Utiliser des certificats autoritaires supplémentaires avec curl et wget

Voici quelques informations pour utiliser des certificats autoritaires (CA certificates) supplémentaires avec les commandes curl et wget.

1. Téléchargez/copiez les certificats dans un répertoire, par exemple ~/etc/certs.

2. Générez les hash avec la commande c_rehash et le répertoire comme argument. Par exemple: c_rehash ~/etc/certs. Avec l'utilitaire officiel c_rehash d'openssl, tous les certificats doivent avoir l'extension .pem; pour supporter aussi l'extension .crt, couramment utilisée, il faut soit utiliser le script c_rehash de Debian, soit remplacer dans le script /\.pem$/ par /\.(crt|pem)$/.

3. Ajoutez le répertoire des certificats dans les fichiers de configuration de curl et wget. Par exemple, dans le fichier ~/.curlrc:

   capath = "/home/user/etc/certs:/etc/ssl/certs"

   (notez que les formes ~ et $HOME ne sont pas supportées) si /etc/ssl/certs est le répertoire par défaut (contenant les certificats installés sur le système); c'est valide au moins pour curl 7.21 à 7.35. Et dans le fichier ~/.wgetrc (au moins pour wget 1.13 à 1.15):

   ca_directory = ~/etc/certs

   mais il ne semble pas possible d'utiliser les certificats par défaut (à moins qu'ils soient ajoutés dans ce répertoire); voir le bug 646413 de Debian.

Note: avec MacPorts sous Mac OS X, pour avoir les certificats installés sur le système avec curl, il faut installer le port curl avec la variante ssl et non gnutls.