我最近刚刚安装了 Windows。首先,我安装了 PC 附带的 Windows 10。第二天,在启动时收到 PC 符合 Windows 11 要求的信息后,我将其更新为 Windows 11(Windows 重启时启动更新,顺利完成)。现在是 Windows 11,版本 22H2。所有更新都已安装。
每当我尝试执行管理任务时,都会弹出一个窗口,询问我是否允许某个应用对我的电脑进行更改。据我所知,一些用于签署 Windows 附带的应用的证书已过期。例如,当我访问“管理计算机证书控制面板”时,它显示:
- 颁发给:Microsoft Windows
- 颁发者:Microsoft Windows Production PCA 2011
- 有效期从 2021 年 9 月 2 日到 2022 年 9 月 1 日(现在已经是 2023 年中了)
根据那里提供的信息,发布者已经验证并且证书没有问题,但是截止日期早已过去。
我以为安装更新后这种情况可能会改变,但到目前为止没有任何变化。我是 Windows 新手。这是正常的吗?我可以使用这些应用程序吗?还是我应该以某种方式更新证书?
编辑:我在上面添加了有关 Windows 版本的信息。我还看到系统显示的已签名应用文件(在本例中为 C:\Windows\System32\mmc.exe)的修改日期符合证书范围(2022 年 5 月 7 日,星期六,上午 7:20:10)
答案1
Windows 使用带时间戳的签名作为 Authenticode。如果您打开已签名的 .exe 或 .msi 文件的“属性”对话框,您会看到原始作者的签名几乎总是由时间戳服务进行签名。这样做是为了使签名有效性不取决于证书是否有效现在而是它是否有效在签署时。
因此,如果旧 CA 只是过期了,但实际上并没有因为某种原因而被取消信任,那么 Windows 将保留相当多过去用于代码签名的旧 CA,它们仍可用于验证旧签名。
如果 CA 由于某种原因实际上已被撤销或不再受信任,则该 CA 将会通过 Windows 更新进行部署,并且该证书将不再显示在“受信任”下。
答案2
简单的回答:不
但:找到原因后证书为何过期这个答案可能变得不那么严格。
原因:尤其是微软,它不断进行几乎强制更新,会尽一切努力避免这种情况的发生。有效证书是微软(和其他公司)证明可靠性和控制分布式软件的重要组成部分。对微软来说,信任他们的可靠性就是金钱。其他产品(例如银行应用程序)依赖于它,而他们的 MS 应用程序将失去微软的信任。
过时的 Windows 版本
我最近刚刚安装了 Windows。
由于您使用了标签windows-11,我猜您已经安装了 Windows 11。
但是哪个版本呢?=> 请更新您的问题。
在新安装的 Windows 上,过时的 Microsoft 证书可能是由旧的 Windows 安装介质导致的。您可能安装了过时的 Windows 11 版本
。当前版本:Windows 11 更新 2022,版本22H2
=> 转至设置 > Windows 更新并让系统自行更新。这些更新包括
- 定期更新
- 发布更新
- 进一步定期更新
最好从 Microsoft 获取当前版本的 Windows 11安装。
使用当前版本重新安装可能会更快。
顺便说一句:我个人更喜欢全新安装,以便摆脱旧垃圾,如过时的软件、其设置、卸载软件的残留以及可能不适合新 Windows 版本的个人定制和调整。
=>经过此过程后错误应该已经消失。
如果你的系统没有更新请注意微软的注释:
[...] 如果您继续在未满足要求的 PC 上安装 Windows 11,则该 PC 将不再受支持,并且无权接收更新。
如果您的硬件未通过兼容性测试,您只能通过全新更新的安装媒体进行更新。
=>这可能是对您问题的解释。
如果下面的证书检查没有发现新问题,则证书问题可能被视为正常,因为原因是已知的并且合理的(但问题应该通过更新来解决)
可能存在恶意软件
如果您的系统已更新并显示此错误,您应该考虑到有软件试图欺骗您。
- 验证您已启动的应用程序(进程名称):
- 文件名正确吗?(这是预期的程序吗?——查看属性详细信息)
- 存储在预期路径中吗?
- 日期合理吗?(将日期与其他 Windows 组件进行比较)
- 每次在不同的管理任务中出现该问题时,是否都是同一个程序?=> 更新您的问题细节
- 验证所提供的证书。——仅日期是否过期或是否还有其他安全限制?
- 验证证书路径。——结果是微软真正的根证书还是有偏差?
注意,每个人都可以随意命名自制的证书。但指纹几乎无法伪造。
认证路径:
重要的是到根证书的有效路径链必须是预期的:
Subject Name
C (Country): US
ST (State): Washington
L (Locality): Redmond
O (Organization): Microsoft Corporation
CN (Common Name): Microsoft Root Certificate Authority 2010
Issuer Name
C (Country): US
ST (State): Washington
L (Locality): Redmond
O (Organization): Microsoft Corporation
CN (Common Name): Microsoft Root Certificate Authority 2010
Issued Certificate
Version: 3
Serial Number: 28 CC 3A 25 BF BA 44 AC 44 9A 9B 58 6B 43 39 AA
Not Valid Before: 2010-06-23
Not Valid After: 2035-06-23
Certificate Fingerprints
SHA1: 3B 1E FD 3A 66 EA 28 B1 66 97 39 47 03 A7 2C A3 40 A0 5B D5
MD5: A2 66 BB 7D CC 38 A5 62 63 13 61 BB F6 1D D1 1B
Public Key Info
Key Algorithm: RSA
Key Parameters: 05 00
Key Size: 4096
Key SHA1 Fingerprint: 88 A9 5A EF C0 84 FC 13 74 41 6B B1 63 32 C2 CF 92 59 BB 3B
Key Usage
Usages: Digital signature
Revocation list signature
Critical: No
Basic Constraints
Certificate Authority: Yes
Max Path Length: Unlimited
Critical: Yes
Subject Key Identifier
Key Identifier: D5 F6 56 CB 8F E8 A2 5C 62 68 D1 3D 94 90 5B D7 CE 9A 18 C4
Critical: No
=>将指纹和身份证与您的进行比对。如果不一致,则认为您的系统已被入侵。
为了便于比较,以下是证书base64 编码 X.509导出:
文件:Microsoft Root Certificate Authority 2010.cer
-----BEGIN CERTIFICATE-----
MIIF7TCCA9WgAwIBAgIQKMw6Jb+6RKxEmptYa0M5qjANBgkqhkiG9w0BAQsFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCldhc2hpbmd0b24xEDAOBgNVBAcTB1Jl
ZG1vbmQxHjAcBgNVBAoTFU1pY3Jvc29mdCBDb3Jwb3JhdGlvbjEyMDAGA1UEAxMp
TWljcm9zb2Z0IFJvb3QgQ2VydGlmaWNhdGUgQXV0aG9yaXR5IDIwMTAwHhcNMTAw
NjIzMjE1NzI0WhcNMzUwNjIzMjIwNDAxWjCBiDELMAkGA1UEBhMCVVMxEzARBgNV
BAgTCldhc2hpbmd0b24xEDAOBgNVBAcTB1JlZG1vbmQxHjAcBgNVBAoTFU1pY3Jv
c29mdCBDb3Jwb3JhdGlvbjEyMDAGA1UEAxMpTWljcm9zb2Z0IFJvb3QgQ2VydGlm
aWNhdGUgQXV0aG9yaXR5IDIwMTAwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIK
AoICAQC5CJ4o5OTsBk5QaLNBxXvrrraOr4G6IkQfZTRpTL5wQBfyFnvief2G7Q05
9BuorZKQHss9do9a2bWREC48BY2KbSRU5x/tVq2DtFCcFaUXdIhZIPwIxYR202jU
byh4zly481CQRP/jY1++oZoslhUE1gf+HoQh4EIxEcQoNpTPUKRinsnWq3EAslsM
5pbUCiSW9f/G1bcb18u3IWKvEtyhXTfjGvsaRpjAm8DnYx8qCJMCfh5qjvKfGInk
IoWisYRXQP/1DthvnO3iRTEBzRfpf7CBReOqIUAmoXKqp088AQV+7oNYsV4GY5li
kXiCtw2TDCRqtBvbJ+xflQQ/k0ow9ZcYs6f5GaeTMx0ByNsiUlzXJclG+aL7h1lD
vptisY0thkQaRqx4YX4wCfquicRBKiJmA5E5RZzHiwyoyg0v+1LqDPdjMyOd/rAf
rWfWp1ADxgRwY7UssYZaQ7f7rvluKW4hIUEmBozJw+6wwoWTobmF2eYybEtMP9Zd
o+W1nXfDnMBVt3QA47g4q4OXUOGaQiQdxsCjMNEaWshSNPdz8ccYHzOteuzLQWDz
I5QgwkhFrFxRxi6AwuJ3Fb2Fh+02nZaR7gC1o3Dsn+ONgGiDdrqvXXBSIhbiZvu6
s8XC9z4vd6bK3sGmxkhMwzdRI9Mn17hOcJbwoUR2r3jPmuFmEwIDAQABo1EwTzAL
BgNVHQ8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU1fZWy4/oolxi
aNE9lJBb186aGMQwEAYJKwYBBAGCNxUBBAMCAQAwDQYJKoZIhvcNAQELBQADggIB
AKylloy/u66m9tdxh0MxVoj9HDJxWzW31PCR8q834hTx8wImBT4WFH8UurhP+4my
sufUCcxtuVs7ZGVwZrfysVrfGgLz9VG4Z215879We+SEuSsem0CcJjT5RxiYadgc
17bRv49hwmfEte9gQ44QGzZJ5CDKrafBsSdlCfjN9Vsq0IQz8+8f8vWcC1iTN6B1
oN5y3mx1KmYi9YwGMFafQLkwqkB3FYLXi+zA07K9g8V3DB6urxlToE15cZ8PrzDO
Z/nWLMwiQXoH8pdCGM5ZeRBV3m8Q5Ljag2ZAFgloI1uXLiaaArtXjMW4umliMoCJ
nqH9wJJ8eyszGYQqY8UAaGL6n0eNmXpFOqfp7e5pQrXzgZtHVhB7/HA2hBhz6u/5
l02eMyPdJgu6Krc/RNyDJ/+9YVkrEbfKT9vFiwwcMa4y+Pi5Qvd/3GGadrFaBOER
PWZFtxhxvskkhdbz1LpBNF0SLSW5jaYTSG1LsAd9mZMJYYF0VyaKq2nj5NnHiMwk
2OxSJFwevJEU4pbe6wrant1fs1vb1ILsxiBQhyVAOvvH7s3+M+Vuw4QJVQMlOcDp
NV1lMaj2v6AJzSnHszYyLtyV84PBWs+LjfbqsyH4pO0eMQ62TBGrYAukEiMiF6M2
ZIKRBBLgq28ey1AFYbRA/1mGcdHVM2l8qXOKONdkDPFp
-----END CERTIFICATE-----
更新:
抱歉,你关于证书过期的问题让我很恼火。——现在你已经更新了你的问题mmc.exe和相关细节。我有了新的看法:
您陈述:
每当我尝试执行管理任务时,都会弹出一个窗口,询问我是否允许应用程序在我的 PC 上进行更改。
显然,您并不是在谈论系统识别出的证书错误,而是在描述 UAC 请求以允许程序以管理访问权限访问系统。——而且您对过时的签名证书感到恼火。
因此用户的回答用户1686切中要点(值得我点赞):
您看到的日期间隔是时间戳签名证书的有效时间。
并作为用户1686描述:由于对代码签名时的状态感兴趣,所有这些证书可能都已过期(如果在签名日期之后发生这种情况,甚至会被撤销),但只有根证书(我们上面检查的那个)必须得到您的认证存储的明确信任。如果您想了解有关这些时间戳的更多信息,这里有一个相当全面的链接:数字签名和时间戳
归结起来,你的问题可以归结为:
该计划C:\Windows\System32\mmc.exe真的“真实”吗?——详细信息:
- 代码是否与时间戳签名所签名的状态相同?并且
- 带时间戳的签名有效吗?
要检查,只需打开电源外壳并发出以下命令:
Get-AuthenticodeSignature "C:\Windows\System32\mmc.exe" | ft Status
或者获取完整的带时间戳的签名信息:
Get-AuthenticodeSignature "C:\Windows\System32\mmc.exe" | fl *
我想你会看到:
PS C:\> Get-AuthenticodeSignature "C:\Windows\System32\mmc.exe" | ft Status
Status
------
Valid
在这种情况下,一切正常,您的管理控制台只会请求其工作所需的权限。
如果它不是“有效”,请更新您的问题。