如何自动将当前的 Windows 根证书存储与最新的根证书进行比较？

默认情况下，根证书通过以下方式自动更新Windows更新。

您可能已通过 GPO 在您的环境中禁用此功能？您可以检查下面的键是否已设置，但默认情况下不存在：

Get-ItemProperty HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot -Name DisableRootAutoUpdate

它还需要针对 2008/2012 进行某些更新，例如KB3004394，因此请确保您总体上了解最新情况。

---

我不建议手动管理根证书，但你可以使用证书提供商如：

Get-ChildItem -Path Cert:\LocalMachine\CA\

也许您想将本地证书与远程机器进行比较：

# Get the list of local root/CA certificates
$localCerts = (Get-ChildItem -Path Cert:\LocalMachine\CA\)+(Get-ChildItem -Path Cert:\LocalMachine\Root\)

# Compare to the same certificates on a remote server
$result = Invoke-Command -ComputerName 'Server01' -ScriptBlock {
  $remoteCerts = (Get-ChildItem -Path Cert:\LocalMachine\CA\)+(Get-ChildItem -Path Cert:\LocalMachine\Root\)
  Compare-Object $using:localCerts $remoteCerts -Property thumbprint -PassThru
}

# Display certificates that don't match
$result | select SideIndicator,Thumbprint,FriendlyName,Subject

下面是 win10 和 Server 2016 之间的比较示例。您可以看到其中一个区别是我的本地机器有一个它信任的 TPM 模块：

SideIndicator Thumbprint                               Subject                                                                                          
------------- ----------                               -------                                                                                          
=>            DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212 CN=GeoTrust Global CA, O=GeoTrust Inc., C=US                                                     
<=            D4FFDB19BA590FFFAA34DB5F4B568706A2978436 CN=Microsoft TPM Root Certificate Authority 2014, O=Microsoft Corporation, L=Redmond, S=Washin...

我在用信号检查为了这。

 sigcheck.exe -tv

它列出了不植根于 Microsoft 证书信任列表的证书。

我从 PowerShell 使用它脚本提醒我有关不受信任的证书。