Under de senaste 20 åren har certutil.exe och certreq.exe varit två av de mest pålitliga Windows-verktygen. Dessa verktyg har visat sig vara viktiga för att hantera kryptografiska nycklar och certifikat, särskilt i serversammanhang där säkerhet är avgörande. Det är ingen hemlighet att den grundläggande användningen av dessa verktyg avslöjar en mängd otroligt användbara funktioner.
Under ytan finns dock en värld av avancerade funktioner och ett flertal switchar utformade exklusivt för serveradministratörer, vilket ger oöverträffad frihet och kontroll över hanteringen av förfrågningar och utfärdande av certifikat. Vi ska försöka djupdyka i världen av dessa föga kända skatter och utforska de dolda switcharna.
Certutil.exe
Certutil, som står för Certificate Utility, är ett mångsidigt kommandoradsverktyg som möjliggör en rad certifikatrelaterade aktiviteter i Windows-miljön. Det tillhandahåller funktioner för att hantera certifikatarkiv, inspektera certifikat och konvertera certifikat mellan olika format. I huvudsak kan det jämföras med en schweizisk armékniv för certifikathantering.
För att besöka den officiella dokumentationen, följ länken: Certutil-dokumentation
Utforskar Certutil
Certutil.exe kan användas för att säkerhetskopiera och återställa CA-komponenter, visa konfigurationsinformation för Certifieringsmyndigheter (CA:er)), och konfigurera certifikattjänster. Dessutom verifierar programmet certifikatkedjor, nyckelpar och certifikat.
När certutil används på en certifieringsutfärdare utan ytterligare parametrar, ändras konfigurationen av certifieringsutfärdare visas. Utför certutil utan extra parametrar på en icke-certifieringsutfärdare, så kommer kommandot att utföra certutil -dump som standard.
Certutil erbjuder olika användbara switchar. Du kan se vilka alternativ din version av certutil erbjuder genom att köra säkert -? or certutil -?
Lägg till -v-växeln för en utförlig utdata: certutil -v -?
Tja, du kanske funderar på vilken större skillnad "-v"-växeln kan göra, så här är utdata från en sträng jämfört mellan säkert -? Och certutil -v -?
Vänster sida innehåller utdata från kommandot "säkert -?” och den högra sidan innehåller kommandot "Certutil -v -?".
Utforskar dolda switchar i Certutil
Dolda brytare i Certutil kan ses med hjälp av en parameter -användandeSkärmdumparna nedan visar skillnaderna mellan “certutil-användning” kommandot (på vänster sida) och kommandot ”certutil -?” (på höger sida). Skillnaderna är tydliga
Dessa dolda brytare innehåller: –
- -kodhexKoda filen i hexadecimalt format
- -exportPFX: Importera certifikat och privat nyckel
- -getconfig2: Hämta standardkonfigurationssträngen via ICertGetConfig
- -getconfig3: Hämta konfiguration via ICertConfig
- -SetCATemplates: Ställ in mallar för CA
- -ds: Visa DS-DN:er
- -dsCert: Visa DS-certifikat
- -dsCRL: Visa DS CRL:er
- -dsDeltaCRL: Display DS Delta CRL
- -dsMall: Attribut för Display DS-mall
- -dsAddTemplate: Lägg till DS-mallar
Flera switchar är verkligen användbara för att utföra uppgifter och felsöka. Du kan se utseendet på Active Directory-behållare genom att använda –ds-brytareFör att lista en specifik certifikatmall, använd –dmall omkopplare.
Det är möjligt att helt uttrycka mallen och utöka registrerings- och privatnyckelflaggor genom att kasta -v före -dmallDatorns nyckellagringsleverantörer och äldre kryptografiska tjänsteleverantörer listas och testas med hjälp av -csplist och -csptest switchar. Dessa är otroligt användbara för att lista de kryptografiska algoritmer som varje leverantör har avslöjat och för felsökning HSM eller smartkort.
Certreq.exe
Certreq, förkortning för Certificate Request, är ett annat kommandoradsverktyg som är integrerat i hanteringen av certifikat i Windows-miljöer. Dess primära syfte är att generera certifikatförfrågningar och skicka dem till en certifieringsutfärdare (CA).
För att besöka den officiella dokumentationen, följ länken: Certreq-dokumentation
Utforskar Certreq
Kommandot certreq kan användas för att begära certifikat från en certifieringsutfärdare (CA), hämta ett svar på en tidigare begäran från en CA, skapa en ny begäran från en .inf-fil, acceptera och installera ett svar på en begäran, konstruera en begäran om korscertifiering eller kvalificerad underordning från ett befintligt CA-certifikat eller en begäran, och signera en begäran om korscertifiering eller kvalificerad underordning.
Certreq-kommandoparametrar
”Certreq -submit” och ”certreq -retrieve” är de mest använda växlarna för att skicka in en certifikatförfrågan och hämta de utfärdade certifikaten från certifikatutfärdare via kommandoraden.
Utforska dolda switchar i Certreq
I likhet med certutil kan dolda brytare i certreq ses med hjälp av -användande parameter. Precis som i fallet med Certutil visar skärmdumparna nedan skillnaderna mellan kommandot ”certreq -uSAGE” (på vänster sida) och kommandot ”certreq -?” (på höger sida). Skillnaderna är tydliga
De dolda brytarna i certreq är:
- -ImportPFX: för att importera certifikat och privat nyckel.
- -Autoregistrering: Starta automatisk registrering av användare
- -RegistreraX: att registrera flera certifikat samtidigt
- -Begäran: för att skapa en anpassad förfrågan
- -EOBO: börja registrera för guidens räkning
Bland alla dolda switchar är två switchar de mest intressanta att titta på - ImportPFX i certreq och -ExportPFX i certutil. På liknande sätt finns det också en –importPFX i de offentliga switcharna för certutil.exe som verkar vara väldigt annorlunda än certreq.exe men med potential för liknande resultat
Hur kan krypteringskonsulting hjälpa till?
Krypteringskonsulttjänster erbjuder specialiserade tjänster skräddarsydda för att identifiera sårbarheter och minska risker genom att tillhandahålla PKI-tjänsterVår strategiska vägledning anpassar PKI-lösningar till organisationens mål, vilket ökar effektiviteten och minimerar kostnaderna. Genom att samarbeta med Encryption Consulting kan organisationer frigöra den fulla potentialen hos PKI-lösningar, realisera konkreta ekonomiska fördelar samtidigt som de upprätthåller starka säkerhetsåtgärder.
Krypteringskonsulttjänster PKIaaS erbjuder en flexibel och säker PKI-lösning skräddarsydd för dina specifika behov, med fördelar som anpassningsbara alternativ, höga säkerhetsstandarder och en lågriskhanteringsmetod. PKIaaS automatiserar nyckel- och certifikathanteringsuppgifter, vilket minskar driftskostnader och minimerar risken för mänskliga fel. Dessutom förbättrar det nätverkssynligheten genom att kräva certifikat för åtkomst. Det tar hand om att bygga PKI-infrastrukturen för att leda och hantera PKI-miljön (moln/hybrid eller lokalt) i din organisation.
CertSecure-hanterare har en omfattande uppsättning funktioner för livscykelhantering. Från identifiering och inventering till utfärdande, driftsättning, förnyelse, återkallelse och rapportering. CertSecure erbjuder en heltäckande lösning. Intelligent rapportgenerering, aviseringar, automatisering, automatisk driftsättning på servrar och certifikatregistrering lägga till lager av sofistikering, vilket gör den till en mångsidig och intelligent tillgång.
Slutsats
Certutil och Certreq är kraftfulla verktyg för att hantera certifikat i Windows-miljöer. Även om deras grundläggande funktioner är allmänt erkända, avslöjar en fördjupning i deras sofistikerade funktioner och dolda switchar en mängd dolda möjligheter.
Dessa verktyg erbjuder oöverträffad kontroll över certifikathantering arbetsuppgifter, från att justera certifikatförfrågningar till att modifiera certifikatarkiv. Serveradministratörer kan avsevärt förbättra säkerheten och effektiviteten genom att utforska djupet i Certutil och Certreq och implementera procedurer för certifikathantering.
