Unduh dan instal sertifikat root - Certificate Management Service

Kapan perlu menginstal sertifikat root secara manual

Instalasi manual diperlukan pada lingkungan client berikut:

Aplikasi seluler: aplikasi dengan trust store kustom yang tidak tersinkron dengan daftar sertifikat root sistem atau browser.
Client Java: aplikasi yang memakai Java KeyStore (cacerts) independen dan tidak mengandalkan trust store sistem operasi.
Sistem operasi atau browser lawas: sistem lama seperti Windows XP atau Android 4.x yang tidak memiliki sertifikat root bawaan dari CA baru.
Perangkat IoT dan sistem embedded: perangkat dengan resource terbatas yang hanya dibekali sekumpulan sertifikat root terbatas.
Lingkungan intranet perusahaan: sistem yang memakai CA privat, di mana sertifikat root-nya tidak termasuk dalam trust store publik.
Kebijakan kepatuhan atau keamanan: lingkungan yang mengharuskan kontrol eksplisit atas daftar CA tepercaya.

Penting

Untuk browser modern (Chrome, Firefox, Safari, Edge) dan sistem operasi (Windows 10/11, macOS, Android 8 atau lebih baru, iOS 12 atau lebih baru), sertifikat root dari CA internasional utama seperti DigiCert dan GlobalSign sudah terpasang sejak awal dan diperbarui otomatis. Tidak perlu tindakan manual. Untuk sistem lawas seperti Android 4.4.2, instal sertifikat cross-root yang sesuai secara manual agar rantai kepercayaan tetap lengkap.

Unduh sertifikat root

Jika Anda menginstal sertifikat root dari CA perusahaan internal, lewati bagian ini dan langsung menuju Instal sertifikat root.

Unduh sertifikat root yang sesuai dengan merek sertifikat SSL (misalnya, DigiCert atau GeoTrust) dan tipe sertifikat (DV/OV/EV) yang dipakai di server Anda. Sebagai contoh, jika server Anda memakai sertifikat SSL DigiCert OV, unduh sertifikat root DigiCert OV.

Tautan unduh sertifikat root berdasarkan merek

Merek sertifikat	Unduh sertifikat root
DigiCert	Catatan . Mulai 1 Desember 2024, sertifikat SSL merek DigiCert diterbitkan dari rantai sertifikat root dan intermediate baru. Untuk detailnya, lihat Pengumuman Penggantian Sertifikat Root DigiCert. Sertifikat root DigiCert DV/OV Digicert_Global_Root_G2_DV_OV (Baru – Cross-root) DigiCert_Global_Root_G2_DV_OV (Lama – Transisi) DigiCert_DV_OV_ROOT (Lama) Sertifikat root DigiCert EV DigiCert_EV_ROOT
GeoTrust Rapid GlobalSign	GlobalSign_DV_OV_ROOT GlobalSign R1-R3 Cross-root
Alibaba Cloud	Catatan Mulai 18 September 2025, sertifikat SSL baru merek Alibaba Cloud diterbitkan dari rantai sertifikat root dan intermediate baru. Untuk detailnya, lihat [Pengumuman] Pengumuman Pembaruan Root Sertifikat Merek Alibaba. Sertifikat Root TLS Root R46 Sertifikat Cross GlobalSign R3-R46 Alibaba Cloud GCC R46 AlphaSSL CA 2025

Kompatibilitas sertifikat root DigiCert

Pakai tabel berikut untuk menentukan sertifikat root DigiCert mana yang harus diinstal sesuai versi sistem operasi atau browser Anda.

Sistem operasi atau browser	DigiCert Global Root CA (lama)	DigiCert Global Root G2 (lama – transisi)	DigiCert Global Root G2 (baru – cross-root)
Fingerprint	`a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436`	`df3c24f9bfd666761b268073fe06d1cc8d4f82a4`	`8bf7f178a745a11bac6ae5b586fc1838eadcb2cf`
Windows (internet)	Windows XP SP3+
Windows (jaringan internal)	Windows 7+	Windows 8+	Windows 7+
macOS	Mac OS X 10.6+	Mac OS X 10.10+	Mac OS X 10.6+
iOS	iOS 4.0+	iOS 7.0+	iOS 4.0+
Firefox	Firefox 2+	Firefox 32+	Firefox 2+
NSS	NSS 3.11.8	NSS 3.16.3	NSS 3.11.8
Android	Android 1.1+	Android 5.0+	Android 1.1+
Chrome	Mulai Chrome 108, Chrome memakai trust store-nya sendiri. Versi sebelumnya bergantung pada trust store sistem operasi.
Java	JRE 1.4.2_17+	JRE 1.8.0_131+	JRE 1.4.2_17+

Allowlist endpoint Certificate Authority (CA)

Saat client menerima sertifikat SSL/TLS, client tersebut memvalidasi sertifikat dengan menghubungi CA penerbit melalui endpoint tertentu. Ada tiga jenis endpoint yang dipakai:

Authority Information Access (AIA): mengunduh sertifikat CA intermediate untuk membangun rantai sertifikat lengkap.
Online Certificate Status Protocol (OCSP): memeriksa secara real-time apakah sebuah sertifikat sudah dicabut.
Certificate Revocation List (CRL): mengunduh daftar sertifikat yang dicabut, yang diterbitkan CA.

Jika server atau client Anda berada di belakang firewall atau proxy yang membatasi traffic HTTP outbound (port 80), tambahkan domain endpoint CA berikut ke allowlist firewall Anda. Tanpa langkah ini, validasi sertifikat bisa gagal dan memicu error TLS handshake atau kegagalan koneksi HTTPS.

Endpoint DigiCert

DigiCert dan sub-mereknya (RapidSSL dan GeoTrust) memakai endpoint berikut.

Protokol	Endpoint
AIA	`cacerts.digicert.cn` `cacerts.digicert.com` `cacerts.rapidssl.com` `cacerts.geotrust.com`
OCSP	`ocsp.digicert.cn` `ocsp.digicert.com` `status.rapidssl.com` `status.geotrust.com`
CRL	`crl.digicert.cn` `crl3.digicert.com` `crl4.digicert.com` `cdp.rapidssl.com` `cdp.geotrust.com`

Untuk daftar endpoint lengkap, lihat DigiCert Root Certificates.

Endpoint GlobalSign

GlobalSign memakai endpoint berikut.

Protokol	Endpoint
AIA	`secure.globalsign.com/cacert`
OCSP	`ocsp.globalsign.com`
CRL	`crl.globalsign.com`

Untuk daftar endpoint lengkap, lihat GlobalSign Root Certificates.

Sebelum memulai

Sebelum menginstal sertifikat root, pastikan prasyarat berikut terpenuhi:

Anda sudah mengunduh file sertifikat root yang sesuai dengan merek dan tipe sertifikat Anda. Untuk tautan unduh, lihat tabel pada bagian sebelumnya.
Anda memiliki hak akses administrator atau root pada sistem target.
Sistem operasi atau browser target memenuhi versi minimum yang tercantum di tabel kompatibilitas.

Instal sertifikat root

Instal pada sistem operasi

Windows

Langkah-langkah berikut memakai Windows 10 sebagai contoh.

Buka Microsoft Management Console (MMC). Tekan Win+R untuk membuka kotak dialog Run. Ketik mmc, lalu klik OK.
Tambahkan snap-in Certificates.
1. Pada bilah menu, pilih File > Add/Remove Snap-in.
2. Pada kotak dialog Add or Remove Snap-ins, pilih Certificates dari daftar Available snap-ins, lalu klik Add.
3. Pada kotak dialog Certificates snap-in, pilih Computer account, lalu klik Next.
4. Pada kotak dialog Select Computer, pilih Local computer (the computer this console is running on), lalu klik Finish.
Impor sertifikat root.
1. Pada panel navigasi kiri, perluas Certificates (Local Computer).
2. Pilih folder tujuan—misalnya Enterprise Trust. Klik kanan folder tersebut, lalu pilih All Tasks > Import.
  Catatan
  - Personal: menyimpan sertifikat untuk user atau komputer saat ini.
  - Trusted Root Certification Authorities: sertifikat root dari CA yang dipercaya sistem operasi secara default.
  - Intermediate Certification Authorities: sertifikat intermediate yang menghubungkan sertifikat server ke root tepercaya.
  - Enterprise Trust: sertifikat dari CA internal perusahaan, yang hanya dipercaya di dalam jaringan organisasi.
3. Ikuti petunjuk di layar untuk menyelesaikan impor.

macOS

Langkah-langkah berikut memakai macOS 12.5.1 sebagai contoh.

Buka Launchpad.
Pada kotak pencarian Launchpad, ketik Keychain Access, lalu klik Keychain Access.
Pada halaman Keychain Access, klik tab Certificates.
Seret sertifikat root yang sudah Anda unduh ke area kosong pada tab Certificates. macOS akan memverifikasi sertifikat secara otomatis.
Klik kanan sertifikat yang baru ditambahkan, lalu klik Get Info.
Pada halaman informasi sertifikat, pilih Always Trust, lalu klik ikon .

Linux

Path instalasi dan perintah bervariasi sesuai distribusi Linux. Bagian berikut mencakup CentOS/Red Hat dan Ubuntu/Debian.

CentOS/Red Hat

Instal paket sertifikat CA sistem.
```
sudo yum install ca-certificates
```
Salin file sertifikat root ke direktori sertifikat sistem.
```
/etc/pki/ca-trust/source/anchors/
```
Perbarui trust store sertifikat.
```
sudo update-ca-trust extract
```
Sistem akan membuat ulang bundle kepercayaan di /etc/pki/tls/certs/ca-bundle.crt.
Verifikasi instalasi memakai OpenSSL.
```
openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt
```
Output harus berisi rantai sertifikat Anda. Verifikasi sukses jika diakhiri Verify return code: 0 (ok).

Ubuntu/Debian

Instal paket sertifikat CA sistem.
```
sudo apt install ca-certificates
```
Salin file sertifikat root ke direktori sertifikat sistem.
```
/usr/local/share/ca-certificates/
```
Perbarui trust store sertifikat.
```
sudo update-ca-certificates
```
Sistem akan menggabungkan sertifikat baru ke dalam /etc/ssl/certs/ca-certificates.crt.

Verifikasi instalasi.

Periksa apakah file sertifikat sudah dipercaya:
```
# Ganti your-certificate.crt dengan nama file sertifikat root Anda.
openssl verify /usr/local/share/ca-certificates/your-certificate.crt
```
Jika output-nya /usr/local/share/ca-certificates/your-certificate.crt: OK, verifikasi sukses.

Periksa apakah symbolic link sudah dibuat:

# Ganti your-certificate dengan nama file sertifikat root Anda.
ls -la /etc/ssl/certs | grep your-certificate

Instal pada browser

Chrome, Edge, dan Internet Explorer di Windows memakai trust store sistem operasi. Untuk browser tersebut, impor sertifikat root ke sistem operasi, bukan ke masing-masing browser. Langkah-langkah di bagian ini hanya berlaku jika Anda perlu mengonfigurasi sertifikat root untuk browser tertentu.

Google Chrome

Catatan

Bagian ini memakai Windows 10 dan Chrome 138.0.7204.102 (64-bit) sebagai contoh.

Impor sertifikat root.
1. Buka Chrome, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Pada panel navigasi kiri, klik Privacy and security.
3. Klik Security > Manage certificates > Manage certificates imported from Windows.
4. Pada jendela Certificate Manager, klik tab Trusted Root Certification Authorities.
5. Klik Import di pojok kiri bawah. Ikuti petunjuk untuk memilih dan mengimpor file sertifikat root. Pesan Import Successful menandakan proses selesai.
Verifikasi impor.
1. Pastikan sertifikat root muncul di path yang dipilih.
2. Mulai ulang Chrome.
3. Akses website target dan pastikan tidak muncul peringatan "untrusted certificate".

Microsoft Edge

Catatan

Bagian ini memakai Windows 10 dan Microsoft Edge 92.0.902.67 (64-bit) sebagai contoh.

Impor sertifikat root.
1. Buka Edge, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Klik tab Privacy, search, and services.
3. Gulir ke bagian Security, lalu klik Manage certificates. Jendela Windows Certificate Manager akan terbuka.
4. Klik tab Trusted Root Certification Authorities.
5. Klik Import di pojok kiri bawah. Ikuti petunjuk untuk mengimpor file sertifikat root. Pesan Import Successful menandakan proses selesai.
Verifikasi impor.
1. Pastikan sertifikat root muncul di path yang dipilih.
2. Mulai ulang Edge.
3. Akses website target dan pastikan tidak muncul peringatan "untrusted certificate".

Mozilla Firefox

Catatan

Bagian ini memakai Windows 10 dan Firefox 142.0.1 (64-bit) sebagai contoh.

Impor sertifikat root.
1. Buka Firefox, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Klik tab Privacy & Security.
3. Gulir ke bagian Certificates, lalu klik View Certificates. Jendela Certificate Manager akan terbuka.
4. Klik tab Authorities, lalu klik Import.
5. Ikuti petunjuk untuk memilih dan mengimpor file sertifikat root.
Verifikasi impor.
1. Pada tab Authorities, periksa kolom Certificate Name untuk memastikan sertifikat root sudah terdaftar.
2. Mulai ulang Firefox.
3. Akses website target dan pastikan tidak muncul peringatan "untrusted certificate".

Internet Explorer

Catatan

Bagian ini memakai Windows 10 dan Internet Explorer 11.1.20348.0 sebagai contoh.

Impor sertifikat root.
1. Buka Internet Explorer, klik ikon di pojok kanan atas, lalu pilih Internet Options.
2. Pada jendela Internet Options, klik tab Content.
3. Klik Certificates untuk membuka jendela Certificates.
4. Klik tab Trusted Root Certification Authorities.
5. Klik Import di pojok kiri bawah. Ikuti petunjuk untuk mengimpor file sertifikat root.
Verifikasi impor.
1. Pastikan sertifikat root muncul di path yang dipilih.
2. Mulai ulang Internet Explorer.
3. Akses website target dan pastikan tidak muncul peringatan "untrusted certificate".

Risiko dan pertimbangan pemeliharaan

Risiko keamanan

Sumber tidak tepercaya: unduh sertifikat root hanya dari kanal resmi atau otoritatif. Menginstal sertifikat root dari sumber tak dikenal membuka peluang injeksi malware atau serangan man-in-the-middle, sehingga keamanan sistem dapat terancam serius.
Kesalahan operasional: mengimpor sertifikat ke lokasi penyimpanan yang salah atau memakai file dengan format keliru bisa merusak rantai kepercayaan sistem atau memicu kegagalan koneksi aplikasi.

Kompatibilitas dan pemeliharaan

Batasan versi sistem atau aplikasi: beberapa sistem operasi atau aplikasi lawas tidak mendukung algoritma sertifikat root yang baru, sehingga mungkin perlu di-upgrade demi kompatibilitas.
Masa berlaku sertifikat root: sertifikat root memiliki tanggal kedaluwarsa. Saat CA menerbitkan sertifikat root baru atau sertifikat lama hampir kedaluwarsa, perbarui sertifikat root pada seluruh client terkait agar rantai kepercayaan tetap valid.

Penerapan massal

Menginstal sertifikat root secara manual di banyak perangkat heterogen tidak efisien dan rawan kesalahan. Untuk penerapan skala besar, pakai script otomatis atau tool manajemen konfigurasi serta manajemen perangkat.

FAQ

Apakah saya perlu menerapkan ulang sertifikat root setelah sertifikat SSL saya kedaluwarsa?

Tergantung pada lingkungan client Anda.

Untuk browser dan sistem operasi utama yang menangani pembaruan sertifikat root secara otomatis melalui OS, tidak diperlukan tindakan apa pun. Rantai kepercayaan tetap valid selama sertifikat SSL baru Anda mengarah ke root tepercaya.

Untuk lingkungan tanpa sertifikat root bawaan—seperti aplikasi seluler dengan trust store tertanam, client Java mandiri, browser lawas, atau perangkat IoT—Anda mungkin perlu menerapkan ulang dalam dua situasi: Anda mengganti merek atau tipe sertifikat (DV/OV/EV) saat perpanjangan, atau sertifikat root asli sudah kedaluwarsa (atau CA mengumumkan peralihan ke root baru). Pada kasus tersebut, unduh sertifikat root yang sesuai dan instal pada client yang terdampak sesuai panduan ini.

Bagaimana cara menginstal sertifikat intermediate?

Prosesnya sama seperti memasang sertifikat root. Ikuti langkah-langkah pada Instal sertifikat root, tetapi pilih Intermediate Certification Authorities (atau Authorities di Firefox) sebagai lokasi penyimpanan tujuan, bukan Trusted Root Certification Authorities.

Client Java gagal mengakses HTTPS

Biasanya hal ini disebabkan oleh sertifikat root atau intermediate yang hilang dari trust store Java Runtime Environment (JRE). Untuk langkah troubleshooting, lihat Client Java gagal mengakses HTTPS.

Sistem operasi mana saja yang didukung sertifikat DigiCert dan GeoTrust?

Merek sertifikat	Sertifikat root	Windows	macOS X	Android	Java
Sertifikat DigiCert DV	Root baru (DigiCert Global Root G2)	Windows 8 dan lebih baru	OS X 10.7 dan lebih baru	Android 4.4.2 dan lebih baru	Java 1.8 dan lebih baru
Sertifikat DigiCert DV	Root lama (DigiCert Global Root CA)	Windows 7 dan lebih baru	OS X 10.5 dan lebih baru	Android 2.3.3 dan lebih baru	Java 1.6.05 dan lebih baru
Sertifikat Rapid DV	Root baru (DigiCert Global Root G2)	Windows 8 dan lebih baru	OS X 10.7 dan lebih baru	Android 4.4.2 dan lebih baru	Java 1.8 dan lebih baru
Sertifikat GeoTrust OV dan EV	Root lama (DigiCert Global Root CA)	Windows 7 dan lebih baru	OS X 10.5 dan lebih baru	Android 2.3.3 dan lebih baru	Java 1.6.05 dan lebih baru

Catatan

Mulai pertengahan Maret 2023, sertifikat SSL bermerek DigiCert dan GeoTrust diterbitkan melalui root baru, DigiCert Global Root G2. Untuk detailnya, lihat Pengumuman: Peningkatan Sertifikat Root DigiCert.
Karena fragmentasi Android, beberapa model perangkat dengan Android 4.4–5.0 bisa mengalami masalah kompatibilitas.
Beberapa versi Java mungkin tidak menyertakan sertifikat root secara default—silakan verifikasi lingkungan spesifik Anda.