Si të aktivizoni TLS 1.3 në Apache në Fedora 30

• Kërkesat
• Perpara se te fillosh
• Instaloni klientin acme.sh dhe merrni një certifikatë TLS nga Let's Encrypt
• Instaloni Apache
• Konfiguro Apache për TLS 1.3

TLS 1.3 është një version i protokollit të Sigurisë së Shtresës së Transportit (TLS) që u publikua në 2018 si një standard i propozuar në RFC 8446. Ai ofron përmirësime të sigurisë dhe performancës në krahasim me paraardhësit e tij.

Ky udhëzues do të demonstrojë se si të aktivizoni TLS 1.3 duke përdorur serverin në internet Apache në Fedora 30.

Kërkesat

• Shembulli i Vultr Cloud Compute (VC2) që ekzekuton Fedora 30.
• Një emër i vlefshëm domain dhe konfiguruar si duhet A/ AAAA/ CNAMEtë dhënat DNS për domenin tuaj.
• Një certifikatë e vlefshme TLS. Ne do të marrim një nga Let's Encrypt.
• Versioni Apache 2.4.36ose më i madh.
• Versioni OpenSSL 1.1.1ose më i madh.

Perpara se te fillosh

Kontrolloni versionin Fedora.

cat /etc/fedora-release # Fedora release 30 (Thirty)

Krijoni një non-rootllogari të re përdoruesi me sudoakses dhe kaloni në të.

useradd -c "John Doe" johndoe && passwd johndoe usermod -aG wheel johndoe su - johndoe

SHËNIM: Zëvendësojeni johndoeme emrin tuaj të përdoruesit.

Vendosni zonën kohore.

timedatectl list-timezones sudo timedatectl set-timezone 'Region/City'

Sigurohuni që sistemi juaj të jetë i përditësuar.

sudo dnf check-upgrade || sudo dnf upgrade -y

Instaloni paketat e nevojshme.

sudo dnf install -y socat git

Çaktivizo SELinux dhe Firewall.

sudo setenforce 0 ; sudo systemctl stop firewalld ; sudo systemctl disable firewalld

Instaloni acme.shklientin dhe merrni një certifikatë TLS nga Let's Encrypt

Instaloni acme.sh.

sudo mkdir /etc/letsencrypt git clone https://github.com/Neilpang/acme.sh.git cd acme.sh sudo ./acme.sh --install --home /etc/letsencrypt --accountemail your_email@example.com cd ~ source ~/.bashrc

Kontrolloni versionin.

/etc/letsencrypt/acme.sh --version # v2.8.2

Merrni certifikatat RSA dhe ECDSA për domenin tuaj.

# RSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048 # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

SHËNIM: Zëvendësoni example.comkomandat me emrin e domenit tuaj.

Krijoni drejtori të arsyeshme për të ruajtur certifikatat dhe çelësat tuaj. Ne do të përdorim /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instaloni dhe kopjoni certifikatat në /etc/letsencrypt.

# RSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem # ECC/ECDSA sudo /etc/letsencrypt/acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Pas ekzekutimit të komandave të mësipërme, certifikatat dhe çelësat tuaj do të jenë në vendet e mëposhtme:

• RSA :/etc/letsencrypt/example.com
• ECC / ECDSA :/etc/letsencrypt/example.com_ecc

Instaloni Apache

Apache shtoi mbështetje për TLS 1.3 në versionin 2.4.36. Sistemi Fedora 30 vjen me Apache dhe OpenSSL që mbështesin TLS 1.3 jashtë kutisë, kështu që nuk ka nevojë të ndërtoni një version të personalizuar.

Shkarkoni dhe instaloni degën më të fundit 2.4 të Apache dhe modulin e tij për SSL nëpërmjet dnfmenaxherit të paketave.

sudo dnf install -y httpd mod_ssl

Kontrolloni versionin.

sudo httpd -v # Server version: Apache/2.4.39 (Fedora) # Server built: May 2 2019 14:50:28

Filloni dhe aktivizoni Apache.

sudo systemctl start httpd.service sudo systemctl enable httpd.service

Konfiguro Apache për TLS 1.3

Tani që kemi instaluar me sukses Apache, jemi gati ta konfigurojmë atë për të filluar përdorimin e TLS 1.3 në serverin tonë.

Ekzekutoni sudo vim /etc/httpd/conf.d/example.com.confdhe plotësoni skedarin me konfigurimin bazë të mëposhtëm.

<IfModule mod_ssl.c> <VirtualHost *:443> ServerName example.com SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # RSA SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key" # ECC SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem" SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key" </VirtualHost> </IfModule>

Ruani skedarin dhe dilni.

Kontrolloni konfigurimin.

sudo apachectl configtest

Rifresko Apache për të aktivizuar konfigurimin e ri.

sudo systemctl reload httpd.service

Hapni faqen tuaj nëpërmjet protokollit HTTPS në shfletuesin tuaj të internetit. Për të verifikuar TLS 1.3, mund të përdorni mjetet e zhvillimit të shfletuesit ose shërbimin SSL Labs. Pamjet e mëposhtme të ekranit tregojnë skedën e sigurisë së Chrome me TLS 1.3 në veprim.

Ju keni aktivizuar me sukses TLS 1.3 në Apache në serverin tuaj Fedora 30. Versioni përfundimtar i TLS 1.3 u përcaktua në gusht 2018, kështu që nuk ka kohë më të mirë për të filluar adoptimin e kësaj teknologjie të re.