windows和linux上证书的增删查

引言

PS: 我之前看过《图解密码技术》，已经对证书这些概念有基本的了解，见：密码学简述。所以本文不会涉及证书相关概念的介绍。本文只干一件事(到鹅城只干一件事)，那就是，对windows/linux上个人证书的增删查。

之前在知乎上看到一个问题：为什么以前 12306 页面的 https 会被划红线？ - 知乎

本文介绍windows和linux上证书的增删查。以上面问题为引，进行展开说明。

我们先打开购票网站，导出它的证书。可以看到它的证书链如下所示：

因为我的系统信任CECA的证书，所以12306的证书验证通过。

那如何查看当前系统，都信任哪些证书呢？参考如何：使用 MMC 管理单元查看证书 - WCF | Microsoft Learn，我们可以运行certlm.msc查看本地设备的证书，使用certmgr.msc查看当前用户的证书。可以看到，CFCA EV ROOT 的自签名证书被系统信任。

在windows下，使用上面图形界面，我们可以对证书进行增删查。

但是，图形界面是不方便嵌入到程序中。命令工具和相关的API，更便于在程序中调用。

下面，我们介绍下windows和linux上，命令行对证书的增删查。

证书增删查的API，我没仔细去搜，按下不表。

windows上对个人证书的增删查

在对证书增删查之前，我们查看下证书的存储位置。查看下，增删查的操作对象，身在何处。

然而，参见证书存储 - Windows drivers | Microsoft Learn，证书被存储在注册表中。我去看了一下，人类无法直接进行读取识别。所以，我们后面验证证书是否被安装或者删除，可以使用引用中的方式查看。

下面我们使用certutil | Microsoft Learn，对证书进行操作。

注：certutil.exe在win11中自带。没必要去使用firefox - Mozilla NSS certutil binary - Super User，官方没有提供它的win版本，没有系统自带的香。

除了certutil.exe，还可以通过Certmgr.exe (Certificate Manager Tool) - .NET Framework | Microsoft Learn、 Get-ChildItem (Microsoft.PowerShell.Management) - PowerShell | Microsoft Learn等对证书进行操作。

通常只需要操作当前用户下的个人证书，使用certutil.exe足矣。

创建证书

对系统上的证书进行增删查，得先有一个证书。建议网上随意打开一个https的站点，用它的证书实验。

而这里，我选择自签名一张证书，闹着玩。可以跳过本节。（不值得花费时间去了解window下创建证书，虽然我这么做了。用openssl很好，windows和linux下相同的参数，一套搞定。但是，openssl在windows还得安装，懒得安装。）

用openssl创建证书是再合适不过的了。但是windows安装openssl可能有点麻烦，至少我没干过，暂时不使用这个方案。

如果是自己闹着玩，可以使用MakeCert - Win32 apps | Microsoft Learn创建一个证书。而文档中已说明，弃用 Makecert，使用New-SelfSignedCertificate (pki) | Microsoft Learn。可以参考创建自签名公用证书来对应用程序进行身份验证 - Microsoft Entra | Microsoft Learn，创建一个证书。

我习惯的逻辑是，创建一个私钥(可以从私钥中导出公钥)->创建一个证书请求->生成证书。但过程似乎略有不同。我们可以在windows powershell ISE中运行下面脚本，生成私钥和证书。

$certname = "dacao"    ## Replace {certificateName}## 创建一个自签名证书，并将证书存储在当前用户的“个人”的证书存储区中
## -Subject"：用于指定证书的名称和其他信息。
## "-KeyExportPolicy"：密钥导出策略，指示是否允许通过导出证书来导出私钥。在这里，我们将其设置为“Exportable”，表示允许导出。
##"-KeyExportPolicy"：密钥导出策略，指示是否允许通过导出证书来导出私钥。在这里，我们将其设置为“Exportable”，表示允许导出。
## "-KeySpec"：密钥规范，指示生成的密钥是用于签名还是加密。在这里，我们将其设置为“Signature”，表示生成的密钥将用于签名操作。
## "-KeyLength"：密钥长度，以比特为单位。在这里，我们将其设置为 "2048"，表示生成的密钥将为 2048 比特长。
## "-KeyAlgorithm"：密钥算法，指示生成的密钥使用的加密算法。在这里，我们将其设置为“RSA”，表示将使用 RSA 算法。
## "-HashAlgorithm"：哈希算法，用于生成证书哈希值。在这里，我们将其设置为“SHA256”，该算法生成 256 位哈希值。
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\\CurrentUser\\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256## 导出证书到文件
Export-Certificate -Cert $cert -FilePath "E:\\download\\$certname.cer"   ## Specify your preferred location## 为证书私钥创建密码，并将其保存在变量中
$mypwd = ConvertTo-SecureString -String "111111" -Force -AsPlainText  ## Replace {myPassword}## 导出私钥
Export-PfxCertificate -Cert $cert -FilePath "E:\\download\\$certname.pfx" -Password $mypwd   ## Specify your preferred location

证书的查找

上面创建了一个自签名证书，并将证书存储在当前用户的“个人”的证书存储区中。下面，在命令行查看证书。

## 列出“受信任的根证书颁发机构”中所有的证书
## certutil -store root # 不全
## certmgr /C /s root # 输出不方便过滤
Get-ChildItem -Path "Cert:\\CurrentUser\\root"## 列出当前用户证书certutil -user -store MY # -user表示访问用户存储而不是计算机存储
Get-ChildItem -Path "Cert:\\CurrentUser\\my"

证书的删除

通常是不需要删除证书的。因为通常情况下，安装后，也没有什么坏处。

## 查找指定名词的证书的哈希值
Get-ChildItem -Path "Cert:\\CurrentUser\\My" | Where-Object {$_.Subject -Match "dacao"} | Select-Object Thumbprint
Thumbprint
----------
9330B2C240B1C93432C53FF57DA20000B168C054## 删除该证书
Remove-Item -Path Cert:\\CurrentUser\\My\\9330B2C240B1C93432C53FF57DA20000B168C054 -DeleteKey# 列出证书-过滤CN
## certID可以是序列号，sha1值，CN, email等
certutil -delstore My certID

证书的安装

certutil.exe -user -addstore My E:\\download\\dacao.cer

Linux上对个人证书的增删查

linux需要安装下certutil 。certutil命令是由NSS(Network Security Services)提供的证书数据库工具。

sudo apt install libnss3-tools

windows是微软的操作系统，它可以规定证书的存储位置。Linux虽然有文件系统的规范(Filesystem Hierarchy Standard，FHS)，但是对于证书存储位置，似乎不会有强制规定。阅读上面链接中的文档，我们可以知道，证书的数据库文件名为cert9.db(旧的数据库文件名为cert8.db)。在家目录下查找下：

 ~ find . -name "cert9.db"
./.mozilla/firefox/dqrmhy2g.default-release/cert9.db
./.pki/nssdb/cert9.db

创建证书

之前不想在windows上安装openssl，所以用了windows自带的cmdlet创建了一个自签名证书。这里，我们使用openssl创建一个证书。

# 创建一个没有密码保护的RSA私钥
openssl genrsa -out private.key 2048# 创建的key的格式是pem
# rsa -in private.key -inform PEM -text -noout# 创建一个证书请求
openssl req -new -key private.key  -out dacao.csr -subj "/C=CN/ST=shanghai/CN=da1234cao.top"# 创建证书
openssl x509 -req -in dacao.csr -signkey private.key -out dacao.pem

证书的安装

certutil -A -d sql:$HOME/.pki/nssdb -i dacao.pem -n "dacao_cert" -t "C,u,u"

证书的查看

# 列出所有的证书
# certutil -d dbm:$HOME/.pki/nssdb -L  # 列出该目录下cert8.db中的证书
certutil -d sql:$HOME/.pki/nssdb -L  # 列出该目录下cert9.db中的证书certutil -d sql:$HOME/.mozilla/firefox/dqrmhy2g.default-release/ -L

证书的删除

certutil -D -d sql:$HOME/.pki/nssdb  -n "dacao_cert" 

Linux上对系统证书的增删查

linux系统证书的存储位置，参考：SSL Certificate Location on UNIX/Linux - Server Fault、 SSL Certificate Location on UNIX/Linux – Fixya Cloud

如果需要添加或者删除系统信任的证书，可以参考：Linux下管理CA证书(ca-certificates) | WindomZ`s GitHub Pages

ubuntu系统，总的来说，应该是这样(我没实验过)：

第一步：把需要添加/删除的证书，添加到/etc/ssl/certs，或者从该目录下移除。

第二步：运行sudo update-ca-certificates，以更新信息(修改/etc/ca-certificates.conf等)。