        解码命令为:
    CertUtil   -decode  Base64编码文件名(可包含路径)   解码后生成的文件名(可包含路径)

    注意:Linux 下有一个名为 certutil 的同名命令,但用法不一样。
    展开全文
  • 渗透测试中的certutil

    2017-09-13 11:44:00
    本文讲的是渗透测试中的certutil,最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验,介绍certutil在渗透测试中的应用,对cmd下downloader的实现方法作补充,...
  • certutil -hashfile p13390677_112040_Linux-x86-64_1of7.zip md5 ---->>注意是小写的md CertUtil: -hashfile 失败: 0xd00000bb (-805306181) CertUtil: WsResetMetadata ----->>...
  • 在文章中提到需要应用命令“Certutil -syncWithWU D:\CTLUpdates”同步windows的证书才能安装成功VS2013 结果我发现我的win7旗舰版中的certutil命令没有syncWithWU这个参数,总是提示未知参数。这是为什么?请高人...
  • certutil -v 测试证书

    千次阅读 2010-11-11 16:41:00
    D:/Documents and Settings/Administrator>certutil -v d://onets-1a9b69ade.onets.co m_hope10.crt X509 证书: 版本: 3 序列号: 4b5f8a50c1b5dd93431166dc124577bd bd 77 45 12 dc 66 11 43 93 dd
  • certutil 导入 CA 证书

    2017-03-15 12:34:00
    2019独角兽企业重金招聘Python工程师标准>>> ...
  • certutil 导入 CA 证书

    2017-03-15 12:28:00
    2019独角兽企业重金招聘Python工程师标准>>> ...
  • linux certutil删除命令

    2020-09-03 15:09:16
    查询 certutil -L -d sql:/etc/ipsec.d 删除 certutil -D -d sql:/etc/ipsec.d -n vpnclient -D 删除 -d 哪个数据库 -n 要删除的名称
  • 经过国外文章信息,CertUtil.exe下载恶意软件的样本。 2、实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关...
  • 利用certutil.exe 传文件

    2018-02-28 03:48:00
    certutill.exe 在Windows 7 及其之后的所有Windows Server和Workstation版本均预装 ... certutil -encode kk.vbs kk_encode.vbs 2. Upload to target: 3. Decode file: cmd /c certutil -decode D:\\apache-...
  •        OS : Windows 10 Version 1909        blog : blog.csdn.net/shiwanwu  typesetting : Markdown   ...C:\Users\Student\...CertUtil -hashfile test.txt md5 MD5 的 tes...
  • Windows系统中通过 “certutil -hashfile 文件名 hash算法” dos命令可以查看文件的MD5,SHA1,SHA256 哈希校验值,无需第三方工具。并推荐一个在线查看文件的各种哈希校验值: ...
  • SHA1 哈希(文件 E:\webroot\qikan.cqvip.com\bin\AopSdk.dll):cb 97 9b 08 18 2c 89 48 59 1e df ab a6 4f bb fb 53 ec 12 86CertUtil: -hashfile 命令成功完成。
  • 用于备份证书服务管理,支持xp-win10更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx渗透测试中的应用1、downloader(1) 保存在当前路径,文件名称和下载文件名称相同certutil -...
  • certutil -hashfile MD5 命令的相关帮助信息: D:>certutil -hashfile /? 用法: CertUtil [选项] -hashfile InFile [HashAlgorithm MD5/SHA1/SHA256] 通过文件生成并显示加密哈希 选项: -gmt – 将时间显示为 GMT ...

空空如也

1 2 3 4 5 ... 20
收藏数 2,472
精华内容 988
关键字:

certutil