我们在日常使用软件和开发系统时,可能需要信任某个证书颁发机构(CA).根据之前(PKI的最后一公里——数字证书和CA)介绍的,也就是要将CA的根证书安装在系统的“受信任的根证书颁发机构”里。今天就介绍一下如何安装。
一、手工安装
将CA的根证书(cer文件)拷贝到计算机上,右键选中——选择“安装证书”,进入安装向导。
选择“下一步”,弹出选择证书存储位置的对话框。
选择“将所有的证书放入下列存储”,点击“浏览”,选择“受信任的根证书颁发机构”。如果需要计算机的所有用户都信任此根证书,则应勾选“显示物理存储区”,选择“受信任的根证书颁发机构”下边的“本地计算机”。
继续点击“下一步”。
单击“完成”,等上几秒钟,系统会弹出一个安全性警告对话框,再一次让你确认是否安装此根证书。因为安装了它,Windows就会自动信任该CA颁发的所有证书。
到这个地步,你肯定是选择“是”了,最后一个提示导入成功的对话框就不贴了。
二、自动安装
虽然手工安装已经足够简单,但很多情况下仍需要自动安装根证书,尤其是制作安装程序时,让小白用户自己手工操作还是比较费神的。自动安装并不难,这里就用到之前介绍的CAPICOM,示例代码用JS实现。
// 安装根证书到受信任区域
function injectRootCert() {
//证书内容较长,不全部贴出
var RootCA = "MIIFhDCCA2ygA“+......+"7MUxcHtwTzFUX7WUI";
// 存储区对象
try {
var store = new ActiveXObject("CAPICOM.Store");
} catch (e) {
throw new Error("无法创建CAPICOM的Store组件: " + e.message);
}
// 证书对象
try {
var cert = new ActiveXObject("CAPICOM.Certificate");
} catch (e) {
throw new Error("无法创建CAPICOM的Certificate组件: " + e.message);
}
// 打开windows证书库的受信任根证书存储区
var CAPICOM_CURRENT_USER_STORE = 2;
var CAPICOM_ROOT_STORE = "Root";
CAPICOM_STORE_OPEN_READ_WRITE = 1;
store.Open(CAPICOM_CURRENT_USER_STORE, CAPICOM_ROOT_STORE, CAPICOM_STORE_OPEN_READ_WRITE);
//证书对象导入根证书的BASE64数据
cert.Import(RootCA);
//将证书加入打开的证书存储区
store.Add(cert);
}
代码也很好懂,看注释即可。如果想针对计算机上的所有用户,则store.Open的第一个参数选择2(CAPICOM_LOCAL_MACHINE_STORE),这就相当于手工安装时选择的“本地计算机”。要说明的是,这里导入的是证书的BASE64编码值,用记事本打开BASE64编码的cer文件,就可以看到值。此外,执行上述JS代码最后也会弹出对话框询问用户是否安装证书。但如果用VC/VB等高级语言调用CAPICOM同样的接口,设置同样的参数,完成证书安装,则不会有提示框弹出。
好了,现在你就可以在“受信任的根证书颁发机构”里看到所安装的证书了。
领取专属 10元无门槛券
私享最新 技术干货