弃用操作 - Microsoft 受信任根证书计划

Windows 提供了许多用于弃用根证书功能的选项。 此处列出了这些功能。

删除

从 CTL 中删除根。 链接到根的所有证书都不再受信任。 用户仍可将根手动安装到本地计算机的“受信任的根证书颁发机构”/注册表物理存储。 但是，如果已安装到本地计算机的“受信任的根证书颁发机构”/第三方物理存储，则自动根更新服务将自动删除证书。

删除 EKU

从根证书删除特定的 EKU。 链接到此根的所有最终实体证书不能再使用已删除的 EKU，与数字签名是否有时间戳记无关。

禁止

此功能涉及到将证书添加到禁止 CTL，并可用于撤销许多类型的证书，例如自签名证书、企业证书、受信任的根证书或高风险叶证书。 此功能实际上会撤销证书。 用户无法手动安装根，并继续具有信任关系。

禁用

所有链接到已禁用根的证书将不再受信任，但有一个非常重要的例外情况；时间戳在禁用日期之前的数字签名将继续成功验证。

NotBefore

允许精细禁用根证书或的根证书的特定 EKU 功能。 NotBefore 日期之后颁发的证书将不再受信任，但在 NotBefore 日期之前颁发的证书将继续受信任。 时间戳早于 NotBefore 日期的数字签名将继续成功验证。