如何检查受信任的根证书颁发机构是否有可疑证书

Windows 用户需要更加关注计算机上安装的证书。最近发生的 Lenovo Superfish、Dell eDellRoot 和 Comodo PrivDog 证书事件证明，用户在安装新应用程序时必须小心，并了解制造商在系统中预装了哪些软件和证书。虚假或专门生成的证书可帮助黑客执行 MiTM（中间人）攻击、捕获您的流量（包括 HTTPS）、允许恶意软件或脚本运行等。

通常，这些证书安装在受信任的根证书颁发机构存储中。让我们看看如何检查商店中的第三方证书。

一般来说，受信任的根证书颁发机构存储区应仅包含由 Microsoft 根据Microsoft 受信任的根证书计划验证和发布的受信任证书。要检查第三方证书的证书存储，请使用 Sigcheck（Sysinternals 的工具）。

1. 从 Microsoft 网站 (https://technet.microsoft.com/en-us/sysinternals/bb897441.aspx) 下载 Sigcheck

2. 将 Sigcheck.zip解压到任意文件夹（例如，C:\install\sigcheck\）

3. 启动命令提示符并进入该工具所在目录：cd C:\install\sigcheck\

4. 跑步

   sigcheck.exe -tv

   或者

   sigcheck64.exe -tv 

   （对于 64 位 Windows 版本）在命令提示符中

5. 第一次运行时，sigcheck 提示接受许可条款

   

6. 然后，该工具从 Microsoft 网站下载包含证书信任列表格式的 MS 根证书列表的 authrootstl.cab 存档，并将其保存到自己的目录中。

   提示。如果您的计算机上没有直接的 Internet 连接，您可以通过此链接自行下载 authrootstl.cab http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab 并将其手动放置到包含 SigCheck 的目录中

7. 该工具会将您计算机上安装的证书列表与 authrootstl.cab 中的 MSFT 根证书列表进行比较。如果您计算机上的根证书列表中有第三方证书，SigCheck 将显示它们。在我们的例子中，有一个名为 test1 的证书（它是使用我创建的 New-SelfSignedCertificate cmdlet 创建的自签名证书，用于对 PowerShell 脚本的代码进行签名）

   

8. 必须分析每个找到的第三方证书，以评估它是否应位于受信任证书列表中。还建议找出哪些应用程序已安装并使用它。

   提示。如果计算机是域的一部分，“第三方”证书列表可能会包含内部证书颁发机构 (CA) 的根证书以及集成到系统映像中或使用 GPO 分发的其他证书。

9. 要从受信任证书列表中删除证书，请启动证书管理控制台 (msc)，展开受信任的根证书颁发机构 -> 证书，然后删除 SigCheck 实用程序找到的证书

   

因此，建议在所有系统上使用 SigCheck 检查认证存储，尤其是在预装操作系统和通过一些流行的 torrent 跟踪器分发的不同 Windows 版本的 OEM 计算机上。