Le 23 février dernier, Debian à décidé de ne plus embarquer le certificat root de CACert.org dans son paquet ca-certificates.
Nous allons pas parler ici de cette décision et de son large impact, je vous laisse lire le bon article de lwn.net à ce sujet, ou les récents threads sur les listes Debian (bug ou thread); Non, nous allons parler de créer un .deb incluant nos propres certificats root.
Le paquet ca-certificates, contient tout le nécessaire pour builder ce paquet, il suffit de faire un tour dans /usr/share/doc/ca-certificates/example (il y a un README).
Essayons donc, avec pour exemple, les CA de CACert.org tient :-)
# On copie l'aro dans notre home, pour la modifier
cp -a /usr/share/doc/ca-certificates/examples/ca-certificates-local ~
cd ~/ca-certificates-local
# Puis on supprime le certificat de test
rm local/Local_Root_CA.crt
# Et ajout des certificats CACert.org
wget http://www.cacert.org/certs/root.crt -O local/root.crt
wget http://www.cacert.org/certs/class3.crt -O local/class3.crt
Vérification des SHA1 cf. http://www.cacert.org/index.php?id=3
- root: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
- class3: AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
Et c'est parti, (on peux modifier les infos dans debian/{changelog,control}) comme son nom, et la description. Une fois fini, pour builder le paquet il suffit de lancer
dpkg-buildpackage
Et voila :-)
Go Top