Certificat racine

En général, les certificats racine de confiance sont gérés par le système. C'est le cas pour la plupart des applications.

Pour valider un certificat, les applications passent par le fichier /etc/pki/tls/certs/ca-bundle.crt qui est un bundle de tous les certificats racine. Ce fichier peut être fait manuellement mais est généralement généré par des scripts spécifiques à la distribution Linux.

Les certificats root font partis du package OpenSSL. La meilleure méthode pour mettre à jour les certificats est de placer dans l'OS les certificats de Curl.

Pour mettre à jour les certificats roots sur Linux (méthode générale) :

  wget -O /etc/pki/tls/certs/ca-bundle.crt http://curl.haxx.se/ca/cacert.pem 

À partir de la version 6 de CentOS, les certificats roots sont fournis par un package RPM séparé de OpenSSL et peut être mis à jour de façon autonome.

  yum update ca-certificates

Pour ajouter un certificat, le placer dans un des dossiers suivants :

• /etc/pki/ca-trust/source/anchors/
• /usr/share/pki/ca-trust-source/

Puis exécuter la commande suivante :

  update-ca-trust extract

Sur les systèmes basés sur Debian, il y a un packet contenant les certificats root.

  apt-get update
  apt-get upgrade ca-certificates

Pour ajouter un certificat root manuellement en supplément, le placer dans le dossier /usr/share/ca-certificates/extra puis exécuter la commande update-ca-certificates.

  mkdir /usr/share/ca-certificates/extra
  cp my_certificate.crt /usr/share/ca-certificates/extra/my_certificate.crt
  update-ca-certificates

Certains logiciels et navigateurs utilisent leur propre système magasin de certificat. On note notamment l'usage régulier de keytool.

• Java voir ajouter un certificat sur Java.