Você está instalando um certificado SSL no seu servidor e, de repente, se depara com um problema. A configuração solicita um arquivo“CA Bundle” e você não sabe ao certo o que é ou onde encontrá-lo. Você não está sozinho – isso atrapalha muitas pessoas durante a instalação do SSL.

Os pacotes da CA não são complicados quando você entende o que eles fazem. Neste guia, explicaremos a você exatamente o que é um pacote de CA, por que seu servidor precisa dele e como criar ou obter um em apenas alguns minutos. Ao final, você poderá lidar com os pacotes de CA com confiança e evitar os frustrantes erros de “certificado não confiável”.
Índice
- O que é um pacote de CA?
- Por que o pacote de CAs é importante para a segurança SSL
- Como obter seu pacote da CA
- Como criar um pacote de CA
- Verificando seu pacote de CA
- Instalando o pacote CA em seu servidor
- Problemas e soluções comuns do pacote da CA
- Práticas recomendadas do pacote da CA
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
O que é um pacote de CA?
Um pacote de CA é um arquivo único que contém certificados intermediários e certificados raiz da sua autoridade de certificação. Quando combinado com o certificado do servidor, ele completa a cadeia de confiança do certificado SSL – a sequência de certificados que os navegadores usam para verificar se o seu site é legítimo.
Pense da seguinte forma: seu certificado de servidor diz “Eu sou exemplo.com”, mas os navegadores precisam de comprovação. O pacote da CA fornece essa prova mostrando o caminho confiável do seu certificado até um certificado raiz no qual os navegadores já confiam.
A maioria dos certificados SSL exige um pacote de CA (a principal exceção são os certificados no formato PKCS#7, que já incluem o pacote). Sem ele, os navegadores não podem verificar a autenticidade do seu certificado, o que leva a avisos de segurança que afastam os visitantes.
Componentes do pacote CA
Um pacote de CA típico contém dois tipos de certificados:
- Certificados intermediários. Esses são certificados emitidos pela autoridade de certificação para fazer a ponte entre o certificado do servidor e o certificado raiz. CAs grandes, como a Sectigo e a DigiCert, costumam usar vários intermediários para distribuir a carga de trabalho de assinatura de certificados e gerenciar diferentes tipos de certificados.
- Certificados raiz. Esses são os certificados de nível superior na cadeia de confiança. Os navegadores e sistemas operacionais vêm pré-carregados com certificados raiz de CAs confiáveis. Quando um navegador vê um certificado raiz que reconhece, ele sabe que toda a cadeia de certificados é válida.
The file itself usually has a .pem, .crt, or .ca-bundle extension. Inside, you’ll find the certificates in PEM format—blocks of text starting with —–BEGIN CERTIFICATE—– and ending with —–END CERTIFICATE—–.
A cadeia de confiança do certificado
Veja como a cadeia de certificados SSL funciona na prática:
- Certificado de servidor (o certificado do seu site) – Contém o nome de domínio e a chave pública
- Certificado(s) intermediário(s) (do pacote de CA) – Assinado pela CA raiz, assina seu certificado
- Certificado raiz (do CA Bundle) – Pré-confiável por navegadores e sistemas operacionais

Quando alguém visita seu site por HTTPS, o navegador executa um handshake SSL. Durante esse processo, o navegador valida cada link da cadeia, começando pelo certificado do servidor e indo até uma raiz confiável. Essa é a PKI (Infraestrutura de Chave Pública) em ação.
Se algum link dessa cadeia estiver faltando, normalmente porque o pacote da CA não foi instalado, o navegador não poderá concluir a validação. O resultado? Avisos de segurança como “Sua conexão não é privada” ou “Certificado não confiável”.
Por que o pacote de CAs é importante para a segurança SSL
O pacote da CA tem várias funções essenciais, além de fazer com que o ícone do cadeado seja exibido.
Compatibilidade com navegadores
Diferentes navegadores e sistemas operacionais mantêm diferentes repositórios de certificados confiáveis. Seu pacote de CA garante a compatibilidade entre navegadores de desktop, dispositivos móveis, clientes de e-mail e ferramentas de API. Isso é especialmente importante para versões mais antigas de navegadores que podem não ter os certificados intermediários mais recentes.
Proteção contra ameaças à segurança
Um pacote de CA configurado corretamente ajuda a evitar ataques do tipo man-in-the-middle, verificando a autenticidade do certificado em vários níveis. A cadeia de certificados torna a falsificação quase impossível, pois cada certificado é assinado criptograficamente pelo certificado acima dele.
Atendendo aos requisitos de conformidade
Muitos setores exigem a configuração adequada de SSL/TLS:
- O PCI DSS exige a transmissão segura dos dados do titular do cartão
- O GDPR exige medidas de segurança apropriadas para dados pessoais
- A HIPAA exige comunicação segura para informações de saúde
Um pacote de CA ausente ou configurado incorretamente pode colocar você fora de conformidade, mesmo que o certificado em si seja válido.
Como obter seu pacote da CA
Você não precisa criar um pacote CA do zero todas as vezes. Aqui estão as principais maneiras de você obter um:
1. Da sua autoridade de certificação
Quando você compra um certificado SSL de provedores como Sectigo, DigiCert ou GeoTrust, eles normalmente fornecem o pacote da CA junto com o seu certificado de servidor. Para os clientes do SSL Dragon, você encontrará o pacote da CA no painel de controle do certificado logo após a emissão.
2. Faça download dos repositórios oficiais da CA
A maioria das principais autoridades de certificação mantém repositórios públicos nos quais você pode fazer download de certificados raiz e intermediários. Sectigo, DigiCert, Let’s Encrypt e outras CAs publicam suas cadeias de certificados em seus sites de suporte.
3. Extrair do armazenamento de certificados
Os sistemas operacionais mantêm armazenamentos confiáveis de certificados que você pode acessar:
- Windows: Use certmgr.msc para acessar o gerenciador de certificados
- Linux/macOS: Diretório /etc/ssl/certs/
Como criar um pacote de CA (guia passo a passo)
Às vezes, é necessário criar um pacote de CA manualmente – talvez você tenha recebido apenas arquivos de certificados individuais. Veja a seguir como você pode fazer isso corretamente.
Pré-requisitos
Antes de começar, verifique se você tem:
- Seu(s) arquivo(s) de certificado intermediário
- Seu arquivo de certificado raiz
- Um editor de texto (Notepad++, nano, vim ou até mesmo o Notepad básico)
Método 1: Usando um editor de texto
Esse método funciona em qualquer plataforma e não requer conhecimento técnico.
Etapa 1: Localize seus arquivos de certificado
Localize os arquivos de certificado fornecidos por sua CA. Você está procurando os certificados intermediários e raiz, não o certificado do servidor. Os arquivos geralmente têm extensões como .crt, .pem ou .cer.
Etapa 2: Abra cada certificado
Abra seu certificado intermediário em um editor de texto. Você verá conteúdo como:
-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----
As partes importantes são o cabeçalho —–BEGIN CERTIFICATE—– e o rodapé —–END CERTIFICATE—–. Certifique-se de que ambos estejam presentes e completos.
Etapa 3: Crie seu arquivo de pacote
Crie um novo arquivo em branco em seu editor de texto. Dê a ele o nome de yourdomain.ca-bundle ou ca-bundle.crt. A extensão não é muito importante – você pode usar .pem, .crt ou .ca-bundle.
Etapa 4: Copie os certificados na ordem correta
Essa é a etapa crítica. A ordem deve ser:
- Primeiro: seu certificado intermediário (aquele que assinou diretamente o certificado do servidor)
- Segundo: qualquer certificado intermediário adicional (se você tiver vários)
- Último: o certificado raiz
Copie cada certificado completamente, incluindo as linhas INÍCIO e FIM. Não adicione espaços extras ou linhas em branco entre os certificados.
Aqui está a aparência de um pacote de CA correto:
-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----
Etapa 5: Salvar o arquivo
Salve o arquivo com codificação UTF-8. Verifique novamente se cada certificado começa com —–BEGIN CERTIFICATE—– e termina com —–END CERTIFICATE—– sem espaços extras.
Método 2: Usando a linha de comando
Se você se sentir confortável com a linha de comando, poderá criar um pacote de CA em segundos.
Linux/macOS:
cat intermediate.crt root.crt > ca-bundle.crt
Prompt de comando do Windows:
copy /b intermediate.crt + root.crt ca-bundle.crt
Esses comandos concatenam os arquivos de certificado em ordem. Certifique-se de que você os liste na sequência correta: primeiro os certificados intermediários, depois o certificado raiz.
Erros comuns que você deve evitar
- Ordem incorreta do certificado – O erro mais comum é colocar o certificado raiz primeiro
- Espaços em branco extras – Não adicione linhas em branco entre os certificados
- Cabeçalhos ausentes – Copie todo o bloco do certificado, incluindo as linhas BEGIN/END
- Incluindo o certificado do servidor – O pacote de CA deve conter apenas certificados intermediários e raiz
Economize 10% em certificados SSL ao fazer seu pedido na SSL Dragon hoje mesmo!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
Verificando seu pacote de CA
Antes de você instalar o pacote da CA em um servidor de produção, verifique se ele está correto.
Usando o OpenSSL
O OpenSSL é a ferramenta padrão para trabalhar com certificados SSL:
openssl verify -CAfile ca-bundle.crt your-server-certificate.crt
Se tudo estiver correto, você verá:
your-server-certificate.crt: OK
Se houver um problema, o OpenSSL informará a você o que está errado, como a falta de certificados ou o pedido incorreto.
Uso de ferramentas on-line de verificação de SSL
O SSL Dragon oferece uma ferramenta gratuita de verificação de SSL que valida sua cadeia de certificados. Depois que o certificado estiver instalado, a ferramenta irá:
- Mostrar a cadeia completa de certificados
- Identificar quaisquer certificados intermediários ausentes
- Verifique as datas de expiração do certificado
- Teste a compatibilidade entre diferentes navegadores
Instalando o pacote CA em seu servidor
O processo de instalação varia de acordo com a plataforma. Aqui está uma visão geral rápida:
Apache. Use a diretiva SSLCertificateChainFile:
SSLCertificateChainFile /path/to/ca-bundle.crt
Nginx. Especifique o certificado confiável:
ssl_trusted_certificate /path/to/ca-bundle.crt;
cPanel/WHM. Use a interface da Web para colar o pacote de CA no campo “Certificate Authority Bundle” (Pacote de autoridade de certificação).
IIS (Windows Server). Importe certificados intermediários para “Intermediate Certification Authorities” (Autoridades de certificação intermediárias) e certificados raiz para “Trusted Root Certification Authorities” (Autoridades de certificação raiz confiáveis) usando o Gerenciador de certificados.
Para obter guias de instalação detalhados específicos para seu ambiente de servidor, consulte a documentação de instalação do SSL Dragon.
Problemas e soluções comuns do pacote da CA
Problema 1: Erro “Cadeia de certificados incompleta
Sintomas: As ferramentas de teste de SSL relatam a falta de um certificado intermediário ou alguns navegadores mostram avisos.
Solução: Faça o download do pacote completo de certificados no site da CA. Verifique se você incluiu TODOS os certificados intermediários, e não apenas um. Verifique se a ordem está correta.
Problema 2: Pedido de certificado incorreto
Sintomas: Erros de validação de certificado ou avisos intermitentes de SSL nos navegadores.
Solução: Reorganize seus certificados de modo que aquele que assinou o certificado do servidor venha primeiro, e o certificado raiz, por último. Salve e faça upload novamente para o servidor.
Problema 3: Confusão de formato PKCS#7
Sintomas: Você recebeu um arquivo .p7b e não tem certeza se precisa de um pacote de CA.
Solução: Os arquivos PKCS#7 (.p7b) já incluem o pacote CA. Você não precisa criar um arquivo separado. Se o seu servidor exigir o formato PEM, você deverá convertê-lo:
openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem
Problema 4: Certificado intermediário expirado
Sintomas: Erros repentinos de SSL em um site que funcionava anteriormente.
Solução: Baixe o pacote de CA mais recente de sua autoridade de certificação. As principais CAs publicam intermediários atualizados antes que os antigos expirem. Substitua o pacote antigo pelo novo.
Práticas recomendadas do pacote da CA
- Mantenha backups – Armazene o certificado do servidor, a chave privada e o pacote CA em um local seguro. Você precisará deles se mudar de servidor ou reinstalar.
- Use somente fontes oficiais – Sempre obtenha o pacote da CA no site oficial da autoridade de certificação. Os repositórios de terceiros podem estar desatualizados ou comprometidos.
- Monitore as datas de expiração – Os certificados raiz e intermediários também expiram. Defina lembretes para verificar se há atualizações da CA.
- Teste antes da produção – Teste primeiro as novas configurações em um ambiente de preparação. Use as ferramentas de teste de SSL para verificar se tudo funciona antes de passar para a produção.
- Documente sua configuração – Faça anotações sobre os certificados que você está usando, onde eles estão instalados e as datas de renovação. No futuro, você vai gostar disso.
Perguntas frequentes sobre o pacote da CA
Posso gerar um pacote de CA automaticamente?
Não. Ao contrário de um CSR, que você mesmo gera, um pacote de CA deve vir da sua autoridade de certificação. Você pode criar um manualmente combinando os certificados que eles fornecem.
Qual é a diferença entre um pacote de CA e uma cadeia de certificados?
O pacote da CA contém apenas os certificados intermediário e raiz. A cadeia completa de certificados inclui o certificado do servidor e o pacote de CA.
Todos os certificados exigem um pacote de CA?
A maioria dos certificados SSL/TLS exige um. A principal exceção são os certificados no formato PKCS#7 (arquivos .p7b), que incluem os intermediários no próprio arquivo.
O pacote da CA é o mesmo para todos os certificados de uma CA?
Em geral, sim. Os certificados do mesmo tipo (DV, OV ou EV) da mesma CA normalmente usam os mesmos certificados intermediários.
Obtenha seu certificado SSL com o pacote CA sem complicações da SSL Dragon
A configuração de certificados SSL não precisa ser complicada. O SSL Dragon fornece tudo o que você precisa para uma instalação tranquila, incluindo pacotes de CA pré-configurados, guias de instalação detalhados e suporte especializado.
Por que os clientes do SSL Dragon evitam as dores de cabeça do pacote CA:
Pacotes de instalação completos – Certificado de servidor, chave privada e pacote de CA juntos
✓ Pacotes pré-validados – Todos os certificados são testados antes da entrega
✓ Suporte especializado 24 horas por dia, 7 dias por semana – Pessoas reais que entendem de SSL
✓ Emissão rápida – Certificados validados por domínio em apenas 5 minutos
✓ Compatibilidade universal – 99,99% de reconhecimento do navegador
✓ Garantia de reembolso de 25 dias – Experimente sem riscos
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10






