Windows 10证书负责验证操作系统与之通信的个人或实体的身份，它们在商店中进行组织，这是所有证书功能的核心。

在大多数情况下，证书颁发机构（CA）负责颁发Windows 10证书，证书颁发机构的目的是确保证书持有者的身份以建立可信连接。

信任链

通过其网站销售产品的供应商通常会向网站分配证书，以确保其连接受信任。与任何基于证书的通信一样，为了让用户信任该证书，已经正确验证主体身份的可靠CA应该发布它。

组织可以设置自己的CA，但大多数CA是具有已建立声誉的第三方实体，并且具有颁发可靠证书的历史记录。在任何一种情况下，CA都可以颁发支持各种用例的证书，包括网站身份验证，代码签名，电子邮件等。

Windows 10信任存储在商店中的任何证书，即使它不是来自受信任的CA.

CA基于以CA的受信任根证书开头的分层信任链发布证书。根证书位于信任层次结构之上，为CA颁发的所有其他证书提供基础。根证书很少直接发布给主题，而是在信任链中提供标识锚点，所有子证书都链接回根目录。

特定子证书建立中间CA，向主体颁发证书，创建由多个层组成的分层链。每个Windows 10证书都列出了完整的CA链，因为它适用于该证书。从用户的角度来看，唯一重要的是CA链是可信的，这意味着证书本身是可信的，随后证书的主题也是如此。

信任链使得使用Windows 10证书变得更容易。 Windows 10支持两种基本商店类型：

本地计算机证书是计算机本地的，但它们对所有用户都是全局的，因此它们非常适合于ASP.NET等机器进程。本地计算机证书存储在注册表中的Hkey_LOCAL_MACHINE根目录下。

当前计算机证书特定于计算机上的用户帐户，更适合客户端应用程序。 Windows将这些证书存储在注册表中的Hkey_CURRENT_USER根目录下。