Certification Authority (CA) Kommandozeilen Befehle

Zertifikatsserver sichern: CA Datenbank und CA Registry

certutil -backupdb <Backup-Dateipfad/Dateiname>
REG export HKLM\SYSTEM\CurrentControlSet\Services\CertSrv <Backup-Dateipfad/Dateiname>.reg

Manuelle Publizierung der CRL

certutil -crl

Anpassung der CRL und Delta-CRL Veröffentlichungszeiträumen

certutil -setreg CA\CRLPeriod {Hours|Days|Weeks|Years}
certutil -setreg CA\CRLPeriodUnits <Number>
certutil -setreg CA\CRLDeltaPeriod {Hours|Days|Weeks|Years} 
certutil -setreg CA\CRLDeltaPeriodUnits <Number>

Anzeigen von ausgestellten Zertifikaten (mit Filter nach Datum/Ablaufdatum/Template)

certutil -view
certutil -view -restrict "NotAfter<=<Datum>"
certutil -view -restrict "Certificate Expiration Date < <Datum>"
certutil -view -restrict "Certificate Template=<Template-Name>" -out requestId

Anzeigen von gesperrten Zertifikaten

certutil -view -out "SerialNumber,Request,RevokedWhen,RevokedReason" revoked

Zertifikat sperren

certutil -revoke <SerialNumber> <Reason>

Reason:
0 = Unspecified
1 = KeyCompromise (Private Key des Zertifikats wurde kompromitiert)
2 = CACompromise (Private Key der CA wurde kompromitiert)
3 = AffiliationChanged (Zertifikatsinhaber hat die Organisation verlassen oder Name geändert)
4 = Superseded (Zertifikat wurde durch ein neues Zertifikat ersetzt)
5 = CessationOfOperation (Betrieb der PKI wurde eingestellt)
6 = CertificateHold (Temporäre Sperrung)
8 = RemoveFromCRL
-1 = Unrevoke (Reaktivierung des Zertifikats)

Zertifikat Request an CA übermitteln mit Angabe des zu nutzenden Zertifikat Templates

certreq -attrib "CertificateTemplate:<Template-Name>" -submit <Request-File>

Zertifikat Request an CA übermitteln mit Angabe der zu nutzenden CA

certreq -config <CA-Name> -submit <Request-File>

Die einzelnen Befehlsoptionen sind kombinierbar.

Weitere Infos siehe hier: https://ss64.com/nt/certutil.html