Sertifikat root merupakan fondasi rantai kepercayaan SSL/TLS dan memverifikasi semua sertifikat turunan—termasuk sertifikat perantara dan Sertifikat server—yang dikeluarkan oleh otoritas sertifikasi (CA). Browser dan sistem operasi utama biasanya telah menyertakan sertifikat root pra-instal dari CA tepercaya. Namun, pada lingkungan seperti aplikasi seluler, client Java, Sistem warisan, atau perangkat Internet of Things (IoT), ketiadaan sertifikat root dapat menyebabkan kegagalan koneksi HTTPS atau peringatan insecure. Panduan ini menyediakan tautan unduh sertifikat root dari merek CA utama serta panduan instalasi untuk berbagai client guna membantu Anda membangun rantai kepercayaan yang lengkap dan menjamin keamanan serta ketersediaan komunikasi SSL/TLS.
Kasus penggunaan
Topik ini berlaku untuk lingkungan klien yang memerlukan instalasi manual sertifikat root:
Aplikasi seluler: Aplikasi dengan trust store kustom yang tidak disinkronkan dengan daftar sertifikat root sistem atau browser.
Client Java: Aplikasi yang menggunakan Java KeyStore independen (cacerts) dan tidak bergantung pada trust store sistem operasi.
Sistem operasi atau browser lawas: Sistem lama, seperti Windows XP atau Android 4.x, yang tidak memiliki sertifikat root pra-instal dari CA terbaru.
Perangkat Internet of Things (IoT) dan sistem tertanam: Perangkat dengan sumber daya terbatas yang biasanya hanya menyertakan kumpulan sertifikat root terbatas.
Lingkungan intranet perusahaan: Sistem yang menggunakan CA privat yang sertifikat root-nya tidak termasuk dalam trust store publik.
Kebijakan kepatuhan atau keamanan tertentu: Lingkungan yang memerlukan kontrol eksplisit atas daftar CA tepercaya.
Untuk browser modern (seperti Chrome, Firefox, Safari, dan Edge) serta sistem operasi (seperti Windows 10/11, macOS, Android 8 ke atas, dan iOS 12 ke atas), Anda tidak perlu melakukan operasi manual saat menggunakan sertifikat yang dikeluarkan oleh CA internasional utama seperti DigiCert dan GlobalSign. Sertifikat root mereka telah dipra-instal dan diperbarui secara otomatis oleh sistem operasi.
Untuk sistem operasi lawas, seperti Android 4.4.2, instal sertifikat cross-root yang sesuai secara manual untuk memastikan rantai kepercayaan yang lengkap.
Unduh sertifikat root
Jika Anda menginstal sertifikat root dari CA perusahaan internal, lewati langkah ini dan lanjutkan langsung ke langkah Instal sertifikat root.
Tautan unduhan sertifikat root berdasarkan merek
Unduh sertifikat root yang sesuai berdasarkan merek sertifikat SSL (misalnya, DigiCert atau GeoTrust) dan jenis sertifikat (DV/OV/EV) yang digunakan pada server Anda. Sebagai contoh, jika server Anda menggunakan sertifikat SSL DigiCert OV, unduh sertifikat root DigiCert OV yang sesuai.
Merek sertifikat | Unduh sertifikat root |
DigiCert | Catatan Mulai 1 Desember 2024, sertifikat SSL dari merek DigiCert akan dikeluarkan dari rantai sertifikat root dan perantara baru. Untuk informasi lebih lanjut, lihat Pengumuman Penggantian Sertifikat Root DigiCert. |
GeoTrust | |
Rapid | |
GlobalSign | |
Alibaba Cloud | Catatan Mulai 18 September 2025, Alibaba Cloud akan mulai mengeluarkan sertifikat SSL bermereknya menggunakan sertifikat root dan perantara baru. Untuk informasi lebih lanjut, lihat [Pengumuman] Pengumuman Pembaruan Root Sertifikat Bermerek Alibaba. |
Kompatibilitas sertifikat root DigiCert
Sistem operasi atau browser | DigiCert Global Root CA (lama) | DigiCert Global Root G2 (lama - transisi) | DigiCert Global Root G2 (baru - cross-root) |
Fingerprint | a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436 | df3c24f9bfd666761b268073fe06d1cc8d4f82a4 | 8bf7f178a745a11bac6ae5b586fc1838eadcb2cf |
Windows (Internet) | Windows XP SP3+ | ||
Windows (Jaringan internal) | Windows 7+ | Windows 8+ | Windows 7+ |
macOS | Mac OS X 10.6+ | Mac OS X 10.10+ | Mac OS X 10.6+ |
iOS | iOS 4.0+ | iOS 7.0+ | iOS 4.0+ |
Firefox | Firefox 2+ | Firefox 32+ | Firefox 2+ |
NSS | NSS 3.11.8 | NSS 3.16.3 | NSS 3.11.8 |
Android | Android 1.1+ | Android 5.0+ | Android 1.1+ |
Chrome | Mulai Chrome 108, Chrome menggunakan trust store-nya sendiri. Versi sebelumnya mengandalkan trust store sistem operasi. | ||
Java | JRE 1.4.2_17+ | JRE 1.8.0_131+ | JRE 1.4.2_17+ |
Instal sertifikat root
Instal sertifikat root pada sistem operasi
Windows
Langkah-langkah berikut menggunakan Windows 10 sebagai contoh.
Buka Microsoft Management Console (MMC).
Tekan
Win+Runtuk membuka kotak dialog Run. Masukkanmmcdan klik OK untuk membuka konsol MMC.
Tambahkan snap-in Certificates ke konsol MMC.
Pada bilah menu di bagian atas konsol, pilih .
Pada kotak dialog Add or Remove Snap-ins, pilih Certificates dari daftar Available snap-ins di sebelah kiri, lalu klik Add.
Pada kotak dialog Certificates snap-in, pilih Computer account, lalu klik Next.
Pada kotak dialog Select Computer, pilih Local computer (the computer this console is running on), lalu klik Finish.
Impor sertifikat root.
Pada panel navigasi di sebelah kiri konsol MMC, perluas Certificates (Local Computer).
Pilih folder tujuan, misalnya Enterprise Trust. Klik kanan folder tersebut dan pilih .
CatatanPersonal: Menyimpan sertifikat untuk pengguna atau komputer saat ini.
Trusted Root Certification Authorities: Berisi sertifikat root dari CA yang dipercaya sistem operasi secara default.
Intermediate Certification Authorities: Menyimpan sertifikat perantara yang menghubungkan sertifikat server ke root tepercaya.
Enterprise Trust: Menyimpan sertifikat dari CA perusahaan internal, yang hanya dipercaya dalam jaringan organisasi.
Ikuti petunjuk di layar untuk menyelesaikan impor sertifikat.
macOS
Langkah-langkah berikut menggunakan macOS 12.5.1 sebagai contoh.
Buka Launchpad macOS.
Pada kotak pencarian Launchpad, masukkan Keychain Access, lalu klik Keychain Access.
Pada halaman Keychain Access, klik tab Certificates.
Seret file sertifikat root yang telah diunduh ke area kosong pada tab Certificates di Keychain Access. macOS akan secara otomatis memverifikasi sertifikat root tersebut.
CatatanUntuk mengunduh sertifikat root, lihat Unduh sertifikat root.
Klik kanan sertifikat root yang baru ditambahkan, lalu klik Get Info.
Pada halaman informasi sertifikat, pilih Always Trust dan klik ikon
.
Linux
Jalur dan perintah spesifik untuk menginstal sertifikat root pada sistem Linux bervariasi tergantung distribusinya. Bagian berikut memberikan contoh untuk CentOS/Red Hat dan Ubuntu/Debian.
CentOS/Red Hat
Instal paket sertifikat CA sistem.
sudo yum install ca-certificatesImpor sertifikat root. Unggah file sertifikat root ke direktori sertifikat sistem.
Jalur:
/etc/pki/ca-trust/source/anchors/Perbarui trust store sertifikat.
sudo update-ca-trust extractSistem akan membuat ulang bundle kepercayaan di
/etc/pki/tls/certs/ca-bundle.crt.Verifikasi sertifikat. Gunakan OpenSSL untuk menguji koneksi HTTPS.
openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crtCatatanPoin verifikasi:
Output harus berisi informasi rantai sertifikat Anda.
Jika koneksi berhasil dan diakhiri dengan
Verify return code: 0 (ok), sertifikat tersebut dipercaya.
Ubuntu/Debian
Instal paket sertifikat CA sistem.
sudo apt install ca-certificatesImpor sertifikat root. Unggah file sertifikat root ke direktori sertifikat sistem.
Jalur:
/usr/local/share/ca-certificates/Perbarui trust store sertifikat.
sudo update-ca-certificatesSistem secara otomatis menggabungkan sertifikat baru ke dalam file sertifikat root sistem
/etc/ssl/certs/ca-certificates.crt.Verifikasi sertifikat.
Gunakan OpenSSL untuk verifikasi:
# Gunakan perintah berikut untuk memeriksa apakah file sertifikat ada dalam trust store. Ganti your-certificate.crt dengan nama file sertifikat root Anda. openssl verify /usr/local/share/ca-certificates/your-certificate.crtJika output-nya
/usr/local/share/ca-certificates/your-certificate.crt: OK, verifikasi berhasil.Periksa tautan simbolik:
# Periksa apakah file tautan simbolik .pem yang sesuai dihasilkan di direktori. Ganti your-certificate dengan nama file sertifikat root Anda. ls -la /etc/ssl/certs | grep your-certificate
Instal sertifikat root di browser
Untuk browser yang menggunakan trust store sistem (seperti Chrome, Edge, dan IE di Windows), kami menyarankan mengimpor sertifikat root ke dalam sistem operasi daripada ke browser tunggal. Langkah-langkah dalam bagian ini hanya berlaku untuk skenario di mana Anda perlu mengonfigurasi sertifikat root untuk browser tertentu.
Google Chrome
Bagian ini menggunakan Windows 10 dan Chrome 138.0.7204.102 (64-bit) sebagai contoh.
Impor sertifikat root di browser Chrome.
Buka browser Chrome, klik ikon
di pojok kanan atas, lalu pilih Settings.Pada halaman Settings, di panel navigasi kiri, klik Privacy and security.
Pada halaman yang muncul, klik .
Pada jendela Certificate Manager, klik tab Trusted Root Certification Authorities.
Klik tombol Import di pojok kiri bawah. Ikuti petunjuk untuk memilih dan mengimpor file sertifikat root. Pesan Import Successful akan ditampilkan setelah selesai.
Verifikasi impor.
Pastikan sertifikat root target berhasil diimpor ke jalur yang dipilih.
Mulai ulang browser Chrome.
Akses website target dan pastikan peringatan keamanan, seperti prompt "untrusted certificate", tidak muncul lagi.
Microsoft Edge
Bagian ini menggunakan Windows 10 dan Microsoft Edge 92.0.902.67 (64-bit) sebagai contoh.
Impor sertifikat root di browser Edge.
Buka browser Edge, klik ikon
di pojok kanan atas, lalu pilih Settings.Pada halaman Settings, klik tab Privacy, search, and services.
Gulir ke bawah hingga bagian Security, lalu klik Manage certificates. Kotak dialog Windows Certificate Manager akan terbuka.
Pada jendela Certificate Manager, klik tab Trusted Root Certification Authorities.
Klik tombol Import di pojok kiri bawah. Ikuti petunjuk untuk mengimpor file sertifikat root. Pesan Import Successful akan ditampilkan setelah selesai.
Verifikasi impor.
Pastikan sertifikat root target berhasil diimpor ke jalur yang dipilih.
Mulai ulang browser Edge.
Akses website target dan pastikan peringatan keamanan, seperti prompt "untrusted certificate", tidak muncul lagi.
Mozilla Firefox
Bagian ini menggunakan Windows 10 dan Firefox 142.0.1 (64-bit) sebagai contoh.
Impor sertifikat root di browser Firefox.
Buka browser Firefox, klik ikon
di pojok kanan atas, lalu pilih Settings.Pada halaman Settings, klik tab Privacy & Security.
Gulir ke bawah hingga bagian Certificates, lalu klik View Certificates. Kotak dialog Certificate Manager akan terbuka.
Pada jendela Certificate Manager, klik tab Authorities lalu klik tombol Import.
Ikuti petunjuk untuk memilih file sertifikat root dan menyelesaikan impor.
Verifikasi impor.
Pada tab Authorities, periksa kolom Certificate Name untuk memverifikasi bahwa sertifikat root berhasil diimpor.
Mulai ulang browser Firefox.
Akses website target dan pastikan peringatan keamanan, seperti prompt "untrusted certificate", tidak muncul lagi.
Internet Explorer
Bagian ini menggunakan Windows 10 dan Internet Explorer 11.1.20348.0 sebagai contoh.
Impor sertifikat root di Internet Explorer.
Buka Internet Explorer, klik ikon
di pojok kanan atas, lalu pilih Internet Options.Pada jendela Internet Options, klik tab Content.
Klik tombol Certificates untuk membuka jendela Certificates.
Pada jendela Certificates, klik tab Trusted Root Certification Authorities.
Klik tombol Import di pojok kiri bawah. Ikuti petunjuk untuk mengimpor file sertifikat root.
Verifikasi impor.
Pastikan sertifikat root target berhasil diimpor ke jalur yang dipilih.
Mulai ulang Internet Explorer.
Akses website target dan pastikan peringatan keamanan, seperti prompt "untrusted certificate", tidak muncul lagi.
Biaya dan risiko
Risiko keamanan
Sumber tidak tepercaya: Dapatkan sertifikat root hanya dari saluran resmi atau otoritatif. Menginstal sertifikat root dari sumber tidak dikenal dapat menyebabkan injeksi malware atau serangan man-in-the-middle, yang dapat sangat membahayakan keamanan sistem.
Kesalahan operasional: Mengimpor sertifikat ke lokasi penyimpanan yang salah atau mengimpor file sertifikat dengan format tidak sesuai dapat mengganggu rantai kepercayaan sistem atau menyebabkan kegagalan koneksi aplikasi.
Biaya kompatibilitas dan maintenance
Batasan versi sistem/aplikasi: Beberapa sistem operasi atau aplikasi lawas mungkin tidak mendukung algoritma atau standar sertifikat root baru dan mungkin memerlukan peningkatan untuk memastikan kompatibilitas.
Kedaluwarsa atau perubahan sertifikat root: Sertifikat root memiliki tanggal kedaluwarsa. Saat sertifikat root hampir kedaluwarsa atau otoritas sertifikasi (CA) mengeluarkan yang baru, Anda harus memperbarui sertifikat root pada semua client terkait untuk mempertahankan rantai kepercayaan yang valid.
Biaya deployment massal
Menginstal sertifikat root secara manual pada banyak perangkat heterogen tidak efisien dan rentan kesalahan. Untuk deployment massal dan maintenance terpadu, Anda dapat mengembangkan skrip otomatis atau menggunakan alat konfigurasi atau manajemen perangkat.
FAQ
Apakah saya perlu menerapkan ulang sertifikat root setelah sertifikat SSL saya kedaluwarsa?
Tidak perlu penggantian:
Untuk sertifikat root dari otoritas sertifikasi (CA) tepercaya yang telah dipra-instal di browser dan sistem operasi utama, sistem operasi atau browser secara otomatis menangani pembaruan. Anda tidak perlu menerapkan ulang sertifikat root secara manual pada client tersebut.
Perlu penggantian:
Untuk client yang tidak memiliki sertifikat root pra-instal, seperti aplikasi seluler dengan trust store bawaan, client Java mandiri, browser lawas, atau perangkat IoT, Anda mungkin perlu menerapkan ulang sertifikat root dalam situasi berikut:
Anda mengubah merek atau jenis sertifikat (DV/OV/EV) saat membeli sertifikat SSL baru.
Sertifikat root asli kedaluwarsa, atau CA mengumumkan peralihan ke sertifikat root baru.
Dalam skenario ini, Anda harus mengunduh sertifikat root yang sesuai dengan rantai sertifikat server dan menginstalnya secara manual pada client yang terpengaruh seperti yang dijelaskan dalam topik ini.
Bagaimana cara menginstal sertifikat perantara?
Proses mengimpor sertifikat perantara mirip dengan mengimpor sertifikat root. Anda dapat mengikuti langkah-langkah pada bagian "Instal sertifikat root" dalam topik ini. Pada sistem atau browser target, pilih penyimpanan sertifikat yang sesuai, biasanya "Intermediate Certification Authorities" atau "Authorities", lalu impor file sertifikat perantara yang sesuai.
Client Java gagal mengakses HTTPS
Jika client Java gagal mengakses layanan HTTPS, penyebabnya sering kali karena sertifikat root atau perantara tidak tersedia di trust store Java Runtime Environment (JRE). Untuk informasi lebih lanjut, lihat Client Java gagal mengakses HTTPS.
Sistem operasi apa saja yang didukung oleh sertifikat DigiCert dan GeoTrust?
Merek sertifikat | Sertifikat root | Windows | macOS X | Android | Java |
Sertifikat DigiCert DV | Sertifikat root baru (DigiCert Global Root G2) | Windows 8 dan yang lebih baru | OS X 10.7 dan yang lebih baru | Android 4.4.2 dan yang lebih baru | Java 1.8 dan yang lebih baru |
Sertifikat root lama (DigiCert Global Root CA) | Windows 7 dan yang lebih baru | OS X 10.5 dan yang lebih baru | Android 2.3.3 dan yang lebih baru | Java 1.6.05 dan yang lebih baru | |
Sertifikat Rapid DV | Sertifikat root baru (DigiCert Global Root G2) | Windows 8 dan yang lebih baru | OS X 10.7 dan yang lebih baru | Android 4.4.2 dan yang lebih baru | Java 1.8 dan yang lebih baru |
Sertifikat GeoTrust OV dan EV | Sertifikat root lama (DigiCert Global Root CA) | Windows 7 dan yang lebih baru | OS X 10.5 dan yang lebih baru | Android 2.3.3 dan yang lebih baru | Java 1.6.05 dan yang lebih baru |
Mulai pertengahan Maret 2023, sertifikat SSL dari merek DigiCert dan GeoTrust akan dikeluarkan melalui sertifikat root baru, DigiCert Global Root G2. Untuk informasi lebih lanjut, lihat Pengumuman: Peningkatan Sertifikat Root DigiCert.
Karena fragmentasi Android, beberapa versi Android antara 4.4 dan 5.0 memiliki masalah kompatibilitas. Masalah ini biasanya memengaruhi model perangkat lama.
Beberapa versi Java mungkin tidak menyertakan sertifikat root. Anda dapat memeriksa lingkungan spesifik Anda untuk memastikan.