为什么有“计算机\个人\证书”商店以及“当前用户\个人\证书”

Question

我正在比较本地计算机中的证书，MMC.exe允许我查看“当前用户”和“计算机”的证书。

我不明白为什么会有两个“个人”商店。有人可以解释为什么有两个，以及它们如何互动？

很高兴知道为什么那些其他文件夹也存在。我认为唯一具有固定含义的是“受信任的根证书”。另一个常数是，Fiddler似乎也将其证书放入“当前用户\个人”

例如; FedUtil仅使用位于以下位置的证书（web.config）

        <serviceCertificate findValue="6CB9aaaaa636EBF52980152CDCB02D3BBBBBBBBB" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />

Answer 1

这主要取决于他们的预期使用范围。 “本地计算机个人”存储包含由应用程序用作客户端/服务器证书且仅属于此计算机的证书;而“当前用户个人”商店包含未绑定到任何特定计算机的证书（例如，您可能拥有用于在多台不同计算机上对文档进行数字签名的证书）。

Answer 2

所有证书库中的大多数证书只是证书......只是没有相应私钥的证书。系统使用它们来确定是否可以信任（例如代码，网站等）。

在个人商店中，通常，您将拥有自己拥有的证书，包括实际签名所需的私钥。其中一些与用户绑定（例如签名电子邮件），并且位于CurrentUser商店中，其中一些与机器相关（如网站上的SSL加密），并且位于LocalMachine商店中。 / p>

Answer 3

某些情况需要使用域CA颁发的证书与用户分开验证本地计算机。

我见过的一个例子是VPN身份验证，其中向机器发出证书（以验证机器是否允许连接到VPN），并向用户颁发证书（以验证该人员）尝试连接到VPN与当前登录到本地计算机的用户相同。这两个证书分别存储在Computer \ Personal和Current User \ Personal位置。

访问VPN的唯一方法是在连接到域网络时让域用户登录的域加入计算机（具有域CA颁发的计算机证书）（以获得用户证书）由域CA颁发。）

我指的特殊情况是让用户访问并安装VPN，即使他们当前没有登录域（因此他们可以从家里或远离办公室获取VPN），他们只是需要输入网址，使用他们的域凭证验证自己，并设置VPN软件和连接细节，允许用户远程访问业务网络资源，而无需ICT支持。

为了回答他们如何互动，计算机\个人位置中的证书适用于访问该计算机的所有用户，而当前用户\个人仅适用于当前用户（有点明显，但这是我所理解的区别）。在我的示例中，证书协同工作以为机器和用户提供域外身份验证。