====== Certificat racine ======
En général, les certificats racine de confiance sont gérés par le système. C'est le cas pour la plupart des applications.

Pour valider un certificat, les applications passent par le fichier ''/etc/pki/tls/certs/ca-bundle.crt'' qui est un bundle de tous les certificats racine. Ce fichier peut être fait manuellement mais est généralement généré par des scripts spécifiques à la distribution Linux.

===== Magasin de l'OS =====

==== CentOS 4/5 ====

Les certificats root font partis du package OpenSSL. La meilleure méthode pour mettre à jour les certificats est de placer dans l'OS les certificats de Curl.

Pour mettre à jour les certificats roots sur Linux (méthode générale) :
    wget -O /etc/pki/tls/certs/ca-bundle.crt http://curl.haxx.se/ca/cacert.pem 

==== CentOS 6/7 ====

À partir de la version 6 de CentOS, les certificats roots sont fournis par un package RPM séparé de OpenSSL et peut être mis à jour de façon autonome.

    yum update ca-certificates

Pour ajouter un certificat, le placer dans un des dossiers suivants :
  * /etc/pki/ca-trust/source/anchors/
  * /usr/share/pki/ca-trust-source/

Puis exécuter la commande suivante :
    update-ca-trust extract

==== Debian / Ubuntu ====

Sur les systèmes basés sur Debian, il y a un packet contenant les certificats root.

    apt-get update
    apt-get upgrade ca-certificates

Pour ajouter un certificat root manuellement en supplément, le placer dans le dossier ''/usr/share/ca-certificates/extra'' puis exécuter la commande ''update-ca-certificates''.

    mkdir /usr/share/ca-certificates/extra
    cp my_certificate.crt /usr/share/ca-certificates/extra/my_certificate.crt
    update-ca-certificates

===== Magasins par application =====


Certains logiciels et navigateurs utilisent leur propre système magasin de certificat. On note notamment l'usage régulier de keytool.

  * Java voir [[systemes:java:certificat|ajouter un certificat sur Java]].