web-dev-qa-db-ja.com

Windowsの信頼できる証明書ストアをデフォルトにリセットする

時間の経過とともに、Windowsトラストストアにいくつかの追加の信頼できるCA証明書をインストールしました。これは、アプリがそうするように要求した場合もあれば、開発とテストのために何度か行った場合もあります。

デフォルト(または現在MS推奨)の信頼できるCA証明書を復元し、他のエントリを削除するコマンドはありますか?

certificatespublic-key-infrastructure
15
Jaime Hablutzel

公式および現在のMicrosoft証明書信頼リストに存在しないローカルで信頼されたCA証明書を削除する次の簡単な方法が見つかりました。

最初にSigcheck( https://docs.Microsoft.com/en-us/sysinternals/downloads/sigcheck )をダウンロードしてから実行します。

>sigcheck.exe -tuv
... 
Listing valid certificates not rooted to the Microsoft Certificate Trust List:

User\Root:
   Test Purpose CA
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some development Root CA
        Serial Number:  01
        Thumbprint:     9CB31B0AE15867B5E29C4F7E21FE195C2AF24FE3
        Algorithm:      sha1RSA
        Valid from:     2:10 PM 2/5/2015
        Valid to:       2:10 PM 2/5/2025
   LLAMA.PE Root CA - R2
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some third party Root CA
        Serial Number:  01 E0 DA 86 CC 7D 58 ED D8 62 E6 47 A2
        Thumbprint:     1B4AEFF4FB8E2BEFEB3A8FE60D03D24269AB4A6B
        Algorithm:      sha256RSA
        Valid from:     7:00 PM 3/14/2017
        Valid to:       7:00 PM 3/14/2037
...

次に、表示されているすべてのCAをcertmgr.mscのように削除するだけです。

注意事項

  • この方法は、Microsoft証明書信頼リストに存在しないローカルで信頼されたCA証明書の削除にのみ役立ちますが、ローカルストアに現在インストールされていないMicrosoft証明書信頼リストCA(手動で削除されたものなど)はインストールしません。
  • これは、マシンストアではなく、現在のユーザーストアをチェックします。マシンストアをチェックするには、引数のuを省略します。
  • 出力には、有効な証明書のみが含まれているようです。 Windowsで検証できなかった署名を持つローカルで信頼されたCAがリストに表示されないことを確認したので、確認して手動で削除する必要がありました。

次のサイトへのクレジット http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/

3
Jaime Hablutzel

理論的には、次の方法を適用できます。

  1. here と示されているように、Windows自体に絶対に必要なものを除いて、すべてのルートCA証明書を削除します。

  2. 信頼されたルートCAの現在のリストを 現在のパッケージ からインストールします。このパッケージの検証では、「必要な」ルートCAの1つを信頼する必要があるため、最初のステップでそれらを保持する必要があることに注意してください。

私はこの方法をテストしていません。準備手順として、まずこれらすべての証明書のバックアップを作成することができます。certmgr.mscを実行し、Rootストアを開いて、すべてを選択し(Ctrl-Aなどを使用)、右クリックしてすべてをPKCSとしてエクスポートすることを選択します#7ファイル。このファイルには、すべての証明書のコピーが含まれます。これにより、上記の方法が何らかの形で失敗した場合に、修復が可能になります。再び、回復はテストされていません。

店舗の多様性に注意してください。 certmgr.mscは、さまざまなソース(「物理ストア」)からの証明書を含む集約ビューを示します。何をしようとしているのかを理解するには、証明書マネージャーでCertificatesノード(左ペインのツリーのルートノード)を右クリックします。 、ViewOptionsの順に選択し、物理証明書ストアボックス。このプロセスは このブログエントリ (スクリーンショット付き)で説明されています。

8
Tom Leek