Windows证书管理

以下内容在Windows 7 Ultimate SP1 64位环境进行分析。

证书查看与添加工具

证书打开方式分析

Windows环境中证书相关的文件类型使用“加密外壳扩展”作为默认打开方式。

注册表项HKEY_CLASSES_ROOT中，“HKEY_CLASSES_ROOT.cer”、“HKEY_CLASSES_ROOT.crt”、“HKEY_CLASSES_ROOT.der”项的默认值为“CERFile”，“Content Type”属性的值为“application/x-x509-ca-cert”。“HKEY_CLASSES_ROOT.p12”、“HKEY_CLASSES_ROOT.pfx”项的默认值为“PFXFile”，“Content Type”属性的值为“application/x-pkcs12”。

注册表项HKEY_CLASSES_ROOT\CERFile中，shell\open\command项的默认值为“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtOpenCER %1”，shell\add\command项的默认值为“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddCER %1”。

注册表项HKEY_CLASSES_ROOT\PFXFile中，shell\add\command项的默认值为“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddPFX %1”，无shell\open\command项。

cryptext.dll在%SystemRoot%\system32目录中，文件说明为“加密外壳扩展”。“CryptExtOpenCER”、“CryptExtAddCER”、“CryptExtAddPFX”均为cryptext.dll的导出函数。

当在资源管理器中双击文件类型为“cer”、“crt”、“der”的文件时，会使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtOpenCER %1”方式打开，会显示证书信息，示例如下。打开证书信息界面后，点击“常规”面签下的“安装证书”按钮，会进入证书导入向导。

当在资源管理器中对文件类型为“cer”、“crt”、“der”的文件点击右键并选择“安装证书”时，会使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddCER %1”方式打开，会进入证书导入向导，示例如下。

当在资源管理器中双击文件类型为“p12”、“pfx”的文件时，或点击右键并选择“安装PFX”时，会使用“%SystemRoot%\system32\rundll32.exe cryptext.dll,CryptExtAddPFX %1”方式打开，会进入证书导入向导，示例与上图相同。

证书导入

进入证书导入向导后，可以选择证书的存储位置。

可以选择的存储位置包括：个人、受信任的根证书颁发机构、企业信任、中级证书颁发机构、受信任的发布者、不信任的证书、第三方根证书颁发机构、受信任人、其他人、智能卡受信任的根。

Windows可以自动选择证书存储位置，但可能与预期不符。

当导入CA根证书时，存储位置应选择“受信任的根证书颁发机构”；当导入中级CA证书时，存储位置应选择“中级证书颁发机构”；当导入PKCS# 12证书时，存储位置应选择“个人”。

当导入CA根证书时，会出现确认提示框。

当导入PKCS# 12证书时，需要输入密码，若需要证书可被导出，需要钩选“标志此**为可导出的**。这将允许您在稍后备份或传输**”。

Windows环境中证书相关的信息在文件系统中保存的目录为“C:\Users[当前用户]\AppData\Roaming\Microsoft\SystemCertificates”。在注册表中保存的路径为“HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates”。证书信息存储位置与用户有关。

查看证书信息

进入证书导入向导后窗口，

显示证书信息的窗口中，“详细信息”标签中显示了证书的详细信息，与使用keytool及openssl命令查询的结果基本一致。示例如下。

当证书为CA证书时，在证书信息的“详细信息”标签中的“基本约束”字段参数为“Subject Type=CA”；当证书非CA证书时，在证书信息的“详细信息”标签中的“基本约束”字段参数为“Subject Type=End Entity”。

在查看存在证书链的证书时，需要将对应的CA证书均导入才，才能在“证书路径”页签中查看证书链信息，否则只能查看当前证书信息。

证书导出

在证书信息的“详细信息”标签中，点击“复制到文件”按钮可导出证书，可实现对证书格式进行转换，示例如下。

点击上图中的“证书文件格式”，会打开Windows的证书帮助的“证书->证书概述->证书文件格式”部分，可查看证书导入与导出操作支持的文件格式。

证书管理工具

证书管理工具可通过“certmgr.msc”命令打开。

证书查看功能

在证书管理工具中可查看已导入的证书。

PKCS# 12证书导入了**，图标与其他证书不同。查看证书信息，会显示“您有一个与该证书对应的私钥。”。

证书导出功能

选择证书后，点击“操作”菜单的“所有任务”“导出”功能，或在证书列表某证书点击右键后选择“所有任务”“导出”功能，可将证书导出。

PKCS# 12证书在导入时需要选择“标志此**为可导出的**。这将允许您在稍后备份或传输**。”才允许导出。在导出时需要选择“是，导出私钥”才可以导出私钥。

导出PKCS# 12证书（包含私钥）时，导出格式需选择“个人信息交换 - PKCS # 12(.PFX)”。

导出PKCS# 12证书（包含私钥）时，需要设置密码。

证书删除功能

以下操作均可删除证书，支持删除多个证书。

选择证书后按delete键也可删除证书。

部分证书需要管理员权限才可以删除。

通过IE打开证书管理工具

在IE选项的“内容”面签中点击“证书”按钮，也可以打开证书管理工具。