Поделиться через

Хранилище сертификатов доверенных корневых центров сертификации

  • Статья

Начиная с Windows Vista диспетчер самонастраивающийся (PnP) выполняет проверку подписи драйвера во время установки устройства и драйвера. Проверка завершается успешно, когда:

  • Сертификат подписи, который использовался для создания подписи, был выдан центром сертификации (ЦС).

  • Соответствующий корневой сертификат ЦС устанавливается в хранилище сертификатов доверенных корневых центров сертификации. Таким образом, хранилище сертификатов доверенных корневых центров сертификации содержит корневые сертификаты всех ЦС, доверенных Windows.

Чтобы получить доступ к хранилищу сертификатов доверенных корневых центров сертификации на компьютере Windows, можно использовать консоль управления Майкрософт (MMC) с оснасткой "Сертификаты". Ниже приведены действия, которые необходимо выполнить на компьютере с Windows 10/11:

  1. Откройте диалоговое окно запуска: нажмите, Windows key + R чтобы открыть диалоговое окно "Запуск".

  2. Откройте MMC: введите mmc в диалоговое окно "Запуск" и нажмите клавишу ВВОД. Откроется консоль управления Майкрософт. Если появится запрос на управление учетными записями пользователей (UAC), нажмите кнопку "Да", чтобы разрешить MMC вносить изменения на устройство.

  3. Добавьте оснастку сертификатов:

    • В окне MMC щелкните File в строке меню и выберите Add/Remove Snap-in.
    • В окне "Добавление или удаление оснастки" прокрутите вниз и выберите Certificates, а затем щелкните Add >.
    • Всплывающее окно спросит, какие сертификаты требуется управлять. Выберите Computer account, а затем щелкните Next.
    • Выберите Local computer: (the computer this console is running on), а затем щелкните Finish.
    • Вы также можете выбрать My user account или Service account в зависимости от ваших потребностей, но для доступа к доверенным корневым центрам сертификации обычно выбирается Computer account.
    • Щелкните OK , чтобы закрыть окно "Добавить" или "Удалить оснастки".

  4. Доступ к доверенным корневым центрам сертификации:

    • В MMC под деревом Certificates (Local Computer) разверните папку Trusted Root Certification Authorities .
    • Certificates Щелкните под элементом Trusted Root Certification Authorities. В этом случае будут отображаться все сертификаты, которые в настоящее время являются доверенными компьютером.

  5. Управление сертификатами:

    • Здесь можно просмотреть сведения о каждом сертификате, импортировать новые доверенные сертификаты или удалить существующие. Однако будьте осторожны при добавлении или удалении сертификатов, так как это может повлиять на безопасность и функциональные возможности вашей системы.

  6. Закройте MMC:

    • По завершении можно просто закрыть окно MMC. Если вы внесли изменения и попросите сохранить параметры консоли, выберите No , если вы не планируете повторно использовать эту настройку консоли.

Помните, что необходимо тщательно выполнять управление сертификатами и хранилищем доверенных корневых центров сертификации и обычно требует прав администратора. Неправильные изменения могут скомпрометируйте безопасность системы.

По умолчанию хранилище сертификатов Доверенных корневых центров сертификации настроено с набором общедоступных центров сертификации, удовлетворяющих требованиям Программы корневых сертификатов Майкрософт. Администратор istrator может настроить набор доверенных ЦС по умолчанию и установить собственный частный ЦС для проверки программного обеспечения.

Обратите внимание , что частный ЦС вряд ли будет доверенным вне сетевой среды.

Наличие допустимой цифровой подписи гарантирует подлинность и целостность пакета драйвера. Однако это не означает, что конечный пользователь или системный администратор неявно доверяет издателю программного обеспечения. Пользователь или администратор должны решить, следует ли устанавливать или запускать приложение на основе регистра на основе знаний издателя программного обеспечения и приложения. По умолчанию издатель является доверенным, только если его сертификат установлен в хранилище сертификатов доверенных издателей.

Имя хранилища сертификатов доверенных корневых центров сертификации является корневым. Корневой сертификат частного ЦС можно установить вручную в хранилище сертификатов доверенных корневых центров сертификации на компьютере с помощью средства CertMgr.

Обратите внимание , что политика проверки подписи драйвера, используемая диспетчером PnP, требует, чтобы корневой сертификат частного ЦС был ранее установлен в локальной версии хранилища сертификатов корневых центров сертификации. Дополнительные сведения см. в статье Хранилища сертификатов "Локальный компьютер" и "Текущий пользователь".

Дополнительные сведения о подписи драйверов см. в статье "Политика подписывания драйверов".