受信任的根证书颁发机构证书存储
从 Windows Vista 开始,即插即用 (PnP) 管理器在设备和驱动程序安装期间执行驱动程序签名验证。 验证在如下情况下成功:
用于创建签名的签名证书由证书颁发机构 (CA) 颁发。
CA 的相应根证书安装在 受信任的根证书颁发机构证书存储中。 因此,受信任的根证书颁发机构证书存储包含 Windows 信任的所有 CA 的根证书。
默认情况下,“受信任的根证书颁发机构”证书存储配置有一组符合 Microsoft 根证书计划要求的公共 CA。 管理员可以配置默认的受信任 CA 集,并安装自己的专用 CA 来验证软件。
注意 专用 CA 不太可能在网络环境外部受信任。
拥有有效的数字签名可确保 驱动程序包的真实性和完整性。 但是,这并不意味着最终用户或系统管理员隐式信任软件发布者。 用户或管理员必须根据他们对软件发布者和应用程序的了解,根据具体情况决定是否安装或运行应用程序。 默认情况下,仅当发布者证书安装在 受信任的发布者证书存储中时,发布者才受信任。
受信任的根证书颁发机构证书存储的名称为 root。 可以使用 CertMgr 工具将专用 CA 的根证书手动安装到计算机上的受信任的根证书颁发机构证书存储中。
注意 PnP 管理器使用的驱动程序签名验证策略要求之前已在根证书颁发机构证书存储的本地计算机版本中安装专用 CA 的根证书。 有关详细信息,请参阅 Local Machine and Current User Certificate Stores(本地计算机和当前用户证书存储)。
有关驱动程序签名的详细信息,请参阅 驱动程序签名策略。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈