2.2. Cr�ation d'une autorit� de certification racine

La commande suivante cr�e un certificat auto-sign� (pour une autorit� de certification donc).

CA.pl -newcert
openssl req -config /etc/openssl.cnf -new -x509 -keyout newreq.pem \
 -out newreq.pem -days 365

Le nouveau certificat se trouve dans le fichier newreq.pem. Utilisez un CN du type ��ACME root Certificate��. Le fichier est � diviser en deux parties, cacert.pem et private/cakey.pem. La partie d�limit�e par -RSA PRIVATE KEY- va dans le fichier private/cakey.pem tandis que la partie -CERTIFICATE- est destin�e au fichier cacert.pem. Supprimez newreq.pem une fois l'op�ration effectu�e.

V�rifiez � pr�sent que le fichier index.txt est vide et que le fichier serial contient la valeur 01.

Afin de ne pas avoir � renouveler tous les certificats �mis par une AC lorsque son certificat racine expire, il est souhaitable d'augmenter la dur�e de vie de ce dernier. Les autorit�s de certification commerciales emploient des dur�es de 5 � 10 ans.

openssl req -config /etc/openssl.cnf -new -x509 -keyout private/cakey.pem \
 -out cacert.pem -days 3650

La commande pr�c�dente est plus efficace que ��CA.pl�-newcert�� car elle place les fichiers cr��s � l'emplacement souhait� et g�n�re une AC racine valable 10 ans.

Il reste � s'assurer que le certificat auto-sign� racine n'est employ� que pour signer des certificats. La confidentialit� de la clef priv�e est tr�s importante. Ne la compromettez jamais en �tant le mot de passe. On peut envisager de la ranger sur un support amovible et de n'y acc�der qu'en cas de besoin. Si la machine est compromise, la clef priv�e est ailleurs.

On dispose maintenant d'une autorit� de certification racine. Les utilisateurs doivent faire confiance � votre certificat de CA et donc le r�cup�rer et le charger dans leurs navigateurs.

Il faudra renseigner le mot de passe lors de la signature de chaque certificat.