Date création : 2026-03-05 (expiry : 2036-03-05)
Auteur : Daniel Caron
Emplacement : Laptop Linux Mint — utilisateur daniel
Chemin : ~/pki/root-ca
Statut : ✅ Opérationnelle — hors ligne (offline)
La Root CA est l'autorité de confiance racine de l'infrastructure PKI CaronTech. Elle est strictement hors ligne — le laptop Linux Mint n'est connecté au réseau que lors d'opérations PKI spécifiques.
Root CA (offline — Laptop Linux Mint)
~/pki/root-ca/
│
└── signe uniquement la CA intermédiaire
│
▼
CA intermédiaire (whvd9999 — 10.21.60.13)
│
└── signe les certificats serveurs
Règle fondamentale : La Root CA ne signe jamais directement des certificats serveurs — uniquement la CA intermédiaire. En cas de compromission de la CA intermédiaire, la Root CA peut émettre une nouvelle CA intermédiaire sans redistribuer la Root CA sur tous les clients.
| Paramètre | Valeur |
|---|---|
| OS | Linux Mint |
| Utilisateur | daniel |
| Connexion réseau | Hors ligne (offline) |
| Chemin Root CA | ~/pki/root-ca |
~/pki/root-ca/
├── certs/ (certificats émis — root-ca.crt, intermediate-ca.crt)
├── crl/ (liste de révocation root)
├── newcerts/ (copies des certificats signés)
├── private/ (clé privée root-ca.key — chmod 700)
├── index.txt (base de données certificats)
├── serial (numéro séquentiel)
├── crlnumber (numéro séquentiel CRL)
└── openssl.cnf (configuration OpenSSL)
Cette section documente la procédure complète pour recréer la Root CA si nécessaire.
mkdir -p ~/pki/root-ca
cd ~/pki/root-ca
mkdir certs crl newcerts private
touch index.txt
echo 1000 > serial
echo 1000 > crlnumber
chmod 700 private
nano ~/pki/root-ca/openssl.cnf
[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /home/daniel/pki/root-ca
certs = $dir/certs
crl_dir = $dir/crl
newcerts = $dir/newcerts
database = $dir/index.txt
serial = $dir/serial
private_key = $dir/private/root-ca.key
certificate = $dir/certs/root-ca.crt
crlnumber = $dir/crlnumber
crl = $dir/crl/root-ca.crl
crl_extensions = crl_ext
default_crl_days = 3650
default_md = sha256
name_opt = ca_default
cert_opt = ca_default
default_days = 3650
preserve = no
policy = policy_strict
[ policy_strict ]
countryName = optional
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
string_mask = utf8only
default_md = sha256
x509_extensions = v3_ca
[ req_distinguished_name ]
countryName = Country Name
countryName_default = CA
organizationName = Organization Name
organizationName_default = Carontech
commonName = Common Name
commonName_max = 64
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ v3_intermediate_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign
[ crl_ext ]
authorityKeyIdentifier = keyid:always
openssl genrsa -aes256 \
-out ~/pki/root-ca/private/root-ca.key 4096
chmod 400 ~/pki/root-ca/private/root-ca.key
⚠️ Passphrase obligatoire — protéger la clé avec une passphrase robuste et la stocker dans le gestionnaire de mots de passe.
openssl req -x509 \
-new \
-config ~/pki/root-ca/openssl.cnf \
-key ~/pki/root-ca/private/root-ca.key \
-sha256 \
-days 3650 \
-out ~/pki/root-ca/certs/root-ca.crt
Valeurs à entrer :
| Champ | Valeur |
|---|---|
| Country Name | CA |
| Organization Name | Carontech |
| Common Name | Carontech Root CA |
openssl x509 -in ~/pki/root-ca/certs/root-ca.crt -noout -text
Cette opération est effectuée une seule fois lors de la création de la CA intermédiaire, ou lors d'un renouvellement.
Transférer le CSR depuis whvd9999 vers le laptop Linux Mint :
# Sur whvd9999 — générer le CSR
openssl genrsa -aes256 \
-out /opt/pki/intermediate-ca/private/intermediate-ca.key 4096
openssl req -new \
-config /opt/pki/intermediate-ca/openssl.cnf \
-key /opt/pki/intermediate-ca/private/intermediate-ca.key \
-out /opt/pki/intermediate-ca/csr/intermediate-ca.csr
# Copier le CSR vers le laptop Linux Mint
scp [email protected]:/opt/pki/intermediate-ca/csr/intermediate-ca.csr ~/pki/root-ca/csr/
cd ~/pki/root-ca
openssl ca \
-config openssl.cnf \
-extensions v3_intermediate_ca \
-days 3650 \
-in csr/intermediate-ca.csr \
-out certs/intermediate-ca.crt
scp ~/pki/root-ca/certs/intermediate-ca.crt \
[email protected]:/opt/pki/intermediate-ca/certs/
Le fichier root-ca.crt doit être installé sur tous les clients qui doivent faire confiance aux certificats internes CaronTech.
# En administrateur
certutil -addstore Root root-ca.crt
Vérification :
certutil -store Root | findstr Carontech
sudo cp root-ca.crt /usr/local/share/ca-certificates/carontech-root-ca.crt
sudo update-ca-certificates
| Client | Installé | Notes |
|---|---|---|
| Laptop-Daniel (Windows admin) | ✅ | Trusted Root Certification Authorities |
| whvu1010 | ✅ | /usr/local/share/ca-certificates/ |
| Cellulaire | ❓ | À vérifier |
| Tablette | ❓ | À vérifier |
Note : À compléter au fur et à mesure. Idéalement, la Root CA devrait être installée sur tous les appareils du réseau CaronTech pour éviter les avertissements de certificat.
| Paramètre | Valeur |
|---|---|
| Certificat Root CA | Créé le 2026-03-05 |
| Expiry | 2036-03-05 (10 ans) |
| Clé privée | ~/pki/root-ca/private/root-ca.key |
| Certificat | ~/pki/root-ca/certs/root-ca.crt |
| CA intermédiaire signée | ✅ whvd9999 |
openssl x509 -in ~/pki/root-ca/certs/root-ca.crt -noout -enddate
cat ~/pki/root-ca/index.txt
openssl ca \
-config ~/pki/root-ca/openssl.cnf \
-gencrl \
-out ~/pki/root-ca/crl/root-ca.crl
⚠️ Clé privée sans passphrase : La clé Root CA actuelle (
root-ca.key) n'est pas protégée par passphrase. C'est une lacune de sécurité connue. La corriger nécessiterait de redistribuer la Root CA sur tous les clients — opération reportée. Si la Root CA doit être recréée, utiliser impérativement une passphrase et la stocker dans le gestionnaire de mots de passe.
⚠️ Laptop hors ligne : Le laptop Linux Mint doit rester hors ligne en dehors des opérations PKI. Ne jamais connecter ce laptop à un réseau non fiable.
⚠️ Backup Root CA : S'assurer d'avoir une copie de sauvegarde chiffrée du répertoire
~/pki/root-ca/private/sur un support externe sécurisé.
| Priorité | Amélioration | Notes |
|---|---|---|
| 🔴 Haute | Backup chiffré de la clé Root CA | Support externe sécurisé |
| 🔴 Haute | Documenter distribution Root CA sur cellulaire/tablette | Vérifier et compléter section 6.3 |
| 🟡 Moyenne | Ajouter passphrase à la clé Root CA | Nécessite redistribution complète — à planifier |
| 🟢 Basse | Publier root-ca.crt sur serveur interne | http://pki.home.carontech.net/crt/root-ca.crt |