Windows: ¿Dónde se guardan los certificados?

En equipos Windows, los certificados se guardan en el almacén de certificados.

La ubicación del almacén de certificados, consta de claves en el registro y estas claves en el registro corresponden a ficheros.

Antes de empezar:

La forma mas sencilla de administrar los certificados: instalarlos, desinstalarlos, exportarlos, importarlos es con la  consola MSC (Microsoft Mangement Console) de certificados.

Para realizar estas tareas administrativas, es buena idea trabajar con la herramienta de certificados MSC y no modificar los ficheros y claves en el registro indicadas en este artículo.

Para cargar la consola MSC de certificados:

Ejecutamos: mmc

1) Pulsamos sobre: "Archivo", "Agregar o quitar complemento".

2) Seleccionamos: "Certificados", "Agregar"

3) Marcamos una de las tres posibilidades: "Cuenta de usuario", "Cuenta de servicio" o "Cuenta de equipo".

Windows: ¿Dónde se guardan los certificados?

También podemos administrar los certificados desde linea de comandos utilizando el comando: certutil o bien desde PowerShell.

Ejemplos para ver el almacén de certificados del usuario:

1) certutil:

certutil -user -store My

2) PowerShell:

dir Cert:\CurrentUser\My

Si queremos exportar certificados digitales y estos al ser instalados, han sido marcados como no exportables, podemos utilizar alguna de las herramientas indicadas en este post:

Windows: Exportar certificado digital no exportable (SYSADMIT.com)

A continuación, veamos la ubicación de los certificados dentro del registro y ficheros de Windows:

Windows: ¿Dónde se guardan los certificados?: Claves en el registro


A nivel de usuario:

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates 

Contiene la configuración de los certificados para el usuario actual.

HKEY_CURRENT_USER\Software\Policies\Microsoft\SystemCertificates 


Igual que la ubicación anterior, pero esta corresponde a los certificados de usuario desplegados con una GPO (Directiva de grupo).

HKEY_USERS\SID-del-Usuario\Software\Microsoft\SystemCertificates 


Corresponde a la configuración de certificados de cierto usuario. Cada usuario tiene su rama en el registro con su SID (Security Identifier). 

A nivel de equipo:

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates 

Contiene la configuración de los certificados para todos los usuarios del equipo.

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates 


Igual que la ubicación anterior, pero esta corresponde a los certificados de equipo desplegados con una GPO.

A nivel de servicio:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Services\ServiceName\SystemCertificates 


Contiene la configuración de los certificados para todos los servicios del equipo.

A nivel de Active Directory:

HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates 


Certificados publicados a nivel de Active Directory.

Windows: ¿Dónde se guardan los certificados?: Carpetas y ficheros


A continuación, podemos ver las carpetas y ficheros correspondientes a el almacén de certificados de Windows. 

Las carpetas están ocultas y las claves públicas y privadas se sitúan en carpetas distintas.

Certificados de usuario:

%APPDATA%\Microsoft\SystemCertificates\My\Certificates

%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\SID

%USERPROFILE%\AppData\Roaming\Microsoft\Credentials

%USERPROFILE%\AppData\Roaming\Microsoft\Protect\SID


Certificados de equipo:

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys


Vista ubicación certificado digital personal de usuario (sin clave privada):

Windows: ¿Dónde se guardan los certificados?

No hay comentarios:

Publicar un comentario