Si të aktivizoni TLS 1.3 në Apache në FreeBSD 12

TLS 1.3 është një version i protokollit të Sigurisë së Shtresës së Transportit (TLS) që u publikua në 2018 si një standard i propozuar në RFC 8446 . Ai ofron përmirësime të sigurisë dhe performancës në krahasim me paraardhësit e tij.

Ky udhëzues do të demonstrojë se si të aktivizoni TLS 1.3 duke përdorur ueb serverin Apache në FreeBSD 12.

Kërkesat

• Shembulli i Vultr Cloud Compute (VC2) që ekzekuton FreeBSD 12.
• Një emër i vlefshëm domain dhe konfiguruar si duhet A/ AAAA/ CNAMEtë dhënat DNS për domenin tuaj.
• Një certifikatë e vlefshme TLS. Ne do të marrim një nga Let's Encrypt.
• Versioni Apache 2.4.36ose më i madh.
• Versioni OpenSSL 1.1.1ose më i madh.

Perpara se te fillosh

Kontrolloni versionin e FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Sigurohuni që sistemi juaj FreeBSD të jetë i përditësuar.

freebsd-update fetch install
pkg update && pkg upgrade -y

Instaloni paketat e nevojshme nëse ato nuk janë të pranishme në sistemin tuaj.

pkg install -y sudo vim unzip wget bash socat git

Krijoni një llogari të re përdoruesi me emrin tuaj të preferuar të përdoruesit (ne do të përdorim johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Ekzekutoni visudokomandën dhe hiqni komentin e %wheel ALL=(ALL) ALLlinjës për të lejuar anëtarët e wheelgrupit të ekzekutojnë çdo komandë.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Tani, kaloni te përdoruesi juaj i sapokrijuar me su.

su - johndoe

SHËNIM: Zëvendësojeni johndoeme emrin tuaj të përdoruesit.

Vendosni zonën kohore.

sudo tzsetup

Instaloni acme.shklientin dhe merrni një certifikatë TLS nga Let's Encrypt

Instaloni acme.sh.

sudo pkg install -y acme.sh

Kontrolloni versionin.

acme.sh --version
# v2.7.9

Merrni certifikatat RSA dhe ECDSA për domenin tuaj.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

SHËNIM: Zëvendësoni example.comkomandat me emrin e domenit tuaj.

Krijoni drejtori të arsyeshme për të ruajtur certifikatat dhe çelësat tuaj. Ne do të përdorim /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instaloni dhe kopjoni certifikatat në /etc/letsencrypt.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Pas ekzekutimit të komandave të mësipërme, certifikatat dhe çelësat tuaj do të jenë në vendet e mëposhtme:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Instaloni Apache

Apache shtoi mbështetje për TLS 1.3 në versionin 2.4.36. Sistemi FreeBSD 12 vjen me Apache dhe OpenSSL që mbështesin TLS 1.3 jashtë kutisë, kështu që nuk ka nevojë të ndërtoni një version të personalizuar.

Shkarkoni dhe instaloni degën më të fundit 2.4 të Apache nëpërmjet pkgmenaxherit të paketave.

sudo pkg install -y apache24

Kontrolloni versionin.

httpd -v
# Server version: Apache/2.4.38 (FreeBSD)

Filloni dhe aktivizoni Apache.

sudo sysrc apache24_enable="yes"
sudo service apache24 start

Konfiguro Apache për TLS 1.3

Tani që kemi instaluar me sukses Apache, jemi gati ta konfigurojmë atë për të filluar përdorimin e TLS 1.3 në serverin tonë.

SHËNIM: Në FreeBSD, mod_sslmoduli aktivizohet si parazgjedhje si në paketë ashtu edhe në port

Ekzekutoni sudo vim /usr/local/etc/apache24/httpd.confdhe përfshini modulin SSL duke mos komentuar LoadModule ssl_module libexec/apache24/mod_ssl.so.

#LoadModule ssl_module libexec/apache24/mod_ssl.so

Ekzekutoni sudo vim /usr/local/etc/apache24/Includes/example.com.confdhe plotësoni skedarin me konfigurimin bazë të mëposhtëm.

Listen 443
<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    # RSA
    SSLCertificateFile "/etc/letsencrypt/example.com/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com/private.key"
    # ECC
    SSLCertificateFile "/etc/letsencrypt/example.com_ecc/fullchain.pem"
    SSLCertificateKeyFile "/etc/letsencrypt/example.com_ecc/private.key"
</VirtualHost>

Ruani skedarin dhe dilni me :+ W+ Q.

Kontrolloni konfigurimin.

sudo service apache24 configtest

Rifresko Apache.

sudo service apache24 reload

Hapni faqen tuaj nëpërmjet protokollit HTTPS në shfletuesin tuaj të internetit. Për të verifikuar TLS 1.3, mund të përdorni mjetet e zhvillimit të shfletuesit ose shërbimin SSL Labs. Pamjet e mëposhtme të ekranit tregojnë skedën e sigurisë së Chrome me TLS 1.3 në veprim.

Ju keni aktivizuar me sukses TLS 1.3 në Apache në serverin tuaj FreeBSD. Versioni përfundimtar i TLS 1.3 u përcaktua në gusht 2018, kështu që nuk ka kohë më të mirë për të filluar adoptimin e kësaj teknologjie të re.