受信任的发布者证书存储包含有关计算机上安装的受信任发布者的验证码(签名)证书的信息。 为了测试和调试组织中的 驱动程序包 ,公司应安装用于在受信任的发布者证书存储中对驱动程序包进行签名的 Authenticode 证书。 在运行已签名代码的工作组或组织单位的每台计算机上安装 Authenticode 证书。 受信任的发布者证书存储的名称为 trustedpublisher。
如果发布者的 Authenticode 证书位于受信任的发布者证书存储中,Windows 将安装由证书数字签名的 驱动程序包 ,而不提示用户(无提示安装)。 通过在受信任的发布者证书存储中安装 Authenticode 证书,可以在用于内部测试和调试的各种系统上自动安装驱动程序包。
重要
仅建议在内部系统中采用自动安装驱动程序包的做法。 对于组织外部分发的任何驱动程序包,不应遵循这种做法。
受信任的发布者证书存储不同于 受信任的根证书颁发机构证书存储 ,因为只能信任 最终实体 证书。 例如,如果 CA 的 Authenticode 证书被用于测试签名一个驱动程序包,将该证书添加到受信任的发布者证书存储中并不会将该 CA 所颁发的所有证书配置为受信任。 必须将每个证书单独添加到受信任的发布者证书存储中。
使用组策略将证书分发到网络上的组织单位。 在这种情况下,管理员将证书规则添加到组策略,以在发布者中建立信任。
可以使用 CertMgr 工具将 Authenticode 证书手动安装到计算机上的受信任发布者证书存储中。
注释
即插即用使用的驱动程序签名验证策略要求,CA 的 Authenticode 证书以前安装在受信任的发布者证书存储的本地计算机版本中。 有关详细信息,请参阅 本地计算机和当前用户证书存储。
有关如何使用组策略在企业中部署 Authenticode 证书的详细信息,请参阅位于 WDK 的 bin\selfsign 目录中的自述文件 Selfsign_readme.htm。