我来分享下我了解到的情况和实际踩过的坑，希望能帮到你：

一、Postman对Windows证书存储的支持现状 #

首先可以明确的是：

• Postman确实能读取Windows的根CA存储——你已经验证过，新安装的Postman能直接信任内部CA签名的服务端证书，不用手动导入CA证书，这部分是正常工作的。
• 但客户端证书（mTLS所需）的支持处于半完成状态：
  • 有两个相关的功能请求，一个在2022年被标记为「完成」，但另一个至今仍处于开放状态。官方完全没在文档里提及这部分功能的细节，也没有使用说明，这就导致实际使用时完全摸不着头脑。

二、实际使用的差异与坑 #

• 和你遇到的情况一模一样：浏览器访问mTLS端点时会正常弹出Windows证书选择框，选完就能正常访问；但Postman完全没有任何证书选择提示，直接返回403错误。
• Postman内置的聊天bot完全不可信，给出的信息前后矛盾，一会儿说完全不支持Windows存储，一会儿说会弹出证书选择框，和实际情况完全不符，别信它的话。

三、目前的可行/不可行情况 #

• ❌ 不可行：直接使用Windows存储中的不可导出客户端证书
  目前没有公开的成功案例，也没有官方文档说明支持这一场景，你遇到的403就是典型表现。
• ✅ 可行的替代方案（但不符合你的需求）
  如果你的客户端证书是可导出的，你可以把它导出为PFX格式，然后在Postman的「Settings > Certificates」中手动添加客户端证书（指定目标域名、PFX文件路径和密码），这样就能正常完成mTLS协商。但这绕开了Windows存储，也没法用到不可导出的证书。

四、可以尝试的排查方向 #

1. 检查Postman版本：确保使用的是2022年之后发布的新版本（那个标记为完成的功能请求是2022年的），说不定老版本完全不支持，新版本可能有隐藏的支持逻辑（虽然大概率还是不行，但可以试试）。
2. 查看Postman开发者日志：通过「View > Developer > Show DevTools」打开Postman的开发者工具，查看Console或Network面板，说不定能找到为什么没触发证书选择的报错或日志信息。
3. 跟进开放的功能请求：那个仍处于开放状态的功能请求里，可能有其他用户的最新反馈，说不定有人找到了临时的解决办法，或者官方会更新功能状态。

总结 #

目前来看，Postman对Windows证书存储中不可导出客户端证书的mTLS支持是不完善的，官方没有明确的文档说明，实际使用也无法触发证书选择流程。如果你必须使用不可导出的证书，暂时只能用浏览器或者其他支持Windows存储的工具（比如curl搭配Windows证书存储的参数），Postman这边只能等官方完善这个功能了。