"कंप्यूटर \ व्यक्तिगत \ प्रमाण पत्र" स्टोर क्यों है और "वर्तमान उपयोगकर्ता \ व्यक्तिगत \ प्रमाणपत्र"

Question

मैं अपने स्थानीय कंप्यूटर में प्रमाणपत्रों की तुलना कर रहा हूं और एमएमसी.एक्सई मुझे "वर्तमान उपयोगकर्ता" के लिए प्रमाणपत्र देखने की अनुमति देता है और "कंप्यूटर"।

मुझे समझ में नहीं आता कि दो "व्यक्तिगत" स्टोर क्यों होंगे। क्या कोई समझा सकता है कि दो क्यों हैं, और वे कैसे बातचीत करते हैं?

यह जानना अच्छा होगा कि उन अन्य फ़ोल्डर्स भी क्यों हैं। एकमात्र ऐसा जो मुझे लगता है उसका एक निश्चित अर्थ है "विश्वसनीय रूट प्रमाणपत्र"। अन्य निरंतर फ़िडलर भी "वर्तमान उपयोगकर्ता \ व्यक्तिगत"

उदाहरण के लिए में अपनी प्रमाण पत्र डाल करने के लिए लगता है कि है, FedUtil केवल निम्न स्थान (web.config) में स्थित प्रमाण पत्र

 <serviceCertificate findValue="6CB9aaaaa636EBF52980152CDCB02D3BBBBBBBBB" storeLocation="LocalMachine" storeName="My" x509FindType="FindByThumbprint" /> 

Answer 1

यह ज्यादातर क्या उपयोग के अपने इच्छित गुंजाइश है की बात है का उपयोग करेगा। "स्थानीय मशीन पर्सनल" स्टोर में क्लाइंट/सर्वर प्रमाण पत्र के रूप में या तो अनुप्रयोगों द्वारा उपयोग किए जाने वाले प्रमाण पत्र होते हैं और केवल इस कंप्यूटर से संबंधित होते हैं; जबकि "वर्तमान उपयोगकर्ता व्यक्तिगत" स्टोर में प्रमाणपत्र किसी भी विशेष मशीन से बंधे नहीं हैं (उदाहरण के लिए, आपके पास एक प्रमाणपत्र हो सकता है जिसका उपयोग आप कई अलग-अलग मशीनों पर डिजिटल हस्ताक्षर दस्तावेज़ों के लिए करते हैं)।

Answer 2

सभी प्रमाणपत्र स्टोर में अधिकांश प्रमाणपत्र केवल प्रमाण पत्र हैं ... केवल निजी कुंजी के बिना प्रमाणपत्र। सिस्टम का उपयोग यह निर्धारित करने के लिए किया जाता है कि चीजें (जैसे कोड, वेबसाइट आदि) पर भरोसा किया जा सकता है या नहीं।

व्यक्तिगत स्टोर में, आमतौर पर, आपके पास प्रमाण पत्र होंगे, जिसमें निजी कुंजी भी शामिल है जो वास्तव में चीजों को हस्ताक्षर करने के लिए आवश्यक है। इनमें से कुछ उपयोगकर्ता के लिए बंधे हैं (उदाहरण के लिए ईमेल पर हस्ताक्षर करना), और वर्तमान यूज़र स्टोर में हैं, और इनमें से कुछ मशीन से बंधे हैं (जैसे वेबसाइट पर एसएसएल एन्क्रिप्शन), और स्थानीयमाचिन स्टोर में हैं।

Answer 3

कुछ स्थितियों में डोमेन सीए द्वारा जारी प्रमाणपत्रों का उपयोग कर उपयोगकर्ता से स्थानीय मशीन को अलग से सत्यापित करने की आवश्यकता के लिए कॉल किया जाता है।

मैंने जो उदाहरण देखा है वह वीपीएन प्रमाणीकरण के लिए है, जहां मशीन को प्रमाण पत्र जारी किया जाता है (यह सत्यापित करने के लिए कि मशीन को वीपीएन से कनेक्ट करने की अनुमति है), और उपयोगकर्ता को प्रमाण पत्र जारी किया गया है (यह सत्यापित करने के लिए कि वीपीएन से कनेक्ट करने का प्रयास करने वाला व्यक्ति वही है जो वर्तमान में स्थानीय मशीन में लॉग इन किया गया है)। इन दोनों कर्टों को क्रमशः कंप्यूटर \ व्यक्तिगत और वर्तमान उपयोगकर्ता \ व्यक्तिगत स्थानों में संग्रहीत किया गया था।

वीपीएन तक पहुंचने का एकमात्र तरीका डोमेन में शामिल होने के लिए मशीन (डोमेन सीए द्वारा जारी मशीन प्रमाण पत्र होना) है जो डोमेन नेटवर्क से जुड़े हुए डोमेन उपयोगकर्ता ने लॉग ऑन किया है (उपयोगकर्ता को रखने के लिए डोमेन सीए द्वारा जारी प्रमाण)।

विशेष स्थिति मैं उपयोगकर्ता को वीपीएन तक पहुंचने और स्थापित करने का जिक्र कर रहा हूं भले ही वे वर्तमान में डोमेन पर लॉग इन नहीं हैं (इसलिए वे घर से वीपीएन प्राप्त कर सकते हैं या सामान्य रूप से कार्यालय से दूर), वे बस एक वेब पता टाइप करने की आवश्यकता है, अपने डोमेन क्रेडेंशियल्स और वीपीएन सॉफ़्टवेयर का उपयोग करके स्वयं को सत्यापित करें और कनेक्शन विवरण स्थापित किए गए हैं, जिससे उपयोगकर्ता आईसीटी समर्थन की आवश्यकता के बिना व्यावसायिक नेटवर्क संसाधनों तक दूरस्थ पहुंच प्रदान कर सकता है।

जवाब देने के लिए कि वे कैसे बातचीत करते हैं, कंप्यूटर \ व्यक्तिगत स्थान में certs मशीन तक पहुंचने वाले सभी उपयोगकर्ताओं पर लागू होते हैं, जबकि वर्तमान उपयोगकर्ता \ व्यक्तिगत केवल वर्तमान उपयोगकर्ता पर लागू होते हैं (स्पष्ट रूप से लेकिन यह भेद है जैसा कि मैं समझता हूं यह)। मेरे उदाहरण में, कर्ट मशीन और उपयोगकर्ता के लिए ऑफ़-डोमेन प्रमाणीकरण देने के लिए मिलकर काम करते हैं।