SYSTEM帐户无法访问证书存储

Question

为什么SYSTEM帐户无法访问用户的证书存储？

同时，SYSTEM 帐户能够从智能卡读取证书（通过 CSP dll）并将其放入证书存储中（在本例中，winlogon.exe 使用 CSP，所以我猜 winlogon.exe 里面有一些魔力）。

例如，在系统帐户下调用 CertOpenSystemStore( NULL, L"MY" ) 会成功，但 CertFindCertificateInStore() 不会找到任何内容，因为看起来存储是空的。当我登录时，CertFindCertificateInStore() 将找到请求的证书。

Answer 1

每个用户都有不同的“我的商店”，因此如果您能够在用户 A 登录的“我的商店”中找到某些内容，您可能无法从用户 2 那里找到该内容。
尝试使用 MMC 访问其他用户和服务帐户的证书存储。

Answer 2

感谢 Der_Meister！

完整命令行，从管理员命令提示符处执行：

psexec -s -ic:\windows\system32\mmc.exe c:\windows\system32\certmgr.msc

然后导入本地系统所需的证书。

就我而言，这是签名工具签署二进制文件所需的代码签名证书。 Signtool 由 gitlab-runner 服务执行。

Answer 3

您需要将相关证书放入系统证书存储中，或者需要模拟您想要访问其存储的用户。模拟可以通过多种方式完成，我建议开始查看 MSDN。