Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:nginx [17-10-2025 10:18] – edmc73
+++ linux:nginx [12-05-2026 20:15] (Version actuelle) – [Convertir pour le smartphone (.p12)] edmc73
@@ Ligne 74: / Ligne 74: @@
   dpkg -i geoipupdate_7.1.0_linux_amd64.deb
-<code>
+<code bash>
 # configuration
 vi /etc/GeoIP.conf
@@ Ligne 105: / Ligne 105: @@
 Pour Nginx
-<code>
+<code nginx>
 #Fichier de config pour spécifier l'emplacement de la base de données
 vi /etc/nginx/conf.d/geoip2.conf
@@ Ligne 125: / Ligne 125: @@
   apt install mmdb-bin
-<code>
+<code json>
 mmdblookup --file /usr/share/GeoIP/GeoLite2-Country.mmdb --ip 152.65.252.11
@@ Ligne 213: / Ligne 213: @@
 Config pour restreindre par pays
-<code>
+<code nginx>
 server{
     server_name toto.com; # managed by Certbot
@@ Ligne 252: / Ligne 252: @@
 }
+</code>
+===== Authentification par Certificat Client (TLS Mutual Auth) =====
+Permet de sécuriser l'accès à un site via un certificat placé au niveau du client. Pratique si on ne peut pas restreindre l'accès par ip ou si on veut éviter la connexion VPN en permanence.
+==== Création du notre Autorité de Certification (CA) ====
+<code bash>
+# Générer la clé de l'autorité
+openssl genrsa -out ca.key 4096
+# Créer le certificat de l'autorité
+openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
+</code>
+Quand la commande vous demande les informations, soyez distinct :
+  * Country Name : FR
+  * Organization Name : Ma Maison
+  * Common Name : Mon-Autorite-CA (Utilisez un nom qui indique clairement que c'est le "patron").
+==== Création du certification pour le client ====
+On génère une clé spécifiquer pour le client, signée par le CA.
+Dans l'exemple, le client sera un smartphone Android
+<code bash>
+# Générer la clé du smartphone
+openssl genrsa -out smartphone.key 4096
+# Créer la demande de signature
+openssl req -new -key smartphone.key -out smartphone.csr
+# Signer le certificat avec votre CA
+openssl x509 -req -days 365 -in smartphone.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out smartphone.crt
+</code>
+C'est ici qu'il faut être vigilant :
+  * Country Name : FR
+  * Organization Name : Ma Maison (Le même que le CA, c'est mieux).
+  * Common Name : Smartphone-Jean (Il doit être différent du CN de l'autorité).
+==== Convertir pour le smartphone (.p12) ====
+<code>
+openssl pkcs12 -export -out smartphone.p12 -inkey smartphone.key -in smartphone.crt -certfile ca.crt
+</code>
+Un mot de passe sera demandé, il permet de sécuriser le fichier car il contient à la fois le certificat et sa clé privée.
+Envoyez ce fichier .p12 à votre téléphone et installez-le dans les ''paramètres'' / ''Sécurité et confidentialité'' / ''Autres options de sécurité et confidentialité'' / ''Chiffrement et identifiants'' / ''Installer un certificat'' / ''Certificat utilisateur VPN et appli''
+Le mot de passe sera demandé lors de l'installation du certificat sur l'appareil.
+Sur Chrome, il faut aller ici -> ''[[chrome://certificate-manager/clientcerts/platformclientcerts]]''
+==== Configuration Nginx ====
+<code nginx>
+server {
+    listen 443 ssl;
+    server_name votre-ha.domaine.fr;
+    ssl_certificate /chemin/vers/fullchain.pem; # Votre certificat SSL habituel (ex: Let's Encrypt)
+    ssl_certificate_key /chemin/vers/privkey.pem;
+    # --- AJOUT MTLS ---
+    ssl_client_certificate /chemin/vers/ca.crt; # Le certificat CA créé à l'étape 1
+    ssl_verify_client on;
+    # ------------------
+    location / {
+        proxy_pass http://127.0.0.1:8123;
+        # ... reste de votre config proxy habituelle
+    }
+}
 </code>

Outils pour utilisateurs

Outils du site

Différences

Outils de la page