С помощью оснастки «Сертификаты» можно отобразить хранилище сертификатов для пользователя, компьютера или службы в соответствии с целью, для которой сертификаты были выданы, или по категориям логических хранилищ. Когда сертификаты отображаются в соответствии с их категориями хранилища, можно также выбрать отображение физических хранилищ, показывая иерархию хранилищ сертификатов. (Это рекомендуется делать только опытным пользователям.)

Если пользователь имеет соответствующие права, он может импортировать или экспортировать сертификаты из любой папки хранилища сертификатов. Кроме того, если закрытый ключ, связанный с сертификатом, помечен как доступный для экспорта, можно экспортировать и сертификат, и ключ в файл PKCS #12.

Windows может также публиковать сертификаты в доменных службах Active Directory. Опубликование сертификата в доменных службах Active Directory позволяет всем пользователям и компьютерам, имеющим соответствующие разрешения, извлекать сертификат по мере необходимости.

Хранилища сертификатов

Сертификаты могут быть отображены по назначению и по логическим хранилищам, как показано в приведенной ниже таблице. Отображение сертификатов по логическим хранилищам задано по умолчанию в оснастке «Сертификаты».

Примечание

Список хранилищ назначений не включает все возможные хранилища назначений.

Режим отображения Имя папки Содержание

Логическое хранилище

Личные

Сертификаты, связанные с закрытыми ключами, к которым имеется доступ. Сертификаты, которые были выданы вам либо компьютеру или службе, для которых вы выполняете управление сертификатами.

 

Доверенные корневые центры сертификации

Неявно доверенные центры сертификации. Все сертификаты в хранилище корневых центров сертификации независимых поставщиков, а также корневые сертификаты от вашей организации и корпорации Майкрософт.

Администратор может добавить в это хранилище сертификаты стороннего центра сертификации (не Майкрософт) для всех компьютеров в домене Active Directory с помощью групповой политики для распространения доверенных корневых сертификатов в организации.

 

Доверительные отношения на предприятии

Контейнер для списков доверия сертификатов. Список доверия сертификатов обеспечивает механизм установления доверия сертификатам от других организаций, подписанным ими самими, и ограничения назначений этих сертификатов.

 

Промежуточные центры сертификации

Сертификаты, выданные подчиненным центрам сертификации. Администратор может использовать групповую политику для передачи сертификатов в промежуточное хранилище центров сертификации.

 

Доверенные лица

Сертификаты, выданные пользователям или конечным субъектам, которым явно выражено доверие. Чаще всего такими сертификатами являются сертификаты с собственной подписью или сертификаты, которым явно выражено доверие в приложении, таком как Microsoft Outlook. Администратор может использовать групповую политику для передачи сертификатов в хранилище «Доверенные лица».

 

Другие пользователи

Сертификаты, выданные пользователям или конечным субъектам, которым неявно выражено доверие. Эти сертификаты должны быть частью иерархии доверенных сертификатов. Чаще всего такими сертификатами являются кэшированные сертификаты для служб, таких как шифрованная файловая система (EFS), в которых сертификаты используются для создания авторизации файла расшифровки и шифрования.

 

Доверенные издатели

Сертификаты центров сертификации, которые являются доверенными с точки зрения политик ограниченного использования программ. Администратор может использовать групповую политику для передачи сертификатов в хранилище «Доверенные издатели».

 

Запрещенные сертификаты

Сертификаты, которым явно выражено недоверие либо посредством политик ограниченного использования программ, либо посредством выбора параметра «Не доверять этому сертификату», когда выбор делается в почтовой программе или веб-браузере. Администратор может использовать групповую политику для передачи сертификатов в хранилище «Запрещенные издатели».

 

Корневые сторонние центры сертификации

Доверенные корневые сертификаты от центров сертификации, отличных от корпорации Майкрософт и вашей организации. Передача сертификатов в хранилище «Сторонние корневые центры сертификации» с помощью групповой политики невозможна.

 

Запросы заявок на сертификат

Отложенные или отвергнутые запросы сертификата.

 

Объект пользователя Active Directory

Сертификаты, связанные с объектом пользователя и опубликованные в доменных службах Active Directory.

Назначение

Проверка подлинности сервера

Сертификаты, с помощью которых серверные программы доказывают клиентским компьютерам свою подлинность.

 

Проверка подлинности клиента

Сертификаты, с помощью которых клиентские программы доказывают серверу свою подлинность.

 

Подписывание кода

Сертификаты, связанные с парой ключей, используемой для подписи активного содержимого.

 

Безопасная электронная почта

Сертификаты, связанные с парой ключей, используемой для подписи сообщений электронной почты.

 

Файловая система EFS

Сертификаты, связанные с парой ключей, которая шифрует и дешифрует симметричный ключ, используются для шифрования и расшифровки данных файловой системой EFS.

 

Восстановление файлов

Сертификаты, связанные с парой ключей, которая шифрует и дешифрует симметричный ключ, используются для восстановления зашифрованных данных файловой системой EFS.

При просмотре сертификатов в логическом хранилище иногда отображаются две копии одного сертификата. Это происходит потому, что один сертификат хранится в разных физических хранилищах внутри одного логического хранилища. При объединении содержимого физических хранилищ сертификатов в одно представление логического хранилища отображаются оба экземпляра сертификата.

Настроив параметр Параметры просмотра для отображения физические хранилища, можно увидеть, хранятся ли экземпляры сертификата из одного логического хранилища в разных физических хранилищах сертификатов. Чтобы убедиться, что это один и тот же сертификат, сравните серийные номера.

Дополнительные источники информации


Содержание