在 Chrome、Firefox、IE、Acrobat 和 ChromeOS 中管理证书

查找并验证来自本地证书存储的证书 Windows 和macOS。

在 Chrome（Windows）中导入 PFX/P12 并在 Internet Explorer/Edge 中调整选择。

配置 Adob​​e Reader 以信任 Windows 或其自己的信任库。

通过控制台在 ChromeOS 上部署 CA Google 并采用良好的做法。

MGI 数字证书 身份认证已成为在电子网站上识别身份、签署文件、在公司内网验证身份或验证安全连接的关键。然而，许多人并不清楚身份认证在哪里、如何查看，或者浏览器无法提供身份认证时该怎么办。在本实用指南中，我们汇集了您需要的一切，让您能够一站式管理身份认证。 不同的浏览器和系统.

让我们一步一步地了解如何在 Windows和macOS，在 Chrome、Internet Explorer/Edge 中需要触摸哪些设置以及 使用Adobe Acrobat 读者，以及如何在设备上部署证书颁发机构 托管 ChromeOS我们还包括一些公共场所仍然需要的典型要求，以及有关移动兼容性的说明，以便您不会措手不及。

什么是数字证书？它有什么用途？

Un 数字证书 它是一个将您的身份与加密密钥关联起来的文件，用于保护通信和签名。这允许您执行管理程序、向服务验证您的身份， 验证网站 或签署具有完全法律效力的文件。这与数字签名不同：证书用于验证身份，而签名则用于以可验证的方式盖章文件。

那里 自然人证书、代理、服务器、中间或根 CA，每个 CA 在信任链中都扮演着不同的角色。了解您安装的 CA 类型及其所在位置（计算机、浏览器或 令牌/DNIe) 是浏览器在适当的时候提出它的关键。

在 Chrome 或 Firefox 等浏览器中，HTTPS 站点验证和客户端证书选择依赖于证书存储。 认证机构 （CA）。安装新的根 CA 或中间 CA，或导入您的个人证书时，请务必将其放置在正确的存储中，以避免出现信任错误。

除了用户证书之外，许多应用程序和页面还要求您的计算机信任 具体CA （例如，来自公共实体或公司）。这种信任是通过在适当的存储库中安装 CA 来实现的，如果适用，还可以实现与操作系统或程序自己的存储库的集成。

各个系统中的证书在哪里以及如何查看？

在导入任何东西之前最好先了解一下 在哪里检查安装了什么。在 Windows 和 macOS 上，都有用于探索用户、计算机和 CA 证书的原生工具。

Windows

在 Windows 上，打开 证书经理 使用 Windows + R，输入“certmgr.msc”。这将打开一个控制台，您可以在其中查看个人证书、其他人的证书以及根证书或中间证书颁发机构。

在左侧面板中转到 员工 → 证书 查看用于身份验证或签名的用户凭据。

探索 受信任的根证书颁发机构 如果适用的话，还有中间层来验证已安装的信任链。

双击证书即可查看其 发行人、到期日和用途 允许。

如果您需要将个人证书的副本导入 Windows 上的 Chrome，请记住 Chrome 使用 Windows 应用商店，因此导入是通过系统本身完成的。下面您将看到分步导入向导。

macos

在 macOS 上，证书通过 访问钥匙圈。从 Spotlight 打开它（CMD + 空格键）并输入其名称即可启动它。此实用程序集中管理系统和用户凭据。

在侧边栏中选择 登录 o 系统 取决于您要审查的证书类型。

使用顶部过滤器«证书» 仅显示此类型的元素。

双击查看详细信息，例如 发证机构和到期日。这确认它是正确的证书。

本地加密后上传到云端与云端加密的比较如果您需要新的证书用于流程或签名，请确保将它们安装在 正确的钥匙链 （用户或系统）取决于谁应该使用它们以及所需的权限。

在 Google Chrome 中导入和管理证书（Windows）

要将您的证书导入 Windows 上的 Chrome，您需要 有效副本 相同。它必须是 .pfx 或 .p12 文件（图标为打开的信封，内含证书和密钥），其中包含证书及其私钥。没有私钥的 .cer 文件无法用于签名或用户身份验证。

打开 Chrome 并转到 设置 → 隐私和安全 → 安全 → 管理证书。在左上角，转到“您的证书”，如果出现，请选择 管理从 Windows 导入的证书 与系统仓库协同工作。

在标签 个性化服务 点击“导入”启动“导入向导”。该向导将引导您完成所有准备工作所需的步骤。

点击 下一篇 然后点击“浏览”找到您的 .pfx 或 .p12 文件。在对话框的下拉菜单中，选择“个人信息共享» 以便 .pfx/.p12 出现。

如果您的副本有密码，请输入。同时勾选 将此密钥标记为可导出 以便将来能够进行备份。

选择 “自动选择证书存储” 并继续“下一步”直至“完成”。

如果一切顺利，您将看到成功消息，并且证书将在 个人选项卡从现在开始，当网站请求身份验证时，Chrome 将显示选择相应证书的窗口。

如果您的文件是 没有私钥的 .cer，它将被安装在“其他人”下，并且不适用于签署或在 AEAT 等机构办理相关手续。在这种情况下，您将无法正确续签或导出：您需要申请 新证书 给供应商。

配置 Internet Explorer/Edge 以进行证书选择

某些网站和服务仍然依赖于 Windows 与 Internet Explorer/Edge 的传统集成。如果您在访问需要身份验证的网站时没有被要求提供证书，而您想 选择器出现，在安全选项中调整此行为。

去吧 工具 → Internet 选项 → 安全 → Internet 并点击“自定义级别”。在相应的类别中，选择选项 停用 在“当存在一个或不存在证书时，不提示客户端选择证书。”这将导致浏览器 将请求确认 即使只有一个有效证书。

当你有多个证书或需要控制向 电子总部 或企业门户。如果您的 64 位环境包含较旧的依赖项，请记住许多网站需要使用 32 位 Internet Explorer 以及 32 位 Java。

在 Adob​​e Acrobat Reader 中配置和信任证书

为了验证 PDF 中的签名，Adobe Acrobat Reader 可以依赖 Windows 应用商店 或者使用您自己的受信任证书存储。根据具体情况，您可以选择其中一个选项，以便它能够识别有效的信任链。

将 Windows 证书存储与 Adob​​e 结合使用

首先，安装 根 CA 颁发用于签署文档的证书的机构。从相应的颁发机构下载证书，然后双击打开该证书，启动 Windows 向导。

在标签 “细节” 检查属性（颁发者、指纹、用途）以确认它是正确的证书。

按 “安装证书” 然后“下一步”。

选择 “检查” 并选择“受信任的发行者”商店 根源 认证机构）。

继续前进 “下一个” 到最后一个屏幕并按“完成”。

成为一个 根 CAWindows 将要求您确认。单击“是”接受。

然后，打开 Adob​​e Reader 并转到 编辑 → 首选项。在“安全”中，点击“高级偏好设置”，然后转到选项卡 Windows 集成. 检查选项 验证签名 这样 Adob​​e 在验证签名的 PDF 时就会信任系统存储。

在 Windows 11 上设置 VPN 的完整指南：方法、提示和技巧使用 Acrobat Reader 自带的商店

Acrobat Reader 有一个 拥有值得信赖的商店 并默认依赖它。如果您希望在内部管理，请将签发 CA 直接导入程序，以便程序能够识别该链签发的签名是否有效。

下载 根证书 由相应的发证机构签发。

打开 Adob​​e Acrobat Reader。在早期版本中，请转到 高级 → 管理可信身份；在现代版本中，转到 文档 → 管理可信身份.

按 “增加联系人” 然后“浏览”选择下载的证书。

在窗口中，选择 新导入的联系人将显示文件中包含的证书。

Elige el 认证机构证书 然后点击“信任”。勾选复选框 “签名和作为信任的根源” 并接受。

结束于 “要导入” 和“接受”。从现在开始，Acrobat 将验证依赖于该 CA 的签名。

选择 Windows 商店还是 Acrobat 商店取决于您的环境：在已经依赖系统级 CA 的组织中， 视窗整合 简化维护；如果您需要控制 Adob​​e 的每个信任，内置商店可为您提供自主权。

使用 Google 控制台在 ChromeOS 上部署证书

在托管环境中，您可以分发 企业 CA 使 ChromeOS 设备能够信任您的网络和应用。此部署通过 Google 管理控制台完成，并将授权文件上传为受信任的证书。

先前的建议：在 初始阶段 部署以确保用户访问网站时不会中断。请记住 LDAP:// 格式 不兼容，您最多可以添加 每个组织单位 50 个证书.

要配置 AC，请转到 证书 在控制台中。如果要将其应用于所有注册用户和浏览器，请保留最高组织级别；否则，请选择 二级组织单位。然后点击“创建证书”。

分配一个 名称 到证书。

点击 上载 并选择 PEM、CRT 或 CER 文件。仅支持 每个文件一个证书；如果包含多个证书或根本没有证书，将被拒绝。不接受 DER 编码的证书。

在“证书颁发机构”下，选择 plataformas 将被用作 CA。

保存与 “加”.

要将证书部署到设备，请使用 开启访客 Wi-FiChromeOS 设备将通过 Google 进行身份验证并接收 TLS/SSL 证书。该证书将应用于主域名上注册的所有 ChromeOS 设备。

管理员技巧：通过限制访客网络（会话时间或互联网访问）或重定向到页面，强制切换到生产网络 表明变化 下载证书后，即可连接到 Wi-Fi 网络。

至 确认 AC 已应用于 受管理的 ChromeOS 设备，请按照以下步骤从计算机本身进行操作：

打开 铬：//设置.

在左侧输入 隐私和安全.

点击 安全.

滚动到 Avanzada配置文件.

Selecciona 管理证书.

检查是否出现 认证机构 您刚刚添加的。

电子办公的典型要求和良好实践

一些场馆仍然需要非常具体的配置 身份证明和签名尽管许多平台正在进行现代化改造，但在使用传统平台时了解这些要求会很有帮助。

操作系统 历史上被接受的包括 Windows XP、Vista、7、8 和 8.1以及 Ubuntu 8-10（32 位）。在这些环境中，对浏览器、Java 和加密模块的支持有所不同。

至于浏览器， Internet Explorer 7–11、Firefox（3.6 至 42）和 Chrome（11 至 44）。如果您使用的是 64 位计算机并访问较旧的网站，系统可能会要求您启动 32 位 Internet Explorer 并使用 32 位 Java。

WebRTC 窃取器：在线支付的新敌人国家行政总局的许多办公室通过 @firma 平台。对于第一次连接，需要安装 Red.es证书如果您要使用 DNIe，您将需要 加密模块 特定且 Java 版本受支持（例如 1.6.0.30 至 1.8.0.45）。别忘了启用 JavaScript 在浏览器中。

此外，可能需要在“可信任的网站» 浏览器，例如 http://sede.red.gob.es 和 https://sede.red.gob.es。并且，如果总部需要，请启用 文件签名 在浏览器中能够提交带有电子签名的申请。

支持的浏览器和移动笔记

为了在 HTTPS 网站上浏览和使用证书进行身份验证，它们通常兼容 微软边缘、Internet Explorer、Mozilla Firefox、 Google Chrome、Opera 和 Safari。请注意，某些功能不存在或受到限制 手机版 这些浏览器。

如果您需要在手机上使用证书，请查看您的系统和浏览器的具体文档。在许多情况下， 签名和认证 它继续出现在桌面上，特别是当旧版站点涉及加密模块、DNIe 或 Java 等依赖项时。

查看、导出和良好保管实践

定期检查您的证书可以帮助您避免意外。 期满 或由于对新链缺乏信任。在 Windows 上，请使用 certmgr.msc；在 macOS 上，请使用 Keychain Access。检查颁发者、使用情况、日期和指纹，以验证其是否与 你的身份 以及预期目的。

导出或导入时，请尽量保留副本 密码保护 如果您计划将来在计算机之间迁移，请将密钥标记为可导出。避免通过电子邮件发送未加密的 PFX/P12 文件，并控制谁有权访问它。 私钥，因为它是整个过程中最敏感的元素。

如果您发现您拥有的副本是一个简单的 .cer 并且浏览器不允许您签名或验证，请不要浪费时间：请求 新证书 按照身份验证程序向提供商提供信息，并从一开始就在安全介质上保留完整的备份副本。

安装并信任根证书颁发机构 (CA)

有时，为了让您的浏览器或 Adob​​e 信任内部签名或连接，您需要安装 颁发根 CAWindows 中的典型步骤是打开 CA 文件，在“详细信息”中检查其属性，然后使用 “安装证书” 将其放入“受信任的发行者”存储库。完成向导并确认安全提示。

安装 CA 后，您可以决定 Adob​​e Reader 是否信任它。 Windows 应用商店 （通过在 Windows 集成中激活“验证签名”）或者如果您希望将其直接导入 Acrobat 自己的商店（“管理可信身份 → 添加联系人 → 信任）。这样，您的文档上就不会出现无效签名警告。

如果您在使用 ChromeOS 的组织中工作，请从 Google 控制台 上传包含单个证书（非 DER）的 PEM/CRT/CER 文件。请记住，每个 OU 最多只能上传 50 个证书，并且 LDAP:// 不支持。请使用访客 Wi-Fi 进行部署，并在设备上的“管理证书”中进行验证。

通过以上所有操作，您将能够很好地处理最常见的情况：查看已安装的证书、在 Chrome（Windows）中导入、在 Internet Explorer/Edge、与 Adob​​e 集成以及为托管设备部署 CA。关键在于将每个元素放入正确的存储库，审查信任链，并维护安全备份，以免在最需要的时候措手不及。

艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识，这就是我在这个博客中要做的，向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。