受信任的跟證書授權單位證書存儲
從 Windows Vista 開始,隨插即用 (PnP) 管理員會在裝置和驅動程式安裝期間執行驅動程式簽章驗證。 驗證會在:
用來建立簽章的簽署憑證是由證書頒發機構單位 (CA) 簽發的。
CA 的對應跟證書會安裝在 受信任的跟證書授權單位證書存儲中。 因此,受信任的跟證書授權單位證書存儲包含 Windows 信任的所有 CA 跟證書。
若要存取 Windows 電腦上的受信任跟證書授權單位證書存儲,您可以使用 Microsoft Management Console (MMC) 搭配憑證嵌入式管理單元。 以下是在 Windows 10/11 電腦上執行這項操作的步驟:
開啟 [執行對話框]:按
Windows key + R以開啟 [執行] 對話框。開啟 MMC:在 [執行] 對話框中輸入
mmc,然後按 Enter。 這會開啟 Microsoft Management Console。 如果出現使用者帳戶控制 (UAC) 提示,請按兩下 [是] 以允許 MMC 對您的裝置進行變更。新增憑證嵌入式管理單元:
- 在 MMC 視窗中,按下
File選單列中的 ,然後選取Add/Remove Snap-in。 - 在 [新增或移除嵌入式管理單元] 視窗中,向下捲動並選取
Certificates,然後按兩下Add >。 - 彈出視窗會詢問您要管理的憑證。 選取
Computer account,然後按下Next。 - 選取
Local computer: (the computer this console is running on),然後按下Finish。 - 您也可以選擇
My user account或Service account視您的需求而定,但若要存取受信任的跟證書授權單位,您通常會選擇Computer account。 - 按兩下
OK以關閉 [新增] 或 [移除嵌入式管理單元] 視窗。
- 在 MMC 視窗中,按下
存取受信任的跟證書授權單位:
- 在 MMC 的樹狀
Certificates (Local Computer)結構下,展開Trusted Root Certification Authorities資料夾。 - 點選
Certificates下方的Trusted Root Certification Authorities。 這會顯示計算機目前信任的所有憑證。
- 在 MMC 的樹狀
管理憑證:
- 您可以從這裏檢視每個憑證的詳細數據、匯入新的受信任憑證,或移除現有的憑證。 不過,新增或移除憑證時請謹慎,因為它可能會影響系統的安全性和功能。
關閉 MMC:
- 完成時,您可以直接關閉 MMC 視窗。 如果您做了變更,並詢問您是否要儲存主控台設定,請選擇
No,除非您打算經常重複使用此控制台設定。
- 完成時,您可以直接關閉 MMC 視窗。 如果您做了變更,並詢問您是否要儲存主控台設定,請選擇
請記住,管理憑證和受信任的跟證書授權單位存放區應該謹慎完成,而且通常需要系統管理員許可權。 不當的變更可能會危害系統的安全性。
根據預設,信任的根憑證授權單位憑證存放區會設定一組符合 Microsoft 根憑證計畫需求的公用 CA。 管理員 istrators 可以設定預設的受信任 CA 集,並安裝自己的私人 CA 來驗證軟體。
注意 私人 CA 不太可能在網路環境外部受到信任。
擁有有效的數位簽名可確保驅動程式套件的真實性和完整性。 不過,這並不表示終端使用者或系統管理員隱含信任軟體發行者。 使用者或系統管理員必須根據使用者對軟體發行者和應用程式的知識,決定是否依案例安裝或執行應用程式。 根據預設,只有在發行者證書存儲中安裝發行者憑證時,發行者才會受到信任。
受信任的跟證書授權單位證書存儲名稱為 root。您可以使用 CertMgr 工具,將私人 CA 的跟證書手動安裝到電腦上的受信任跟證書授權單位證書存儲中。
注意 PnP 管理員所使用的驅動程式簽署驗證原則要求,私人 CA 的跟證書先前已安裝在本機電腦版本的跟證書授權單位證書存儲中。 如需詳細資訊,請參閱 Local Machine and Current User Certificate Stores (本機電腦和目前使用者憑證存放區)。
如需驅動程式簽署的詳細資訊,請參閱 驅動程式簽署原則。