A lo largo del tiempo, instalé varios certificados de CA de confianza adicionales en el almacén de confianza de Windows, a veces porque una aplicación me impulsó a hacerlo, otras veces para desarrollo y pruebas.
¿Hay algún comando para restaurar los certificados de CA confiables predeterminados (o actualmente recomendados por MS) y eliminar cualquier otra entrada?
En teoría, puedes aplicar el siguiente método:
Elimine todos los certificados de CA raíz, excepto los que Windows necesita absolutamente, como se indica aquí .
Instale la lista actual de CA raíz de confianza desde el paquete actual . Tenga en cuenta que la validación de este paquete requiere que aún confíe en una de las CA raíz "necesarias", por lo que debe mantenerlas en el primer paso.
Enfatizo que no he probado este método . Como paso preparatorio, es posible que desee hacer primero una copia de seguridad de todos estos certificados: ejecute certmgr.msc , abra el almacén Root , selecciónelos todos (por ejemplo, con Ctrl-A), luego haga clic con el botón derecho y elija exportarlos todo como un archivo PKCS # 7. Ese archivo contendrá una copia de todos los certificados, lo que debería permitirle reparar cosas, si el método anterior falla de alguna manera. Una vez más, la recuperación no está probada.
Ten cuidado con la multiplicidad de tiendas. certmgr.msc muestra una vista agregada que contiene certificados de varias fuentes ("tiendas físicas"). Para comprender lo que está a punto de hacer, en el administrador de certificados, haga clic con el botón derecho en el nodo Certificados (nodo raíz del árbol en el panel izquierdo), seleccione Ver y luego Opciones y seleccione la casilla Almacenes de certificados físicos . Este proceso se describe en esta entrada de blog (con capturas de pantalla).
Lea otras preguntas en las etiquetas public-key-infrastructure certificates