Windows證書管理

以下內容在Windows 7 Ultimate SP1 64位環境進行分析。

證書查看與添加工具

證書打開方式分析

Windows環境中證書相關的文件類型使用“加密外殼擴展”作爲默認打開方式。

註冊表項HKEY_CLASSES_ROOT中，“HKEY_CLASSES_ROOT.cer”、“HKEY_CLASSES_ROOT.crt”、“HKEY_CLASSES_ROOT.der”項的默認值爲“CERFile”，“Content Type”屬性的值爲“application/x-x509-ca-cert”。“HKEY_CLASSES_ROOT.p12”、“HKEY_CLASSES_ROOT.pfx”項的默認值爲“PFXFile”，“Content Type”屬性的值爲“application/x-pkcs12”。

註冊表項HKEY_CLASSES_ROOT\CERFile中，shell\open\command項的默認值爲“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtOpenCER %1”，shell\add\command項的默認值爲“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddCER %1”。

註冊表項HKEY_CLASSES_ROOT\PFXFile中，shell\add\command項的默認值爲“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddPFX %1”，無shell\open\command項。

cryptext.dll在%SystemRoot%\system32目錄中，文件說明爲“加密外殼擴展”。“CryptExtOpenCER”、“CryptExtAddCER”、“CryptExtAddPFX”均爲cryptext.dll的導出函數。

當在資源管理器中雙擊文件類型爲“cer”、“crt”、“der”的文件時，會使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtOpenCER %1”方式打開，會顯示證書信息，示例如下。打開證書信息界面後，點擊“常規”面簽下的“安裝證書”按鈕，會進入證書導入嚮導。

當在資源管理器中對文件類型爲“cer”、“crt”、“der”的文件點擊右鍵並選擇“安裝證書”時，會使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddCER %1”方式打開，會進入證書導入嚮導，示例如下。

當在資源管理器中雙擊文件類型爲“p12”、“pfx”的文件時，或點擊右鍵並選擇“安裝PFX”時，會使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddPFX %1”方式打開，會進入證書導入嚮導，示例與上圖相同。

證書導入

進入證書導入嚮導後，可以選擇證書的存儲位置。

可以選擇的存儲位置包括：個人、受信任的根證書頒發機構、企業信任、中級證書頒發機構、受信任的發佈者、不信任的證書、第三方根證書頒發機構、受信任人、其他人、智能卡受信任的根。

Windows可以自動選擇證書存儲位置，但可能與預期不符。

當導入CA根證書時，存儲位置應選擇“受信任的根證書頒發機構”；當導入中級CA證書時，存儲位置應選擇“中級證書頒發機構”；當導入PKCS# 12證書時，存儲位置應選擇“個人”。

當導入CA根證書時，會出現確認提示框。

當導入PKCS# 12證書時，需要輸入密碼，若需要證書可被導出，需要鉤選“標誌此密鑰爲可導出的密鑰。這將允許您在稍後備份或傳輸密鑰”。

Windows環境中證書相關的信息在文件系統中保存的目錄爲“C:\Users[當前用戶]\AppData\Roaming\Microsoft\SystemCertificates”。在註冊表中保存的路徑爲“HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates”。證書信息存儲位置與用戶有關。