時間の経過とともに、Windowsトラストストアにいくつかの追加の信頼できるCA証明書をインストールしました。これは、アプリがそうするように要求した場合もあれば、開発とテストのために何度か行った場合もあります。
デフォルト(または現在MS推奨)の信頼できるCA証明書を復元し、他のエントリを削除するコマンドはありますか?
公式および現在のMicrosoft証明書信頼リストに存在しないローカルで信頼されたCA証明書を削除する次の簡単な方法が見つかりました。
最初にSigcheck( https://docs.Microsoft.com/en-us/sysinternals/downloads/sigcheck )をダウンロードしてから実行します。
>sigcheck.exe -tuv
...
Listing valid certificates not rooted to the Microsoft Certificate Trust List:
User\Root:
Test Purpose CA
Cert Status: Valid
Valid Usage: All
Cert Issuer: Some development Root CA
Serial Number: 01
Thumbprint: 9CB31B0AE15867B5E29C4F7E21FE195C2AF24FE3
Algorithm: sha1RSA
Valid from: 2:10 PM 2/5/2015
Valid to: 2:10 PM 2/5/2025
LLAMA.PE Root CA - R2
Cert Status: Valid
Valid Usage: All
Cert Issuer: Some third party Root CA
Serial Number: 01 E0 DA 86 CC 7D 58 ED D8 62 E6 47 A2
Thumbprint: 1B4AEFF4FB8E2BEFEB3A8FE60D03D24269AB4A6B
Algorithm: sha256RSA
Valid from: 7:00 PM 3/14/2017
Valid to: 7:00 PM 3/14/2037
...
次に、表示されているすべてのCAをcertmgr.msc
のように削除するだけです。
注意事項
u
を省略します。次のサイトへのクレジット http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/ 。
理論的には、次の方法を適用できます。
here と示されているように、Windows自体に絶対に必要なものを除いて、すべてのルートCA証明書を削除します。
信頼されたルートCAの現在のリストを 現在のパッケージ からインストールします。このパッケージの検証では、「必要な」ルートCAの1つを信頼する必要があるため、最初のステップでそれらを保持する必要があることに注意してください。
私はこの方法をテストしていません。準備手順として、まずこれらすべての証明書のバックアップを作成することができます。certmgr.msc
を実行し、Root
ストアを開いて、すべてを選択し(Ctrl-Aなどを使用)、右クリックしてすべてをPKCSとしてエクスポートすることを選択します#7ファイル。このファイルには、すべての証明書のコピーが含まれます。これにより、上記の方法が何らかの形で失敗した場合に、修復が可能になります。再び、回復はテストされていません。
店舗の多様性に注意してください。 certmgr.msc
は、さまざまなソース(「物理ストア」)からの証明書を含む集約ビューを示します。何をしようとしているのかを理解するには、証明書マネージャーでCertificatesノード(左ペインのツリーのルートノード)を右クリックします。 、View、Optionsの順に選択し、物理証明書ストアボックス。このプロセスは このブログエントリ (スクリーンショット付き)で説明されています。