Que sont les magasins de certificats système Windows?

29

Lors de l'ajout de certificats, stls, ctls et crls au système, je peux choisir le magasin de certificats.

Jusqu'à présent, je n'ai trouvé que des références aux magasins "my" et "root".

Y en a-t-il d'autres?

windows-7 windows certificate code-signing Jader Dias
la source
Qu'est-ce que "stls", "ctls" et "crls" (dans ce contexte)?
Peter Mortensen

Réponses:

37

Il existe trois types de magasins de certificats dans Windows.

  1. Magasin de compte d'utilisateur
  2. Magasin de compte de service
  3. Magasin informatique local

Chacun des trois magasins contient un certain nombre de dossiers dans lesquels les certificats vont

  • Personnel (peut être appelé My lorsque j'utilise des scripts pour ajouter des certificats)
  • Autorité de certification racine de confiance (peut être appelée racine)
  • Enterprise Trust
  • Autorité de certification intermédiaire
  • Objet utilisateur Active Directory
  • Éditeurs de confiance
  • Certificats non approuvés
  • Autorités de certification racine tierces
  • Personnes de confiance

Ceux-ci peuvent être vus si vous ouvrez un mmc.exe avec le composant logiciel enfichable Certificats.

Selon ce que le certificat est censé faire, vous devez déterminer où il ira.

La plupart du temps sur les serveurs que nous prenons en charge, nous utilisons le magasin de comptes informatiques (accessible à tous les utilisateurs d'un ordinateur) et mettons des certificats dans le magasin personnel. Parfois, vous devrez peut-être ajouter les certificats de clé publique du pouvoir de signature aux autorités de certification racine et intermédiaire racine.

daed
la source
Où va la STL (Silent Trusted Root Authority)? Quel magasin et dossier?
Jader Dias
Je suppose que "mon" est un alias pour le magasin de comptes d'utilisateurs actuel, et "root" est un alias pour le magasin de machines, non?
Jader Dias
Pas tout à fait ... chacun des magasins a un dossier personnel (dans certains des scripts avec lesquels j'ai foiré, ils ont été référencés comme celui-ci CU \ My (utilisateur actuel) ou LM \ My (machine locale)).
décédé
Quant à votre autorité racine de confiance silencieuse, je n'ai jamais entendu parler de ce terme avant ....
daté du
2
Dans Windows 7, ils ont introduit un autre magasin standard nommé "Autres personnes" (connu en interne sous le nom d'AdresseBook) qui contient des certificats de personnes qui vous envoient des e-mails / documents signés ... Le problème est que ce magasin doit être ajouté manuellement aux systèmes exécutant des versions plus anciennes de Windows (Windows Server 2008 R2, par exemple) fait en sorte que les applications qui en dépendent puissent fonctionner correctement.
Monoman
23

Les noms des magasins de certificats sont les suivants ( source ):

  • Carnet d'adresses : magasin de certificats pour d'autres personnes et ressources.
  • AuthRoot : magasin de certificats pour les autorités de certification tierces (CA).
  • CertificationAuthority : magasin de certificats pour les autorités de certification intermédiaires (AC).
  • Non autorisé : magasin de certificats pour les certificats qui ont été révoqués afin qu'ils ne soient pas oubliés.
  • Mon : magasin de certificats pour vos certificats personnels que vous utilisez et où se trouvent la plupart des certificats personnalisés.
  • Racine : magasin de certificats pour les autorités de certification (CA) auxquelles vous faites confiance.
  • TrustedPeople : magasin de certificats pour les autres personnes et ressources en qui vous avez confiance.
  • TrustedPublisher : magasin de certificats pour les éditeurs d'applications auxquels vous faites confiance.
harrymc
la source