Si të aktivizoni TLS 1.3 në Apache në CentOS 8

TLS 1.3 është një version i protokollit të Sigurisë së Shtresës së Transportit (TLS) që u publikua në 2018 si një standard i propozuar në RFC 8446. Ai ofron përmirësime të sigurisë dhe performancës në krahasim me paraardhësit e tij.

Ky udhëzues do të tregojë se si të aktivizoni TLS 1.3 duke përdorur uebserverin Apache në CentOS 8.

Kërkesat

• Shembulli i Vultr Cloud Compute (VC2) që ekzekuton CentOS 8.
• Një emër i vlefshëm domain dhe konfiguruar si duhet A/ AAAA/ CNAMEtë dhënat DNS për domenin tuaj.
• Një certifikatë e vlefshme TLS. Ne do të marrim një nga Let's Encrypt.
• Versioni Apache 2.4.36ose më i madh.
• Versioni OpenSSL 1.1.1ose më i madh.

Perpara se te fillosh

Kontrolloni versionin CentOS.

cat /etc/centos-release
# CentOS Linux release 8.0.1905 (Core)

Krijoni një non-rootllogari të re përdoruesi me sudoakses dhe kaloni në të.

useradd -c "John Doe" johndoe && passwd johndoe
usermod -aG wheel johndoe
su - johndoe

SHËNIM: Zëvendësojeni johndoeme emrin tuaj të përdoruesit.

Vendosni zonën kohore.

timedatectl list-timezones
sudo timedatectl set-timezone 'Region/City'

Sigurohuni që sistemi juaj të jetë i përditësuar.

sudo yum update

Instaloni paketat e nevojshme.

sudo yum install -y socat git

Çaktivizo SELinux dhe Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Instaloni acme.shklientin dhe merrni një certifikatë TLS nga Let's Encrypt

Instaloni acme.sh.

sudo mkdir /etc/letsencrypt
git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com
cd ~
source ~/.bashrc

Kontrolloni versionin.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Merrni certifikatat RSA dhe ECDSA për domenin tuaj.

# RSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

SHËNIM: Zëvendësoni example.comkomandat me emrin e domenit tuaj.

Krijoni drejtori të arsyeshme për të ruajtur certifikatat dhe çelësat tuaj. Ne do të përdorim /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instaloni dhe kopjoni certifikatat në /etc/letsencrypt.

# RSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Pas ekzekutimit të komandave të mësipërme, certifikatat dhe çelësat tuaj do të jenë në vendet e mëposhtme:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Instaloni Apache

Apache shtoi mbështetje për TLS 1.3 në versionin 2.4.36. Sistemi CentOS 8 vjen me Apache dhe OpenSSL që mbështesin TLS 1.3 jashtë kutisë, kështu që nuk ka nevojë të ndërtoni një version të personalizuar.

Shkarkoni dhe instaloni versionin më të fundit 2.4 të Apache dhe modulin e tij për SSL nëpërmjet yummenaxherit të paketave.

sudo yum install -y httpd mod_ssl

Kontrolloni versionin.

sudo httpd -v
# Server version: Apache/2.4.37 (centos)
# Server built:   Jul  30 2019 19:56:12

Filloni dhe aktivizoni Apache.

sudo systemctl start httpd.service
sudo systemctl enable httpd.service

Konfiguro Apache për TLS 1.3

Tani që kemi instaluar me sukses Apache, jemi gati ta konfigurojmë atë për të filluar përdorimin e TLS 1.3 në serverin tonë.

Ekzekutoni sudo vim /etc/httpd/conf.d/example.com.confdhe plotësoni skedarin me konfigurimin bazë të mëposhtëm.

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3

    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"

  </VirtualHost>
</IfModule>

Ruani skedarin dhe dilni me :+ W+ Q.

Kontrolloni konfigurimin.

sudo apachectl configtest

Rifresko Apache për të aktivizuar konfigurimin e ri.

sudo systemctl reload httpd.service

Hapni faqen tuaj nëpërmjet protokollit HTTPS në shfletuesin tuaj të internetit. Për të verifikuar TLS 1.3, mund të përdorni mjetet e zhvillimit të shfletuesit ose shërbimin SSL Labs. Pamjet e mëposhtme të ekranit tregojnë skedën e sigurisë së Chrome me TLS 1.3 në veprim.

Ju keni aktivizuar me sukses TLS 1.3 në Apache në serverin tuaj CentOS 8. Versioni përfundimtar i TLS 1.3 u përcaktua në gusht 2018, kështu që nuk ka kohë më të mirë për të filluar adoptimin e kësaj teknologjie të re.