受信任的发布者证书存储

受信任的发布者证书存储包含有关验证码 (签名) 计算机上安装的受信任发布者的证书的信息。 为了在组织内测试和调试 驱动程序包 ,公司应安装用于在受信任的发布者证书存储中对驱动程序包进行签名的 Authenticode 证书。 在运行已签名代码的工作组或组织单位中的每台计算机上安装 Authenticode 证书。 受信任的发布者证书存储的名称为 trustedpublisher。

如果发布者的 Authenticode 证书位于受信任的发布者证书存储中,则 Windows 将安装由证书进行数字签名的 驱动程序包 ,而不会提示用户 (无提示安装) 。 通过在受信任的发布服务器证书存储中安装 Authenticode 证书,可以在用于内部测试和调试的各种系统上自动安装驱动程序包。

重要

这种自动安装驱动程序包的做法仅适用于内部系统。 对于在组织外部分发的任何驱动程序包,绝不应遵循这种做法。

受信任的发布者证书存储与 受信任的根证书颁发机构证书存储 的不同之处在于,只能信任 最终实体 证书。 例如,如果使用 CA 中的 Authenticode 证书对驱动程序包 进行测试签名 ,则将该证书添加到受信任的发布者证书存储不会将此 CA 颁发的所有证书配置为受信任的证书。 每个证书必须单独添加到受信任的发布者证书存储中。

使用组策略将证书分发到网络上的组织单位。 在这种情况下,管理员向组策略添加证书规则,以在发布者中建立信任。

可以使用 CertMgr 工具将 Authenticode 证书手动安装到计算机上的受信任发布者证书存储中。

注意

即插即用 使用的驱动程序签名验证策略要求以前已在受信任的发布服务器证书存储的本地计算机版本中安装 CA 的 Authenticode 证书。 有关详细信息,请参阅 Local Machine and Current User Certificate Stores(本地计算机和当前用户证书存储)。

有关如何使用 组策略 在企业中部署 Authenticode 证书的详细信息,请参阅自述文件 Selfsign_readme.htm,该文件位于 WDK 的 bin\selfsign 目录中。