Alcuni dettagli sugli Archivi certificati
Come riportato in Local Machine and Current User Certificate Stores – Windows drivers | Microsoft Learn gli archivi dei certificati in Windows si suddividono in due tipi:
- L’Archivio certificati del computer locale che è globale a tutti gli utenti nel computer e si trova nella radice HKEY_LOCAL_MACHINE del Registro di sistema ed è accessibile da tutti gli utenti del computer.
- L’Archivio certificati utente corrente che è specifico di un account utente e si trova nella radice HKEY_CURRENT_USER del Registro di sistema ed è quindi solo accessibile dall’utente attualmente connesso.
All’interno di questi due tipo di archivio certificati vi sono poi vari Archivi logici (a riguardo si veda Certificate Directory – Win32 apps | Microsoft Learn), occorre tenere presente che tutti gli archivi certificati utente corrente, ad eccezione dell’archivio “Personale”, ereditano il contenuto degli archivi certificati del computer locale. Quindi se un certificato viene aggiunto all’archivio certificati Autorità di certificazione radice attendibili del computer locale, tutti gli archivi certificati autorità di certificazione radice attendibili dell’utente corrente contengono anche il certificato.
A riguardo si veda appunto quanto riportato in Local Machine and Current User Certificate Stores – Windows drivers | Microsoft Learn:
“All current user certificate stores except the Current User or Personal store inherit the contents of the local machine certificate stores. For example, if a certificate is added to the local machine Trusted Root Certification Authorities certificate store, all current user Trusted Root Certification Authorities certificate stores (with the previous caveat) also contain the certificate.”
In altre parole l’archivio “Personale” dell’utente corrente permette di sovrascrivere l’archivio “Personale” del computer locale in quanto un certificato nell’archivio Personale del Computer locale non sarà automaticamente visibile nell’archivio Personale dell’utente, ovvero se un’applicazione deve utilizzare un certificato dall’archivio Personale del Computer locale, deve specificare esplicitamente di voler accedere a tale archivio.
Di seguito alcune informazioni sull’utilizzo dei vari archivi.
| Archivio logico | Descrizione |
| Personale | Contiene i certificati associati a una chiave privata controllata dall’utente o dal computer |
| Autorità di certificazione radice attendibili | Contiene certificati provenienti da autorità di certificazione attendibili in modo implicito |
| Attendibilità aziendale | Contiene elenchi di attendibilità dei certificati usati in genere per considerare attendibili i certificati autofirmati di altre organizzazioni |
| Autorità di certificazione intermedie | Contiene i certificati rilasciati alle ca subordinate nella gerarchia di certificazione |
| Oggetto utente di Active Directory | Contiene il certificato dell’oggetto utente o i certificati pubblicati in Active Directory |
| Autori attendibili | Contiene certificati da ca attendibili |
| Certificati non attendibili | Contiene certificati identificati in modo esplicito come non attendibili |
| Autorità di certificazione radice di terze parti | Contiene certificati radice attendibili da ca esterne alla gerarchia dei certificati interni |
| Persone attendibili | Contiene i certificati rilasciati agli utenti o alle entità che sono stati considerati esplicitamente attendibili |
| Altre persone | Contiene i certificati rilasciati agli utenti o alle entità che sono stati considerati implicitamente attendibili |
| Richieste di registrazione certificati | Contiene richieste di certificati in sospeso o rifiutate |
Approfondimenti sull’archivio Autorità di certificazione radice attendibili
Il Trusted Root Certification Authorities Certificate Store: Contiene certificati di autorità di certificazione (CA) riconosciute come affidabili.
Per impostazione predefinita, l’archivio certificati delle Autorità di certificazione radice attendibili è configurato con un insieme di CA pubbliche che soddisfano i requisiti del Programma Microsoft per i certificati radice, ma è possibile installare manualmente il certificato radice di una CA privata nell’archivio certificati Autorità di certificazione radice attendibili.
Approfondimenti sull’archivio Archivio certificati autori attendibili
Il Trusted Publishers Certificate Store: Contiene certificati Authenticode (firma) di autori di software considerati affidabili.
Se il certificato Authenticode di un autore si trova nell’archivio certificati Autori attendibili, Windows installa un pacchetto driver firmato digitalmente dal certificato senza chiedere conferma all’utente (installazione invisibile all’utente). Installando i certificati Authenticode nell’archivio certificati autori attendibili, è possibile automatizzare l’installazione del pacchetto driver in vari sistemi usati per il test interno e il debug. Questa procedura di automazione dell’installazione dei pacchetti driver è consigliata solo per i sistemi interni e non deve mai essere seguita per qualsiasi pacchetto driver distribuito all’esterno dell’organizzazione.
L’archivio certificati Autori attendibili differisce dall’archivio certificati Autorità di certificazione radice attendibili in quanto solo i certificati di entità finale possono essere considerati attendibili. Ad esempio, se è stato usato un certificato Authenticode da una CA per firmare un pacchetto driver, l’aggiunta di tale certificato all’archivio certificati Autori attendibili non configura tutti i certificati rilasciati da questa CA come attendibile. Ogni certificato deve essere aggiunto separatamente all’archivio certificati autori attendibili.