Jakie są magazyny certyfikatów systemu Windows?

29

Podczas dodawania certyfikatów, stls, ctls i crls do systemu mogę wybrać magazyn certyfikatów.

Do tej pory znalazłem tylko odniesienia do sklepów „mój” i „root”.

Czy są jeszcze jakieś?

Jader Dias
źródło
Co to są „stls”, „ctls” i „crls” (w tym kontekście)?
Peter Mortensen

Odpowiedzi:

37

Istnieją trzy typy magazynów certyfikatów w systemie Windows.

  1. Sklep z kontem użytkownika
  2. Sklep z kontem serwisowym
  3. Lokalny sklep komputerowy

Każdy z trzech sklepów zawiera pewną liczbę folderów, do których przechodzą certyfikaty

  • Osobisty (może być znany jako Mój, gdy używasz skryptów do dodawania certyfikatów)
  • Zaufany główny urząd certyfikacji (może być znany jako root)
  • Zaufanie przedsiębiorstw
  • Pośredni urząd certyfikacji
  • Obiekt użytkownika Active Directory
  • Zaufani wydawcy
  • Niezaufane certyfikaty
  • Zewnętrzne główne urzędy certyfikacji
  • Zaufani ludzie

Można to zobaczyć, jeśli otworzysz plik mmc.exe za pomocą przystawki Certyfikaty.

W zależności od tego, co ma robić certyfikat, musisz dowiedzieć się, dokąd by się udał.

Przez większość czasu na obsługiwanych przez nas serwerach korzystamy ze sklepu Konto komputera (ponieważ jest on dostępny dla wszystkich użytkowników na komputerze) i umieszczamy certyfikaty w sklepie osobistym. Czasami może być konieczne dodanie certyfikatów klucza publicznego urzędu podpisującego do głównego i pośredniego głównego urzędu certyfikacji.

daed
źródło
Gdzie idzie STL (Silent Trusted Root Authority)? Który sklep i folder?
Jader Dias,
Wydaje mi się, że „mój” to alias do sklepu z bieżącymi kontami użytkowników, a „root” to alias do sklepu z maszynami, prawda?
Jader Dias,
Niezupełnie ... każdy ze sklepów ma folder osobisty (w niektórych skryptach, z którymi pomieszałem, zostały przywołane, takie jak CU \ My (bieżący użytkownik) lub LM \ My (komputer lokalny)).
daed
Jeśli chodzi o twój cichy zaufany organ główny, nie słyszałem o tym terminie wcześniej ...
da
2
W Windows 7 wprowadzili inny standardowy sklep o nazwie „Inne osoby” (wewnętrznie znany jako Książka adresowa), który zawiera certyfikaty od osób, które wysyłają Ci Podpisane e-maile / dokumenty ... Problem polega na tym, że ten sklep musi być ręcznie dodany do systemów z starszymi wersjami Windows (na przykład Windows Server 2008 R2) sprawia, że ​​aplikacje, które na nim polegają, mogą działać poprawnie.
Monoman
23

Nazwy magazynu certyfikatów są następujące ( źródło ):

  • Książka adresowa : Magazyn certyfikatów dla innych osób i zasobów.
  • AuthRoot : magazyn certyfikatów dla niezależnych urzędów certyfikacji.
  • CertificationAuthority : Magazyn certyfikatów dla pośrednich urzędów certyfikacji.
  • Niedozwolone : Magazyn certyfikatów dla certyfikatów, które zostały odwołane, aby nie zostały zapomniane.
  • Mój : magazyn certyfikatów dla używanych certyfikatów osobistych i tam, gdzie znajduje się większość certyfikatów niestandardowych.
  • Root : Magazyn certyfikatów dla zaufanych urzędów certyfikacji (CA).
  • TrustedPeople : Magazyn certyfikatów dla innych zaufanych osób i zasobów.
  • TrustedPublisher : Magazyn certyfikatów dla wydawców aplikacji, którym ufasz.
harrymc
źródło