Certification Authority (CA) Kommandozeilen Befehle
Zertifikatsserver sichern: CA Datenbank und CA Registry
certutil -backupdb <Backup-Dateipfad/Dateiname> REG export HKLM\SYSTEM\CurrentControlSet\Services\CertSrv <Backup-Dateipfad/Dateiname>.reg
Manuelle Publizierung der CRL
certutil -crl
Anpassung der CRL und Delta-CRL Veröffentlichungszeiträumen
certutil -setreg CA\CRLPeriod {Hours|Days|Weeks|Years} certutil -setreg CA\CRLPeriodUnits <Number> certutil -setreg CA\CRLDeltaPeriod {Hours|Days|Weeks|Years} certutil -setreg CA\CRLDeltaPeriodUnits <Number>
Anzeigen von ausgestellten Zertifikaten (mit Filter nach Datum/Ablaufdatum/Template)
certutil -view certutil -view -restrict "NotAfter<=<Datum>" certutil -view -restrict "Certificate Expiration Date < <Datum>" certutil -view -restrict "Certificate Template=<Template-Name>" -out requestId
Anzeigen von gesperrten Zertifikaten
certutil -view -out "SerialNumber,Request,RevokedWhen,RevokedReason" revoked
Zertifikat sperren
certutil -revoke <SerialNumber> <Reason>
Reason:
0 = Unspecified
1 = KeyCompromise (Private Key des Zertifikats wurde kompromitiert)
2 = CACompromise (Private Key der CA wurde kompromitiert)
3 = AffiliationChanged (Zertifikatsinhaber hat die Organisation verlassen oder Name geändert)
4 = Superseded (Zertifikat wurde durch ein neues Zertifikat ersetzt)
5 = CessationOfOperation (Betrieb der PKI wurde eingestellt)
6 = CertificateHold (Temporäre Sperrung)
8 = RemoveFromCRL
-1 = Unrevoke (Reaktivierung des Zertifikats)
Zertifikat Request an CA übermitteln mit Angabe des zu nutzenden Zertifikat Templates
certreq -attrib "CertificateTemplate:<Template-Name>" -submit <Request-File>
Zertifikat Request an CA übermitteln mit Angabe der zu nutzenden CA
certreq -config <CA-Name> -submit <Request-File>
Die einzelnen Befehlsoptionen sind kombinierbar.
Weitere Infos siehe hier: https://ss64.com/nt/certutil.html