Ezen az oldalon a Windows beépített, központi tanúsítványtárának legfontosabb funkcióit mutatjuk be.

1. A Windows tanúsítványtára

A Windows rendelkezik egy központi, beépített tanúsítványtárral; nagyon sok Windowst használó szoftver ezt a központi tanúsítványtárat használja. Erre a tanúsítványtárra támaszkodik például az Internet Explorer (elsősorban a webszerverek tanúsítványainak ellenőrzéséhez), az Outlook és az Outlook Express (például az aláírt, illetve titkosított e-mailek kezeléséhez), de ezt a tanúsítványtárat használja az e-Szignó program is. Minden felhasználói fiókhoz külön-külön tanúsítványtár tartozik.

A tanúsítványokról szeretne olvasni?

A Windows tanúsítványtárát legegyszerűbben az Internet Explorerből lehet elérni; az Eszközök menü Internetbeállítások menüpontjára kattintva megjelenő ablakban a fenti Tartalom fület kell kiválasztani, majd a Tanúsítványok gombra kell kattintani.

Ekkor az alábbi ábrán látható ablak jelenik meg. Az ablak közepén lévő listában tanúsítványokat láthatunk. Az ablak tetején lévő füleken aközött választhatunk, hogy - a Windowsba telepített tanúsítványok közül - a saját tanúsítványainkat, mások tanúsítványait vagy bizalmi szolgáltatók tanúsítványait tekintjük meg. (Alapesetben a saját tanúsítványaink látszódnak.) A legfelső legördülő lista segítségével pedig a megjelentített tanúsítványokat szűrhetjük aszerint, hogy a milyen célú tanúsítványokat (bizalmi szolgáltatók esetén milyen célú tanúsítványokat kibocsátó bizalmi szolgáltatók tanúsítványait) szeretnénk listázni. (Vigyázat, e listának általában nagyon kevés köze van ahhoz, hogy a tanúsítványt a bizalmi szolgáltató milyen célra bocsátotta ki.)

Az egyes fülek a következő jelentéssel bírnak:

• Személyes: Azt jelenti, hogy a "saját" tanúsítványainkat listázzuk ki, azaz azon tanúsítványokat, amelyekhez rendelkezünk magánkulccsal is és a magánkulcs is telepítve van a Windowsba, vagy a Windows tudja, hogy hogyan érhető el (pl. egy intelligens kártyán) a magánkulcs.
• Más személyek: Olyan végfelhasználói (tehát nem bizalmi szolgáltatói) tanúsítványokat listáz, amelykhez nem rendelkezünk magánkulccsal (vagy nem tud róla a Windows, hogy rendelkeznénk vele).
• Közbenső szintű bizalmi szolgáltatók: Olyan bizalmi szolgáltató (azaz nem végfelhasználói) tanúsítványokat listáz, amelyek nem megbízható gyökértanúsítványok. Ezeket a szolgáltatói tanúsítványokat a Windows mindig valamely megbízható gyökértanúsítványra visszavezetve próbálja ellenőrizni. (Ha a Windows "találkozik" egy nem önhitelesített tanúsítvánnyal, azt automatikusan beteszi ide, ez nem jelent kockázatot, mert e tanúsítványt úgyis mindig ellenőrizni kell.)
• Megbízható legfelső szintű hitelesítés szolgáltatók: Olyan hitelesítés szolgáltató (azaz nem végfelhasználói) tanúsítványokat listáz, amelyek megbízható gyökértanúsítványok. Ezeket a szolgáltatói tanúsítványokat a Windows nem ellenőrzi (a megbízható gyökértanúsítványokat automatikusan nem is lehet ellenőrizni).

  A Windows minden tanúsítvány-ellenőrzést ezen tanúsítványok alapján végez, biztonsági szempontból kritikus, hogy pontosan milyen tanúsítványok szerepelnek itt. A Windows alapesetben tartalmaz, illetve elfogad bizonyos megbízható gyökértanúsítványokat, más gyökértanúsítványok telepítésekor - például az e-Szignó program telepítésekor felkínált gyökértanúsítványok telepítése esetén - pedig figyelmeztető üzenetet jelenít meg.

  A Microsoft szigorú követelmények szerint vizsgálja, hogy a Windows alapesetben milyen tanúsítványokat tartalmaz, illetve fogad el megbízható gyökértanúsítványnak. Az e-Szignó Hitelesítés Szolgáltató megfelel e követelményrendszernek, így a Microsec e-Szigno Root CA gyökértanúsítványra visszavezethető tanúsítványokat a Windows automatikusan felismeri.

  Alapesetben nem minden, a Windows által elfogadott gyökértanúsítvány jelenik meg ezen a listán. Sok, a Windows által elfogadott tanúsítvány csak akkor jelenik meg a listán, ha a Windows olyan tanúsítvánnyal találkozik, amelynek ellenőrzéséhez szükség van az adott gyökértanúsítványra. Például, az e-Szignó Hitelesítés Szolgáltató gyökértanúsítványa is ilyen; a Windows automatikusan elfogadja, de amíg nem volt rá szükség, addig nem látható a listán.

• Megbízható gyártók: E csoportba olyan végfelhasználói - ún. code signing - tanúsítványok kerülnek, amelyeket a Windows nem fogadna el programok aláírására alkalmas tanúsítványnak, de a felhasználó mégis úgy döntött, hogy mindig megbízik az adott tanúsítvány alanya által aláírt szoftverekben.
• Nem megbízható közzétevők: E csoportba olyan végfelhasználói - ún. code signing - tanúsítványok kerülnek, amelyekről a felhasználó úgy döntött, hogy nem bízik meg az adott tanúsítvány alanya által aláírt szoftverekben.

Az Importálás gomb segítségével kézzel adhatunk hozzá tanúsítványokat a Windows tanúsítványtárához. Ha olyan fájlt importálunk, amely magánkulcsot és tanúsítványt egyaránt tartalmaz (ilyenek pl. az ún. pfx fájlok), akkor a tanúsítvány a személyes tanúsítványok közé kerül. Ha csak tanúsítványt importálunk, akkor a más személyek tanúsítványai közé kerül, ha nem szolgáltatói tanúsítványról van szó, a szolgáltatói tanúsítványok pedig attól függően kerülnek a köztes vagy a legfelső szintű (gyökér)tanúsítványok közé, hogy önhitelesített tanúsítványról van-e szó. (Lehetőségünk van e döntést felülbírálni, de általában nem sok értelme van.)

Tanúsítvány és magánkulcs egyidejű importálása esetén meghatározhatjuk, hogy a magánkulcsot később ki lehessen-e írni fájlba (azaz lehessen-e exportálni), illetve megadható egy biztonsági szint, amely azt határozza meg, hogy a Windows értesítsen bennünket (közepes biztonsági szint) vagy kérjen jelszót (magas biztonsági szint) a magánkulcs használatakor.

Exportálás esetén választhatunk, hogy csak a tanúsítványt szeretnénk fájlba írni (ekkor cer vagy crt kiterjesztésű fájl jön létre) vagy egyúttal a hozzá tartozó magánkucsot is exportálni szeretnénk. (Előfordulhat, hogy a Windows akkor is felajánlja a magánkulcs exportálását, ha a magánkulcs intelligens kártyán van, de az exportálás ekkor nem fog sikerülni.)

Az Eltávolítás gombbal törölhetjük a tanúsítványt (személyes tanúsítvány esetén a hozzá tartozó magánkulccsal együtt) a tanúsítványtárból. Egy tanúsítványon kettőt kattintva (illetve a Megjelenítés gomb segítségével) pedig megtekinthetjük a tanúsítványt.

2. A tanúsítvány tartalmának megtekintése

Ha a Windows segítségével jelenítünk meg egy tanúsítványt - akár egy cer kiterjesztésű fájl megnyitásával, akár a Windows tanúsítványtárából, akár az e-Szignó programon keresztül - az alábbi ablak jelenik meg.

• Kattintson ide, ha le szeretné tölteni és meg szeretné tekinteni a fenti tanúsítványt.

A fenti ablak a tanúsítvány alapvető adatait tartalmazza: az alany vagy aláírói tanúsítvány esetén az aláíró nevét (a Windowsban: Tulajdonos), a tanúsítványt kibocsátó bizalmi szolgáltató nevét (a Windowsban Kiállító), és a tanúsítvány érvényességi idejét.

Ezen kívül a Windows azt is kiírja, hogy a tanúsítvány milyen célra használható, de ez nem biztos, hogy egybeesik azzal, hogy a kibocsátó bizalmi szolgáltató milyen célra bocsátotta ki. A Windows kiírhatja, hogy a tanúsítvány vissza van-e vonva de a Windows nem mindig, nem minden beállítás szerint végzi el az ellenőrzést, így ezt az információt erős fenntartásokkal kell kezelnünk.

Az ablak tetején lévő, Részletek fülre kattintva a tanúsítványban lévő adatok tekinthetőek meg.

A tanúsítványokban lévő adatokról szeretne olvasni?

A Tanúsítványlánc fülre kattintva az adott tanúsítványtól egy megbízható gyökértanúsítványig tartó tanúsítványlánc tekinthető meg, amely alapján a Windows ellenőrizni tudja a tanúsítványt.