Donde esta el almacen de certificados en windows 10

ubicación del almacén de certificados de windows

La confianza es una de las cosas más importantes que se pueden establecer entre dos partes. Es un proceso en el que ambas partes suspenden su incredulidad sobre el potencial de traición del otro y avanzan hacia un objetivo común de algún tipo. Esto se extiende al mundo de los ordenadores, donde los certificados se han utilizado durante años para establecer la confianza entre, en este caso, los usuarios y los ordenadores.

Este artículo detallará el uso de certificados en el contexto de Windows 10. Se arrojará algo de luz sobre lo que hacen los certificados en Windows 10 y se explorará cómo gestionarlos en Windows 10. Para quienes trabajan en TI, los certificados en Windows 10 son un aspecto vital de la seguridad de la información y su comprensión puede ser el factor determinante para apoyar a los usuarios finales de una organización.

Los certificados demuestran que los sitios web son genuinos y los usuarios son legítimos, y pueden proporcionar un nivel de cifrado a las comunicaciones en línea a través de la tecnología Secure Socket Layer (SSL). La autoridad certificadora (CA) emite los llamados certificados raíz, que son el nivel superior de la cadena de confianza. Un certificado raíz de confianza es emitido por una autoridad de certificados raíz de confianza.

file:\%appdata%\\\\nmicrosoft\nsystemcertificates\nmy\ncertificates

Así que tenía curiosidad por saber dónde se almacenan exactamente los certificados y sus correspondientes claves privadas en una máquina Windows. Hice un poco de investigación, y la imagen es algo clara, sin embargo, hay una gran cantidad de información sobre el tema y algunos puntos no parecen corresponder a la situación real en mi máquina de Windows 8.

Empecemos por lo más básico, la consola MMC de Certificados, fácilmente lanzada por certmgr.msc. Nos da la primera pista de dónde se almacenan los certificados, al permitirnos ver los almacenes físicos de certificados:

Como puedes ver, hay varios almacenes: el Registro, el Equipo Local (disco duro), la Tarjeta Inteligente. También hay algunos que no se muestran en la imagen: el almacén de la empresa, el almacén de la política de grupo, el almacén de terceros. Cuando se utiliza una CA de AD, también hay algunos contenedores bajo la partición de Configuración, pero vamos a ignorarlos.

Si realmente vamos a MMC y añadimos el snap-in de certificados, tenemos algunas opciones más para la cuenta.  Corresponden a una cuenta de usuario normal, una cuenta de servicio o la cuenta del ordenador. Así que todos esos almacenes listados arriba tienen su ubicación correspondiente para cada cuenta. Empecemos por el almacén del Registro:

almacén de certificados de la máquina local

Todas las versiones de Windows tienen una función integrada para actualizar automáticamente los certificados raíz desde los sitios web de Microsoft. Como parte del Programa de certificados raíz de confianza de Microsoft, MSFT mantiene y publica una lista de certificados para clientes y dispositivos de Windows en su repositorio en línea. Si el certificado verificado en su cadena de certificación hace referencia a la CA raíz que participa en este programa, el sistema descargará automáticamente este certificado raíz de los servidores de Windows Update y lo añadirá a los de confianza.

Windows solicita la renovación de las listas de certificados raíz de confianza (CTL) una vez a la semana. Si Windows no tiene un acceso directo al directorio de Windows Update, el sistema no podrá actualizar los certificados raíz, por lo que un usuario puede tener algunos problemas al navegar por sitios web (cuyos certificados SSL están firmados por una CA que no es de confianza – véase el artículo sobre el «Error SSL de Chrome: Este sitio no puede proporcionar una conexión segura»), o con la instalación/ejecución de scripts y aplicaciones firmadas.

Nota. Si sus ordenadores acceden a Internet a través de un servidor proxy, para actualizar automáticamente los certificados raíz en los ordenadores de los usuarios, Microsoft recomienda abrir el acceso directo (bypass) a los sitios web de Microsoft. Sin embargo, no siempre es posible o aplicable debido a las restricciones corporativas.

dónde se guardan los certificados raíz en windows 10

Subrayo que no he probado este método. Como paso preparatorio, tal vez quieras hacer primero una copia de seguridad de todos estos certificados: ejecuta certmgr.msc, abre el almacén raíz, selecciónalos todos (por ejemplo, con Ctrl-A), luego haz clic con el botón derecho y elige exportarlos todos como un archivo PKCS#7. Ese archivo contendrá una copia de todos los certificados, que debería permitirte reparar las cosas, si el método anterior falla de alguna manera. De nuevo, la recuperación no está probada.

Tenga cuidado con la multiplicidad de almacenes. certmgr.msc muestra una vista agregada que contiene certificados de varias fuentes («almacenes físicos»). Para entender lo que va a hacer, en el gestor de certificados, haga clic con el botón derecho del ratón en el nodo Certificados (nodo raíz del árbol en el panel izquierdo), seleccione Ver y luego Opciones, y seleccione la casilla Almacenes físicos de certificados. Este proceso se describe en esta entrada del blog (con capturas de pantalla).

Ignore los votos si están saboteados, esta es la única solución que aparece aquí para restablecer realmente los valores predeterminados. Tenía un montón de certs ilegítimos y desconfiados en mi lista de certificados de confianza gracias al tutorial de la utilidad Rootsupd.exe aquí. Ninguna herramienta de detección de certificados malos, antivirus o software de seguridad los detectó. Así, he eliminado más de 300 certificados de raíz de confianza de mi instalación de Windows 10 y sólo me quedan 36 sin ningún problema. Hice esto porque cada certificado, incluso los legítimos, aumentan la superficie de ataque.