Outils pour utilisateurs

Outils du site


linux:nginx (lu 30093 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
linux:nginx [12-05-2026 20:15] – [Convertir pour le smartphone (.p12)] edmc73linux:nginx [10-07-2026 19:42] (Version actuelle) – [Convertir pour le smartphone (.p12)] edmc73
Ligne 278: Ligne 278:
 # Générer la clé du smartphone # Générer la clé du smartphone
 openssl genrsa -out smartphone.key 4096 openssl genrsa -out smartphone.key 4096
 +
 # Créer la demande de signature # Créer la demande de signature
 openssl req -new -key smartphone.key -out smartphone.csr openssl req -new -key smartphone.key -out smartphone.csr
 +
 # Signer le certificat avec votre CA # Signer le certificat avec votre CA
 +# Notez qu'on défini ici un numéro de série 01
 openssl x509 -req -days 365 -in smartphone.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out smartphone.crt openssl x509 -req -days 365 -in smartphone.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out smartphone.crt
 </code> </code>
Ligne 294: Ligne 297:
 Un mot de passe sera demandé, il permet de sécuriser le fichier car il contient à la fois le certificat et sa clé privée. Un mot de passe sera demandé, il permet de sécuriser le fichier car il contient à la fois le certificat et sa clé privée.
  
 +Pour lire le contenu de ce fichier
 +  openssl pkcs12 -in smartphone.p12 -info -nodes
  
  
Ligne 301: Ligne 306:
  
 Sur Chrome, il faut aller ici -> ''[[chrome://certificate-manager/clientcerts/platformclientcerts]]'' Sur Chrome, il faut aller ici -> ''[[chrome://certificate-manager/clientcerts/platformclientcerts]]''
 +
 +Sur Zen browser, ''about:preferences#connectionSecurity'' puis ''Gérer les certificats'', sur l'onglet ''Vos certificats'', cliquez sur ''Importer...''
 ==== Configuration Nginx ==== ==== Configuration Nginx ====
 <code nginx> <code nginx>
Ligne 321: Ligne 328:
 } }
 </code> </code>
 +
 +==== Révocation de certificat ====
 +
 +Générer et gérer une CRL (Certificate Revocation List) demande un peu d'organisation, car il faut tenir une sorte de petit "registre" de vos certificats.
 +
 +Voici la procédure étape par étape pour révoquer un certificat et générer ce fichier.
 +
 +=== 1. Préparer l'infrastructure de révocation ===
 +Pour qu'OpenSSL puisse gérer une liste noire, il a besoin d'un fichier texte qui sert de base de données (index.txt) et d'un fichier pour le numéro de série de la future CRL.
 +
 +Exécutez ces commandes dans le dossier où se trouvent vos clés :
 +
 +<code bash>
 +touch index.txt
 +echo 1000 > crl_number
 +</code>
 +
 +=== 2. Créer un fichier de configuration minimal (crl.conf) ===
 +OpenSSL a besoin de savoir où chercher les informations. Créez un fichier nommé crl.conf et collez ceci dedans :
 +
 +<code ini>
 +[ ca ]
 +default_ca = CA_default
 +
 +[ CA_default ]
 +database = ./index.txt
 +crlnumber = ./crl_number
 +certificate = ./ca.crt
 +private_key = ./ca.key
 +default_md = sha256
 +</code>
 +
 +=== 3. Révoquer le certificat compromis ===
 +Imaginons que le certificat à bannir soit smartphone.crt.
 +
 +  openssl ca -config crl.conf -revoke smartphone.crt
 +
 +Cette commande va mettre à jour le fichier ''index.txt'' en marquant ce certificat comme révoqué (indiqué par un "R").
 +
 +=== 4. Générer le fichier .crl pour Nginx ===
 +Maintenant, créez le fichier que Nginx pourra lire :
 +
 +  openssl ca -config crl.conf -gencrl -out liste_noire.crl
 +
 +=== 5. Configurer Nginx Proxy Manager ===
 +Dans l'onglet Advanced de votre hôte Home Assistant, ajoutez cette ligne :
 +
 +  ssl_crl /data/custom_ssl/liste_noire.crl;
 +
 +(Assurez-vous que le fichier est bien présent dans le volume Docker de NPM, comme pour le ca.crt).
  
  
linux/nginx.1778616949.txt.gz · Dernière modification : de edmc73