证书目录
Windows公钥基础结构 (PKI) 将证书保存在托管证书颁发机构 (CA) 和本地计算机或设备上的服务器上。 CA 存储通常称为证书数据库,本地存储称为证书存储。
证书数据库
在Windows服务器上添加证书服务并配置 CA 时,将创建证书数据库。 默认情况下,数据库包含在 %SystemRoot%\System32\Certlog 文件夹中,该名称基于扩展名为 .edb 的 CA 名称。 数据库可以包含:
- 颁发的证书
- 吊销的证书
- 存档的私钥
- 证书请求
不能使用证书注册 API 操作数据库。 注册过程会自动创建所需的条目。
证书存储
Microsoft 证书服务将颁发的证书和挂起或拒绝的请求复制到本地计算机和设备。 存储位置称为证书存储,由以下逻辑存储组成。
| 逻辑存储 | 描述 |
|---|---|
| 个人 |
包含与用户或计算机控制的私钥关联的证书。 |
| 受信任的根证书颁发机构 |
包含来自隐式受信任证书颁发机构的证书, (CA) 。 |
| 企业信任 |
包含通常用于信任其他组织的自签名证书的证书信任列表。 |
| 中间证书颁发机构 |
包含颁发给证书层次结构中的从属 CA 的证书。 |
| Active Directory 用户对象 |
包含 Active Directory 中发布的用户对象证书或证书。 |
| 受信任的发布者 |
包含来自受信任 CA 的证书。 |
| 不可信的证书 |
包含已显式标识为不受信任的证书。 |
| 第三方根证书颁发机构 |
包含来自内部证书层次结构外部 CA 的受信任根证书。 |
| 受信任人 |
包含颁发给已显式信任的用户或实体的证书。 |
| 其他人 |
包含颁发给已隐式信任的用户或实体的证书。 |
| 证书注册申请 |
包含挂起或拒绝的证书请求。 |
不能使用证书注册 API 指定或检索存储属性或将证书复制到特定存储区。