Windows 10 证书负责验证与操作系统通信的个人或实体的身份,它们在存储中进行组织,这是所有证书功能的核心。
在大多数情况下,证书颁发机构(CA) 负责颁发Windows 10 证书。证书颁发机构的目的是确保证书持有者的身份,以便建立可信连接。
信任链
通过其网站销售产品的供应商通常会向该网站分配一个证书,以确保其连接是可信的。与任何基于证书的通信一样,为了让用户信任该证书,应由已正确验证主体身份的可靠CA 颁发该证书。
组织可以建立自己的CA,但大多数CA 都是第三方实体,具有良好的声誉和颁发可靠证书的历史。无论哪种情况,CA 都可以颁发支持各种用例的证书,包括网站身份验证、代码签名、电子邮件等。
Windows 10 信任存储中存储的任何证书,即使它不是来自受信任的CA。
CA 基于分层信任链颁发证书,该信任链以CA 的受信任根证书开始。根证书位于信任层次结构之上,为CA 颁发的所有其他证书提供基础。根证书很少直接颁发给主体,而是在信任链中提供身份锚,所有子证书都链接回根。
特定的子证书建立向委托人颁发证书的中间CA,从而创建由多个层组成的分层链。每个Windows 10 证书都会列出应用于该证书的完整CA 链。从用户的角度来看,唯一重要的是CA链是可信的,这意味着证书本身是可信的,因此证书的主体也是可信的。
信任链使Windows 10 证书的使用变得更加容易。 Windows 10 支持两种基本商店类型:
本地计算机证书对于计算机来说是本地的,但对于所有用户来说是全局的,因此它们非常适合ASP.NET 等机器进程。本地计算机证书存放在注册表根目录Hkey_LOCAL_MACHINE下。
当前的计算机证书特定于计算机上的用户帐户,更适合客户端应用程序。 Windows 将这些证书存储在根目录Hkey_CURRENT_USER 下的注册表中。
