Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Windows имеет множество вариантов для устаревания функций корневых сертификатов. Эти возможности перечислены здесь.
Удаление
Удаление корневого каталога из CTL. Все сертификаты, цепочки которых находятся в корне, больше не являются доверенными. Пользователи по-прежнему могут вручную установить корневой сертификат в "Доверенные корневые центры сертификации" локальной машины/физическое хранилище в реестре. Однако, если сертификаты установлены в "Доверенные корневые центры сертификации" локального компьютера или в стороннее физическое хранилище сертификатов, они автоматически удаляются службой автоматического обновления корневых сертификатов.
Удаление EKU
Удаление определенного EKU из корневого сертификата. Все сертификаты конечных сущностей, цепочка которых начинается с этого корня, больше не могут использовать удаленный EKU (Расширенное использование ключа), независимо от того, была ли цифровая подпись снабжена меткой времени.
Запретить
Эта функция включает добавление сертификата в список отзыва сертификатов (Disallow CTL) и может использоваться для отзыва многих типов сертификатов, такие как самозаверяющие сертификаты, корпоративные сертификаты, доверенные корневые сертификаты или листовые сертификаты высокого риска. Эта функция фактически отменяет сертификат. Пользователи не могут вручную установить корневой каталог и продолжать доверять.
Отключить
Все сертификаты с цепочкой, ведущей к отключенному корню, больше не будут считаться доверенными, за очень важным исключением: цифровые подписи с временным штампом, поставленные до даты отключения, будут продолжать успешно проверяться.
NotBefore
Позволяет гранулярное отключение корневого сертификата или специфических возможностей EKU корневого сертификата. Сертификаты, выданные ПОСЛЕ даты NotBefore, больше не будут доверенными, однако сертификаты, выданные ДО даты NotBefore, будут продолжать доверять. Цифровые подписи с меткой времени, заданной до даты NotBefore, будут продолжать успешно проверяться.