为什么有“计算机\个人\证书”商店以及“当前用户\个人\证书”

时间:2011-04-15 02:25:50

标签: encryption windows-7 certificate ssl-certificate x509certificate

我正在比较本地计算机中的证书,MMC.exe允许我查看“当前用户”和“计算机”的证书。

我不明白为什么会有两个“个人”商店。有人可以解释为什么有两个,以及它们如何互动?

很高兴知道为什么那些其他文件夹也存在。我认为唯一具有固定含义的是“受信任的根证书”。另一个常数是,Fiddler似乎也将其证书放入“当前用户\个人”

enter image description here

例如; FedUtil仅使用位于以下位置的证书(web.config)

        <serviceCertificate findValue="6CB9aaaaa636EBF52980152CDCB02D3BBBBBBBBB" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />

3 个答案:

答案 0 :(得分:5)

这主要取决于他们的预期使用范围。 “本地计算机个人”存储包含由应用程序用作客户端/服务器证书且仅属于此计算机的证书;而“当前用户个人”商店包含未绑定到任何特定计算机的证书(例如,您可能拥有用于在多台不同计算机上对文档进行数字签名的证书)。

答案 1 :(得分:1)

所有证书库中的大多数证书只是证书......只是没有相应私钥的证书。系统使用它们来确定是否可以信任(例如代码,网站等)。

在个人商店中,通常,您将拥有自己拥有的证书,包括实际签名所需的私钥。其中一些与用户绑定(例如签名电子邮件),并且位于CurrentUser商店中,其中一些与机器相关(如网站上的SSL加密),并且位于LocalMachine商店中。 / p>

答案 2 :(得分:0)

某些情况需要使用域CA颁发的证书与用户分开验证本地计算机。

我见过的一个例子是VPN身份验证,其中向机器发出证书(以验证机器是否允许连接到VPN),并向用户颁发证书(以验证该人员)尝试连接到VPN与当前登录到本地计算机的用户相同。这两个证书分别存储在Computer \ Personal和Current User \ Personal位置。

访问VPN的唯一方法是在连接到域网络时让域用户登录的域加入计算机(具有域CA颁发的计算机证书)(以获得用户证书)由域CA颁发。)

我指的特殊情况是让用户访问并安装VPN,即使他们当前没有登录域(因此他们可以从家里或远离办公室获取VPN),他们只是需要输入网址,使用他们的域凭证验证自己,并设置VPN软件和连接细节,允许用户远程访问业务网络资源,而无需ICT支持。

为了回答他们如何互动,计算机\个人位置中的证书适用于访问该计算机的所有用户,而当前用户\个人仅适用于当前用户(有点明显,但这是我所理解的区别)。在我的示例中,证书协同工作以为机器和用户提供域外身份验证。