Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| linux:nginx [12-05-2026 20:15] – [Convertir pour le smartphone (.p12)] edmc73 | linux:nginx [10-07-2026 19:42] (Version actuelle) – [Convertir pour le smartphone (.p12)] edmc73 | ||
|---|---|---|---|
| Ligne 278: | Ligne 278: | ||
| # Générer la clé du smartphone | # Générer la clé du smartphone | ||
| openssl genrsa -out smartphone.key 4096 | openssl genrsa -out smartphone.key 4096 | ||
| + | |||
| # Créer la demande de signature | # Créer la demande de signature | ||
| openssl req -new -key smartphone.key -out smartphone.csr | openssl req -new -key smartphone.key -out smartphone.csr | ||
| + | |||
| # Signer le certificat avec votre CA | # Signer le certificat avec votre CA | ||
| + | # Notez qu'on défini ici un numéro de série 01 | ||
| openssl x509 -req -days 365 -in smartphone.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out smartphone.crt | openssl x509 -req -days 365 -in smartphone.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out smartphone.crt | ||
| </ | </ | ||
| Ligne 294: | Ligne 297: | ||
| Un mot de passe sera demandé, il permet de sécuriser le fichier car il contient à la fois le certificat et sa clé privée. | Un mot de passe sera demandé, il permet de sécuriser le fichier car il contient à la fois le certificat et sa clé privée. | ||
| + | Pour lire le contenu de ce fichier | ||
| + | openssl pkcs12 -in smartphone.p12 -info -nodes | ||
| Ligne 301: | Ligne 306: | ||
| Sur Chrome, il faut aller ici -> '' | Sur Chrome, il faut aller ici -> '' | ||
| + | |||
| + | Sur Zen browser, '' | ||
| ==== Configuration Nginx ==== | ==== Configuration Nginx ==== | ||
| <code nginx> | <code nginx> | ||
| Ligne 321: | Ligne 328: | ||
| } | } | ||
| </ | </ | ||
| + | |||
| + | ==== Révocation de certificat ==== | ||
| + | |||
| + | Générer et gérer une CRL (Certificate Revocation List) demande un peu d' | ||
| + | |||
| + | Voici la procédure étape par étape pour révoquer un certificat et générer ce fichier. | ||
| + | |||
| + | === 1. Préparer l' | ||
| + | Pour qu' | ||
| + | |||
| + | Exécutez ces commandes dans le dossier où se trouvent vos clés : | ||
| + | |||
| + | <code bash> | ||
| + | touch index.txt | ||
| + | echo 1000 > crl_number | ||
| + | </ | ||
| + | |||
| + | === 2. Créer un fichier de configuration minimal (crl.conf) === | ||
| + | OpenSSL a besoin de savoir où chercher les informations. Créez un fichier nommé crl.conf et collez ceci dedans : | ||
| + | |||
| + | <code ini> | ||
| + | [ ca ] | ||
| + | default_ca = CA_default | ||
| + | |||
| + | [ CA_default ] | ||
| + | database = ./index.txt | ||
| + | crlnumber = ./ | ||
| + | certificate = ./ca.crt | ||
| + | private_key = ./ca.key | ||
| + | default_md = sha256 | ||
| + | </ | ||
| + | |||
| + | === 3. Révoquer le certificat compromis === | ||
| + | Imaginons que le certificat à bannir soit smartphone.crt. | ||
| + | |||
| + | openssl ca -config crl.conf -revoke smartphone.crt | ||
| + | |||
| + | Cette commande va mettre à jour le fichier '' | ||
| + | |||
| + | === 4. Générer le fichier .crl pour Nginx === | ||
| + | Maintenant, créez le fichier que Nginx pourra lire : | ||
| + | |||
| + | openssl ca -config crl.conf -gencrl -out liste_noire.crl | ||
| + | |||
| + | === 5. Configurer Nginx Proxy Manager === | ||
| + | Dans l' | ||
| + | |||
| + | ssl_crl / | ||
| + | |||
| + | (Assurez-vous que le fichier est bien présent dans le volume Docker de NPM, comme pour le ca.crt). | ||