2.2. Création d'une autorité de certification racine

La commande suivante crée un certificat auto-signé (pour une autorité de certification donc).

CA.pl -newcert
openssl req -config /etc/openssl.cnf -new -x509 -keyout newreq.pem \
 -out newreq.pem -days 365

Le nouveau certificat se trouve dans le fichier newreq.pem. Utilisez un CN du type « ACME root Certificate ». Le fichier est à diviser en deux parties, cacert.pem et private/cakey.pem. La partie délimitée par -RSA PRIVATE KEY- va dans le fichier private/cakey.pem tandis que la partie -CERTIFICATE- est destinée au fichier cacert.pem. Supprimez newreq.pem une fois l'opération effectuée.

Vérifiez à présent que le fichier index.txt est vide et que le fichier serial contient la valeur 01.

Afin de ne pas avoir à renouveler tous les certificats émis par une AC lorsque son certificat racine expire, il est souhaitable d'augmenter la durée de vie de ce dernier. Les autorités de certification commerciales emploient des durées de 5 à 10 ans.

openssl req -config /etc/openssl.cnf -new -x509 -keyout private/cakey.pem \
 -out cacert.pem -days 3650

La commande précédente est plus efficace que « CA.pl -newcert » car elle place les fichiers créés à l'emplacement souhaité et génère une AC racine valable 10 ans.

Il reste à s'assurer que le certificat auto-signé racine n'est employé que pour signer des certificats. La confidentialité de la clef privée est très importante. Ne la compromettez jamais en ôtant le mot de passe. On peut envisager de la ranger sur un support amovible et de n'y accéder qu'en cas de besoin. Si la machine est compromise, la clef privée est ailleurs.

On dispose maintenant d'une autorité de certification racine. Les utilisateurs doivent faire confiance à votre certificat de CA et donc le récupérer et le charger dans leurs navigateurs.

Il faudra renseigner le mot de passe lors de la signature de chaque certificat.