Windows 公钥基础结构(PKI)将证书保存在托管证书颁发机构(CA)和本地计算机或设备上的服务器上。 CA 存储通常称为证书数据库,本地存储称为证书存储。
证书数据库
在 Windows 服务器上添加证书服务并配置 CA 时,会创建证书数据库。 默认情况下,数据库包含在 %SystemRoot%\System32\Certlog 文件夹中,该名称基于扩展名为 .edb 的 CA 名称。 数据库可以包含:
- 颁发的证书
- 吊销的证书
- 存档的私钥
- 证书请求
不能使用证书注册 API作数据库。 注册过程会自动创建必要的条目。
证书存储
Microsoft证书服务将颁发的证书和挂起或拒绝的请求复制到本地计算机和设备。 存储位置称为证书存储,由以下逻辑存储组成。
| 逻辑存储 | 描述 |
|---|---|
| 个人 |
包含与用户或计算机控制的私钥关联的证书。 |
| 受信任的根证书颁发机构 |
包含来自隐式受信任的证书颁发机构(CA)的证书。 |
| 企业信任 |
包含通常用于信任来自其他组织的自签名证书的证书信任列表。 |
| 中间证书颁发机构 |
包含颁发给认证层次结构中从属 CA 的证书。 |
| Active Directory 用户对象 |
包含 Active Directory 中发布的用户对象证书或证书。 |
| 受信任的发布者 |
包含来自受信任 CA 的证书。 |
| 不受信任的证书 |
包含已显式标识为不受信任的证书。 |
| 第三方根证书颁发机构 |
包含来自内部证书层次结构外部 CA 的受信任根证书。 |
| 受信任的人员 |
包含颁发给已显式信任的用户或实体的证书。 |
| 人 |
包含颁发给已隐式信任的用户或实体的证书。 |
| 证书注册请求 |
包含挂起或拒绝的证书请求。 |
不能使用证书注册 API 来指定或检索存储属性或将证书复制到特定存储。