Suivant: Name Service Switch, Précédent: Privileged Programs, Monter: Configuration du système [Table des matières][Index]
Les serveurs web disponibles par HTTPS (c’est-à-dire HTTP sur le mécanisme de la couche de transport sécurisée, TLS) envoient aux clients un certificat X.509 que les clients peuvent utiliser pour authentifier le serveur. Pour cela, les clients vérifient que le certificat du serveur est signé par une autorité de certification (AC ou CA). Mais pour vérifier la signature de la CA, les clients doivent d’abord avoir récupéré le certificat de la CA.
Les navigateurs web comme GNU IceCat incluent leur propre liste de certificats, pour qu’ils puissent vérifier les signatures des CA directement.
Cependant, la plupart des autres programmes qui peuvent parler HTTPS —
wget
, git
, w3m
, etc — doivent savoir où
trouver les certificats des CA.
For users of Guix System, this is done by adding a package that provides
certificates to the packages
field of the operating-system
declaration (voir Référence de operating-system
). Guix includes one such
package, nss-certs
, which is a set of CA certificates provided as
part of Mozilla’s Network Security Services.
This package is part of %base-packages
, so there is no need to
explicitly add it. The /etc/ssl/certs directory, which is where most
applications and libraries look for certificates by default, points to the
certificates installed globally.
Les utilisateurs non privilégiés, dont les utilisateurs de Guix sur une
distro externe, peuvent aussi installer leur propre paquet de certificats
dans leur profil. Un certain nombre de variables d’environnement doivent
être définies pour que les applications et les bibliothèques puissent les
trouver. En particulier, la bibliothèque OpenSSL prend en compte les
variables SSL_CERT_DIR
et SSL_CERT_FILE
. Certaines applications
ajoutent leurs propres variables, par exemple le système de contrôle de
version Git prend en compte le lot de certificats pointé par la variable
d’environnement GIT_SSL_CAINFO
. Ainsi, vous lanceriez quelque chose
comme ceci :
guix install nss-certs export SSL_CERT_DIR="$HOME/.guix-profile/etc/ssl/certs" export SSL_CERT_FILE="$HOME/.guix-profile/etc/ssl/certs/ca-certificates.crt" export GIT_SSL_CAINFO="$SSL_CERT_FILE"
Un autre exemple serait R, qui a besoin que la variable d’environnement
CURL_CA_BUNDLE
pointe sur le lot de certificats, donc vous lanceriez
quelque chose comme ceci :
guix install nss-certs export CURL_CA_BUNDLE="$HOME/.guix-profile/etc/ssl/certs/ca-certificates.crt"
Pour d’autres applications vous pourriez avoir besoin de chercher la variable d’environnement requise dans leur documentation.
Suivant: Name Service Switch, Précédent: Privileged Programs, Monter: Configuration du système [Table des matières][Index]