我把PKI证书放在哪里重要吗？

Question

我有一个中间和根PKI证书，我看到这些证书已经导入到计算机(windows server 2003)证书存储中。但是，中间证书和根证书都放在“受信任的根证书颁发机构”证书文件夹中。

这显然是根证书的适当位置，而不是中间证书。另外，在美观上在错误的地方，在“错误”文件夹中拥有中间证书会不会导致失败或技术问题？换句话说，文件夹位置只是用于组织，还是影响PKI证书的功能？

Answer 1

如果您将中间CA证书放置在“受信任的根”存储中，则指示您的机器实际信任该证书。你已经把它变成了一个可信赖的根。例如，当Web浏览器试图验证由“中间”CA颁发的证书时，它将接受以该CA开头的链，完全忽略真正的根CA。

其基本结果是，中间CA不能再被撤销:由于您的机器信任该证书因为它位于“受信任的根”存储中，而不是因为它是由另一个受信任的证书签名的，所以它没有任何理由下载覆盖它的CRL。根据定义，受信任的根不会被撤销；它们是手动安装的，如果它们不再被信任，那么它们也会被手动删除。

因此，安置问题很重要。“受信任的根”存储中的证书意味着要显式管理，因此您应该只将要显式管理的CA证书放在那里。这里的“显式管理”意思是“当证书不再受信任时，sysadmin必须手动将证书从存储区中删除”。

Answer 2

我不同意Tom的上述回答--也许这种行为可能取决于它所在的不同产品。许多年前，我在IIS 6中也这样做过；我有两个中间CA证书(主CA证书和二级CA证书)和一个根CA证书。我把它们都放在了根CA商店里。在证书身份验证期间，系统首先要评估二级中间证书，然后是主中间证书，然后是根证书。主证书和根证书的存在都很重要，而且位置没有任何区别。不过，我确实把中间体移回了正确的位置。

因此，在这个场景中，放置并不重要，但是我不确定不同产品的行为是否会有所不同。

您可以通过从列表中删除根证书来验证哪个证书是正确的，并查看您的证书身份验证是否成功。