即插即用(PnP)管理器在设备和驱动程序安装过程中执行驱动程序签名验证。 验证成功时:
证书颁发机构(CA)颁发了用于创建签名的签名证书。
CA 的相应根证书安装在“受信任的根证书颁发机构”证书存储中。 受信任的根证书颁发机构证书存储包含 Windows 信任的所有 CA 的根证书。
若要访问 Windows 计算机上的“受信任的根证书颁发机构”证书存储,可以将 Microsoft 管理控制台 (MMC) 与证书管理单元配合使用。 Windows 10 或更高版本计算机的步骤如下:
打开 Windows 运行对话框:按 Windows 键 + R 打开“运行”对话框。
打开Microsoft管理控制台(MMC):在“运行”对话框中键入
mmc,然后按 Enter。 此命令将打开Microsoft管理控制台。 如果用户帐户控制(UAC)提示你,请选择“ 是 ”以允许 MMC 对设备进行更改。添加“证书”管理单元:
在 MMC 菜单栏中,选择“ 文件 ”,然后选择“ 添加/删除管理单元”。
在 “添加或删除管理单元 ”窗口中,向下滚动并选择“ 证书”,然后选择“ 添加 >”。
对话框询问要管理的证书。 选择“计算机帐户”,然后选择“下一步”。
选择本地计算机:(运行此控制台的计算机),然后选择“完成”。
还可以根据需要选择 我的用户帐户 或 服务帐户,但若要访问受信任的根证书颁发机构,请选择 计算机帐户。
选择确定以关闭添加或删除管理单元。
访问受信任的根证书颁发机构:
- 在 MMC 中,在 证书(本地计算机) 树下,展开 受信任的根证书颁发机构 文件夹。
- 在“受信任的根证书颁发机构”下选择“证书”。 查看计算机当前信任的所有证书。
在此处,可以查看每个证书的详细信息、导入新的受信任证书或删除现有证书。 添加或删除证书时应谨慎,因为它可能会影响系统的安全性和功能。
完成后,可以关闭 MMC 窗口。 如果进行了更改并询问是否要保存主机设置,请选择 “无”,除非你计划频繁重用此主机设置。
注意
管理证书和受信任根证书颁发机构通常需要管理员权限。 管理证书时要小心,因为不正确的更改可能会损害系统的安全性。
默认情况下,受信任的根证书颁发机构证书存储区配置了一组符合Microsoft根证书计划要求的公共 CA。 管理员可以配置默认的受信任 CA 集,并安装自己的专用 CA 来验证软件。
注意
专用 CA 不太可能在网络环境外部受到信任。
具有有效的数字签名可确保 驱动程序包的真实性和完整性。 这并不意味着最终用户或系统管理员隐式信任软件发布者。 用户或管理员必须根据他们对软件发布者和应用程序的知识,决定是否按案例安装或运行应用程序。 默认情况下,仅当发布者证书安装在 受信任的发布者证书存储中时,发布者才受信任。
受信任的根证书颁发机构证书存储的名称是根。 可以使用 CertMgr 工具将专用 CA 的根证书手动安装到计算机上的受信任的根证书颁发机构证书存储中。
注意
PnP 管理器使用的驱动程序签名验证策略要求,专用 CA 的根证书以前安装在根证书颁发机构证书存储的本地计算机版本中。 有关详细信息,请参阅 本地计算机和当前用户证书存储。
相关内容
有关驱动程序签名的详细信息,请参阅 驱动程序签名策略。