Как да активирате TLS 1.3 в Nginx на Debian 9

Въведение

TLS 1.3 е версия на протокола за сигурност на транспортния слой (TLS), публикуван през 2018 г. като предложен стандарт в RFC 8446 . Той предлага подобрения в сигурността и производителността спрямо своите предшественици.

Това ръководство обяснява как да активирате TLS 1.3 с помощта на уеб сървъра Nginx на Debian 9.

Изисквания

• Версия на Nginx 1.13.0или по- нова .
• OpenSSL версия 1.1.1или по- нова .
• Vultr Cloud Compute (VC2) екземпляр, работещ с Debian 9 x64 (разтягане).
• Валидно име на домейн и конфигурирани правилно A/ AAAA/ CNAMEDNS записите за домейна.
• Валиден TLS сертификат. Ще получим такъв от Let's Encrypt.

Преди да започнеш

Проверете версията на Debian.

lsb_release -ds
# Debian GNU/Linux 9.9 (stretch)

Уверете се, че вашата система е актуална.

apt update && apt upgrade -y

Инсталирайте необходимите пакети.

apt install -y git unzip curl sudo socat build-essential

Създайте нов потребителски акаунт без root права с sudoдостъп и превключете към него.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

ЗАБЕЛЕЖКА: Заменете johndoeс вашето потребителско име.

Настройте часовата зона.

sudo dpkg-reconfigure tzdata

Инсталирайте клиента Acme.sh и получете TLS сертификат от Let's Encrypt

Изтеглете и инсталирайте Acme.sh .

sudo mkdir /etc/letsencrypt
sudo git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh 
sudo ./acme.sh --install --home /etc/letsencrypt --accountemail [email protected]
cd ~
source ~/.bashrc

Проверете версията.

/etc/letsencrypt/acme.sh --version
# v2.8.2

Вземете RSA и ECDSA сертификати за вашия домейн.

# RSA 2048
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength 2048
# ECDSA
sudo /etc/letsencrypt/acme.sh --issue --standalone --home /etc/letsencrypt -d example.com --ocsp-must-staple --keylength ec-256

ЗАБЕЛЕЖКА: Заменете example.comс името на вашия домейн.

След като изпълните предишните команди, вашите сертификати и ключове са достъпни на следните места:

• RSA :/etc/letsencrypt/example.com
• ECC/ECDSA :/etc/letsencrypt/example.com_ecc

Създайте Nginx от източник

Nginx добави поддръжка за TLS 1.3 във версия 1.13.0. В повечето дистрибуции на Linux, включително Debian 9, Nginx е изграден с по-старата версия на OpenSSL, която не поддържа TLS 1.3. Следователно имаме нужда от собствена персонализирана компилация на Nginx, свързана с версията OpenSSL 1.1.1, която включва поддръжка за TLS 1.3.

Изтеглете най-новата основна версия на изходния код на Nginx и го извлечете.

wget https://nginx.org/download/nginx-1.17.0.tar.gz && tar zxvf nginx-1.17.0.tar.gz

Изтеглете изходния код на OpenSSL 1.1.1c и го извлечете.

# OpenSSL version 1.1.1c
wget https://www.openssl.org/source/openssl-1.1.1c.tar.gz && tar xzvf openssl-1.1.1c.tar.gz

Изтрийте всички .tar.gzфайлове, тъй като те вече не са необходими.

rm -rf *.tar.gz

Въведете изходната директория на Nginx.

cd ~/nginx-1.17.0

Конфигурирайте, компилирайте и инсталирайте Nginx. За простота ще компилираме само основни модули, които са необходими за работа на TLS 1.3. Ако имате нужда от пълна компилация на Nginx, можете да прочетете това ръководство на Vultr за компилацията на Nginx.

./configure --prefix=/etc/nginx \
            --sbin-path=/usr/sbin/nginx \
            --modules-path=/usr/lib/nginx/modules \
            --conf-path=/etc/nginx/nginx.conf \
            --error-log-path=/var/log/nginx/error.log \
            --pid-path=/var/run/nginx.pid \
            --lock-path=/var/run/nginx.lock \
            --user=nginx \
            --group=nginx \
            --build=Debian \
            --builddir=nginx-1.17.0 \
            --http-log-path=/var/log/nginx/access.log \
            --http-client-body-temp-path=/var/cache/nginx/client_temp \
            --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
            --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
            --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
            --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
            --with-compat \
            --with-http_ssl_module \
            --with-http_v2_module \
            --with-openssl=../openssl-1.1.1c \
            --with-openssl-opt=no-nextprotoneg \
            --without-http_rewrite_module \
            --without-http_gzip_module

make
sudo make install

Създайте системна група и потребител на Nginx.

sudo adduser --system --home /nonexistent --shell /bin/false --no-create-home --disabled-login --disabled-password --gecos "nginx user" --group nginx

Символична връзка /usr/lib/nginx/modulesкъм /etc/nginx/modules. Последното е стандартно място за Nginx модули.

sudo ln -s /usr/lib/nginx/modules /etc/nginx/modules

Създайте кеш директории на Nginx и задайте правилните разрешения.

sudo mkdir -p /var/cache/nginx/client_temp /var/cache/nginx/fastcgi_temp /var/cache/nginx/proxy_temp /var/cache/nginx/scgi_temp /var/cache/nginx/uwsgi_temp
sudo chmod 700 /var/cache/nginx/*
sudo chown nginx:root /var/cache/nginx/*

Проверете версията на Nginx.

sudo nginx -V

# nginx version: nginx/1.17.0 (Debian)
# built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
# built with OpenSSL 1.1.1c  28 May 2019
# TLS SNI support enabled
# configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx . . .
# . . .

Създайте файл на Nginx systemd.

sudo vim /etc/systemd/system/nginx.service

Попълнете файла със следната конфигурация.

[Unit]
Description=nginx - high performance web server
Documentation=https://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

Стартирайте и активирайте Nginx.

sudo systemctl start nginx.service
sudo systemctl enable nginx.service

Създаване conf.d, sites-availableи sites-enabledдиректории в /etc/nginx.

sudo mkdir /etc/nginx/{conf.d,sites-available,sites-enabled}

Изпълнете sudo vim /etc/nginx/nginx.confи добавете следните две директиви в края на файла, точно преди затварянето }.

    . . .
    . . .
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*.conf;
}

Запазете файла и излезте с :+ W+ Q.

Конфигурирайте Nginx за TLS 1.3

След като успешно изградихме Nginx, ние сме готови да го конфигурираме, за да започне да използва TLS 1.3 на нашия сървър.

Стартирайте sudo vim /etc/nginx/conf.d/example.com.confи попълнете файла със следната конфигурация.

server {
  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com/example.com.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.cer;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/example.com.key;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
  ssl_prefer_server_ciphers on;
}

Запазете файла и излезте с :+ W+ Q.

Обърнете внимание на новия TLSv1.3параметър на ssl_protocolsдирективата. Този параметър е необходим за активиране на TLS 1.3.

Проверете конфигурацията.

sudo nginx -t

Презаредете Nginx.

sudo systemctl reload nginx.service

За да потвърдите TLS 1.3, можете да използвате инструменти за разработка на браузъра или услугата SSL Labs. Екранните снимки по-долу показват раздела за сигурност на Chrome, който показва, че TLS 1.3 работи.

Честито! Успешно активирахте TLS 1.3 на вашия Debian 9 сървър.