Si të aktivizoni TLS 1.3 në Nginx në FreeBSD 12

TLS 1.3 është një version i protokollit të Sigurisë së Shtresës së Transportit (TLS) që u publikua në 2018 si një standard i propozuar në RFC 8446 . Ai ofron përmirësime të sigurisë dhe performancës në krahasim me paraardhësit e tij.

Ky udhëzues do të demonstrojë se si të aktivizoni TLS 1.3 duke përdorur ueb serverin Nginx në FreeBSD 12.

Kërkesat

• Shembulli i Vultr Cloud Compute (VC2) që ekzekuton FreeBSD 12.
• Një emër i vlefshëm domain dhe konfiguruar si duhet A/ AAAA/ CNAMEtë dhënat DNS për domenin tuaj.
• Një certifikatë e vlefshme TLS. Ne do të marrim një nga Let's Encrypt.
• Versioni Nginx 1.13.0ose më i madh.
• Versioni OpenSSL 1.1.1ose më i madh.

Perpara se te fillosh

Kontrolloni versionin e FreeBSD.

uname -ro
# FreeBSD 12.0-RELEASE

Sigurohuni që sistemi juaj FreeBSD të jetë i përditësuar.

freebsd-update fetch install
pkg update && pkg upgrade -y

Instaloni paketat e nevojshme nëse ato nuk janë të pranishme në sistemin tuaj.

pkg install -y sudo vim unzip wget bash socat git

Krijoni një llogari të re përdoruesi me emrin tuaj të preferuar të përdoruesit (ne do të përdorim johndoe).

adduser

# Username: johndoe
# Full name: John Doe
# Uid (Leave empty for default): <Enter>
# Login group [johndoe]: <Enter>
# Login group is johndoe. Invite johndoe into other groups? []: wheel
# Login class [default]: <Enter>
# Shell (sh csh tcsh nologin) [sh]: bash
# Home directory [/home/johndoe]: <Enter>
# Home directory permissions (Leave empty for default): <Enter>
# Use password-based authentication? [yes]: <Enter>
# Use an empty password? (yes/no) [no]: <Enter>
# Use a random password? (yes/no) [no]: <Enter>
# Enter password: your_secure_password
# Enter password again: your_secure_password
# Lock out the account after creation? [no]: <Enter>
# OK? (yes/no): yes
# Add another user? (yes/no): no
# Goodbye!

Ekzekutoni visudokomandën dhe hiqni komentin e %wheel ALL=(ALL) ALLlinjës, për të lejuar anëtarët e wheelgrupit të ekzekutojnë çdo komandë.

visudo

# Uncomment by removing hash (#) sign
# %wheel ALL=(ALL) ALL

Tani, kaloni te përdoruesi juaj i sapokrijuar me su.

su - johndoe

SHËNIM: Zëvendësojeni johndoeme emrin tuaj të përdoruesit.

Vendosni zonën kohore.

sudo tzsetup

Instaloni klientin acme.sh dhe merrni certifikatën TLS nga Let's Encrypt

Instaloni acme.sh.

sudo pkg install -y acme.sh

Kontrolloni versionin.

acme.sh --version
# v2.7.9

Merrni certifikatat RSA dhe ECDSA për domenin tuaj.

# RSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength 2048
# ECC/ECDSA
sudo acme.sh --issue --standalone -d example.com --ocsp-must-staple --keylength ec-256

SHËNIM: Zëvendësoni example.comkomandat me emrin e domenit tuaj.

Krijoni drejtori për të ruajtur certifikatat dhe çelësat tuaj. ne do të përdorim /etc/letsencrypt.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Instaloni dhe kopjoni certifikatat në /etc/letsencryptdrejtori.

# RSA
sudo acme.sh --install-cert -d example.com --cert-file /etc/letsencrypt/example.com/cert.pem --key-file /etc/letsencrypt/example.com/private.key --fullchain-file /etc/letsencrypt/example.com/fullchain.pem 
# ECC/ECDSA
sudo acme.sh --install-cert -d example.com --ecc --cert-file /etc/letsencrypt/example.com_ecc/cert.pem --key-file /etc/letsencrypt/example.com_ecc/private.key --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem

Pas ekzekutimit të komandave të mësipërme, certifikatat dhe çelësat tuaj do të jenë në vendet e mëposhtme:

• RSA: /etc/letsencrypt/example.com
• ECC/ECDSA: /etc/letsencrypt/example.com_ecc

Instaloni Nginx

Nginx shtoi mbështetje për TLS 1.3 në versionin 1.13.0. Sistemi FreeBSD 12 vjen me Nginx dhe OpenSSL që mbështesin TLS 1.3 jashtë kutisë, kështu që nuk ka nevojë të ndërtoni një version të personalizuar.

Shkarkoni dhe instaloni versionin më të fundit kryesor të Nginx përmes pkgmenaxherit të paketave.

sudo pkg install -y nginx-devel

Kontrolloni versionin.

nginx -v
# nginx version: nginx/1.15.8

Kontrolloni versionin OpenSSL kundër të cilit është përpiluar Nginx.

nginx -V
# built with OpenSSL 1.1.1a-freebsd  20 Nov 2018

Filloni dhe aktivizoni Nginx.

sudo sysrc nginx_enable=yes
sudo service nginx start

Konfiguro Nginx

Tani që kemi instaluar me sukses Nginx, jemi gati ta konfigurojmë me konfigurimin e duhur për të filluar përdorimin e TLS 1.3 në serverin tonë.

Ekzekutoni sudo vim /usr/local/etc/nginx/example.com.confkomandën dhe plotësoni skedarin me konfigurimin e mëposhtëm.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Ruani skedarin dhe dilni me :+ W+ Q.

Tani duhet të përfshijmë example.com.confnë nginx.confskedarin kryesor .

Ekzekutoni sudo vim /usr/local/etc/nginx/nginx.confdhe shtoni rreshtin e mëposhtëm në http {}bllok.

include example.com.conf;

Vini re TLSv1.3parametrin e ri të ssl_protocolsdirektivës. Ky parametër është i nevojshëm vetëm për të aktivizuar TLS 1.3 në serverin Nginx.

Kontrolloni konfigurimin.

sudo nginx -t

Rifresko Nginx.

sudo service nginx reload

Për të verifikuar TLS 1.3, mund të përdorni mjetet e zhvillimit të shfletuesit ose shërbimin SSL Labs. Pamjet e ekranit më poshtë tregojnë skedën e sigurisë së Chrome.

Ju keni aktivizuar me sukses TLS 1.3 në Nginx në serverin tuaj FreeBSD. Versioni përfundimtar i TLS 1.3 u përcaktua në gusht 2018, kështu që nuk ka kohë më të mirë për të filluar adoptimin e kësaj teknologjie të re.