Nel corso del tempo ho installato diversi certificati CA attendibili aggiuntivi nel trust store di Windows, a volte perché un'app mi ha spinto a farlo, altre volte per lo sviluppo e il testing.
Esiste un comando per ripristinare i certificati di CA attendibili predefiniti (o attualmente raccomandati da MS) ed eliminare eventuali altre voci?
In teoria, potresti applicare il seguente metodo:
Elimina tutti i certificati CA radice eccetto quelli assolutamente necessari per Windows, come indicato qui .
Installa l'elenco corrente della CA radice affidabile dal pacchetto corrente . Si noti che la convalida di questo pacchetto richiede che ci si fidi ancora di una delle CA "necessarie" principali, motivo per cui è necessario mantenerle nel primo passaggio.
Sottolineo che non ho testato questo metodo . Come fase preparatoria, potresti voler fare un backup di tutti questi certificati: esegui certmgr.msc , apri Root store, selezionali tutti (ad es. Con Ctrl-A), quindi fai clic con il tasto destro e scegli di esportarli tutto come un file PKCS # 7. Quel file conterrà una copia di tutti i certificati, che dovrebbe consentire di riparare le cose, se il metodo sopra non riesce in qualche modo. Anche in questo caso, il ripristino non è stato verificato.
Diffida della molteplicità dei negozi. certmgr.msc mostra una vista aggregata contenente certificati provenienti da varie fonti ("negozi fisici"). Per capire cosa stai per fare, nel gestore certificati, fai clic con il pulsante destro del mouse sul nodo Certificati (nodo radice dell'albero nel riquadro di sinistra), quindi seleziona Visualizza Opzioni e seleziona la casella Archivio certificati fisici . Questo processo è descritto in questo post di blog (con schermate).
Leggi altre domande sui tag public-key-infrastructure certificates