Durante los últimos 20 años, certutil.exe y certreq.exe han sido dos de los kits de herramientas de Windows más confiables. Estas herramientas han demostrado ser esenciales para gestionar claves criptográficas y... certificadosespecialmente en entornos de servidor donde la seguridad es fundamental. No es ningún secreto que el uso básico de estas herramientas expone una amplia gama de capacidades poderosas.
Más allá de sus funciones de uso común, existe un conjunto más profundo de capacidades avanzadas y opciones menos conocidas, diseñadas para administradores que necesitan un control preciso sobre las solicitudes y la emisión de certificados. En esta guía, analizaremos estas funciones a menudo ignoradas y descubriremos las opciones ocultas que liberan todo el potencial de estas herramientas.
Certutil.exe
Certutil.exe es una potente herramienta de línea de comandos integrada en Windows que se utiliza para administrar, solucionar problemas y validar componentes de infraestructura de clave pública (PKI). Ampliamente utilizada por administradores de PKI, ingenieros de seguridad y administradores de sistemas, admite una amplia gama de operaciones relacionadas con certificados, incluyendo la administración e inspección de almacenes de certificados, la verificación de cadenas de certificados y pares de claves, la comprobación del estado de revocación a través de Lista de revocación de certificados (CRL) y el Protocolo de estado del certificado en línea (OCSP), codificación y decodificación de archivos, cálculo de hashes de archivos, configuración de ajustes del registro de la Autoridad de Certificación (CA), interacción con contenedores PKI de Active Directory, conversión certificados Entre diferentes formatos, y solucionando problemas de inscripción o confianza de certificados. Gracias a su amplia funcionalidad y flexibilidad, certutil.exe se ha convertido en una de las herramientas más esenciales para trabajar con entornos PKI de Microsoft.
Para visitar la documentación oficial, siga el enlace: Documentación de certutil
Explorando Certutil
Además de las operaciones con certificados, certutil.exe se puede utilizar para realizar copias de seguridad y restaurar componentes de CA, mostrar información de configuración para las CA y configurar los Servicios de certificados.
Un comportamiento que vale la pena comprender es que cuando certutil se ejecuta sin ningún parámetro en un Autoridad de certificación (CA) En un servidor, muestra información sobre la configuración de la CA local. En una máquina que no sea una CA, utiliza por defecto el equivalente a `certutil -dump`. Es importante comprender esta diferencia al analizar la salida de `certutil` durante la resolución de problemas o la revisión de registros.
certutil proporciona una amplia gama de interruptores, que se pueden explorar usando certutil -? o certutil -?. Agregar la bandera -v habilita la salida detallada (certutil -v -?), que amplía la vista de ayuda para incluir comandos adicionales e información de uso más detallada.
Bueno, es posible que estés pensando en qué gran diferencia podría hacer el interruptor “-v”, así que aquí está la salida de una cadena comparada entre certutil-? y el certutil -v -?
El lado izquierdo muestra el resultado del comando “certutil-?”, mientras que el lado derecho muestra la salida del comando “certutil -v -?La diferencia es inmediatamente perceptible. La salida detallada es significativamente más larga, extendiéndose mucho más allá de la lista concisa que devuelve `certutil -?`. Si bien la ayuda predeterminada se centra en los comandos de uso común con descripciones breves, agregar el modificador `-v` amplía significativamente la salida para incluir comandos adicionales e información más detallada. Esto ilustra claramente cuánta funcionalidad de `certutil.exe` permanece oculta a menos que se solicite explícitamente la ayuda detallada.
Explorando los interruptores ocultos de Certutil
La forma más completa de explorar todo lo que ofrece certutil es con la siguiente combinación de indicadores:
certutil -v -uSAGE
Esto combina la salida detallada (-v) con la vista de uso extendida (-uSAGE), lo que produce la ayuda más detallada con sintaxis completa y comandos adicionales que no se muestran en la ayuda estándar.
Si solo necesita la lista de nombres de interruptores ocultos sin todos los detalles de la sintaxis, el siguiente comando proporciona un subconjunto más rápido:
certutil -uSAGE
Cabe destacar que ambos parámetros distinguen entre mayúsculas y minúsculas y deben escribirse exactamente como se muestra. Además, los parámetros ocultos de `certutil` y `certreq` no están documentados por una razón: su comportamiento puede variar según la versión de Windows y quedan fuera del alcance del soporte estándar de Microsoft. Por ello, siempre es recomendable probarlos en un entorno que no sea de producción antes de implementarlos en cualquier sistema crítico o en producción.
Analicemos en detalle la diferencia entre ambos. A la izquierda, tenemos el estándar. certutil-? salida, mientras que a la derecha tenemos la certutil -uSAGE La comparación resalta claramente los parámetros adicionales ocultos, que no son visibles en la ayuda predeterminada. Estas opciones adicionales se resaltan en verde en la vista -uSAGE para una mejor identificación.
Ahora que las diferencias son claramente visibles, analicemos en detalle cada comando adicional disponible con `certutil -uSAGE`. La siguiente tabla explica cada parámetro oculto y su función para mayor claridad.
| Parámetro | Descripción |
|---|---|
| -codificarhexadecimal | Codifica un archivo en formato hexadecimal. |
| -obtener configuración2 | Obtiene la cadena de configuración CA predeterminada a través de la interfaz ICertGetConfig. |
| -obtener configuración3 | Obtiene la configuración de CA a través de la interfaz ICertConfig. |
| -CAPropInfo | Muestra información sobre el tipo de propiedad de la CA, como los tipos de datos y los indicadores de cada propiedad que expone la CA. Se utiliza para la creación de scripts avanzados de CA. |
| -exportPFX | Exporta un certificado y su clave privada a un archivo PFX. |
| -TPMInfo | Muestra información del Módulo de Plataforma Segura (TPM). Indica la versión, el fabricante y las capacidades del TPM, lo cual resulta útil al implementar claves respaldadas por TPM. Se utiliza para la validación de claves respaldadas por TPM y tarjetas inteligentes virtuales (VSC). |
| -obtener certificado | Abre una interfaz de usuario para seleccionar un certificado de forma interactiva. La sintaxis completa es certUtil [Opciones] -getcert [ObjectId | ERA | KRA [CommonName]]. |
| -ds | Muestra los nombres distintivos (DN) de Active Directory para los contenedores PKI (AIA, CDP, etc.). Ayuda a comprender dónde se almacenan los objetos PKI en AD. |
| -dsDel | Elimina una entrada específica de un contenedor PKI de Active Directory. Úselo con extrema precaución, ya que elimina objetos de AD de forma permanente. |
| -dsCert | Muestra los certificados almacenados en los contenedores PKI de Active Directory. |
| -dsCRL | Muestra las listas de revocación de certificados (CRL) almacenadas en Active Directory. |
| -dsDeltaCRL | Muestra las listas de revocación de certificados (CRL) delta almacenadas en Active Directory. Se utiliza cuando una CA publica listas de revocación incrementales. |
| -dsTemplate | Muestra los atributos de la plantilla de certificado de Active Directory. Añada -v antes para expandir completamente los indicadores de inscripción, los indicadores de clave privada, las políticas de emisión y los OID de EKU. Se utiliza para la auditoría de plantillas y la revisión de seguridad. |
| -dsAddTemplate | Agrega plantillas de certificados a Active Directory. Se utiliza durante la configuración de la CA o al publicar nuevas plantillas. |
| -Establecer plantillas CA | Establece o restringe la lista de plantillas que una CA puede emitir. |
| -URL | Verifica las URL de los certificados y las CRL (Listas de Revocación de Certificados) para garantizar que sean accesibles y devuelvan datos válidos. Ayuda a solucionar problemas de accesibilidad de la cadena, las CRL y el protocolo OCSP. |
| -SCDump | Extrae la información del archivo de la tarjeta inteligente. Se utiliza para solucionar problemas de inicio de sesión y aprovisionamiento de tarjetas inteligentes. |
| -llave | Muestra todos los contenedores de claves criptográficas en la máquina. Incluye tanto los contenedores de claves CryptoAPI (heredados) como los de claves CNG. |
| -delkey | Elimina (de forma permanente) un contenedor de claves criptográficas específico del equipo. |
| -csplist | Muestra todos los proveedores de servicios criptográficos (CSP) y proveedores de almacenamiento de claves (KSP) instalados en el equipo. Útil para verificar la disponibilidad de proveedores de HSM/tarjetas inteligentes. |
| -csptest | Prueba un CSP/KSP cargándolo y verificando sus operaciones criptográficas. Se utiliza comúnmente para la resolución de problemas en HSM y tarjetas inteligentes. |
| -CNGConfig | Muestra la configuración de CNG (Criptografía de Nueva Generación), como los algoritmos registrados, los proveedores y los ajustes de CNG. |
| -Clase | Muestra información del registro COM para las clases COM relacionadas con certificados. |
| -7f | Comprueba si un certificado tiene codificaciones de longitud 0x7f. |
| -obtenersmtpinfo | Muestra la configuración de notificaciones SMTP (correo electrónico) configurada en la CA. |
| -setsmtpinfo | Configura los ajustes de notificación SMTP en la CA, como por ejemplo, configurar alertas por correo electrónico para eventos de la CA, como la emisión, la caducidad o los fallos de los certificados. |
Nota: Estos comandos operan a un nivel administrativo sensible. El uso incorrecto de parámetros como -dsDel, -delkey o -SetCATemplates puede afectar los servicios de certificados, romper las cadenas de confianza o eliminar objetos PKI críticos de Active Directory. Siempre verifique el destino y comprenda el impacto antes de ejecutarlos en un entorno de producción.
Dicho esto, echemos un vistazo más de cerca a algunos de los interruptores ocultos más utilizados, aquellos que los administradores de PKI encontrarán más útiles en las operaciones diarias y en la resolución de problemas.
-
-csplist y -csptest:
Estas dos opciones funcionan mejor juntas. Primero, ejecute -csplist para ver todos los CSP y KSP registrados en la máquina; luego, use -csptest para cargar y verificar un proveedor específico. Esta es la forma más rápida de diagnosticar problemas con el HSM o la tarjeta inteligente: si el proveedor no aparece en -csplist, el controlador no está registrado; si aparece, pero -csptest falla, el problema se debe a permisos, PIN o ruta de la biblioteca. Cada parámetro también se puede expandir individualmente para obtener más detalles.
certutil -v -csplist -?
certutil -v -csptest -?
-
-dstemplate con -v:
Agregar -v antes de -dstemplate marca una diferencia significativa. Sin él, se obtienen los nombres de las plantillas. Con él, se obtiene la expansión completa, incluyendo indicadores de inscripción, indicadores de clave privada, políticas de emisión y OID de EKU. Este es el comando que se debe ejecutar al auditar plantillas para detectar configuraciones de seguridad incorrectas:
certutil -v -dstemplate
certutil -v -dstemplate Servidor web
Otro aspecto importante a tener en cuenta es que cada interruptor oculto, al igual que los públicos, puede expandirse individualmente. Esto funciona para cualquier interruptor de la lista -uSAGE:
certutil -URL -?
certutil -v -SCDump -?
En conjunto, estos interruptores brindan a los administradores de PKI un nivel de visibilidad y control que simplemente no está disponible a través de la consola MMC ni de la ayuda estándar de certutil. Cuanto más familiarizado esté con ellos, más rápido podrá diagnosticar y resolver problemas en su entorno PKI.
Certreq.exe
Certreq.exe es una potente herramienta de línea de comandos integrada en Windows para gestionar el ciclo de vida completo de la inscripción de certificados. Mientras que certutil.exe se encarga de la inspección de certificados y la administración de la CA, certreq.exe se centra en la parte de la solicitud: generación, envío, recuperación e instalación. certificados de un CA.
Para visitar la documentación oficial, siga el enlace: documentación de Certreq
Explorando Certreq
En esencia, certreq.exe es el puente entre el solicitante del certificado y la CA. Gestiona todas las etapas del proceso de inscripción desde una única interfaz de línea de comandos, lo que resulta especialmente valioso en entornos de servidor donde la inscripción mediante interfaz gráfica no está disponible o no es práctica.
Esto es lo que puede hacer certreq y cómo encaja cada capacidad en las operaciones de PKI del mundo real:
-
Solicitar un certificado a una CA: Mediante un archivo de política INF, certreq genera una solicitud de firma de certificado (CSR) y un par de claves privadas. El archivo INF define el sujeto, el algoritmo de clave, el tamaño de la clave, el uso previsto y las extensiones solicitadas, lo que permite a los administradores un control preciso sobre lo que se solicita.
certreq -nueva solicitud.inf solicitud.csr
-
Envíe una solicitud a una CA: Una vez que la solicitud de firma de certificado (CSR) está lista, certreq la envía directamente a una CA empresarial a través de RPC/DCOM o a una CA externa mediante un archivo. El indicador -config especifica a qué CA dirigirse cuando existen varias CA en el entorno.
certreq -submit -config "ServerName\CAName" request.csr issued.cer
-
Recuperar un certificado pendiente: Cuando una CA requiere la aprobación del administrador, el certificado no se emite de inmediato. certreq puede consultar a la CA y recuperar el certificado emitido una vez que haya sido aprobado, utilizando el ID de solicitud devuelto al momento del envío.
certreq -retrieve -config "ServerName\CAName" emitido.cer
-
Acepte e instale el certificado emitido: Tras su recuperación, certreq instala el certificado en el almacén de certificados de Windows correspondiente y lo vincula a su clave privada, completando así el proceso de inscripción.
certreq -accept emitido.cer
- Cree una solicitud de certificación cruzada o subordinación calificada: Para las organizaciones que crean jerarquías PKI, certreq puede generar solicitudes de certificación cruzada a partir de un certificado CA existente. Esto se utiliza al establecer la confianza entre dos jerarquías PKI independientes o al crear una CA subordinada cualificada con espacios de nombres y restricciones de políticas limitados.
- Firme una solicitud de certificación cruzada o subordinación calificada: certreq también puede firmar una solicitud de certificación cruzada pendiente utilizando un certificado de CA existente, completando así el establecimiento de la confianza entre las jerarquías PKI sin necesidad de la consola MMC CA.
Parámetros del comando Certreq
| Parámetro | Descripción |
|---|---|
| -entregar | Envía una solicitud a una autoridad de certificación. |
| -recuperar | Recupera una respuesta a una solicitud anterior de una autoridad de certificación. |
| -nuevo | Crea una nueva solicitud a partir de un archivo .inf. |
| -aceptar | Acepta e instala una respuesta a una solicitud de certificado. |
| -política | Establece la política para una solicitud |
| -firmar | Firma una solicitud de certificación cruzada o subordinación calificada. |
| -inscribirse | Se inscribe o renueva un certificado. |
| -? | Muestra una lista de la sintaxis, las opciones y las descripciones de certreq. |
| -? | Muestra la ayuda para el parámetro especificado. |
| -v -? | Muestra una lista detallada de la sintaxis, las opciones y las descripciones de certreq. |
Entre estos, -submit y -retrieve son los interruptores más utilizados para enviar una solicitud de certificado y recuperar los certificados emitidos. Autoridad certificada a través de la línea de comandos.
Explorando los interruptores ocultos de Certreq
Al igual que certutil, certreq tiene su propio conjunto de parámetros ocultos, que se revelan utilizando el mismo parámetro -uSAGE que distingue entre mayúsculas y minúsculas:
certreq.exe -uSAGE
Las capturas de pantalla que aparecen a continuación comparan la salida de `certreq -?` a la izquierda con la salida estándar de `certreq -uSAGE` a la derecha. Los parámetros ocultos adicionales solo son visibles a la derecha.
Una vez establecidas las diferencias, examinemos en detalle cada comando adicional disponible con `certreq -uSAGE`. La siguiente tabla explica cada parámetro oculto y su función para mayor claridad.
| Interruptor oculto | Que hace |
|---|---|
| -EOBO | Inicia el asistente de inscripción en nombre de otro usuario. Permite que un agente de inscripción solicite certificados en nombre de otro usuario. Requiere que se configure un certificado de agente de inscripción. |
| -EnrollX | Solicita varios certificados en una sola operación. Acepta los parámetros -Accept user y -machine para controlar el almacén de certificados de destino. |
| -Inscripción automática | Inicia la interfaz de usuario de inscripción automática. Admite las opciones -v, -user y -machine. |
| -Pedido | Crea una solicitud de certificado personalizada con control extendido sobre el contenido de la solicitud. Admite las opciones de contexto -user y -machine. |
| -ImportPFX | Importa un archivo PFX directamente a un proveedor criptográfico específico, incluidos proveedores de hardware como HSM y tarjetas inteligentes. |
Cada uno de ellos se puede expandir individualmente para obtener la sintaxis completa:
certreq -ImportPFX -?
certreq -AutoEnroll -?
certificado -EOBO -?
De todas ellas, -ImportPFX merece un análisis más detallado, sobre todo por cómo difiere de sus homólogas en certutil.
-ImportPFX en certreq frente a -importPFX en certutil
De entre todas las opciones ocultas, certreq -importPFX y certutil -importPFX resultan particularmente interesantes. Si bien ambas funcionan con archivos PFX, cumplen funciones diferentes y se comportan de manera muy distinta en la práctica.
La principal diferencia radica en cómo se dirigen al destino. certutil -importPFX opera con almacenes de certificados de Windows con nombre y ofrece una amplia lista de modificadores, que incluye AT_SIGNATURE, AT_KEYEXCHANGE, NoExport, NoChain, NoRoot, Protect, ProtectHigh, Pkcs8, VSM y más, lo que permite un control preciso sobre cómo se importan el certificado y la clave.
certutil [opciones] -importPFX [nombreAlmacénDeCertificados] ArchivoPFX [Modificadores]
Por otro lado, `certreq -ImportPFX` apunta directamente a un proveedor criptográfico específico por su nombre, incluyendo proveedores de hardware como HSM y lectores de tarjetas inteligentes. Su sintaxis es posicional en lugar de estar basada en modificadores:
certreq -ImportPFX PFXFile [Proveedor [Lector [Prefijo de contenedor [Nombre descriptivo [Indicadores]]]]]
Nota: La opción -importPFX en certutil es un parámetro totalmente documentado y compatible. En cambio, -ImportPFX en certreq no aparece en la ayuda estándar y se considera una funcionalidad no documentada o poco conocida. Úsela con precaución y siempre verifique su comportamiento en entornos que no sean de producción.
En la práctica, utilice `certutil -importPFX` para importar certificados estándar de Windows, donde el control de modificadores es importante. Utilice `certreq -ImportPFX` al importar directamente a un proveedor de hardware con nombre, un KSP de HSM o un lector de tarjetas inteligentes específico.
¿Cómo puede ayudar Encryption Consulting?
Encryption Consulting ofrece servicios especializados diseñados para identificar vulnerabilidades y mitigar riesgos al proporcionar Servicios de PKINuestra orientación estratégica alinea las soluciones PKI con los objetivos organizacionales, mejorando la eficiencia y minimizando costos. Al asociarse con Encryption Consulting, las organizaciones pueden aprovechar al máximo el potencial de las soluciones PKI, obteniendo beneficios financieros tangibles y manteniendo sólidas medidas de seguridad.
Consultoría de cifrado PKIaaS Proporciona una solución PKI flexible y segura, adaptada a sus necesidades específicas, con ventajas como opciones personalizables, altos estándares de seguridad y un enfoque gestionado de bajo riesgo. PKIaaS automatiza las tareas de gestión de claves y certificados, reduciendo la sobrecarga operativa y minimizando el riesgo de errores humanos. Además, mejora la visibilidad de la red al requerir certificados para el acceso. Se encargará de construir la infraestructura PKI para liderar y gestionar el entorno PKI (en la nube, híbrido o local) de su organización.
Administrador de CertSecure Cuenta con un conjunto completo de funciones de gestión del ciclo de vida. Desde el descubrimiento y el inventario hasta la emisión, implementación, renovación, revocación e informes, CertSecure ofrece una solución integral. Generación inteligente de informes, alertas, automatización, implementación automática en servidores y... inscripción de certificado Añade capas de sofisticación, convirtiéndolo en un activo versátil e inteligente.
Conclusión
Certutil y Certreq son herramientas potentes para la gestión certificados en entornos Windows. Si bien sus funciones fundamentales son ampliamente reconocidas, profundizar en sus características sofisticadas y opciones ocultas revela una gran cantidad de capacidades avanzadas.
Estas herramientas ofrecen un nivel de visibilidad y control sobre gestión de certificados Esto va mucho más allá de lo que ofrece la consola MMC. Los administradores de servidores que dediquen tiempo a comprender todas las capacidades de certutil y certreq, en particular las opciones ocultas que se exponen mediante -uSAGE, diagnosticarán y resolverán los problemas de PKI con mucha mayor rapidez. Si la gestión y la seguridad de su infraestructura de certificados requieren conocimientos especializados, el equipo de PKI de Encryption Consulting está a su disposición.
