如何手动安装和信任根证书？

本文目录导读：

1. ⚠️ 重要安全提示
2. Windows 系统
3. macOS 系统
4. Linux 系统
5. Android 系统
6. iOS / iPadOS 系统
7. 验证安装是否成功

手动安装和信任根证书的具体步骤会因操作系统（Windows、macOS、Linux、Android、iOS）而有所不同，大致流程分为两步：先获取证书文件（通常为 .crt 或 .pem 格式），再将其安装到系统的“受信任的根证书颁发机构”存储区。

以下是各主流系统的详细操作指南。

⚠️ 重要安全提示

• 仅安装你完全信任的证书：将根证书安装到受信任区域，意味着你的系统将信任所有由该证书签发的其他证书（如网站、软件签名），恶意证书会导致中间人攻击，泄露你的密码、银行信息等。
• 验证来源：确保证书文件是从官方渠道（如公司IT部门、VPN提供商官网、开源软件安全公告）直接获取的，不要通过邮箱或不明链接下载。

Windows 系统

使用图形界面 (推荐)

1. 找到证书文件（如 my-root-ca.crt），右键点击 -> 选择 安装证书。
2. 选择存储位置：
   • 当前用户：仅对当前登录用户生效。
   • 本地计算机：对所有用户生效（需要管理员权限）。
3. 关键步骤：选择 “将所有证书放入下列存储” -> 点击 浏览 -> 选择 “受信任的根证书颁发机构” -> 点击 确定。
4. 点击 下一步 -> 完成，系统会弹出安全警告，确认安装。

使用命令行 (管理员模式)

1. 以管理员身份打开 命令提示符 或 PowerShell。
2. 运行以下命令（将路径改为你的证书文件路径）：

   certutil -addstore -user Root "C:\path\to\your\certificate.crt"

   • -user：安装到当前用户；若需安装到本地计算机，请使用 -enterprise 或 -machine（建议用 -machine）。
   • Root：指定存储到受信任根证书颁发机构。

macOS 系统

使用钥匙串访问 (Keychain Access)

1. 找到证书文件（如 my-root-ca.crt 或 .pem），双击打开。
2. 系统会弹出 钥匙串访问 (Keychain Access) 窗口。
3. 关键步骤：在 钥匙串 (Keychain) 下拉菜单中，选择 系统 (System)（对所有用户生效）或 登录 (Login)（仅当前用户）。
4. 点击 添加 (Add)。
5. 现在该证书在列表里,双击它以打开详情。
6. 关键步骤：展开 信任 (Trust) 部分。
   • 将 “使用此证书时 (When using this certificate)” 设置为 “始终信任 (Always Trust)”。
7. 关闭窗口,输入系统密码确认更改。

Linux 系统

Linux 各发行版方法略有不同，以主流 Ubuntu/Debian 和 CentOS/RHEL 为例。

1 对于 Debian / Ubuntu （使用 update-ca-certificates）

1. 复制 .crt 文件到系统证书目录：

   sudo cp your-certificate.crt /usr/local/share/ca-certificates/
   # 注意：Ubuntu 20.04+ 有些版本使用 /usr/local/share/ca-certificates/，也可以使用 /usr/share/ca-certificates/

2. 更新系统信任库：

   sudo update-ca-certificates

   • 如果文件名后缀不是 .crt，请先重命名。

2 对于 CentOS / RHEL / Fedora （使用 update-ca-trust）

1. 复制 .crt 文件到系统信任目录：

   sudo cp your-certificate.crt /etc/pki/ca-trust/source/anchors/

2. 更新系统信任库：

   sudo update-ca-trust extract

   • 某些旧版本使用 update-ca-trust enable update-ca-trust。

Android 系统

不同品牌（三星、小米、华为、原生安卓）UI 可能略有差异，但基本逻辑如下：

注意： 有些应用（如 Chrome）默认不使用系统用户证书，需在应用内设置。

1. 设置 -> 安全 (或 密码与安全、安全与隐私) -> 加密与凭据 -> 安装证书 (或 从存储设备安装)。
2. 选择 CA 证书 (或 VPN和应用用户证书? 选 CA证书)。
3. 从文件管理器中选择你的 .crt 或 .pem 文件。
4. 确认：系统会警告安装后可能允许中间人攻击，点击 确定（前提是你信任该证书）。
5. 检查：返回安全设置，进入 受信任的凭据 -> 用户 标签，应该能看到你安装的证书。

iOS / iPadOS 系统

iOS 比 Android 更严格，需要额外一步手动启用信任。

1. 安装描述文件：
   • 通过邮件、Safari、AirDrop 等方式将 .crt 文件发送到设备。
   • 点击文件 -> 弹出 安装描述文件 提示 -> 点击右上角 安装 -> 输入锁屏密码 -> 点击 安装 -> 完成。
2. 手动启用信任（关键步骤!）：
   • 前往 设置 -> 通用 -> 关于本机 -> 证书信任设置 (一般在页面底部)。
   • 找到你刚刚安装的证书,将开关 拨到打开 （绿色）。
   • iOS 默认会关闭所有用户安装的根证书的信任，这一步非常重要，否则浏览器等应用无法正常使用。

验证安装是否成功

1. 重启浏览器（Chrome、Edge、Safari），尤其注意 Firefox 使用自己的证书库，需要单独设置（设置 -> 隐私与安全 -> 查看证书 -> 导入）。
2. 访问一个使用该根证书签名的网站（如公司内网、VPN 页面），地址栏应显示 小锁 图标，点击查看证书详细信息，应该能看到证书链 -> 根证书显示为 受信任。
3. 也可以使用 openssl s_client -connect example.com:443 -showcerts 命令来验证（Linux/macOS）。