使用憑證嵌入式管理單元,您就可以依照發出憑證的目的或使用它們的邏輯存放類別來顯示某使用者、電腦或服務的憑證存放區。當您根據憑證的存放類別來顯示時,也可以選擇顯示實體存放區,此存放區顯示了憑證存放區階層 (僅建議進階使用者使用此項目)。
如果您有執行此動作的使用者權限,則可以從憑證存放區中的任一資料夾匯入或匯出憑證。此外,如果您已經將與憑證相關的私密金鑰標記為可匯出,那麼您可以同時將兩者匯出成 PKCS #12 檔案。
Windows 也可以發佈憑證至 Active Directory 網域服務 (AD DS)。在 AD DS 發佈憑證可讓所有具有足夠使用權限的使用者或電腦抓取所需的憑證。
憑證存放區
您可以依據目的或邏輯存放以顯示憑證,如下列表格所示。在憑證嵌入式管理單元中的預設是根據邏輯存放來顯示憑證。
 | 附註 |
|
憑證目的存放區清單並沒有包含所有可能的目的存放區。 |
| 顯示依據 | 資料夾名稱 | 內容 |
|---|---|---|
|
邏輯存放 |
個人 |
與您能存取之私密金鑰相關的憑證。這些是指已發給您個人或電腦的憑證,或是已針對您管理憑證所用之服務而發給的憑證。 |
|
|
受信任的根憑證授權單位 |
隱含的受信任憑證授權單位 (CA)。包括所有在 [第三方根憑證授權單位] 存放區中的憑證,以及來自您的組織與 Microsoft 的根憑證。 如果您是系統管理員,而且想要將非 Microsoft CA 的憑證新增至此存放區供 Active Directory 網域中的所有電腦使用,則可使用群組原則將受信任的根憑證散佈到您的組織中。 |
|
|
企業信任 |
憑證信任清單的容器。憑證信任清單提供一種機制,以信任其他組織的自我簽署根憑證,並且限制信任這些憑證的目的。 |
|
|
中繼憑證授權 |
簽發給次級 CA 的憑證。如果您是系統管理員,則可以使用 [群組原則] 將憑證分送到 [中繼憑證授權] 存放區中。 |
|
|
受信任的人 |
發給明確受信任之個人或終端實體的憑證。其中大部分是自行簽署的憑證或在應用程式 (如 Microsoft Outlook) 中明確受信任的憑證。如果您是網域系統管理員,則可以使用 [群組原則] 將憑證分送到 [受信任的人] 存放區中。 |
|
|
其他人 |
發給以隱含方式獲得信任之個人或終端實體的憑證。這些憑證必須是受信任憑證階層的一部分。這些通常是服務 (例如加密檔案系統 (EFS)) 的快取憑證,其憑證是用來建立解密加密檔案的驗證。 |
|
|
受信任的發行者 |
由受軟體限制原則信任之 CA 所授予的憑證。如果您是網域系統管理員,則可以使用 [群組原則] 將憑證分送到 [受信任的發行者] 存放區中。 |
|
|
不允許的憑證 |
這些是指您使用軟體限制原則,或當透過郵件或網頁瀏覽器顯示該決定但您選擇不信任這個憑證時,明確決定不要信任的憑證。如果您是網域系統管理員,則可以使用 [群組原則] 將憑證分送到 [不允許的憑證] 存放區中。 |
|
|
第三方根憑證授權單位 |
來自非 Microsoft 或您組織以外之 CA 的受信任根憑證。您無法使用 [群組原則] 將憑證分送至 [第三方根憑證授權單位] 存放區中。 |
|
|
憑證註冊要求 |
擱置或遭拒絕的憑證要求。 |
|
|
Active Directory 使用者物件 |
與使用者物件相關,並在 AD DS 中發佈的憑證。 |
|
目的 |
伺服器驗證 |
伺服器程式用來向用戶端電腦驗證其本身的憑證。 |
|
|
用戶端驗證 |
用戶端程式用來向伺服器驗證其本身的憑證。 |
|
|
代碼簽署 |
與用來簽署主動式內容之金鑰組相關的憑證。 |
|
|
安全電子郵件 |
與用來簽署電子郵件訊息之金鑰組相關的憑證。 |
|
|
加密檔案系統 |
與用來加密及解密對稱金鑰的金鑰組相關的憑證,而對稱金鑰會使用加密檔案系統 (EFS) 來加密及解密資料。 |
|
|
檔案修復 |
與用來加密及解密對稱金鑰的金鑰組相關的憑證,而對稱金鑰會使用加密檔案系統 (EFS) 來復原加密的資料。 |
當您根據邏輯存放區查看憑證時,有時您會看到存放區中有兩個同一個憑證的複本。會發生此狀況是因為將相同的憑證儲存在邏輯存放區的獨立實體存放區中。當實體憑證存放檔內容組合成一個邏輯存放檢視時,會同時顯示相同憑證的兩個例項。
若要驗證,請將 [檢視選項] 設定為顯示 [實體憑證存放檔],然後您會看到憑證儲存在相同邏輯存放區下的個別實體存放區中。您可以藉由比較序號以驗證是否為相同憑證。
其他參考資料