Mettre à jour les certificats racine sur Linux CentOs
Commencer par installer le package ca-certificates
sudo yum install ca-certificates
Comme dit sur https://www.redhat.com/en/blog/ca-certificates-cli ou hs-schmalkalden.de, si vous devez injecter le certificat de votre pki interne dans votre système à base Redhat, coller le pem dans
/etc/pki/ca-trust/source/anchors
Vous pouvez contrôler la prise en compte en adaptant cette commande
trust list | grep -i "nom-de-votre-ca"On peut aussi voir la prise en compte de votre certificat de pki interne dans /etc/pki/ca-trust/extracted, plus précisément dans /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Il ne faut pas modifier tls-ca-bundle.pem directement, il faut passer par /etc/pki/ca-trust/source/anchors puis jouer la commande sudo update-ca-trust.
En fait il y a les certificats racines auquels le système fait confiance qui sont dans /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit. Ces certificats ont été choisis par la fondation Mozilla et sont installés quand on fait un sudo yum install ca-certificates.
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem lui est la fusion de /usr/share/pki/ca-trust-source/ca-bundle.trust.p11-kit et des certificats qui sont dans /etc/pki/ca-trust/source/anchors
Notez que le lien https://access.redhat.com/solutions/1549003 montre comment reset les certificats racine.
Sur Ubuntu ou DEbian, comme indiqué sur superuser.com, si vous devez ajouter vous même le certificat d'une autorité de certification, il faut le déposer dans
/usr/local/share/ca-certificates avec une extention en .crt
Vous le verrez alors apparaitre dans /etc/ssl/certs/
Notez que sous Ubuntu/Debian, les certificats racines fournis par le système sont dans /usr/share/ca-certificates/