为什么有“计算机\个人\证书”商店以及“当前用户\个人\证书”

Question

我正在比较本地计算机中的证书，MMC.exe 允许我查看“当前用户”和“计算机”的证书。

我不明白为什么会有两个“个人”商店。谁能解释为什么有两个，以及它们如何相互作用？

很高兴知道为什么其他文件夹也在那里。我认为唯一具有固定含义的是“受信任的根证书”。另一个常数是 Fiddler 似乎也将其证书放入“当前用户\个人”中

例如； FedUtil 将仅使用位于以下位置 (web.config) 的证书

        <serviceCertificate findValue="6CB9aaaaa636EBF52980152CDCB02D3BBBBBBBBB" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" />

Answer 1

这主要取决于它们的预期使用范围。 “本地机器个人”存储包含应用程序用作客户端/服务器证书的证书，并且仅属于这台计算机；而“当前用户个人”存储包含未绑定到任何特定机器的证书（例如，您可能有一个证书用于在几台不同的机器上对文档进行数字签名）。

Answer 2

所有证书存储中的大多数证书都只是证书......只是没有相应私钥的证书。系统使用它们来确定事物（如代码、网站等）是否可以信任。

通常，在个人存储中，您将拥有自己的证书，包括实际签署事物所需的私钥。其中一些与用户相关联（例如签署电子邮件），并且位于 CurrentUser 存储中，其中一些与机器相关联（例如网站上的 SSL 加密），并且位于 LocalMachine 存储中。

Answer 3

在某些情况下，需要使用域 CA 颁发的证书将本地计算机与用户分开验证。

我看到的一个例子是 VPN 身份验证，其中向机器颁发证书（以验证该机器是否允许连接到 VPN），并向用户颁发证书（以验证该人尝试连接到 VPN 与当前登录到本地计算机的用户相同）。这两个证书分别存储在 Computer\Personal 和 Current User\Personal 位置。

然后访问 VPN 的唯一方法是让域用户在连接到域网络时登录的域加入计算机（获得域 CA 颁发的计算机证书）（获得用户证书由域 CA 颁发）。

我所指的特殊情况是让用户访问和安装 VPN，即使他们当前没有登录域（因此他们通常可以在家中或远离办公室获取 VPN），他们只是需要输入一个网址，使用他们的域凭据验证自己，并设置 VPN 软件和连接详细信息，允许用户远程访问业务网络资源，而无需 ICT 支持。

为了回答他们如何交互，计算机\个人位置中的证书适用于访问机器的所有用户，而当前用户\个人仅适用于当前用户（很明显，但这是我理解的区别)。在我的示例中，证书协同工作，为机器和用户提供域外身份验证。