问题标签 [certutil]

选项是否certutil -csp "Microsoft Platform Crypto Provider" -importpfx真的将私钥存储在 TPM 中？我想知道为什么输出certutil -key -csp "Microsoft Platform Crypto Provider" 显示我在硬盘上的位置...

Microsoft Platform Crypto Provider:
Test-637559044681743771-7df36675-f51c-4067-9f6d-31ca33d290b7
C:\ProgramData\Microsoft\Crypto\PCPKSP\33b114867a192aae5b73a3a968437c129ab577a4\ec03c4aa087abc780c3ff6448624456b0d1bf68c.PCPKEY RSA

这就是在我的配置文件中提供我的 CDP

这是错误，我认为这是我制作 MS 从属 CA 的根本原因。

这是证书

当我用 -URL 单独向 certutil 询问 CRL 时，CRL 本身就很好。

我正在构建一个 wcf c# 服务以在 Windows Server 2012 中运行。我有一个 crl 文件 (sample.crl)，我需要根据 crl 文件验证客户端证书。（我的服务器无法访问在线 crl）。即，我需要确保我的整个证书链不存在于 crl 列表中。

我尝试将crl 文件导入到“中间证书颁发机构”下的本地证书存储中。验证码看起来像这样

我相信这段代码会根据本地 crl 缓存（certutil -urlcache crl）测试证书。但是我添加到本地证书存储的 crl 并没有显示在本地 crl 缓存中。如何针对我在 C# 中本地拥有的 crl 文件实现证书验证。

我们有一个 PowerShell 自动化脚本，它使用 certutil.exe 在给定的 Windows Server 上列出 CA、颁发的证书等。

我们围绕 certutil.exe 的系统调用包装了一些函数，并且我们正在对其输出进行 grepping 以查找一些给定的模式。但是，在安装了法语/德语（当然还有其他）的 Windows 服务器中，我们的脚本根本不起作用，因为 certutil 正在返回本地化输出，并且无法预测，也无法支持世界上所有的语言。有什么方法可以强制 certutil.exe 以英语而不是当前的机器语言打印其输出？

我知道在 Linux 环境中，我们可以这样做：

它会强制 ls 用英语回答

谢谢你的帮助

尝试使用以下代码将简单文件解码为临时文本文件：

每次我运行它时，我都会从 certutil 收到一个错误，即我有太多参数（预期为 3 个，预期为 2 个） - 将代码直接复制到命令窗口中，如图所示它运行正确：

我在第一条语句中遗漏了什么以允许它无错误地运行？

我下载了一个文件并用于certutil验证我下载的文件的完整性（下面附加的命令）。上传者提供了一个所有字母大写的 SHA-512 哈希，同时certutil提供了一个所有字母都小写的哈希。SHA-512 是否certutil不区分大小写？

自从我第一次发布这个问题以来，我已经做了很多研究，我想我也搞砸了一些术语。

困境：我公司的信息安全团队已将其标记certutil.exe为在最近一次网络钓鱼攻击后使用的潜在危险应用程序。这真的很臭，因为我们喜欢certutil.exe将 hex 文件快速准确地转换为 ascii 文件。这些 ascii 文件必须完全按照certutil.exe -decodehex执行进行转换，以便由另一个程序解析，以读取和解释由单独的内部程序生成的各种数据。

我有一个似乎可以非常准确地PowerShell转换Hex为的脚本ASCII，但是，它似乎永远不会“完成”，就好像 while 循环可能被关闭了一样。此外，由于流的分解方式，结果文件中有太多的换行符。这些文件通常为 7 MB，大约 7-80亿个字符长，大约 11 个换行符。

我提到的脚本在下面，是对这个链接中呈现的作品的改编。我没有将数据流转换为数据的Hex表示形式Hex，而是将其转换为ASCII.

此外，除了可能以前重复的问题和答案之外，我还改编了这篇 SO 文章PowerShell中的代码。这组代码的问题是，输出仍然需要 15 分钟左右，但输出不完全相同，因此我们内部程序无法解析信息！certutil.exe -decodehex

此外，我可以从字面上复制和粘贴原始文件中的十六进制数据，将其粘贴到十六进制编辑器中，然后将输出另存为新文件以获得我需要的内容。

问题是，我们经常同时拥有 30 - 40 个这样的文件，我们需要一个闪电般快速的解决方案。. .

我一直在寻找VB.net（我最熟悉的第二语言）解决方案，但它们在方法上与PowerShell我找到的方法相当，没有什么能充分获取整个文件并ASCII相对容易或准确地放置它。

更新：

除了重新格式化问题之外，我还测试了 TheMadTechnician 下面的非常详细的答案，这让我眼中充满了光彩的泪水。如果我能穿过硅片亲吻你，我可能会的。 教科书匹配。闪电般的快。美丽的。

现在。. . . 让我们希望我的 IS 部门也不要标记这种方法并对此发出噪音。. .

我修改了-join语句，因为我在PowerShell从Batch脚本中调用之前连接文件，但这也可以很好地工作PowerShell。

最后，由于我们的 IS 部门限制了.ps1脚本的使用，不久前，我发现了一个很棒的选项，可以将复杂的命令嵌入为 Base64 字符串，然后使用Start /MIN powershell -encodedcommand _insertEncodedCommandHere_

再一次 - 我不能感谢你！如果我crypt32.dll通过 VB.Net 获得了使用同一个库的工作方法，我会回来并将其作为答案发布，但你已经中奖了！

我看到有两种类型的证书，即 elastic-stack-ca.p12 和 elastic-certificates.p12。这两个证书有什么区别。

我还注意到我们有 HTTP 证书

为什么有这么多证书。

如果我想从 beats 发送数据，应该使用哪个证书？我看到它需要 .cer 和 .key

有人可以帮我理解这一点。

我使用 certutil 将证书导入证书信任库。当我通过浏览器查看证书存储时，它会打开操作系统级别的证书存储页面，在本例中是 Windows 的页面。在操作系统级别更新和导入它应该让它显示在浏览器级别。

有没有办法让证书颁发机构通过 certutil 命令或通过某个接口颁发证书，我可以将证书的序列号放入其中？

我们公司拥有由 5 个不同的 CA 颁发的数十万份证书。每当我通过以下方式提取完整的转储（示例）时：

certutil -view -config "Issuing-CA01" -restrict "notbefore>22/09/2021" csv > C:\Users\XYZ\Desktop\dump.csv

我在此转储中找不到有关颁发 CA 的信息，其中包含 certutil 命令可以提供的所有可能的列。与 SAN 条目相同，除了证书本身之外，这些条目无法从任何转储中读取 - 但这属于不同的问题。

有什么方法可以通过命令行提取颁发的 CA？