获取及安装最新微软更新提供Windows系统根证书

Windows系统默认内置的根证书是确保网络安全和身份验证的重要组成部分。根证书属于可信的证书颁发机构（CA），用于验证其他证书（如网站SSL证书、软件签名证书）的合法性，当用户访问HTTPS网站或运行签名软件时，Windows会通过根证书构建信任链，确认终端证书的有效性。本文介绍如何获取最新根证书并安装这些证书。


注意：本教程会安装第三方提供的根证书，导入根证书可能会对您的计算机安全产生影响，使用前请评估本方法是否适合您的使用环境操作


获取证书相关文件
一、下载证书集合文件（.sst）和证书信任列表文件（.stl）
（1）、在一台正常联网的Windows电脑上（系统最好是Windows 7及以上的系统），鼠标右键点击开始按钮——运行——以管理员方式运行Powershell，输入cmd后回车
（2）、新建一个文件夹命名为cert（比如在D盘根目录下新建cert文件夹），在PowerShell输入该命令并执行certutil -generateSSTFromWU d:\cert\authroot.sst
（3）、使用浏览器或其他方式下载以下链接文件至cert目录下

1. http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
2. http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
3. http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst

复制代码

（4）、下载完成后在cert文件夹内解压authrootstl.cab和disallowedcertstl.cab，得到authroot.stl和disallowedcert.stl。最终应得到以下4个文件：

1. authroot.sst
2. authroot.stl
3. disallowedcert.sst
4. disallowedcert.stl

复制代码

这四个文件分别是微软官方受信任的根证书（authroot.sst）及受信任的根证书信任列表（authroot.stl）、被微软标记为不信任的证书（disallowedcert.sst）和不信任证书信任列表（disallowedcert.stl）



方法1：使用CMD或者PowerShell安装（老系统可能不支持以下命令操作，如Win7）
使用管理员身份运行PowerShell或者CMD（方法在上文下载证书文件的第1步），使用CMD则运行以下命令：

1. certutil -addstore -f ROOT d:\cert\authroot.stl
2. certutil -addstore -f ROOT d:\cert\authroot.sst
3. certutil -addstore -f Disallowed d:\cert\disallowedcert.stl
4. certutil -addstore -f Disallowed d:\cert\disallowedcert.sst

复制代码

如果使用PowerShell，则执行以下命令：

1. import-Certificate -FilePath "d:\cert\authroot.stl" -CertStoreLocation Cert:\LocalMachine\Root
2. import-Certificate -FilePath "d:\cert\authroot.sst" -CertStoreLocation Cert:\LocalMachine\Root
3. import-Certificate -FilePath "d:\cert\disallowedcert.stl" -CertStoreLocation Cert:\LocalMachine\Disallowed
4. import-Certificate -FilePath "d:\cert\disallowedcert.sst" -CertStoreLocation Cert:\LocalMachine\Disallowed

复制代码

方法2：使用微软管理控制台（mmc）手动安装
（1）、右击开始按钮——运行，输入mmc回车运行
（2）、在弹出的窗口点击文件——添加或删除管理单元——证书——添加
（3）、在弹出的窗口选择计算机账户并点击下一页，再点击完成按钮，最后再点击添加或删除管理单元窗口的确定按钮

（4）、右键点击左侧的受信任的根证书颁发机构——所有任务——导入——下一页
（5）、文件名中填入cert文件夹下的authroot.stl文件的路径（D:\cert\authroot.stl），如图所示

（6）、重复第4步和第5步的步骤，再次添加authroot.sst，最终效果如图所示

（7）、点击左侧的不受信任的证书，继续重复第4步至第5步的操作，分别添加disallowedcert.stl和disallowedcert.sst，最终效果如图所示。此时证书添加完毕

待补充：另类方法使用注册表导入证书安装

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

yyds。多谢分享

鼓励转贴优秀软件安全工具和文档！

热心回复！

这个有用。