好的,阿杰 👍
我来给你整理一份 Windows 命令行(cmd)下 certutil 的操作命令详解,包括功能说明、常见用法和实例。
Certutil 命令详解
certutil.exe 是 Windows 自带的证书管理工具,主要用于:
- 管理证书、证书链和证书颁发机构 (CA)
- 导入/导出证书
- 转换证书格式
- 检查证书详细信息
- 生成哈希值(常用于校验文件完整性)
位置:C:\Windows\System32\certutil.exe
1. 基本语法
certutil [options] [command] [command-options]
直接输入:
certutil -?
可以查看所有命令。
2. 常用命令分类
2.1 文件哈希计算
certutil -hashfile <文件路径> [算法]
支持算法:MD5、SHA1、SHA256、SHA384、SHA512
示例:
certutil -hashfile D:\iso\Win11.iso SHA256
👉 常用于校验下载文件是否被篡改。
2.2 证书查看
certutil -dump <证书文件>
示例:
certutil -dump mycert.cer
👉 显示证书详细信息(公钥、序列号、签名算法等)。
2.3 查看证书存储区
Windows 把证书存放在不同的“存储区”里,可以通过以下命令查看:
certutil -store my
certutil -store root
certutil -store ca
my= 当前用户的“个人”证书root= 受信任的根证书颁发机构ca= 中级证书颁发机构
2.4 导入证书
certutil -addstore <存储区> <证书文件>
示例:
certutil -addstore root mycert.cer
👉 把 mycert.cer 导入到受信任的根证书存储区。
2.5 删除证书
certutil -delstore <存储区> <证书指纹或序列号>
示例:
certutil -delstore root "a1 b2 c3 d4 ..."
2.6 转换证书格式
PEM ↔ DER 格式转换:
# DER 转换为 PEM
certutil -encode input.cer output.pem
# PEM 转换为 DER
certutil -decode input.pem output.cer
2.7 CA 相关操作(企业/AD 环境)
如果你在域控或有企业 CA,可以用 certutil 管理:
- 提交证书请求:
certutil -submit request.req - 发布 CRL:
certutil -crl - 查看 CA 配置信息:
certutil -getreg
3. 常见命令速查表
| 功能 | 命令 |
|---|---|
| 查看帮助 | certutil -? |
| 查看所有子命令 | certutil -dump |
| 查看证书存储区(个人) | certutil -store my |
| 查看根证书 | certutil -store root |
| 添加根证书 | certutil -addstore root mycert.cer |
| 删除证书 | certutil -delstore root <指纹> |
| 文件哈希校验(SHA256) | certutil -hashfile file.exe SHA256 |
| 转换 DER→PEM | certutil -encode in.cer out.pem |
| 转换 PEM→DER | certutil -decode in.pem out.cer |
4. 实用示例
- 校验 ISO 文件哈希
certutil -hashfile Win10.iso SHA256
- 导入公司内部 CA 证书
certutil -addstore root corpCA.cer
- 删除不安全的根证书
certutil -delstore root "不安全CA名称"
好了 ✅
我已经为你生成了一份 《certutil 常用命令速查卡》PDF,里面整理了常见命令和示例。
你可以在这里下载:
📂 certutil_cheatsheet.pdf
要不要我再帮你整理一个 Markdown 版,方便直接放在笔记软件(比如 Obsidian、Typora)里?
发表回复