获取及安装最新微软更新提供Windows系统根证书

诈知 · 2025-6-11 15:57:13

Windows系统默认内置的根证书是确保网络安全和身份验证的重要组成部分。根证书属于可信的证书颁发机构（CA），用于验证其他证书（如网站SSL证书、软件签名证书）的合法性，当用户访问HTTPS网站或运行签名软件时，Windows会通过根证书构建信任链，确认终端证书的有效性。本文介绍如何获取最新根证书并安装这些证书。

注意：本教程会安装第三方提供的根证书，导入根证书可能会对您的计算机安全产生影响，使用前请评估本方法是否适合您的使用环境操作

获取证书相关文件
一、下载证书集合文件（.sst）和证书信任列表文件（.stl）
（1）、在一台正常联网的Windows电脑上（系统最好是Windows 7及以上的系统），鼠标右键点击开始按钮——运行——以管理员方式运行Powershell，输入cmd后回车
（2）、新建一个文件夹命名为cert（比如在D盘根目录下新建cert文件夹），在PowerShell输入该命令并执行certutil -generateSSTFromWU d:\cert\authroot.sst
（3）、使用浏览器或其他方式下载以下链接文件至cert目录下

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst

复制代码

（4）、下载完成后在cert文件夹内解压authrootstl.cab和disallowedcertstl.cab，得到authroot.stl和disallowedcert.stl。最终应得到以下4个文件：

authroot.sst
authroot.stl
disallowedcert.sst
disallowedcert.stl

复制代码

这四个文件分别是微软官方受信任的根证书（authroot.sst）及受信任的根证书信任列表（authroot.stl）、被微软标记为不信任的证书（disallowedcert.sst）和不信任证书信任列表（disallowedcert.stl）

方法1：使用CMD或者PowerShell安装（老系统可能不支持以下命令操作，如Win7）
使用管理员身份运行PowerShell或者CMD（方法在上文下载证书文件的第1步），使用CMD则运行以下命令：

certutil -addstore -f ROOT d:\cert\authroot.stl
certutil -addstore -f ROOT d:\cert\authroot.sst
certutil -addstore -f Disallowed d:\cert\disallowedcert.stl
certutil -addstore -f Disallowed d:\cert\disallowedcert.sst

复制代码

如果使用PowerShell，则执行以下命令：

import-Certificate -FilePath "d:\cert\authroot.stl" -CertStoreLocation Cert:\LocalMachine\Root
import-Certificate -FilePath "d:\cert\authroot.sst" -CertStoreLocation Cert:\LocalMachine\Root
import-Certificate -FilePath "d:\cert\disallowedcert.stl" -CertStoreLocation Cert:\LocalMachine\Disallowed
import-Certificate -FilePath "d:\cert\disallowedcert.sst" -CertStoreLocation Cert:\LocalMachine\Disallowed

复制代码

方法2：使用微软管理控制台（mmc）手动安装
（1）、右击开始按钮——运行，输入mmc回车运行
（2）、在弹出的窗口点击文件——添加或删除管理单元——证书——添加
（3）、在弹出的窗口选择计算机账户并点击下一页，再点击完成按钮，最后再点击添加或删除管理单元窗口的确定按钮

（4）、右键点击左侧的受信任的根证书颁发机构——所有任务——导入——下一页
（5）、文件名中填入cert文件夹下的authroot.stl文件的路径（D:\cert\authroot.stl），如图所示

（6）、重复第4步和第5步的步骤，再次添加authroot.sst，最终效果如图所示

（7）、点击左侧的不受信任的证书，继续重复第4步至第5步的操作，分别添加disallowedcert.stl和disallowedcert.sst，最终效果如图所示。此时证书添加完毕

待补充：另类方法使用注册表导入证书安装

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

替攀浮 · 2025-10-17 00:41:53

yyds。多谢分享

计海龄 · 2025-10-17 04:06:42

鼓励转贴优秀软件安全工具和文档！

稞冀 · 2025-10-24 06:03:00

热心回复！

蛟当罟 · 2025-11-12 02:32:26

这个有用。

瞪皱炕 · 2026-1-13 19:38:34

东西不错很实用谢谢分享

劳暄美 · 2026-1-20 23:07:53

谢谢楼主提供！

上官泰 · 2026-1-22 13:10:24

过来提前占个楼

怃膝镁 · 2026-1-24 11:57:37

这个有用。

窝酴 · 2026-1-27 08:51:25

过来提前占个楼

任静柔 · 2026-1-28 06:52:38

不错，里面软件多更新就更好了

贺蛟亡 · 2026-2-3 07:21:45

鼓励转贴优秀软件安全工具和文档！

郁兰娜 · 2026-2-7 06:39:07

不错，里面软件多更新就更好了

这帜 · 2026-2-7 11:37:07

喜欢鼓捣这些软件，现在用得少，谢谢分享！

佴莘莘 · 2026-2-9 23:50:49

感谢发布原创作品，程序园因你更精彩

梁宁 · 2026-2-10 06:16:24

东西不错很实用谢谢分享

辅箱肇 · 2026-2-12 17:46:52

感谢分享，下载保存了，貌似很强大

稼布欤 · 2026-2-13 11:02:15

懂技术并乐意极积无私分享的人越来越少。珍惜

嗣伐 · 2026-2-13 19:09:52

用心讨论，共获提升！

赵淳美 · 2026-3-2 02:18:30

前排留名，哈哈哈

账号		自动登录	找回密码
密码			立即注册

获取及安装最新微软更新提供Windows系统根证书

相关帖子

回复

签约作者

获取及安装最新微软更新提供Windows系统根证书

相关帖子

相关推荐

回复

签约作者