Was sind die Windows-Systemzertifikatsspeicher?

23

Beim Hinzufügen von Zertifikaten, stls, ctls und crls zum System kann ich den Zertifikatspeicher auswählen.

Bisher habe ich nur Verweise auf die Stores "my" und "root" gefunden.

Gibt es noch andere?

windows-7 windows certificate code-signing Jader Dias
quelle
Was ist "stls", "ctls" und "crls" (in diesem Zusammenhang)?
Peter Mortensen

Antworten:

31

In Windows gibt es drei Arten von Zertifikatspeichern.

  1. Benutzerkontospeicher
  2. Dienstkontospeicher
  3. Lokaler Computerspeicher

Jeder der drei Stores enthält eine Reihe von Ordnern, in die Zertifikate abgelegt werden

  • Persönlich (kann als Meine bezeichnet werden, wenn Skripte zum Hinzufügen von Zertifikaten verwendet werden)
  • Vertrauenswürdige Stammzertifizierungsstelle (kann als Stamm bezeichnet werden)
  • Enterprise Trust
  • Zwischenzertifizierungsstelle
  • Active Directory-Benutzerobjekt
  • Vertrauenswürdige Herausgeber
  • Nicht vertrauenswürdige Zertifikate
  • Root-Zertifizierungsstellen von Drittanbietern
  • Vertraute Menschen

Diese werden sichtbar, wenn Sie eine mmc.exe mit dem Zertifikat-Snapin öffnen.

Abhängig davon, was das Zertifikat tun soll, müssen Sie herausfinden, wohin es führen soll.

Die meiste Zeit auf den von uns unterstützten Servern verwenden wir den Computerkontospeicher (auf den alle Benutzer eines Computers zugreifen können) und legen Zertifikate im persönlichen Speicher ab. In einigen Fällen müssen Sie möglicherweise in der Signaturautorität öffentliche Schlüsselzertifikate in die Stammzertifizierungsstelle und die Zwischenstammzertifizierungsstelle einfügen.

daed
quelle
Wohin geht die STL (Silent Trusted Root Authority)? Welcher Laden und Ordner?
Jader Dias
Ich vermute, "my" ist ein Alias ​​für den aktuellen Benutzerkontospeicher, und "root" ist ein Alias ​​für den Computerspeicher, oder?
Jader Dias
Nicht ganz ... Jeder der Stores verfügt über einen persönlichen Ordner (in einigen Skripten, mit denen ich etwas zu tun hatte, wurde auf diese verwiesen: CU \ My (Aktueller Benutzer) oder LM \ My (Lokaler Computer)).
daed
Was Ihre Silent Trusted Root Authority anbelangt, so habe ich noch nie von diesem Begriff gehört ...
daed
2
In Windows 7 wurde ein weiterer Standardspeicher namens "Other People" (intern als AddressBook bezeichnet) eingeführt, der Zertifikate von Personen enthält, die Ihnen signierte E-Mails / Dokumente senden. Das Problem ist, dass dieser Speicher manuell zu Systemen hinzugefügt werden muss, auf denen ältere Versionen von ausgeführt werden Windows (zum Beispiel Windows Server 2008 R2) sorgt dafür, dass Apps, die darauf angewiesen sind, ordnungsgemäß funktionieren.
Monoman
19

Zertifikatsspeichernamen lauten wie folgt ( Quelle ):

  • Adressbuch : Zertifikatspeicher für andere Personen und Ressourcen.
  • AuthRoot : Zertifikatspeicher für Zertifizierungsstellen von Drittanbietern.
  • Zertifizierungsstelle : Zertifikatspeicher für zwischengeschaltete Zertifizierungsstellen.
  • Nicht erlaubt : Zertifikatspeicher für Zertifikate, die widerrufen wurden, damit sie nicht vergessen werden.
  • Meine : Zertifikatspeicher für Ihre persönlichen Zertifikate, die Sie verwenden, und die meisten benutzerdefinierten Zertifikate.
  • Wurzel : Zertifikatspeicher für vertrauenswürdige Zertifizierungsstellen.
  • TrustedPeople : Zertifikatspeicher für andere Personen und Ressourcen, denen Sie vertrauen.
  • TrustedPublisher : Zertifikatspeicher für vertrauenswürdige Anwendungsherausgeber.
harrymc
quelle