受信任的根证书颁发机构证书存储

从 Windows Vista 开始，即插即用 (PnP) 管理器在设备和驱动程序安装期间执行驱动程序签名验证。 以下情况下验证成功：

• 用于创建签名的签名证书是由证书颁发机构 (CA) 颁发的。

• CA 的相应根证书安装在“受信任的根证书颁发机构”证书存储中。 因此，“受信任的根证书颁发机构”证书存储包含 Windows 信任的所有 CA 的根证书。

若要访问 Windows 计算机上的“受信任的根证书颁发机构”证书存储，可以将 Microsoft 管理控制台 (MMC) 与证书管理单元配合使用。 以下是在 Windows 10/11 计算机上执行此操作的步骤：

1. 打开“运行”对话框：按 Windows key + R 打开“运行”对话框。

2. 打开 MMC：键入 mmc 进入“运行”对话框，然后按 Enter。 这会打开 Microsoft 管理控制台。 如果用户帐户控制 (UAC) 提示，请单击“是”，以允许 MMC 对设备进行更改。

3. 添加“证书”管理单元：

   • 在 MMC 窗口中，单击菜单栏中的 File，并选择 Add/Remove Snap-in。
   • 在“添加或删除管理单元”窗口中，向下滚动，并选择 Certificates，然后单击 Add >。
   • 弹出窗口将询问要管理哪些证书。 选择 Computer account，然后单击 Next。
   • 选择 Local computer: (the computer this console is running on)，然后单击 Finish。
   • 也可以根据需要选择 My user account 或 Service account；但对于访问受信任的根证书颁发机构，通常选择 Computer account。
   • 单击 OK，以关闭“添加或删除管理单元”窗口。

4. 访问受信任的根证书颁发机构：

   • 在 MMC 的 Certificates (Local Computer) 树下，展开 Trusted Root Certification Authorities 文件夹。
   • 单击 Trusted Root Certification Authorities 下的 Certificates。 这将显示计算机当前信任的所有证书。

5. 管理证书：

   • 在此处，可以查看每个证书的详细信息、导入新的受信任证书或删除现有证书。 但是，请谨慎添加或删除证书，因为这可能会影响系统的安全性和功能。

6. 关闭 MMC：

   • 完成后，只需关闭 MMC 窗口即可。 如果你进行了更改，并且系统询问是否要保存控制台设置，请选择 No（除非你计划频繁重用此控制台设置）。

请记住，应谨慎管理证书和受信任的根证书颁发机构存储，并且通常需要管理员权限。 不适当的更改可能会危及系统的安全性。

默认情况下，“受信任的根证书颁发机构”证书存储配置有一组符合 Microsoft 根证书计划要求的公共 CA。 管理员可以配置默认的受信任的 CA 集，并安装自己的专用 CA 来验证软件。

注意 在网络环境之外，不太可能信任专用 CA。

拥有有效的数字签名可确保驱动程序包的真实性和完整性。 然而，这并不意味着最终用户或系统管理员隐含地信任软件发布者。 用户或管理员必须根据他们对软件发布者和应用程序的了解，根据具体情况决定是否安装或运行应用程序。 默认情况下，仅当发布者证书安装在受信任的发布者证书存储中时，发布者才受信任。

受信任的根证书颁发机构证书存储的名称为 root。可以使用 CertMgr 工具将专用 CA 的根证书手动安装到计算机上的受信任的根证书颁发机构证书存储中。

注意 PnP 管理器使用的驱动程序签名验证策略要求专用 CA 的根证书先前已安装在根证书颁发机构证书存储的本地计算机版本中。 有关详细信息，请参阅 Local Machine and Current User Certificate Stores（本地计算机和当前用户证书存储）。

有关驱动程序签名的详细信息，请参阅驱动程序签名策略。