Каковы хранилища системных сертификатов Windows?

29

При добавлении сертификатов, stls, ctls и crls в систему я могу выбрать хранилище сертификатов.

До сих пор я нашел только ссылки на «мои» и «корневые» магазины.

Есть ли другие?

Джадер Диас
источник
Что такое "stls", "ctls" и "crls" (в этом контексте)?
Питер Мортенсен

Ответы:

37

В Windows существует три типа хранилищ сертификатов.

  1. Аккаунт пользователя
  2. Сервис Аккаунт-магазин
  3. Локальный Компьютерный магазин

В каждом из трех хранилищ есть несколько папок, в которые попадают сертификаты.

  • Личный (может быть известен как Мой при использовании сценариев для добавления сертификатов)
  • Trusted Root Certification Authority (может называться Root)
  • Enterprise Trust
  • Промежуточный центр сертификации
  • Пользовательский объект Active Directory
  • Доверенные издатели
  • Ненадежные сертификаты
  • Сторонние корневые центры сертификации
  • Доверенные люди

Это можно увидеть, если открыть файл mmc.exe с помощью оснастки «Сертификаты».

В зависимости от того, что сертификат должен делать, вы должны решить, куда он пойдет.

Большую часть времени на поддерживаемых нами серверах мы используем хранилище «Учетная запись компьютера» (так как оно доступно для всех пользователей на компьютере) и помещаем сертификаты в «Личное хранилище». Иногда вам может понадобиться добавить сертификаты открытых ключей подписывающего органа в корневые и промежуточные корневые центры сертификации.

Даед
источник
Куда идет STL (Silent Trusted Root Authority)? Какой магазин и папка?
Джадер Диас
Я полагаю, что "my" - это псевдоним текущего хранилища учетных записей пользователей, а "root" - это псевдоним хранилища компьютеров, верно?
Джадер Диас
Не совсем ... у каждого из магазинов есть личная папка (в некоторых скриптах, с которыми я сталкивался, на них ссылаются, например, на CU \ My (текущий пользователь) или LM \ My (локальный компьютер)).
2010 года
Что касается вашего Silent Trusted Root Authority, я раньше не слышал об этом термине ...
2010 г.
2
В Windows 7 они представили другое стандартное хранилище под названием «Другие люди» (внутренне известное как AddressBook), которое содержит сертификаты от людей, которые отправляют вам подписанные электронные письма / документы ... Проблема заключается в том, что это хранилище необходимо вручную добавить в системы под управлением более старых версий Windows (например, Windows Server 2008 R2) обеспечивает правильную работу приложений, использующих ее.
Monoman
23

Имена хранилищ сертификатов следующие ( источник ):

  • Адресная книга : хранилище сертификатов для других людей и ресурсов.
  • AuthRoot : хранилище сертификатов для сторонних центров сертификации (ЦС).
  • CertificationAuthority : хранилище сертификатов для промежуточных центров сертификации (CA).
  • Disallowed : хранилище сертификатов для сертификатов, которые были отозваны, чтобы они не были забыты.
  • My : хранилище сертификатов для ваших личных сертификатов, которые вы используете и где большинство пользовательских сертификатов.
  • Корень : хранилище сертификатов для центров сертификации (CA), которым вы доверяете.
  • TrustedPeople : хранилище сертификатов для других людей и ресурсов, которым вы доверяете.
  • TrustedPublisher : хранилище сертификатов для издателей приложений, которым вы доверяете.
harrymc
источник