====== Certificat racine ====== En général, les certificats racine de confiance sont gérés par le système. C'est le cas pour la plupart des applications. Pour valider un certificat, les applications passent par le fichier ''/etc/pki/tls/certs/ca-bundle.crt'' qui est un bundle de tous les certificats racine. Ce fichier peut être fait manuellement mais est généralement généré par des scripts spécifiques à la distribution Linux. ===== Magasin de l'OS ===== ==== CentOS 4/5 ==== Les certificats root font partis du package OpenSSL. La meilleure méthode pour mettre à jour les certificats est de placer dans l'OS les certificats de Curl. Pour mettre à jour les certificats roots sur Linux (méthode générale) : wget -O /etc/pki/tls/certs/ca-bundle.crt http://curl.haxx.se/ca/cacert.pem ==== CentOS 6/7 ==== À partir de la version 6 de CentOS, les certificats roots sont fournis par un package RPM séparé de OpenSSL et peut être mis à jour de façon autonome. yum update ca-certificates Pour ajouter un certificat, le placer dans un des dossiers suivants : * /etc/pki/ca-trust/source/anchors/ * /usr/share/pki/ca-trust-source/ Puis exécuter la commande suivante : update-ca-trust extract ==== Debian / Ubuntu ==== Sur les systèmes basés sur Debian, il y a un packet contenant les certificats root. apt-get update apt-get upgrade ca-certificates Pour ajouter un certificat root manuellement en supplément, le placer dans le dossier ''/usr/share/ca-certificates/extra'' puis exécuter la commande ''update-ca-certificates''. mkdir /usr/share/ca-certificates/extra cp my_certificate.crt /usr/share/ca-certificates/extra/my_certificate.crt update-ca-certificates ===== Magasins par application ===== Certains logiciels et navigateurs utilisent leur propre système magasin de certificat. On note notamment l'usage régulier de keytool. * Java voir [[systemes:java:certificat|ajouter un certificat sur Java]].