En equipos Windows, los certificados se guardan en el almacén de certificados.
La ubicación del almacén de certificados, consta de claves en el registro y estas claves en el registro corresponden a ficheros.
Antes de empezar:
La forma mas sencilla de administrar los certificados: instalarlos, desinstalarlos, exportarlos, importarlos es con la consola MSC (Microsoft Mangement Console) de certificados.
Para realizar estas tareas administrativas, es buena idea trabajar con la herramienta de certificados MSC y no modificar los ficheros y claves en el registro indicadas en este artículo.
Para cargar la consola MSC de certificados:
Ejecutamos: mmc
1) Pulsamos sobre: "Archivo", "Agregar o quitar complemento".
2) Seleccionamos: "Certificados", "Agregar"
3) Marcamos una de las tres posibilidades: "Cuenta de usuario", "Cuenta de servicio" o "Cuenta de equipo".
También podemos administrar los certificados desde linea de comandos utilizando el comando: certutil o bien desde PowerShell.
Ejemplos para ver el almacén de certificados del usuario:
1) certutil:
certutil -user -store My
2) PowerShell:
dir Cert:\CurrentUser\My
Si queremos exportar certificados digitales y estos al ser instalados, han sido marcados como no exportables, podemos utilizar alguna de las herramientas indicadas en este post:
Windows: Exportar certificado digital no exportable (SYSADMIT.com)
A continuación, veamos la ubicación de los certificados dentro del registro y ficheros de Windows:
A nivel de usuario:
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
Contiene la configuración de los certificados para el usuario actual.
HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates
Igual que la ubicación anterior, pero esta corresponde a los certificados de usuario desplegados con una GPO (Directiva de grupo).
HKEY_USERS\SID-del-Usuario\Software\Microsoft\SystemCertificates
Corresponde a la configuración de certificados de cierto usuario. Cada usuario tiene su rama en el registro con su SID (Security Identifier).
A nivel de equipo:
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates
Contiene la configuración de los certificados para todos los usuarios del equipo.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates
Igual que la ubicación anterior, pero esta corresponde a los certificados de equipo desplegados con una GPO.
A nivel de servicio:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates
Contiene la configuración de los certificados para todos los servicios del equipo.
A nivel de Active Directory:
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates
Certificados publicados a nivel de Active Directory.
A continuación, podemos ver las carpetas y ficheros correspondientes a el almacén de certificados de Windows.
Las carpetas están ocultas y las claves públicas y privadas se sitúan en carpetas distintas.
Certificados de usuario:
%APPDATA%\Microsoft\SystemCertificates\My\Certificates
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
%USERPROFILE%\AppData\Roaming\Microsoft\Credentials
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Certificados de equipo:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Vista ubicación certificado digital personal de usuario (sin clave privada):
La ubicación del almacén de certificados, consta de claves en el registro y estas claves en el registro corresponden a ficheros.
Antes de empezar:
La forma mas sencilla de administrar los certificados: instalarlos, desinstalarlos, exportarlos, importarlos es con la consola MSC (Microsoft Mangement Console) de certificados.
Para realizar estas tareas administrativas, es buena idea trabajar con la herramienta de certificados MSC y no modificar los ficheros y claves en el registro indicadas en este artículo.
Para cargar la consola MSC de certificados:
Ejecutamos: mmc
1) Pulsamos sobre: "Archivo", "Agregar o quitar complemento".
2) Seleccionamos: "Certificados", "Agregar"
3) Marcamos una de las tres posibilidades: "Cuenta de usuario", "Cuenta de servicio" o "Cuenta de equipo".
También podemos administrar los certificados desde linea de comandos utilizando el comando: certutil o bien desde PowerShell.
Ejemplos para ver el almacén de certificados del usuario:
1) certutil:
certutil -user -store My
2) PowerShell:
dir Cert:\CurrentUser\My
Si queremos exportar certificados digitales y estos al ser instalados, han sido marcados como no exportables, podemos utilizar alguna de las herramientas indicadas en este post:
Windows: Exportar certificado digital no exportable (SYSADMIT.com)
A continuación, veamos la ubicación de los certificados dentro del registro y ficheros de Windows:
Windows: ¿Dónde se guardan los certificados?: Claves en el registro
A nivel de usuario:
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
Contiene la configuración de los certificados para el usuario actual.
HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates
Igual que la ubicación anterior, pero esta corresponde a los certificados de usuario desplegados con una GPO (Directiva de grupo).
HKEY_USERS\SID-del-Usuario\Software\Microsoft\SystemCertificates
Corresponde a la configuración de certificados de cierto usuario. Cada usuario tiene su rama en el registro con su SID (Security Identifier).
A nivel de equipo:
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates
Contiene la configuración de los certificados para todos los usuarios del equipo.
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates
Igual que la ubicación anterior, pero esta corresponde a los certificados de equipo desplegados con una GPO.
A nivel de servicio:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates
Contiene la configuración de los certificados para todos los servicios del equipo.
A nivel de Active Directory:
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates
Certificados publicados a nivel de Active Directory.
Windows: ¿Dónde se guardan los certificados?: Carpetas y ficheros
A continuación, podemos ver las carpetas y ficheros correspondientes a el almacén de certificados de Windows.
Las carpetas están ocultas y las claves públicas y privadas se sitúan en carpetas distintas.
Certificados de usuario:
%APPDATA%\Microsoft\SystemCertificates\My\Certificates
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID
%USERPROFILE%\AppData\Roaming\Microsoft\Credentials
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID
Certificados de equipo:
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
Vista ubicación certificado digital personal de usuario (sin clave privada):
No hay comentarios:
Publicar un comentario