Можем ли мы узнать точное местоположение сертификата DigiCert , Verisign и т.д…)?
На данный момент единственным способом проверки сертификата является использование приложения MMC в System32 или в нашем веб-браузере (Internet Explorer, Firefox и т.д.) в настройках Интернета.
Хранилище сертификатов Windows (в основном) хранится в реестре , как указано здесь . Однако, в то время как IE, Chrome, Safari/iTunes, Outlook и т.д. используют хранилище сертификатов Windows, Firefox и Thunderbird используют NSS’ кросс-платформенное хранилище сертификатов. Opera также использует свое собственное отдельное хранилище сертификатов.
Если вы хотите получить доступ к хранилищу сертификатов Windows’, то вам следует использовать Microsoft’s CryptoAPI. Если вы хотите получить доступ к хранилищу сертификатов NSS, то вы можете воспользоваться NSS библиотека .
В Windows нет никакой “папки” сертификатов; она хранится во внутренней базе данных Реестр Windows ), к которой вы подключаетесь, используя способы, перечисленные в исходном вопросе. Самый простой способ попасть в эту базу данных - просто поместить certmgr.msc в поле запуска/запуска.
Если вам действительно интересно, вы можете найти действительные записи реестра в:
\SOFTWARE\Microsoft\SystemCertificates\
In HKEY_CURRENT_USER для сертификатов, специфичных для пользователя, и HKEY_LOCAL_MACHINE для сертификатов, специфичных для машины, но они будут нечитаемыми двоичными блоками. Просто лучше использовать оснастку MMC , которую я перечислил ранее.
Вот краткая информация о местоположении (ключи и файлы реестра):
** Уровень пользователя (реестр):**
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates: Содержит сертификаты настроек для текущего пользователя.
HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates: Как и предыдущее местоположение, но это соответствует сертификатам пользователя, развернутому GPO (групповая политика).
HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates: Соответствует конфигурации определенных пользовательских сертификатов. Каждый пользователь имеет свою ветвь в реестре с SID (Security Identifier).
Компьютерный уровень (реестр):
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates: Содержит сертификаты настроек для всех пользователей компьютера.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates: Как и предыдущее местоположение, но это соответствует компьютерным сертификатам, развернутым GPO.
Сервисный уровень (реестр):
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates: Содержит сертификаты настроек для всех служб на компьютере.
** Уровень Active Directory (реестр):**
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates: Сертификаты, выданные на уровне Active Directory.
И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows.
Папки скрыты, а публичные и закрытые ключи расположены в разных папках.
Сертификаты пользователя (файлы):
%APPDATA%\Microsoft\SystemCertificates\My\Certificates
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
%USERPROFILE%\AppData\Roaming\Microsoft\Credentials
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Сертификаты компьютера (файлы):
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Извлеченные из: http://www.sysadmit.com/2017/10/windows-donde-se-guardan-certificados.html
Сертификаты хранятся в реестре по адресу
HKLM/Software/Microsoft/SystemCertificates
Персональные сертификаты, или другие сертификаты, специфичные для зарегистрированного пользователя по адресу
HKCU/Software/Microsoft/SystemCertificates
Они хранятся в виде двоичных блоков, поэтому их нужно декодировать, и плагин MMC является хорошим способом для этого.
Дайте шанс PowerShell:
Get-Childitem Cert:\currentUser -Recurse | Format-Table -AutoSize PSPath, FriendlyName, DnsNamelist