在某些站点上,无法将证书链构建到受信任的根证书,因为 Windows 不知道此受信任的根证书。但是,如果我们使用 IE 或 Chrome 访问此类站点,Windows 会自动在某处下载(验证)受信任的根目录,并将其静默安装到受信任的证书颁发机构存储中。在此之后,我们可以构建证书链直到新安装的根目录。如果我们手动从 Windows 存储中删除新下载的受信任的根证书,则无法重新构建链。
我知道权限信息访问扩展。问题是链中最顶层的可用证书(缺少受信任根的子证书)不包含此类扩展。即使有,Windows 也不会自动信任下载的证书。
所以必须有一些关于可信根的其他知识来源。问题是 - 我们自己如何使用该资源。最顶层的可用证书可用 here如果有人有兴趣检查它。
最佳答案
此链接http://support.microsoft.com/kb/931125解释 Windows 如何在 Vista 和 7 中静默更新根证书。
关于x509 - 受信任的根证书神奇地安装到 Windows,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12122598/