在内网系统或私有服务中（如 HTTPS、本地平台等），经常会使用自签名证书。但默认情况下，Windows 和浏览器不会信任这些证书，会提示“不安全连接”。

本文将详细讲解如何在 Windows 系统中导入并信任自签名证书。

---

一、为什么需要导入证书？

当你访问一个使用自签名证书的 HTTPS 网站时，会看到：

• “您的连接不是私密连接”
• NET::ERR_CERT_AUTHORITY_INVALID

原因是：该证书不是由受信任的 CA 机构签发。

解决方法：将该证书手动加入 Windows 的信任列表。

---

二、准备证书文件

你需要有以下文件之一：

• server.crt
• server.cer
• server.pem

（通常是服务端生成的公钥证书）

---

三、图形界面导入（推荐）

步骤 1：双击证书文件

直接双击 server.crt 文件

步骤 2：点击“安装证书”

步骤 3：选择安装位置

• 选择：本地计算机（推荐）

步骤 4：选择证书存储位置

选择：

将所有证书放入下列存储

然后点击：

浏览

选择：

受信任的根证书颁发机构

步骤 5：完成安装

点击“下一步” → “完成”

系统会提示：

导入成功

---

四、验证证书是否生效

方法 1：重新打开浏览器访问

访问你的 HTTPS 地址，例如：

https://你的服务器IP

如果不再提示不安全，说明成功。

方法 2：查看证书列表

Win + R → certmgr.msc

查看：

• 受信任的根证书颁发机构 → 证书

---

五、命令行导入（进阶）

如果你需要自动化（如脚本部署），可以使用：

certutil -addstore "Root" server.crt

说明：

• Root：表示“受信任的根证书”

---

六、常见问题

1. 仍然提示不安全

• 证书 CN 与访问地址不一致
• 浏览器缓存问题（尝试重启浏览器）

2. Chrome 仍报错

Chrome 使用系统证书，但可能缓存：

• 关闭所有 Chrome 窗口重新打开

3. Edge / Chrome 提示 NET::ERR_CERT_COMMON_NAME_INVALID

说明：

• 证书域名和访问地址不匹配

---

七、总结

双击证书 → 安装证书 → 本地计算机 → 受信任的根证书 → 完成

完成后，Windows 和浏览器都会信任该自签名证书，从而正常访问 HTTPS 服务。

该方法适用于所有内网系统，是私有部署环境中的基础操作。