Почему существует магазин "Компьютер \ Личные \ Сертификаты", а также "Текущий пользователь \ Личные \ Сертификаты"

Question

Я сравниваю сертификаты на моем локальном компьютере, и MMC.exe позволяет мне просматривать сертификаты для «Текущего пользователя» и «Компьютера».

Я не понимаю, почему будет два «личных»" магазины.Может кто-нибудь объяснить, почему их две, и как они взаимодействуют?

Было бы неплохо узнать, почему там находятся и эти другие папки.Единственное, что, я думаю, имеет фиксированное значение, это «Доверенные корневые сертификаты».Другой константой является то, что Fiddler, похоже, также помещает свои сертификаты в «Текущий пользователь \ Личный»

Например;FedUtil будет использовать только сертификаты, расположенные в следующем месте (web.config)

        <serviceCertificate findValue="6CB9aaaaa636EBF52980152CDCB02D3BBBBBBBBB" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />

Answer 1

Это в основном вопрос их предполагаемого объема использования.Хранилище «Local Machine Personal» содержит сертификаты, используемые приложениями как сертификаты клиент / сервер и принадлежащие только этому компьютеру;в то время как хранилище «Текущий пользователь» содержит сертификаты, не привязанные к какому-либо конкретному компьютеру (например, у вас может быть сертификат, который вы используете для цифровой подписи документов на нескольких разных машинах).

Answer 2

Большинство сертификатов во всех хранилищах сертификатов - это просто сертификаты ... просто сертификаты без соответствующего закрытого ключа. Они используются системой для определения того, можно ли доверять вещам (таким как код, веб-сайты и т. Д.).

В личном магазине, как правило, у вас есть собственные сертификаты, в том числе закрытый ключ, необходимый для подписи. Некоторые из них привязаны к пользователю (например, подписывают электронную почту) и находятся в хранилище CurrentUser, а некоторые привязаны к компьютеру (например, шифрование SSL на веб-сайте) и находятся в хранилище LocalMachine.

Answer 3

В некоторых ситуациях требуется проверка локальной машины отдельно от пользователя с использованием сертификатов, выданных доменным центром сертификации.

Пример, который я видел, касается VPN-аутентификации, когда сертификат выдаетсямашина (чтобы убедиться, что машине разрешено подключаться к VPN), и пользователю выдается сертификат (чтобы убедиться, что человек, пытающийся подключиться к VPN, совпадает с пользователем, вошедшим в данный момент на локальный компьютер).Оба эти сертификата были сохранены в папках «Компьютер \ Персональный» и «Текущий пользователь \ Персональный» соответственно.

Единственный способ получить доступ к VPN - подключить компьютер к домену (чтобы сертификат компьютера был выдан доменом).CA), к которому вошел пользователь домена, когда он подключен к сети домена (чтобы CA домена выдал сертификат пользователя).

Особая ситуация, о которой я имею в виду, - дать пользователю доступ и установитьVPN, даже если они в настоящее время не зарегистрированы в домене (чтобы они могли получить VPN из дома или из офиса в целом), им просто нужно было ввести веб-адрес, подтвердить свои права, используя свои учетные данные домена и программное обеспечение VPNи были установлены подробные данные о соединении, позволяющие пользователю получать удаленный доступ к ресурсам бизнес-сети без необходимости поддержки ИКТ.

Чтобы ответить на вопрос о том, как они взаимодействуют, сертификаты в компьютере \ личном местоположении применяются ко всем пользователям, имеющим доступ кмашина, тогда как текущий пользователь \ персональное приложениеДля текущего пользователя (вроде бы очевидно, но это различие, насколько я понимаю).В моем примере сертификаты работают вместе, чтобы предоставить автономную аутентификацию для компьютера и пользователя.