🔐 Mettre Ă  jour le magasin de certificats trustĂ©s sous Linux (CA trust store)

Introduction

Dans un environnement professionnel, il est courant de devoir ajouter un certificat interne (CA d’entreprise, proxy SSL, PKI interne) au systùme.

Le magasin de certificats trustés (CA trust store) permet au systÚme de reconnaßtre les autorités de certification comme fiables.

Sans cette configuration, certaines connexions SSL/TLS Ă©choueront (erreurs de certificat non reconnu).

Comprendre le trust store Linux

Sous Linux, les certificats racines sont stockés dans un emplacement spécifique selon la distribution :

  • Debian / Ubuntu → /usr/local/share/ca-certificates/
  • RHEL / CentOS → /etc/pki/ca-trust/source/anchors/

Les certificats doivent ĂȘtre au format PEM (.crt) pour ĂȘtre pris en compte.

Ajouter un certificat trusté (Ubuntu / Debian)

Copier le certificat

sudo cp mon-certificat.crt /usr/local/share/ca-certificates/

Ajoute le certificat dans le répertoire dédié aux CA personnalisées.

Mettre Ă  jour le store

sudo update-ca-certificates

Met Ă  jour le magasin de certificats systĂšme et intĂšgre le nouveau certificat.

VĂ©rifier l’ajout

ls /etc/ssl/certs | grep mon-certificat

Permet de confirmer que le certificat est bien pris en compte.

Ajouter un certificat trusté (RHEL / CentOS / AlmaLinux)

Copier le certificat

sudo cp mon-certificat.crt /etc/pki/ca-trust/source/anchors/

Place le certificat dans le répertoire des autorités de confiance.

Mettre Ă  jour le trust store

sudo update-ca-trust

Reconstruit le magasin de certificats systĂšme.

VĂ©rifier qu’un certificat est bien reconnu

openssl verify mon-certificat.crt

Permet de vérifier si le certificat est validé par le systÚme.

Tester une connexion HTTPS

curl https://example.com

Permet de valider que la chaĂźne de certification est reconnue sans erreur.

Supprimer un certificat du trust store

Ubuntu / Debian

sudo rm /usr/local/share/ca-certificates/mon-certificat.crt
sudo update-ca-certificates

Supprime le certificat et met Ă  jour le store.

RHEL / CentOS

sudo rm /etc/pki/ca-trust/source/anchors/mon-certificat.crt
sudo update-ca-trust

Retire le certificat du magasin systĂšme.

Cas d’usage

  • Proxy SSL d’entreprise (inspection TLS)
  • PKI interne
  • Services internes avec certificats auto-signĂ©s
  • Environnements de dĂ©veloppement / staging

ProblÚmes fréquents

Mauvais format de certificat

Le certificat doit ĂȘtre en PEM (.crt), sinon il ne sera pas reconnu.

ChaĂźne incomplĂšte

Un certificat intermédiaire manquant peut provoquer une erreur SSL.

Application non compatible

Certaines applications utilisent leur propre trust store (Java, Docker, navigateurs).

Cas particulier : Docker et certificats

Docker ne repose pas toujours sur le trust store systĂšme pour ses connexions TLS.

Pour un registry privé :

/etc/docker/certs.d/registry.local/ca.crt

Le certificat doit ĂȘtre ajoutĂ© spĂ©cifiquement pour Docker.

Bonnes pratiques

  • Centraliser les certificats internes
  • Documenter les ajouts dans le systĂšme
  • VĂ©rifier la validitĂ© (expiration) rĂ©guliĂšrement
  • Éviter les certificats auto-signĂ©s en production
  • Automatiser via scripts ou outils de configuration

Sécurité

Ajouter un certificat au trust store revient à faire confiance à une autorité de certification.

Impacts possibles :

  • interception du trafic (proxy SSL)
  • compromission si certificat malveillant
  • confiance Ă©tendue Ă  tous les services systĂšme

Conclusion

La gestion du magasin de certificats trustés est essentielle pour assurer le bon fonctionnement des communications sécurisées sous Linux.

Une bonne maĂźtrise de cette configuration permet d’intĂ©grer facilement des infrastructures internes tout en maintenant un niveau de sĂ©curitĂ© Ă©levĂ©.