Je comparais que les certificats de mon ordinateur local et MMC.exe me permettent d'afficher les certificats "actuels" et "ordinateur".
Je ne comprends pas pourquoi il y aurait deux magasins "personnels". Quelqu'un peut-il expliquer pourquoi il y en a deux et comment ils interagissent?
Il serait bien de savoir pourquoi ces autres dossiers sont là aussi. Le seul que je pense a une signification fixe est "Certificats racines de confiance". L'autre constante est que le violoneux semble également mettre ses certificats dans "utilisateur actuel \ personnel"
par exemple; FedUtil utilisera uniquement des certificats situés dans l'emplacement suivant (web.config)
3 Réponses :
C'est surtout une question de quelle est la portée de leur utilisation de l'utilisation. Le magasin "Personal de la machine locale" contient des certificats utilisés soit par des applications en tant que certificats client / serveur et appartiennent uniquement à cet ordinateur; Alors que le magasin "Utilisateur" actuel "contient des certificats non liés à une machine particulière (par exemple, vous pouvez avoir un certificat que vous utilisez pour signer numériquement des documents sur plusieurs machines différentes).
Comment le ordinateur local \ Personal Store affecte d'autres utilisateurs sur la même machine?
Vous ne pouvez pas accéder aux certs de l'autre (sauf si vous êtes administrateur). Essayez de créer un nouveau compte utilisateur et d'examiner les certs personnels lorsqu'il est connecté à l'une / à une autre. Essayez-le pour vous-même.
La plupart des certificats de tous les magasins de certificats ne sont que des certificats ... juste des certificats sans la clé privée correspondante. Ils sont utilisés par le système pour déterminer si des choses (comme le code, les sites Web, etc.) peuvent être approuvées ou non.
Dans le magasin personnel, vous disposerez généralement de certificats que vous possédez, y compris la clé privée nécessaire pour signer réellement les choses. Certaines d'entre elles sont liées à un utilisateur (comme la signature du courrier électronique, par exemple), et se trouvent dans le magasin actuelUser et certaines d'entre elles sont liées à une machine (comme le cryptage SSL sur un site Web) et sont dans le magasin localMachine. < / p>
Certaines situations appellent à une nécessité de vérifier la machine locale séparément de l'utilisateur à l'aide des certificats émis par un domaine ca.
Un exemple que j'ai vu est pour l'authentification VPN, où un certificat est délivré à la machine (pour vérifier que la machine est autorisée à se connecter au VPN) et qu'un certificat est délivré à l'utilisateur (pour vérifier que la personne Essayer de se connecter au VPN est identique à celui de l'utilisateur actuellement connecté à la machine locale). Ces deux certs ont été stockés dans l'ordinateur \ utilisateur personnel et actuel \ Emplacements personnels respectivement.
Le seul moyen d'accéder au VPN consiste à avoir une machine jointe à un domaine (pour que le certificat de la machine émise par le domaine CA) qu'un utilisateur de domaine est connecté au moment où connecté au réseau de domaine (pour avoir le certificat utilisateur émis par le domaine ca).
La situation particulière que je parle de laisser l'utilisateur d'accéder à et d'installer le VPN même si elles ne sont pas connectées au domaine (elles pourraient donc obtenir le VPN de la maison ou à l'écart du bureau en général), nécessaire pour taper une adresse Web dans, vérifier eux-mêmes à l'aide de leurs informations d'identification de domaine et que les détails du logiciel et de la connexion VPN ont été configurés, ce qui permet à l'utilisateur d'accéder à distance aux ressources du réseau d'entreprise sans avoir besoin de support TIC.
Pour répondre à la manière dont ils interagissent, les certificats de l'ordinateur \ Personal s'appliquent à tous les utilisateurs qui accèdent à la machine, tandis que l'utilisateur actuel \ s'applique uniquement à l'utilisateur actuel (type d'évident mais c'est la distinction que je le comprends ). Dans mon exemple, les certs travaillent ensemble pour donner une authentification hors-domaine pour la machine et l'utilisateur.
Où est le code source lié à cette question?
@Mike Atlas - selon votre demande et un vote apparent
Ce n'était pas mon vote étroit.