En général, les certificats racine de confiance sont gérés par le système. C'est le cas pour la plupart des applications.
Pour valider un certificat, les applications passent par le fichier /etc/pki/tls/certs/ca-bundle.crt qui est un bundle de tous les certificats racine. Ce fichier peut être fait manuellement mais est généralement généré par des scripts spécifiques à la distribution Linux.
Les certificats root font partis du package OpenSSL. La meilleure méthode pour mettre à jour les certificats est de placer dans l'OS les certificats de Curl.
Pour mettre à jour les certificats roots sur Linux (méthode générale) :
wget -O /etc/pki/tls/certs/ca-bundle.crt http://curl.haxx.se/ca/cacert.pem
À partir de la version 6 de CentOS, les certificats roots sont fournis par un package RPM séparé de OpenSSL et peut être mis à jour de façon autonome.
yum update ca-certificates
Pour ajouter un certificat, le placer dans un des dossiers suivants :
Puis exécuter la commande suivante :
update-ca-trust extract
Sur les systèmes basés sur Debian, il y a un packet contenant les certificats root.
apt-get update apt-get upgrade ca-certificates
Pour ajouter un certificat root manuellement en supplément, le placer dans le dossier /usr/share/ca-certificates/extra puis exécuter la commande update-ca-certificates.
mkdir /usr/share/ca-certificates/extra cp my_certificate.crt /usr/share/ca-certificates/extra/my_certificate.crt update-ca-certificates
Certains logiciels et navigateurs utilisent leur propre système magasin de certificat. On note notamment l'usage régulier de keytool.