Przejdź do treści
Bezpieczne płatności 5000+ klientów
2SECURE
Zacznij pisać aby wyszukać (min. 2 znaki)
Ładowanie…

Pobierz Root CA

Bezpośrednie linki do root i intermediate CA: Certum, DigiCert, Sectigo, GlobalSign.

Ładowanie listy wystawców…
Brak wyników dla "".

Po co pobierać certyfikaty Root CA?

Root CA (Certificate Authority) to certyfikat-korzeń zaufanego wystawcy, na którym bazują wszystkie certyfikaty SSL wystawione przez tego CA. Systemy operacyjne i przeglądarki mają wbudowaną listę zaufanych root CA. Czasem trzeba jednak ręcznie zainstalować root lub intermediate CA — np. dla starszych systemów, aplikacji Java/Android, IoT, lub gdy budujesz własny truststore dla API.

Konfiguracja serwera

Budowanie fullchain.pem dla Nginx/Apache — potrzebujesz intermediate.

Truststore w Java/Android

Aplikacje mobilne i Javy potrzebują lokalnego truststore z root CA.

Starsze systemy

Windows 7, stare Androidy nie mają nowych root CA — trzeba dodać ręcznie.

Skrypty i automatyzacja

Curl, wget, Python requests — część z nich ma własny bundle CA.

Root CA vs Intermediate CA — co to za różnica?

Certyfikat SSL nie jest podpisany bezpośrednio przez Root CA — w chain jest zawsze warstwa pośrednia (intermediate).

Root CA

Certyfikat-fundament zaufania. Self-signed (podpisany własnym kluczem prywatnym). Klucz prywatny Root CA jest offline, trzymany w hardware security module (HSM) — używa się go raz na dekadę.

  • Długa ważność (25-30 lat)
  • W truststore systemów operacyjnych
  • Klucz prywatny w HSM, offline
  • Rzadko rotowany (event stulecia)

Intermediate CA

Certyfikat pośredni wystawiony przez Root CA. To on podpisuje Twój końcowy certyfikat SSL. Może być wielopoziomowy (intermediate → intermediate → endpoint).

  • Krótsza ważność (3-15 lat)
  • Podpisany przez Root CA
  • Klucz online (do wystawiania certów)
  • Rotowany co kilka lat
Przykład chain dla Let's Encrypt: ISRG Root X1 (root) → Let's Encrypt R3 (intermediate) → example.com (twój cert)

Jak zainstalować pobrany certyfikat CA

Windows
  1. Kliknij dwukrotnie plik .crt / .cer / .pem
  2. Kliknij "Zainstaluj certyfikat..."
  3. Wybierz "Komputer lokalny" (dla wszystkich użytkowników)
  4. Umieść w magazynie "Zaufane główne urzędy certyfikacji"
  5. Potwierdź
Linux (Debian/Ubuntu)
$ sudo cp certyfikat.pem /usr/local/share/ca-certificates/nazwa.crt
$ sudo update-ca-certificates
Linux (RHEL/CentOS/Rocky)
$ sudo cp certyfikat.pem /etc/pki/ca-trust/source/anchors/
$ sudo update-ca-trust
macOS
  1. Otwórz Keychain Access (Dostęp do pęku kluczy)
  2. Zaznacz "System" w lewym panelu
  3. Przeciągnij plik .pem do okna
  4. Kliknij dwukrotnie dodany cert → Trust → "Always Trust"
Java truststore
$ keytool -import -trustcacerts -alias nazwa \
    -file certyfikat.pem \
    -keystore $JAVA_HOME/lib/security/cacerts \
    -storepass changeit

Najczęściej zadawane pytania

Czy linki prowadzą do oficjalnych repozytoriów CA?

Tak — każdy link prowadzi bezpośrednio do oficjalnej strony wystawcy (repository.certum.pl, digicert.com, letsencrypt.org itd.). Nie hostujemy certyfikatów u siebie, żebyś miał pewność że pobierasz oryginał prosto od źródła.

Jaka jest różnica między PEM a DER?

PEM (text, base64, z nagłówkiem -----BEGIN CERTIFICATE-----) to standardowy format dla Linux, Apache, Nginx, openssl. DER (binary) używany głównie przez Windows i Java. Konwersja między nimi: nasz konwerter albo openssl x509 -inform DER -outform PEM -in cert.der -out cert.pem.

Dlaczego mój serwer nadal nie ufa moim certyfikatom?

Najczęstsze powody: (1) Zainstalowałeś Root, ale brakuje Intermediate CA — zawsze potrzebujesz obu. (2) Cache truststore — zrestartuj proces/serwer po instalacji. (3) Zła ścieżka — pliki .crt na Linuksie muszą być w /usr/local/share/ca-certificates/ z rozszerzeniem .crt.

Jak sprawdzić, co jest w moim truststore?

Linux (system-wide):

$ awk -v cmd='openssl x509 -noout -subject' \
    '/BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt

Java:

$ keytool -list -keystore $JAVA_HOME/lib/security/cacerts -storepass changeit
Czy mogę dodać custom (własny) Root CA?

Tak — firmy często mają wewnętrzne CA dla testowych środowisk, intranet, VPN. Instalacja jest identyczna jak dla publicznych Root CA opisana wyżej. W Linuxie warto dać mu distinctive nazwę (np. company-internal-ca.crt) żeby odróżniać od publicznych.

Powiązane narzędzia

Sprawdź certyfikat
Zdekoduj plik .pem / .crt
Konwertuj certyfikat
PEM ↔ DER ↔ P7B ↔ PFX
Sprawdź serwer SSL
Test handshake i chain

Używamy cookies

Niezbędne cookies są zawsze włączone. Dodatkowo używamy cookies analitycznych (Google Analytics) i marketingowych — ale tylko za Twoją zgodą. Szczegóły w Polityce cookies.

Ustawienia cookies

Niezbędne Wymagane
Sesja, koszyk, logowanie. Bez nich strona nie zadziała.