我目前正在开发一个脚本程序,该程序通过对某些事物进行快照来跟踪操作系统中的更改。其中之一是证书。目的是查看已安装程序对系统所做的更改。当前的问题是,我一直看到正在添加的证书没有被程序添加,而Windows被添加。我的目标是防止Windows在测试期间下载证书。通过使用以下命令安装全新的Trust Root Authority证书存储:
CertUtil -GenerateSSTFromWU <filename>
其次:
updroots.exe <filename>
问题是,在安装此新存储后,虽然确实看到添加了更少的证书,但继续看到有许多时间戳证书添加到CurrentUser / CA存储中。我希望有人知道我们来自这些证书,以及如何预先安装它们,以便它们不会在测试中出现。谢谢您的建议。
编辑:
证书示例包括
Microsoft时间戳PCA 2010
Microsoft代码签名PCA 2010
Microsoft时间戳PCA
GlobalSign盖章CA-G2
Microsoft代码签名PCA
Edit 2.0:
在四处张望,我已经提到它在“当前用户/ CA”存储中安装了证书,该证书似乎与certmgr中的“中间证书颁发机构”存储相对应。我相信AuthRootAutoUpdate适用于受信任的根证书颁发机构存储。我现在正在研究的问题,是否有单独的服务负责更新中间证书颁发机构?
答案 0 :(得分:0)
Windows尝试从ctldl.windowsupdate.com获取证书。首先,它尝试获取以下文件:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
然后,如果需要根证书来检查文件夹中证书的身份,则可以获取根证书:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/