Хранилища сертификатов локального компьютера и текущего пользователя
Каждое из системных хранилищ сертификатов имеет следующие типы:
- Хранилище сертификатов локального компьютера Этот тип хранилища сертификатов является локальным для компьютера, глобальным для всех пользователей на компьютере и находится в корневом HKEY_LOCAL_MACHINE каталоге в реестре.
- Хранилище сертификатов текущего пользователя Этот тип хранилища сертификатов является локальным для учетной записи пользователя на компьютере и находится в корневом каталоге HKEY_CURRENT_USER реестра.
Сведения о конкретных расположениях в реестре хранилищ сертификатов см. в разделе Расположения системных хранилищ.
Все текущие хранилища сертификатов пользователей, кроме хранилища Текущий пользователь или личное, наследуют содержимое хранилищ сертификатов локального компьютера. Например, если сертификат добавляется в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, все хранилища сертификатов доверенных корневых центров сертификации текущего пользователя (с указанным выше предостережением) также содержат сертификат.
Проверка подписи драйвера во время установки Plug and Play (PnP) требует, чтобы корневые сертификаты и сертификаты Authenticode, включая тестовые сертификаты, находились в хранилище сертификатов локального компьютера.
Дополнительные сведения о добавлении или удалении сертификатов из системных хранилищ сертификатов см. в разделе CertMgr.
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Windows driver documentation
Практическое руководство. Просмотр сертификатов с помощью оснастки MMC
При создании защищенного клиента или службы в качестве учетных данных можно использовать сертификат . Например, распространенный тип учетных данных — сертификат X.509, который создается с помощью X509CertificateInitiatorClientCredential.SetCertificate метода .
Существует три различных типа хранилищ сертификатов, которые можно изучить с помощью консоли управления (MMC) в системах Windows:
- Локальный компьютер. Хранилище является локальным для устройства и глобальным для всех пользователей на устройстве.
- Текущий пользователь. Хранилище является локальным для текущей учетной записи пользователя на устройстве.
- Учетная запись службы. Хранилище является локальным для определенной службы на устройстве.
Просмотр сертификатов в оснастке MMC
В следующей процедуре показано, как проверить хранилища на локальном устройстве, чтобы найти соответствующий сертификат.
- Выберите Выполнить в меню Пуск и введите mmc. Появится MMC.
- В меню Файл выберите Добавить или удалить оснастку. Откроется окно Добавление и удаление оснасток .
- В списке Доступные оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.
- В окне оснастки Сертификаты выберите Учетная запись компьютера, а затем нажмите кнопку Далее. При необходимости можно выбрать Моя учетная запись пользователя для текущего пользователя или Учетная запись службы для конкретной службы.
Примечание Если вы не являетесь администратором устройства, вы можете управлять сертификатами только для своей учетной записи пользователя.
Просмотр сертификатов с помощью диспетчера сертификатов
Вы также можете просматривать, экспортировать, импортировать и удалять сертификаты с помощью средства диспетчера сертификатов.
Просмотр сертификатов для локального устройства
- В меню Пуск выберите Выполнить, а затем введите certlm.msc. Откроется средство диспетчера сертификатов для локального устройства.
- Чтобы просмотреть сертификаты, в разделе Сертификаты — локальный компьютер в области слева разверните каталог для типа сертификата, который требуется просмотреть.
Просмотр сертификатов для текущего пользователя
- Выберите параметр Выполнить в меню Пуск, а затем введите certmgr.msc. Отобразится инструмент диспетчера сертификатов для текущего пользователя.
- Чтобы просмотреть сертификаты, в разделе Сертификаты — текущий пользователь в области слева разверните каталог для типа сертификата, который требуется просмотреть.
См. также раздел
- Работа с сертификатами
- Практическое руководство. Создание временных сертификатов для использования во время разработки
- Практическое руководство. Получение отпечатка сертификата
Проблема с сертификатами в Windows 7
30 сентября истекает корневой сертификат, который обеспечивает доступ к большинству сайтов. Миллионы устройств под управлением старых операционных систем лишатся доступа в сеть, будут иметь проблемы с открытием сайтов и запуском приложений. Из-за того, что срок службы сертификата IdenTrust DST Root CA X3 подошел к концу, все сертификаты выданные Lets Encrypt станут недействительны. Проблема коснётся пользователей Windows 7 и более старых операционных систем.
Мы максимально быстро подготовили небольшую программу, которая поможет пользователям Windows 7 обновить корневые сертификаты до современного состояния, что даст доступ ко всем сайтам и решит все проблемы с сертификатами.
Обновление сертификатов Windows 7
Для обновления сертификатов мы подготовили программу, которая в автоматическом режиме установит новые ROOT сертификаты в Windows 7 и перезагрузит компьютер.
Программа распространяется бесплатно.
Скачать сертификаты для Windows 7 и XP
В том случае, если вы сторонник ручной установки и не хотите запускать стороннее программное обеспечение (вас можно понять), мы выкладываем в общий доступ сертификаты ISRG ROOT X1 сроком действия до 04.06.2035, а также список отозванных сертификатов USERTrust RSA.
Скачать обновления KB3004394 Windows 7 для обновления сертификатов
Вы можете спросить, почему сама Microsoft не позаботилась об обновлении таких важных сертификатов, и мы должны страдать. Хорошо что Djinn Ru использует другие сертификаты и доступен. А мы ответим: вообще-то уже давно существует обновление KB3004394. Оно наделало когда-то много шума, его даже отзывали и исправляли — вылетал Windows Defender и VirtualBox, не давал ставить другие обновления и вызывал спонтанные появления UAC. Но все это в прошлом, сейчас мы ставим на Windows 7 это обновление. Сертификаты там конечно не настолько свежие, как мы разместили выше, но на век Windows 7 их все-таки хватит. Обновления вы можете скачать на нашем сервере.
Помогите проекту Джинн.ру
На моем сайте нет рекламы, все программы созданные мной и моими друзьями — бесплатные, подобранные утилиты и драйвера проверены, все данные находятся на наших серверах и доступны 24/7 (как говорится — без регистрации и смс). Работа по созданию сайта, аренда и обслуживание серверов стоит времени и денег. Я делал проект таким, каким хотел бы видеть современный интернет, где нет кликбейта, мусора и рекламы, когда можно не бояться зайти на какую-нибудь страничку и накачать вирусов, когда не знаешь, где настоящая кнопка «скачать», а где — вредоносная ссылка.
Если вы нашли на Джинн.ру информацию, драйвер или программу, которая помогла вам решить проблему — мы будем очень рады, если вы поддержите нас материально. А еще мы рады отзывам.
С уважением, Михаил и проект Джинн.ру
₽ В России — Карта МИР Сбербанк (российские рубли) — 2202 2013 5454 1142 Михаил К.
$ В остальном мире — Карта VISA BakaiBank (американские доллары) — 4714 2400 6990 3442 Mihail K.
₿ На BitCoin кошелек — bc1qs4pnfvvxcjykwg7uu3rl5fahfdypcf9rksvwkd
Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)
Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.
В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
certmgr.msc
Перейдите в раздел «Доверенные корневые центры сертификации» → «Сертификаты»:
Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.
Просмотр сертификатов в PowerShell
Чтобы просмотреть список сертификатов с помощью PowerShell:
Get-ChildItem cert:\LocalMachine\root | format-list
Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):
Get-ChildItem cert:\LocalMachine\root | Where | format-list
Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:
Сертификаты уровня пользователей:
- HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates — содержит настройки сертификатов для текущего пользователя
- HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам пользователей, развёрнутым объектом групповой политики (GPO (Group Policy))
- HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates — соответствует настройке определённых пользовательских сертификатов. У каждого пользователя есть своя ветка в реестре с SID (идентификатор безопасности).
Сертификаты уровня компьютера:
- HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates — содержит настройки для всех пользователей компьютера
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))
Сертификаты уровня служб:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates — содержит настройки сертификатов для всех служб компьютера
Сертификаты уровня Active Directory:
- HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates — сертификаты, выданные на уровне Active Directory.
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.
Пользовательские сертификаты (файлы):
- %APPDATA%\Microsoft\SystemCertificates\My\Certificates
- %USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
- %USERPROFILE%\AppData\Roaming\Microsoft\Credentials
- %USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Компьютерные сертификаты (файлы):
- C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.
Google Chrome
Использует общесистемные доверенные корневые центры сертификации.
Чтобы перейти к списку сертификатов из веб браузера:
Настройки → Приватность и Защита → Безопасность → Управление сертификатами → Просмотр сертификатов → Центры сертификации → Доверенные корневые центры сертификации:
Opera
Чтобы перейти к списку сертификатов из веб браузера: Настройки → Перейти к настройкам браузера → Дополнительно → Безопасность → Ещё → Настроить сертификаты → Доверенные корневые центры сертификации:
Firefox
Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Связанные статьи:
- Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows (99.4%)
- Как включить DNS через HTTPS (DoH) в веб-браузерах (58%)
- Как в Windows 11 поменять веб-браузер по умолчанию (52.5%)
- Почему Windows 10 использует так много трафика и как это исправить (50.8%)
- Программное обеспечение для компьютерной криминалистики на Windows (50.8%)
- Бесплатная программа для показа подробной информации об оборудовании компьютера (RANDOM — 50%)