CertUtil 윈도우 인증서 유틸리티

 

 

안녕하세요 레오입니다.

 

생각보다 certutil 명령어를 직접 입력하셔서 유입되시는 분들이 계시길래

이번시간에는 certutil 명령어를 한번 봐봅시다.

 

Certutil은 인증서 서비스의 일부로 설치되는 명령줄 프로그램입니다.

certutil.exe를 사용하여 CA(인증 기관) 구성 정보를 덤프 및 표시하고

인증서 서비스를 구성하고, CA 구성 요소를 백업 및 복원하고, 인증서, 키 쌍 및 인증서 체인을 확인할 수 있습니다.

 

레퍼런스는 마소사이트에서 확인하시고

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certutil

 

 

다음은 명령프롬프트창에서 certutil -? 를 치면 나오는 내용입니다.

 

동사:

-dump -- 구성 정보 또는 파일 덤프

-dumpPFX -- PFX 구조 덤프

-asn -- ASN.1 파일 구문 분석

-decodehex -- 16진수로 인코딩된 파일 디코딩

-decode -- Base 64로 인코딩된 파일 디코딩

-encode -- Base 64로 파일 인코딩

-deny -- 대기 중인 요청 거부

-resubmit -- 대기 중인 요청 다시 제출

-setattributes -- 대기 중인 요청에 대한 특성을 설정합니다.

-setextension -- 대기 중인 요청에 대한 확장을 설정합니다.

-revoke -- 인증서 해지

-isvalid -- 현재 인증서 처리 표시

-getconfig -- 기본 구성 문자열 가져오기

-ping -- Active Directory 인증서 서비스 요청 인터페이스를 Ping합니다.

-pingadmin -- Active Directory 인증서 서비스 관리 인터페이스를 Ping합니다.

-CAInfo -- CA 정보 표시 -ca.cert -- CA의 인증서를 검색합니다.

-ca.chain -- CA의 인증서 체인을 검색합니다.

-GetCRL -- CRL 얻기 -CRL -- 새 CRL 게시 [또는 델타 CRL만]

-shutdown -- Active Directory 인증서 서비스를 종료합니다. -installCert -- 인증 기관 인증서 설치

-renewCert -- 인증 기관 인증서 갱신 -schema -- 인증서 스키마를 덤프합니다.

-view -- 인증서 보기를 덤프합니다.

-db -- 원시 데이터베이스를 덤프합니다.

-deleterow -- 서버 데이터베이스 열 삭제

-backup -- Active Directory 인증서 서비스를 백업합니다.

-backupDB -- Active Directory 인증서 서비스 데이터베이스를 백업합니다.

-backupKey -- Active Directory 인증서 서비스 인증서 및 개인 키를 백업합니다.

-restore -- Active Directory 인증서 서비스를 복원합니다.

-restoreDB -- Active Directory 인증서 서비스 데이터베이스를 복원합니다.

-restoreKey -- Active Directory 인증서 서비스 인증서 및 개인 키를 복원합니다.

-importPFX -- 인증서 및 개인 키 가져오기

-dynamicfilelist -- 동적 파일 목록을 표시합니다.

-databaselocations -- 데이터베이스 위치 표시

-hashfile -- 파일에 암호화 해시 생성 및 표시

-store -- 인증서 저장소를 덤프합니다.

-enumstore -- 인증서 저장소 열거

-addstore -- 인증서를 저장소에 추가합니다.

-delstore -- 저장소에서 인증서를 제거합니다.

-verifystore -- 저장소의 인증서를 확인합니다.

-repairstore -- 키 연결 복구 또는 인증서 속성 또는 키 보안 설명자 업데이트

-viewstore -- 인증서 저장소를 덤프합니다.

-viewdelstore -- 저장소에서 인증서를 제거합니다.

-UI -- CryptUI 호출 -attest -- 키 증명 요청 확인

-dsPublish -- Active Directory에 인증서 또는 CRL 게시

-ADTemplate -- AD 템플릿 표시

-Template -- 등록 정책 템플릿 표시

-TemplateCAs -- 템플릿의 CA 표시

-CATemplates -- CA의 템플릿 표시

-SetCASites -- CA의 사이트 이름 관리

-enrollmentServerURL -- CA에 연결된 등록 서버 URL을 표시, 추가 또는 삭제합니다.

-ADCA -- AD CA 표시

-CA -- 등록 정책 CA 표시

-Policy -- 등록 정책 표시

-PolicyCache -- 등록 정책 캐시 항목을 표시하거나 삭제합니다.

-CredStore -- 자격 증명 저장소 항목을 표시하거나 추가하거나 삭제합니다.

-InstallDefaultTemplates -- 기본 인증서 템플릿 설치

-URLCache -- URL 캐시 항목을 표시 또는 삭제

-pulse -- 펄스 자동 등록 이벤트 또는 NGC 작업 -MachineInfo -- Active Directory 컴퓨터 개체 정보 표시

-DCInfo -- 도메인 컨트롤러 정보 표시

-EntInfo -- 엔터프라이즈 정보 표시

-TCAInfo -- CA 정보 표시

-SCInfo -- 스마트 카드 정보 표시

-SCRoots -- 스마트 카드 루트 인증서 관리

-DeleteHelloContainer -- Hello 로그온 컨테이너를 삭제합니다. ** 완료하려면 이 옵션을 사용한 후 로그아웃해야 합니다. **

-verifykeys -- 공개 및 개인 키 집합을 확인합니다.

-verify -- 인증서, CRL, 또는 체인을 확인합니다.

-verifyCTL -- AuthRoot 또는 허용되지 않은 인증서 CTL 확인

-syncWithWU -- Windows 업데이트와 동기화

-generateSSTFromWU -- Windows 업데이트에서 SST 생성

-generatePinRulesCTL -- 고정 규칙 CTL 생성

-downloadOcsp -- OCSP 응답 다운로드 및 디렉터리에 쓰기

-generateHpkpHeader -- 지정한 파일 또는 디렉터리에 있는 인증서를 사용하여 HPKP 헤더 생성

-flushCache -- 선택한 프로세스(예: lsass.exe)에 지정된 캐시 플러시

-addEccCurve -- ECC 곡선 추가

-deleteEccCurve -- ECC 곡선 삭제

-displayEccCurve -- ECC 곡선 표시

-sign -- CRL 또는 인증서를 다시 서명

-vroot -- 웹 가상 루트 및 파일 공유를 만들거나 삭제합니다.

-vocsproot -- OCSP 웹 프록시의 웹 가상 루트 만들기/삭제 -addEnrollmentServer -- 등록 서버 응용 프로그램 추가

-deleteEnrollmentServer -- 등록 서버 응용 프로그램 삭제

-addPolicyServer -- 정책 서버 응용 프로그램을 추가합니다.

-deletePolicyServer -- 정책 서버 응용 프로그램을 삭제합니다.

-oid -- ObjectId 표시 또는 표시 이름 설정

-error -- 오류 코드 메시지 텍스트를 표시합니다.

-getreg -- 레지스트리 값을 표시합니다.

-setreg -- 레지스트리 값을 설정합니다.

-delreg -- 레지스트리 값 삭제

-ImportKMS -- 키 저장을 위하여 사용자 키 및 인증서를 서버 데이터베이스로 가져옵니다.

-ImportCert -- 인증서 파일을 데이터베이스로 가져옵니다.

-GetKey -- 저장된 개인키 복구 BLOB을 검색하거나, 복구 스크립트를 생성하거나, 보관된 키를 복구합니다.

-RecoverKey -- 저장된 개인 키 복구 -MergePFX -- PFX 파일 병합

-ConvertEPF -- PFX 파일을 EPF 파일로 변환

-add-chain -- (-AddChain) 인증서 체인 추가

-add-pre-chain -- (-AddPrechain) 사전 인증서 체인 추가

-get-sth -- (-GetSTH) 서명된 트리 헤드 받기

-get-sth-consistency -- (-GetSTHConsistency) 서명된 트리 헤드 변경 사항 받기

-get-proof-by-hash -- (-GetProofByHash) 해시 교정본 받기

-get-entries -- (-GetEntries) 항목 받기

-get-roots -- (-GetRoots) 루트 받기 -get-entry-and-proof -- (-GetEntryAndProof) 항목 및 교정본 받기

-VerifyCT -- SCT 인증서 확인 -? -- 이 사용법 메시지를 표시합니다.

CertUtil -? -- 동사 목록(명령 목록)을 표시합니다.

CertUtil -dump -? -- "dump" 동사의 도움말 텍스트를 표시합니다.

CertUtil -v -? -- 모든 동사의 도움말 텍스트를 모두 표시합니다.

 

 

레퍼런스에서는 저번에 사용한 -generateSSTFromWU부분이 안나와있더라구요.

 

하지만 certutil -? 명령어에서는 Windows update에서 SST생성 이라고 설명이 되어있어요!

 

 

 

 

아래는 이런 애저님의 티스토리에서 긁어온 인증서 추가 명령어 방법입니다.

 

인증서를 신뢰할 수 있는 루트 인증 기관에 추가 certutil -addstore "Root" "인증서 경로"  사용 예) certutil -addstore "Root" "D:\TestCertificate.cer" 인증서를 개인용에 추가 certutil -addstore "My" "인증서 경로" 사용 예) certutil -addstore "My" "D:\TestCertificate.cer" 인증서를 중간 인증 기관에 저장 certutil -addstore "CA" "인증서 경로" 사용 예) certutil -addstore "CA" "D:\TestCertificate.cer" 출처: https://mpain.tistory.com/128 [이런 애저]