Peut-on connaître l'emplacement exact du certificat ( DigiCert , Verisign , etc.)?
À l'heure actuelle, le seul moyen de vérifier le certificat consiste à utiliser l'application MMC dans System32 ou dans notre navigateur Web (Internet Explorer, Firefox, etc.), options Internet.
Le magasin de certificats de Windows est (principalement) stocké dans le registre comme indiqué ici . Cependant, alors que IE, Chrome, Safari/iTunes, Outlook, etc. utilisent le magasin de certificats de Windows, Firefox et Thunderbird utilisent le magasin de certificats multiplate-forme de NSS. Opera utilise également son propre magasin de certificats distinct.
Si vous souhaitez accéder au magasin de certificats de Windows, vous devez utiliser CryptoAPI de Microsoft. Si vous souhaitez accéder au magasin de certificats NSS, vous pouvez utiliser la bibliothèque NSS .
Il n'y a pas de "dossier" de certificats dans Windows; il est stocké dans une base de données interne ( Registre Windows ) que vous utilisez en procédant de la même manière que dans la question d'origine. Le moyen le plus simple de accéder à cette base de données est simplement de mettre certmgr.msc
dans votre boîte de dialogue démarrer/exécuter.
Si vous êtes vraiment curieux, vous pouvez trouver les entrées de registre réelles sous:
\SOFTWARE\Microsoft\SystemCertificates\
Dans HKEY_CURRENT_USER
pour les certificats spécifiques à l'utilisateur et HKEY_LOCAL_MACHINE
pour les certificats spécifiques à une machine, il s'agira toutefois de blobs binaires illisibles. Il est simplement préférable d'utiliser le composant logiciel enfichable MMC que j'ai mentionné précédemment.
Voici un résumé de l'emplacement (clés de registre et fichiers):
Niveau utilisateur (registre):
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
: contient les certificats de paramètres pour l'utilisateur actuel.
HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates
: comme l'emplacement précédent, mais cela correspond aux certificats utilisateur déployés en tant que GPO (stratégie de groupe).
HKEY_USERS\SID-User\Software\Microsoft\SystemCertificates
: correspond à la configuration de certains certificats d'utilisateur. Chaque utilisateur a sa branche dans le registre avec SID (identificateur de sécurité).
Niveau de l'ordinateur (registre):
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates
: contient les certificats de paramètres pour tous les utilisateurs d’ordinateurs.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates
: comme l'emplacement précédent, mais cela correspond aux certificats d'ordinateur déployé par un objet de stratégie de groupe.
Niveau de service (registre):
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates
: contient les certificats de paramètres pour tous les services de l'ordinateur.
Niveau Active Directory (registre):
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates
: certificats émis au niveau Active Directory.
Et il existe certains dossiers et fichiers correspondant au magasin de certificats Windows.
Les dossiers sont cachés et les clés publiques et privées se trouvent dans des dossiers différents.
Certificats utilisateur (fichiers):
%APPDATA%\Microsoft\SystemCertificates\My\Certificates
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
%USERPROFILE%\AppData\Roaming\Microsoft\Credentials
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Certificats d'ordinateur (fichiers):
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Extrait de: http://www.sysadmit.com/2017/10/windows-donde-se-guardan-certificados.html
Les certificats sont stockés dans le registre à
HKLM/Software/Microsoft/SystemCertificates
Les certificats personnels, ou d’autres certificats spécifiques à l’utilisateur connecté sont à
HKCU/Software/Microsoft/SystemCertificates
Ils sont stockés sous forme de blobs binaires. Ils doivent donc être décodés. Le plug-in MMC est un bon moyen de le faire.
J'ai de nouveau examiné la préférence de stratégie de groupe que j'utilisais. Il y a une option "Exécuter dans le contexte de sécurité de l'utilisateur connecté (option de stratégie utilisateur)" que j'ai activée et que l'entrée de registre persiste