Windows XP 在申请证书的计算机或设备本地存储证书,如果申请证书的是一位用户,则证书将存放在该用户所使用的计算机或设备上。存储位置称为证书存储区。证书存储区通常会有许多证书,而且这些证书可能是由许多不同的证书颁发机构颁发的。
使用“证书”管理单元,可以根据证书颁发的目的或使用其逻辑存储服务,而显示用户、计算机或服务的证书存储区。当根据存储类别显示证书时,也可以选择显示物理存储区,以显示证书存储区树状结构。(只推荐高级用户使用。)
如果有相应的权限,可以从证书存储区中的任何文件夹导入或导出证书。此外,如果将与证书相关的私钥标记为可导出,则可以将两者都导出到PKCS #12 文件中。
Windows 还可以将证书发布给Active Directory。在 Active Directory中发布证书,将使具有充足权限的所有用户或计算机都能够根据需要检索证书。
证书可以按目的或逻辑存储区显示,如下表所示。按逻辑存储区显示是证书的默认设置。(注意证书目的存储区列表不包含所有可能的目的存储区。)
显示 | 文件夹名 | 帮助主题 |
逻辑存储区 | 个人 | 与所访问的私钥相关的证书。这些证书已经颁发给您,或者颁发给您正在管理其证书的计算机或服务。 管理员注意:Windows 2000 Active Directory 域中的计算机可通过使用基于组策略的自动注册将证书自动置于该存储区。请参阅自动证书请求设置。 |
| 受信任的根证书颁发机构 | 隐含的受信任证书颁发机构。包括在第三方根证书颁发机构存储区中的所有证书,外加来自您的组织和 Microsoft 的根证书。 如果您是管理员,想向 Windows 2000 Active Directory 域中的所有计算机添加第三方证书颁发机构的证书到该存储区,则可以使用组策略向您的组织分发受信任的根证书。请参阅受信任的根证书颁发机构策略。 |
| 企业信任 | 证书信任列表容器。证书信任列表提供了一种机制,该机制用于信任来自其他组织的自签名根证书,并用于限制这些证书被信任时所针对的目的。有关“企业”信任的详细信息,请参阅企业信任策略。 |
| 中级证书颁发机构 | 颁发给从属证书颁发机构的证书。 |
| 受信任的人员 | 颁发给明确可信的人员或最终实体的证书。大多情况下,这是那些自我签名的证书,或者在应用程序(如 Microsoft Outlook)中被明确信任的证书。 |
| 其他人员 | 颁发给被暗中信任的人员或最终实体的证书。这些证书必须是受信任证书分层结构的一部分。大多数情况下,这是那些用于类似加密文件系统等服务的缓存证书,这时证书用于创建对已加密文件的解密权。 |
| 受信任的发行人 | 受“软件限制”策略信任的证书颁发机构的证书。 |
| 不允许的证书 | 这是那些由于您使用软件限制策略,或者在邮件或 Web 浏览器中出现信任选择时单击“不信任该证书”,而已明确决定不信任的证书。 |
| 第三方根证书颁发机构 | 来自 Microsoft 和您的组织以外的证书颁发机构所颁发的受信任根证书。 |
| 证书登记请求 | 未决或被拒的证书申请。 |
| Active Directory 用户对象 | 与用户对象相关并在 Active Directory中发布的证书。 |
目的 | 服务器验证 | 服务器程序用来向客户端验证自身的证书。 |
| 客户端验证 | 客户程序用来向服务器验证自身的证书。 |
| 代码签名 | 与用来签发活动内容的密钥对相关联的证书。 |
| 安全电子邮件 | 与用来签发电子邮件的密钥对相关联的证书。 |
| 加密文件系统 | 与密钥对相关的证书,此密钥对加密和解密对称密钥,此对称密钥被加密文件系统用来加密和解密数据。 |
| 文件恢复 | 与密钥对相关的证书,此密钥对可加密和解密对称密钥,此对称密钥被加密文件系统用来恢复加密的数据。 |
当查看存储在“逻辑存储”模式中的证书内容时,有时会发现存储区中存在同一证书的两个副本。这是因为同一证书存储在同一逻辑存储区的不同物理存储区,例如,“注册”和“企业”物理存储区都位于“受信任根证书颁发机构存储”逻辑存储区中。当物理证书存储的内容合并到同一逻辑存储视图时,同一证书的不同存储情况将会显示出来。
可以对其进行如此验证:即通过设置视图选项,以便查看物理证书存储,并了解到该证书的确存储在同一逻辑存储的不同物理存储。通过比较序列号,可以验证这是同一个证书。
详细信息,请参阅生成加密密钥和证书申请、导入和导出证书、以“目的”模式显示证书存储区、以“逻辑存储区”模式显示证书存储区、显示归档证书、显示证书存储区的存储结构。
