下載和安裝根憑證 - Certificate Management Service

根憑證（Root Certificate）是由受信任的憑證授權單位（CA）自簽名的數位憑證，位於 SSL/TLS 信任鏈結的頂端，作為驗證其簽發的所有下級認證（包括中間認證和伺服器憑證）合法性的信任錨點。主流瀏覽器和作業系統通常預置了受信任 CA 的根憑證，可自動驗證 HTTPS 串連的安全性。但在行動裝置 App、Java 用戶端、舊版系統或瀏覽器、物聯網（IoT）裝置等環境中，若缺少相應根憑證，可能導致串連失敗或“不安全”警告。本文提供主流品牌根憑證的下載連結及在各類用戶端中的安裝方法，協助建立完整信任鏈結，確保 SSL/TLS 通訊正常與安全。

適用範圍

本文主要面向以下需要手動安裝根憑證的用戶端環境：

行動裝置 App（Mobile Apps）：內建了自訂信任庫，未同步系統或瀏覽器的根憑證列表。
Java 用戶端：使用獨立的 Java 密鑰庫（cacerts），不依賴作業系統信任庫。
舊版作業系統或瀏覽器：未預置較新 CA 的根憑證（例如 Windows XP、Android 4.x 等）。
物聯網（IoT）裝置與嵌入式系統：資源受限，通常只包含有限的根憑證集。
企業內網環境：使用私人 CA，其根憑證未被公用信任庫收錄。
特定合規或安全性原則要求：需顯式控制信任的 CA 列表。

重要

對於主流現代瀏覽器（Chrome、Firefox、Safari、Edge）及作業系統（Windows 10/11、macOS、Android 8 及以上版本、iOS 12 及以上版本），若使用 DigiCert、GlobalSign 等國際主流憑證授權單位（CA）簽發的認證，通常無需手動操作（其根憑證已預置於系統中，並由作業系統自動維護更新）。
對於較舊的作業系統版本（例如 Android 4.4.2），建議手動安裝相應的交叉根憑證以確保信任鏈結完整。

下載根憑證

說明

若需安裝的根憑證為企業內容CA簽發，則可跳過本步驟，直接進入安裝根憑證步驟。

各品牌根憑證下載地址

請根據伺服器端實際使用的 SSL 憑證品牌（例如 DigiCert、GeoTrust）以及認證類型（DV/OV/EV），下載對應的根憑證。例如，伺服器端部署的是 DigiCert 品牌 OV 型 SSL 憑證，則需下載 DigiCert OV 對應的根憑證。

認證品牌	根憑證下載
DigiCert	說明自2024年12月01日起，您申請的DigiCert品牌的SSL認證將陸續使用新的根憑證和新的中間認證進行簽發。詳情資訊，請參見關於DigiCert根替換公告。 DigiCert_DV_OV_ROOT Digicert_Global_Root_G2_DV_OV（新-交叉根） DigiCert_Global_Root_G2_DV_OV（舊-過渡） DigiCert_DV_OV_ROOT（舊） DigiCert_EV_ROOT
GlobalSign	GlobalSign_DV_OV_ROOT GlobalSign R1-R3交叉根
Alibaba Cloud	說明自2025年9月18日起新簽發的Alibaba Cloud品牌的SSL認證將陸續使用全新的根憑證和中間認證簽發新認證。詳情資訊，請參見【公告】Alibaba品牌認證根更新公告。 TLS Root R46 Root Certificate GlobalSign Cross Certificate R3-R46 Alibaba Cloud GCC R46 AlphaSSL CA 2025

DigiCert根憑證相容性說明

作業系統或瀏覽器	DigiCert Global Root CA（舊）	DigiCert Global Root G2（舊-過渡）	DigiCert Global Root G2（新-交叉根）
指紋	a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436	df3c24f9bfd666761b268073fe06d1cc8d4f82a4	8bf7f178a745a11bac6ae5b586fc1838eadcb2cf
Windows（公網）	Windows XP SP3+
Windows（內網）	Windows 7+	Windows 8+	Windows 7+
macOS	Mac OS X 10.6+	Mac OS X 10.10+	Mac OS X 10.6+
iOS	iOS 4.0+	iOS 7.0+	iOS 4.0+
Firefox	Firefox 2+	Firefox 32+	Firefox 2+
NSS	NSS 3.11.8	NSS 3.16.3	NSS 3.11.8
Android	Android 1.1+	Android 5.0+	Android 1.1+
Chrome	自 Chrome 108 起啟用自主信任庫，之前版本基於作業系統信任。
Java	JRE 1.4.2_17+	JRE 1.8.0_131+	JRE 1.4.2_17+

安裝根憑證

在作業系統中安裝根憑證

Windows

以下步驟以 Windows 10 為例。

開啟Microsoft管理主控台 (MMC)。
按 Win+R，開啟“運行”對話方塊。輸入：mmc，單擊“確定”，開啟 MMC 控制台。
在 MMC 控制台中添加“認證”嵌入式管理單元。
1. 在控制台的頂部功能表列，選擇檔案 > 添加/刪除嵌入式管理單元。
2. 在添加或刪除嵌入式管理單元對話方塊，從左側可用的嵌入式管理單元列表中選擇認證，單擊添加。
3. 在憑證嵌入式管理單元對話方塊，選擇電腦賬戶，單擊下一步。
4. 在選擇電腦對話方塊，選擇本機電腦（運行此控制台的電腦），單擊完成。
匯入根憑證。
1. 在MMC控制台左側導覽列，展開認證（本機電腦）。
2. 選擇目標目錄（例如企業信任），按右鍵滑鼠，選擇所有任務 > 匯入。
  說明
  - 個人：主要用於存放個人或電腦擁有的認證。
  - 可信任的根憑證授權單位：包含了作業系統信任的權威憑證授權單位（CA）的根憑證列表。
  - 中繼憑證授權單位：存放的是從根授權到最終實體認證之間的中間認證。
  - 企業信任：用於存放企業內部CA簽發的認證，這些認證雖然不是權威憑證授權單位（CA）簽發，但在企業內網環境中被認為是可信的。
3. 根據頁面引導，完成認證匯入。

macOS

以下步驟以 macOS 12.5.1 為例。

進入macOS系統啟動台。
在啟動台的搜尋方塊，輸入鑰匙串訪問，單擊鑰匙串訪問。
在鑰匙串訪問頁面，單擊認證頁簽。
將下載的根憑證，拖放至鑰匙串認證頁簽空白地區，macOS會自動檢測根憑證是否有效。
說明
如何下載根憑證，請參見下載根憑證。
按右鍵目標根憑證，並單擊顯示簡介。
在認證簡介頁面，按照下圖指引，選擇始終信任，單擊表徵圖。

Linux

在 Linux 系統中安裝根憑證的具體路徑和命令因發行版不同而有所差異。以下分別以 CentOS/Red Hat 和 Ubuntu/Debian 為例。

CentOS/Red Hat

安裝系統 CA 憑證包。
```
sudo yum install ca-certificates   
```
匯入根憑證。將根憑證檔案上傳到系統認證目錄。
路徑：/etc/pki/ca-trust/source/anchors/
更新認證信任儲存。
```
sudo update-ca-trust extract
```
系統會重建 /etc/pki/tls/certs/ca-bundle.crt。
驗證認證是否生效。使用 OpenSSL 測試 HTTPS 串連。
```
openssl s_client -connect example.com:443 -CAfile /etc/pki/tls/certs/ca-bundle.crt
```
說明
驗證點：
- 輸出中應包含您的憑證鏈結資訊。
- 如果串連成功且無認證錯誤（如 Verify return code: 0 (ok)），說明認證已生效。

Ubuntu/Debian

安裝系統 CA 憑證包。
```
sudo apt install ca-certificates
```
匯入根憑證。將根憑證檔案上傳到系統認證目錄。
路徑：/usr/local/share/ca-certificates/
更新認證信任儲存。
```
sudo update-ca-certificates
```
系統會自動將新認證合并到系統根憑證檔案/etc/ssl/certs/ca-certificates.crt中。

驗證認證是否生效。

使用 openssl 驗證：

#使用以下命令檢查認證檔案是否在信任庫中。將 your-certificate.crt 替換為您的根憑證檔案名稱。
openssl verify /usr/local/share/ca-certificates/your-certificate.crt

如果輸出是 /usr/local/share/ca-certificates/your-certificate.crt: OK，則表示驗證成功。

檢查符號連結：

#查看目錄下是否產生了對應的 .pem 符號連結檔案，將 your-certificate替換為您的根憑證檔案名稱。
ls -la /etc/ssl/certs | grep your-certificate

在瀏覽器中安裝根憑證

說明

對於基於系統信任庫的瀏覽器（例如 Windows 下的 Chrome、Edge、IE），通常推薦直接在系統中匯入根憑證，而不是僅在單個瀏覽器中匯入。本節步驟用於需要在瀏覽器內部單獨配置根憑證的情境。

Google Chrome

說明

本文以Windows 10 系統、Chrome 138.0.7204.102（64 位元）版本為例進行介紹。

匯入根憑證到 Chrome 瀏覽器。
1. 開啟Chrome瀏覽器，單擊右上方表徵圖，選擇設定。
2. 在設定頁面左側導覽列中，單擊隱私和安全。
3. 在右側頁面中，單擊安全 > 管理憑證 > 管理從 Windows 匯入的認證。
4. 在開啟的Cert Manager視窗中，切換到可信任的根憑證授權單位選項卡。
5. 單擊左下方的匯入按鈕。按提示選擇並匯入根憑證檔案，匯入成功後，系統將彈出匯入成功提示框。
驗證匯入結果。
1. 根據所選擇的匯入路徑，查看目標根憑證是否匯入成功。
2. 重啟Chrome瀏覽器。
3. 訪問目標網站，檢查是否不再出現安全警告（如“不受信任的認證”提示）。

Microsoft Edge

說明

本文以Windows 10 系統、Microsoft Edge 92.0.902.67（64 位元）版本為例進行介紹。

在Edge瀏覽器中匯入根憑證。
1. 開啟Edge 瀏覽器，單擊右上方表徵圖，選擇設定。
2. 在設定頁面，進入隱私、搜尋和服務選項卡。
3. 下拉頁面找到安全性欄目，單擊管理憑證，彈出WindowsCert Manager對話方塊。
4. 在開啟的Cert Manager視窗中，切換到可信任的根憑證授權單位選項卡。
5. 單擊左下方的匯入按鈕。按提示選擇並匯入根憑證檔案，匯入成功後，系統將彈出匯入成功提示框。
驗證匯入結果。
1. 通過所選定的匯入路徑確認目標根憑證是否已成功匯入。
2. 重啟Edge瀏覽器。
3. 訪問目標網站，檢查是否不再出現安全警告（如“不受信任的認證”提示）。

Mozilla Firefox

說明

本文以Windows 10 系統、Firefox 142.0.1（64 位元）版本為例進行介紹。

在 Firefox 瀏覽器中匯入根憑證。
1. 開啟 Firefox 瀏覽器，單擊右上方表徵圖，選擇設定。
2. 在設定頁面，進入隱私與安全選項卡。
3. 下拉頁面找到認證欄目，單擊查看認證，彈出Cert Manager對話方塊。
4. 在Cert Manager中，選擇憑證授權單位標籤頁，單擊匯入按鈕。
5. 按照提示選擇根憑證檔案，完成根憑證匯入。
驗證匯入結果。
1. 在憑證授權單位選項卡，認證名稱列查看已選擇的根憑證是否匯入成功。
2. 重啟Firefox瀏覽器。
3. 訪問目標網站，檢查是否不再出現安全警告（如“不受信任的認證”提示）。

Internet Explorer

說明

本文以Windows 10 系統、Internet Explorer 11.1.20348.0版本為例進行介紹。

在 IE 瀏覽器中匯入根憑證。
1. 開啟 IE 瀏覽器，單擊右上方表徵圖，選擇 Internet 選項。
2. 在Internet選項視窗中，選擇頂部菜單的內容標籤。
3. 單擊認證按鈕，進入認證管理介面。
4. 在Cert Manager中，選擇可信任的根憑證授權單位選項卡。
5. 單擊左下方的匯入按鈕。按照提示選擇根憑證檔案，完成根憑證匯入。
驗證匯入結果。
1. 根據所選擇的匯入路徑，查看目標根憑證是否匯入成功。
2. 重啟 IE 瀏覽器。
3. 訪問目標網站，檢查是否不再出現安全警告（如“不受信任的認證”提示）。

成本與風險說明

安全風險
- 來源不可信：根憑證必須從官方或權威渠道擷取。安裝來源不明的根憑證可能導致惡意軟體植入或中間人攻擊，嚴重影響系統安全。
- 誤操作風險：如果將認證匯入錯誤的儲存位置，或匯入了格式不正確的認證檔案，可能導致系統信任鏈結異常或應用串連失敗。
相容性與維護成本
- 系統／應用版本限制：部分舊版作業系統或應用程式可能不支援新的根憑證演算法或標準，或需要升級到更高版本才可相容。
- 根憑證到期或變更：根憑證存在有效期間。當根憑證即將到期或 CA 更換新的根憑證時，需要在相關用戶端中更新根憑證，以保證信任鏈結持續有效。
批量部署成本
- 在大量且異構的裝置或用戶端環境中逐台手動安裝根憑證，效率較低且易出錯。建議根據實際情況開發自動化指令碼或使用組態管理／裝置管理工具，實現批量部署和統一維護。

常見問題

SSL認證到期後是否需要重新部署根憑證

無需更換：
對於由受信任 CA 頒發且已預置於主流瀏覽器和作業系統的根憑證，當 CA 進行常規更新時，通常由作業系統或瀏覽器通過自身更新機制自動更新根憑證。一般情況下，您無需在這些用戶端上手動重新部署根憑證。
需要更換：
對於未預置根憑證的用戶端（例如移動 App 內建信任庫、獨立 Java 用戶端、舊版瀏覽器、物聯網裝置等），在以下情況可能需要重新部署根憑證：
- 重新購買 SSL 憑證時更換了認證品牌或認證類型（DV/OV/EV）。
- 原有根憑證到期或 CA 宣布切換至新的根憑證。
在上述情境中，應下載與伺服器端憑證鏈結匹配的根憑證，並按本文說明在相關用戶端中手動安裝。

如何安裝中間認證

中間認證的匯入方式與根憑證類似。您可以參照本文中“安裝根憑證”的步驟，在目標系統或瀏覽器中選擇合適的憑證存放區（通常是“中繼憑證授權單位”或“憑證授權單位”），匯入對應的中間認證檔案。

Java用戶端訪問HTTPS失敗

當 Java 用戶端訪問 HTTPS 失敗時，通常與 JRE 信任庫中缺少對應根憑證或中間認證有關。請參考文檔：Java用戶端訪問HTTPS失敗進行排查和處理。

DigiCert和GeoTrust品牌認證相容哪些系統版本？

認證品牌	根憑證	Windows	OS X	Android	Java
DigiCert DV類型認證	新根憑證（DigiCert Global Root G2）	Windows 8及以上版本	OS X 10.7及以上版本	Android 4.4.2及以上版本	Java 1.8及以上版本
DigiCert DV類型認證	舊根憑證（DigiCert Global Root CA）	Windows 7及以上版本	OS X 10.5及以上版本	Android 2.3.3及以上版本	Java 1.6.05及以上版本
Rapid DV類型認證	新根憑證（DigiCert Global Root G2）	Windows 8及以上版本	OS X 10.7及以上版本	Android 4.4.2及以上版本	Java 1.8及以上版本
GeoTrust OV、EV類型認證	舊根憑證（DigiCert Global Root CA）	Windows 7及以上版本	OS X 10.5及以上版本	Android 2.3.3及以上版本	Java 1.6.05及以上版本

說明

2023年3月中旬起，DigiCert和GeoTrust品牌的SSL認證將通過新根憑證DigiCert Global Root G2簽發。更多資訊，請參見【公告】關於DigiCert根憑證升級說明。

Android 4.4至5.0之間的部分版本，由於Android片段化問題導致部分Android機型存在相容性問題（通常是較老版本）。

Java部分版本可能未整合根憑證，請您以實際環境為準。