使用“证书”管理单元,可以根据颁发证书的目的或通过使用其逻辑存储类别来显示用户、计算机或服务的证书存储区。根据存储类别显示证书时,也可以选择显示物理存储区,从而说明证书存储区层次结构。(只推荐高级用户使用。)
如果有相应的用户权限,可以从证书存储区中的任何文件夹导入或导出证书。此外,如果将与证书关联的私钥标记为可供导出,则可以将两者都导出到 PKCS #12 文件中。
Windows 还可将证书发布到 Active Directory 域服务 (AD DS)。在 AD DS 中发布证书使具有足够权限的所有用户或计算机可根据需要检索证书。
证书存储
证书可以按目的或逻辑存储区显示,如下表所示。按逻辑存储显示证书是“证书”管理单元的默认设置。
 | 注意 |
|
证书目的存储的列表并不包括所有可能的目的存储。 |
| 显示方式 | 文件夹名 | 内容 |
|---|---|---|
|
逻辑存储 |
个人 |
与可以访问的私钥关联的证书。这些证书已经颁发给您,或者颁发给您正在管理其证书的计算机或服务。 |
|
|
受信任的根证书颁发机构 |
隐式受信任的证书颁发机构 (CA)。包括在第三方根证书颁发机构存储区中的所有证书,以及来自组织和 Microsoft 的根证书。 如果您是管理员且希望将非 Microsoft CA 证书添加到 Active Directory 域中所有计算机的此存储中,则可使用组策略向您所在的组织分发受信任根证书。 |
|
|
企业信任 |
证书信任列表的容器。证书信任列表提供了一种机制,用于信任来自其他组织的自签名根证书以及限制信任这些证书的目的。 |
|
|
中级证书颁发机构 |
颁发给从属 CA 的证书。如果您是管理员,则可以使用组策略将证书分发到“中级证书颁发机构”存储。 |
|
|
受信任人 |
颁发给明确信任的人员或最终实体的证书。在大多数情况下,这些是自签名证书,或者在应用程序(如 Microsoft Outlook)中明确信任的证书。如果您是域管理员,则可以使用组策略将证书分发到“受信任人”存储。 |
|
|
其他人 |
颁发给隐式信任的人员或最终实体的证书。这些证书必须是受信任证书层次结构的一部分。大多数情况下,这些是用于诸如加密文件系统 (EFS) 之类服务的缓存证书,此时证书用于创建加密文件的解密权限。 |
|
|
受信任的发布者 |
来自软件限制策略信任的 CA 的证书。如果您是域管理员,则可以使用组策略将证书分发到“受信任的发布者”存储。 |
|
|
不允许的证书 |
无论是使用软件限制策略,还是通过在电子邮件或 Web 浏览器中向您显示选择不信任证书的决定,都已明确决定这些是不信任的证书。如果您是域管理员,则可以使用组策略将证书分发到“不允许的证书”存储。 |
|
|
第三方根证书颁发机构 |
除 Microsoft 和您所在的组织外的 CA 颁发的受信任根证书。无法使用组策略将证书分发到“第三方根证书颁发机构”存储。 |
|
|
证书注册申请 |
挂起或被拒的证书申请。 |
|
|
Active Directory 用户对象 |
与用户对象关联并在 AD DS 中发布的证书。 |
|
目的 |
服务器身份验证 |
服务器程序用于向客户端计算机验证自身身份的证书。 |
|
|
客户端身份验证 |
客户端程序用于向服务器验证自身身份的证书。 |
|
|
代码签名 |
与用来签发活动内容的密钥对关联的证书。 |
|
|
安全电子邮件 |
与用于对电子邮件进行签名的密钥对关联的证书。 |
|
|
加密文件系统 |
与加密和解密对称密钥(EFS 使用其加密和解密数据)的密钥对关联的证书。 |
|
|
文件恢复 |
与加密和解密对称密钥(EFS 使用其恢复加密数据)的密钥对关联的证书。 |
按逻辑存储查看证书时,有时会发现存储中存在同一证书的两个副本。出现此情况的原因是,同一证书分别存储在逻辑存储下单独的物理存储中。当物理证书存储的内容合并到一个逻辑存储视图时,将同时显示同一证书的两个实例。
通过将“查看选项”设置为显示“物理证书存储”,然后注意到该证书分别存储在同一逻辑存储下单独的物理存储中,可以验证这种情况。通过比较序列号,可以验证这是同一个证书。
其他参考