{{tag>sysadmin netadmin ssl tls certificat ca}} :TODO_DOCUPDATE: ====== Vérifier et installer un certificat d'autorité racine ====== Notes concernant le test d'une chaîne de certification et l'installation de certificat racine sur un système de type Debian-like. On cherche à vérifier la disponibilité d'un certificat d'autorité de certification racine (Root CA), son numéro de série, son empreinte et à l'installer sur le système s'il est manquant. On peut utiliser les outils **openssl** ou **curl** pour vérifier les chaînes de certifications. ===== Vérification ===== Pour vérifier que la chaîne de certification est valide pour un serveur donné: curl --verbose https://fqdn Si la connexion est valide et vérifiée par une autorité de certification racine présente sur le système alors une ligne de la forme suivante est affichée: * SSL certificate verify ok. Si le certificat ou la chaîne de certificats présentée par le serveur distant est signée par une Autorité de certification non reconnue par le système courant, un message de la forme suivante est affiché: * SSL certificate problem: self signed certificate in certificate chain La même vérification peut être faite avec openssl: openssl s_client -connect fqdn:443 En cas d’échec un message du type ci-dessous est affiché ... verify error:num=19:self signed certificate in certificate chain ... Avant toute installation (importation) d'un certificat désignant une Autorité de certification racine, il faut vérifier que le numéro de série et l'empreinte sont corrects. Pour cela on utilise **opensssl** openssl x509 -noout -fingerprint -serial -in root_ca.cert.pem # Si openssl n'arrive pas à décoder le certificat, # spécifier le format en entrée avec l'argument -inform openssl x509 -noout -serial -fingerprint -sha1 -inform der -in root_ca.cert.crt Vérifier que le certificat racine valide la chaine: curl --verbose --cacert root_ca.cert.pem https://fqdn # équivalent openssl s_client -connect fqdn:443 -CAfile root_ca.cert.pem ===== Importer un certificat ===== ==== GNU/Linux ==== sudo cp root_ca.cert.pem /usr/share/ca-certificates/ sudo update-ca-certificates La commande **update-ca-certificates** récupère les certificats racines présents dans les différents répertoires système et les concatène dans un fichier unique qui pourra être utilisés par les différents clients et navigateurs. ==== Firefox ==== Pour importer les certificats d'une Autorité de Certification (CA) dans Firefox: * **Menu** > **Paramètres**; * Dans le panneau gauche sélectionner **Vie privée et sécurité**; * Dans le panneau principal section **Sécurité** > Certificats > bouton **Afficher les certificats...**; * Sélectionner l'onglet **Autorités** puis cliquer sur le bouton **Importer...** ==== Windows ==== ===== Références ===== * https://support.nmi.com/hc/en-gb/articles/360021544791-How-to-Check-if-the-Correct-Certificates-Are-Installed-on-Linux