Certmgr.exe (средство диспетчера сертификатов)
Диспетчер сертификатов (Certmgr.exe) предназначен для управления сертификатами, списками доверия сертификатов (CTL) и списками отзыва сертификатов (CRL).
Диспетчер сертификатов устанавливается вместе с пакетом SDK для Windows 10. Для запуска этого средства используйте Командную строку разработчика или PowerShell для разработчиков в Visual Studio.
Диспетчер сертификатов (Certmgr.exe) является служебной программой командной строки, в то время как сертификаты (Certmgr.msc) — это оснастка консоли управления (MMC). Так как Файл Certmgr.msc обычно находится в системном каталоге Windows, ввод certmgr в командной строке может загрузить оснастку MMC «Сертификаты», даже если вы открыли командную строку разработчика для Visual Studio. Это происходит потому, что путь к оснастке предшествует пути к средству диспетчера сертификатов в переменной Path среды. При возникновении этой проблемы можно выполнить команды Certmgr.exe, указав путь к исполняемому файлу, например %ProgramFiles(x86)%\Windows Kits\10\bin\10.0.22000.0\arm64\certmgr.exe.
Общие сведения о сертификатах X.509 см. в разделе Работа с сертификатами.
Синтаксис
В командной строке введите следующее:
certmgr [/add | /del | /put] [options] [/s[/r registryLocation]] [sourceStorename] [/s[/r registryLocation]] [destinationStorename]
Параметры
| Аргумент | Описание |
|---|---|
| sourceStorename | Хранилище сертификатов, содержащее существующие сертификаты, списки доверия сертификатов (CTL) и списки отзыва сертификатов (CRL) для добавления, удаления, сохранения или отображения. Это может быть файл хранилища или хранилище систем. |
| destinationStorename | Конечное хранилище сертификатов или файл. |
| Параметр | Описание: |
|---|---|
| /add | Добавляет сертификаты, CTL и CRL в хранилище сертификатов. |
| /all | Добавляет все записи при использовании параметра /add. Удаляет все записи при использовании параметра /del. Отображает все записи при использовании без параметров /add или /del. Параметр /all нельзя использовать вместе с параметром /put. |
| /c | Добавляет сертификаты при использовании параметра /add. Удаляет сертификаты при использовании параметра /del. Сохраняет сертификаты при использовании параметра /put. Отображает сертификаты при использовании без параметра /add, /del или /put. |
| /CRL | При использовании с параметром /add добавляет списки отзыва сертификатов (CRL). При использовании с параметром /del удаляет списки отзыва сертификатов (CRL). Сохраняет списки CRL при использовании с параметром /put. Отображает списки отзыва сертификатов (CRL) при использовании без параметра /add, /del или /put. |
| /CTL | При использовании с параметром /add добавляет списки доверия сертификатов (CTL). При использовании с параметром /del удаляет списки доверия сертификатов (CTL). Сохраняет списки CTL при использовании с параметром /put. Отображает списки доверия сертификатов (CTL) при использовании без параметра /add, /del или /put. |
| /del | Удаляет сертификаты, CTL и CRL из хранилища сертификатов. |
| /eencodingType | Указывает тип шифрования сертификата. Значение по умолчанию — X509_ASN_ENCODING . |
| /fdwFlags | Задает открытый флаг хранилища. Это параметр dwFlags, передаваемый методу CertOpenStore. По умолчанию используется значение CERT_SYSTEM_STORE_CURRENT_USER. Этот параметр обрабатывается, только если задан параметр /y. |
| /h[elp] | Отображает синтаксис команд и параметров программы. |
| /nnam | Задает общее имя добавляемого, удаляемого или сохраняемого сертификата. Этот параметр может применяться только для сертификатов, его нельзя задавать для CTL и CRL. |
| /put | Сохраняет в файл сертификат X.509, CTL или CRL из хранилища сертификатов. Файл сохраняется в формате X.509. Чтобы сохранить файл в формате PKCS #7, можно использовать параметр /7 с параметром /put. За параметром /put должен следовать параметр /c, /CTL или /CRL. Параметр /all нельзя использовать вместе с параметром /put. |
| /rlocation | Указывает расположение системного хранилища в реестре. Этот параметр обрабатывается, только если задан параметр /s. Параметр location должен иметь одно из следующих значений. |
Примечания
Основные функции программы Certmgr.exe.
- Отображение сведений о сертификатах, CTL и CRL на консоли.
- Добавляет сертификаты, CTL и CRL в хранилище сертификатов.
- Удаляет сертификаты, CTL и CRL из хранилища сертификатов.
- Сохраняет в файл сертификат X.509, CTL или CRL из хранилища сертификатов.
Программа Certmgr.exe работает с двумя типами хранилищ сертификатов: системным и StoreFile. Нет необходимости указывать тип хранилища сертификатов. Certmgr.exe может определить тип хранилища и выполнить соответствующие операции.
При запуске программы Certmgr.exe без параметров выполняется оснастка «certmgr.msc» с графическим интерфейсом пользователя, облегчающим управление сертификатами, что также можно сделать из командной строки. В графическом интерфейсе пользователя имеется мастер импорта, копирующий сертификаты, CTL и CRL с диска в хранилище сертификатов.
Чтобы найти имена хранилищ X509Certificate для параметров sourceStorename и destinationStorename , можно скомпилировать и выполнить следующий код.
using System; using System.Security.Cryptography.X509Certificates; public class Example < public static void Main() < foreach (var storeValue in Enum.GetValues(typeof(StoreName))) < X509Store store = new X509Store((StoreName) storeValue); store.Open(OpenFlags.ReadOnly); Console.WriteLine(store.Name); >> >
Imports System.Security.Cryptography.X509Certificates Module Example Public Sub Main() For Each storeValue In [Enum].GetValues(GetType(StoreName)) Dim store As New X509Store(CType(storeValue, StoreName)) store.Open(OpenFlags.ReadOnly) Console.WriteLine(store.Name) Next End Sub End Module
Дополнительные сведения см. в разделе Работа с сертификатами.
Примеры
Следующая команда выводит подробные сведения о содержимом системного хранилища my , используемого по умолчанию.
certmgr /v /s my
Следующая команда добавляет все сертификаты из файла myFile.ext в новый файл newFile.ext .
certmgr /add /all /c myFile.ext newFile.ext
Следующая команда добавляет сертификат в файле testcert.cer в хранилище системы my .
certmgr /add /c testcert.cer /s my
Следующая команда добавляет сертификат в файле TrustedCert.cer в хранилище корневых сертификатов.
certmgr /c /add TrustedCert.cer /s root
Следующая команда сохраняет сертификат с общим именем myCert в системном хранилище my в файл newCert.cer .
certmgr /add /c /n myCert /s my newCert.cer
Следующая команда удаляет все CTL из системного хранилища my и сохраняет полученное хранилище в файл newStore.str .
certmgr /del /all /ctl /s my newStore.str
Следующая команда сохраняет сертификат в системном хранилище my в файл newFile . Программа запросит у пользователя номер сертификата из хранилища my , который следует поместить в файл newFile .
certmgr /put /c /s my newFile
См. также
- Инструменты
- CertMgr (разработка приложений для Windows)
- Makecert.exe (средство создания сертификатов)
- Оболочки командной строки для разработчиков
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Certmgr.exe (Certificate Manager Tool)
The Certificate Manager tool (Certmgr.exe) manages certificates, certificate trust lists (CTLs), and certificate revocation lists (CRLs).
The Certificate Manager is installed with the Windows 10 SDK. To start the tool, use Visual Studio Developer Command Prompt or Visual Studio Developer PowerShell.
The Certificate Manager tool (Certmgr.exe) is a command-line utility, whereas Certificates (Certmgr.msc) is a Microsoft Management Console (MMC) snap-in. Because Certmgr.msc is usually found in the Windows System directory, entering certmgr at the command line may load the Certificates MMC snap-in even if you’ve opened the Developer Command Prompt for Visual Studio. This occurs because the path to the snap-in precedes the path to the Certificate Manager tool in the Path environment variable. If you encounter this problem, you can execute Certmgr.exe commands by specifying the path to the executable, for example, %ProgramFiles(x86)%\Windows Kits\10\bin\10.0.22000.0\arm64\certmgr.exe.
For an overview of X.509 certificates, see Working with Certificates.
Syntax
At the command prompt, enter the following:
certmgr [/add | /del | /put] [options] [/s[/r registryLocation]] [sourceStorename] [/s[/r registryLocation]] [destinationStorename]
Parameters
| Argument | Description |
|---|---|
| sourceStorename | The certificate store that contains the existing certificates, CTLs, or CRLs to add, delete, save, or display. This can be a store file or a systems store. |
| destinationStorename | The output certificate store or file. |
| Option | Description |
|---|---|
| /add | Adds certificates, CTLs, and CRLs to a certificate store. |
| /all | Adds all entries when used with /add. Deletes all entries when used with /del. Displays all entries when used without the /add or /del options. The /all option cannot be used with /put. |
| /c | Adds certificates when used with /add. Deletes certificates when used with /del. Saves certificates when used with /put. Displays certificates when used without the /add, /del, or /put option. |
| /CRL | Adds CRLs when used with /add. Deletes CRLs when used with /del. Saves CRLs when used with /put. Displays CRLs when used without the /add, /del, or /put option. |
| /CTL | Adds CTLs when used with /add. Deletes CTLs when used with /del. Saves CTLs when used with /put. Displays CTLs when used without the /add, /del, or /put option. |
| /del | Deletes certificates, CTLs, and CRLs from a certificate store. |
| /e encodingType | Specifies the certificate encoding type. The default is X509_ASN_ENCODING . |
| /f dwFlags | Specifies the store open flag. This is the dwFlags parameter passed to CertOpenStore. The default value is CERT_SYSTEM_STORE_CURRENT_USER. This option is considered only if the /y option is used. |
| /h[elp] | Displays command syntax and options for the tool. |
| /n nam | Specifies the common name of the certificate to add, delete, or save. This option can only be used with certificates; it cannot be used with CTLs or CRLs. |
| /put | Saves an X.509 certificate, CTL, or CRL from a certificate store to a file. The file is saved in X.509 format. You can use the /7 option with the /put option to save the file in PKCS #7 format. The /put option must be followed by either /c, /CTL, or /CRL. The /all option cannot be used with /put. |
| /r location | Identifies the registry location of the system store. This option is considered only if you specify the /s option. location must be one of the following: |
Remarks
Certmgr.exe performs the following basic functions:
- Displays certificates, CTLs, and CRLs to the console.
- Adds certificates, CTLs, and CRLs to a certificate store.
- Deletes certificates, CTLs, and CRLs from a certificate store.
- Saves an X.509 certificate, CTL, or CRL from a certificate store to a file.
Certmgr.exe works with two types of certificate stores: StoreFile and system store. It’s not necessary to specify the type of certificate store; Certmgr.exe can identify the store type and perform the appropriate operations.
Running Certmgr.exe without specifying any options launches the certmgr.msc snap-in, which has a GUI that helps with the certificate management tasks that are also available from the command line. The GUI provides an import wizard, which copies certificates, CTLs, and CRLs from your disk to a certificate store.
You can find the names of X509Certificate stores for the sourceStorename and destinationStorename parameters by compiling and running the following code.
using System; using System.Security.Cryptography.X509Certificates; public class Example < public static void Main() < foreach (var storeValue in Enum.GetValues(typeof(StoreName))) < X509Store store = new X509Store((StoreName) storeValue); store.Open(OpenFlags.ReadOnly); Console.WriteLine(store.Name); >> >
Imports System.Security.Cryptography.X509Certificates Module Example Public Sub Main() For Each storeValue In [Enum].GetValues(GetType(StoreName)) Dim store As New X509Store(CType(storeValue, StoreName)) store.Open(OpenFlags.ReadOnly) Console.WriteLine(store.Name) Next End Sub End Module
For more information about certificates, see Working with Certificates.
Examples
The following command displays a default system store called my with verbose output.
certmgr /v /s my
The following command adds all the certificates in a file called myFile.ext to a new file called newFile.ext .
certmgr /add /all /c myFile.ext newFile.ext
The following command adds the certificate in a file named testcert.cer to the my system store.
certmgr /add /c testcert.cer /s my
The following command adds the certificate in a file named TrustedCert.cer to the root certificate store.
certmgr /c /add TrustedCert.cer /s root
The following command saves a certificate with the common name myCert in the my system store to a file called newCert.cer .
certmgr /add /c /n myCert /s my newCert.cer
The following command deletes all CTLs in the my system store and saves the resulting store to a file called newStore.str .
certmgr /del /all /ctl /s my newStore.str
The following command saves a certificate in the my system store in the file newFile . You will be prompted to enter the certificate number from my to put in newFile .
certmgr /put /c /s my newFile
See also
- Tools
- CertMgr (Windows app development)
- Makecert.exe (Certificate Creation Tool)
- Developer command-line shells
Collaborate with us on GitHub
The source for this content can be found on GitHub, where you can also create and review issues and pull requests. For more information, see our contributor guide.
Практическое руководство. Просмотр сертификатов с помощью оснастки MMC
При создании защищенного клиента или службы в качестве учетных данных можно использовать сертификат . Например, распространенный тип учетных данных — сертификат X.509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода .
Существует три различных типа хранилищ сертификатов, которые можно изучить с помощью консоли управления (MMC) в системах Windows:
- Локальный компьютер. Хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.
- Текущий пользователь. Хранилище является локальным для текущей учетной записи пользователя на устройстве.
- Учетная запись службы. Хранилище является локальным для определенной службы на устройстве.
Просмотр сертификатов в оснастке MMC
В следующей процедуре показано, как проверить хранилища на локальном устройстве, чтобы найти соответствующий сертификат.

- Выберите Выполнить в меню Пуск и введите mmc. Появится MMC.
- В меню Файл выберите Добавить или удалить оснастку. Откроется окно Добавление и удаление оснасток .
- В списке Доступные оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.
- В окне оснастки Сертификаты выберите Учетная запись компьютера, а затем нажмите кнопку Далее. При необходимости можно выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.
Примечание Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для своей учетной записи пользователя.

Просмотр сертификатов с помощью диспетчера сертификатов
Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.
Просмотр сертификатов для локального устройства
- В меню Пуск выберите Выполнить, а затем введите certlm.msc. Откроется средство диспетчера сертификатов для локального устройства.
- Чтобы просмотреть сертификаты, в разделе Сертификаты — локальный компьютер в области слева разверните каталог для типа сертификата, который требуется просмотреть.
Просмотр сертификатов для текущего пользователя
- Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc. Отобразится инструмент диспетчера сертификатов для текущего пользователя.
- Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в области слева разверните каталог для типа сертификата, который требуется просмотреть.
См. также раздел
- Работа с сертификатами
- Практическое руководство. Создание временных сертификатов для использования во время разработки
- Практическое руководство. Получение отпечатка сертификата
Хранилище сертификатов Windows 10 — где лежат
Для основной массы пользователей знания о хранилищах сертификатов не пригодятся. На практике с этой функцией Виндовс сталкиваются системные администраторы и хорошо подготовленные пользователи. Именно им время от времени приходится удалять ненужные, но важные зашифрованные документы, цифровые подписи и другую секретную информацию. Также на их ответственности и установка новых секретных документов.
Что такое хранилище сертификатов в Windows системах
Термин «хранилище сертификатов» можно расшифровать как часть оперативной памяти ПК, где помещена на хранение самая секретная зашифрованная информация. К таковой относятся:
- учетные данные;
- доступ к определенным программным продуктам.

Сертификаты служат для идентификации человека посредством сети интернет, после чего он сможет подтвердить допуск к определенным утилитам.
Доступ к секретным документам имеют единицы. Хранилище, как объект ОС, можно обозначить как отдельный файл, но для его открытия используются совсем другие средства, нежели доступные многим программы.
Хранилище имеет два отдельных раздела. В одном хранятся личные данные пользователя, в другом – средства идентификации самого компьютера. Сохранение происходит локально для каждого ПК и для каждого пользователя, который работает на нем.
У файла сертификата расширение .cer или .csr. Он занимает совсем немного места. Объем занятой памяти не превышает нескольких килобайт. Кстати, подобные файлы эксплуатируются в ОС Linux, MacOS. Файлы с подобным расширением можно назвать стандартным форматом ЭЦП. Во многих странах используются сертификаты стандарта .x509. В РФ они распространения не получили.
Для чего оно нужно
Каждый документ в хранилище призван сохранить безопасность работы операционной системы ПК. Это предотвращает проникновение в систему опасных или нежелательных и сомнительных программ. Каждая цифровая подпись отвечает за благонадежность отдельно взятого софта. Иногда такую же проверку проходит и сам пользователь. То есть для него тоже имеется свой идентификатор.

Корневой центр сертификации
У Виндовс есть свои корневые сертификаты. Благодаря им поддерживается стандартная работа ОС. Например, можно совершенно спокойно пользоваться функцией «Центр обновления Windows».
Очень широкое применение сертификация получила в Google Chrome. Особенно она востребована для взаимодействия с государственными сайтами. Чтобы иметь доступ к базам данных, обязательно нужно соответствующее разрешение. Вот его и выдает государственный сайт.
Немало утилит создают свои шифры. Например, если требуется изменить характеристики оборудования. Таким образом они обеспечивают программному продукту законность.
Как посмотреть установленные цифровые сертификаты в Windows 7 или 10
Прежде всего можно посмотреть доступные важные документы, такие как:
- Сертификаты для оборудования. Они предустановлены разработчиком для обеспечения оптимальной работы аппарата. Их могут увидеть все желающие. Для открытия этого каталога нужно синхронно нажать на кнопки Win + R. Появится пустая строка. Туда следует вбить символы certlm.msc. Откроется весь перечень секретных документов.
- Персональные сертификаты. К ним доступ имеет пользователь с текущей учетной записью. Доступ можно получить, используя все те же клавиши Win + R. Только в строчке нужно прописать команду certmgr.msc. Появится список всех доступных пользователю зашифрованных данных. Личная информация будет в файле «Личное».
Есть и другие способы, как просмотреть хранилище сертификатов Windows 7, 8, 10, ХР.

Просмотр установленных сертификатов
Просмотр через консоль управления
Предустановленной функцией просмотра секретной информации является консоль управления. Используя ее, тоже можно найти требуемые ключи. Для этого следует:
- Запустить ОС.
- Активировать «Командную строку» («cmd»).
- Нажать на «Enter».
- Вбить команду «mmc».
- Тапнуть «Enter».
- Открыть раздел «Файл».
- Активировать вкладку «Добавить или удалить оснастку».
- Кликнуть на «Добавить» и на «Добавить изолированную оснастку».
- Выбрать вкладку «Сертификаты».
Таким же способом можно в формате чтения просматривать сертифицированные учетки, зарегистрированные в Виндовс. Также можно вносить, убирать, исправлять и копировать документы.
Важно! Иметь права администратора обязательно.
Доступ через проводник
В современных ОС Виндовс, все зашифрованные данные находятся по веб-адресу C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Если вместо слова «Пользователь» вписать рабочую учетку, то полный перечень открытых зашифрованных документов будет доступен для ознакомления.
Что касается закрытых ЭЦП, то они лежат на USB-рутокене. Для их просмотра потребуется другой секретный пароль. Его выдает администратору удостоверяющий центр.
В папке Виндовс хранится еще копия сертификата ЭЦП. Она предназначена для программной поддержки. Доступа пользователям к этой папке нет.
Просмотр через Internet Explorer
Найти ЭЦП можно и при помощи браузера Internet Explorer. Он установлен в современных аппаратах с ОС Windows 10, ХР. При отсутствии его легко можно скачать.

Просмотр сертификатов через Internet Explorer
Чтобы найти хранилище с секретными документами через этот браузер, следует его запустить. Далее нужно активировать вкладки:
- «Меню»;
- «Свойства браузера»;
- «Содержание»;
- «Сертификаты».
В новом окошке будут представлены все сертификаты.
Важно! Корневые сертификаты удостоверяющих центров удалять нельзя.
Востребованность этого варианта просмотра зашифрованной информации в том, что видеть их можно, не имея права администратора. Просматривать могут все пользователи, но вносить изменения – прерогатива системных администраторов.
В Internet Explorer перечень особо важных документов можно просмотреть, используя меню «Центр управления сетями и общим доступом». Для этого нужно будет открыть «Панель управления» и войти в раздел «Свойства обозревателя». Далее следует активировать вкладки «Содержание» и «Сертификаты».
Просмотр сертификатов через Крипто ПРО
Просматривать ЭЦП можно с помощью программы-дистрибутива (Крипто ПРО).
Путь к просмотру:
- Запустить ОС.
- Войти в «Пуск».
- Открыть раздел «Все программы».
- Выбрать «Крипто ПРО».
- Нажать на вкладку «Сертификаты».

Электронный сертификат в Крипто ПРО
В появившемся окне появится перечень всех актуальных сертификатов. Имея права администратора, возможно управление сертификатами Windows 10 и других версий ОС. С ними можно проводить различные действия. То есть, можно удалять, редактировать, копировать. Последнее возможно при наличии ключа и допуска центра. С ними можно будет использовать скопированный ЭЦП на другом аппарате.
Просмотр сертификатов через Certmgr
В ОС Виндовс предусмотрен встроенный менеджер, который работает с имеющимися зашифрованными данными. С его помощью можно ознакомиться со всеми сертификатами (личные ЭЦП, сертификаты партнеров Майкрософт и т. д.).
Просмотреть секретные данные, используя данный менеджер можно так:
- Запустить ОС кнопкой «Пуск».
- Вбить команду «certmgr.msc».
- Подтвердить намерение кнопкой «Enter».
Во всплывающем окне появятся разделы «Личное» и «Корневые сертификаты удостоверяющего центра». Активируя их можно раскрыть полные реестры и найти требуемые ключи.
Нужно знать! Все эти действия может проводить только доверенный администратор. В ином случае менеджер не запустится.
У приложения есть ограничения в части шифрованных данных, где имеется специальное кодирование информации.
Как удалить сертификат в Windows 10
Через какое-то время некоторая важная информация теряет актуальность или становится известной третьим лицам. Иногда файлы, содержащие ее, повреждаются или нуждаются в замене на более новую версию. Тогда ненужные данные требуется удалить. При этом корневые в любой ситуации нужно сохранить!
Внимание! До удаления настоятельно рекомендуется удостовериться в окончательной неактуальности секретного файла. Обратного хода у процесса нет, даже при том, что закрытый ключ остается.
Процедуру выполняет системный администратор или хотя бы один из теоретически подготовленных пользователей.
К хранилищу доступ можно получить двумя способами:
- через Internet Explorer;
- через управление Виндовс.

К примеру, требуется удалить ЭЦП пользователя.
- Открыть «Панель управления».
- Выбрать «Сеть» и «Интернет».
- Активировать раздел «Управление настройками браузера». Всплывет окошко «Свойства».
- Открыть пункт «Содержание».
- Тапнуть кнопку «Сертификаты».
На экране всплывет перечень секретных документов. Ненужные можно выбрать, удалить. Важно не забыть сохраняться.
С использованием панели управления можно получить более полное разрешение к зашифрованной информации. Порядок действий в этом случае будет таким:
- «Пуск»;
- «Командная строка»;
- Команда «certmgr.msc».
В появившемся окне будут перечислены все сертификаты хранилища, как пользовательские, так и корневые.
Сертификаты – важная составляющая безопасной работы компьютерной техники. Их достоверность гарантирует сертификационный центр. Работа с секретной информацией требует определенных знаний, поэтому выполнение работ в этой области нужно доверить специалисту. Для обычного пользователя достаточно иметь теоретические знания о том, что такое хранилище сертификатов Windows 10 и других версий ОС Виндовс. Применять их на практике рекомендуется только в исключительных случаях.