受信任的根证书颁发机构证书存储

即插即用（PnP）管理器在设备和驱动程序安装过程中执行驱动程序签名验证。 验证成功时：

• 证书颁发机构（CA）颁发了用于创建签名的签名证书。

• CA 的相应根证书安装在“受信任的根证书颁发机构”证书存储中。 因此，“受信任的根证书颁发机构”证书存储包含 Windows 信任的所有 CA 的根证书。

若要访问 Windows 计算机上的“受信任的根证书颁发机构”证书存储，可以将 Microsoft 管理控制台 (MMC) 与证书管理单元配合使用。 Windows 10 或更高版本计算机的步骤如下：

1. 打开“Windows 运行”对话框：按 Windows 键 + R 打开“运行”对话框。

2. 打开Microsoft管理控制台（MMC）：在“运行”对话框中键入 mmc，然后按 Enter。 此命令将打开Microsoft管理控制台。 如果用户帐户控制 (UAC) 提示，请选择“是”，以允许 MMC 对设备进行更改。

3. 添加“证书”管理单元：

   • 在 MMC 窗口中，在菜单栏中选择文件，然后选择添加/删除管理单元。
   • 在“添加或删除管理单元”窗口中，向下滚动并选择“证书”，然后选择“添加”>。
   • 弹出窗口会询问要管理的证书。 选择“计算机帐户”，然后选择“下一步”。
   • 选择本地计算机：（运行此控制台的计算机），然后选择“完成”。
   • 还可以根据需要选择 我的用户帐户 或 服务帐户，但若要访问受信任的根证书颁发机构，请选择 计算机帐户。
   • 选择确定关闭添加或删除管理单元窗口。

4. 访问受信任的根证书颁发机构：

   • 在 MMC 中，在 证书（本地计算机） 树下，展开 受信任的根证书颁发机构 文件夹。
   • 在“受信任的根证书颁发机构”下选择“证书”。 查看计算机当前信任的所有证书。

5. 管理证书：

   • 在此处，可以查看每个证书的详细信息、导入新的受信任证书或删除现有证书。 但是，在添加或删除证书时要谨慎，因为它可能会影响系统的安全性和功能。

6. 关闭 MMC。

   • 完成后，可以关闭 MMC 窗口。 如果进行了更改并询问是否要保存主机设置，请选择 “无”，除非你计划频繁重用此主机设置。

请记住，应谨慎管理证书和受信任的根证书颁发机构存储，并且通常需要管理员权限。 不当的更改可能会损害系统的安全性。

默认情况下，受信任的根证书颁发机构证书存储区配置了一组符合Microsoft根证书计划要求的公共 CA。 管理员可以配置默认的受信任 CA 集，并安装自己的专用 CA 来验证软件。

注意

专用 CA 不太可能在网络环境外部受到信任。

具有有效的数字签名可确保 驱动程序包的真实性和完整性。 但是，这并不意味着最终用户或系统管理员隐式信任软件发布者。 用户或管理员必须根据他们对软件发布者和应用程序的知识，决定是否按案例安装或运行应用程序。 在默认情况下，只有当发布者的证书安装在 受信任的发布者证书存储中时，该发布者才会被信任。

受信任的根证书颁发机构证书存储的名称是根。 可以使用 CertMgr 工具将专用 CA 的根证书手动安装到计算机上的受信任的根证书颁发机构证书存储中。

注意

PnP 管理器使用的驱动程序签名验证策略要求以前已在根证书颁发机构证书存储的本地计算机版本中安装专用 CA 的根证书。 有关详细信息，请参阅 Local Machine and Current User Certificate Stores（本地计算机和当前用户证书存储）。

有关驱动程序签名的详细信息，请参阅 驱动程序签名策略。