Unduh dan instal sertifikat root - Certificate Management Service

Sertifikat root merupakan fondasi rantai kepercayaan SSL/TLS dan memverifikasi semua sertifikat turunan—termasuk sertifikat perantara dan Sertifikat server—yang dikeluarkan oleh otoritas sertifikasi (CA). Browser dan sistem operasi utama biasanya telah menyertakan sertifikat root pra-instal dari CA tepercaya. Namun, pada lingkungan seperti aplikasi seluler, klien Java, Sistem warisan, atau perangkat Internet of Things (IoT), ketiadaan sertifikat root dapat menyebabkan kegagalan koneksi HTTPS atau peringatan insecure. Panduan ini menyediakan tautan unduhan dan langkah-langkah instalasi sertifikat root dari berbagai merek untuk membantu Anda membangun kepercayaan pada klien tersebut, sehingga menjamin keamanan dan ketersediaan komunikasi SSL/TLS.

Catatan penggunaan

Topik ini berlaku untuk lingkungan klien yang memerlukan instalasi manual sertifikat root:

Aplikasi seluler: Aplikasi dengan trust store kustom yang tidak disinkronkan dengan daftar sertifikat root sistem atau browser.
Klien Java: Aplikasi yang menggunakan Java KeyStore independen (cacerts) dan tidak mengandalkan trust store sistem operasi.
Sistem operasi atau browser lawas: Sistem lama, seperti Windows XP atau Android 4.x, yang tidak memiliki sertifikat root pra-instal dari CA terbaru.
Perangkat Internet of Things (IoT) dan sistem tertanam: Perangkat dengan sumber daya terbatas yang biasanya hanya menyertakan kumpulan sertifikat root terbatas.
Lingkungan jaringan internal: Sistem yang menggunakan CA privat yang sertifikat root-nya tidak termasuk dalam trust store publik.
Kebijakan kepatuhan atau keamanan tertentu: Lingkungan yang memerlukan kendali eksplisit atas daftar CA tepercaya.

Penting

Untuk browser modern (Chrome, Firefox, Safari, Edge) dan sistem operasi (Windows 10/11, macOS, Android 8+, iOS 12+), instalasi manual umumnya tidak diperlukan bila menggunakan sertifikat dari CA utama seperti DigiCert atau GlobalSign. Sertifikat root telah dipra-instal, dan sistem memperbaruinya secara otomatis.

Unduh sertifikat root

Catatan

Jika Anda menginstal sertifikat root dari CA enterprise internal, lewati langkah ini dan lanjutkan langsung ke Instal sertifikat root.

Tautan unduhan sertifikat root berdasarkan merek

Unduh sertifikat root yang sesuai berdasarkan merek sertifikat SSL (misalnya, DigiCert atau GeoTrust) dan jenis sertifikat (DV/OV/EV) yang digunakan pada server Anda. Sebagai contoh, jika server Anda menggunakan sertifikat SSL DigiCert OV, unduh sertifikat root DigiCert OV yang sesuai.

Merek sertifikat	Unduh sertifikat root
DigiCert	Catatan Mulai 1 Desember 2024, DigiCert akan mulai menerbitkan sertifikat SSL dari rantai sertifikat root dan perantara baru. Untuk informasi lebih lanjut, lihat Pengumuman Penggantian Sertifikat Root DigiCert. DigiCert_DV_OV_ROOT Digicert_Global_Root_G2_DV_OV (Baru - Cross-root) DigiCert_Global_Root_G2_DV_OV (Lama - Transisi) DigiCert_DV_OV_ROOT (Lama) DigiCert_EV_ROOT
GlobalSign	GlobalSign_DV_OV_ROOT GlobalSign R1-R3 Cross-root
Alibaba Cloud	Catatan Mulai September 18, 2025, Alibaba Cloud akan mulai menerbitkan sertifikat SSL bermereknya menggunakan sertifikat root dan perantara baru. Untuk informasi lebih lanjut, lihat [Pengumuman] Pengumuman Pembaruan Root Sertifikat Bermerek Alibaba Cloud. TLS Root R46 Root Certificate GlobalSign Cross Certificate R3-R46 Alibaba Cloud GCC R46 AlphaSSL CA 2025

Kompatibilitas sertifikat root DigiCert

Sistem operasi atau browser	DigiCert Global Root CA (lama)	DigiCert Global Root G2 (lama - transisi)	DigiCert Global Root G2 (baru - cross-root)
Fingerprint	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436	df3c24f9bfd666761b268073fe06d1cc8d4f82a4	8bf7f178a745a11bac6ae5b586fc1838eadcb2cf
Windows (Internet)	Windows XP SP3+
Windows (Jaringan internal)	Windows 7+	Windows 8+	Windows 7+
macOS	Mac OS X 10.6+	Mac OS X 10.10+	Mac OS X 10.6+
iOS	iOS 4.0+	iOS 7.0+	iOS 4.0+
Firefox	Firefox 2+	Firefox 32+	Firefox 2+
NSS	NSS 3.11.8	NSS 3.16.3	NSS 3.11.8
Android	Android 1.1+	Android 5.0+	Android 1.1+
Chrome	Mulai Chrome 108, Chrome menggunakan trust store-nya sendiri. Versi sebelumnya mengandalkan trust store sistem operasi.
Java	JRE 1.4.2_17+	JRE 1.8.0_131+	JRE 1.4.2_17+

Instal sertifikat root

Instal sertifikat root pada sistem operasi

Windows

Langkah-langkah berikut menggunakan Windows 10 sebagai contoh.

Buka Microsoft Management Console (MMC).
Tekan Win+R untuk membuka kotak dialog Run. Masukkan mmc dan klik OK untuk membuka konsol MMC.
Tambahkan snap-in Certificates ke konsol MMC.
1. Pada bilah menu di bagian atas konsol, pilih File > Add/Remove Snap-in.
2. Pada kotak dialog Add or Remove Snap-ins, pilih Certificates dari daftar Available snap-ins di sebelah kiri, lalu klik Add.
3. Pada kotak dialog Certificates snap-in, pilih Computer account, lalu klik Next.
4. Pada kotak dialog Select Computer, pilih Local computer (the computer this console is running on), lalu klik Finish.
Impor sertifikat root.
1. Pada panel navigasi kiri konsol MMC, perluas Certificates (Local Computer).
2. Pilih folder tujuan, misalnya Enterprise Trust. Klik kanan folder tersebut dan pilih All Tasks > Import.
  Catatan
  - Personal: Menyimpan sertifikat untuk pengguna atau komputer saat ini.
  - Trusted Root Certification Authorities: Berisi sertifikat root dari CA yang dipercaya sistem operasi secara default.
  - Intermediate Certification Authorities: Menyimpan sertifikat perantara yang menghubungkan Sertifikat server ke root tepercaya.
  - Enterprise Trust: Menyimpan sertifikat dari CA enterprise internal, yang hanya dipercaya dalam jaringan organisasi.
3. Ikuti petunjuk di layar untuk menyelesaikan impor sertifikat.

macOS

Langkah-langkah berikut menggunakan macOS 12.5.1 sebagai contoh.

Buka Launchpad macOS.
Pada kotak pencarian Launchpad, masukkan Keychain Access, lalu klik Keychain Access.
Pada halaman Keychain Access, klik tab Certificates.
Seret file sertifikat root yang telah diunduh ke area kosong pada tab Certificates di Keychain Access. macOS akan secara otomatis memverifikasi sertifikat root tersebut.
Catatan
Untuk mengunduh sertifikat root, lihat Unduh sertifikat root.
Klik kanan sertifikat root yang baru ditambahkan, lalu klik Get Info.
Pada halaman informasi sertifikat, pilih Always Trust dan klik ikon .

Linux

Jalur dan perintah spesifik untuk menginstal sertifikat root pada sistem Linux bervariasi tergantung distribusinya. Bagian berikut memberikan contoh untuk CentOS/Red Hat dan Ubuntu/Debian.

CentOS/Red Hat

Instal paket sertifikat CA sistem.
```
sudo yum install ca-certificates   
```
Salin file sertifikat root ke direktori sumber kepercayaan sistem.
Jalur: /etc/pki/ca-trust/source/anchors/
Perbarui trust store sertifikat.
```
sudo update-ca-trust extract
```
Sistem akan membuat ulang bundle kepercayaan di /etc/pki/tls/certs/ca-bundle.crt.
Verifikasi sertifikat. Gunakan OpenSSL untuk menguji koneksi HTTPS ke domain Anda.
```
openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt
```
Catatan
Poin verifikasi:
- Output harus berisi informasi rantai sertifikat Anda.
- Jika koneksi berhasil dan diakhiri dengan Verify return code: 0 (ok), sertifikat tersebut dipercaya.

Ubuntu/Debian

Instal paket sertifikat CA sistem.
```
sudo apt install ca-certificates
```
Salin file sertifikat root ke direktori sertifikat sistem.
Jalur: /usr/local/share/ca-certificates/
Perbarui trust store sertifikat.
```
sudo update-ca-certificates
```
Sistem secara otomatis menggabungkan sertifikat baru ke dalam file sertifikat root sistem /etc/ssl/certs/ca-certificates.crt.

Verifikasi sertifikat.

Gunakan OpenSSL untuk memverifikasi file sertifikat itu sendiri:

# Gunakan perintah berikut untuk memeriksa apakah file sertifikat ada dalam trust store. Ganti your-certificate.crt dengan nama file sertifikat root Anda.
openssl verify /usr/local/share/ca-certificates/your-certificate.crt

Jika output-nya /usr/local/share/ca-certificates/your-certificate.crt: OK, verifikasi berhasil.

Periksa tautan simbolik:

# Periksa apakah file tautan simbolik .pem yang sesuai dihasilkan di direktori. Ganti your-certificate dengan nama file sertifikat root Anda.
ls -la /etc/ssl/certs | grep your-certificate

Instal sertifikat root di browser

Catatan

Untuk browser yang menggunakan trust store sistem (seperti Chrome, Edge, dan IE di Windows), kami menyarankan mengimpor sertifikat root ke dalam sistem operasi, bukan ke browser tertentu. Langkah-langkah dalam bagian ini berlaku untuk skenario di mana Anda perlu mengonfigurasi sertifikat root hanya untuk browser tertentu.

Google Chrome

Catatan

Bagian ini menggunakan Windows 10 dan Chrome 138.0.7204.102 (64-bit) sebagai contoh.

Impor sertifikat root ke browser Chrome.
1. Buka browser Chrome, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Pada panel navigasi kiri halaman Settings, klik Privacy and security.
3. Pada halaman yang muncul, klik Security > Manage certificates > Manage certificates imported from Windows.
4. Pada jendela Certificate Manager, alihkan ke tab Trusted Root Certification Authorities.
5. Klik tombol Import di pojok kiri bawah. Ikuti petunjuk untuk memilih dan mengimpor file sertifikat root. Setelah impor berhasil, pesan Import Successful akan ditampilkan.
Verifikasi impor.
1. Periksa apakah sertifikat root target berhasil diimpor ke jalur yang dipilih.
2. Mulai ulang browser Chrome.
3. Akses website target dan pastikan peringatan keamanan, seperti prompt untrusted certificate, tidak lagi muncul.

Microsoft Edge

Catatan

Bagian ini menggunakan Windows 10 dan Microsoft Edge 92.0.902.67 (64-bit) sebagai contoh.

Impor sertifikat root di browser Edge.
1. Buka browser Edge, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Pada halaman Settings, pilih tab Privacy, search, and services.
3. Gulir ke bawah hingga bagian Security, lalu klik Manage certificates. Kotak dialog Windows Certificate Manager akan terbuka.
4. Pada jendela Certificates, alihkan ke tab Trusted Root Certification Authorities.
5. Di pojok kiri bawah, klik tombol Import. Ikuti petunjuk untuk mengimpor file sertifikat root. Pesan Import Successful akan ditampilkan setelah selesai.
Verifikasi impor.
1. Pastikan sertifikat root target berhasil diimpor ke jalur yang dipilih.
2. Mulai ulang browser Edge.
3. Akses website target dan pastikan peringatan keamanan, seperti prompt untrusted certificate, tidak lagi muncul.

Mozilla Firefox

Catatan

Bagian ini menggunakan Windows 10 dan Firefox 142.0.1 (64-bit) sebagai contoh.

Impor sertifikat root di browser Firefox.
1. Buka browser Firefox, klik ikon di pojok kanan atas, lalu pilih Settings.
2. Pada halaman Settings, klik tab Privacy & Security.
3. Gulir ke bawah hingga bagian Certificates, lalu klik View Certificates. Kotak dialog Certificate Manager akan terbuka.
4. Pada Certificate Manager, klik tab Authorities, lalu klik tombol Import.
5. Ikuti petunjuk untuk memilih file sertifikat root dan menyelesaikan impor.
Verifikasi impor.
1. Pada tab Authorities, periksa kolom Certificate Name untuk memastikan sertifikat root yang dipilih berhasil diimpor.
2. Mulai ulang browser Firefox.
3. Akses website target dan pastikan peringatan keamanan, seperti prompt untrusted certificate, tidak lagi muncul.

Internet Explorer

Catatan

Bagian ini menggunakan Windows 10 dan Internet Explorer 11.1.20348.0 sebagai contoh.

Impor sertifikat root di browser IE.
1. Buka Internet Explorer, klik ikon di pojok kanan atas, lalu pilih Internet Options.
2. Pada jendela Internet Options, klik tab Content.
3. Klik tombol Certificates untuk membuka antarmuka Certificate Management.
4. Pada jendela Certificates, pilih tab Trusted Root Certification Authorities.
5. Klik tombol Import di pojok kiri bawah dan ikuti petunjuk untuk mengimpor file sertifikat root.
Verifikasi impor.
1. Periksa apakah sertifikat root target berhasil diimpor ke jalur yang dipilih.
2. Mulai ulang browser IE.
3. Akses website target dan pastikan peringatan keamanan, seperti prompt untrusted certificate, tidak lagi muncul.

Penilaian risiko

Risiko keamanan
- Sumber tidak tepercaya: Dapatkan sertifikat root hanya dari saluran resmi atau otoritatif. Menginstal sertifikat root dari sumber tidak dikenal dapat menyebabkan injeksi malware atau serangan Man-in-the-Middle (MITM), yang sangat membahayakan keamanan sistem.
- Kesalahan operasional: Mengimpor sertifikat ke lokasi penyimpanan yang salah atau mengimpor file sertifikat dengan format tidak sesuai dapat mengganggu rantai kepercayaan sistem atau menyebabkan kegagalan koneksi aplikasi.
Biaya kompatibilitas dan pemeliharaan
- Batasan versi sistem/aplikasi: Beberapa sistem operasi atau aplikasi lawas mungkin tidak mendukung algoritma atau standar sertifikat root baru, atau mungkin memerlukan peningkatan agar kompatibel.
- Kedaluwarsa atau perubahan sertifikat root: Sertifikat root memiliki masa berlaku. Saat sertifikat root akan kedaluwarsa atau CA beralih ke sertifikat root baru, Anda harus memperbarui sertifikat root pada semua klien terkait untuk mempertahankan rantai kepercayaan yang valid.
Biaya penerapan massal
- Menginstal sertifikat root secara manual pada banyak perangkat heterogen bersifat tidak efisien dan rentan kesalahan. Kami menyarankan menggunakan skrip otomatis atau alat manajemen konfigurasi/perangkat untuk penerapan massal dan pemeliharaan terpusat.

FAQ

Apakah saya perlu menerapkan ulang sertifikat root setelah sertifikat SSL saya kedaluwarsa?

Umumnya, tidak.
Memperpanjang sertifikat SSL server Anda tidak memengaruhi sertifikat root pada klien. Untuk sertifikat root dari CA tepercaya yang telah dipra-instal di browser dan sistem operasi utama, sistem operasi atau browser menangani pembaruan secara otomatis melalui mekanisme pembaruannya. Anda tidak perlu menerapkannya ulang secara manual.
Penerapan ulang mungkin diperlukan dalam beberapa kasus.
Untuk klien yang memerlukan instalasi manual (seperti aplikasi seluler dengan trust store kustom, klien Java mandiri, atau perangkat IoT), Anda mungkin perlu menerapkan ulang sertifikat root dalam situasi berikut:
- Anda mengubah merek atau jenis sertifikat (misalnya, dari DV ke OV) saat memperpanjang sertifikat SSL Anda, dan sertifikat baru tersebut merujuk ke root yang berbeda.
- Sertifikat root asli telah kedaluwarsa, atau CA mengumumkan peralihan ke sertifikat root baru.
Dalam skenario ini, Anda harus mengunduh sertifikat root baru yang sesuai dengan rantai sertifikat server Anda dan menginstalnya secara manual pada klien yang terpengaruh.

Bagaimana cara menginstal sertifikat perantara?

Proses mengimpor sertifikat perantara mirip dengan mengimpor sertifikat root. Ikuti langkah-langkah pada bagian Instal sertifikat root dokumen ini, tetapi pilih penyimpanan sertifikat yang sesuai untuk sertifikat perantara. Di Windows, biasanya menggunakan penyimpanan Intermediate Certification Authorities. Di Firefox, impor ke tab Authorities.

Mengapa klien Java saya mendapat error koneksi HTTPS?

Jika klien Java tidak dapat mengakses layanan HTTPS, penyebabnya sering kali karena sertifikat root atau perantara tidak tersedia di trust store JRE (cacerts). Untuk troubleshooting dan penyelesaian, lihat Klien Java gagal mengakses HTTPS.